Upload
felicienne-ollivier
View
123
Download
6
Embed Size (px)
Citation preview
Windows Server Update Windows Server Update Services (WSUS)Services (WSUS)
Windows Server Update Windows Server Update Services (WSUS)Services (WSUS)
Cyril VoisinCyril VoisinChef de programme Chef de programme SécuritéSécuritéMicrosoft FranceMicrosoft France
La stratégie sécurité de MicrosoftLa stratégie sécurité de Microsoft
Isolation et Isolation et résiliencerésilience
Authentification,Authentification,Autorisation,Autorisation,
AuditAuditExcellence Excellence
dedel’engineeringl’engineering
Mise à jourMise à jouravancéeavancée
Conseils,Conseils,Outils,Outils,
RéponseRéponse
Simplifier le processus de Simplifier le processus de mise à jourmise à jour
Amélioration des mises à jourAmélioration des mises à jour
Diminuer les coûts de mise à jour tout en Diminuer les coûts de mise à jour tout en augmentant l’efficacitéaugmentant l’efficacité
Moins d’installateurs et taille réduiteMoins d’installateurs et taille réduite
Outils améliorés pour l’évaluation et le Outils améliorés pour l’évaluation et le déploiementdéploiement
Étendus à toutes les technologies MicrosoftÉtendus à toutes les technologies Microsoft
Prolifération des correctifsProlifération des correctifs
Temps avant exploitation en Temps avant exploitation en baissebaisse
Exploitations plusExploitations plussophistiquéesophistiquée
L’approche classique n’est L’approche classique n’est pas suffisantepas suffisante
151151180180
331331
Blaster
Blaster
Welchia/ Nachi
Welchia/ Nachi
NimdaNimda
2525
SQL Slammer
SQL Slammer
Nombre de jours Nombre de jours entre le correctif et entre le correctif et
l’exploitationl’exploitation
Zoom sur les vers et Zoom sur les vers et vulnérabilitésvulnérabilités
1818
Sasser
Sasser
Consolidation autour de 2 installateurs de correctifs pour Consolidation autour de 2 installateurs de correctifs pour Windows 2000 et ultérieur, SQL, Office & Exchange. Windows 2000 et ultérieur, SQL, Office & Exchange. Comportement cohérent entre tous les correctifs (SUS Comportement cohérent entre tous les correctifs (SUS 2.0, MSI 3.x)2.0, MSI 3.x)
Étendre Étendre l’automatisation à l’automatisation à tous les produitstous les produits
SMS 2003 offre la capacité de déployer les correctifs pour SMS 2003 offre la capacité de déployer les correctifs pour toutes les plateformes et applications supportéestoutes les plateformes et applications supportées
Tous les correctifs Microsoft ont le même comportement pour Tous les correctifs Microsoft ont le même comportement pour l’installation (MSI 3.x + SUS 2.0) et seront disponibles à un l’installation (MSI 3.x + SUS 2.0) et seront disponibles à un seul endroit : Microsoft Updateseul endroit : Microsoft Update
Réduire la taille des Réduire la taille des correctifscorrectifs
Maintenant : réduction de la taille des correctifs de 35% ou Maintenant : réduction de la taille des correctifs de 35% ou plus. plus. 80% de réduction 80% de réduction (technologie de correction par différence - (technologie de correction par différence - delta patching –delta patching –amélioration des fonctionnalités avec MSI 3.0)amélioration des fonctionnalités avec MSI 3.0)
Réduire la Réduire la complexité des complexité des
correctifscorrectifs
Réduire le risque Réduire le risque de déploiement de déploiement d’un correctifd’un correctif
Maintenant : tests internes accrus ; test des pré-Maintenant : tests internes accrus ; test des pré-versions de correctifs par nos clientsversions de correctifs par nos clientsPossibilité de retour arrière pour Windows, SQL Server, Possibilité de retour arrière pour Windows, SQL Server, Exchange, OfficeExchange, Office
Réduire Réduire l’indisponibilitél’indisponibilité
Maintenant : - 10 % de redémarrages pour Windows 2000 Maintenant : - 10 % de redémarrages pour Windows 2000 et +et +30 % de redémarrages en moins pour Windows Server 30 % de redémarrages en moins pour Windows Server 2003 (à partir du SP1). 2003 (à partir du SP1). Jusqu’à 70 % de réduction pour la prochaine version Jusqu’à 70 % de réduction pour la prochaine version serveurserveur
Votre besoinVotre besoin Notre réponseNotre réponse
Améliorer la gestion des correctifsAméliorer la gestion des correctifs
HierHierMaintenaMaintenantnt Windows, SQL,Windows, SQL,
Exchange, Office…Exchange, Office…
Windows, SQL,Windows, SQL,Exchange, Office…Exchange, Office…
Office Update
Download Center
SUSSUS SMSSMS
““Microsoft Update”Microsoft Update”(Windows Update)(Windows Update)
VS Update
Windows Update
Windows seulementWindows seulement
Windows seulementWindows seulement
UpdateUpdateServicesServices
Mises à jourMises à jour
Automatic Updates (AU)Automatic Updates (AU)Automatic Updates (AU)Automatic Updates (AU)
Service de Mises à jour Service de Mises à jour automatiques (le client de WSUS)automatiques (le client de WSUS)
Automatic Updates (AU)Automatic Updates (AU)DescriptionDescription
Service local (Mises à jour automatiques) Service local (Mises à jour automatiques) automatisant l’accès à WU permettantautomatisant l’accès à WU permettant
D’obtenir automatiquement les mises à jour D’obtenir automatiquement les mises à jour critiques et de sécurité de Windows dont elle a critiques et de sécurité de Windows dont elle a besoinbesoin
