Windows Server Update Windows Server Update Services (WSUS)Services (WSUS)

Windows Server Update Windows Server Update Services (WSUS)Services (WSUS)

Cyril VoisinCyril VoisinChef de programme Chef de programme SécuritéSécuritéMicrosoft FranceMicrosoft France

La stratégie sécurité de MicrosoftLa stratégie sécurité de Microsoft

Isolation et Isolation et résiliencerésilience

Authentification,Authentification,Autorisation,Autorisation,

AuditAuditExcellence Excellence

dedel’engineeringl’engineering

Mise à jourMise à jouravancéeavancée

Conseils,Conseils,Outils,Outils,

RéponseRéponse

Simplifier le processus de Simplifier le processus de mise à jourmise à jour

Amélioration des mises à jourAmélioration des mises à jour

Diminuer les coûts de mise à jour tout en Diminuer les coûts de mise à jour tout en augmentant l’efficacitéaugmentant l’efficacité

Moins d’installateurs et taille réduiteMoins d’installateurs et taille réduite

Outils améliorés pour l’évaluation et le Outils améliorés pour l’évaluation et le déploiementdéploiement

Étendus à toutes les technologies MicrosoftÉtendus à toutes les technologies Microsoft

Prolifération des correctifsProlifération des correctifs

Temps avant exploitation en Temps avant exploitation en baissebaisse

Exploitations plusExploitations plussophistiquéesophistiquée

L’approche classique n’est L’approche classique n’est pas suffisantepas suffisante

151151180180

331331

Blaster

Blaster

Welchia/ Nachi

Welchia/ Nachi

NimdaNimda

2525

SQL Slammer

SQL Slammer

Nombre de jours Nombre de jours entre le correctif et entre le correctif et

l’exploitationl’exploitation

Zoom sur les vers et Zoom sur les vers et vulnérabilitésvulnérabilités

1818

Sasser

Sasser

Consolidation autour de 2 installateurs de correctifs pour Consolidation autour de 2 installateurs de correctifs pour Windows 2000 et ultérieur, SQL, Office & Exchange. Windows 2000 et ultérieur, SQL, Office & Exchange. Comportement cohérent entre tous les correctifs (SUS Comportement cohérent entre tous les correctifs (SUS 2.0, MSI 3.x)2.0, MSI 3.x)

Étendre Étendre l’automatisation à l’automatisation à tous les produitstous les produits

SMS 2003 offre la capacité de déployer les correctifs pour SMS 2003 offre la capacité de déployer les correctifs pour toutes les plateformes et applications supportéestoutes les plateformes et applications supportées

Tous les correctifs Microsoft ont le même comportement pour Tous les correctifs Microsoft ont le même comportement pour l’installation (MSI 3.x + SUS 2.0) et seront disponibles à un l’installation (MSI 3.x + SUS 2.0) et seront disponibles à un seul endroit : Microsoft Updateseul endroit : Microsoft Update

Réduire la taille des Réduire la taille des correctifscorrectifs

Maintenant : réduction de la taille des correctifs de 35% ou Maintenant : réduction de la taille des correctifs de 35% ou plus. plus. 80% de réduction 80% de réduction (technologie de correction par différence - (technologie de correction par différence - delta patching –delta patching –amélioration des fonctionnalités avec MSI 3.0)amélioration des fonctionnalités avec MSI 3.0)

Réduire la Réduire la complexité des complexité des

correctifscorrectifs

Réduire le risque Réduire le risque de déploiement de déploiement d’un correctifd’un correctif

Maintenant : tests internes accrus ; test des pré-Maintenant : tests internes accrus ; test des pré-versions de correctifs par nos clientsversions de correctifs par nos clientsPossibilité de retour arrière pour Windows, SQL Server, Possibilité de retour arrière pour Windows, SQL Server, Exchange, OfficeExchange, Office

Réduire Réduire l’indisponibilitél’indisponibilité

Maintenant : - 10 % de redémarrages pour Windows 2000 Maintenant : - 10 % de redémarrages pour Windows 2000 et +et +30 % de redémarrages en moins pour Windows Server 30 % de redémarrages en moins pour Windows Server 2003 (à partir du SP1). 2003 (à partir du SP1). Jusqu’à 70 % de réduction pour la prochaine version Jusqu’à 70 % de réduction pour la prochaine version serveurserveur

Votre besoinVotre besoin Notre réponseNotre réponse

Améliorer la gestion des correctifsAméliorer la gestion des correctifs

HierHierMaintenaMaintenantnt Windows, SQL,Windows, SQL,

Exchange, Office…Exchange, Office…

Windows, SQL,Windows, SQL,Exchange, Office…Exchange, Office…

Office Update

Download Center

SUSSUS SMSSMS

““Microsoft Update”Microsoft Update”(Windows Update)(Windows Update)

VS Update

Windows Update

Windows seulementWindows seulement

Windows seulementWindows seulement

UpdateUpdateServicesServices

Mises à jourMises à jour

Automatic Updates (AU)Automatic Updates (AU)Automatic Updates (AU)Automatic Updates (AU)

Service de Mises à jour Service de Mises à jour automatiques (le client de WSUS)automatiques (le client de WSUS)

Automatic Updates (AU)Automatic Updates (AU)DescriptionDescription

Service local (Mises à jour automatiques) Service local (Mises à jour automatiques) automatisant l’accès à WU permettantautomatisant l’accès à WU permettant

D’obtenir automatiquement les mises à jour D’obtenir automatiquement les mises à jour critiques et de sécurité de Windows dont elle a critiques et de sécurité de Windows dont elle a besoinbesoin

