88
1 Déployer les correctifs et maintenir son parc informatique à jour avec 3.0

Déployer les correctifs et maintenir son parc informatique à jour avec

  • Upload
    vance

  • View
    41

  • Download
    0

Embed Size (px)

DESCRIPTION

Déployer les correctifs et maintenir son parc informatique à jour avec. 3.0. Qu’est ce que ?. Un site Web très orienté technique http://www.microsoft.com/france/technet/default.mspx Une newsletter personnalisable - PowerPoint PPT Presentation

Citation preview

Page 1: Déployer les correctifs et maintenir son parc informatique  à jour avec

1

Déployer les correctifs et maintenir son parc informatique à jour avec

3.0

Page 2: Déployer les correctifs et maintenir son parc informatique  à jour avec

2

• Un site Web très orienté technique– http://www.microsoft.com/france/technet/default.mspx

• Une newsletter personnalisable– http://www.microsoft.com/france/technet/presentation/flash/default.mspx

• Des séminaires techniques toute l’année, partout en France– http://www.microsoft.com/france/technet/seminaires/seminaires.mspx

• Des webcasts et e-démos accessibles à tout instant– http://www.microsoft.com/france/technet/seminaires/webcasts.mspx

• Un abonnement– http://www.microsoft.com/france/technet/presentation/cd/default.mspx

Qu’est ce que ?

Page 3: Déployer les correctifs et maintenir son parc informatique  à jour avec

3

Logistique

Pause en milieu de session

Vos questions sont les bienvenues.N’hésitez pas !

Feuille d’évaluation à remettre remplie en fin de session

Commodités

Merci d’éteindre vos téléphones

Page 4: Déployer les correctifs et maintenir son parc informatique  à jour avec

4

Quelles sont les nouveautés de la version 3.0 et comment déployer ou migrer vers WSUS 3.0 ?

Objectif du séminaire

Page 5: Déployer les correctifs et maintenir son parc informatique  à jour avec

5

Agenda

• Introduction• Les basiques de WSUS 3.0• Mettre à niveau vers WSUS 3.0• Déployer des mises à jour• Maintenir WSUS• Conclusion et Questions & Réponses

Page 6: Déployer les correctifs et maintenir son parc informatique  à jour avec

6

INTRODUCTION

Page 7: Déployer les correctifs et maintenir son parc informatique  à jour avec

7

Vie et mort d’une vulnérabilité…

La plupart des exploits sont conçues après la mise à disposition du

correctif

Les attaques se produisent majoritairement ici

Produitinstallé

Vulnérabilitédécouverte

Composantcorrigé

Correctifpublié

Correctif déployéchez les clients

Ignorance Signalement Modulo cycle depublication mensuel

Test, intégrationet déploiement

Mesure traditionnelle de la vulnérabilité

Vulnérabilité à une attaque générale

Vulnérabilité théorique

Vulnérabilitépublique

Page 8: Déployer les correctifs et maintenir son parc informatique  à jour avec

8

► Prolifération des correctifs

► Temps avant exploitation en baisse

► Exploitations plussophistiquée

► L’approche classique n’est pas suffisante

151180

331

BlasterWelchia/ Nachi

Nimda

25SQL

Slammer

Nombre de jours entre le correctif et

l’exploitation

Constats à la suite des vers Blaster et Sasser

18Sasser

Le nombre de jours entre la sortie du correctif et l’exploitation de la vulnérabilité a tellement diminué

(hors cas des zero-days exploits) que la seule solution défense restant aux entreprises consiste à appliquer les

correctifs.

Page 9: Déployer les correctifs et maintenir son parc informatique  à jour avec

9

La gestion des correctifs : un problème de l’industrie du logiciel

Tous les acteurs sont concernés !!

Page 10: Déployer les correctifs et maintenir son parc informatique  à jour avec

10

Produits, outilset automatisation

Cohérents et répétitifs

Compétences, rôles et responsabilités

Processus

PersonnesTechnologies

Gestion réussie des correctifs

Page 11: Déployer les correctifs et maintenir son parc informatique  à jour avec

11

1. Évaluer l'environnement auquel les correctifs doivent être appliqués

A. Créer/tenir à jour des systèmes de référence

B. Évaluer l'architecture de gestion des correctifs

C. Passer en revue l'infrastructure/la configuration

1. Analyser 2. Identifier

4. Déployer 3. Évaluer et planifier

2. Identifier de nouveaux correctifs

A. Identifier de nouveaux correctifs

B. Déterminer la pertinence des correctifs

C. Vérifier l'authenticité et l'intégrité des correctifs

3. Évaluer les correctifs et planifierleur déploiement

A. Obtenir l'approbation nécessaire pour déployer

B. Évaluer les risquesC. Tester les correctifsD. Planifier la publication

4. Déployer le correctif

A. Distribuer et installer le correctifB. Rédiger un rapport sur l'avancementC. Traiter les exceptionsD. Passer en revue le déploiement

