Bienvenue. Quest ce que TechNet ? Un site Web très orienté technique –//.

Post on 03-Apr-2015

115 views 4 download

Transcript of Bienvenue. Quest ce que TechNet ? Un site Web très orienté technique –//.

Bienvenue

Qu’est ce que TechNet ?

• Un site Web très orienté technique– http://www.microsoft.com/france/technet/default.mspx

• Une newsletter personnalisable– http://www.microsoft.com/france/technet/presentation/flash/default.msp

x

• Des séminaires techniques toute l’année, partout en France– http://www.microsoft.com/france/technet/seminaires/seminaires.mspx

• Des Webcasts accessibles à tout instant– http://www.microsoft.com/france/technet/seminaires/webcasts.mspx

• Un abonnement– http://www.microsoft.com/france/technet/presentation/cd/default.mspx

Animateur

Administration et déploiement des correctifs avec Windows

Server Update Services et System Management

Server 2003

Logistique

Pause en milieu de session

Vos questions sont les bienvenues.N’hésitez pas !

Feuille d’évaluation à remettre remplie en fin de session

Cédérom

Commodités Merci d’éteindre vos téléphones

Agenda

• Partie 1 : Introduction et rappels• Partie 2 : Windows Server Update Services (ex

WUS, ex SUS 2.0)• Partie 3 : SMS 2003• Partie 4 : Synthèse - comparaison de

MU/WSUS/SMS

Sommaire

• Partie 1 : Introduction et rappels• Partie 2 : Windows Server Update Services• Partie 3 : System Management Servers 2003• Partie 4 : Synthèse - comparaison de

MU/WSUS/SMS

Les 3 facettes de la sécurité

ArchitectureArchitecturesécuriséesécurisée

TechnologiesWindows 2000/XP/2003

Active Directory

Service PacksCorre

ctifs

IPSEC

Kerberos

PKI

DF

S

EFS

SSL/TLS

Clusters

Détectio

n

d’in

trusio

n

SMS

MOM

ISA

Antivirus

GPO

PersonnesAdmin.de l’Entreprise

Admin

.

Du Dom

aine

Service/

Support

DéveloppeurUtilisateur

ArchivagePolitiqued’accès

Inst

alla

tion

RéparationGes

tion d

es

évén

emen

ts

Gestion desperfs

Gestion du

Changement /

de la C

onfiguratio

n

Proc

essu

s

Restauration Sauvegard

e

Réponse à Incident

Mic

roso

ft

Ope

ratio

ns

Fram

ewor

k

Evalu

atio

n

de ri

sque

s

Les différents types de correctif

1. Évaluer l'environnement auquel les correctifs doivent être appliqués

A. Créer/tenir à jour des systèmes de référence

B. Évaluer l'architecture de gestion des correctifs

C. Passer en revue l'infrastructure/la configuration

1. Analyser 2. Identifier

4. Déployer 3. Évaluer et planifier

2. Identifier de nouveaux correctifs

A. Identifier de nouveaux correctifs

B. Déterminer la pertinence des correctifs

C. Vérifier l'authenticité et l'intégrité des correctifs

3. Évaluer les correctifs et planifierleur déploiement

A. Obtenir l'approbation nécessaire pour déployer

B. Évaluer les risquesC. Tester les correctifsD. Planifier la publication

4. Déployer le correctif

A. Distribuer et installer le correctifB. Rédiger un rapport sur l'avancementC. Traiter les exceptions

D. Passer en revue le déploiement

Le processus de gestion des correctifs en entreprise : méthodes recommandées

Processus de gestion des correctifs

Gestion des correctifs hierSolutions multiples, nombre de produits limité

Windows Update/Office Update• Solutions Web pour l’utilisateur final

Software Update Services (SUS) 1.0• Intermédiaire entre Windows Update et Automatic Updates

(contrôle des mises à jour)

Microsoft Baseline Security Analyzer (MBSA) 1.2.1• Détecte les mises à jour de sécurité pour 16 produits• Détecte les vulnérabilités liées aux configurations pour 7 produits

Systems Management Server 2003• SUS Feature Pack (uniquement les mises à jour Windows)• MBSA 1.2.1 pour la détection des autres mises à jour de sécurité• Enterprise Update Scan Tool (EST)

– Détecte les mises à jour de sécurité critiques et importantes– Compatible avec SMS

Agent unifié, support produits étendus

Microsoft Update (MU)• version “Hosted” de Update Services• Solution Web pour l’utilisateur final

Windows Server Update Services (WSUS)• Infrastructure pour les mises à jour produits et outils• Solution évoluée de mises à jour pour la plate forme Microsoft

Microsoft Baseline Security Analyzer (MBSA) 2.0• Outil d’analyse sans la nécessité d’un serveur