De les installer automatiquement (si le De les installer automatiquement (si le propriétaire de la machine le souhaite)propriétaire de la machine le souhaite)

Quand on le connecte à WU (ou MU) : à Quand on le connecte à WU (ou MU) : à destination du grand public et des TPEdestination du grand public et des TPE

Quand on le connecte à WSUS, c’est LE client Quand on le connecte à WSUS, c’est LE client WSUS (à destination des PME principalement)WSUS (à destination des PME principalement)

Client Mises à jour Client Mises à jour automatiques (automatiques (AutoUpdateAutoUpdate))

Principe : Principe : se connecte à se connecte à Windows Update, Windows Update, Microsoft Update ou Microsoft Update ou un serveur WSUS un serveur WSUS pour maintenir la pour maintenir la machine à jourmachine à jour

Mode Mode pullpull

Disponible pourDisponible pourWindows Server 2003Windows Server 2003

Windows 2000 SP3Windows 2000 SP3

Windows XP SP1Windows XP SP1

Installation à l’arrêt (XP SP2)Installation à l’arrêt (XP SP2)

Profiter de l’arrêt de la machine pour Profiter de l’arrêt de la machine pour la maintenir à jourla maintenir à jour

Contrôlé par stratégie de groupeContrôlé par stratégie de groupe

Configuration des clientsConfiguration des clients

Par stratégie de groupe Par stratégie de groupe ou par registreou par registreConfigurer les Mises à Configurer les Mises à jour automatiques jour automatiques (AutoUpdate) (AutoUpdate) Modes d’installation :Modes d’installation :

Notifier avant Notifier avant téléchargement/installatiotéléchargement/installation n Télécharger puis notifier Télécharger puis notifier pour installationpour installationTélécharger et installer Télécharger et installer automatiquement selon la automatiquement selon la planificationplanificationAutoriser les Autoriser les administrateurs locaux à administrateurs locaux à choisir le mode de choisir le mode de configuration (sans configuration (sans pouvoir désactiver pouvoir désactiver AutoUpdateAutoUpdate))

Configuration des clientsConfiguration des clients

Fréquence de détection Fréquence de détection configurable (du client vers configurable (du client vers le serveur) : le serveur) :

22 heures par défaut; 22 heures par défaut; minimum 1 heure (charge minimum 1 heure (charge sur le serveur)sur le serveur)La durée réelle entre deux La durée réelle entre deux détections sera déterminée détections sera déterminée aléatoirement entre 80% et aléatoirement entre 80% et 100% de la durée 100% de la durée paramétréeparamétrée

Délai de redémarrage et Délai de redémarrage et intervalle avant nouvelle intervalle avant nouvelle demande de redémarrage demande de redémarrage (si redémarrage repoussé)(si redémarrage repoussé)Notification pour les non Notification pour les non administrateurs (en fonction administrateurs (en fonction du mode d’installation)du mode d’installation)

Pas de redémarrage planifié Pas de redémarrage planifié (pour laisser l’utilisateur (pour laisser l’utilisateur redémarrer quand il le veut)redémarrer quand il le veut)Replanifier les installations Replanifier les installations planifiées (ex : 5 min après planifiées (ex : 5 min après redémarrage)redémarrage)Autoriser l’installation Autoriser l’installation immédiate des mises à jour immédiate des mises à jour automatiquesautomatiquesNotifie l’utilisateur si Notifie l’utilisateur si redémarrage nécessaireredémarrage nécessaire

DépannageDépannage

Vérifier le démarrage du serviceVérifier le démarrage du serviceVérifier la configuration du clientVérifier la configuration du client

Via l’interface graphique (Propriétés du Poste de Via l’interface graphique (Propriétés du Poste de travail, onglet Mises à jour automatiques)travail, onglet Mises à jour automatiques)Si stratégie de groupe, vérifier son application Si stratégie de groupe, vérifier son application (gpresult)(gpresult)Si rafraîchissement de stratégie de groupe Si rafraîchissement de stratégie de groupe nécessaire : gpupdate /forcenécessaire : gpupdate /forceRegarder Regarder

Journal des événementsJournal des événements%windir%\WindowsUpdate.log%windir%\WindowsUpdate.log%windir%\SoftwareDistribution\ReportingEvents.log%windir%\SoftwareDistribution\ReportingEvents.log

Forcer une détection : wuauclt.exe /detectnowForcer une détection : wuauclt.exe /detectnowRéinitialiser le cookie et forcer une détection : Réinitialiser le cookie et forcer une détection : wuauclt.exe /resetauthorization /detectnowwuauclt.exe /resetauthorization /detectnow

Windows Server Update Windows Server Update Services (WSUS, ex SUS Services (WSUS, ex SUS

2.0)2.0)

Windows Server Update Windows Server Update Services (WSUS, ex SUS Services (WSUS, ex SUS

2.0)2.0)Serveur de gestion de mises à Serveur de gestion de mises à jourjour

Objectifs de WSUS (SUS 2.0)Objectifs de WSUS (SUS 2.0)

Construire l’Construire l’infrastructureinfrastructure de base de la de base de la gestion des mises à jourgestion des mises à jourCréer une Créer une solutionsolution facile d’utilisation, facile d’utilisation, néanmoins complète, pour télécharger et néanmoins complète, pour télécharger et distribuer des mises à jour de produits distribuer des mises à jour de produits MicrosoftMicrosoft

Critiques ou nonCritiques ou nonRapports centralisésRapports centralisésGarantie de l’installationGarantie de l’installationDépannageDépannageSystèmes ou applicationsSystèmes ou applications