Le processus de gestion des correctifs en entreprise : méthodes recommandées

Processus de gestion des correctifs

Page 12: Déployer les correctifs et maintenir son parc informatique  à jour avec

12

Guides Microsoft de gestion des risques et des correctifs Guide de gestion des risques de sécurité

Introduction au guide de gestion des risques de sécurité

Étude des pratiques de gestion des risques de sécurité

Présentation de la gestion des risques de sécurité

Évaluation des risques Aide à la décision Mise en place de contrôles et mesure de

l'efficacité du programme http://www.microsoft.com/france/technet/securite/guidance/

default.mspx Guide de gestion des correctifs

Phase 1 – Analyse Phase 2 – Identification Phase 3 - Évaluation et planification Phase 4 – Déploiement

http://www.microsoft.com/france/securite/it/dossiers/correctifs/default.mspx

Page 13: Déployer les correctifs et maintenir son parc informatique  à jour avec

13

Microsoft Baseline Security

Analyzer 2.1

Microsoft Update

Gestion des mises à jourQuelles solutions ?

A la maison

Petites et Moyennes Entreprise

Grandes Entreprises

Page 14: Déployer les correctifs et maintenir son parc informatique  à jour avec

14

WINDOWS SERVER UPDATE SERVICES 3.0

Page 15: Déployer les correctifs et maintenir son parc informatique  à jour avec

15

Windows Software Update Services• Offre d’entreprise de gestion des mises à jour• Solution gratuite complète pour télécharger et distribuer des

mises à jour de produits Microsoft– Pas de coût licences Windows Server (2000 et ultérieur)– Nécessite une licence Windows Server / CAL pour les systèmes cibles

• Délivrer une solution totalement fonctionnelle permettant de répondre au besoin de gestion de mises à jour des produits– Automatiser le plus possible le processus de mises à jour– Supporter l’ensemble des produits Microsoft– A destination de l’administrateur mais aussi de l’IT généraliste

• Fin de support de SUS 1.0 : 10/07/2007• cf http://support.microsoft.com/kb/905682

Page 16: Déployer les correctifs et maintenir son parc informatique  à jour avec

16L’administrateur souscrit à certaines catégories de mises à jourLe serveur télécharge les mises à jour depuis Microsoft UpdateLes clients s’enregistrent auprès du serveurL’administrateur met les clients dans différents groupes ciblesL’administrateur approuve les mises à jourLes clients installent les mises à jour approuvées par l’administrateur

WSUS - Aperçu de l’architecture

< Back Finish Cancel

Windows Update ServicesWindows Update Services

< Back Finish Cancel

Windows Update ServicesWindows Update Services

Microsoft Update(utilise WSUS)

Serveur WSUS

Postes de travail (clients WSUS) Groupe cible 1

Serveurs (clients WSUS) Groupe cible 2

Administrateur WSUS

Page 17: Déployer les correctifs et maintenir son parc informatique  à jour avec

17

Adoption de WSUS 2.0• Considéré par beaucoup comme l’une des meilleures solutions

de gestion des correctifs

• En un an (juin 2005 juin 2006)…– WSUS 2.0 a excédé le nombre de déploiement de SUS 1.0– 260,000 serveurs WSUS se sont synchronisés avec Microsoft Update

en Juin 2006

• SP1 disponible depuis juin 2006 – Support de SQL Server 2005– Prise en charge de Windows Vista– Support multi langues de MS Office et Windows Vista– Version MSDE SP4– Intégration avec Windows Small Business Server 2003 R2

Page 18: Déployer les correctifs et maintenir son parc informatique  à jour avec

18

Fonctionnalités : contrôle• Administrateur défini des groupes cibles

– Utilisation des stratégies de groupe pour ce faire dans l’environnement AD

– Au travers de l’interface d’administration de WSUS pour les environnement non AD

• Administrateur contrôle les approbations– “Détection seulement” évaluation des machines qui nécessite

l’application d’un patch– Approbation pour l’installation et la désinstallation (pas toujours

possible)– Installation sur date butoir– Approbation par groupe cible:

• Différentes mises à jour vers différents groupes cibles• Différentes dates butoirs par groupe cible• Différentes actions par groupe cible

Page 19: Déployer les correctifs et maintenir son parc informatique  à jour avec

19

Fonctionnalités : Configuration de l’ Agent • Configuration flexible de l’Agent

– Fréquence de polling– Notification et type d’installation– “Comportement” vis-à-vis du reboot– Port configurable– Non-administrateurs peuvent installer des mises à jour (comme

les administrateurs)– Installation à l’arrêt

(Windows XP SP2, Windows Vista et Windows 2003 SP1 et +)

