Gestion des mises à jour Gestion des mises à jour de sécuritéde sécuritéGestion des mises à jour Gestion des mises à jour de sécuritéde sécurité

Cyril VOISINCyril VOISINChef de programme Chef de programme SécuritéSécuritéMicrosoft FranceMicrosoft France

SommaireSommaire

Partie 1 : introduction et rappelsPartie 1 : introduction et rappels

Partie 2 : Windows Update Services Partie 2 : Windows Update Services (WUS, ex SUS 2.0)(WUS, ex SUS 2.0)

Partie 3 : SMS 2003Partie 3 : SMS 2003

Partie 4 : tableau de synthèse de Partie 4 : tableau de synthèse de comparaison de SUS/WUS/SMScomparaison de SUS/WUS/SMS

Partie 1 : Partie 1 : introductionintroductionPartie 1 : Partie 1 : introductionintroduction

RappelsRappels

Pas simplement des technos…Pas simplement des technos…

Les 3 facettes de la sécuritéLes 3 facettes de la sécurité

ArchitectureArchitecturesécuriséesécurisée

Technologies

TechnologiesWindows 2000/XP/2003

Windows 2000/XP/2003

Active Directory

Active Directory

Service PacksService Packs

Correctif

s

Correctif

s

IPSECIPSEC

KerberosKerberos

PKIPKI

DF

SD

FS

EFSEFS

SSL/TLS

SSL/TLS

Clusters

Clusters

Détectio

n

Détectio

n

d’in

trusio

nd

’intru

sion

SMSSMS

MOMMOM

ISAISA

Antivirus

Antivirus

GPOGPO

PersonnesPersonnesAdmin.Admin.de l’Entreprise

de l’EntrepriseAdm

in.

Admin

.

Du Dom

aine

Du Dom

aine

Service/Service/

SupportSupport

Développeur

DéveloppeurUtilisateurUtilisateur

ArchivageArchivage

Politique

Politiqued’accès

d’accès

Inst

alla

tion

Inst

alla

tion

Réparation

RéparationGes

tion d

es

Ges

tion d

es

évén

emen

ts

évén

emen

ts

Gestion desGestion des

perfsperfs

Gestion du

Gestion du

Changement /

Changement /

de la C

onfiguratio

n

de la C

onfiguratio

n

Proc

essu

s

Proc

essu

s

RestaurationRestauration Sauvegard

e

Sauvegard

e

Réponse à Réponse à IncidentIncident

Mic

roso

ft

Mic

roso

ft

Ope

ratio

ns

Ope

ratio

ns

Fram

ewor

k

Fram

ewor

k

Evalu

atio

n

Evalu

atio

n

de ri

sque

s

de ri

sque

s

Partie 2 : WUSPartie 2 : WUSPartie 2 : WUSPartie 2 : WUS

Windows Updates Windows Updates Services Services (ex SUS 2.0)(ex SUS 2.0)

AvertissementAvertissement

Windows Update Services (WUS) Windows Update Services (WUS) n’existe pas encore en version finale n’existe pas encore en version finale (beta 2 seulement)(beta 2 seulement)

Certaines fonctionnalités décrites ici Certaines fonctionnalités décrites ici pourraient changer d’ici à la sortie du pourraient changer d’ici à la sortie du produitproduit

Objectifs de WUS (SUS Objectifs de WUS (SUS 2.0)2.0)

Construire l’infrastructure de base de la Construire l’infrastructure de base de la gestion des mises à jourgestion des mises à jourCréer une solution facile d’utilisation, Créer une solution facile d’utilisation, néanmoins complète, pour télécharger et néanmoins complète, pour télécharger et distribuer des mises à jour de produits distribuer des mises à jour de produits MicrosoftMicrosoft

Critiques ou nonCritiques ou nonRapports centralisésRapports centralisésGarantie de l’installationGarantie de l’installationDépannageDépannageSystèmes ou applicationsSystèmes ou applications

Répondre aux demandes clients par Répondre aux demandes clients par rapport à la version SUS 1.0 (qui ne prend rapport à la version SUS 1.0 (qui ne prend en charge que les mises à jour critiques ou en charge que les mises à jour critiques ou sécurité de Windows)sécurité de Windows)

Les fonctionnalités demandées par nos Les fonctionnalités demandées par nos clientsclients

*En partie possible via le réglage de la fréquence de détection et des scripts

Fonctionnalités Fonctionnalités demandéesdemandées SUS 1.0 SP1SUS 1.0 SP1 WUSWUS

Support des Service PacksSupport des Service Packs Installation sur SBS et sur des contrôleurs de Installation sur SBS et sur des contrôleurs de domainedomaine