De les installer automatiquement (si le De les installer automatiquement (si le propriétaire de la machine le souhaite)propriétaire de la machine le souhaite)
Quand on le connecte à WU (ou MU) : à Quand on le connecte à WU (ou MU) : à destination du grand public et des TPEdestination du grand public et des TPE
Quand on le connecte à WSUS, c’est LE client Quand on le connecte à WSUS, c’est LE client WSUS (à destination des PME principalement)WSUS (à destination des PME principalement)
Client Mises à jour Client Mises à jour automatiques (automatiques (AutoUpdateAutoUpdate))
Principe : Principe : se connecte à se connecte à Windows Update, Windows Update, Microsoft Update ou Microsoft Update ou un serveur WSUS un serveur WSUS pour maintenir la pour maintenir la machine à jourmachine à jour
Mode Mode pullpull
Disponible pourDisponible pourWindows Server 2003Windows Server 2003
Windows 2000 SP3Windows 2000 SP3
Windows XP SP1Windows XP SP1
Installation à l’arrêt (XP SP2)Installation à l’arrêt (XP SP2)
Profiter de l’arrêt de la machine pour Profiter de l’arrêt de la machine pour la maintenir à jourla maintenir à jour
Contrôlé par stratégie de groupeContrôlé par stratégie de groupe
Configuration des clientsConfiguration des clients
Par stratégie de groupe Par stratégie de groupe ou par registreou par registreConfigurer les Mises à Configurer les Mises à jour automatiques jour automatiques (AutoUpdate) (AutoUpdate) Modes d’installation :Modes d’installation :
Notifier avant Notifier avant téléchargement/installatiotéléchargement/installation n Télécharger puis notifier Télécharger puis notifier pour installationpour installationTélécharger et installer Télécharger et installer automatiquement selon la automatiquement selon la planificationplanificationAutoriser les Autoriser les administrateurs locaux à administrateurs locaux à choisir le mode de choisir le mode de configuration (sans configuration (sans pouvoir désactiver pouvoir désactiver AutoUpdateAutoUpdate))
Configuration des clientsConfiguration des clients
Fréquence de détection Fréquence de détection configurable (du client vers configurable (du client vers le serveur) : le serveur) :
22 heures par défaut; 22 heures par défaut; minimum 1 heure (charge minimum 1 heure (charge sur le serveur)sur le serveur)La durée réelle entre deux La durée réelle entre deux détections sera déterminée détections sera déterminée aléatoirement entre 80% et aléatoirement entre 80% et 100% de la durée 100% de la durée paramétréeparamétrée
Délai de redémarrage et Délai de redémarrage et intervalle avant nouvelle intervalle avant nouvelle demande de redémarrage demande de redémarrage (si redémarrage repoussé)(si redémarrage repoussé)Notification pour les non Notification pour les non administrateurs (en fonction administrateurs (en fonction du mode d’installation)du mode d’installation)
Pas de redémarrage planifié Pas de redémarrage planifié (pour laisser l’utilisateur (pour laisser l’utilisateur redémarrer quand il le veut)redémarrer quand il le veut)Replanifier les installations Replanifier les installations planifiées (ex : 5 min après planifiées (ex : 5 min après redémarrage)redémarrage)Autoriser l’installation Autoriser l’installation immédiate des mises à jour immédiate des mises à jour automatiquesautomatiquesNotifie l’utilisateur si Notifie l’utilisateur si redémarrage nécessaireredémarrage nécessaire
DépannageDépannage
Vérifier le démarrage du serviceVérifier le démarrage du serviceVérifier la configuration du clientVérifier la configuration du client
Via l’interface graphique (Propriétés du Poste de Via l’interface graphique (Propriétés du Poste de travail, onglet Mises à jour automatiques)travail, onglet Mises à jour automatiques)Si stratégie de groupe, vérifier son application Si stratégie de groupe, vérifier son application (gpresult)(gpresult)Si rafraîchissement de stratégie de groupe Si rafraîchissement de stratégie de groupe nécessaire : gpupdate /forcenécessaire : gpupdate /forceRegarder Regarder
Journal des événementsJournal des événements%windir%\WindowsUpdate.log%windir%\WindowsUpdate.log%windir%\SoftwareDistribution\ReportingEvents.log%windir%\SoftwareDistribution\ReportingEvents.log
Forcer une détection : wuauclt.exe /detectnowForcer une détection : wuauclt.exe /detectnowRéinitialiser le cookie et forcer une détection : Réinitialiser le cookie et forcer une détection : wuauclt.exe /resetauthorization /detectnowwuauclt.exe /resetauthorization /detectnow
Windows Server Update Windows Server Update Services (WSUS, ex SUS Services (WSUS, ex SUS
2.0)2.0)
Windows Server Update Windows Server Update Services (WSUS, ex SUS Services (WSUS, ex SUS
2.0)2.0)Serveur de gestion de mises à Serveur de gestion de mises à jourjour
Objectifs de WSUS (SUS 2.0)Objectifs de WSUS (SUS 2.0)
Construire l’Construire l’infrastructureinfrastructure de base de la de base de la gestion des mises à jourgestion des mises à jourCréer une Créer une solutionsolution facile d’utilisation, facile d’utilisation, néanmoins complète, pour télécharger et néanmoins complète, pour télécharger et distribuer des mises à jour de produits distribuer des mises à jour de produits MicrosoftMicrosoft
Critiques ou nonCritiques ou nonRapports centralisésRapports centralisésGarantie de l’installationGarantie de l’installationDépannageDépannageSystèmes ou applicationsSystèmes ou applications