Page 20: Déployer les correctifs et maintenir son parc informatique  à jour avec

20

Fonctionnalités : Optimisation réseau• Résilient et transparent

– BITS* pour téléchargement client-serveur et serveur-serveur– Téléchargements se font en fond de tache (background)

• Téléchargement minimale des mises à jour– Souscriptions aux mises à jour – téléchargement des mises à

jour pour les produits, classifications et langues cibles– Support de la technologie “delta compression” pour les

communications– Option client-serveur pour téléchargement uniquement les

mises à jour approuvées (« download on demand »)– Option pour télécharger uniquement le catalogue des mises à

jour et la détection – binaires sur MU

*Background Intelligent Transfer Service

Page 21: Déployer les correctifs et maintenir son parc informatique  à jour avec

21

Fonctionnalités clés de WSUS Grille de comparaison

*En partie possible via le réglage de la fréquence de détection et des scripts** Si la mise à jour le permet

Fonctionnalités demandées SUS 1.0 SP1 WSUS 2.0Support des Service Packs Installation sur SBS et sur des contrôleurs de domaine Support d’Office et d’autres produits Microsoft Support d’autres types de mises à jour Désinstallation de mise à jour **Ciblage des mises à jour Amélioration du support pour les réseaux bas débit (Bits) Réduction de la quantité de données à télécharger Réglage de la fréquence de détection des mises à jour Minimiser l’interruption de l’utilisateur Déploiement d’urgence d’un correctif (‘gros bouton rouge’)

*

Déploiement de mises à jour d’autres applications non Microsoft

Page 22: Déployer les correctifs et maintenir son parc informatique  à jour avec

22

Les évolutions demandées…• Plus évolutifs et tolérances aux pannes

– Pas de support du clustering NLB & SQL– UI ne permet pas de gérer un très grands nombres d’ordinateurs

• Améliorer les rapports– Options de sauvegarde des rapports– Possibilité de centraliser les rapports

• Ciblage plus flexible– Améliorations en regard de SUS 1.0, mais pas aussi pertinents que celui

proposé par d’autres produits• Plus de contenu

– Possibilité d’importer ces propres correctifs– Meilleurs support des drivers: pas uniquement les critiques

• Scripting & APIs– Pas d’appel des APIs à distance– Scripting : oui mais…

Page 23: Déployer les correctifs et maintenir son parc informatique  à jour avec

23

Objectifs de WSUS 3.0• Continuer à faire de WSUS une solution adoptée

et appréciée pour l’environnement Windows– Adresser les besoins et demandes des utilisateurs

• Améliorer l’infrastructure pour supporter de nouveaux scénarios en tenant compte des besoins de mises à jour des produits partenaires– SMS, etc.

• Support du client Windows Vista et du serveur Windows Server 2008 (Beta 3)

Page 24: Déployer les correctifs et maintenir son parc informatique  à jour avec

24

Plateformes supportées par WSUS 3.0• Support de toutes les langues d’OS Windows• Coté Serveur (Support des systèmes x86 et x64)

– Windows 2003 SP1 minimum• SQL Server 2005 SP1, SQL Server 2005 Embedded Edition• BITS 2.0, Windows Installer 3.1• Internet Information Services (IIS)• .NET Framework 2.0• MMC 3.0• Microsoft Report Viewer Redistribuable 2005

• Coté Client (support de x86, X64 et IA 64)– Windows 2000 SP4, Windows XP SP1, Windows Vista– Windows Server 2003 minimum

Page 25: Déployer les correctifs et maintenir son parc informatique  à jour avec

25

Déploiement simple

Microsoft Update

Firewall Serveur WSUS

GPO Script deConfiguration

Clients WSUS

Page 26: Déployer les correctifs et maintenir son parc informatique  à jour avec

26

Déploiement de multiples serveurs

Microsoft Update

Firewall Serveur WSUS

GPO

Serveurs

GPO

Ordinateurs clients

Serveurs WSUS Replica ou autonomes

Page 27: Déployer les correctifs et maintenir son parc informatique  à jour avec

27

Serveurs non connectés

Microsoft Update

Serveur WSUS

Serveur WSUSImportation et exportation

manuelles

Postes de travail Clients

Page 28: Déployer les correctifs et maintenir son parc informatique  à jour avec

28

Installation et configuration

28

Page 29: Déployer les correctifs et maintenir son parc informatique  à jour avec

29

Installation de WSUS

Page 30: Déployer les correctifs et maintenir son parc informatique  à jour avec

30

Configuration de WSUS 3.0

Page 31: Déployer les correctifs et maintenir son parc informatique  à jour avec

31

Le déploiement• WSUS 3.0 peut s’installer via une mise à jour d’un serveur 2.0• Les serveurs WSUS 2.0 peuvent se synchroniser à partir d’un

serveur WSUS 3.0– Permet une migration descendante de la hiérarchie

• Assistant de configuration post-installation

• Améliorations dans la prise en charge des environnements distribués– Passage entre serveur Replica et Autonome sans réinstallation– Support d’un sous ensemble des langues disponible en amont sur les

serveurs Replica– Les serveurs Replica peuvent synchroniser leurs meta-data d’un serveur