Support d’Office et d’autres produits MicrosoftSupport d’Office et d’autres produits Microsoft

Support d’autres types de mises à jourSupport d’autres types de mises à jour

Désinstallation de mise à jourDésinstallation de mise à jour

Ciblage des mises à jourCiblage des mises à jour

Amélioration du support pour les réseaux bas débitAmélioration du support pour les réseaux bas débit

Réduction de la quantité de données à téléchargerRéduction de la quantité de données à télécharger

Réglage de la fréquence de détection des mises à Réglage de la fréquence de détection des mises à jourjour

Minimiser l’interruption de l’utilisateurMinimiser l’interruption de l’utilisateur

Déploiement d’urgence d’un correctif (‘gros bouton Déploiement d’urgence d’un correctif (‘gros bouton rouge’)rouge’)

**

Déploiement de mises à jour d’autres applications Déploiement de mises à jour d’autres applications non Microsoftnon Microsoft

Support de NT4Support de NT4

Produits supportésProduits supportés

Client WUSClient WUSWindowsWindows

Windows 2000 SP3 +Windows 2000 SP3 +Windows XPWindows XPWindows Server 2003 (SP1 mini pour versions 64 bits)Windows Server 2003 (SP1 mini pour versions 64 bits)

OfficeOfficeOffice XP SP2 et Office 2003Office XP SP2 et Office 2003

SQL ServerSQL ServerSQL 2000 et MSDE 2000SQL 2000 et MSDE 2000

Exchange ServerExchange ServerExchange Server 2003Exchange Server 2003

A terme, plus de produits MicrosoftA terme, plus de produits Microsoft

Server WUSServer WUSWindows 2000 Server SP4Windows 2000 Server SP4Windows Server 2003 (32 bits)Windows Server 2003 (32 bits)

L’administrateur souscrit à certaines catégories de mises à jourLe serveur télécharge les mises à jour depuis Microsoft UpdateLes clients s’enregistrent auprès du serveurL’administrateur met les clients dans différents groupes cibles

L’administrateur approuve les mises à jourLes clients installent les mises à jour approuvées par l’administrateur

< Back Finish Cancel

Windows Update ServicesWindows Update Services

< Back Finish Cancel

Windows Update ServicesWindows Update Services

Microsoft Update(utilise WUS)

Serveur WUS

Postes de travail (clients WUS) Groupe cible 1

Serveurs (clients WUS)Groupe cible 2

Administrateur WUS

Aperçu de la Aperçu de la solutionsolution

WUSWUSNotions Notions fondamentalesfondamentales

WUSWUSNotions Notions fondamentalesfondamentales

Client Mises à jour Client Mises à jour automatiquesautomatiquesGroupe cibleGroupe cibleAbonnementAbonnementApprobation de mise à jourApprobation de mise à jourRapportsRapports

Client Mises à jour Client Mises à jour automatiques (automatiques (AutoUpdateAutoUpdate))

Principe : Principe : se connecte à Windows se connecte à Windows Update, Microsoft Update Update, Microsoft Update ou un serveur WUS pour ou un serveur WUS pour maintenir la machine à maintenir la machine à jourjourMode Mode pullpull

Nouvelle version dans Nouvelle version dans Windows XP Service Windows XP Service Pack 2 (permet Pack 2 (permet l’installation avant arrêt)l’installation avant arrêt)Disponible pourDisponible pour

Windows Server 2003Windows Server 2003Windows 2000 SP3Windows 2000 SP3Windows XP SP1Windows XP SP1

Possibilité de mise à jour Possibilité de mise à jour silencieuse du client à silencieuse du client à partir du serveur WUSpartir du serveur WUS

Configuration des clientsConfiguration des clients

Par stratégie de groupe ou Par stratégie de groupe ou par registrepar registreConfigurer les Mises à jour Configurer les Mises à jour automatiques (AutoUpdate) automatiques (AutoUpdate) en spécifiant un serveur en spécifiant un serveur intranet de Mise à jour intranet de Mise à jour MicrosoftMicrosoftModes d’installation :Modes d’installation :

Notifier avant Notifier avant téléchargement/installation téléchargement/installation Télécharger puis notifier Télécharger puis notifier pour installationpour installationTélécharger et installer Télécharger et installer automatiquement selon la automatiquement selon la planificationplanificationAutoriser les Autoriser les administrateurs locaux à administrateurs locaux à choisir le mode de choisir le mode de configuration (sans pouvoir configuration (sans pouvoir désactiver désactiver AutoUpdateAutoUpdate))