Répondre à vos demandes Répondre à vos demandes par rapport à la par rapport à la version SUS 1.0 (qui ne prend en charge que version SUS 1.0 (qui ne prend en charge que les mises à jour critiques ou sécurité de les mises à jour critiques ou sécurité de Windows)Windows)
Les fonctionnalités demandées par Les fonctionnalités demandées par nos clientsnos clients
*En partie possible via le réglage de la fréquence de détection et des scripts
Fonctionnalités demandéesFonctionnalités demandées SUS 1.0 SP1SUS 1.0 SP1 WSUSWSUS
Support des Service PacksSupport des Service Packs Installation sur SBS et sur des contrôleurs de domaineInstallation sur SBS et sur des contrôleurs de domaine Support d’Office et d’autres produits MicrosoftSupport d’Office et d’autres produits Microsoft Support d’autres types de mises à jourSupport d’autres types de mises à jour Désinstallation de mise à jourDésinstallation de mise à jour Ciblage des mises à jourCiblage des mises à jour Amélioration du support pour les réseaux bas débitAmélioration du support pour les réseaux bas débit Réduction de la quantité de données à téléchargerRéduction de la quantité de données à télécharger Réglage de la fréquence de détection des mises à jourRéglage de la fréquence de détection des mises à jour Minimiser l’interruption de l’utilisateurMinimiser l’interruption de l’utilisateur Déploiement d’urgence d’un correctif (‘gros bouton Déploiement d’urgence d’un correctif (‘gros bouton rouge’)rouge’)
**
Déploiement de mises à jour d’autres applications non Déploiement de mises à jour d’autres applications non MicrosoftMicrosoft
Support de NT4Support de NT4
Produits supportésProduits supportés
Client WSUSClient WSUSWindowsWindows
Windows 2000 SP3 +Windows 2000 SP3 +Windows XPWindows XPWindows Server 2003 (SP1 mini pour versions 64 bits)Windows Server 2003 (SP1 mini pour versions 64 bits)
OfficeOfficeOffice XP SP2 et Office 2003Office XP SP2 et Office 2003
SQL ServerSQL ServerSQL 2000 et MSDE 2000SQL 2000 et MSDE 2000
Exchange ServerExchange ServerExchange Server 2003Exchange Server 2003
A terme, plus de produits Microsoft (comme ISA A terme, plus de produits Microsoft (comme ISA Server 2004 par exemple)Server 2004 par exemple)
Produits supportésProduits supportés
Server WSUSServer WSUSWindows Server 2003 (32 bits)Windows Server 2003 (32 bits)
IIS6IIS6BITS 2.0 for Windows Server 2003 (pas encore dispo en BITS 2.0 for Windows Server 2003 (pas encore dispo en version finale)version finale).NET Framework 1.1 SP1 for Windows Server 2003.NET Framework 1.1 SP1 for Windows Server 2003
Windows 2000 Server SP4Windows 2000 Server SP4IIS5IIS5BITS 2.0 for Windows 2000 (pas encore dispo en version BITS 2.0 for Windows 2000 (pas encore dispo en version finale)finale)Base de données 100% compatible SQL Server (ex : Base de données 100% compatible SQL Server (ex : MSDE 2000)MSDE 2000)IE 6.0 SP1IE 6.0 SP1.NET Framework 1.1 avec SP1.NET Framework 1.1 avec SP1
L’administrateur souscrit à certaines catégories de mises à jourLe serveur télécharge les mises à jour depuis Microsoft UpdateLes clients s’enregistrent auprès du serveurL’administrateur met les clients dans différents groupes cibles
L’administrateur approuve les mises à jourLes clients installent les mises à jour approuvées par l’administrateur
< Back Finish Cancel
Windows Update ServicesWindows Update Services
< Back Finish Cancel
Windows Update ServicesWindows Update Services
Microsoft Update(utilise WSUS)
Serveur WSUS
Postes de travail (clients WSUS) Groupe cible 1
Serveurs (clients WSUS)Groupe cible 2
Administrateur WSUS
Aperçu de la solution WSUSAperçu de la solution WSUS
Client AUClient AU
Possibilité de mise à jour silencieuse du Possibilité de mise à jour silencieuse du client à partir du serveur WSUSclient à partir du serveur WSUS
Configurer les Mises à jour Configurer les Mises à jour automatiques (AutoUpdate) en automatiques (AutoUpdate) en spécifiant un serveur intranet de Mise à spécifiant un serveur intranet de Mise à jour Microsoftjour Microsoft
Ciblage (GPO ou pas)Ciblage (GPO ou pas)
Attention : Windows XP sans Service Attention : Windows XP sans Service PackPack
Pré-installation (Pré-installation (selfupdateselfupdate))
Groupes ciblesGroupes cibles
Utilité : cibler des mises à jour sur des Utilité : cibler des mises à jour sur des machines spécifiquesmachines spécifiques
Groupe cible de testGroupe cible de test
Groupe cible de productionGroupe cible de production
Deux types de ciblageDeux types de ciblageCôté serveurCôté serveur
L’administrateur WSUS gère l’appartenance aux groupes L’administrateur WSUS gère l’appartenance aux groupes depuis le site d’administration (listes sur le serveur)depuis le site d’administration (listes sur le serveur)
Côté clientCôté clientAppartenance gérée automatiquementAppartenance gérée automatiquement
En utilisant des stratégies de groupe (même groupe pour En utilisant des stratégies de groupe (même groupe pour toutes les machines d’une même UO d’Active Directory)toutes les machines d’une même UO d’Active Directory)
En utilisant le registreEn utilisant le registre
AbonnementsAbonnements
Permet de choisir quelles mises à jour Permet de choisir quelles mises à jour télécharger et quandtélécharger et quand
