![Page 1: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/1.jpg)
1
Déployer les correctifs et maintenir son parc informatique à jour avec
3.0
![Page 2: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/2.jpg)
2
• Un site Web très orienté technique– http://www.microsoft.com/france/technet/default.mspx
• Une newsletter personnalisable– http://www.microsoft.com/france/technet/presentation/flash/default.mspx
• Des séminaires techniques toute l’année, partout en France– http://www.microsoft.com/france/technet/seminaires/seminaires.mspx
• Des webcasts et e-démos accessibles à tout instant– http://www.microsoft.com/france/technet/seminaires/webcasts.mspx
• Un abonnement– http://www.microsoft.com/france/technet/presentation/cd/default.mspx
Qu’est ce que ?
![Page 3: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/3.jpg)
3
Logistique
Pause en milieu de session
Vos questions sont les bienvenues.N’hésitez pas !
Feuille d’évaluation à remettre remplie en fin de session
Commodités
Merci d’éteindre vos téléphones
![Page 4: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/4.jpg)
4
Quelles sont les nouveautés de la version 3.0 et comment déployer ou migrer vers WSUS 3.0 ?
Objectif du séminaire
![Page 5: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/5.jpg)
5
Agenda
• Introduction• Les basiques de WSUS 3.0• Mettre à niveau vers WSUS 3.0• Déployer des mises à jour• Maintenir WSUS• Conclusion et Questions & Réponses
![Page 6: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/6.jpg)
6
INTRODUCTION
![Page 7: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/7.jpg)
7
Vie et mort d’une vulnérabilité…
La plupart des exploits sont conçues après la mise à disposition du
correctif
Les attaques se produisent majoritairement ici
Produitinstallé
Vulnérabilitédécouverte
Composantcorrigé
Correctifpublié
Correctif déployéchez les clients
Ignorance Signalement Modulo cycle depublication mensuel
Test, intégrationet déploiement
Mesure traditionnelle de la vulnérabilité
Vulnérabilité à une attaque générale
Vulnérabilité théorique
Vulnérabilitépublique
![Page 8: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/8.jpg)
8
► Prolifération des correctifs
► Temps avant exploitation en baisse
► Exploitations plussophistiquée
► L’approche classique n’est pas suffisante
151180
331
BlasterWelchia/ Nachi
Nimda
25SQL
Slammer
Nombre de jours entre le correctif et
l’exploitation
Constats à la suite des vers Blaster et Sasser
18Sasser
Le nombre de jours entre la sortie du correctif et l’exploitation de la vulnérabilité a tellement diminué
(hors cas des zero-days exploits) que la seule solution défense restant aux entreprises consiste à appliquer les
correctifs.
![Page 9: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/9.jpg)
9
La gestion des correctifs : un problème de l’industrie du logiciel
Tous les acteurs sont concernés !!
![Page 10: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/10.jpg)
10
Produits, outilset automatisation
Cohérents et répétitifs
Compétences, rôles et responsabilités
Processus
PersonnesTechnologies
Gestion réussie des correctifs
![Page 11: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/11.jpg)
11
1. Évaluer l'environnement auquel les correctifs doivent être appliqués
A. Créer/tenir à jour des systèmes de référence
B. Évaluer l'architecture de gestion des correctifs
C. Passer en revue l'infrastructure/la configuration
1. Analyser 2. Identifier
4. Déployer 3. Évaluer et planifier
2. Identifier de nouveaux correctifs
A. Identifier de nouveaux correctifs
B. Déterminer la pertinence des correctifs
C. Vérifier l'authenticité et l'intégrité des correctifs
3. Évaluer les correctifs et planifierleur déploiement
A. Obtenir l'approbation nécessaire pour déployer
B. Évaluer les risquesC. Tester les correctifsD. Planifier la publication
4. Déployer le correctif
A. Distribuer et installer le correctifB. Rédiger un rapport sur l'avancementC. Traiter les exceptionsD. Passer en revue le déploiement
Le processus de gestion des correctifs en entreprise : méthodes recommandées
Processus de gestion des correctifs
![Page 12: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/12.jpg)
12
Guides Microsoft de gestion des risques et des correctifs Guide de gestion des risques de sécurité
Introduction au guide de gestion des risques de sécurité
Étude des pratiques de gestion des risques de sécurité
Présentation de la gestion des risques de sécurité
Évaluation des risques Aide à la décision Mise en place de contrôles et mesure de
l'efficacité du programme http://www.microsoft.com/france/technet/securite/guidance/
default.mspx Guide de gestion des correctifs
Phase 1 – Analyse Phase 2 – Identification Phase 3 - Évaluation et planification Phase 4 – Déploiement
http://www.microsoft.com/france/securite/it/dossiers/correctifs/default.mspx
![Page 13: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/13.jpg)
13
Microsoft Baseline Security
Analyzer 2.1
Microsoft Update
Gestion des mises à jourQuelles solutions ?
