3-Gestion des mises à jour

11

Click here to load reader

Transcript of 3-Gestion des mises à jour

Page 1: 3-Gestion des mises à jour

Gestion des mises à jour 

1. Présentation de WSUS 

Un autre moyen de vous prémunir contre d’éventuels problèmes est de vous assurer que vos machines clientes et serveurs sont bien mises à jour. Sur de petits parcs, configurer sur chaque poste les mises à jour en automatique est bien souvent suffisant. Sur de grands parcs informatiques, dans lesquels les configurations machines sont strictes, il est parfois nécessaire de tester un patch avant de le déployer de façon centralisée sur tous les postes. 

Microsoft met gratuitement à disposition l’outil WSUS (Windows Server Update Services) en version 3.0 avec SP1. Cet outil  permet  le déploiement des dernières  mises à jour pour les produits Microsoft. En l’utilisant vous pouvez gérer intégralement la distribution des mises à jour (heure de déploiement, quels sont les patchs à déployer, etc.) 

Vous avez grâce à WSUS, un outil de centralisation et de suivi de la gestion des mises à jour. Il vous est possible en un seul coup d’œil de voir quel poste n’a pas reçu les dernières mises à jour nécessaires et de les lui pousser. 

Suivant  votre  infrastructure,  WSUS  peut  se  mettre à  jour avec  le  site Microsoft Update ou encore avec un autre serveur WSUS. Les clients compatibles avec WSUS commencent à partir de Windows 2000 SP4. Outre les systèmes d’exploitation, WSUS permet la mise à jour des applicatifs Microsoft les plus courants (SQL Server, Exchange Server, Office, etc.). 

2. Installation de WSUS 

WSUS 3.0 avec SP1 est disponible en téléchargement à l’adresse suivante : 

http://www.microsoft.com/downloads/details.aspx?FamilyId=F87B4C5E­4161­48AF­9FF8­A96993C688DF&displaylang=en#Requirements 

Pré­requis : vous devez avoir installé le rôle de Serveur Web (IIS) avec les fonctionnalités : 

● Fonctionnalités HTTP Communes (incluant Contenu statique) 

● Sous Développement d’applications : ASP.NET, Extensions ISAPI 

● Sous Sécurité : Authentification Windows 

● Sous Outils de Gestion : Compatibilité avec la métabase IIS6 

Vous  devez également  avoir  installé :  Microsoft  Report  Viewer  2005,  disponible à  l’adresse : http://www.microsoft.com/downloads/  details.aspx?displaylang=fr&FamilyID=8a166cac­758d­45c8­b637­dd7726e61367 

Voici les étapes à suivre pour installer WSUS : 

■ Lancez l’exécutable d’installation de WSUS. 

■ À la page de présentation cliquez sur Suivant. 

■ Choisissez Installation serveur complète avec la Console d’administration puis cliquez sur Suivant. 

■ Acceptez les termes du contrat puis cliquez sur Suivant. 

■ Spécifiez l’emplacement où WSUS va stocker les mises à jour (ici laissez par défaut) puis cliquez sur Suivant. 

- 1 -© ENI Editions - All rigths reserved

Page 2: 3-Gestion des mises à jour

 

Si la partition sur laquelle vous stockez les mises à jour dispose de moins de 6 Go de libres vous obtenez le message suivant : 

 

■ Choisissez  le  serveur  qui  va  héberger  la  base  de  données  WSUS.  Ici  choisissez  la  base  de  données  interne Windows puis cliquez sur Suivant. 

Vous avez la possibilité d’utiliser un serveur SQL distant ou même une instance SQL localement installée. 

- 2 - © ENI Editions - All rigths reserved

Page 3: 3-Gestion des mises à jour

 

■ Validez que la connectivité est opérationnelle puis cliquez sur Suivant. 

■ Choisissez Créer un site Web Windows Server Update Services 3.0 SP1 puis cliquez sur Suivant. 

■ Validez les informations de configuration puis cliquez sur Suivant. 

■ Une fois l’installation terminée, cliquez sur Terminer, la page de configuration va se lancer automatiquement. 