Configuration des clientsConfiguration des clients

Fréquence de détection Fréquence de détection configurable (du client vers configurable (du client vers le serveur) : le serveur) :

22 heures par défaut; 22 heures par défaut; minimum 1 heure (charge minimum 1 heure (charge sur le serveur)sur le serveur)La durée réelle entre deux La durée réelle entre deux détections sera détections sera déterminée aléatoirement déterminée aléatoirement entre 80% et 100% de la entre 80% et 100% de la durée paramétréedurée paramétrée

Délai de redémarrage et Délai de redémarrage et intervalle avant nouvelle intervalle avant nouvelle demande de redémarrage demande de redémarrage (si redémarrage repoussé)(si redémarrage repoussé)Notification pour les non Notification pour les non administrateurs (en administrateurs (en fonction du mode fonction du mode d’installation)d’installation)

Pas de redémarrage Pas de redémarrage planifié (pour laisser planifié (pour laisser l’utilisateur redémarrer l’utilisateur redémarrer quand il le veut)quand il le veut)Replanifier les installations Replanifier les installations planifiées (ex : 5 min après planifiées (ex : 5 min après redémarrage)redémarrage)Autoriser l’installation Autoriser l’installation immédiate des mises à immédiate des mises à jour automatiquesjour automatiquesCiblageCiblageNotifie l’utilisateur si Notifie l’utilisateur si redémarrage nécessaireredémarrage nécessaire

Groupes ciblesGroupes cibles

Utilité : cibler des mises à jour sur des Utilité : cibler des mises à jour sur des machines spécifiquesmachines spécifiques

Groupe cible de testGroupe cible de test

Groupe cible de productionGroupe cible de production

Deux types de ciblageDeux types de ciblageCôté serveurCôté serveur

L’administrateur WUS gère l’appartenance aux groupes L’administrateur WUS gère l’appartenance aux groupes depuis le site d’administration (listes sur le serveur)depuis le site d’administration (listes sur le serveur)

Côté clientCôté clientAppartenance gérée automatiquementAppartenance gérée automatiquement

En utilisant des stratégies de groupe (même groupe pour En utilisant des stratégies de groupe (même groupe pour toutes les machines d’une même UO d’Active Directory)toutes les machines d’une même UO d’Active Directory)

En utilisant le registreEn utilisant le registre

Abonnements Abonnements ((subscriptions)subscriptions)

Permet de choisir quelles mises à jour Permet de choisir quelles mises à jour télécharger et quandtélécharger et quand

Produit / Type de mise à jour (sécu, SP,FP, Produit / Type de mise à jour (sécu, SP,FP, pilote,etc…)pilote,etc…)En fait une mise à jour est composée de deux En fait une mise à jour est composée de deux élémentséléments

Un correctifUn correctifLes méta données décrivant le correctifLes méta données décrivant le correctif

Par défaut :Par défaut :seules les méta données sont téléchargées (catalogue)seules les méta données sont téléchargées (catalogue)les correctifs sont téléchargés s’ils sont approuvés les correctifs sont téléchargés s’ils sont approuvés (contenu)(contenu)

Exemples d’abonnements Exemples d’abonnements Quotidiens pour les mises à jour critiquesQuotidiens pour les mises à jour critiquesHebdomadaires pour les mises à jour Hebdomadaires pour les mises à jour recommandéesrecommandées

Approbation de mise à Approbation de mise à jourjour

Vérification avant déploiement (Vérification avant déploiement (détectiondétection))Évalue l’impact d’une mise à jour sur le Évalue l’impact d’une mise à jour sur le réseau avant qu’elle ne soit déployéeréseau avant qu’elle ne soit déployée

Au niveau de l’approbation d’une mise à jour, Au niveau de l’approbation d’une mise à jour, choisir l’action choisir l’action DetectDetect

Après un cycle de détection des clients, la rubrique Après un cycle de détection des clients, la rubrique StatusStatus de la mise à jour indique le nombre de de la mise à jour indique le nombre de machines qui nécessitent la mise à jourmachines qui nécessitent la mise à jour

Installation lors de la prochaine date planifiéeInstallation lors de la prochaine date planifiée

Installation avec date butoirInstallation avec date butoir

Désinstallation (nécessite que la mise à jour Désinstallation (nécessite que la mise à jour le supporte)le supporte)

Approbation Approbation automatique ?automatique ?