A la maison
Petites et Moyennes Entreprise
Grandes Entreprises
![Page 14: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/14.jpg)
14
WINDOWS SERVER UPDATE SERVICES 3.0
![Page 15: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/15.jpg)
15
Windows Software Update Services• Offre d’entreprise de gestion des mises à jour• Solution gratuite complète pour télécharger et distribuer des
mises à jour de produits Microsoft– Pas de coût licences Windows Server (2000 et ultérieur)– Nécessite une licence Windows Server / CAL pour les systèmes cibles
• Délivrer une solution totalement fonctionnelle permettant de répondre au besoin de gestion de mises à jour des produits– Automatiser le plus possible le processus de mises à jour– Supporter l’ensemble des produits Microsoft– A destination de l’administrateur mais aussi de l’IT généraliste
• Fin de support de SUS 1.0 : 10/07/2007• cf http://support.microsoft.com/kb/905682
![Page 16: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/16.jpg)
16L’administrateur souscrit à certaines catégories de mises à jourLe serveur télécharge les mises à jour depuis Microsoft UpdateLes clients s’enregistrent auprès du serveurL’administrateur met les clients dans différents groupes ciblesL’administrateur approuve les mises à jourLes clients installent les mises à jour approuvées par l’administrateur
WSUS - Aperçu de l’architecture
< Back Finish Cancel
Windows Update ServicesWindows Update Services
< Back Finish Cancel
Windows Update ServicesWindows Update Services
Microsoft Update(utilise WSUS)
Serveur WSUS
Postes de travail (clients WSUS) Groupe cible 1
Serveurs (clients WSUS) Groupe cible 2
Administrateur WSUS
![Page 17: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/17.jpg)
17
Adoption de WSUS 2.0• Considéré par beaucoup comme l’une des meilleures solutions
de gestion des correctifs
• En un an (juin 2005 juin 2006)…– WSUS 2.0 a excédé le nombre de déploiement de SUS 1.0– 260,000 serveurs WSUS se sont synchronisés avec Microsoft Update
en Juin 2006
• SP1 disponible depuis juin 2006 – Support de SQL Server 2005– Prise en charge de Windows Vista– Support multi langues de MS Office et Windows Vista– Version MSDE SP4– Intégration avec Windows Small Business Server 2003 R2
![Page 18: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/18.jpg)
18
Fonctionnalités : contrôle• Administrateur défini des groupes cibles
– Utilisation des stratégies de groupe pour ce faire dans l’environnement AD
– Au travers de l’interface d’administration de WSUS pour les environnement non AD
• Administrateur contrôle les approbations– “Détection seulement” évaluation des machines qui nécessite
l’application d’un patch– Approbation pour l’installation et la désinstallation (pas toujours
possible)– Installation sur date butoir– Approbation par groupe cible:
• Différentes mises à jour vers différents groupes cibles• Différentes dates butoirs par groupe cible• Différentes actions par groupe cible
![Page 19: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/19.jpg)
19
Fonctionnalités : Configuration de l’ Agent • Configuration flexible de l’Agent
– Fréquence de polling– Notification et type d’installation– “Comportement” vis-à-vis du reboot– Port configurable– Non-administrateurs peuvent installer des mises à jour (comme
les administrateurs)– Installation à l’arrêt
(Windows XP SP2, Windows Vista et Windows 2003 SP1 et +)
![Page 20: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/20.jpg)
20
Fonctionnalités : Optimisation réseau• Résilient et transparent
– BITS* pour téléchargement client-serveur et serveur-serveur– Téléchargements se font en fond de tache (background)
• Téléchargement minimale des mises à jour– Souscriptions aux mises à jour – téléchargement des mises à
jour pour les produits, classifications et langues cibles– Support de la technologie “delta compression” pour les
communications– Option client-serveur pour téléchargement uniquement les
mises à jour approuvées (« download on demand »)– Option pour télécharger uniquement le catalogue des mises à
jour et la détection – binaires sur MU
*Background Intelligent Transfer Service
![Page 21: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/21.jpg)
21
Fonctionnalités clés de WSUS Grille de comparaison
*En partie possible via le réglage de la fréquence de détection et des scripts** Si la mise à jour le permet