Répondre à vos demandes Répondre à vos demandes par rapport à la par rapport à la version SUS 1.0 (qui ne prend en charge que version SUS 1.0 (qui ne prend en charge que les mises à jour critiques ou sécurité de les mises à jour critiques ou sécurité de Windows)Windows)

Les fonctionnalités demandées par Les fonctionnalités demandées par nos clientsnos clients

*En partie possible via le réglage de la fréquence de détection et des scripts

Fonctionnalités demandéesFonctionnalités demandées SUS 1.0 SP1SUS 1.0 SP1 WSUSWSUS

Support des Service PacksSupport des Service Packs Installation sur SBS et sur des contrôleurs de domaineInstallation sur SBS et sur des contrôleurs de domaine Support d’Office et d’autres produits MicrosoftSupport d’Office et d’autres produits Microsoft Support d’autres types de mises à jourSupport d’autres types de mises à jour Désinstallation de mise à jourDésinstallation de mise à jour Ciblage des mises à jourCiblage des mises à jour Amélioration du support pour les réseaux bas débitAmélioration du support pour les réseaux bas débit Réduction de la quantité de données à téléchargerRéduction de la quantité de données à télécharger Réglage de la fréquence de détection des mises à jourRéglage de la fréquence de détection des mises à jour Minimiser l’interruption de l’utilisateurMinimiser l’interruption de l’utilisateur Déploiement d’urgence d’un correctif (‘gros bouton Déploiement d’urgence d’un correctif (‘gros bouton rouge’)rouge’)

**

Déploiement de mises à jour d’autres applications non Déploiement de mises à jour d’autres applications non MicrosoftMicrosoft

Support de NT4Support de NT4

Produits supportésProduits supportés

Client WSUSClient WSUSWindowsWindows

Windows 2000 SP3 +Windows 2000 SP3 +Windows XPWindows XPWindows Server 2003 (SP1 mini pour versions 64 bits)Windows Server 2003 (SP1 mini pour versions 64 bits)

OfficeOfficeOffice XP SP2 et Office 2003Office XP SP2 et Office 2003

SQL ServerSQL ServerSQL 2000 et MSDE 2000SQL 2000 et MSDE 2000

Exchange ServerExchange ServerExchange Server 2003Exchange Server 2003

A terme, plus de produits Microsoft (comme ISA A terme, plus de produits Microsoft (comme ISA Server 2004 par exemple)Server 2004 par exemple)

Produits supportésProduits supportés

Server WSUSServer WSUSWindows Server 2003 (32 bits)Windows Server 2003 (32 bits)

IIS6IIS6BITS 2.0 for Windows Server 2003 (pas encore dispo en BITS 2.0 for Windows Server 2003 (pas encore dispo en version finale)version finale).NET Framework 1.1 SP1 for Windows Server 2003.NET Framework 1.1 SP1 for Windows Server 2003

Windows 2000 Server SP4Windows 2000 Server SP4IIS5IIS5BITS 2.0 for Windows 2000 (pas encore dispo en version BITS 2.0 for Windows 2000 (pas encore dispo en version finale)finale)Base de données 100% compatible SQL Server (ex : Base de données 100% compatible SQL Server (ex : MSDE 2000)MSDE 2000)IE 6.0 SP1IE 6.0 SP1.NET Framework 1.1 avec SP1.NET Framework 1.1 avec SP1

L’administrateur souscrit à certaines catégories de mises à jourLe serveur télécharge les mises à jour depuis Microsoft UpdateLes clients s’enregistrent auprès du serveurL’administrateur met les clients dans différents groupes cibles

L’administrateur approuve les mises à jourLes clients installent les mises à jour approuvées par l’administrateur

< Back Finish Cancel

Windows Update ServicesWindows Update Services

< Back Finish Cancel

Windows Update ServicesWindows Update Services

Microsoft Update(utilise WSUS)

Serveur WSUS

Postes de travail (clients WSUS) Groupe cible 1

Serveurs (clients WSUS)Groupe cible 2

Administrateur WSUS

Aperçu de la solution WSUSAperçu de la solution WSUS

Client AUClient AU

Possibilité de mise à jour silencieuse du Possibilité de mise à jour silencieuse du client à partir du serveur WSUSclient à partir du serveur WSUS

Configurer les Mises à jour Configurer les Mises à jour automatiques (AutoUpdate) en automatiques (AutoUpdate) en spécifiant un serveur intranet de Mise à spécifiant un serveur intranet de Mise à jour Microsoftjour Microsoft

Ciblage (GPO ou pas)Ciblage (GPO ou pas)

Attention : Windows XP sans Service Attention : Windows XP sans Service PackPack

Pré-installation (Pré-installation (selfupdateselfupdate))

Groupes ciblesGroupes cibles

Utilité : cibler des mises à jour sur des Utilité : cibler des mises à jour sur des machines spécifiquesmachines spécifiques

Groupe cible de testGroupe cible de test

Groupe cible de productionGroupe cible de production

Deux types de ciblageDeux types de ciblageCôté serveurCôté serveur

L’administrateur WSUS gère l’appartenance aux groupes L’administrateur WSUS gère l’appartenance aux groupes depuis le site d’administration (listes sur le serveur)depuis le site d’administration (listes sur le serveur)

Côté clientCôté clientAppartenance gérée automatiquementAppartenance gérée automatiquement

En utilisant des stratégies de groupe (même groupe pour En utilisant des stratégies de groupe (même groupe pour toutes les machines d’une même UO d’Active Directory)toutes les machines d’une même UO d’Active Directory)