■ À la page de présentation de la configuration, cliquez sur Suivant. 

■ Laissez la case qui permet de participer au programme d’amélioration cochée puis cliquez sur Suivant. 

■ Laissez la case Synchroniser à partir de Microsoft Update cochée puis cliquez sur Suivant. 

Sur cette page vous avez  la possibilité de spécifier un autre serveur WSUS comme source. Très pratique lorsque vous avez besoin de gérer plusieurs serveurs de mise à jour. 

- 3 -© ENI Editions - All rigths reserved

Page 4: 3-Gestion des mises à jour

 

■ Si vous n’utilisez pas de proxy, n’indiquez rien au niveau de la page proxy puis cliquez sur Suivant. 

Autrement, cette page permet si vous utilisez un proxy, de spécifier sa configuration. 

■ Cliquez sur Démarrer la connexion afin que WSUS récupère les informations disponibles au téléchargement. Une fois la connexion terminée, cliquez sur Suivant. 

■ Sélectionnez  les  langues utilisées par vos différents  systèmes d’exploitation (dans notre exemple français), si ce n’est pas déjà fait automatiquement puis cliquez sur Suivant. 

Attention à ne pas sélectionner trop de langues sans quoi la taille du répertoire de stockage des mises à jour grandira dangereusement. 

■ Dans  la  liste de  sélection des produits,  sélectionnez  les  produits  que  vous  souhaitez mettre à  jour (dans notre exemple, nous ne souhaitons mettre à jour que les systèmes d’exploitation Windows Server 2008) puis cliquez sur Suivant. 

- 4 - © ENI Editions - All rigths reserved

Page 5: 3-Gestion des mises à jour

 

■ Les  classifications  représentent  les  types de mises à jour que vous souhaitez valider. Cochez la case Toutes les classifications puis cliquez sur Suivant. 

- 5 -© ENI Editions - All rigths reserved

Page 6: 3-Gestion des mises à jour

 

■ Choisissez  Synchroniser  automatiquement,  dans  la  liste  déroulante  Première  synchronisation,  saisissez 00:00:01. 

■ Laissez à 1 synchronisation par jour puis cliquez sur Suivant. 

- 6 - © ENI Editions - All rigths reserved

Page 7: 3-Gestion des mises à jour

 

■ Une fois la synchronisation finalisée, cliquez sur Terminer. 

3. Utilisation de WSUS 

Une  fois  l’outil  installé,  sa  console MMC d’administration  s’ouvre automatiquement. Vous pouvez y voir rapidement l’état de mise à jour de votre parc ainsi que les mises à jour en attente d’approbation. 

- 7 -© ENI Editions - All rigths reserved

Page 8: 3-Gestion des mises à jour

 

Cette console est accessible depuis les outils d’administration dans le menu Démarrer : Microsoft Windows Server Update Services 3.0 SP1. 

Avant tout, il faut que vous configuriez vos clients pour utiliser votre serveur WSUS nouvellement installé. 

Si vous disposez d’un domaine Active Directory, créez une nouvelle stratégie de groupe GPO au niveau du domaine ou d’une OU. Si votre PC n’est pas dans un domaine, utilisez la commande gpedit.msc. 

■ Dans  l’éditeur  d’objets  de  stratégie  de  groupe,  développez  Configuration  ordinateur ­ Modèles d’administration ­ Composants Windows ­ Windows Update. 

■ Dans  le  volet  de  droite, éditez  le  paramètre  Spécifier  l’emplacement  intranet  du  service  de  Mise à  jour Microsoft. 

■ Cochez la case Activé puis saisissez l’url d’accès à votre serveur WSUS dans les deux champs. 

Exemple : http://dc2008.masociete.local 

■ Cliquez ensuite sur Appliquer puis OK. 

■ Éditez ensuite le paramètre Configuration du service Mises à jour automatiques. 

Cochez la case Activé puis spécifiez la configuration des mises à jour automatiques (notifier pour télécharger et installer, télécharger et planifier l’installation, etc.). 

Choisissez ensuite les jours et heures des installations des mises à jour. 

■ Validez en cliquant sur Appliquer puis OK. 