Fonctionnalités demandées SUS 1.0 SP1 WSUS 2.0Support des Service Packs Installation sur SBS et sur des contrôleurs de domaine Support d’Office et d’autres produits Microsoft Support d’autres types de mises à jour Désinstallation de mise à jour **Ciblage des mises à jour Amélioration du support pour les réseaux bas débit (Bits) Réduction de la quantité de données à télécharger Réglage de la fréquence de détection des mises à jour Minimiser l’interruption de l’utilisateur Déploiement d’urgence d’un correctif (‘gros bouton rouge’)
*
Déploiement de mises à jour d’autres applications non Microsoft
![Page 22: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/22.jpg)
22
Les évolutions demandées…• Plus évolutifs et tolérances aux pannes
– Pas de support du clustering NLB & SQL– UI ne permet pas de gérer un très grands nombres d’ordinateurs
• Améliorer les rapports– Options de sauvegarde des rapports– Possibilité de centraliser les rapports
• Ciblage plus flexible– Améliorations en regard de SUS 1.0, mais pas aussi pertinents que celui
proposé par d’autres produits• Plus de contenu
– Possibilité d’importer ces propres correctifs– Meilleurs support des drivers: pas uniquement les critiques
• Scripting & APIs– Pas d’appel des APIs à distance– Scripting : oui mais…
![Page 23: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/23.jpg)
23
Objectifs de WSUS 3.0• Continuer à faire de WSUS une solution adoptée
et appréciée pour l’environnement Windows– Adresser les besoins et demandes des utilisateurs
• Améliorer l’infrastructure pour supporter de nouveaux scénarios en tenant compte des besoins de mises à jour des produits partenaires– SMS, etc.
• Support du client Windows Vista et du serveur Windows Server 2008 (Beta 3)
![Page 24: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/24.jpg)
24
Plateformes supportées par WSUS 3.0• Support de toutes les langues d’OS Windows• Coté Serveur (Support des systèmes x86 et x64)
– Windows 2003 SP1 minimum• SQL Server 2005 SP1, SQL Server 2005 Embedded Edition• BITS 2.0, Windows Installer 3.1• Internet Information Services (IIS)• .NET Framework 2.0• MMC 3.0• Microsoft Report Viewer Redistribuable 2005
• Coté Client (support de x86, X64 et IA 64)– Windows 2000 SP4, Windows XP SP1, Windows Vista– Windows Server 2003 minimum
![Page 25: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/25.jpg)
25
Déploiement simple
Microsoft Update
Firewall Serveur WSUS
GPO Script deConfiguration
Clients WSUS
![Page 26: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/26.jpg)
26
Déploiement de multiples serveurs
Microsoft Update
Firewall Serveur WSUS
GPO
Serveurs
GPO
Ordinateurs clients
Serveurs WSUS Replica ou autonomes
![Page 27: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/27.jpg)
27
Serveurs non connectés
Microsoft Update
Serveur WSUS
Serveur WSUSImportation et exportation
manuelles
Postes de travail Clients
![Page 28: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/28.jpg)
28
Installation et configuration
28
![Page 29: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/29.jpg)
29
Installation de WSUS
![Page 30: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/30.jpg)
30
Configuration de WSUS 3.0
![Page 31: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/31.jpg)
31
Le déploiement• WSUS 3.0 peut s’installer via une mise à jour d’un serveur 2.0• Les serveurs WSUS 2.0 peuvent se synchroniser à partir d’un
serveur WSUS 3.0– Permet une migration descendante de la hiérarchie
• Assistant de configuration post-installation
• Améliorations dans la prise en charge des environnements distribués– Passage entre serveur Replica et Autonome sans réinstallation– Support d’un sous ensemble des langues disponible en amont sur les
serveurs Replica– Les serveurs Replica peuvent synchroniser leurs meta-data d’un serveur
WSUS amont et les correctifs depuis Microsoft Update– Support de la synchronisation en mode déconnecté pour les serveurs
Replica
![Page 32: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/32.jpg)
32
La fiabilité• Support de Network Load Balancing (NLB)
– Permet une bascule rapide pour des besoins de disponibilité
• Support de la mise en cluster de la base SQL– En complément du scénario NLB
• Supervision au travers de Microsoft Operations Manager– Pack d’administration MOM pour fournir une