Systems Management Server 2003• Outil d’inventaire pour les mises à jour Microsoft

Gestion des correctifs aujourd’hui

Sommaire

• Partie 1 : Introduction et rappels• Partie 2 : Windows Server Update Services (ex

WUS, ex SUS 2.0)• Partie 3 : SMS 2003• Partie 4 : Synthèse - comparaison de

MU/WSUS/SMS

Qu’est ce que Update Services?• Offre d’entreprise de gestion des mises à jour

– Obtenir le contenu du service Microsoft Update

• Composant téléchargeable sur le web (RTW) de Windows Server– Pas de coût licences Windows Server (2000 et ultérieur)

– Nécessite une licence Windows Server / CAL pour les systèmes cibles

• Ne modifie pas les offres existantes– SUS 1.0 continue d’obtenir son contenu de Windows Update (

déc. 2006)

• Composant principal des solutions de gestion des correctifs et mises à jour Microsoft.

Objectifs et principes de conception• Délivrer une solution “simple d’utilisation” totalement

fonctionnelle permettant de répondre au besoin de gestion de mises à jour des produits– Automatiser le plus possible le processus de mises à jour

– Supporter plus que les patches Windows

– Répondre aux demandes des clients utilisant SUS 1.0

– A destination de l’administrateur mais aussi de l’IT généraliste

• Construire l’infrastructure de base “core” pour le patch management de la plate forme Windows– Utiliser par d’autres outils ( ie SMS & MBSA)

– Ensemble complet d’APIs permettant d’étendre et de personnaliser l’application

– Montée en charge ( à l’image de Microsoft Update)

Administrateur souscrit aux catégories de Administrateur souscrit aux catégories de mises à jourmises à jour

< Back Finish Cancel

Windows Update ServicesWindows Update Services

Serveur télécharge les mises à jour de Serveur télécharge les mises à jour de Microsoft UpdateMicrosoft UpdateClients s’enregistrent aux-mêmes avec le Clients s’enregistrent aux-mêmes avec le serveurserveurAdministrateur place les clients dans des Administrateur place les clients dans des groupes ciblesgroupes cibles

Administrateur approuve les mises à jourAdministrateur approuve les mises à jourAgents installent les mises à jour approuvées par Agents installent les mises à jour approuvées par l’administrateurl’administrateur

< Back Finish Cancel

Windows Update ServicesWindows Update Services

Microsoft Microsoft UpdateUpdate

Serveur Serveur WSUSWSUS

Groupe 1 Groupe 1 cible Postes cible Postes clientsclients

Groupe 2 cible Groupe 2 cible ServeursServeurs

Administrateur Administrateur WSUSWSUS

Vue d’ensemble

Mises à jour supportées• Contenu

– Windows, Office, SQL, Exchange à la RTM– Des produits additionnels viendront par la suite

• Plate-formes OS– Client/agent

• Windows 2000 SP3 et ult., Windows XP RTM et ult. (incl. XP embedded et XP x64)

• Windows 2003 RTM (32-bit seulement), Windows 2003 SP1 (x64 et ia64)– Serveur

• Windows 2000 SP4 et ultérieur• Windows 2003 RTM et ultérieur (32-bit seulement)

• Localisation– Client est localisé en 25 versions– Serveur est localisé en 17 versions– Support de la MUI

• Support de la delta compression

Fonctionnalités: contrôle• Administrateur défini des groupes cibles

– Utilisation des stratégies de groupe pour ce faire dans l’environnement AD

– Au travers de l’interface d’administration de WSUS pour les environnement non AD

• Administrateur contrôle les approbations– “Détection seulement” évaluation des machines qui nécessite

l’application d’un patch– Approbation pour l’installation et la désinstallation (pas toujours

possible)– Installation sur date butoir– Approbation par groupe cible:

• Différentes mises à jour vers différents groupes cibles• Différentes dates butoirs par groupe cible• Différentes actions par groupe cible

Fonctionnalités: Configuration de l’ Agent

• Configuration flexible de l’Agent – Fréquence de polling– Notification et type d’installation– “Comportement” vis-à-vis du reboot– Port configurable– Non-administrateurs peuvent installer des mises à jour (comme

les administrateurrs)– Installation à l’arrêt

(XP SP2 et Windows 2003 SP1 seulement)

Fonctionnalités: Optimisation réseau• Résilient et transparent

– BITS* pour téléchargement client-serveur et serveur-serveur– Téléchargements se font en fond de tache (background)

• Téléchargement minimale des mises à jour– Suscriptions aux mises à jour – téléchargement des mises à

jour pour les produits, classifications et langues que *vous* avez besoin

– Support de la technologie “delta compression” pour les communications

– Option client-serveur pour téléchargement uniquement les mises à jour approuvées (download on demand)

