3-Gestion des mises à jour

Gestion des mises à jour

1. Présentation de WSUS

Un autre moyen de vous prémunir contre d’éventuels problèmes est de vous assurer que vos machines clientes et serveurs sont bien mises à jour. Sur de petits parcs, configurer sur chaque poste les mises à jour en automatique est bien souvent suffisant. Sur de grands parcs informatiques, dans lesquels les configurations machines sont strictes, il est parfois nécessaire de tester un patch avant de le déployer de façon centralisée sur tous les postes.

Microsoft met gratuitement à disposition l’outil WSUS (Windows Server Update Services) en version 3.0 avec SP1. Cet outil permet le déploiement des dernières mises à jour pour les produits Microsoft. En l’utilisant vous pouvez gérer intégralement la distribution des mises à jour (heure de déploiement, quels sont les patchs à déployer, etc.)

Vous avez grâce à WSUS, un outil de centralisation et de suivi de la gestion des mises à jour. Il vous est possible en un seul coup d’œil de voir quel poste n’a pas reçu les dernières mises à jour nécessaires et de les lui pousser.

Suivant votre infrastructure, WSUS peut se mettre à jour avec le site Microsoft Update ou encore avec un autre serveur WSUS. Les clients compatibles avec WSUS commencent à partir de Windows 2000 SP4. Outre les systèmes d’exploitation, WSUS permet la mise à jour des applicatifs Microsoft les plus courants (SQL Server, Exchange Server, Office, etc.).

2. Installation de WSUS

WSUS 3.0 avec SP1 est disponible en téléchargement à l’adresse suivante :

http://www.microsoft.com/downloads/details.aspx?FamilyId=F87B4C5E416148AF9FF8A96993C688DF&displaylang=en#Requirements

Prérequis : vous devez avoir installé le rôle de Serveur Web (IIS) avec les fonctionnalités :

● Fonctionnalités HTTP Communes (incluant Contenu statique)

● Sous Développement d’applications : ASP.NET, Extensions ISAPI

● Sous Sécurité : Authentification Windows

● Sous Outils de Gestion : Compatibilité avec la métabase IIS6

Vous devez également avoir installé : Microsoft Report Viewer 2005, disponible à l’adresse : http://www.microsoft.com/downloads/ details.aspx?displaylang=fr&FamilyID=8a166cac758d45c8b637dd7726e61367

Voici les étapes à suivre pour installer WSUS :

■ Lancez l’exécutable d’installation de WSUS.

■ À la page de présentation cliquez sur Suivant.

■ Choisissez Installation serveur complète avec la Console d’administration puis cliquez sur Suivant.

■ Acceptez les termes du contrat puis cliquez sur Suivant.

■ Spécifiez l’emplacement où WSUS va stocker les mises à jour (ici laissez par défaut) puis cliquez sur Suivant.

- 1 -© ENI Editions - All rigths reserved

Si la partition sur laquelle vous stockez les mises à jour dispose de moins de 6 Go de libres vous obtenez le message suivant :

■ Choisissez le serveur qui va héberger la base de données WSUS. Ici choisissez la base de données interne Windows puis cliquez sur Suivant.

Vous avez la possibilité d’utiliser un serveur SQL distant ou même une instance SQL localement installée.

- 2 - © ENI Editions - All rigths reserved

■ Validez que la connectivité est opérationnelle puis cliquez sur Suivant.

■ Choisissez Créer un site Web Windows Server Update Services 3.0 SP1 puis cliquez sur Suivant.

■ Validez les informations de configuration puis cliquez sur Suivant.

■ Une fois l’installation terminée, cliquez sur Terminer, la page de configuration va se lancer automatiquement.

■ À la page de présentation de la configuration, cliquez sur Suivant.

■ Laissez la case qui permet de participer au programme d’amélioration cochée puis cliquez sur Suivant.

■ Laissez la case Synchroniser à partir de Microsoft Update cochée puis cliquez sur Suivant.

Sur cette page vous avez la possibilité de spécifier un autre serveur WSUS comme source. Très pratique lorsque vous avez besoin de gérer plusieurs serveurs de mise à jour.


■ Si vous n’utilisez pas de proxy, n’indiquez rien au niveau de la page proxy puis cliquez sur Suivant.

Autrement, cette page permet si vous utilisez un proxy, de spécifier sa configuration.

■ Cliquez sur Démarrer la connexion afin que WSUS récupère les informations disponibles au téléchargement. Une fois la connexion terminée, cliquez sur Suivant.

■ Sélectionnez les langues utilisées par vos différents systèmes d’exploitation (dans notre exemple français), si ce n’est pas déjà fait automatiquement puis cliquez sur Suivant.

Attention à ne pas sélectionner trop de langues sans quoi la taille du répertoire de stockage des mises à jour grandira dangereusement.

■ Dans la liste de sélection des produits, sélectionnez les produits que vous souhaitez mettre à jour (dans notre exemple, nous ne souhaitons mettre à jour que les systèmes d’exploitation Windows Server 2008) puis cliquez sur Suivant.


■ Les classifications représentent les types de mises à jour que vous souhaitez valider. Cochez la case Toutes les classifications puis cliquez sur Suivant.


■ Choisissez Synchroniser automatiquement, dans la liste déroulante Première synchronisation, saisissez 00:00:01.