supervision proactive de l’état de santé du serveur
![Page 33: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/33.jpg)
33
Les performances
• Performances liées à la génération des rapports– 50% de gain de performance
• Performances liées à la synchronisation– Synchronisation complète descendante réduite de 90 à
20 minutes
• Support natif des serveurs x64 (comme serveur WSUS)
![Page 34: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/34.jpg)
34
Service Mises à jour Automatiques• Service local (Mises à jour
automatiques (Windows Update) gérant l’accès à Microsoft Update /WSUS pour autoriser le téléchargement et l'installation des mises à jour de Windows.
– Agent Windows Update
![Page 35: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/35.jpg)
35
Mises à jour automatiques importantes • Défini comment se fait
l’installation des mises à jour importantes sur le poste
• Mises à jour importantes :– Maj Sécurité– Maj Critiques– Service Pack
![Page 36: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/36.jpg)
36
Configuration de l’agent (1/2)• Par stratégie de groupe ou par
registre• Configurer les mises à jour
automatiques (AutoUpdate) en spécifiant un serveur intranet de mise à jour Microsoft (serveur WSUS)
• Modes d’installation :– Notifier avant le
téléchargement/installation – Télécharger puis notifier pour l’
installation– Télécharger et installer
automatiquement selon la planification
– Autoriser les administrateurs locaux à choisir le mode de configuration (sans pouvoir désactiver AutoUpdate)
![Page 37: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/37.jpg)
37
Configuration de l’agent (2/2)• Fréquence de détection
configurable (du client vers le serveur) : – 22 heures par défaut;
minimum 1 heure (charge sur le serveur)
– La durée réelle entre deux détections sera déterminée aléatoirement entre 80% et 100% de la durée paramétrée
• Délai de redémarrage et intervalle avant nouvelle demande de redémarrage (si redémarrage repoussé)
• Notification pour les non administrateurs (en fonction du mode d’installation)
• Pas de redémarrage planifié (pour laisser l’utilisateur redémarrer quand il le veut)
• Re-planifier les installations planifiées (ex : 5 min après redémarrage)
• Autoriser l’installation immédiate des mises à jour automatiques
• Ciblage• Notifie l’utilisateur si redémarrage
nécessaire
![Page 38: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/38.jpg)
38
Pré installation (self-update)
![Page 39: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/39.jpg)
39
Ciblage• Utiliser pour cibler des mises à jour sur des machines
spécifiques– Groupe cible de test– Groupe cible de production
• Deux types de ciblage– Côté serveur
• L’administrateur WSUS gère l’appartenance aux groupes depuis le site d’administration (listes sur le serveur)
– Côté client• Appartenance gérée automatiquement
– En utilisant des stratégies de groupe (par exemple même groupe pour toutes les machines d’une même OU d’Active Directory)
– En utilisant le Registre
![Page 40: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/40.jpg)
40
WSUS 3.0 - Améliorations liées au ciblage• WSUS 3.0 supporte 2 nouveaux concepts
concernant les groupes– L’imbrication
– L’appartenance à plusieurs groupes• Une machine peut être membre de groupe Serveurs ainsi
que du groupe Exchange Serveurs
![Page 41: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/41.jpg)
41
Ciblage
41
![Page 42: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/42.jpg)
42
Rapports
• Etats des clients, listes des mises à jour…– Par machine / par mise à jour / par groupe cible– Succès et échecs des téléchargements et installations avec les
détails sur les erreurs
• Disposer d’information sur les synchronisations avec Microsoft Update, entre serveurs WSUS– Nouveautés, changements
![Page 43: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/43.jpg)
43
WSUS 3.0 - Améliorations liées au reporting• Vues générales et simplifiés
– Composants de rapports dans la boite– Détails sur les mises à jour et résumés
• Détails sur les mises à jour au niveau des serveurs réplica et autonomes
• Impression, Sauvegarde Excel ou PDF• Notification par e-mail• Nouveau rôle “Reporters”
– Permet un accès lecture-seul au serveur• Personnalisation des rapports (exemples sur MSDN)