– Option pour télécharger uniquement le catalogue des mises à jour et la détection – binaires sur MU

*Background Intelligent Transfer Service

Installation• Serveur WSUS

– Windows Server 2003 (32 bits)• IIS6• BITS 2.0 for Windows Server 2003• .NET Framework 1.1 SP1 for Windows Server 2003

– Windows 2000 Server SP4• IIS5• BITS 2.0 for Windows 2000• Base de données 100% compatible SQL Server (ex : MSDE 2000)• IE 6.0 SP1• .NET Framework 1.1 avec SP1

• Client WSUS– Agent Windows Update : mise à jour automatique du client Windows

Update (= self-update)– Windows 2000 SP3 et +, Windows XP et +, Windows 2003 et +

Démonstration : console d’administration

WSUS- Notions fondamentales

• Client Mises à jour automatiques• Groupes cibles• Abonnement• Approbation de mise à jour• Rapports• APIs

Automatic Updates (AU)Agent Windows Update

• Service local (Mises à jour automatiques) automatisant l’accès à WU/MU permettant– D’obtenir automatiquement les mises à jour critiques et de sécurité

de Windows dont elle a besoin– De les installer automatiquement (si le propriétaire de la machine le

souhaite)– Agent Windows Update

• Quand on le connecte à Windows Update (ou Microsoft Update) : à destination du grand public et des TPE

• Quand on le connecte à WSUS, c’est LE client WSUS (à destination des PME principalement)

Client mise à jour automatiques AutoUpdate

• Principe : – se connecte à Windows

Update, Microsoft Update ou un serveur WSUS pour maintenir la machine à jour

• Config. GPO• Par script

– Mode pull• Nouvelle version dans

Windows XP SP2 (permet l’installation avant arrêt)

• Disponible pour– Windows Server 2003– Windows 2000 SP3 et +– Windows XP* et +

• Possibilité de mise à jour silencieuse du client à partir du serveur WSUS

Pré installation (self-update)

Configuration des clients• Par stratégie de groupe ou par

registre

• Configurer les mises à jour automatiques (AutoUpdate) en spécifiant un serveur intranet de mise à jour Microsoft

• Modes d’installation :– Notifier avant le

téléchargement/installation – Télécharger puis notifier pour l’

installation– Télécharger et installer

automatiquement selon la planification

– Autoriser les administrateurs locaux à choisir le mode de configuration (sans pouvoir désactiver AutoUpdate)

Configuration des clients

• Fréquence de détection configurable (du client vers le serveur) : – 22 heures par défaut;

minimum 1 heure (charge sur le serveur)

– La durée réelle entre deux détections sera déterminée aléatoirement entre 80% et 100% de la durée paramétrée

• Délai de redémarrage et intervalle avant nouvelle demande de redémarrage (si redémarrage repoussé)

• Notification pour les non administrateurs (en fonction du mode d’installation)

• Pas de redémarrage planifié (pour laisser l’utilisateur redémarrer quand il le veut)

• Re-planifier les installations planifiées (ex : 5 min après redémarrage)

• Autoriser l’installation immédiate des mises à jour automatiques

• Ciblage• Notifie l’utilisateur si redémarrage

nécessaire

Dépannage

• Vérifier le démarrage du service• Vérifier la configuration du client

– Via l’interface graphique (Propriétés du Poste de travail, onglet Mises à jour automatiques)

– Si stratégie de groupe, vérifier son application (gpresult)– Si rafraîchissement de stratégie de groupe nécessaire : gpupdate

/force– Regarder

• Journal des événements• %windir%\WindowsUpdate.log• %windir%\SoftwareDistribution\ReportingEvents.log

– Forcer une détection : wuauclt.exe /detectnow– Réinitialiser le cookie et forcer une détection : wuauclt.exe

/resetauthorization /detectnow

Groupes cibles

• Utilité : cibler des mises à jour sur des machines spécifiques– Groupe cible de test– Groupe cible de production

• Deux types de ciblage– Côté serveur

• L’administrateur WSUS gère l’appartenance aux groupes depuis le site d’administration (listes sur le serveur)

– Côté client• Appartenance gérée automatiquement

– En utilisant des stratégies de groupe (même groupe pour toutes les machines d’une même UO d’Active Directory)

– En utilisant le Registre

Abonnements (subscriptions)

• Permet de choisir quelles mises à jour télécharger et quand– Produit / Type de mise à jour (sécurité, SP,FP, pilote, etc…)– En fait une mise à jour est composée de deux éléments :

• Un correctif• Les méta données décrivant le correctif

– Par défaut :• seules les méta données sont téléchargées (catalogue)• les correctifs sont téléchargés s’ils sont approuvés (contenu)

