Reprise à 14H15. Windows Server Update Services (WSUS) Cyril Voisin Chef de programme Sécurité...
-
Upload
bathylle-poisson -
Category
Documents
-
view
108 -
download
2
Transcript of Reprise à 14H15. Windows Server Update Services (WSUS) Cyril Voisin Chef de programme Sécurité...
Reprise à 14H15Reprise à 14H15Reprise à 14H15Reprise à 14H15
Windows Server Update Windows Server Update Services (WSUS)Services (WSUS)
Windows Server Update Windows Server Update Services (WSUS)Services (WSUS)
Cyril VoisinCyril VoisinChef de programme Chef de programme SécuritéSécuritéMicrosoft FranceMicrosoft France
La stratégie sécurité de MicrosoftLa stratégie sécurité de Microsoft
Isolation et Isolation et résiliencerésilience
Authentification,Authentification,Autorisation,Autorisation,
AuditAuditExcellence Excellence
dedel’engineeringl’engineering
Mise à jourMise à jouravancéeavancée
Conseils,Conseils,Outils,Outils,
RéponseRéponse
Aujourd’huAujourd’huii
Futur Futur prochprochee
Windows, SQL,Windows, SQL,Exchange, Office…Exchange, Office…
Windows, SQL,Windows, SQL,Exchange, Office…Exchange, Office…
Office Update
Download Center
SUSSUS SMSSMS
““Microsoft Update”Microsoft Update”(Windows Update)(Windows Update)
VS Update
Windows Update
Windows seulementWindows seulement
Windows seulementWindows seulement
UpdateUpdateServicesServices
Mises à jourMises à jour
Automatic Updates (AU)Automatic Updates (AU)Automatic Updates (AU)Automatic Updates (AU)
Service de Mises à jour Service de Mises à jour automatiques (le client de WSUS)automatiques (le client de WSUS)
Automatic Updates (AU)Automatic Updates (AU)DescriptionDescription
Service local (Mises à jour automatiques) Service local (Mises à jour automatiques) automatisant l’accès à WU permettantautomatisant l’accès à WU permettant
D’obtenir automatiquement les mises à jour D’obtenir automatiquement les mises à jour critiques et de sécurité de Windows dont elle a critiques et de sécurité de Windows dont elle a besoinbesoin
De les installer automatiquement (si le De les installer automatiquement (si le propriétaire de la machine le souhaite)propriétaire de la machine le souhaite)
Quand on le connecte à WU (ou MU) : à Quand on le connecte à WU (ou MU) : à destination du grand public et des TPEdestination du grand public et des TPE
Quand on le connecte à WSUS, c’est LE client Quand on le connecte à WSUS, c’est LE client WSUS (à destination des PME principalement)WSUS (à destination des PME principalement)
Client Mises à jour Client Mises à jour automatiques (automatiques (AutoUpdateAutoUpdate))
Principe : Principe : se connecte à se connecte à Windows Update, Windows Update, Microsoft Update ou Microsoft Update ou un serveur WSUS un serveur WSUS pour maintenir la pour maintenir la machine à jourmachine à jour
Mode Mode pullpull
Disponible pourDisponible pourWindows Server 2003Windows Server 2003
Windows 2000 SP3Windows 2000 SP3
Windows XP SP1Windows XP SP1
Installation à l’arrêt (XP SP2)Installation à l’arrêt (XP SP2)
Profiter de l’arrêt de la machine pour Profiter de l’arrêt de la machine pour la maintenir à jourla maintenir à jour
Contrôlé par stratégie de groupeContrôlé par stratégie de groupe
Configuration des clientsConfiguration des clients
Par stratégie de groupe Par stratégie de groupe ou par registreou par registreConfigurer les Mises à Configurer les Mises à jour automatiques jour automatiques (AutoUpdate) (AutoUpdate) Modes d’installation :Modes d’installation :
Notifier avant Notifier avant téléchargement/installatiotéléchargement/installation n Télécharger puis notifier Télécharger puis notifier pour installationpour installationTélécharger et installer Télécharger et installer automatiquement selon la automatiquement selon la planificationplanificationAutoriser les Autoriser les administrateurs locaux à administrateurs locaux à choisir le mode de choisir le mode de configuration (sans configuration (sans pouvoir désactiver pouvoir désactiver AutoUpdateAutoUpdate))
Configuration des clientsConfiguration des clients
Fréquence de détection Fréquence de détection configurable (du client vers configurable (du client vers le serveur) : le serveur) :
22 heures par défaut; 22 heures par défaut; minimum 1 heure (charge minimum 1 heure (charge sur le serveur)sur le serveur)La durée réelle entre deux La durée réelle entre deux détections sera déterminée détections sera déterminée aléatoirement entre 80% et aléatoirement entre 80% et 100% de la durée 100% de la durée paramétréeparamétrée
Délai de redémarrage et Délai de redémarrage et intervalle avant nouvelle intervalle avant nouvelle demande de redémarrage demande de redémarrage (si redémarrage repoussé)(si redémarrage repoussé)Notification pour les non Notification pour les non administrateurs (en fonction administrateurs (en fonction du mode d’installation)du mode d’installation)