– Vues SQL– API .net
![Page 44: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/44.jpg)
44
Améliorations liées au reporting
44
![Page 45: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/45.jpg)
45
WSUS 3.0 - Améliorations liées au reporting
![Page 46: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/46.jpg)
46
WSUS 3.0 - Améliorations liées aux outils d’administration (1/2)• Nouvelle console d’administration basée sur une
MMC 3.0– Gestion de multiples serveurs au sein d’une seule console– Page de démarrage offrant un aperçu rapide– Vues personnalisées– Fonctionnalités de filtrage des vues– Tri et réorganisation des colonnes (colonnes
supplémentaires: Article KB, MSRC ID, Sévérité)– Menus contextuels– Intégration des rapports– Notifications et statut par e-mail
![Page 47: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/47.jpg)
47
Console d’administration
47
![Page 48: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/48.jpg)
48
WSUS 3.0 - Améliorations liées aux outils d’administration
![Page 49: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/49.jpg)
49
WSUS 3.0 - Améliorations liées aux outils d’administration
![Page 50: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/50.jpg)
50
WSUS 3.0 - Améliorations liées aux outils d’administration (2/2)• API disponibles pour importer des mises à jour
tierces et pour scripter les opérations• Nouvelles fonctionnalités d’administration
– Assistant de gestion de l’obsolescence du contenu du serveur WSUS (meta-données, machines, mises à jour)
– Règles d’approbation spécifiques par type de mise à jour et par groupe cible
– Sélection des types de produits gérés– Envoi de messages électroniques– …
![Page 51: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/51.jpg)
51
Abonnements (subscriptions)• Permet de choisir quelles mises à jour télécharger et
quand– Produit / Type de mise à jour (sécurité, SP,FP, pilote, etc…)– En fait une mise à jour est composée de deux éléments :
• Un correctif• Les méta données décrivant le correctif
– Par défaut :• seules les méta données sont téléchargées (catalogue)• les correctifs sont téléchargés s’ils sont approuvés (contenu)
• Exemples d’abonnements :– Quotidiens pour les mises à jour critiques– Hebdomadaires pour les mises à jour recommandées
• Synchro – Manuelle / Automatique
![Page 52: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/52.jpg)
52
Approbation de mise à jour
• Vérification avant déploiement (détection) : évalue l’impact d’une mise à jour sur le réseau avant qu’elle ne soit déployée– Au niveau de l’approbation d’une mise à jour, choisir l’action
Detect– Après un cycle de détection des clients, la rubrique Status de la
mise à jour indique le nombre de machines qui nécessitent la mise à jour
• Installation lors de la prochaine date planifiée• Installation avec date butoir• Désinstallation (nécessite que la mise à jour le supporte)
![Page 53: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/53.jpg)
53
Approbation automatique ?• Par défaut, « détection » automatique pour
– Les mises à jour critiques et de sécurité– Tous les groupes cibles
• Par défaut, aucune approbation automatique pour l’installation– On pourrait choisir des types de mises à jour, et des
groupes cibles
• En cas de révision d’une mise à jour, la nouvelle version obtient le même niveau d’approbation que l’ancienne (désactivable pour effectuer un choix manuel)
![Page 54: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/54.jpg)
54
AbonnementsApprobationNotifications
54
![Page 55: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/55.jpg)
55
WSUS 3.0 - Améliorations liées aux outils d’administration
![Page 56: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/56.jpg)
56
METTRE À NIVEAU VERS WSUS 3.0
![Page 57: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/57.jpg)
57
Scenarios de mise à niveau• A partir de SUS 1.0
– Non directement supportée• Mise à niveau d’un serveur unique
– Mise à niveau “in-place”: WSUS2->WSUS3 sur le même serveur– Mise à niveau “migration” : WSUS2->WSUS3 sur des serveurs
différents• Mise à niveau d’une hiérarchie de serveurs
– Serveurs connectés– Serveurs déconnectés
![Page 58: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/58.jpg)
58
Migration depuis SUS• Pas directement supportée• WSUS3 ne peut pas être installée sur le même