En utilisant le registreEn utilisant le registre

AbonnementsAbonnements

Permet de choisir quelles mises à jour Permet de choisir quelles mises à jour télécharger et quandtélécharger et quand

Produit / Type de mise à jour (sécu, SP,FP, Produit / Type de mise à jour (sécu, SP,FP, pilote,etc…)pilote,etc…)En fait une mise à jour est composée de deux En fait une mise à jour est composée de deux élémentséléments

Un correctifUn correctifLes méta données décrivant le correctifLes méta données décrivant le correctif

Par défaut :Par défaut :seules les méta données sont téléchargées (catalogue)seules les méta données sont téléchargées (catalogue)les correctifs sont téléchargés s’ils sont approuvés les correctifs sont téléchargés s’ils sont approuvés (contenu)(contenu)

Synchro Synchro ManuelleManuelleAutomatiqueAutomatique

Approbation de mise à jourApprobation de mise à jour

Vérification avant déploiement (Vérification avant déploiement (détectiondétection))Évalue l’impact d’une mise à jour sur le Évalue l’impact d’une mise à jour sur le réseau avant qu’elle ne soit déployéeréseau avant qu’elle ne soit déployée

Au niveau de l’approbation d’une mise à jour, Au niveau de l’approbation d’une mise à jour, choisir l’action choisir l’action Detect onlyDetect onlyAprès un cycle de détection des clients, la Après un cycle de détection des clients, la rubrique rubrique StatusStatus de la mise à jour indique le de la mise à jour indique le nombre de machines qui nécessitent la mise à journombre de machines qui nécessitent la mise à jour

Installation lors de la prochaine date planifiéeInstallation lors de la prochaine date planifiéeInstallation avec date butoir (passée une date Installation avec date butoir (passée une date donnée, l’installation devient obligatoire si on donnée, l’installation devient obligatoire si on utilise AU quel que soit le mode, auto ou pas)utilise AU quel que soit le mode, auto ou pas)Désinstallation (nécessite que la mise à jour Désinstallation (nécessite que la mise à jour le supporte)le supporte)

Approbation automatique ?Approbation automatique ?

Par défaut, « détection » automatique pourPar défaut, « détection » automatique pourLes mises à jour critiques et de sécuritéLes mises à jour critiques et de sécuritéTous les groupes ciblesTous les groupes cibles

Par défaut, aucune approbation Par défaut, aucune approbation automatique pour l’installationautomatique pour l’installation

On pourrait choisir des types de mises à jour, et On pourrait choisir des types de mises à jour, et des groupes ciblesdes groupes cibles

En cas de révision d’une mise à jour, la En cas de révision d’une mise à jour, la nouvelle version obtient le même niveau nouvelle version obtient le même niveau d’approbation que l’ancienne (désactivable d’approbation que l’ancienne (désactivable pour effectuer un choix manuel)pour effectuer un choix manuel)

RapportsRapports

Rapport standard consolidé (activités Rapport standard consolidé (activités clients)clients)

Par machine / par mise à jour / par groupe Par machine / par mise à jour / par groupe ciblecible

Succès et échecs des téléchargements et Succès et échecs des téléchargements et installations avec les détails sur les erreursinstallations avec les détails sur les erreurs

Rapport sur les synchrosRapport sur les synchrosNouveautés, changementsNouveautés, changements

démo WSUSdémo WSUSdémo WSUSdémo WSUS

Installation avec date butoirInstallation avec date butoir

CommunicationsCommunications

Configuration des paramètres de proxy Configuration des paramètres de proxy (éventuellement compte + mot de passe)(éventuellement compte + mot de passe)

Faible utilisation de la bande passanteFaible utilisation de la bande passanteBITS pour les téléchargements client-serveur et BITS pour les téléchargements client-serveur et serveur-serveurserveur-serveur

Mise à jour par “abonnement” (par produit/par type) Mise à jour par “abonnement” (par produit/par type)

Support des technologies “delta compression” Support des technologies “delta compression”

Téléchargement dissocié des correctifs et de leurs Téléchargement dissocié des correctifs et de leurs méta donnéesméta données

Port utilisé : 80 ou 8530 (attention, dans ce cas pour Port utilisé : 80 ou 8530 (attention, dans ce cas pour mettre à jour de « vieux » clients, il faut maintenir mettre à jour de « vieux » clients, il faut maintenir un site sur le port 80)un site sur le port 80)

Options de déploiement des Options de déploiement des serveursserveurs

Déploiement hiérarchiqueDéploiement hiérarchiqueServeurs indépendantsServeurs indépendants

Serveurs miroirs (« replica »)Serveurs miroirs (« replica »)

Serveurs non connectés à InternetServeurs non connectés à Internet

Postes de travail Clients

Postes de travail Clients

Serveurs WSUSServeurs WSUS

Microsoft Update

Serveur WSUS

Serveur WSUS

HiérarchieHiérarchie

Attention : il est conseillé de ne pas Attention : il est conseillé de ne pas dépasser 3 niveaux dans la hiérarchie dépasser 3 niveaux dans la hiérarchie pour des questions de latence de pour des questions de latence de propagation des mises à jourpropagation des mises à jour

Mode replica (miroir), ou pas, se définit Mode replica (miroir), ou pas, se définit à l’installation seulementà l’installation seulement