Pas de redémarrage planifié Pas de redémarrage planifié (pour laisser l’utilisateur (pour laisser l’utilisateur redémarrer quand il le veut)redémarrer quand il le veut)Replanifier les installations Replanifier les installations planifiées (ex : 5 min après planifiées (ex : 5 min après redémarrage)redémarrage)Autoriser l’installation Autoriser l’installation immédiate des mises à jour immédiate des mises à jour automatiquesautomatiquesNotifie l’utilisateur si Notifie l’utilisateur si redémarrage nécessaireredémarrage nécessaire
DépannageDépannage
Vérifier le démarrage du serviceVérifier le démarrage du serviceVérifier la configuration du clientVérifier la configuration du client
Via l’interface graphique (Propriétés du Poste de Via l’interface graphique (Propriétés du Poste de travail, onglet Mises à jour automatiques)travail, onglet Mises à jour automatiques)Si stratégie de groupe, vérifier son application Si stratégie de groupe, vérifier son application (gpresult)(gpresult)Si rafraîchissement de stratégie de groupe Si rafraîchissement de stratégie de groupe nécessaire : gpupdate /forcenécessaire : gpupdate /forceLogs : Logs :
Journal des événementsJournal des événements%windir%\WindowsUpdate.log%windir%\WindowsUpdate.log%windir%\SoftwareDistribution\ReportingEvents.log%windir%\SoftwareDistribution\ReportingEvents.log
Forcer une détection : wuauclt.exe /detectnowForcer une détection : wuauclt.exe /detectnowRéinitialiser le cookie et forcer une détection : Réinitialiser le cookie et forcer une détection : wuauclt.exe /resetauthorization /detectnowwuauclt.exe /resetauthorization /detectnow
Windows Server Update Windows Server Update Services (WSUS, ex SUS Services (WSUS, ex SUS
2.0)2.0)
Windows Server Update Windows Server Update Services (WSUS, ex SUS Services (WSUS, ex SUS
2.0)2.0)Serveur de gestion de mises à Serveur de gestion de mises à jourjour
AvertissementAvertissement
Windows Server Update Services Windows Server Update Services (WSUS) n’existe pas encore en version (WSUS) n’existe pas encore en version finale (finale (Release CandidateRelease Candidate seulement) seulement)
Certaines fonctionnalités décrites ici Certaines fonctionnalités décrites ici pourraient changer d’ici à la sortie du pourraient changer d’ici à la sortie du produit (même si c’est peu probable)produit (même si c’est peu probable)
Objectifs de WSUS (SUS 2.0)Objectifs de WSUS (SUS 2.0)
Construire l’infrastructure de base de la Construire l’infrastructure de base de la gestion des mises à jourgestion des mises à jourCréer une solution facile d’utilisation, Créer une solution facile d’utilisation, néanmoins complète, pour télécharger et néanmoins complète, pour télécharger et distribuer des mises à jour de produits distribuer des mises à jour de produits MicrosoftMicrosoft
Critiques ou nonCritiques ou nonRapports centralisésRapports centralisésGarantie de l’installationGarantie de l’installationDépannageDépannageSystèmes ou applicationsSystèmes ou applications
Répondre aux demandes clients par rapport à Répondre aux demandes clients par rapport à la version SUS 1.0 (qui ne prend en charge que la version SUS 1.0 (qui ne prend en charge que les mises à jour critiques ou sécurité de les mises à jour critiques ou sécurité de Windows)Windows)
Les fonctionnalités demandées par Les fonctionnalités demandées par nos clientsnos clients
*En partie possible via le réglage de la fréquence de détection et des scripts
Fonctionnalités demandéesFonctionnalités demandées SUS 1.0 SP1SUS 1.0 SP1 WSUSWSUS
Support des Service PacksSupport des Service Packs Installation sur SBS et sur des contrôleurs de domaineInstallation sur SBS et sur des contrôleurs de domaine Support d’Office et d’autres produits MicrosoftSupport d’Office et d’autres produits Microsoft Support d’autres types de mises à jourSupport d’autres types de mises à jour Désinstallation de mise à jourDésinstallation de mise à jour Ciblage des mises à jourCiblage des mises à jour Amélioration du support pour les réseaux bas débitAmélioration du support pour les réseaux bas débit Réduction de la quantité de données à téléchargerRéduction de la quantité de données à télécharger Réglage de la fréquence de détection des mises à jourRéglage de la fréquence de détection des mises à jour Minimiser l’interruption de l’utilisateurMinimiser l’interruption de l’utilisateur Déploiement d’urgence d’un correctif (‘gros bouton Déploiement d’urgence d’un correctif (‘gros bouton rouge’)rouge’)
**
Déploiement de mises à jour d’autres applications non Déploiement de mises à jour d’autres applications non MicrosoftMicrosoft
Support de NT4Support de NT4
Produits supportésProduits supportés
Client WSUSClient WSUSWindowsWindows
Windows 2000 SP3 +Windows 2000 SP3 +Windows XPWindows XPWindows Server 2003 (SP1 mini pour versions 64 bits)Windows Server 2003 (SP1 mini pour versions 64 bits)
OfficeOfficeOffice XP SP2 et Office 2003Office XP SP2 et Office 2003
SQL ServerSQL ServerSQL 2000 et MSDE 2000SQL 2000 et MSDE 2000
Exchange ServerExchange ServerExchange Server 2003Exchange Server 2003
A terme, plus de produits Microsoft (comme ISA A terme, plus de produits Microsoft (comme ISA Server 2004 par exemple)Server 2004 par exemple)
Produits supportésProduits supportés