WSUS amont et les correctifs depuis Microsoft Update– Support de la synchronisation en mode déconnecté pour les serveurs

Replica

Page 32: Déployer les correctifs et maintenir son parc informatique  à jour avec

32

La fiabilité• Support de Network Load Balancing (NLB)

– Permet une bascule rapide pour des besoins de disponibilité

• Support de la mise en cluster de la base SQL– En complément du scénario NLB

• Supervision au travers de Microsoft Operations Manager– Pack d’administration MOM pour fournir une

supervision proactive de l’état de santé du serveur

Page 33: Déployer les correctifs et maintenir son parc informatique  à jour avec

33

Les performances

• Performances liées à la génération des rapports– 50% de gain de performance

• Performances liées à la synchronisation– Synchronisation complète descendante réduite de 90 à

20 minutes

• Support natif des serveurs x64 (comme serveur WSUS)

Page 34: Déployer les correctifs et maintenir son parc informatique  à jour avec

34

Service Mises à jour Automatiques• Service local (Mises à jour

automatiques (Windows Update) gérant l’accès à Microsoft Update /WSUS pour autoriser le téléchargement et l'installation des mises à jour de Windows.

– Agent Windows Update

Page 35: Déployer les correctifs et maintenir son parc informatique  à jour avec

35

Mises à jour automatiques importantes • Défini comment se fait

l’installation des mises à jour importantes sur le poste

• Mises à jour importantes :– Maj Sécurité– Maj Critiques– Service Pack

Page 36: Déployer les correctifs et maintenir son parc informatique  à jour avec

36

Configuration de l’agent (1/2)• Par stratégie de groupe ou par

registre• Configurer les mises à jour

automatiques (AutoUpdate) en spécifiant un serveur intranet de mise à jour Microsoft (serveur WSUS)

• Modes d’installation :– Notifier avant le

téléchargement/installation – Télécharger puis notifier pour l’

installation– Télécharger et installer

automatiquement selon la planification

– Autoriser les administrateurs locaux à choisir le mode de configuration (sans pouvoir désactiver AutoUpdate)

Page 37: Déployer les correctifs et maintenir son parc informatique  à jour avec

37

Configuration de l’agent (2/2)• Fréquence de détection

configurable (du client vers le serveur) : – 22 heures par défaut;

minimum 1 heure (charge sur le serveur)

– La durée réelle entre deux détections sera déterminée aléatoirement entre 80% et 100% de la durée paramétrée

• Délai de redémarrage et intervalle avant nouvelle demande de redémarrage (si redémarrage repoussé)

• Notification pour les non administrateurs (en fonction du mode d’installation)

• Pas de redémarrage planifié (pour laisser l’utilisateur redémarrer quand il le veut)

• Re-planifier les installations planifiées (ex : 5 min après redémarrage)

• Autoriser l’installation immédiate des mises à jour automatiques

• Ciblage• Notifie l’utilisateur si redémarrage

nécessaire

Page 38: Déployer les correctifs et maintenir son parc informatique  à jour avec

38

Pré installation (self-update)

Page 39: Déployer les correctifs et maintenir son parc informatique  à jour avec

39

Ciblage• Utiliser pour cibler des mises à jour sur des machines

spécifiques– Groupe cible de test– Groupe cible de production

• Deux types de ciblage– Côté serveur

• L’administrateur WSUS gère l’appartenance aux groupes depuis le site d’administration (listes sur le serveur)

– Côté client• Appartenance gérée automatiquement

– En utilisant des stratégies de groupe (par exemple même groupe pour toutes les machines d’une même OU d’Active Directory)

– En utilisant le Registre

Page 40: Déployer les correctifs et maintenir son parc informatique  à jour avec

40

WSUS 3.0 - Améliorations liées au ciblage• WSUS 3.0 supporte 2 nouveaux concepts

concernant les groupes– L’imbrication

– L’appartenance à plusieurs groupes• Une machine peut être membre de groupe Serveurs ainsi

que du groupe Exchange Serveurs

Page 41: Déployer les correctifs et maintenir son parc informatique  à jour avec

41

Ciblage

41

Page 42: Déployer les correctifs et maintenir son parc informatique  à jour avec

42

Rapports

• Etats des clients, listes des mises à jour…– Par machine / par mise à jour / par groupe cible– Succès et échecs des téléchargements et installations avec les

détails sur les erreurs

• Disposer d’information sur les synchronisations avec Microsoft Update, entre serveurs WSUS– Nouveautés, changements