Postes de travail Clients

Serveurs non connectésServeurs non connectés

Microsoft Update

Serveur WSUS

Serveur WSUS (autonome)Importation et exportation

manuelles

ProcédureProcédure

S’assurer que sur les serveurs les options S’assurer que sur les serveurs les options avancées de synchronisation (installation avancées de synchronisation (installation express, langues) sont les mêmesexpress, langues) sont les mêmes

Pas de problème pour le planning, les catégories Pas de problème pour le planning, les catégories de produits, le proxy…de produits, le proxy…

Copier les mises à jour depuis \WSUS\Copier les mises à jour depuis \WSUS\WSUSContent (utilitaire de sauvegarde de WSUSContent (utilitaire de sauvegarde de Windows, en mode incrémental par ex.)Windows, en mode incrémental par ex.)Exporter les méta données de la base de Exporter les méta données de la base de donnéesdonnées

WSUSutil.exe (32 bits seulement; il faut être WSUSutil.exe (32 bits seulement; il faut être admin)admin)

Copier le contenu sur le serveur destinationCopier le contenu sur le serveur destinationPuis importer les méta données avec Puis importer les méta données avec WSUSutil.exeWSUSutil.exe

StockageStockage

Base de données pour gérer tout ce qui n’est Base de données pour gérer tout ce qui n’est pas contenupas contenuPrise en compte des dépendances entre les Prise en compte des dépendances entre les mises à jourmises à jourMSDE vs SQL ServerMSDE vs SQL Server

MSDE a une limite de 2GoMSDE a une limite de 2GoMises à jour hébergées sur Microsoft Update Mises à jour hébergées sur Microsoft Update (WSUS sert alors seulement de point de (WSUS sert alors seulement de point de contrôle) ou en localcontrôle) ou en localFiltrage de contenu Filtrage de contenu

Ne garder que les plateformes et langues dont Ne garder que les plateformes et langues dont vous avez besoinvous avez besoin

DimensionnementDimensionnementPrévoir une croissance annuelle x nb de languesPrévoir une croissance annuelle x nb de langues

SécuritéSécurité

Sur le client et sur le serveur Sur le client et sur le serveur Vérification de signature des contenus Vérification de signature des contenus téléchargés téléchargés

Permissions sur les contenus téléchargésPermissions sur les contenus téléchargés

Mise en place de SSL pour l’échange Mise en place de SSL pour l’échange des métadonnéesdes métadonnées

A faire sur votre serveur (mentionné sur la A faire sur votre serveur (mentionné sur la page d’accueil)page d’accueil)

Mise en place de SSL ?Mise en place de SSL ?

Pour protéger le transfert des méta donnéesPour protéger le transfert des méta donnéesNe pas appliquer sur tout le site car une partie du trafic doit se Ne pas appliquer sur tout le site car une partie du trafic doit se faire en HTTP (en clair)faire en HTTP (en clair)

SSL surSSL surSimpleAuthWebServiceSimpleAuthWebServiceDSSAuthWebServiceDSSAuthWebServiceServerSyncWebServiceServerSyncWebServiceWSUSAdminWSUSAdminClientWebServiceClientWebService

Mais pas surMais pas surContentContentReportingWebServiceReportingWebServiceSelfUpdateSelfUpdate

Port : 443 ou 8531 (si port personnalisé en 8530 pour le trafic Port : 443 ou 8531 (si port personnalisé en 8530 pour le trafic normal)normal)Sur les serveurs subordonnés, importer le certificat dans le Sur les serveurs subordonnés, importer le certificat dans le magasin des autorités de certification racines de confiance de magasin des autorités de certification racines de confiance de l’ordinateur local ou dans le magasin des autorités de certification l’ordinateur local ou dans le magasin des autorités de certification racines de confiance de Windows Server Update Servicesracines de confiance de Windows Server Update Services

Mise en place de SSL ?Mise en place de SSL ?

InconvénientsInconvénientsPerte de 10% de performance sur le serveurPerte de 10% de performance sur le serveurLa connexion entre le serveur et la base de La connexion entre le serveur et la base de données n’utilise pas SSLdonnées n’utilise pas SSL

Les mettre sur la même machineLes mettre sur la même machineOu sur un même réseau privéOu sur un même réseau privéOu utiliser IPsecOu utiliser IPsec

Configuration des clientsConfiguration des clientsChanger l’URL du serveur WSUS (ex : Changer l’URL du serveur WSUS (ex : https://monserveurWSUS)https://monserveurWSUS)Importation du certificat dans le magasin des Importation du certificat dans le magasin des autorités de certification racines de confiance de autorités de certification racines de confiance de l’ordinateur local ou dans le magasin des autorités l’ordinateur local ou dans le magasin des autorités de certification racines de confiance du service de certification racines de confiance du service Mises à jour automatiquesMises à jour automatiques

FlexibilitéFlexibilité

Changement des portsChangement des portsSauf pour contacter MUSauf pour contacter MU

Infrastructure et plateformeInfrastructure et plateformeOption en ligne de commande pour Option en ligne de commande pour déclencher une détection côté client : déclencher une détection côté client : wuauclt.exe /detectnowwuauclt.exe /detectnow

API du client en COM exécutables à API du client en COM exécutables à distance et scriptablesdistance et scriptables

API du serveur basées sur .Net FrameworkAPI du serveur basées sur .Net Framework

Exemple de scriptExemple de script

Le serveur et le client exposent tous les deux Le serveur et le client exposent tous les deux des API scriptablesdes API scriptables