• Exemples d’abonnements :– Quotidiens pour les mises à jour critiques– Hebdomadaires pour les mises à jour recommandées

• Synchro – Manuelle / Automatique

Approbation de mise à jour

• Vérification avant déploiement (détection) : évalue l’impact d’une mise à jour sur le réseau avant qu’elle ne soit déployée– Au niveau de l’approbation d’une mise à jour, choisir l’action

Detect– Après un cycle de détection des clients, la rubrique Status de la

mise à jour indique le nombre de machines qui nécessitent la mise à jour

• Installation lors de la prochaine date planifiée• Installation avec date butoir• Désinstallation (nécessite que la mise à jour le supporte)

Approbation automatique ?

• Par défaut, « détection » automatique pour– Les mises à jour critiques et de sécurité– Tous les groupes cibles

• Par défaut, aucune approbation automatique pour l’installation– On pourrait choisir des types de mises à jour, et des groupes

cibles

• En cas de révision d’une mise à jour, la nouvelle version obtient le même niveau d’approbation que l’ancienne (désactivable pour effectuer un choix manuel)

Rapports

• Rapport standard consolidé (activités clients)– Par machine / par mise à jour / par groupe cible– Succès et échecs des téléchargements et installations

avec les détails sur les erreurs

• Rapport sur les synchros– Nouveautés, changements

Démonstration : état et rapports

Installation avec date butoir

Installation à l’arrêt (XP SP2)

• Profiter de l’arrêt de la machine pour la maintenir à jour

• Contrôler par stratégie de groupe

APIs publiques

• A la fois le client et le serveur expose des APIs publiques

• APIs serveur basées sur .NET (pour les taches d’administration)

• APIs client basées sur COM scriptable• Exemples de scripts et de code dans le SDK

WSUS

API coté Serveur

• Très fonctionnelle API .Net• API permet l’accès à un ensemble (superset) des

taches de l’UI– Configuration du serveur WSUS– Approbation des mises à jour Updates– Ajout/suppression des groupes cibles– Ajout/suppression des clients dans le groupe cible– Création de rapports personnalisés– Toute l’UI utilise les API publiques

• “The bad news”– Non exposé comme une interface COM– Pas du support distant – doit être appelée localement

API coté Client• APIs publiques, implémentées comme “wrappers” autours

de l’Agent WU et des fonctionnalités de Mises à jour automatique (exposée au travers de COM et scriptable)

Class Description

AutomaticUpdates A class that exposes the settings of Automatic Updates and some functionality

UpdateCollection A class representing an ordered list of Updates

UpdateDownloader A class that downloads updates from the server

UpdateInstaller A class that (un)installs updates from or onto the computer

UpdateSearcher A class that searches for updates on the server

SearchResult A class that represents the result of a search

Update A class that exposes properties and methods available to an update

Exemple de scripts

Dim update, iset AutoUpdate = CreateObject("Microsoft.Update.AutoUpdate")Autoupdate.DetectNow()set UpdateSession = CreateObject("Microsoft.Update.Session")set UpdateSearcher = UpdateSession.CreateUpdateSearcher()set SearchResult= UpdateSearcher.Search("")set Updates = SearchResult.Updatesset UpdatesToInstall =

CreateObject("Microsoft.Update.UpdateColl")For i = 0 to (Updates.Count-1)

UpdatesToInstall.Add(Updates.Item(i))Nextset Installer = UpdateSession.CreateUpdateInstaller()Installer.Updates = UpdatesToInstallset InstallationResult = Installer.Install()

Détection

Approbation

Installation

Flexibilité déploiement/Management• Serveur

– APIs basées .NET – Règles simple pour automatiser le déploiement des

mises à jour sans UI

• Client– Ligne de commande wuauclt.exe /detectnow pour la

détection – APIs basées sur COM pour les scripts et le support

distant– Paramètres du client AU via stratégie de groupe ou

scripts

Démonstration : distribution d’un correctif

Notions complémentaires

• Communications • Options de déploiement des serveurs WSUS• Stockage• Sécurité • Flexibilité

Communications (1/2)

• Configuration des paramètres de proxy

Communications (2/2)

• Faible utilisation de la bande passante– BITS (Backgound Intelligent Transfert Service) pour les

téléchargements client serveur et serveur-serveur– Mise à jour par “abonnement” (par produit/par type) – Support des technologies “delta compression” – Téléchargement dissocié des correctifs et de leurs méta données

Options de déploiement des serveurs

• Déploiement hiérarchique– Serveurs indépendants

– Serveurs non connectés à Internet

Hiérarchie

• Attention : il est conseillé de ne pas dépasser 3 niveaux dans la hiérarchie pour des questions de latence de propagation des mises à jour

• Mode replica (miroir) ou pas, se définit à l’installation seulement !!