Page 43: Déployer les correctifs et maintenir son parc informatique  à jour avec

43

WSUS 3.0 - Améliorations liées au reporting• Vues générales et simplifiés

– Composants de rapports dans la boite– Détails sur les mises à jour et résumés

• Détails sur les mises à jour au niveau des serveurs réplica et autonomes

• Impression, Sauvegarde Excel ou PDF• Notification par e-mail• Nouveau rôle “Reporters”

– Permet un accès lecture-seul au serveur• Personnalisation des rapports (exemples sur MSDN)

– Vues SQL– API .net

Page 44: Déployer les correctifs et maintenir son parc informatique  à jour avec

44

Améliorations liées au reporting

44

Page 45: Déployer les correctifs et maintenir son parc informatique  à jour avec

45

WSUS 3.0 - Améliorations liées au reporting

Page 46: Déployer les correctifs et maintenir son parc informatique  à jour avec

46

WSUS 3.0 - Améliorations liées aux outils d’administration (1/2)• Nouvelle console d’administration basée sur une

MMC 3.0– Gestion de multiples serveurs au sein d’une seule console– Page de démarrage offrant un aperçu rapide– Vues personnalisées– Fonctionnalités de filtrage des vues– Tri et réorganisation des colonnes (colonnes

supplémentaires: Article KB, MSRC ID, Sévérité)– Menus contextuels– Intégration des rapports– Notifications et statut par e-mail

Page 47: Déployer les correctifs et maintenir son parc informatique  à jour avec

47

Console d’administration

47

Page 48: Déployer les correctifs et maintenir son parc informatique  à jour avec

48

WSUS 3.0 - Améliorations liées aux outils d’administration

Page 49: Déployer les correctifs et maintenir son parc informatique  à jour avec

49

WSUS 3.0 - Améliorations liées aux outils d’administration

Page 50: Déployer les correctifs et maintenir son parc informatique  à jour avec

50

WSUS 3.0 - Améliorations liées aux outils d’administration (2/2)• API disponibles pour importer des mises à jour

tierces et pour scripter les opérations• Nouvelles fonctionnalités d’administration

– Assistant de gestion de l’obsolescence du contenu du serveur WSUS (meta-données, machines, mises à jour)

– Règles d’approbation spécifiques par type de mise à jour et par groupe cible

– Sélection des types de produits gérés– Envoi de messages électroniques– …

Page 51: Déployer les correctifs et maintenir son parc informatique  à jour avec

51

Abonnements (subscriptions)• Permet de choisir quelles mises à jour télécharger et

quand– Produit / Type de mise à jour (sécurité, SP,FP, pilote, etc…)– En fait une mise à jour est composée de deux éléments :

• Un correctif• Les méta données décrivant le correctif

– Par défaut :• seules les méta données sont téléchargées (catalogue)• les correctifs sont téléchargés s’ils sont approuvés (contenu)

• Exemples d’abonnements :– Quotidiens pour les mises à jour critiques– Hebdomadaires pour les mises à jour recommandées

• Synchro – Manuelle / Automatique

Page 52: Déployer les correctifs et maintenir son parc informatique  à jour avec

52

Approbation de mise à jour

• Vérification avant déploiement (détection) : évalue l’impact d’une mise à jour sur le réseau avant qu’elle ne soit déployée– Au niveau de l’approbation d’une mise à jour, choisir l’action

Detect– Après un cycle de détection des clients, la rubrique Status de la

mise à jour indique le nombre de machines qui nécessitent la mise à jour

• Installation lors de la prochaine date planifiée• Installation avec date butoir• Désinstallation (nécessite que la mise à jour le supporte)

Page 53: Déployer les correctifs et maintenir son parc informatique  à jour avec

53

Approbation automatique ?• Par défaut, « détection » automatique pour

– Les mises à jour critiques et de sécurité– Tous les groupes cibles

• Par défaut, aucune approbation automatique pour l’installation– On pourrait choisir des types de mises à jour, et des

groupes cibles

• En cas de révision d’une mise à jour, la nouvelle version obtient le même niveau d’approbation que l’ancienne (désactivable pour effectuer un choix manuel)