Dim update, iDim update, iset AutoUpdate = CreateObject("Microsoft.Update.AutoUpdate")set AutoUpdate = CreateObject("Microsoft.Update.AutoUpdate")Autoupdate.DetectNow()Autoupdate.DetectNow()set UpdateSession = CreateObject("Microsoft.Update.Session")set UpdateSession = CreateObject("Microsoft.Update.Session")set UpdateSearcher = UpdateSession.CreateUpdateSearcher()set UpdateSearcher = UpdateSession.CreateUpdateSearcher()set SearchResult= UpdateSearcher.Search("")set SearchResult= UpdateSearcher.Search("")set Updates = SearchResult.Updatesset Updates = SearchResult.Updatesset UpdatesToInstall = set UpdatesToInstall =

CreateObject("Microsoft.Update.UpdateColl")CreateObject("Microsoft.Update.UpdateColl")For i = 0 to (Updates.Count-1)For i = 0 to (Updates.Count-1)

UpdatesToInstall.Add(Updates.Item(i))UpdatesToInstall.Add(Updates.Item(i))NextNextset Installer = UpdateSession.CreateUpdateInstaller()set Installer = UpdateSession.CreateUpdateInstaller()Installer.Updates = UpdatesToInstallInstaller.Updates = UpdatesToInstallset InstallationResult = Installer.Install()set InstallationResult = Installer.Install()

Détection

Approbation

Installation

SuggestionsSuggestionsSuggestionsSuggestions

Mises à jour de serveursMises à jour de serveursSuggestionsSuggestions

Définir des groupes cibles (GPO ou Définir des groupes cibles (GPO ou interface d’administration WSUS)interface d’administration WSUS)

Configurer les clients Mises à jour Configurer les clients Mises à jour automatiques (GPO ou registre)automatiques (GPO ou registre)

Installation auto ou notification avant Installation auto ou notification avant installationinstallation

Si notification, ouverture de session ou Si notification, ouverture de session ou script pour installationscript pour installation

Mises à jour de serveursMises à jour de serveursSuggestionsSuggestions

Pour les serveurs avec des fenêtres de Pour les serveurs avec des fenêtres de maintenance, configurer les Mises à maintenance, configurer les Mises à jour automatiques pour une installation jour automatiques pour une installation planifiée durant la fenêtreplanifiée durant la fenêtre

Pour les serveurs sans créneaux de Pour les serveurs sans créneaux de maintenance : maintenance :

Configurer les Mises à jour automatiques Configurer les Mises à jour automatiques pour notifier avant l’installationpour notifier avant l’installation

Ouvrir une session sur le serveur ou utiliser Ouvrir une session sur le serveur ou utiliser les API pour effectuer l’installation lorsque les API pour effectuer l’installation lorsque c’est nécessairec’est nécessaire

Mises à jour de serveursMises à jour de serveursSuggestionsSuggestions

DatacentersDatacentersUtiliser les stratégies BITS pour limiter la Utiliser les stratégies BITS pour limiter la bande passante et les fenêtres de bande passante et les fenêtres de téléchargementtéléchargement

Configurer les Mises à jour automatiques Configurer les Mises à jour automatiques pour notifier avant l’installationpour notifier avant l’installation

Utiliser les API pour effectuer l’installation Utiliser les API pour effectuer l’installation lorsque c’est nécessaire lorsque c’est nécessaire

ClustersClustersScripter la mise à jour nœud après noeudScripter la mise à jour nœud après noeud

Connexion à Microsoft UpdateConnexion à Microsoft Update

Ouverture du pare-feuOuverture du pare-feuHTTP 80 et HTTPS 443 pour joindre les serveurs HTTP 80 et HTTPS 443 pour joindre les serveurs Microsoft sur le WebMicrosoft sur le WebListe des domaines :Liste des domaines :

·· http://windowsupdate.microsoft.com http://windowsupdate.microsoft.com ·· http://*.windowsupdate.microsoft.com http://*.windowsupdate.microsoft.com ·· https://*.windowsupdate.microsoft.com https://*.windowsupdate.microsoft.com ·· http://*.update.microsoft.com http://*.update.microsoft.com ·· https://*.update.microsoft.com https://*.update.microsoft.com ·· http://*.windowsupdate.com http://*.windowsupdate.com ·· http://download.windowsupdate.comhttp://download.windowsupdate.com·· http://download.microsoft.com http://download.microsoft.com ·· http://*.download.windowsupdate.com http://*.download.windowsupdate.com ·· http://wustat.windows.com http://wustat.windows.com ·· http://ntservicepack.microsoft.comhttp://ntservicepack.microsoft.com

Filtrage d’URL (type URLScan)Filtrage d’URL (type URLScan)

Si vous l’utilisez, il faut :Si vous l’utilisez, il faut :autoriser les extensions de type .exe (les autoriser les extensions de type .exe (les enlever de la section [DenyExtensions]enlever de la section [DenyExtensions]

Autoriser dans [AllowVerbs]Autoriser dans [AllowVerbs]GETGET

HEADHEAD

POSTPOST

OPTIONSOPTIONS

Dimensionnement du serveurDimensionnement du serveur

Jusqu’à 500 clients

MinimumMinimum RecommandéRecommandé

ProcesseurProcesseur 750 MHz750 MHz 1 GHz ou +1 GHz ou +

RAMRAM 512 Mo512 Mo 1 Go1 Go

Base de donnéesBase de données WMSDE/MSDEWMSDE/MSDE WMSDE/MSDEWMSDE/MSDE

De 500 à 15 000 clients

MinimumMinimum RecommandéRecommandé

ProcesseurProcesseur 1 GHz ou +1 GHz ou + Bi-processeur à 3 Bi-processeur à 3 GHz ou + (2 GHz ou + (2 processeurs pour processeurs pour plus de 10 000 plus de 10 000 clients)clients)