■ Laissez à 1 synchronisation par jour puis cliquez sur Suivant.


■ Une fois la synchronisation finalisée, cliquez sur Terminer.

3. Utilisation de WSUS

Une fois l’outil installé, sa console MMC d’administration s’ouvre automatiquement. Vous pouvez y voir rapidement l’état de mise à jour de votre parc ainsi que les mises à jour en attente d’approbation.


Cette console est accessible depuis les outils d’administration dans le menu Démarrer : Microsoft Windows Server Update Services 3.0 SP1.

Avant tout, il faut que vous configuriez vos clients pour utiliser votre serveur WSUS nouvellement installé.

Si vous disposez d’un domaine Active Directory, créez une nouvelle stratégie de groupe GPO au niveau du domaine ou d’une OU. Si votre PC n’est pas dans un domaine, utilisez la commande gpedit.msc.

■ Dans l’éditeur d’objets de stratégie de groupe, développez Configuration ordinateur Modèles d’administration Composants Windows Windows Update.

■ Dans le volet de droite, éditez le paramètre Spécifier l’emplacement intranet du service de Mise à jour Microsoft.

■ Cochez la case Activé puis saisissez l’url d’accès à votre serveur WSUS dans les deux champs.

Exemple : http://dc2008.masociete.local

■ Cliquez ensuite sur Appliquer puis OK.

■ Éditez ensuite le paramètre Configuration du service Mises à jour automatiques.

Cochez la case Activé puis spécifiez la configuration des mises à jour automatiques (notifier pour télécharger et installer, télécharger et planifier l’installation, etc.).

Choisissez ensuite les jours et heures des installations des mises à jour.

■ Validez en cliquant sur Appliquer puis OK.

■ Fermez ensuite votre éditeur de stratégie de groupes.

Vous pouvez forcer le rafraîchissement de la stratégie de groupe sur le poste client via la commande gpupdate.

Pour forcer la détection par WSUS d’une machine cliente, lancez depuis le poste la commande wuauclt /detectnow.


Depuis la console Microsoft Windows Server Update Services, vous pouvez ensuite voir l’état de déploiement des mises à jour.

■ Développez l’arborescence et cliquez sur Mises à jour.

Des vues préconfigurées sont disponibles. Elles répondent aux besoins de la majorité des administrateurs. Vous pouvez cependant créer des vues personnalisées si vous avez besoin d’informations particulières. Les critères sont nombreux : par produit, par classification, par groupes, etc.

Il vous est également possible d’obtenir des rapports détaillés sur les mises à jour. Il suffit pour cela d’aller dans la rubrique associée et de choisir le rapport à visualiser.


Des rapports préconfigurés sont mis à votre disposition. Vous n’avez pas la possibilité d’en créer de nouveaux. Les modèles préexistants sont générés à la demande de façon à avoir les informations les plus à jour possibles.

La rubrique Options vous permet de configurer les options déjà spécifiées à l’installation (langues, classifications, produits, etc.) ainsi que d’autres paramètres :

● Approbations automatiques : permet de définir la façon dont sont appliquées les types de mises à jour (sécurité, critiques) pour des ordinateurs définis.

● Notifications électroniques : permet d’envoyer des notifications de rapports sur les mises à jour par mail.

● Assistant de nettoyage du serveur : permet de nettoyer les anciens ordinateurs, les anciennes mises à jour et les anciens fichiers de mise à jour.

● Ordinateurs : permet de spécifier si les groupes d’ordinateurs pour la mise à jour sont gérés depuis WSUS ou via une stratégie de groupe.

● Personnalisation : permet dans le cas d’utilisation de serveurs WSUS « enfants » d’avoir un état des ordinateurs qui lui sont associés.

● Cumul des rapports : permet dans le cas d’une architecture avec un WSUS frontal d’avoir une centralisation de tous les WSUS « enfants ».

Vous avez vu grâce à ce chapitre des éléments essentiels à la sécurisation de votre parc. En matière de système informatique il ne vaut mieux pas se contenter d’agir après coup. Soyez proactif, et vous gagnerez en rapidité pour remettre votre infrastructure en état de marche en cas de problème majeur.

Pensez votre schéma de sauvegarde en fonction de vos besoins (volume, plage horaire, etc.). Les clichés instantanés


sont un très bon complément à l’outil de sauvegarde Windows Server Backup. N’hésitez pas également à vous tourner vers des produits tiers comme celui de Microsoft (System Center Data Protection Manager). Ils vous offriront une granularité supplémentaire ainsi que des possibilités étendues de sauvegarde de vos applications (Exchange, SQL, SharePoint, etc.).

Vous prémunir face aux menaces comme les virus, exploitations de failles et autres désagréments est également indispensable. Avoir vos applications toujours à jour permet de corriger les défauts de cellesci. WSUS est gratuit profitezen, il vous facilitera grandement la difficile tâche de la gestion des patchs de sécurité Microsoft. Plus besoin de passer individuellement sur chaque PC pour contrôler l’état de mise à jour, ni même pour forcer les mises à jour. Tout est désormais gérable à distance, de façon centralisée et simplifiée.


3-Gestion des mises à jour

Documents

Transcript of 3-Gestion des mises à jour