Server WSUSServer WSUSWindows Server 2003 (32 bits)Windows Server 2003 (32 bits)
IIS6IIS6BITS 2.0 for Windows Server 2003 (pas encore dispo en BITS 2.0 for Windows Server 2003 (pas encore dispo en version finale)version finale).NET Framework 1.1 SP1 for Windows Server 2003.NET Framework 1.1 SP1 for Windows Server 2003
Windows 2000 Server SP4Windows 2000 Server SP4IIS5IIS5BITS 2.0 for Windows 2000 (pas encore dispo en version BITS 2.0 for Windows 2000 (pas encore dispo en version finale)finale)Base de données 100% compatible SQL Server (ex : Base de données 100% compatible SQL Server (ex : MSDE 2000)MSDE 2000)IE 6.0 SP1IE 6.0 SP1.NET Framework 1.1 avec SP1.NET Framework 1.1 avec SP1
L’administrateur souscrit à certaines catégories de mises à jourLe serveur télécharge les mises à jour depuis Microsoft UpdateLes clients s’enregistrent auprès du serveurL’administrateur met les clients dans différents groupes cibles
L’administrateur approuve les mises à jourLes clients installent les mises à jour approuvées par l’administrateur
< Back Finish Cancel
Windows Update ServicesWindows Update Services
< Back Finish Cancel
Windows Update ServicesWindows Update Services
Microsoft Update(utilise WSUS)
Serveur WSUS
Postes de travail (clients WSUS) Groupe cible 1
Serveurs (clients WSUS)Groupe cible 2
Administrateur WSUS
Aperçu de la solution WSUSAperçu de la solution WSUS
Client AUClient AU
Possibilité de mise à jour silencieuse du Possibilité de mise à jour silencieuse du client à partir du serveur WSUSclient à partir du serveur WSUS
Configurer les Mises à jour Configurer les Mises à jour automatiques (AutoUpdate) en automatiques (AutoUpdate) en spécifiant un serveur intranet de Mise à spécifiant un serveur intranet de Mise à jour Microsoftjour Microsoft
Ciblage (GPO ou pas)Ciblage (GPO ou pas)
Attention : Windows XP sans Service Attention : Windows XP sans Service PackPack
Pré-installation (Pré-installation (selfupdateselfupdate))
Groupes ciblesGroupes cibles
Utilité : cibler des mises à jour sur des Utilité : cibler des mises à jour sur des machines spécifiquesmachines spécifiques
Groupe cible de testGroupe cible de testGroupe cible de productionGroupe cible de production
Deux types de ciblageDeux types de ciblageCôté serveurCôté serveur
L’administrateur WSUS gère l’appartenance aux groupes L’administrateur WSUS gère l’appartenance aux groupes depuis le site d’administration (listes sur le serveur)depuis le site d’administration (listes sur le serveur)
Côté clientCôté clientAppartenance gérée automatiquementAppartenance gérée automatiquement
En utilisant des stratégies de groupe En utilisant des stratégies de groupe Ex : même groupe cible pour toutes les machines d’une même UO Ex : même groupe cible pour toutes les machines d’une même UO d’Active Directory) ou groupe cible attribué par GPO filtré selon les d’Active Directory) ou groupe cible attribué par GPO filtré selon les groupes Active Directorygroupes Active Directory
En utilisant le registreEn utilisant le registre
Abonnements (Abonnements (subscriptions)subscriptions)
Permet de choisir quelles mises à jour Permet de choisir quelles mises à jour télécharger et quandtélécharger et quand
Produit / Type de mise à jour (sécu, SP,FP, Produit / Type de mise à jour (sécu, SP,FP, pilote,etc…)pilote,etc…)En fait une mise à jour est composée de deux En fait une mise à jour est composée de deux élémentséléments
Un correctifUn correctifLes méta données décrivant le correctifLes méta données décrivant le correctif
Par défaut :Par défaut :seules les méta données sont téléchargées (catalogue)seules les méta données sont téléchargées (catalogue)les correctifs sont téléchargés s’ils sont approuvés les correctifs sont téléchargés s’ils sont approuvés (contenu)(contenu)
Abonnements Abonnements Planifié (récurrent)Planifié (récurrent)ManuelManuel
Approbation de mise à jourApprobation de mise à jour
Vérification avant déploiement (Vérification avant déploiement (détectiondétection))Évalue l’impact d’une mise à jour sur le Évalue l’impact d’une mise à jour sur le réseau avant qu’elle ne soit déployéeréseau avant qu’elle ne soit déployée
Au niveau de l’approbation d’une mise à jour, Au niveau de l’approbation d’une mise à jour, choisir l’action choisir l’action Detect onlyDetect onlyAprès un cycle de détection des clients, la Après un cycle de détection des clients, la rubrique rubrique StatusStatus de la mise à jour indique le de la mise à jour indique le nombre de machines qui nécessitent la mise à journombre de machines qui nécessitent la mise à jour
Installation lors de la prochaine date planifiéeInstallation lors de la prochaine date planifiéeInstallation avec date butoir (passée une date Installation avec date butoir (passée une date donnée, l’installation devient obligatoire si on donnée, l’installation devient obligatoire si on utilise AU quel que soit le mode, auto ou pas)utilise AU quel que soit le mode, auto ou pas)Désinstallation (nécessite que la mise à jour Désinstallation (nécessite que la mise à jour le supporte)le supporte)
Approbation automatique ?Approbation automatique ?