RAMRAM 1 Go1 Go 1 GB1 GB

Base de donnéesBase de données SQL Server 2000 SQL Server 2000 SP3aSP3a

SQL Server 2000 SQL Server 2000 SP3aSP3a

Espace disqueEspace disque

NTFS requisNTFS requis

Partition système : 1 Go libre au moinsPartition système : 1 Go libre au moins

Partition stockant le contenu WSUS : 6 Partition stockant le contenu WSUS : 6 Go mini (30 Go recommandés)Go mini (30 Go recommandés)

Partition où la base de données sera Partition où la base de données sera installée : 2 Go minimuminstallée : 2 Go minimum

InstallationInstallation

Vue des différentes étapes de Vue des différentes étapes de l’assistant d’installation (document l’assistant d’installation (document Step by step guide to getting started Step by step guide to getting started with Microsoft Windows Server Update with Microsoft Windows Server Update ServicesServices))

Maîtrise bande passante & Maîtrise bande passante & espace disqueespace disqueSuggestionsSuggestions

Limiter la bande passante et l’espace Limiter la bande passante et l’espace disquedisque

Choix des types de mise à jour dans Choix des types de mise à jour dans l’abonnement l’abonnement

Choix des languesChoix des langues

Télécharger seulement les méta-données Télécharger seulement les méta-données sans les correctifs (les correctifs sont sans les correctifs (les correctifs sont téléchargés quand ils sont approuvés)téléchargés quand ils sont approuvés)

Utiliser les installations express (deltas) ou Utiliser les installations express (deltas) ou paspas

Groupes d’ordinateursGroupes d’ordinateursSuggestionsSuggestions

Groupes ciblesGroupes ciblesDiviser les machines par catégories de Diviser les machines par catégories de machines relativement homogènesmachines relativement homogènes

A l’intérieur de chaque catégorie, définir un A l’intérieur de chaque catégorie, définir un groupe Pilote et un groupe Productiongroupe Pilote et un groupe Production

Préférer la répartition par GPO plutôt que Préférer la répartition par GPO plutôt que par clé de registrepar clé de registre

Configuration du clientConfiguration du clientSuggestionsSuggestions

Choix de l’installation automatisée Choix de l’installation automatisée (sauf exceptions, dans ce cas obliger à (sauf exceptions, dans ce cas obliger à utiliser AutoUpdate sans forcer le utiliser AutoUpdate sans forcer le moment de l’installation)moment de l’installation)

Appartenance à un groupe cible : via Appartenance à un groupe cible : via GPOGPO

Configuration du clientConfiguration du clientSuggestionsSuggestions

Choix de l’heure d’installation (possibilité de Choix de l’heure d’installation (possibilité de répartir les heures selon les machines via GPO, ce répartir les heures selon les machines via GPO, ce qui laisse l’occasion d’étaler l’installation sur le qui laisse l’occasion d’étaler l’installation sur le groupe Production et éventuellement de détecter groupe Production et éventuellement de détecter d’éventuels problèmes)d’éventuels problèmes)

Fréquence de détection configurable (du client Fréquence de détection configurable (du client vers le serveur, de 1H à 22H, par défaut 22H et vers le serveur, de 1H à 22H, par défaut 22H et durée effective tirée aléatoirement entre 80% et durée effective tirée aléatoirement entre 80% et 100% de la durée indiquée) : 12H pour la 100% de la durée indiquée) : 12H pour la production et 1H pour le Piloteproduction et 1H pour le Pilote

Délai de redémarrage et intervalle avant nouvelle Délai de redémarrage et intervalle avant nouvelle demande de redémarrage (si redémarrage demande de redémarrage (si redémarrage repoussé) : 45 minrepoussé) : 45 min

Configuration du clientConfiguration du clientSuggestionsSuggestions

Notification pour les non Notification pour les non administrateurs (en fonction du mode administrateurs (en fonction du mode d’installation) : désactivéd’installation) : désactivéPas de redémarrage planifié (pour Pas de redémarrage planifié (pour laisser l’utilisateur redémarrer quand il laisser l’utilisateur redémarrer quand il le veut) : désactivéle veut) : désactivéReplanifier les installations planifiées Replanifier les installations planifiées (après redémarrage) : 25 min(après redémarrage) : 25 minAutoriser l’installation immédiate des Autoriser l’installation immédiate des mises à jour automatiques : oui sur le mises à jour automatiques : oui sur le Pilote, non sur la productionPilote, non sur la production

Approbation de mise à jourApprobation de mise à jourSuggestionsSuggestions

Vérification avant déploiement (détection) : à Vérification avant déploiement (détection) : à utiliser largement sur Productionutiliser largement sur Production

Installation : pour les mises à jour normalesInstallation : pour les mises à jour normales

Installation avec date butoir : pour les mises à Installation avec date butoir : pour les mises à jour de sécurité critiques (positionnement à date jour de sécurité critiques (positionnement à date de sortie du bulletin + 9 jours)de sortie du bulletin + 9 jours)

Désinstallation : à vérifier via rapports après coup Désinstallation : à vérifier via rapports après coup (cycle complet de détection, soit 22H par défaut)(cycle complet de détection, soit 22H par défaut)

Re-approbation automatique (utiliser ou non Re-approbation automatique (utiliser ou non automatiquement la nouvelle révision de mise à automatiquement la nouvelle révision de mise à jour) : désactivé (attention : surveiller jour) : désactivé (attention : surveiller l’occurrence de ces mises à jour)l’occurrence de ces mises à jour)