Page 54: Déployer les correctifs et maintenir son parc informatique  à jour avec

54

AbonnementsApprobationNotifications

54

Page 55: Déployer les correctifs et maintenir son parc informatique  à jour avec

55

WSUS 3.0 - Améliorations liées aux outils d’administration

Page 56: Déployer les correctifs et maintenir son parc informatique  à jour avec

56

METTRE À NIVEAU VERS WSUS 3.0

Page 57: Déployer les correctifs et maintenir son parc informatique  à jour avec

57

Scenarios de mise à niveau• A partir de SUS 1.0

– Non directement supportée• Mise à niveau d’un serveur unique

– Mise à niveau “in-place”: WSUS2->WSUS3 sur le même serveur– Mise à niveau “migration” : WSUS2->WSUS3 sur des serveurs

différents• Mise à niveau d’une hiérarchie de serveurs

– Serveurs connectés– Serveurs déconnectés

Page 58: Déployer les correctifs et maintenir son parc informatique  à jour avec

58

Migration depuis SUS• Pas directement supportée• WSUS3 ne peut pas être installée sur le même

serveur que SUS 1.0• 2 options pour mettre à jour:

– Migrer vers WSUS 2.0 SP1, puis mettre à jour vers WSUS3

• Migration SUS 1.0 -> WSUS 2.0 http://technet2.microsoft.com/WindowsServer/f?en/Library/c86e95dc-381f-47a2-b761-1fe0f13ad3f41033.mspx

– Installer WSUS 3.0 sur un serveur séparé– Installation from scratch – Faire pointer les clients vers le nouveau serveur

Page 59: Déployer les correctifs et maintenir son parc informatique  à jour avec

59

Mise à niveau in place• Le programme d’installation supporte la mise à

niveau “in-place”Setup– Conserve les mises à jours, paramètres et approbations– Pas de re-déploiement du client WSUS: mise à jour

automatique du client lors de la première connexion au serveur

– Support du mode d’installation sans réponse• Exemple SDK WsusMigrate pour migrer les groupes

cibles d’un serveur à un autre• Mise à jour d’une hiérarchie du haut vers le bas

Page 60: Déployer les correctifs et maintenir son parc informatique  à jour avec

60

Considérations « mise à niveau in-place »• Sauvegarde /restauration

– Mise à niveau “in-place” ne propose pas de retour arrière• Faire une sauvegarde de la base WSUS 2.0 avant la mise à niveau

• Système d’exploitation serveur– WSUS3 n’est pas supporté sur Windows 2000 Server

• Base de données– WSUS3 nécessite SQL 2005 SP1 minimum ou Windows Internal Database

• Mettre à niveau WSUS2 vers SQL 2005 SP1 avant la mise à jour• Réaliser une mise à jour “in-place”, le programme d’installation met

automatiquement à jour la base de donnée vers Windows Internal Database SP1 (=SQL 2005 Embedded Edition)

• Si base de données distante, il faut désinstaller le back-end puis mettre à jour (setup unifié front/back end)

• Console d’administration Web– Plus possible d’utiliser la console web après la mise à jour– Installer la console d’administration WSUS ou les outils de prise de contrôle

à distance

Page 61: Déployer les correctifs et maintenir son parc informatique  à jour avec

61

Mise à niveau • Installer WSUS 3.0 sur un nouveau serveur

• Migrer les mises à jour et les approbations du serveur WSUS 2.0 WSUS 3.0 :– Utiliser ntbackup pour copier le contenu du répertoire des mises à

jour(http://technet2.microsoft.com/windowsserver/en/library/4696c613-66f3-483d-

8ea9-66bcca74730e1033.mspx?mfr=true)– Synchroniser le serveur WSUS 3.0 pour disposer des dernières

meta-données• Exporter/importer les approbations et les groupes via WsusMigrate

• Faire pointer les clients vers le nouveau serveur– Au travers de la stratégie de groupe / modification registre– Les clients sont mis à jour à la prochaine synchronisation

Page 62: Déployer les correctifs et maintenir son parc informatique  à jour avec

62

Mise à niveau d’une hiérarchie• La mise à jour se fait à partir du serveur le plus haut de la

hiérarchie– WSUS 2.0 peut se synchroniser avec un serveur WSUS 3.0

(l’inverse est faux)– Remarque : la synchronisation nécessite WSUS2 SP1 ou

WSUS2 RTM + KB910847

Page 63: Déployer les correctifs et maintenir son parc informatique  à jour avec

63

Migration depuis WSUS 2.0

63

Page 64: Déployer les correctifs et maintenir son parc informatique  à jour avec

64

Migration WSUS 2.0 vers WSUS 3.0

Page 65: Déployer les correctifs et maintenir son parc informatique  à jour avec

65

DÉPLOYER DES MISES À JOUR

Page 66: Déployer les correctifs et maintenir son parc informatique  à jour avec

66

Installation avec date butoir

Page 67: Déployer les correctifs et maintenir son parc informatique  à jour avec

67

Installation à l’arrêt (XP SP2)