Par défaut, « détection » automatique pourPar défaut, « détection » automatique pourLes mises à jour critiques et de sécuritéLes mises à jour critiques et de sécuritéTous les groupes ciblesTous les groupes cibles
Par défaut, aucune approbation Par défaut, aucune approbation automatique pour l’installationautomatique pour l’installation
On pourrait choisir des types de mises à jour, et On pourrait choisir des types de mises à jour, et des groupes ciblesdes groupes cibles
En cas de révision d’une mise à jour, la En cas de révision d’une mise à jour, la nouvelle version obtient le même niveau nouvelle version obtient le même niveau d’approbation que l’ancienne (désactivable d’approbation que l’ancienne (désactivable pour effectuer un choix manuel)pour effectuer un choix manuel)
RapportsRapports
Rapport standard consolidé (activités Rapport standard consolidé (activités clients)clients)
Par machine / par mise à jour / par groupe Par machine / par mise à jour / par groupe ciblecible
Succès et échecs des téléchargements et Succès et échecs des téléchargements et installations avec les détails sur les erreursinstallations avec les détails sur les erreurs
Rapport sur les synchrosRapport sur les synchrosNouveautés, changementsNouveautés, changements
Installation avec date butoirInstallation avec date butoir
CommunicationsCommunications
Configuration des paramètres de proxyConfiguration des paramètres de proxyFaible utilisation de la bande passanteFaible utilisation de la bande passante
BITS pour les téléchargements client-serveur BITS pour les téléchargements client-serveur et serveur-serveuret serveur-serveurMise à jour par “abonnement” (par Mise à jour par “abonnement” (par produit/par type) produit/par type) Support des technologies “delta compression” Support des technologies “delta compression” Téléchargement dissocié des correctifs et de Téléchargement dissocié des correctifs et de leurs méta donnéesleurs méta donnéesPort utilisé : 80 ou 8530 (attention, dans ce Port utilisé : 80 ou 8530 (attention, dans ce cas pour mettre à jour de « vieux » clients, il cas pour mettre à jour de « vieux » clients, il faut maintenir un site sur le port 80)faut maintenir un site sur le port 80)
Options de déploiement des Options de déploiement des serveursserveurs
Déploiement hiérarchiqueDéploiement hiérarchiqueServeurs indépendantsServeurs indépendants
Serveurs miroirs (« replica »)Serveurs miroirs (« replica »)
Serveurs non connectés à InternetServeurs non connectés à Internet
ProcédureProcédure
S’assurer que sur les serveurs les options S’assurer que sur les serveurs les options avancées de synchronisation (installation avancées de synchronisation (installation express, langues) sont les mêmesexpress, langues) sont les mêmes
Pas de problème pour le planning, les catégories Pas de problème pour le planning, les catégories de produits, le proxy…de produits, le proxy…
Copier les mises à jour depuis \WSUS\Copier les mises à jour depuis \WSUS\WSUSContent (utilitaire de sauvegarde de WSUSContent (utilitaire de sauvegarde de Windows, en mode incrémental par ex.)Windows, en mode incrémental par ex.)Exporter les méta données de la base de Exporter les méta données de la base de donnéesdonnées
WSUSutil.exe (32 bits seulement; il faut être WSUSutil.exe (32 bits seulement; il faut être admin)admin)
Copier le contenu sur le serveur destinationCopier le contenu sur le serveur destinationPuis importer les méta données avec Puis importer les méta données avec WSUSutil.exeWSUSutil.exe
StockageStockage
Base de données pour gérer tout ce qui n’est Base de données pour gérer tout ce qui n’est pas contenupas contenuPrise en compte des dépendances entre les Prise en compte des dépendances entre les mises à jourmises à jourMSDE vs SQL ServerMSDE vs SQL Server
MSDE a une limite de 2GoMSDE a une limite de 2GoMises à jour hébergées sur Microsoft Update Mises à jour hébergées sur Microsoft Update (WSUS sert alors seulement de point de (WSUS sert alors seulement de point de contrôle) ou en localcontrôle) ou en localFiltrage de contenu Filtrage de contenu
Ne garder que les plateformes et langues dont Ne garder que les plateformes et langues dont vous avez besoinvous avez besoin
DimensionnementDimensionnementPrévoir une croissance annuelle x nb de languesPrévoir une croissance annuelle x nb de langues
Sécurité, flexibilitéSécurité, flexibilité
Sur le client et sur le serveur Sur le client et sur le serveur Vérification de signature des contenus téléchargés Vérification de signature des contenus téléchargés
Permissions sur les contenus téléchargésPermissions sur les contenus téléchargés
Changement des portsChangement des portsSauf pour contacter MUSauf pour contacter MU
Infrastructure et plateformeInfrastructure et plateformeOption en ligne de commande pour déclencher Option en ligne de commande pour déclencher une détection côté client : wuauclt.exe /detectnowune détection côté client : wuauclt.exe /detectnow
API du client en COM exécutables à distance et API du client en COM exécutables à distance et scriptablesscriptables
API du serveur basées sur .Net FrameworkAPI du serveur basées sur .Net Framework
Exemple de scriptExemple de script
Le serveur et le client exposent tous les deux Le serveur et le client exposent tous les deux des API scriptablesdes API scriptables
Dim update, iDim update, iset AutoUpdate = CreateObject("Microsoft.Update.AutoUpdate")set AutoUpdate = CreateObject("Microsoft.Update.AutoUpdate")Autoupdate.DetectNow()Autoupdate.DetectNow()set UpdateSession = CreateObject("Microsoft.Update.Session")set UpdateSession = CreateObject("Microsoft.Update.Session")set UpdateSearcher = UpdateSession.CreateUpdateSearcher()set UpdateSearcher = UpdateSession.CreateUpdateSearcher()set SearchResult= UpdateSearcher.Search("")set SearchResult= UpdateSearcher.Search("")set Updates = SearchResult.Updatesset Updates = SearchResult.Updatesset UpdatesToInstall = set UpdatesToInstall =