Par défaut, « détection » automatique Par défaut, « détection » automatique pourpour

Les mises à jour critiques et de sécuritéLes mises à jour critiques et de sécuritéTous les groupes ciblesTous les groupes cibles

Par défaut, aucune approbation Par défaut, aucune approbation automatique pour l’installationautomatique pour l’installation

On pourrait choisir des types de mises à jour, On pourrait choisir des types de mises à jour, et des groupes cibleset des groupes cibles

En cas de révision d’une mise à jour, la En cas de révision d’une mise à jour, la nouvelle version obtient le même niveau nouvelle version obtient le même niveau d’approbation que l’ancienne d’approbation que l’ancienne (désactivable pour effectuer un choix (désactivable pour effectuer un choix manuel)manuel)

RapportsRapports

Rapport standard consolidé (activités Rapport standard consolidé (activités clients)clients)

Par machine / par mise à jour / par Par machine / par mise à jour / par groupe ciblegroupe cible

Succès et échecs des téléchargements et Succès et échecs des téléchargements et installations avec les détails sur les installations avec les détails sur les erreurserreurs

Rapport sur les synchrosRapport sur les synchrosNouveautés, changementsNouveautés, changements

démodémodémodémo

Installation avec date Installation avec date butoirbutoir

Notions Notions complémentairescomplémentairesNotions Notions complémentairescomplémentaires

Communications Communications Options de déploiement Options de déploiement

des serveurs WUSdes serveurs WUSStockageStockageSécuritéSécuritéFlexibilitéFlexibilité

CommunicationsCommunications

Configuration des paramètres de proxyConfiguration des paramètres de proxy

Faible utilisation de la bande passanteFaible utilisation de la bande passanteBITS pour les téléchargements client-BITS pour les téléchargements client-serveur et serveur-serveurserveur et serveur-serveur

Mise à jour par “abonnement” (par Mise à jour par “abonnement” (par produit/par type) produit/par type)

Support des technologies “delta Support des technologies “delta compression” compression”

Téléchargement dissocié des correctifs et Téléchargement dissocié des correctifs et de leurs méta donnéesde leurs méta données

Options de déploiement des Options de déploiement des serveursserveurs

Déploiement hiérarchiqueDéploiement hiérarchiqueServeurs indépendantsServeurs indépendants

Serveurs non connectés à InternetServeurs non connectés à Internet

Postes de travail Clients

Postes de travail Clients

Serveurs WUSServeurs WUS

Microsoft Update

Serveur WUS

Serveur WUS

Postes de travail Clients

Serveurs non connectésServeurs non connectés

Microsoft Update

Serveur WUS

Serveur WUSImportation et exportation

manuelles

StockageStockage

Base de données pour gérer tout ce qui Base de données pour gérer tout ce qui n’est pas contenun’est pas contenuPrise en compte des dépendances entre les Prise en compte des dépendances entre les mises à jourmises à jourMSDE vs SQL ServerMSDE vs SQL Server

MSDE a une limite de 2GoMSDE a une limite de 2GoMises à jour hébergées sur Microsoft Mises à jour hébergées sur Microsoft Update (WUS sert alors seulement de point Update (WUS sert alors seulement de point de contrôle) ou en localde contrôle) ou en localFiltrage de contenu Filtrage de contenu

Ne garder que les plateformes et langues dont Ne garder que les plateformes et langues dont vous avez besoinvous avez besoin

DimensionnementDimensionnementPrévoir une croissance annuelle x nb de languesPrévoir une croissance annuelle x nb de langues

Sécurité, flexibilitéSécurité, flexibilité

Sur le client et sur le serveur Sur le client et sur le serveur Vérification de signature des contenus Vérification de signature des contenus téléchargés téléchargés

Permissions sur les contenus téléchargésPermissions sur les contenus téléchargés

Changement des portsChangement des portsSauf pour contacter MUSauf pour contacter MU

Infrastructure et plateformeInfrastructure et plateformeOption en ligne de commande pour déclencher Option en ligne de commande pour déclencher une détection côté client : wuauclt.exe une détection côté client : wuauclt.exe /detectnow/detectnow

API du client en COM exécutables à distance et API du client en COM exécutables à distance et scriptablesscriptables

API du serveur basées sur .Net FrameworkAPI du serveur basées sur .Net Framework

Exemple de scriptExemple de script

Le serveur et le client exposent tous les deux Le serveur et le client exposent tous les deux des API scriptablesdes API scriptables