• Profiter de l’arrêt de la machine pour la maintenir à jour• Contrôler par stratégie de groupe

Page 68: Déployer les correctifs et maintenir son parc informatique  à jour avec

68

MAINTENIR WSUS 3.0

Page 69: Déployer les correctifs et maintenir son parc informatique  à jour avec

69

Maintenance du serveur WSUS• Les serveurs WSUS nécessitent peu d’opérations de

maintenance• 3 opérations clés

– Ordinateurs clients• Gérer l’ajout et la suppression des machines de l’inventaire

– Contenu• Supprimer les contenus obsolètes

– Base de données• Sauvegarde• Défragmentation des index

• Microsoft Windows Server Update Services 3.0 Operations Guide– http://technet2.microsoft.com/windowsserver/en/library/9b65850d-17a0-440e-

9cad-2eb881011f5f1033.mspx

Page 70: Déployer les correctifs et maintenir son parc informatique  à jour avec

70

Maintenance - Ordinateurs• Pourquoi nettoyer les ordinateurs ?

– Diminuer la taille de la base– Disposer de rapports fiables et à jour

• Comment ?– L’assistant de nettoyage

• Supprime les machines qui n’ont pas contacté le serveur depuis plus de 30 jours

– API disponibles• http://www.microsoft.com/technet/windowsserver/wsus/default.mspx

Page 71: Déployer les correctifs et maintenir son parc informatique  à jour avec

71

Contenu• Pourquoi ?

– Ne pas approuver ou refuser une mises à jour ne supprime pas le contenu

– Supprimer les contenus obsolètes– Réduire le besoin d’espace disque

• Comment ?– Lancer l’assistant de nettoyage, lequel supprimera:

• Meta données pour les mises à jour non approuvées de plus de 90 jours

• Vieilles versions de mises à jour• Fichiers inutilisés pour les mises à jour sur le serveur lui-même et

les serveurs fils de la hiérarchie• Mises à jour expirées et qui sont inutiles ou non approuvées deouis

au moins 30 jours

Page 72: Déployer les correctifs et maintenir son parc informatique  à jour avec

72

Assistant de nettoyage

72

Page 73: Déployer les correctifs et maintenir son parc informatique  à jour avec

73

WSUS 3.0 – Assistant de nettoyage

Page 74: Déployer les correctifs et maintenir son parc informatique  à jour avec

74

Maintenance – Base de données• Périodiquement défragmenter la base de données

– http://technet2.microsoft.com/windowsserver/en/library/e787794b-4f09-4d01-ae4e-5983ea7634f91033.mspx• sqlcmd -S np:\\.\pipe\MSSQL$MICROSOFT##SSEE\sql\query –

i <scriptLocation>\WsusDBMaintenance.sql

• Disposer d’un plan de récupération en cas de désastre– Souvent se traduit par la réinstallation du serveur– Sauvegarder la base de données via ntbackup ou script

sqlcmd (http://go.microsoft.com/fwlink/?LinkId=70728)• http://technet2.microsoft.com/windowsserver/en/library/

0f0b7103-052e-481e-9efb-be7ab06fbd181033.mspx

Page 75: Déployer les correctifs et maintenir son parc informatique  à jour avec

75

Supervision du serveur WSUS• Supervision pro active des serveurs WSUS• Disponibilité du pack d’administration pour MOM

2005 pour WSUS 3.0– Liste des serveurs WSUS avec leur état générale :

• Alertes, • Evénements• Taches• Performances

– Etat de santé des clients

Page 76: Déployer les correctifs et maintenir son parc informatique  à jour avec

76

Résolution de problèmes• Rapports Serveur

– E-mail– Synchronisation– Rapports ordinateurs et mises à jour– SoftwareDistribution.log– Change log

• Clients– Rapports ordinateurs et mises à jour– Client WindowsUpdate.log – Personnalisation des rapports à partir des APIs et des journaux

client

Page 77: Déployer les correctifs et maintenir son parc informatique  à jour avec

77

APIs publiques

• A la fois le client et le serveur expose des APIs publiques• APIs serveur basées sur .NET

(pour les taches d’administration)• APIs client basées sur COM scriptable• Exemples de scripts et de code dans le SDK WSUS

Page 78: Déployer les correctifs et maintenir son parc informatique  à jour avec

78

API Serveur (WSUS API) • http://msdn2.microsoft.com/en-us/library/ms744624.aspx• WSUS API 2.0 permet l’accès à un ensemble des tâches

de la MMC– Configuration du serveur WSUS– Approbation des mises à jour Updates– Ajout/suppression des groupes cibles– Ajout/suppression des clients dans le groupe cible– Création de rapports personnalisés– La MMC utilise les API publiques