serveur que SUS 1.0• 2 options pour mettre à jour:
– Migrer vers WSUS 2.0 SP1, puis mettre à jour vers WSUS3
• Migration SUS 1.0 -> WSUS 2.0 http://technet2.microsoft.com/WindowsServer/f?en/Library/c86e95dc-381f-47a2-b761-1fe0f13ad3f41033.mspx
– Installer WSUS 3.0 sur un serveur séparé– Installation from scratch – Faire pointer les clients vers le nouveau serveur
![Page 59: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/59.jpg)
59
Mise à niveau in place• Le programme d’installation supporte la mise à
niveau “in-place”Setup– Conserve les mises à jours, paramètres et approbations– Pas de re-déploiement du client WSUS: mise à jour
automatique du client lors de la première connexion au serveur
– Support du mode d’installation sans réponse• Exemple SDK WsusMigrate pour migrer les groupes
cibles d’un serveur à un autre• Mise à jour d’une hiérarchie du haut vers le bas
![Page 60: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/60.jpg)
60
Considérations « mise à niveau in-place »• Sauvegarde /restauration
– Mise à niveau “in-place” ne propose pas de retour arrière• Faire une sauvegarde de la base WSUS 2.0 avant la mise à niveau
• Système d’exploitation serveur– WSUS3 n’est pas supporté sur Windows 2000 Server
• Base de données– WSUS3 nécessite SQL 2005 SP1 minimum ou Windows Internal Database
• Mettre à niveau WSUS2 vers SQL 2005 SP1 avant la mise à jour• Réaliser une mise à jour “in-place”, le programme d’installation met
automatiquement à jour la base de donnée vers Windows Internal Database SP1 (=SQL 2005 Embedded Edition)
• Si base de données distante, il faut désinstaller le back-end puis mettre à jour (setup unifié front/back end)
• Console d’administration Web– Plus possible d’utiliser la console web après la mise à jour– Installer la console d’administration WSUS ou les outils de prise de contrôle
à distance
![Page 61: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/61.jpg)
61
Mise à niveau • Installer WSUS 3.0 sur un nouveau serveur
• Migrer les mises à jour et les approbations du serveur WSUS 2.0 WSUS 3.0 :– Utiliser ntbackup pour copier le contenu du répertoire des mises à
jour(http://technet2.microsoft.com/windowsserver/en/library/4696c613-66f3-483d-
8ea9-66bcca74730e1033.mspx?mfr=true)– Synchroniser le serveur WSUS 3.0 pour disposer des dernières
meta-données• Exporter/importer les approbations et les groupes via WsusMigrate
• Faire pointer les clients vers le nouveau serveur– Au travers de la stratégie de groupe / modification registre– Les clients sont mis à jour à la prochaine synchronisation
![Page 62: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/62.jpg)
62
Mise à niveau d’une hiérarchie• La mise à jour se fait à partir du serveur le plus haut de la
hiérarchie– WSUS 2.0 peut se synchroniser avec un serveur WSUS 3.0
(l’inverse est faux)– Remarque : la synchronisation nécessite WSUS2 SP1 ou
WSUS2 RTM + KB910847
![Page 63: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/63.jpg)
63
Migration depuis WSUS 2.0
63
![Page 64: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/64.jpg)
64
Migration WSUS 2.0 vers WSUS 3.0
![Page 65: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/65.jpg)
65
DÉPLOYER DES MISES À JOUR
![Page 66: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/66.jpg)
66
Installation avec date butoir
![Page 67: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/67.jpg)
67
Installation à l’arrêt (XP SP2)
• Profiter de l’arrêt de la machine pour la maintenir à jour• Contrôler par stratégie de groupe
![Page 68: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/68.jpg)
68
MAINTENIR WSUS 3.0
![Page 69: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/69.jpg)
69
Maintenance du serveur WSUS• Les serveurs WSUS nécessitent peu d’opérations de
maintenance• 3 opérations clés
– Ordinateurs clients• Gérer l’ajout et la suppression des machines de l’inventaire
– Contenu• Supprimer les contenus obsolètes
– Base de données• Sauvegarde• Défragmentation des index
• Microsoft Windows Server Update Services 3.0 Operations Guide– http://technet2.microsoft.com/windowsserver/en/library/9b65850d-17a0-440e-
9cad-2eb881011f5f1033.mspx
![Page 70: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/70.jpg)
70
Maintenance - Ordinateurs• Pourquoi nettoyer les ordinateurs ?