Produit / Type de mise à jour (sécu, SP,FP, Produit / Type de mise à jour (sécu, SP,FP, pilote,etc…)pilote,etc…)En fait une mise à jour est composée de deux En fait une mise à jour est composée de deux élémentséléments
Un correctifUn correctifLes méta données décrivant le correctifLes méta données décrivant le correctif
Par défaut :Par défaut :seules les méta données sont téléchargées (catalogue)seules les méta données sont téléchargées (catalogue)les correctifs sont téléchargés s’ils sont approuvés les correctifs sont téléchargés s’ils sont approuvés (contenu)(contenu)
Synchro Synchro ManuelleManuelleAutomatiqueAutomatique
Approbation de mise à jourApprobation de mise à jour
Vérification avant déploiement (Vérification avant déploiement (détectiondétection))Évalue l’impact d’une mise à jour sur le Évalue l’impact d’une mise à jour sur le réseau avant qu’elle ne soit déployéeréseau avant qu’elle ne soit déployée
Au niveau de l’approbation d’une mise à jour, Au niveau de l’approbation d’une mise à jour, choisir l’action choisir l’action Detect onlyDetect onlyAprès un cycle de détection des clients, la Après un cycle de détection des clients, la rubrique rubrique StatusStatus de la mise à jour indique le de la mise à jour indique le nombre de machines qui nécessitent la mise à journombre de machines qui nécessitent la mise à jour
Installation lors de la prochaine date planifiéeInstallation lors de la prochaine date planifiéeInstallation avec date butoir (passée une date Installation avec date butoir (passée une date donnée, l’installation devient obligatoire si on donnée, l’installation devient obligatoire si on utilise AU quel que soit le mode, auto ou pas)utilise AU quel que soit le mode, auto ou pas)Désinstallation (nécessite que la mise à jour Désinstallation (nécessite que la mise à jour le supporte)le supporte)
Approbation automatique ?Approbation automatique ?
Par défaut, « détection » automatique pourPar défaut, « détection » automatique pourLes mises à jour critiques et de sécuritéLes mises à jour critiques et de sécuritéTous les groupes ciblesTous les groupes cibles
Par défaut, aucune approbation Par défaut, aucune approbation automatique pour l’installationautomatique pour l’installation
On pourrait choisir des types de mises à jour, et On pourrait choisir des types de mises à jour, et des groupes ciblesdes groupes cibles
En cas de révision d’une mise à jour, la En cas de révision d’une mise à jour, la nouvelle version obtient le même niveau nouvelle version obtient le même niveau d’approbation que l’ancienne (désactivable d’approbation que l’ancienne (désactivable pour effectuer un choix manuel)pour effectuer un choix manuel)
RapportsRapports
Rapport standard consolidé (activités Rapport standard consolidé (activités clients)clients)
Par machine / par mise à jour / par groupe Par machine / par mise à jour / par groupe ciblecible
Succès et échecs des téléchargements et Succès et échecs des téléchargements et installations avec les détails sur les erreursinstallations avec les détails sur les erreurs
Rapport sur les synchrosRapport sur les synchrosNouveautés, changementsNouveautés, changements
démo WSUSdémo WSUSdémo WSUSdémo WSUS
Installation avec date butoirInstallation avec date butoir
CommunicationsCommunications
Configuration des paramètres de proxy Configuration des paramètres de proxy (éventuellement compte + mot de passe)(éventuellement compte + mot de passe)
Faible utilisation de la bande passanteFaible utilisation de la bande passanteBITS pour les téléchargements client-serveur et BITS pour les téléchargements client-serveur et serveur-serveurserveur-serveur
Mise à jour par “abonnement” (par produit/par type) Mise à jour par “abonnement” (par produit/par type)
Support des technologies “delta compression” Support des technologies “delta compression”
Téléchargement dissocié des correctifs et de leurs Téléchargement dissocié des correctifs et de leurs méta donnéesméta données
Port utilisé : 80 ou 8530 (attention, dans ce cas pour Port utilisé : 80 ou 8530 (attention, dans ce cas pour mettre à jour de « vieux » clients, il faut maintenir mettre à jour de « vieux » clients, il faut maintenir un site sur le port 80)un site sur le port 80)
Options de déploiement des Options de déploiement des serveursserveurs
Déploiement hiérarchiqueDéploiement hiérarchiqueServeurs indépendantsServeurs indépendants
Serveurs miroirs (« replica »)Serveurs miroirs (« replica »)
Serveurs non connectés à InternetServeurs non connectés à Internet
Postes de travail Clients
Postes de travail Clients
Serveurs WSUSServeurs WSUS
Microsoft Update
Serveur WSUS
Serveur WSUS
HiérarchieHiérarchie
Attention : il est conseillé de ne pas Attention : il est conseillé de ne pas dépasser 3 niveaux dans la hiérarchie dépasser 3 niveaux dans la hiérarchie pour des questions de latence de pour des questions de latence de propagation des mises à jourpropagation des mises à jour
Mode replica (miroir), ou pas, se définit Mode replica (miroir), ou pas, se définit à l’installation seulementà l’installation seulement
Postes de travail Clients
Serveurs non connectésServeurs non connectés
Microsoft Update
Serveur WSUS
Serveur WSUS (autonome)Importation et exportation
manuelles
ProcédureProcédure