Déploiement simple

Déploiement de réplica

Déploiement en agence

Postes de travail Clients

Serveurs non connectés

Microsoft Update

Serveur WSUS

Serveur WSUSImportation et exportation

manuelles

Stockage

• Base de données pour gérer tout ce qui n’est pas contenu• Prise en compte des dépendances entre les mises à jour• WMSDE/MSDE vs SQL Server

– MSDE a une limite de 2Go, pas WMSDE (uniqt sur Windows 2003)

• Mises à jour hébergées sur Microsoft Update (WSUS sert alors seulement de point de contrôle) ou en local

• Filtrage de contenu – Ne garder que les plateformes et langues dont vous avez besoin

• Dimensionnement– Prévoir une croissance annuelle * nombre de langues

Sécurité, flexibilité

• Sur le client et sur le serveur – Vérification de signature des contenus téléchargés – Permissions sur les contenus téléchargés

• Changement des ports– Sauf pour contacter MU– Port utilisé : 80 ou 8530 (attention, dans ce cas pour mettre à jour

de « vieux » clients, il faut maintenir un site sur le port 80)

• Infrastructure et plateforme– Option en ligne de commande pour déclencher une détection côté

client : wuauclt.exe /detectnow– API du client en COM exécutables à distance et scriptables– API du serveur basées sur .Net Framework

Connexion à Microsoft Update• Ouverture du pare-feu

– HTTP 80 et HTTPS 443 pour joindre les serveurs Microsoft sur le Web

– Liste des domaines :• · http://windowsupdate.microsoft.com

• · http://*.windowsupdate.microsoft.com

• · https://*.windowsupdate.microsoft.com

• · http://*.update.microsoft.com

• · https://*.update.microsoft.com

• · http://*.windowsupdate.com

• · http://download.windowsupdate.com

• · http://download.microsoft.com

• · http://*.download.windowsupdate.com

• · http://wustat.windows.com

• · http://ntservicepack.microsoft.com

Filtrage d’URLs (ISA ou URLScan)

• Si vous l’utilisez, il faut :– autoriser les extensions de type .exe (les enlever de

la section [DenyExtensions]– Autoriser dans [AllowVerbs]

• GET• HEAD• POST• OPTIONS

Dimensionnement du serveur WSUS

Jusqu’à 500 clients

Minimum Recommandé

Processeur 750 MHz 1 GHz ou +

RAM 512 Mo 1 Go

Base de données MSDE MSDE/WMSDE

De 500 à 15 000 clients

Minimum Recommandé

Processeur 1 GHz ou + Biprocesseurs à 3 GHz ou + (2 processeurs pour plus de 10 000 clients)

RAM 1 Go 1 GB

Base de données WMSDE / SQL Server 2000 SP3a et +

WMSDE / SQL Server 2000 SP3a et +

Migration de SUS vers WSUS

• Pas de mise à jour mais une migration des mises à jour et des approbations (et c’est tout)– Migration sur même serveur– Migration vers nouveau serveur

• WSUSutil.exe

• SUS1 et WSUS peuvent cohabiter sur un même serveur

Limites de la migration

• WSUS et SUS 1.0 ne peuvent pas synchroniser leurs méta données l’un avec l’autre

• Pas de migration des paramètres de proxy• Pas de migration des paramètres d’IIS• Migration unidirectionnelle de SUS 1.0 vers WSUS• La migration des approbations de mises à jour

écrase les approbations existantes d’un groupe d’ordinateurs

Migration avec un seul serveur

• Pour économiser le nombre de serveurs• Nécessite d’installer WSUS sur un port différent

de SUS 1.0• Nécessite la mise à jour des clients au fur et à

mesure qu’ils se connectent au serveur WSUS• Redirection des clients vers un port différent du

même serveur• Les clients utilisent toujours SUS 1.0 pour les

mises à jour jusqu’à ce qu’ils soient redirigés vers le port de WSUS, ou que SUS 1.0 soit retiré

Considérations de déploiement• Besoins matériels

– Nombre de clients, fréquence de polling du client vers le serveur• Base de données et stockage

– SQL Locale ou distante versus MSDE /WMSDE• Bande passante

– Site unique, multi-sites, « branch office », bande passante faible (low)

• Sécurité– Personnalisation des ports de communication

• Scalabilité– Hiérarchie Serveur – Options des cibles– Mode Client versus Serveur

• Management– Automatisation par scripts versus interface d’administration Web

Démonstration : Migration SUS vers WSUS

Agenda

• Partie 1 : Introduction et rappels• Partie 2 : Windows Server Update Services• Partie 3 : SMS 2003• Partie 4 : Synthèse - comparaison de