■ Fermez ensuite votre éditeur de stratégie de groupes. 

Vous  pouvez  forcer  le  rafraîchissement  de  la  stratégie  de  groupe  sur  le  poste  client  via  la  commande gpupdate. 

Pour forcer la détection par WSUS d’une machine cliente, lancez depuis le poste la commande wuauclt /detectnow. 

- 8 - © ENI Editions - All rigths reserved

Page 9: 3-Gestion des mises à jour

Depuis la console Microsoft Windows Server Update Services, vous pouvez ensuite voir l’état de déploiement des mises à jour. 

■ Développez l’arborescence et cliquez sur Mises à jour. 

 

Des  vues  préconfigurées  sont  disponibles.  Elles  répondent  aux  besoins  de  la majorité des administrateurs. Vous pouvez  cependant  créer des vues personnalisées si vous avez besoin d’informations particulières. Les critères sont nombreux : par produit, par classification, par groupes, etc. 

Il vous est également possible d’obtenir des rapports détaillés sur les mises à jour. Il suffit pour cela d’aller dans la rubrique associée et de choisir le rapport à visualiser. 

- 9 -© ENI Editions - All rigths reserved

Page 10: 3-Gestion des mises à jour

 

Des  rapports préconfigurés sont mis à votre disposition. Vous n’avez pas la possibilité d’en créer de nouveaux. Les modèles préexistants sont générés à la demande de façon à avoir les informations les plus à jour possibles. 

La  rubrique Options  vous permet de  configurer  les options déjà  spécifiées à  l’installation  (langues,  classifications, produits, etc.) ainsi que d’autres paramètres : 

● Approbations  automatiques  :  permet  de  définir  la  façon  dont  sont  appliquées  les  types  de  mises à  jour (sécurité, critiques) pour des ordinateurs définis. 

● Notifications électroniques : permet d’envoyer des notifications de rapports sur les mises à jour par mail. 

● Assistant de nettoyage du serveur : permet de nettoyer les anciens ordinateurs, les anciennes mises à jour et les anciens fichiers de mise à jour. 

● Ordinateurs : permet de spécifier si les groupes d’ordinateurs pour la mise à jour sont gérés depuis WSUS ou via une stratégie de groupe. 

● Personnalisation  :  permet  dans  le  cas  d’utilisation  de  serveurs  WSUS « enfants »  d’avoir  un état  des ordinateurs qui lui sont associés. 

● Cumul des rapports : permet dans le cas d’une architecture avec un WSUS frontal d’avoir une centralisation de tous les WSUS « enfants ». 

Vous avez vu grâce à  ce  chapitre  des éléments  essentiels à  la  sécurisation de votre parc. En matière de système informatique il ne vaut mieux pas se contenter d’agir après coup. Soyez proactif, et vous gagnerez en rapidité pour remettre votre infrastructure en état de marche en cas de problème majeur. 

Pensez votre schéma de sauvegarde en fonction de vos besoins (volume, plage horaire, etc.). Les clichés instantanés 

- 10 - © ENI Editions - All rigths reserved

Page 11: 3-Gestion des mises à jour

sont  un  très  bon  complément  à  l’outil  de  sauvegarde  Windows  Server  Backup.  N’hésitez  pas également à vous tourner vers des produits tiers comme celui de Microsoft (System Center Data Protection Manager). Ils vous offriront une granularité  supplémentaire ainsi que des possibilités étendues de sauvegarde de vos applications (Exchange, SQL, SharePoint, etc.). 

Vous  prémunir  face aux menaces  comme  les  virus,  exploitations de  failles  et  autres désagréments  est également indispensable.  Avoir  vos  applications  toujours à  jour permet de  corriger  les défauts de  celles­ci. WSUS est gratuit profitez­en, il vous facilitera grandement la difficile tâche de la gestion des patchs de sécurité Microsoft. Plus besoin de passer individuellement sur chaque PC pour contrôler l’état de mise à jour, ni même pour forcer les mises à jour. Tout est désormais gérable à distance, de façon centralisée et simplifiée. 

- 11 -© ENI Editions - All rigths reserved