CreateObject("Microsoft.Update.UpdateColl")CreateObject("Microsoft.Update.UpdateColl")For i = 0 to (Updates.Count-1)For i = 0 to (Updates.Count-1)
UpdatesToInstall.Add(Updates.Item(i))UpdatesToInstall.Add(Updates.Item(i))NextNextset Installer = UpdateSession.CreateUpdateInstaller()set Installer = UpdateSession.CreateUpdateInstaller()Installer.Updates = UpdatesToInstallInstaller.Updates = UpdatesToInstallset InstallationResult = Installer.Install()set InstallationResult = Installer.Install()
Détection
Approbation
Installation
Dimensionnement du serveurDimensionnement du serveur
Jusqu’à 500 clients
MinimumMinimum RecommandéRecommandé
ProcesseurProcesseur 750 MHz750 MHz 1 GHz ou +1 GHz ou +
RAMRAM 512 Mo512 Mo 1 Go1 Go
Base de donnéesBase de données WMSDE/MSDEWMSDE/MSDE WMSDE/MSDEWMSDE/MSDE
De 500 à 15 000 clients
MinimumMinimum RecommandéRecommandé
ProcesseurProcesseur 1 GHz ou +1 GHz ou + Bi-processeur à 3 Bi-processeur à 3 GHz ou + (2 GHz ou + (2 processeurs pour processeurs pour plus de 10 000 plus de 10 000 clients)clients)
RAMRAM 1 Go1 Go 1 GB1 GB
Base de donnéesBase de données SQL Server 2000 SQL Server 2000 SP3aSP3a
SQL Server 2000 SQL Server 2000 SP3aSP3a
Espace disqueEspace disque
NTFS requisNTFS requis
Partition système : 1 Go libre au moinsPartition système : 1 Go libre au moins
Partition stockant le contenu WSUS : 6 Partition stockant le contenu WSUS : 6 Go mini (30 Go recommandés)Go mini (30 Go recommandés)
Partition où la base de données sera Partition où la base de données sera installée : 2 Go minimuminstallée : 2 Go minimum
InstallationInstallation
Vue des différentes étapes de Vue des différentes étapes de l’assistant d’installation (document l’assistant d’installation (document Step by step guide to getting started Step by step guide to getting started with Microsoft Windows Server Update with Microsoft Windows Server Update Services)Services)
*utilisation de Windows Update, d'un autre outil de mise à jour ou mise à jour manuelle pour les systèmes et applications non supportés *utilisation de Windows Update, d'un autre outil de mise à jour ou mise à jour manuelle pour les systèmes et applications non supportés par WSUS ou Microsoft Updatepar WSUS ou Microsoft Update
ClientClient ScénarioScénario ChoixChoix
Grande ou Grande ou moyenne moyenne entrepriseentreprise
Besoin d'une solution unique et flexible de gestion Besoin d'une solution unique et flexible de gestion des mises à jour avec un niveau élevé de contrôle des mises à jour avec un niveau élevé de contrôle et de distribution pour TOUTES les versions de et de distribution pour TOUTES les versions de Windows et d'applications, ainsi qu'une solution de Windows et d'applications, ainsi qu'une solution de gestion du parc intégrégestion du parc intégré
SMS 2003SMS 2003
Besoin seulement d'une solution de mise à Besoin seulement d'une solution de mise à jour simple pour les produits Microsoft, et jour simple pour les produits Microsoft, et dans un premier temps Windows (2000 et dans un premier temps Windows (2000 et ultérieur), Office (2003 & XP), Exchange ultérieur), Office (2003 & XP), Exchange 2003, SQL Server 2000 et MSDE 20002003, SQL Server 2000 et MSDE 2000
WSUSWSUS**
Petite Petite entrepriseentreprise
Au moins un serveur et un administrateurAu moins un serveur et un administrateur WSUSWSUS**
Tous les autres scénariosTous les autres scénarios Microsoft Microsoft UpdateUpdate**
ConsommateConsommateurur Tous les scénariosTous les scénarios Microsoft Microsoft
UpdateUpdate**
Choisir une solution de Choisir une solution de gestion des correctifsgestion des correctifs
Migration de SUS1 vers WSUSMigration de SUS1 vers WSUS
Pas de mise à jour mais une migration Pas de mise à jour mais une migration des mises à jour et des approbations des mises à jour et des approbations (et c’est tout)(et c’est tout)
WSUSutil.exeWSUSutil.exe
SUS1 et WSUS peuvent cohabiter sur SUS1 et WSUS peuvent cohabiter sur un même serveurun même serveur
RessourcesRessourcesRessourcesRessources
RéférencesRéférences
Site sécurité :Site sécurité :http://www.microsoft.com/france/securitehttp://www.microsoft.com/france/securite Questions : [email protected] : [email protected] des mises à jour de sécurité :Gestion des mises à jour de sécurité :http://www.microsoft.com/france/technet/securite/http://www.microsoft.com/france/technet/securite/gestionmaj/default.aspgestionmaj/default.asp Site WSUS (en anglais) : Site WSUS (en anglais) : http://www.microsoft.com/http://www.microsoft.com/windowsserversystem/updateserviceswindowsserversystem/updateservices
Version RC : Version RC : http://www.microsoft.com/windowsserversystem/updateservicehttp://www.microsoft.com/windowsserversystem/updateservices/evaluation/trial/default.mspxs/evaluation/trial/default.mspx
Téléchargement des fichiers d’installationTéléchargement des fichiers d’installationLivres blancsLivres blancs
Step-by-Step Guide to Getting Started with Microsoft Windows Server Step-by-Step Guide to Getting Started with Microsoft Windows Server Update ServicesUpdate ServicesDeploying Microsoft Windows Server Update ServicesDeploying Microsoft Windows Server Update ServicesMicrosoft Windows Server Update Services Operations GuideMicrosoft Windows Server Update Services Operations Guide
Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec
91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex
www.microsoft.com/france
0 825 827 8290 825 827 829
[email protected]@microsoft.com