MU/WSUS/SMS

Téléassistance

FonctionnalitésGestion des ressources matérielles et logicielles

PPC 200364 MBARM 300 MHz

Windows XP SP1256 MBP IV 1 GHz

Windows 2000128 MBP III 700 MHz

Windows NT 4 SP6128 MBP III 350 MHz

OSRAMCPU

Découverte Inventaire Reporting

Gestion du cycle de vie des applicationset des correctifs de sécurité

Packaging Distribution Installation Suivi utilisation

• S’appuie sur l’infrastructure SMS existante pour déployer les outils d’analyse sur l’ensemble des machines

• Exécute automatiquement une tâche récurrente permettant de déterminer quelles sont les mises à jour nécessaires pour chaque machine

• Ces informations sont collectées par les mécanismes standard d’inventaire et transmises dans le référentiel SMS

• Génère des rapports pour analyser ces informations

• Les mises à jour nécessaires sont automatiquement envoyés aux postes clients en utilisant les mécanismes standard SMS

SMS 2003 et correctifs de sécurité

Internet

Point de distribution SMS

Clients SMS

Clients SMS

MicrosoftDownload Center

Point de distribution SMS

2. Téléchargement régulier du référentiel (MSSECURE.XML,WSUScan.cab…)

1. Téléchargement et installation des outils d’analyse sur le serveur de site

3. Inventaire des clients et intégration avec les données d’inventaire matériel SMS

4. Utilisation de l’assistant de distribution des mises à jour logicielles pour déclencher l’installation des mises à jour sélectionnées

6. Installation des mises à jour par l’agent SMS

7. De manière périodique: le module de synchronisation vérifie la publication de nouvelles mises à jour et analyse les clients

5. Téléchargement des fichiers; création/mise à jour des packages, programmes & annonces; réplication des packages & publication des programmes vers les clients SMS

Clients SMS

SMS 2003 et correctifs de sécuritéArchitecture

Intranet

• Systems Management Server 2003 Software Update Scanning Tools – Outil d’inventaire pour les mises à jour de la sécurité

(Security Update Inventory Tool)– Outil d’inventaire pour les mises à jour Microsoft Office

(Office Update Inventory Tool)

• SMS Extended Security Update Inventory Tool

• Outil d’inventaire pour les mises à jour Microsoft (SMS Inventory Tool for Microsoft Updates)

SMS 2003 et correctifs de sécuritéComposants (disponibles sur le Web en téléchargement)

• Permettent de créer dans SMS les lots permettant de :– Télécharger automatiquement la liste des correctifs de sécurité – D’installer et exécuter, à intervalles de temps réguliers, l’outil d’analyse

sur les postes clients (permettant de déterminer quelles sont les mises à jour nécessaires pour chaque machine)

• Enrichissent l’inventaire avec– Numéro du bulletin de sécurité, numéro de l’article technique, titre, …– Etat (Installé, Applicable)– L’URL du site où peut être obtenue la mise à jour

• S’intègrent avec le module de reporting– Création de rapports permettant d’analyser les informations d’inventaire

Outils d’inventaire des mises à jour

• Toute mise à jour détectée par MBSACLI 1.2 peut être distribuée

• Prise en charge des mises à jour de– Windows (critiques, non-critiques et Service Packs)– IE, MDAC, IIS– SQL Server, Exchange Server, Biztalk…

• Support des clients Windows 2003, XP, 2000 et de NT 4.0

• Liste des exceptions:– Microsoft Baseline Security Analyzer (MBSA) returns

note messages for some updateshttp://support.microsoft.com/default.aspx?scid=kb;en-us;306460

Outil d’inventaire des mises à jour de la sécurité

Outil d’inventaire des mises à jour de la sécurité

• Déterminer quels sont les correctifs applicables– Office 2000– Office XP– Office 2003

Outil d’inventaire des mises à jour Microsoft Office

SMS Extended Security Update Inventory Tool • Outil de détection des mises à jour de sécurité pour certains

bulletins qui ne peuvent pas être détectés par MBSA ou ODT http://support.microsoft.com/?kbid=894192

http://support.microsoft.com/default.aspx?scid=kb;fr;894193

• L’outil dans sa version 4.2 (10/11/2005) prend en charge :

– MS04-028, MS05-004, MS05-006, MS05-009, MS05-022, MS05-029, MS05-030, MS05-031, MS05-033, MS05-034, MS05-044, MS05-050

http://www.microsoft.com/downloads/details.aspx?FamilyId=2C93DA1D-48A0-4E5C-991F-87E08954F61B&displaylang=en