S’assurer que sur les serveurs les options S’assurer que sur les serveurs les options avancées de synchronisation (installation avancées de synchronisation (installation express, langues) sont les mêmesexpress, langues) sont les mêmes
Pas de problème pour le planning, les catégories Pas de problème pour le planning, les catégories de produits, le proxy…de produits, le proxy…
Copier les mises à jour depuis \WSUS\Copier les mises à jour depuis \WSUS\WSUSContent (utilitaire de sauvegarde de WSUSContent (utilitaire de sauvegarde de Windows, en mode incrémental par ex.)Windows, en mode incrémental par ex.)Exporter les méta données de la base de Exporter les méta données de la base de donnéesdonnées
WSUSutil.exe (32 bits seulement; il faut être WSUSutil.exe (32 bits seulement; il faut être admin)admin)
Copier le contenu sur le serveur destinationCopier le contenu sur le serveur destinationPuis importer les méta données avec Puis importer les méta données avec WSUSutil.exeWSUSutil.exe
StockageStockage
Base de données pour gérer tout ce qui n’est Base de données pour gérer tout ce qui n’est pas contenupas contenuPrise en compte des dépendances entre les Prise en compte des dépendances entre les mises à jourmises à jourMSDE vs SQL ServerMSDE vs SQL Server
MSDE a une limite de 2GoMSDE a une limite de 2GoMises à jour hébergées sur Microsoft Update Mises à jour hébergées sur Microsoft Update (WSUS sert alors seulement de point de (WSUS sert alors seulement de point de contrôle) ou en localcontrôle) ou en localFiltrage de contenu Filtrage de contenu
Ne garder que les plateformes et langues dont Ne garder que les plateformes et langues dont vous avez besoinvous avez besoin
DimensionnementDimensionnementPrévoir une croissance annuelle x nb de languesPrévoir une croissance annuelle x nb de langues
SécuritéSécurité
Sur le client et sur le serveur Sur le client et sur le serveur Vérification de signature des contenus Vérification de signature des contenus téléchargés téléchargés
Permissions sur les contenus téléchargésPermissions sur les contenus téléchargés
Mise en place de SSL pour l’échange Mise en place de SSL pour l’échange des métadonnéesdes métadonnées
A faire sur votre serveur (mentionné sur la A faire sur votre serveur (mentionné sur la page d’accueil)page d’accueil)
Mise en place de SSL ?Mise en place de SSL ?
Pour protéger le transfert des méta donnéesPour protéger le transfert des méta donnéesNe pas appliquer sur tout le site car une partie du trafic doit se Ne pas appliquer sur tout le site car une partie du trafic doit se faire en HTTP (en clair)faire en HTTP (en clair)
SSL surSSL surSimpleAuthWebServiceSimpleAuthWebServiceDSSAuthWebServiceDSSAuthWebServiceServerSyncWebServiceServerSyncWebServiceWSUSAdminWSUSAdminClientWebServiceClientWebService
Mais pas surMais pas surContentContentReportingWebServiceReportingWebServiceSelfUpdateSelfUpdate
Port : 443 ou 8531 (si port personnalisé en 8530 pour le trafic Port : 443 ou 8531 (si port personnalisé en 8530 pour le trafic normal)normal)Sur les serveurs subordonnés, importer le certificat dans le Sur les serveurs subordonnés, importer le certificat dans le magasin des autorités de certification racines de confiance de magasin des autorités de certification racines de confiance de l’ordinateur local ou dans le magasin des autorités de certification l’ordinateur local ou dans le magasin des autorités de certification racines de confiance de Windows Server Update Servicesracines de confiance de Windows Server Update Services
Mise en place de SSL ?Mise en place de SSL ?
InconvénientsInconvénientsPerte de 10% de performance sur le serveurPerte de 10% de performance sur le serveurLa connexion entre le serveur et la base de La connexion entre le serveur et la base de données n’utilise pas SSLdonnées n’utilise pas SSL
Les mettre sur la même machineLes mettre sur la même machineOu sur un même réseau privéOu sur un même réseau privéOu utiliser IPsecOu utiliser IPsec
Configuration des clientsConfiguration des clientsChanger l’URL du serveur WSUS (ex : Changer l’URL du serveur WSUS (ex : https://monserveurWSUS)https://monserveurWSUS)Importation du certificat dans le magasin des Importation du certificat dans le magasin des autorités de certification racines de confiance de autorités de certification racines de confiance de l’ordinateur local ou dans le magasin des autorités l’ordinateur local ou dans le magasin des autorités de certification racines de confiance du service de certification racines de confiance du service Mises à jour automatiquesMises à jour automatiques
FlexibilitéFlexibilité
Changement des portsChangement des portsSauf pour contacter MUSauf pour contacter MU
Infrastructure et plateformeInfrastructure et plateformeOption en ligne de commande pour Option en ligne de commande pour déclencher une détection côté client : déclencher une détection côté client : wuauclt.exe /detectnowwuauclt.exe /detectnow
API du client en COM exécutables à API du client en COM exécutables à distance et scriptablesdistance et scriptables
API du serveur basées sur .Net FrameworkAPI du serveur basées sur .Net Framework
Exemple de scriptExemple de script
Le serveur et le client exposent tous les deux Le serveur et le client exposent tous les deux des API scriptablesdes API scriptables