Dim update, iDim update, iset AutoUpdate = CreateObject("Microsoft.Update.AutoUpdate")set AutoUpdate = CreateObject("Microsoft.Update.AutoUpdate")Autoupdate.DetectNow()Autoupdate.DetectNow()set UpdateSession = CreateObject("Microsoft.Update.Session")set UpdateSession = CreateObject("Microsoft.Update.Session")set UpdateSearcher = UpdateSession.CreateUpdateSearcher()set UpdateSearcher = UpdateSession.CreateUpdateSearcher()set SearchResult= UpdateSearcher.Search("")set SearchResult= UpdateSearcher.Search("")set Updates = SearchResult.Updatesset Updates = SearchResult.Updatesset UpdatesToInstall = set UpdatesToInstall =

CreateObject("Microsoft.Update.UpdateColl")CreateObject("Microsoft.Update.UpdateColl")For i = 0 to (Updates.Count-1)For i = 0 to (Updates.Count-1)

UpdatesToInstall.Add(Updates.Item(i))UpdatesToInstall.Add(Updates.Item(i))NextNextset Installer = UpdateSession.CreateUpdateInstaller()set Installer = UpdateSession.CreateUpdateInstaller()Installer.Updates = UpdatesToInstallInstaller.Updates = UpdatesToInstallset InstallationResult = Installer.Install()set InstallationResult = Installer.Install()

Détection

Approbation

Installation

Scénario : mise à Scénario : mise à jour de serveurs jour de serveurs avec WUSavec WUS

Scénario : mise à Scénario : mise à jour de serveurs jour de serveurs avec WUSavec WUS

Mises à jour de serveursMises à jour de serveursSuggestionsSuggestions

Définir des groupes cibles (GPO ou Définir des groupes cibles (GPO ou interface d’administration WUS)interface d’administration WUS)

Configurer les clients Mises à jour Configurer les clients Mises à jour automatiques (GPO ou registre)automatiques (GPO ou registre)

Installation auto ou notification avant Installation auto ou notification avant installationinstallation

Si notification, ouverture de session ou Si notification, ouverture de session ou script pour installationscript pour installation

Mises à jour de serveursMises à jour de serveursSuggestionsSuggestions

Pour les serveurs avec des fenêtres Pour les serveurs avec des fenêtres de maintenance, configurer les Mises de maintenance, configurer les Mises à jour automatiques pour une à jour automatiques pour une installation planifiée durant la fenêtreinstallation planifiée durant la fenêtre

Pour les serveurs sans créneaux de Pour les serveurs sans créneaux de maintenance : maintenance :

Configurer les Mises à jour automatiques Configurer les Mises à jour automatiques pour notifier avant l’installationpour notifier avant l’installation

Ouvrir une session sur le serveur ou Ouvrir une session sur le serveur ou utiliser les API pour effectuer utiliser les API pour effectuer l’installation lorsque c’est nécessairel’installation lorsque c’est nécessaire

Mises à jour de serveursMises à jour de serveursSuggestionsSuggestions

DatacentersDatacentersUtiliser les stratégies BITS pour limiter la Utiliser les stratégies BITS pour limiter la bande passante et les fenêtres de bande passante et les fenêtres de téléchargementtéléchargement

Configurer les Mises à jour automatiques Configurer les Mises à jour automatiques pour notifier avant l’installationpour notifier avant l’installation

Utiliser les API pour effectuer Utiliser les API pour effectuer l’installation lorsque c’est nécessaire l’installation lorsque c’est nécessaire

ClustersClustersScripter la mise à jour nœud après noeudScripter la mise à jour nœud après noeud

Partie 3 : SMS 2003Partie 3 : SMS 2003Partie 3 : SMS 2003Partie 3 : SMS 2003

Systems Management Systems Management Server 2003Server 2003

Télé-AssistanceTélé-Assistance

FonctionnalitésFonctionnalitésGestion des ressources matérielles et logiciellesGestion des ressources matérielles et logicielles

PPC 2003PPC 200364 MB64 MBARM 300 MHzARM 300 MHz

Windows XP SP1Windows XP SP1256 MB256 MBP IV 1 GHzP IV 1 GHz

Windows 2000Windows 2000128 MB128 MBP III 700 MHzP III 700 MHz

Windows NT 4 SP6Windows NT 4 SP6128 MB128 MBP III 350 MHzP III 350 MHz

OSOSRAMRAMCPUCPU

DécouverteDécouverte InventaireInventaire ReportingReporting

Gestion du cycle de vie des applicationsGestion du cycle de vie des applicationset des correctifs de sécuritéet des correctifs de sécurité

PackagingPackaging DistributionDistribution InstallationInstallation Suivi utilisationSuivi utilisation