Outil d’inventaire pour les mises à jour Microsoft• Nouvel outil d’analyse pour les sites SMS 2003 SP1 et les

clients avancés– En règle général, c’est un remplacement des outils d’inventaire

des mises à jours actuellement disponibles MBSA et Office• Dans certains cas, les outils ancienne génération devront être

conservés

• Outil d’inventaire pour les mises à jour Microsoft (ITMU) prends en charge à la fois les mises à jour pour les systèmes d’exploitation et les applications– Microsoft Windows XP Embedded / Microsoft Windows X64

Edition / Microsoft Office XP and Office 2003 / Microsoft Exchange 2000 et 2003 / Microsoft Windows 2000 Service Pack 4 et + / MSXML, MDAC, et Microsoft Virtual Machine / Microsoft SQL Server 2000 SP4 et SQL Server 2005

Outil d’inventaire pour les mises à jour Microsoft• « ITMU » s’appuie sur l’agent Windows Update

pour l’analyse des mises à jour– Outil d’analyse « standalone » – ne nécessite pas de

serveur WSUS ou de connectivité Internet– Agent Windows Update 2.0 est natif à partir de

Windows Server 2003 SP1– Distribué comme un package par SMS pour les autres

OS

• En respect avec Microsoft Update pour les mises à jours critiques, les rollups et les service packs

Mise en oeuvre ITMU

• Site SMS :– Requiert SMS 2003 SP1– Correctifs à installés dans l’ordre (KB 900257, 900401 et 901034*)– Création package, programmes, publications et regroupements

• Client avancé :– SMS 2003 SP1– Windows 2000 SP3 et + , MSXML 3.0– Windows Installer 3.1v2 (msi)– Mises à jour du client avancé (correctif 901034)

• Installation de l’agent Windows Update 2.0 (5.8.0.2469)

http://www.microsoft.com/smserver/downloads/2003/tools/

msupdates_required.mspx * ou 899512 et 892044

Améliorations ITMU

• Standardisation des outils (utilisation de l’agent Windows Update 2.0)

• Plus de gestion de la ligne de commande pour la distribution des correctifs

• Rapports plus complets– 19 rapports

Comparaison des outils de mises à jour de correctifs

• Le moteur de détection d’ITMU s’appuie sur l’agent Windows Updates

• Les technologies suivantes s’appuient sur l’agent Windows® Update– Microsoft Update, MBSA 2.0, and Windows Server™

Update Services

• Toutes les solutions de mises à jours doivent donner des résultats cohérents entre elles.

Comparaison des outils d’inventaire

de mises à jour pour SMS• ITMU supporte Security updates, service packs, et rollups

pour Windows 2000 SP4 et +– MBSA supporte critical security updates et service packs pour

Windows NT® 4.0 et +• ITMU supporte Office XP et + pour les mises à jour de

sécurité et les service packs– Mises à jour pour Microsoft Office supporte Office 2000 et + pour

mises à jour de sécurité et les service pack• ITMU supporte SQL Server 2000 SP4 et+

– MBSA supporte SQL Server 7.0 et +• ITMU utilise le catalogue WSUS (WSUSScan.cab) qui inclut

toutes les langues– Le catalogue MBSA (MSSecure.cab) est spécifique à chaque langue

de l’OS• Besoin de déployer MSSecure.cab pour chaque langue de l’OS client

• Objectif : Automatiser le déploiement des mises à jour manquantes sur les postes clients

• Fonctionnement– S’appuie sur l’inventaire remonté par les outils d’inventaire– Il est aussi possible de déployer des mises à jour directement avec le

SP1

• Recherche des correctifs manquants, sélection des correctifs

• Téléchargement des correctifs depuis Microsoft.com

• Création automatique du Lot de l’Annonce et du Programme

Assistant de distribution des mises à jour logicielles

• Un assistant intégré à la sécurité et à la console d’administration de SMS permettant de :– Visualiser les mises à jour nécessaires et gérer les priorités– Récupérer et autoriser les mises à jour– Tester les mises à jour en environnement pilote– Définir le contenu des lots– Contrôler l’expérience et les scénarios utilisateurs

• Pour ITMU, nécessite le hotfix 900257

Assistant de distribution des mises à jour logicielles Fonctionnalités

• Comment récupérer les versions internationales du catalogue– Modifier le fichier Download.ini pour y ajouter une section

[Download2] XMLCABURL=http://go.microsoft.com/fwlink/?