• Nouveautés WSUS 3.0 APIPublication (Publishing) Publication, approbation et déploiement de MAJ tierces

Administration à distance Permet l’administration à distance du serveur WSUS

Inventaire Fonctionnalité de base de l’inventaire

Nettoyage Etendue et options de nettoyage

Page 79: Déployer les correctifs et maintenir son parc informatique  à jour avec

79

API Client (Windows Update Agent API)• APIs publiques, implémentées comme “wrappers” autours

de l’Agent WU et des fonctionnalités de Mises à jour automatique (exposée au travers de COM et scriptable)

• http://msdn2.microsoft.com/en-us/library/aa387099.aspx

DescriptionAutomaticUpdates A class that exposes the settings of Automatic Updates and some

functionality UpdateCollection A class representing an ordered list of Updates UpdateDownloader A class that downloads updates from the server UpdateInstaller ClassUpdateSearcher A class that searches for updates on the server SearchResult A class that represents the result of a searchUpdate A class that exposes properties and methods available to an update

Page 80: Déployer les correctifs et maintenir son parc informatique  à jour avec

80

Exemple de scriptsDim update, iset AutoUpdate =

CreateObject("Microsoft.Update.AutoUpdate")Autoupdate.DetectNow()set UpdateSession =

CreateObject("Microsoft.Update.Session")set UpdateSearcher = UpdateSession.CreateUpdateSearcher()set SearchResult= UpdateSearcher.Search("")set Updates = SearchResult.Updatesset UpdatesToInstall =

CreateObject("Microsoft.Update.UpdateColl")For i = 0 to (Updates.Count-1)

UpdatesToInstall.Add(Updates.Item(i))Nextset Installer = UpdateSession.CreateUpdateInstaller()Installer.Updates = UpdatesToInstallset InstallationResult = Installer.Install()

Détection

Approbation

Installation

Page 81: Déployer les correctifs et maintenir son parc informatique  à jour avec

81

La ligne de commande• L’utilitaire wsusutil

– http://technet2.microsoft.com/windowsserver/en/library/2686bd2b-910a-479b-961e-cea2a20280241033.mspx

– Disponible sur le serveur WSUS, pas si uniquement installation de la console

– Options: configuressl, healthmonitoring, export, import, movecontent, listfrontendservers, deletefrontendserver, checkhealth, reset, listinactiveapprovals, removeinactiveapprovals, usecustomwebsite

• L’utilitaire wuauclt– http://technet2.microsoft.com/windowsserver/en/library/2686bd2

b-910a-479b-961e-cea2a20280241033.mspx– Contrôle de l’agent Windows Update– Options : detectnow, resetauthorization, reportnow

Page 82: Déployer les correctifs et maintenir son parc informatique  à jour avec

82

CONCLUSION et Q&R

Page 83: Déployer les correctifs et maintenir son parc informatique  à jour avec

83

En résumé : WSUS 3.0

• Déploiement et configuration simplifiés• Performances améliorées• Fiabilité améliorée• Reporting multi-sites et multi-critères• Outils d’administration• Ciblage évolué• Devient la plate forme de distribution

Page 84: Déployer les correctifs et maintenir son parc informatique  à jour avec

84

Devient la plateforme de distribution

Microsoft Update

WSUS software distribution

infrastructure

auto-sync

WHOS publishesdrivers

WU agent on corporate client

auto-sync

New catalog siteselective import

SCCM 2007

SCE

locallypublishITCU

3rd party tool

local publish

Inside the corporation

Product teams

publishesupdates

• Tout le contenu de Microsoft Update est disponible pour toutes les solutions de gestions des correctifs.

• System Center Configuration Manager 2007 et System Center Essentials disposeront d’outils de création et de publications de mises à jour “tierces”.

• WSUS ne fournit pas le support à la publication

Page 85: Déployer les correctifs et maintenir son parc informatique  à jour avec

85

Ressources WSUS • Page d’accueil

http://www.microsoft.com/windowsserversystem/updateservices

• WSUS Community http://www.microsoft.com/windowsserversystem/updateservices/community/default.mspx– Team Blogs, MVPs, Forums, Newsgroups, Webcasts, Wiki

• Tools and API Samples http://www.microsoft.com/windowsserversystem/updateservices/downloads/default.mspx

Page 86: Déployer les correctifs et maintenir son parc informatique  à jour avec

86

Questions / Réponses

Page 87: Déployer les correctifs et maintenir son parc informatique  à jour avec

87

Questions / Réponses

Page 88: Déployer les correctifs et maintenir son parc informatique  à jour avec

88

Microsoft France18, avenue du Québec

91 957 Courtaboeuf Cedex

www.microsoft.com/france

0 825 827 829

[email protected]