Internet

Point de distribution SMS

Clients SMS

Clients SMS

MicrosoftDownload Center

Point de distribution SMS

2. Téléchargement régulier du référentiel (MSSECURE.XML)

1. Téléchargement et installation des outils d’analyse pour Windows (MBSACLI.EXE) et Office

3. Inventaire des clients et intégration avec les données d’inventaire matériel SMS

4. Utilisation de l’assistant Distribute Software Updates pour déclencher l’installation des mises à jour sélectionnées

6. Installation des mises à jour par l’agent SMS

7. De manière périodique: synchronisation de nouvelles mises à jour; analyse des clients; déploiement des mises à jour nécessaires

5. Téléchargement des fichiers; création/mise à jour des packages, programmes & annonces; réplication des packages & publication des programmes vers les clients SMS

Clients SMS

SMS 2003 et correctifs de SMS 2003 et correctifs de sécuritésécuritéArchitectureArchitecture

Intranet

Support de Windows 2003, XP, 2000 et de NT Support de Windows 2003, XP, 2000 et de NT 4.0 (et des périphériques mobiles)4.0 (et des périphériques mobiles)

Utilisation de l’infrastructure de télédistribution Utilisation de l’infrastructure de télédistribution en place pour déployer MBSACLI 1.2en place pour déployer MBSACLI 1.2

Exécution automatique d’une tâche récurrente Exécution automatique d’une tâche récurrente permettant de déterminer quelles sont les mises à permettant de déterminer quelles sont les mises à jour nécessaires pour chaque machinejour nécessaires pour chaque machine

Les informations sont collectées par les Les informations sont collectées par les mécanismes standard d’inventaire et mécanismes standard d’inventaire et transmises dans le référentiel de SMStransmises dans le référentiel de SMS

Création de rapports permettant d’analyser les Création de rapports permettant d’analyser les informations d’inventaireinformations d’inventaire

SMS 2003 et correctifs de SMS 2003 et correctifs de sécuritésécuritéArchitectureArchitecture

Security Update Inventory ToolSecurity Update Inventory Tool

Office Update Inventory ToolOffice Update Inventory Tool

Distribute Software Updates WizardDistribute Software Updates Wizard

SMS 2003 et correctifs de SMS 2003 et correctifs de sécuritésécuritéComposantsComposants

Objectif: Déterminer quels sont les correctifs Objectif: Déterminer quels sont les correctifs présents et nécessaires pour les présents et nécessaires pour les environnementsenvironnements

Windows NT 4.0, 2000, XP et 2003Windows NT 4.0, 2000, XP et 2003IE 5.x et 6.xIE 5.x et 6.xIIS 4.0, 5.0 et 6.0IIS 4.0, 5.0 et 6.0Exchange Server 2000 et 2003Exchange Server 2000 et 2003MDAC 2.5, 2.6, 2.7, et 2.8MDAC 2.5, 2.6, 2.7, et 2.8MSXML 2.5, 2.6, 3.0, et 4.0MSXML 2.5, 2.6, 3.0, et 4.0BizTalk Server 2000, 2002, et 2004BizTalk Server 2000, 2002, et 2004Commerce Server 2000 et 2002Commerce Server 2000 et 2002Content Management Server 2001 et 2002Content Management Server 2001 et 2002Host Integration Server 2000, 2004, SNA Server 4.0Host Integration Server 2000, 2004, SNA Server 4.0

Liste des exceptions:Liste des exceptions:Microsoft Baseline Security Analyzer (MBSA) Microsoft Baseline Security Analyzer (MBSA) returns note messages for some updatesreturns note messages for some updateshttp://http://support.microsoft.com/default.aspx?scid=kb;en-us;306460support.microsoft.com/default.aspx?scid=kb;en-us;306460

Security Update Inventory Security Update Inventory ToolTool

Permet de créer dans SMS les lots permettant Permet de créer dans SMS les lots permettant dede

Télécharger automatiquement la liste des correctifs Télécharger automatiquement la liste des correctifs de sécurité de sécurité

D’installer et exécuter, à intervalles de temps D’installer et exécuter, à intervalles de temps réguliers, MBSACli.exe sur les postes clientsréguliers, MBSACli.exe sur les postes clients

Enrichit l’inventaire avecEnrichit l’inventaire avecLe numéro du bulletin de sécurité, le numéro de Le numéro du bulletin de sécurité, le numéro de l’article technique, le titre, …l’article technique, le titre, …

Etat (Installé, Applicable)Etat (Installé, Applicable)

L’URL du site où peut être obtenue la mise à jourL’URL du site où peut être obtenue la mise à jour

S’intègre avec le module de reportingS’intègre avec le module de reporting

Security Update Inventory Security Update Inventory ToolTool

Security Update Inventory Security Update Inventory ToolTool

Objectif : Déterminer quels sont les correctifs Objectif : Déterminer quels sont les correctifs Office applicablesOffice applicables