Dim update, iDim update, iset AutoUpdate = CreateObject("Microsoft.Update.AutoUpdate")set AutoUpdate = CreateObject("Microsoft.Update.AutoUpdate")Autoupdate.DetectNow()Autoupdate.DetectNow()set UpdateSession = CreateObject("Microsoft.Update.Session")set UpdateSession = CreateObject("Microsoft.Update.Session")set UpdateSearcher = UpdateSession.CreateUpdateSearcher()set UpdateSearcher = UpdateSession.CreateUpdateSearcher()set SearchResult= UpdateSearcher.Search("")set SearchResult= UpdateSearcher.Search("")set Updates = SearchResult.Updatesset Updates = SearchResult.Updatesset UpdatesToInstall = set UpdatesToInstall =
CreateObject("Microsoft.Update.UpdateColl")CreateObject("Microsoft.Update.UpdateColl")For i = 0 to (Updates.Count-1)For i = 0 to (Updates.Count-1)
UpdatesToInstall.Add(Updates.Item(i))UpdatesToInstall.Add(Updates.Item(i))NextNextset Installer = UpdateSession.CreateUpdateInstaller()set Installer = UpdateSession.CreateUpdateInstaller()Installer.Updates = UpdatesToInstallInstaller.Updates = UpdatesToInstallset InstallationResult = Installer.Install()set InstallationResult = Installer.Install()
Détection
Approbation
Installation
SuggestionsSuggestionsSuggestionsSuggestions
Mises à jour de serveursMises à jour de serveursSuggestionsSuggestions
Définir des groupes cibles (GPO ou Définir des groupes cibles (GPO ou interface d’administration WSUS)interface d’administration WSUS)
Configurer les clients Mises à jour Configurer les clients Mises à jour automatiques (GPO ou registre)automatiques (GPO ou registre)
Installation auto ou notification avant Installation auto ou notification avant installationinstallation
Si notification, ouverture de session ou Si notification, ouverture de session ou script pour installationscript pour installation
Mises à jour de serveursMises à jour de serveursSuggestionsSuggestions
Pour les serveurs avec des fenêtres de Pour les serveurs avec des fenêtres de maintenance, configurer les Mises à maintenance, configurer les Mises à jour automatiques pour une installation jour automatiques pour une installation planifiée durant la fenêtreplanifiée durant la fenêtre
Pour les serveurs sans créneaux de Pour les serveurs sans créneaux de maintenance : maintenance :
Configurer les Mises à jour automatiques Configurer les Mises à jour automatiques pour notifier avant l’installationpour notifier avant l’installation
Ouvrir une session sur le serveur ou utiliser Ouvrir une session sur le serveur ou utiliser les API pour effectuer l’installation lorsque les API pour effectuer l’installation lorsque c’est nécessairec’est nécessaire
Mises à jour de serveursMises à jour de serveursSuggestionsSuggestions
DatacentersDatacentersUtiliser les stratégies BITS pour limiter la Utiliser les stratégies BITS pour limiter la bande passante et les fenêtres de bande passante et les fenêtres de téléchargementtéléchargement
Configurer les Mises à jour automatiques Configurer les Mises à jour automatiques pour notifier avant l’installationpour notifier avant l’installation
Utiliser les API pour effectuer l’installation Utiliser les API pour effectuer l’installation lorsque c’est nécessaire lorsque c’est nécessaire
ClustersClustersScripter la mise à jour nœud après noeudScripter la mise à jour nœud après noeud
Connexion à Microsoft UpdateConnexion à Microsoft Update
Ouverture du pare-feuOuverture du pare-feuHTTP 80 et HTTPS 443 pour joindre les serveurs HTTP 80 et HTTPS 443 pour joindre les serveurs Microsoft sur le WebMicrosoft sur le WebListe des domaines :Liste des domaines :
·· http://windowsupdate.microsoft.com http://windowsupdate.microsoft.com ·· http://*.windowsupdate.microsoft.com http://*.windowsupdate.microsoft.com ·· https://*.windowsupdate.microsoft.com https://*.windowsupdate.microsoft.com ·· http://*.update.microsoft.com http://*.update.microsoft.com ·· https://*.update.microsoft.com https://*.update.microsoft.com ·· http://*.windowsupdate.com http://*.windowsupdate.com ·· http://download.windowsupdate.comhttp://download.windowsupdate.com·· http://download.microsoft.com http://download.microsoft.com ·· http://*.download.windowsupdate.com http://*.download.windowsupdate.com ·· http://wustat.windows.com http://wustat.windows.com ·· http://ntservicepack.microsoft.comhttp://ntservicepack.microsoft.com
Filtrage d’URL (type URLScan)Filtrage d’URL (type URLScan)
Si vous l’utilisez, il faut :Si vous l’utilisez, il faut :autoriser les extensions de type .exe (les autoriser les extensions de type .exe (les enlever de la section [DenyExtensions]enlever de la section [DenyExtensions]
Autoriser dans [AllowVerbs]Autoriser dans [AllowVerbs]GETGET
HEADHEAD
POSTPOST
OPTIONSOPTIONS
Dimensionnement du serveurDimensionnement du serveur
Jusqu’à 500 clients
MinimumMinimum RecommandéRecommandé
ProcesseurProcesseur 750 MHz750 MHz 1 GHz ou +1 GHz ou +
RAMRAM 512 Mo512 Mo 1 Go1 Go
Base de donnéesBase de données WMSDE/MSDEWMSDE/MSDE WMSDE/MSDEWMSDE/MSDE
De 500 à 15 000 clients
MinimumMinimum RecommandéRecommandé
ProcesseurProcesseur 1 GHz ou +1 GHz ou + Bi-processeur à 3 Bi-processeur à 3 GHz ou + (2 GHz ou + (2 processeurs pour processeurs pour plus de 10 000 plus de 10 000 clients)clients)
RAMRAM 1 Go1 Go 1 GB1 GB
Base de donnéesBase de données SQL Server 2000 SQL Server 2000 SP3aSP3a
SQL Server 2000 SQL Server 2000 SP3aSP3a
Espace disqueEspace disque