ComplémentsComplémentsComplémentsCompléments
Windows Server Update Windows Server Update ServicesServicesex SUS 2.0ex SUS 2.0
Logiciel gratuit* de gestion des mises à jour (sécurité Logiciel gratuit* de gestion des mises à jour (sécurité ou non) de produits Microsoftou non) de produits Microsoft
Critiques ou nonCritiques ou nonRapports centralisésRapports centralisésGarantie de l’installationGarantie de l’installationDépannageDépannageSystèmes ou applicationsSystèmes ou applications
S’appuie sur Microsoft UpdateS’appuie sur Microsoft Update
* Nécessite des CAL si utilisé sur autre chose * Nécessite des CAL si utilisé sur autre chose qu’un Windows Server qu’un Windows Server 2003 Web Edition2003 Web Edition
AU dans XP sans aucun AU dans XP sans aucun Service PackService Pack
Security Development Lifecycle Security Development Lifecycle (SDL)(SDL)
http://msdn.microsoft.com/security/defahttp://msdn.microsoft.com/security/default.aspx?pull=/library/en-us/dnsecure/htult.aspx?pull=/library/en-us/dnsecure/html/sdl.aspml/sdl.asp
Postes de travail Clients
Postes de travail Clients
Serveurs WSUSServeurs WSUS
Microsoft Update
Serveur WSUS
Serveur WSUS
Postes de travail Clients
Serveurs non connectésServeurs non connectés
Microsoft Update
Serveur WSUS
Serveur WSUS (autonome)Importation et exportation
manuelles
Mises à jour de serveursMises à jour de serveursSuggestionsSuggestions
Définir des groupes cibles (GPO ou Définir des groupes cibles (GPO ou interface d’administration WSUS)interface d’administration WSUS)
Configurer les clients Mises à jour Configurer les clients Mises à jour automatiques (GPO ou registre)automatiques (GPO ou registre)
Installation auto ou notification avant Installation auto ou notification avant installationinstallation
Si notification, ouverture de session ou Si notification, ouverture de session ou script pour installationscript pour installation
Mises à jour de serveursMises à jour de serveursSuggestionsSuggestions
Pour les serveurs avec des fenêtres de Pour les serveurs avec des fenêtres de maintenance, configurer les Mises à maintenance, configurer les Mises à jour automatiques pour une installation jour automatiques pour une installation planifiée durant la fenêtreplanifiée durant la fenêtre
Pour les serveurs sans créneaux de Pour les serveurs sans créneaux de maintenance : maintenance :
Configurer les Mises à jour automatiques Configurer les Mises à jour automatiques pour notifier avant l’installationpour notifier avant l’installation
Ouvrir une session sur le serveur ou utiliser Ouvrir une session sur le serveur ou utiliser les API pour effectuer l’installation lorsque les API pour effectuer l’installation lorsque c’est nécessairec’est nécessaire
Mises à jour de serveursMises à jour de serveursSuggestionsSuggestions
DatacentersDatacentersUtiliser les stratégies BITS pour limiter la Utiliser les stratégies BITS pour limiter la bande passante et les fenêtres de bande passante et les fenêtres de téléchargementtéléchargement
Configurer les Mises à jour automatiques Configurer les Mises à jour automatiques pour notifier avant l’installationpour notifier avant l’installation
Utiliser les API pour effectuer l’installation Utiliser les API pour effectuer l’installation lorsque c’est nécessaire lorsque c’est nécessaire
ClustersClustersScripter la mise à jour nœud après noeudScripter la mise à jour nœud après noeud
SuggestionsSuggestions
Nombre de serveurs ? Organisation ?Nombre de serveurs ? Organisation ?Hiérarchie ou pas Hiérarchie ou pas
Mode replica (miroir) ou pas (se définit à Mode replica (miroir) ou pas (se définit à l’installation seulement)l’installation seulement)
Attention : il est conseillé de ne pas Attention : il est conseillé de ne pas dépasser 3 niveaux dans la hiérarchie pour dépasser 3 niveaux dans la hiérarchie pour des questions de latence de propagation des questions de latence de propagation des mises à jourdes mises à jour
SuggestionsSuggestions
Connexion à Microsoft UpdateConnexion à Microsoft UpdateConfiguration d’un proxy (éventuellement compte + mot de Configuration d’un proxy (éventuellement compte + mot de passe)passe)Ouverture du pare-feuOuverture du pare-feu
HTTP 80 et HTTPS 443 pour joindre les serveurs Microsoft sur le HTTP 80 et HTTPS 443 pour joindre les serveurs Microsoft sur le WebWebListe des domaines :Liste des domaines :
·· http://windowsupdate.microsoft.com http://windowsupdate.microsoft.com ·· http://*.windowsupdate.microsoft.com http://*.windowsupdate.microsoft.com ·· https://*.windowsupdate.microsoft.com https://*.windowsupdate.microsoft.com ·· http://*.update.microsoft.com http://*.update.microsoft.com ·· https://*.update.microsoft.com https://*.update.microsoft.com ·· http://*.windowsupdate.com http://*.windowsupdate.com ·· http://download.windowsupdate.comhttp://download.windowsupdate.com·· http://download.microsoft.com http://download.microsoft.com ·· http://*.download.windowsupdate.com http://*.download.windowsupdate.com ·· http://wustat.windows.com http://wustat.windows.com ·· http://ntservicepack.microsoft.comhttp://ntservicepack.microsoft.com
SuggestionsSuggestions
Filtre d’URL (type URLScan), si vous Filtre d’URL (type URLScan), si vous l’utilisez, il faut :l’utilisez, il faut :
autoriser les extensions de type .exe (les autoriser les extensions de type .exe (les enlever de la section [DenyExtensions]enlever de la section [DenyExtensions]
Autoriser dans [AllowVerbs]Autoriser dans [AllowVerbs]GETGET
HEADHEAD
POSTPOST
OPTIONSOPTIONS
SuggestionsSuggestions
Limiter la bande passante et l’espace Limiter la bande passante et l’espace disquedisque
Choix des types de mise à jour dans Choix des types de mise à jour dans l’abonnement l’abonnement