– Diminuer la taille de la base– Disposer de rapports fiables et à jour
• Comment ?– L’assistant de nettoyage
• Supprime les machines qui n’ont pas contacté le serveur depuis plus de 30 jours
– API disponibles• http://www.microsoft.com/technet/windowsserver/wsus/default.mspx
![Page 71: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/71.jpg)
71
Contenu• Pourquoi ?
– Ne pas approuver ou refuser une mises à jour ne supprime pas le contenu
– Supprimer les contenus obsolètes– Réduire le besoin d’espace disque
• Comment ?– Lancer l’assistant de nettoyage, lequel supprimera:
• Meta données pour les mises à jour non approuvées de plus de 90 jours
• Vieilles versions de mises à jour• Fichiers inutilisés pour les mises à jour sur le serveur lui-même et
les serveurs fils de la hiérarchie• Mises à jour expirées et qui sont inutiles ou non approuvées deouis
au moins 30 jours
![Page 72: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/72.jpg)
72
Assistant de nettoyage
72
![Page 73: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/73.jpg)
73
WSUS 3.0 – Assistant de nettoyage
![Page 74: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/74.jpg)
74
Maintenance – Base de données• Périodiquement défragmenter la base de données
– http://technet2.microsoft.com/windowsserver/en/library/e787794b-4f09-4d01-ae4e-5983ea7634f91033.mspx• sqlcmd -S np:\\.\pipe\MSSQL$MICROSOFT##SSEE\sql\query –
i <scriptLocation>\WsusDBMaintenance.sql
• Disposer d’un plan de récupération en cas de désastre– Souvent se traduit par la réinstallation du serveur– Sauvegarder la base de données via ntbackup ou script
sqlcmd (http://go.microsoft.com/fwlink/?LinkId=70728)• http://technet2.microsoft.com/windowsserver/en/library/
0f0b7103-052e-481e-9efb-be7ab06fbd181033.mspx
![Page 75: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/75.jpg)
75
Supervision du serveur WSUS• Supervision pro active des serveurs WSUS• Disponibilité du pack d’administration pour MOM
2005 pour WSUS 3.0– Liste des serveurs WSUS avec leur état générale :
• Alertes, • Evénements• Taches• Performances
– Etat de santé des clients
![Page 76: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/76.jpg)
76
Résolution de problèmes• Rapports Serveur
– E-mail– Synchronisation– Rapports ordinateurs et mises à jour– SoftwareDistribution.log– Change log
• Clients– Rapports ordinateurs et mises à jour– Client WindowsUpdate.log – Personnalisation des rapports à partir des APIs et des journaux
client
![Page 77: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/77.jpg)
77
APIs publiques
• A la fois le client et le serveur expose des APIs publiques• APIs serveur basées sur .NET
(pour les taches d’administration)• APIs client basées sur COM scriptable• Exemples de scripts et de code dans le SDK WSUS
![Page 78: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/78.jpg)
78
API Serveur (WSUS API) • http://msdn2.microsoft.com/en-us/library/ms744624.aspx• WSUS API 2.0 permet l’accès à un ensemble des tâches
de la MMC– Configuration du serveur WSUS– Approbation des mises à jour Updates– Ajout/suppression des groupes cibles– Ajout/suppression des clients dans le groupe cible– Création de rapports personnalisés– La MMC utilise les API publiques
• Nouveautés WSUS 3.0 APIPublication (Publishing) Publication, approbation et déploiement de MAJ tierces
Administration à distance Permet l’administration à distance du serveur WSUS
Inventaire Fonctionnalité de base de l’inventaire
Nettoyage Etendue et options de nettoyage
![Page 79: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/79.jpg)
79
API Client (Windows Update Agent API)• APIs publiques, implémentées comme “wrappers” autours
de l’Agent WU et des fonctionnalités de Mises à jour automatique (exposée au travers de COM et scriptable)
• http://msdn2.microsoft.com/en-us/library/aa387099.aspx