NTFS requisNTFS requis
Partition système : 1 Go libre au moinsPartition système : 1 Go libre au moins
Partition stockant le contenu WSUS : 6 Partition stockant le contenu WSUS : 6 Go mini (30 Go recommandés)Go mini (30 Go recommandés)
Partition où la base de données sera Partition où la base de données sera installée : 2 Go minimuminstallée : 2 Go minimum
InstallationInstallation
Vue des différentes étapes de Vue des différentes étapes de l’assistant d’installation (document l’assistant d’installation (document Step by step guide to getting started Step by step guide to getting started with Microsoft Windows Server Update with Microsoft Windows Server Update ServicesServices))
Maîtrise bande passante & Maîtrise bande passante & espace disqueespace disqueSuggestionsSuggestions
Limiter la bande passante et l’espace Limiter la bande passante et l’espace disquedisque
Choix des types de mise à jour dans Choix des types de mise à jour dans l’abonnement l’abonnement
Choix des languesChoix des langues
Télécharger seulement les méta-données Télécharger seulement les méta-données sans les correctifs (les correctifs sont sans les correctifs (les correctifs sont téléchargés quand ils sont approuvés)téléchargés quand ils sont approuvés)
Utiliser les installations express (deltas) ou Utiliser les installations express (deltas) ou paspas
Groupes d’ordinateursGroupes d’ordinateursSuggestionsSuggestions
Groupes ciblesGroupes ciblesDiviser les machines par catégories de Diviser les machines par catégories de machines relativement homogènesmachines relativement homogènes
A l’intérieur de chaque catégorie, définir un A l’intérieur de chaque catégorie, définir un groupe Pilote et un groupe Productiongroupe Pilote et un groupe Production
Préférer la répartition par GPO plutôt que Préférer la répartition par GPO plutôt que par clé de registrepar clé de registre
Configuration du clientConfiguration du clientSuggestionsSuggestions
Choix de l’installation automatisée Choix de l’installation automatisée (sauf exceptions, dans ce cas obliger à (sauf exceptions, dans ce cas obliger à utiliser AutoUpdate sans forcer le utiliser AutoUpdate sans forcer le moment de l’installation)moment de l’installation)
Appartenance à un groupe cible : via Appartenance à un groupe cible : via GPOGPO
Configuration du clientConfiguration du clientSuggestionsSuggestions
Choix de l’heure d’installation (possibilité de Choix de l’heure d’installation (possibilité de répartir les heures selon les machines via GPO, ce répartir les heures selon les machines via GPO, ce qui laisse l’occasion d’étaler l’installation sur le qui laisse l’occasion d’étaler l’installation sur le groupe Production et éventuellement de détecter groupe Production et éventuellement de détecter d’éventuels problèmes)d’éventuels problèmes)
Fréquence de détection configurable (du client Fréquence de détection configurable (du client vers le serveur, de 1H à 22H, par défaut 22H et vers le serveur, de 1H à 22H, par défaut 22H et durée effective tirée aléatoirement entre 80% et durée effective tirée aléatoirement entre 80% et 100% de la durée indiquée) : 12H pour la 100% de la durée indiquée) : 12H pour la production et 1H pour le Piloteproduction et 1H pour le Pilote
Délai de redémarrage et intervalle avant nouvelle Délai de redémarrage et intervalle avant nouvelle demande de redémarrage (si redémarrage demande de redémarrage (si redémarrage repoussé) : 45 minrepoussé) : 45 min
Configuration du clientConfiguration du clientSuggestionsSuggestions
Notification pour les non Notification pour les non administrateurs (en fonction du mode administrateurs (en fonction du mode d’installation) : désactivéd’installation) : désactivéPas de redémarrage planifié (pour Pas de redémarrage planifié (pour laisser l’utilisateur redémarrer quand il laisser l’utilisateur redémarrer quand il le veut) : désactivéle veut) : désactivéReplanifier les installations planifiées Replanifier les installations planifiées (après redémarrage) : 25 min(après redémarrage) : 25 minAutoriser l’installation immédiate des Autoriser l’installation immédiate des mises à jour automatiques : oui sur le mises à jour automatiques : oui sur le Pilote, non sur la productionPilote, non sur la production
Approbation de mise à jourApprobation de mise à jourSuggestionsSuggestions
Vérification avant déploiement (détection) : à Vérification avant déploiement (détection) : à utiliser largement sur Productionutiliser largement sur Production
Installation : pour les mises à jour normalesInstallation : pour les mises à jour normales
Installation avec date butoir : pour les mises à Installation avec date butoir : pour les mises à jour de sécurité critiques (positionnement à date jour de sécurité critiques (positionnement à date de sortie du bulletin + 9 jours)de sortie du bulletin + 9 jours)
Désinstallation : à vérifier via rapports après coup Désinstallation : à vérifier via rapports après coup (cycle complet de détection, soit 22H par défaut)(cycle complet de détection, soit 22H par défaut)
Re-approbation automatique (utiliser ou non Re-approbation automatique (utiliser ou non automatiquement la nouvelle révision de mise à automatiquement la nouvelle révision de mise à jour) : désactivé (attention : surveiller jour) : désactivé (attention : surveiller l’occurrence de ces mises à jour)l’occurrence de ces mises à jour)