Choix des languesChoix des langues
Télécharger seulement les méta-données Télécharger seulement les méta-données sans les correctifs (les correctifs sont sans les correctifs (les correctifs sont téléchargés quand ils sont approuvés)téléchargés quand ils sont approuvés)
Utiliser les installations express (deltas) ou Utiliser les installations express (deltas) ou paspas
SuggestionsSuggestions
AbonnementsAbonnements
Fréquence de mise à jour des abonnements : Fréquence de mise à jour des abonnements : quotidienne pour mises à jour de sécurité, quotidienne pour mises à jour de sécurité, hebdo pour mises à jour normales, hebdo pour mises à jour normales, mensuelle/trimestrielle pour les pilotesmensuelle/trimestrielle pour les pilotes
Groupes ciblesGroupes cibles
Diviser les machines par catégories de Diviser les machines par catégories de machines relativement homogènesmachines relativement homogènes
A l’intérieur de chaque catégorie, définir un A l’intérieur de chaque catégorie, définir un groupe Pilote et un groupe Productiongroupe Pilote et un groupe Production
Préférer la répartition par GPO plutôt que par Préférer la répartition par GPO plutôt que par clé de registreclé de registre
Configuration du clientConfiguration du clientSuggestionsSuggestions
Choix de l’installation automatisée Choix de l’installation automatisée (sauf exceptions, dans ce cas obliger à (sauf exceptions, dans ce cas obliger à utiliser AutoUpdate sans forcer le utiliser AutoUpdate sans forcer le moment de l’installation)moment de l’installation)
Appartenance à un groupe cible : via Appartenance à un groupe cible : via GPOGPO
Configuration du clientConfiguration du clientSuggestionsSuggestions
Choix de l’heure d’installation (possibilité de Choix de l’heure d’installation (possibilité de répartir les heures selon les machines via GPO, ce répartir les heures selon les machines via GPO, ce qui laisse l’occasion d’étaler l’installation sur le qui laisse l’occasion d’étaler l’installation sur le groupe Production et éventuellement de détecter groupe Production et éventuellement de détecter d’éventuels problèmes)d’éventuels problèmes)
Fréquence de détection configurable (du client Fréquence de détection configurable (du client vers le serveur, de 1H à 22H, par défaut 22H et vers le serveur, de 1H à 22H, par défaut 22H et durée effective tirée aléatoirement entre 80% et durée effective tirée aléatoirement entre 80% et 100% de la durée indiquée) : 12H pour la 100% de la durée indiquée) : 12H pour la production et 1H pour le Piloteproduction et 1H pour le Pilote
Délai de redémarrage et intervalle avant nouvelle Délai de redémarrage et intervalle avant nouvelle demande de redémarrage (si redémarrage demande de redémarrage (si redémarrage repoussé) : 45 minrepoussé) : 45 min
Configuration du clientConfiguration du clientSuggestionsSuggestions
Notification pour les non Notification pour les non administrateurs (en fonction du mode administrateurs (en fonction du mode d’installation) : désactivéd’installation) : désactivéPas de redémarrage planifié (pour Pas de redémarrage planifié (pour laisser l’utilisateur redémarrer quand il laisser l’utilisateur redémarrer quand il le veut) : désactivéle veut) : désactivéReplanifier les installations planifiées Replanifier les installations planifiées (après redémarrage) : 25 min(après redémarrage) : 25 minAutoriser l’installation immédiate des Autoriser l’installation immédiate des mises à jour automatiques : oui sur le mises à jour automatiques : oui sur le Pilote, non sur la productionPilote, non sur la production
Approbation de mise à jourApprobation de mise à jourSuggestionsSuggestions
Vérification avant déploiement (détection) : à Vérification avant déploiement (détection) : à utiliser largement sur Productionutiliser largement sur Production
Installation : pour les mises à jour normalesInstallation : pour les mises à jour normales
Installation avec date butoir : pour les mises à Installation avec date butoir : pour les mises à jour de sécurité critiques (la positionner à date de jour de sécurité critiques (la positionner à date de sortie du bulletin + 9 jours)sortie du bulletin + 9 jours)
Désinstallation : à vérifier via rapports après coup Désinstallation : à vérifier via rapports après coup (cycle complet de détection, soit 22H par défaut)(cycle complet de détection, soit 22H par défaut)
Re-approbation automatique (utiliser ou non Re-approbation automatique (utiliser ou non automatiquement la nouvelle révision de mise à automatiquement la nouvelle révision de mise à jour) : désactivé (attention : surveiller jour) : désactivé (attention : surveiller l’occurrence de ces mises à jour)l’occurrence de ces mises à jour)
AutresAutresSuggestionsSuggestions
DépannageDépannageCôté client : option en ligne de commande pour déclencher Côté client : option en ligne de commande pour déclencher une détection côté client : une détection côté client : wuauclt.exe /detectnowwuauclt.exe /detectnowLecture des logsLecture des logs
Rapports consolidés de l’activité des clientsRapports consolidés de l’activité des clientsPar machine / par mise à jour / par groupe ciblePar machine / par mise à jour / par groupe cibleSuccès et échecs des téléchargements et installations avec Succès et échecs des téléchargements et installations avec les détails sur les erreursles détails sur les erreurs
Rapport sur les synchrosRapport sur les synchrosNouveautés, changementsNouveautés, changements
Surveillance de la santé du serveurSurveillance de la santé du serveurServeur Update Services déconnecté d’Internet Serveur Update Services déconnecté d’Internet (script manuel de synchro)(script manuel de synchro)
Mise en place de SSL ?Mise en place de SSL ?