Office 2000Office 2000

Office XPOffice XP

Office Update Inventory ToolOffice Update Inventory Tool

Permet de créer dans SMS les lots permettant Permet de créer dans SMS les lots permettant dede

Télécharger automatiquement la liste des Télécharger automatiquement la liste des correctifscorrectifs

D’installer et exécuter, à intervalles de temps D’installer et exécuter, à intervalles de temps réguliers, l’outil « réguliers, l’outil « Office Update Inventory Tool Office Update Inventory Tool »» sur les postes clientssur les postes clients

Enrichit l’inventaire avecEnrichit l’inventaire avecLe numéro du bulletin de sécurité, le numéro de Le numéro du bulletin de sécurité, le numéro de l’article technique, le titre, …l’article technique, le titre, …

Etat (Installé, Applicable)Etat (Installé, Applicable)

L’URL du site où peut être obtenue la mise à jourL’URL du site où peut être obtenue la mise à jour

S’intègre avec le module de reportingS’intègre avec le module de reporting

Office Update Inventory ToolOffice Update Inventory Tool

Distribute Distribute Software Updates Software Updates WizardWizard

Distribute Distribute Software Updates Software Updates WizardWizard

Distribute Distribute Software Updates Software Updates WizardWizard

Distribute Distribute Software Updates Software Updates WizardWizard

Objectif : Automatiser le déploiement des Objectif : Automatiser le déploiement des mises à jour manquantes sur les postes clientsmises à jour manquantes sur les postes clients

FonctionnementFonctionnementS’appuie sur l’inventaire remonté par les outils S’appuie sur l’inventaire remonté par les outils d’inventaired’inventaireIl est aussi possible de déployer des mises à jour Il est aussi possible de déployer des mises à jour directement avec le SP1directement avec le SP1

Recherche des correctifs manquants, sélection Recherche des correctifs manquants, sélection des correctifsdes correctifs

Téléchargement des correctifs depuis Téléchargement des correctifs depuis Microsoft.comMicrosoft.com

Création automatique du Lot de l’Annonce et Création automatique du Lot de l’Annonce et du Programmedu Programme

Distribute Distribute Software Updates Software Updates WizardWizard

Un assistant intégré à la sécurité et à la Un assistant intégré à la sécurité et à la console d’administration de SMS permettant console d’administration de SMS permettant dede

Visualiser les mises à jour nécessaires et gérer les Visualiser les mises à jour nécessaires et gérer les prioritéspriorités

Récupérer et autoriser les mises à jourRécupérer et autoriser les mises à jour

Tester les mises à jour en environnement piloteTester les mises à jour en environnement pilote

Définir le contenu des lotsDéfinir le contenu des lots

Contrôler l’expérience et les scénarios utilisateursContrôler l’expérience et les scénarios utilisateurs

Distribute Distribute Software Updates Software Updates WizardWizardFonctionnalitésFonctionnalités

Utilisation privilégiée des zones de notification Utilisation privilégiée des zones de notification et des ballonset des ballonsDes détails supplémentaires sont disponibles Des détails supplémentaires sont disponibles pour les utilisateurs intéresséspour les utilisateurs intéressésPossibilité d’utiliser des textes et graphiques Possibilité d’utiliser des textes et graphiques spécifiques afin de mettre en exergue spécifiques afin de mettre en exergue certaines mises à jourcertaines mises à jourSupport des installations en mode Support des installations en mode automatique ou silencieuxautomatique ou silencieuxPolitique d’installation souple variant entre Politique d’installation souple variant entre « installation obligatoire et immédiate » et « installation obligatoire et immédiate » et « installation facultative »« installation facultative »Détermination automatique du nombre Détermination automatique du nombre optimum de démarragesoptimum de démarrages

SMS 2003 et correctifs de SMS 2003 et correctifs de sécuritésécuritéInstallation des mises à jourInstallation des mises à jour

SMS 2003 et correctifs de SMS 2003 et correctifs de sécuritésécuritéInterface clienteInterface cliente

SMS 2003 et correctifs de SMS 2003 et correctifs de sécuritésécuritéInterface clienteInterface cliente

SMS 2003 et correctifs de SMS 2003 et correctifs de sécuritésécuritéConformité du parcConformité du parc

SMS 2003 et correctifs de SMS 2003 et correctifs de sécuritésécuritéConformité du parcConformité du parc

Partie 4 : synthèsePartie 4 : synthèsePartie 4 : synthèsePartie 4 : synthèse

Comparaison Comparaison SUS/WUS/SMSSUS/WUS/SMS

 