 

*utilisation de Windows Update, d'un autre outil de mise à jour ou mise à jour manuelle pour les systèmes et applications non supportés *utilisation de Windows Update, d'un autre outil de mise à jour ou mise à jour manuelle pour les systèmes et applications non supportés par WSUS ou Microsoft Updatepar WSUS ou Microsoft Update

ClientClient ScénarioScénario ChoixChoix

Grande ou Grande ou moyenne moyenne entrepriseentreprise

Besoin d'une solution unique et flexible de gestion Besoin d'une solution unique et flexible de gestion des mises à jour avec un niveau élevé de contrôle des mises à jour avec un niveau élevé de contrôle et de distribution pour TOUTES les versions de et de distribution pour TOUTES les versions de Windows et d'applications, ainsi qu'une solution de Windows et d'applications, ainsi qu'une solution de gestion du parc intégrégestion du parc intégré

SMS 2003SMS 2003

Besoin seulement d'une solution de mise à Besoin seulement d'une solution de mise à jour simple pour les produits Microsoft, et jour simple pour les produits Microsoft, et dans un premier temps Windows (2000 et dans un premier temps Windows (2000 et ultérieur), Office (2003 & XP), Exchange ultérieur), Office (2003 & XP), Exchange 2003, SQL Server 2000 et MSDE 20002003, SQL Server 2000 et MSDE 2000

WSUSWSUS**

Petite Petite entrepriseentreprise

Au moins un serveur et un administrateurAu moins un serveur et un administrateur WSUSWSUS**

Tous les autres scénariosTous les autres scénarios Microsoft Microsoft UpdateUpdate**

ConsommateConsommateurur Tous les scénariosTous les scénarios Microsoft Microsoft

UpdateUpdate**

Choisir une solution de Choisir une solution de gestion des correctifsgestion des correctifs

Migration de SUS1 vers WSUSMigration de SUS1 vers WSUS

Pas de mise à jour mais une migration Pas de mise à jour mais une migration des mises à jour et des approbations des mises à jour et des approbations (et c’est tout)(et c’est tout)

WSUSutil.exeWSUSutil.exe

SUS1 et WSUS peuvent cohabiter sur SUS1 et WSUS peuvent cohabiter sur un même serveurun même serveur

Limites de la migrationLimites de la migration

WSUS et SUS 1.0 ne peuvent pas WSUS et SUS 1.0 ne peuvent pas synchroniser leurs méta données l’un synchroniser leurs méta données l’un avec l’autreavec l’autre

Pas de migration des paramètres de Pas de migration des paramètres de proxyproxy

Pas de migration des paramètres d’IISPas de migration des paramètres d’IIS

Migration unidirectionnelle de SUS 1.0 Migration unidirectionnelle de SUS 1.0 vers WSUSvers WSUS

La migration des approbations de mises La migration des approbations de mises à jour écrase les approbations existantes à jour écrase les approbations existantes d’un groupe d’ordinateursd’un groupe d’ordinateurs

Migration avec un seul Migration avec un seul serveurserveur

Pour économiser le nombre de serveursPour économiser le nombre de serveurs

Nécessite d’installer WSUS sur un port Nécessite d’installer WSUS sur un port différent de SUS 1.0différent de SUS 1.0

Nécessite la mise à jour des clients au fur et Nécessite la mise à jour des clients au fur et à mesure qu’ils se connectent au serveur à mesure qu’ils se connectent au serveur WSUSWSUS

Redirection des clients vers un port différent Redirection des clients vers un port différent du même serveurdu même serveur

Les clients utilisent toujours SUS 1.0 pour Les clients utilisent toujours SUS 1.0 pour les mises à jour jusqu’à ce qu’ils soient les mises à jour jusqu’à ce qu’ils soient redirigés vers le port de WSUS, ou que SUS redirigés vers le port de WSUS, ou que SUS 1.0 soit retiré1.0 soit retiré

RessourcesRessourcesRessourcesRessources

RéférencesRéférences

Site sécurité :Site sécurité :http://www.microsoft.com/france/securitehttp://www.microsoft.com/france/securite Newsgroup : microsoft.public.fr.update_services Newsgroup : microsoft.public.fr.update_services Gestion des mises à jour de sécurité :Gestion des mises à jour de sécurité :http://www.microsoft.com/france/technet/securite/http://www.microsoft.com/france/technet/securite/gestionmaj/default.aspgestionmaj/default.asp Wiki WSUS : Wiki WSUS : www.wsuswiki.comwww.wsuswiki.com Site WSUS (en anglais) : Site WSUS (en anglais) : http://www.microsoft.com/http://www.microsoft.com/windowsserversystem/updateserviceswindowsserversystem/updateservices

Téléchargement des fichiers d’installationTéléchargement des fichiers d’installationLivres blancsLivres blancs

Step-by-Step Guide to Getting Started with Microsoft Windows Server Step-by-Step Guide to Getting Started with Microsoft Windows Server Update ServicesUpdate ServicesDeploying Microsoft Windows Server Update ServicesDeploying Microsoft Windows Server Update ServicesMicrosoft Windows Server Update Services Operations GuideMicrosoft Windows Server Update Services Operations Guide……

Outils de dépannage : Outils de dépannage : http://www.microsoft.com/windowsserversystem/uhttp://www.microsoft.com/windowsserversystem/updateservices/techinfo/default.mspxpdateservices/techinfo/default.mspx

Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec

91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex

www.microsoft.com/france

0 825 827 8290 825 827 829

msfrance@microsoft.commsfrance@microsoft.com