Pour protéger le transfert des méta donnéesPour protéger le transfert des méta donnéesNe pas appliquer sur tout le site car une partie du trafic doit se Ne pas appliquer sur tout le site car une partie du trafic doit se faire en HTTP (en clair)faire en HTTP (en clair)
SSL surSSL surSimpleAuthWebServiceSimpleAuthWebServiceDSSAuthWebServiceDSSAuthWebServiceServerSyncWebServiceServerSyncWebServiceWSUSAdminWSUSAdminClientWebServiceClientWebService
Mais pas surMais pas surContentContentReportingWebServiceReportingWebServiceSelfUpdateSelfUpdate
Port : 443 ou 8531 (si port personnalisé en 8530 pour le trafic Port : 443 ou 8531 (si port personnalisé en 8530 pour le trafic normal)normal)Sur les serveurs subordonnés, importer le certificat dans le Sur les serveurs subordonnés, importer le certificat dans le magasin des autorités de certification racines de confiance de magasin des autorités de certification racines de confiance de l’ordinateur local ou dans le magasin des autorités de certification l’ordinateur local ou dans le magasin des autorités de certification racines de confiance de Windows Server Update Servicesracines de confiance de Windows Server Update Services
Mise en place de SSL ?Mise en place de SSL ?
InconvénientsInconvénientsPerte de 10% de performance sur le serveurPerte de 10% de performance sur le serveurLa connexion entre le serveur et la base de La connexion entre le serveur et la base de données n’utilise pas SSLdonnées n’utilise pas SSL
Les mettre sur la même machineLes mettre sur la même machineOu sur un même réseau privéOu sur un même réseau privéOu utiliser IPsecOu utiliser IPsec
Configuration des clientsConfiguration des clientsChanger l’URL du serveur WSUS (ex : Changer l’URL du serveur WSUS (ex : https://monserveurWSUS)https://monserveurWSUS)Importation du certificat dans le magasin des Importation du certificat dans le magasin des autorités de certification racines de confiance de autorités de certification racines de confiance de l’ordinateur local ou dans le magasin des autorités l’ordinateur local ou dans le magasin des autorités de certification racines de confiance du service de certification racines de confiance du service Mises à jour automatiquesMises à jour automatiques
Comparaison de MU, WSUS et SMS 2003Comparaison de MU, WSUS et SMS 2003CapacitéCapacité Microsoft UpdateMicrosoft Update WSUSWSUS SMS 2003SMS 2003Logiciels et contenus supportésLogiciels et contenus supportés
Logiciels supportés pour Logiciels supportés pour le contenule contenu
Pareil que WSUS + WinXP Pareil que WSUS + WinXP édition familialeédition familiale
Win2K, WS2003, WinXP Pro, Win2K, WS2003, WinXP Pro, Office 2003, Office XP, Office 2003, Office XP, Exchange 2003, SQL Server Exchange 2003, SQL Server 2000, MSDE2000, MSDE
Idem WSUS + NT 4.0 & Win98 + Idem WSUS + NT 4.0 & Win98 + peut mettre à jour n’importe quel peut mettre à jour n’importe quel logiciel fonctionnant sur Windowslogiciel fonctionnant sur Windows
Types de contenu Types de contenu supportéssupportés
Toutes les mises à jour de Toutes les mises à jour de logiciels, mises à jour logiciels, mises à jour critiques de pilotes, Service critiques de pilotes, Service Packs & Feature PacksPacks & Feature Packs
Toutes les mises à jour de Toutes les mises à jour de logiciels, mises à jour critiques logiciels, mises à jour critiques de pilotes, Service Packs & de pilotes, Service Packs & Feature PacksFeature Packs
Toutes les mises à jour de Toutes les mises à jour de logiciels, Service Packs & Feature logiciels, Service Packs & Feature PacksPacks+ support la mise à jour et + support la mise à jour et l’installation d’appli Windowsl’installation d’appli Windows
Capacités de gestion des mises à jourCapacités de gestion des mises à jour
Ciblage de contenu Ciblage de contenu à certains systèmesà certains systèmes N/AN/A SimpleSimple AvancéAvancé
Optimisation de la Optimisation de la bande passante bande passante réseauréseau
OuiOui OuiOui Oui Oui
Contrôle de la Contrôle de la distribution des distribution des correctifscorrectifs
N/AN/A SimpleSimple AvancéAvancé
Installation de Installation de correctif & correctif & flexibilité de la flexibilité de la planificationplanification
Manuelle & contrôlée Manuelle & contrôlée par l’utilisateur finalpar l’utilisateur final SimpleSimple AvancéAvancé
Rapport sur les Rapport sur les installations de installations de correctifscorrectifs
Erreurs d’installation Erreurs d’installation rapportées à rapportées à l’utilisateur. Liste les l’utilisateur. Liste les mises à jour mises à jour manquantes pour la manquantes pour la machine connectéemachine connectée
SimpleSimple AvancéAvancé
Planification du Planification du déploiementdéploiement N/AN/A SimpleSimple AvancéAvancé
Gestion de Gestion de l’inventairel’inventaire N/AN/A NonNon OuiOui
Vérification de Vérification de conformitéconformité N/AN/A Non – rapport de statut Non – rapport de statut
seulementseulement AvancéAvancé