*utilisation de Windows Update, d'un autre outil de mise à jour ou mise à jour manuelle pour les systèmes et applications non supportés *utilisation de Windows Update, d'un autre outil de mise à jour ou mise à jour manuelle pour les systèmes et applications non supportés par WSUS ou Microsoft Updatepar WSUS ou Microsoft Update
ClientClient ScénarioScénario ChoixChoix
Grande ou Grande ou moyenne moyenne entrepriseentreprise
Besoin d'une solution unique et flexible de gestion Besoin d'une solution unique et flexible de gestion des mises à jour avec un niveau élevé de contrôle des mises à jour avec un niveau élevé de contrôle et de distribution pour TOUTES les versions de et de distribution pour TOUTES les versions de Windows et d'applications, ainsi qu'une solution de Windows et d'applications, ainsi qu'une solution de gestion du parc intégrégestion du parc intégré
SMS 2003SMS 2003
Besoin seulement d'une solution de mise à Besoin seulement d'une solution de mise à jour simple pour les produits Microsoft, et jour simple pour les produits Microsoft, et dans un premier temps Windows (2000 et dans un premier temps Windows (2000 et ultérieur), Office (2003 & XP), Exchange ultérieur), Office (2003 & XP), Exchange 2003, SQL Server 2000 et MSDE 20002003, SQL Server 2000 et MSDE 2000
WSUSWSUS**
Petite Petite entrepriseentreprise
Au moins un serveur et un administrateurAu moins un serveur et un administrateur WSUSWSUS**
Tous les autres scénariosTous les autres scénarios Microsoft Microsoft UpdateUpdate**
ConsommateConsommateurur Tous les scénariosTous les scénarios Microsoft Microsoft
UpdateUpdate**
Choisir une solution de Choisir une solution de gestion des correctifsgestion des correctifs
Migration de SUS1 vers WSUSMigration de SUS1 vers WSUS
Pas de mise à jour mais une migration Pas de mise à jour mais une migration des mises à jour et des approbations des mises à jour et des approbations (et c’est tout)(et c’est tout)
WSUSutil.exeWSUSutil.exe
SUS1 et WSUS peuvent cohabiter sur SUS1 et WSUS peuvent cohabiter sur un même serveurun même serveur
Limites de la migrationLimites de la migration
WSUS et SUS 1.0 ne peuvent pas WSUS et SUS 1.0 ne peuvent pas synchroniser leurs méta données l’un synchroniser leurs méta données l’un avec l’autreavec l’autre
Pas de migration des paramètres de Pas de migration des paramètres de proxyproxy
Pas de migration des paramètres d’IISPas de migration des paramètres d’IIS
Migration unidirectionnelle de SUS 1.0 Migration unidirectionnelle de SUS 1.0 vers WSUSvers WSUS
La migration des approbations de mises La migration des approbations de mises à jour écrase les approbations existantes à jour écrase les approbations existantes d’un groupe d’ordinateursd’un groupe d’ordinateurs
Migration avec un seul Migration avec un seul serveurserveur
Pour économiser le nombre de serveursPour économiser le nombre de serveurs
Nécessite d’installer WSUS sur un port Nécessite d’installer WSUS sur un port différent de SUS 1.0différent de SUS 1.0
Nécessite la mise à jour des clients au fur et Nécessite la mise à jour des clients au fur et à mesure qu’ils se connectent au serveur à mesure qu’ils se connectent au serveur WSUSWSUS
Redirection des clients vers un port différent Redirection des clients vers un port différent du même serveurdu même serveur
Les clients utilisent toujours SUS 1.0 pour Les clients utilisent toujours SUS 1.0 pour les mises à jour jusqu’à ce qu’ils soient les mises à jour jusqu’à ce qu’ils soient redirigés vers le port de WSUS, ou que SUS redirigés vers le port de WSUS, ou que SUS 1.0 soit retiré1.0 soit retiré
RessourcesRessourcesRessourcesRessources
RéférencesRéférences
Site sécurité :Site sécurité :http://www.microsoft.com/france/securitehttp://www.microsoft.com/france/securite Newsgroup : microsoft.public.fr.update_services Newsgroup : microsoft.public.fr.update_services Gestion des mises à jour de sécurité :Gestion des mises à jour de sécurité :http://www.microsoft.com/france/technet/securite/http://www.microsoft.com/france/technet/securite/gestionmaj/default.aspgestionmaj/default.asp Wiki WSUS : Wiki WSUS : www.wsuswiki.comwww.wsuswiki.com Site WSUS (en anglais) : Site WSUS (en anglais) : http://www.microsoft.com/http://www.microsoft.com/windowsserversystem/updateserviceswindowsserversystem/updateservices
Téléchargement des fichiers d’installationTéléchargement des fichiers d’installationLivres blancsLivres blancs
Step-by-Step Guide to Getting Started with Microsoft Windows Server Step-by-Step Guide to Getting Started with Microsoft Windows Server Update ServicesUpdate ServicesDeploying Microsoft Windows Server Update ServicesDeploying Microsoft Windows Server Update ServicesMicrosoft Windows Server Update Services Operations GuideMicrosoft Windows Server Update Services Operations Guide……
Outils de dépannage : Outils de dépannage : http://www.microsoft.com/windowsserversystem/uhttp://www.microsoft.com/windowsserversystem/updateservices/techinfo/default.mspxpdateservices/techinfo/default.mspx
Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec
91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex
www.microsoft.com/france
0 825 827 8290 825 827 829
[email protected]@microsoft.com