DescriptionAutomaticUpdates A class that exposes the settings of Automatic Updates and some
functionality UpdateCollection A class representing an ordered list of Updates UpdateDownloader A class that downloads updates from the server UpdateInstaller ClassUpdateSearcher A class that searches for updates on the server SearchResult A class that represents the result of a searchUpdate A class that exposes properties and methods available to an update
![Page 80: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/80.jpg)
80
Exemple de scriptsDim update, iset AutoUpdate =
CreateObject("Microsoft.Update.AutoUpdate")Autoupdate.DetectNow()set UpdateSession =
CreateObject("Microsoft.Update.Session")set UpdateSearcher = UpdateSession.CreateUpdateSearcher()set SearchResult= UpdateSearcher.Search("")set Updates = SearchResult.Updatesset UpdatesToInstall =
CreateObject("Microsoft.Update.UpdateColl")For i = 0 to (Updates.Count-1)
UpdatesToInstall.Add(Updates.Item(i))Nextset Installer = UpdateSession.CreateUpdateInstaller()Installer.Updates = UpdatesToInstallset InstallationResult = Installer.Install()
Détection
Approbation
Installation
![Page 81: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/81.jpg)
81
La ligne de commande• L’utilitaire wsusutil
– http://technet2.microsoft.com/windowsserver/en/library/2686bd2b-910a-479b-961e-cea2a20280241033.mspx
– Disponible sur le serveur WSUS, pas si uniquement installation de la console
– Options: configuressl, healthmonitoring, export, import, movecontent, listfrontendservers, deletefrontendserver, checkhealth, reset, listinactiveapprovals, removeinactiveapprovals, usecustomwebsite
• L’utilitaire wuauclt– http://technet2.microsoft.com/windowsserver/en/library/2686bd2
b-910a-479b-961e-cea2a20280241033.mspx– Contrôle de l’agent Windows Update– Options : detectnow, resetauthorization, reportnow
![Page 82: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/82.jpg)
82
CONCLUSION et Q&R
![Page 83: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/83.jpg)
83
En résumé : WSUS 3.0
• Déploiement et configuration simplifiés• Performances améliorées• Fiabilité améliorée• Reporting multi-sites et multi-critères• Outils d’administration• Ciblage évolué• Devient la plate forme de distribution
![Page 84: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/84.jpg)
84
Devient la plateforme de distribution
Microsoft Update
WSUS software distribution
infrastructure
auto-sync
WHOS publishesdrivers
WU agent on corporate client
auto-sync
New catalog siteselective import
SCCM 2007
SCE
locallypublishITCU
3rd party tool
local publish
Inside the corporation
Product teams
publishesupdates
• Tout le contenu de Microsoft Update est disponible pour toutes les solutions de gestions des correctifs.
• System Center Configuration Manager 2007 et System Center Essentials disposeront d’outils de création et de publications de mises à jour “tierces”.
• WSUS ne fournit pas le support à la publication
![Page 85: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/85.jpg)
85
Ressources WSUS • Page d’accueil
http://www.microsoft.com/windowsserversystem/updateservices
• WSUS Community http://www.microsoft.com/windowsserversystem/updateservices/community/default.mspx– Team Blogs, MVPs, Forums, Newsgroups, Webcasts, Wiki
• Tools and API Samples http://www.microsoft.com/windowsserversystem/updateservices/downloads/default.mspx
![Page 86: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/86.jpg)
86
Questions / Réponses
![Page 87: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/87.jpg)
87
Questions / Réponses
![Page 88: Déployer les correctifs et maintenir son parc informatique à jour avec](https://reader030.vdocuments.pub/reader030/viewer/2022012917/56816736550346895ddbe6c2/html5/thumbnails/88.jpg)
88
Microsoft France18, avenue du Québec
91 957 Courtaboeuf Cedex
www.microsoft.com/france
0 825 827 829