LinkId=26835 XMLCABDEST=1036 – Pour plus d’information se reporter à l’adresse

support.microsoft.com/default.aspx?scid=kb;EN-US;838403

• Comment utiliser un Proxy nécessitant une authentification– Utiliser PatchDownloader.exe /s:" "Server[:port] /U:<UserName as

Domain\UserName>

Assistant de distribution des mises à jour logicielles Fonctionnalités

Assistant de distribution des mises à jour logicielles

• Utilisation privilégiée des zones de notification et des ballons

• Des détails supplémentaires sont disponibles pour les utilisateurs intéressés

• Possibilité d’utiliser des textes et graphiques spécifiques afin de mettre en exergue certaines mises à jour

• Support des installations en mode automatique ou silencieux

• Politique d’installation souple variant entre « installation obligatoire et immédiate » et « installation facultative »

• Détermination automatique du nombre optimum de démarrages

SMS 2003 et correctifs de sécuritéInstallation des mises à jour

SMS 2003 et correctifs de sécuritéInterface cliente

SMS 2003 et correctifs de sécuritéConformité du parc

Sommaire

• Partie 1 : Introduction et rappels• Partie 2 : Windows Server Update Services• Partie 3 : SMS 2003• Partie 4 : Synthèse - comparaison de

MU/WSUS/SMS

Microsoft Update CatalogWindows 2000+Windows 2000+Office XP+Office XP+Exchange 2000+Exchange 2000+SQL 2000 SP4+SQL 2000 SP4+

Client finalClient final Grande EnterpriseGrande Enterprise

PMEPME

TPETPE

Windows Update AgentWindows Update Agent

WSUSWSUS SMSSMSAutomatic UpdatesAutomatic Updates& MU Website& MU Website

MBSA 2.0MBSA 2.0

Detection etmise à jour du contenu

Infrastructure Detection et Installation

 

*utilisation de Windows Update, d'un autre outil de mise à jour ou mise à jour manuelle pour les systèmes et applications non supportés *utilisation de Windows Update, d'un autre outil de mise à jour ou mise à jour manuelle pour les systèmes et applications non supportés par WSUS ou Microsoft Updatepar WSUS ou Microsoft Update

Choisir une solution de gestion des correctifs

Client Scénario Choix

Grande ou moyenne entreprise

Besoin d'une solution unique et flexible de gestion des mises à jour avec un niveau élevé de contrôle et de distribution pour TOUTES les versions de Windows et d'applications, ainsi qu'une solution de gestion du parc intégré

SMS 2003

Besoin seulement d'une solution de mise à jour simple pour les produits Microsoft, et dans un premier temps Windows (2000 et ultérieur), Office (2003 & XP), Exchange 2003, SQL Server 2000 et MSDE 2000

WSUS*

Petite entreprise

Au moins un serveur et un administrateur WSUS*

Tous les autres scénariosMicrosoft Update*

Consommateur Tous les scénariosMicrosoft Update*

Comparaison de MU, WSUS et SMS 2003Capacité Microsoft Update WSUS SMS 2003

Logiciels et contenus supportés

Logiciels supportés pour le contenu

Pareil que WSUS + WinXP édition familiale

Win2K, WS2003, WinXP Pro, Office 2003, Office XP, Exchange 2003, SQL Server 2000, MSDE

Idem WSUS + NT 4.0 & Win98 + peut mettre à jour n’importe quel logiciel fonctionnant sur Windows

Types de contenu supportés

Toutes les mises à jour de logiciels, mises à jour critiques de pilotes, Service Packs & Feature Packs

Toutes les mises à jour de logiciels, mises à jour critiques de pilotes, Service Packs & Feature Packs

Toutes les mises à jour de logiciels, Service Packs & Feature Packs+ support la mise à jour et l’installation d’appli Windows

Capacités de gestion des mises à jour

Ciblage de contenu à certains systèmes

N/A Simple Avancé

Optimisation de la bande passante réseau

Oui Oui Oui

Contrôle de la distribution des correctifs

N/A Simple Avancé

Installation de correctif & flexibilité de la planification

Manuelle & contrôlée par l’utilisateur final

Simple Avancé

Rapport sur les installations de correctifs

Erreurs d’installation rapportées à l’utilisateur. Liste les mises à jour manquantes pour la machine connectée

Simple Avancé

Planification du déploiement N/A Simple Avancé

Gestion de l’inventaire N/A Non Oui

Vérification de conformité N/A Non – rapport de statut seulement Avancé

Ressources utiles

• Site sécurité :http://www.microsoft.com/france/securite

• Gestion des mises à jour de sécurité :http://www.microsoft.com/france/technet/securite/gestionmaj/default.asp

• Site WSUS (en anglais) : http://www.microsoft.com/wsus

• Newsgroup : microsoft.public.fr.update_services• Site SMS :

http://www.microsoft.com/france/sysmans/default.mspx• Gestion des correctifs de sécurité avec SMS :

http://www.microsoft.com/france/sysmans/decouvrez/patch.mspx • MBSA 2.0

http://www.microsoft.com/technet/security/tools/mbsa2/default.mspx

Questions / Réponses