*utilisation de Windows Update, d'un autre outil de mise à jour ou mise à jour manuelle pour les systèmes et applications non supportés *utilisation de Windows Update, d'un autre outil de mise à jour ou mise à jour manuelle pour les systèmes et applications non supportés par WUS ou Microsoft Updatepar WUS ou Microsoft Update

Choisir une solution de gestion des Choisir une solution de gestion des correctifscorrectifs

ClientClient ScénarioScénario ChoixChoix

Grande ou Grande ou moyenne moyenne entrepriseentreprise

Besoin d'une solution unique et flexible de Besoin d'une solution unique et flexible de gestion des mises à jour avec un niveau gestion des mises à jour avec un niveau élevé de contrôle et de distribution pour élevé de contrôle et de distribution pour TOUTES les versions de Windows et TOUTES les versions de Windows et d'applications, ainsi qu'une solution de d'applications, ainsi qu'une solution de gestion du parc intégrégestion du parc intégré

SMS 2003SMS 2003

Besoin seulement d'une solution de mise à Besoin seulement d'une solution de mise à jour simple pour les produits Microsoft, et jour simple pour les produits Microsoft, et dans un premier temps Windows (2000 et dans un premier temps Windows (2000 et ultérieur), Office (2003 & XP), Exchange ultérieur), Office (2003 & XP), Exchange 2003, SQL Server 2000 et MSDE 20002003, SQL Server 2000 et MSDE 2000

WUSWUS**

Petite Petite entrepriseentreprise

Au moins un serveur et un administrateurAu moins un serveur et un administrateur WUSWUS**

Tous les autres scénariosTous les autres scénarios Microsoft Microsoft UpdateUpdate**

ConsommateConsommateurur Tous les scénariosTous les scénarios Microsoft Microsoft

UpdateUpdate**

Comparaison de MU, WUS et SMS Comparaison de MU, WUS et SMS 20032003CapacitéCapacité Microsoft UpdateMicrosoft Update WUSWUS SMS 2003SMS 2003Logiciels et contenus supportésLogiciels et contenus supportés

Logiciels supportés Logiciels supportés pour le contenupour le contenu

Pareil que WUS + Pareil que WUS + WinXP édition WinXP édition familialefamiliale

Win2K, WS2003, WinXP Win2K, WS2003, WinXP Pro, Office 2003, Office Pro, Office 2003, Office XP, Exchange 2003, SQL XP, Exchange 2003, SQL Server 2000, MSDEServer 2000, MSDE

Idem WUS + NT 4.0 & Win98 Idem WUS + NT 4.0 & Win98 + peut mettre à jour + peut mettre à jour n’importe quel logiciel n’importe quel logiciel fonctionnant sur Windowsfonctionnant sur Windows

Types de contenu Types de contenu supportéssupportés

Toutes les mises à jour Toutes les mises à jour de logiciels, mises à de logiciels, mises à jour critiques de jour critiques de pilotes, Service Packs pilotes, Service Packs & Feature Packs& Feature Packs

Toutes les mises à jour de Toutes les mises à jour de logiciels, mises à jour logiciels, mises à jour critiques de pilotes, critiques de pilotes, Service Packs & Feature Service Packs & Feature PacksPacks

Toutes les mises à jour de Toutes les mises à jour de logiciels, Service Packs & logiciels, Service Packs & Feature PacksFeature Packs+ support la mise à jour et + support la mise à jour et l’installation d’appli l’installation d’appli WindowsWindows

Capacités de gestion des mises à jourCapacités de gestion des mises à jour

Ciblage de contenu Ciblage de contenu à certains systèmesà certains systèmes N/AN/A SimpleSimple AvancéAvancé

Optimisation de la Optimisation de la bande passante bande passante réseauréseau

OuiOui OuiOui Oui Oui

Contrôle de la Contrôle de la distribution des distribution des correctifscorrectifs

N/AN/A SimpleSimple AvancéAvancé

Installation de Installation de correctif & correctif & flexibilité de la flexibilité de la planificationplanification

Manuelle & contrôlée Manuelle & contrôlée par l’utilisateur finalpar l’utilisateur final SimpleSimple AvancéAvancé

Rapport sur les Rapport sur les installations de installations de correctifscorrectifs

Erreurs d’installation Erreurs d’installation rapportées à rapportées à l’utilisateur. Liste les l’utilisateur. Liste les mises à jour mises à jour manquantes pour la manquantes pour la machine connectéemachine connectée

SimpleSimple AvancéAvancé

Planification du Planification du déploiementdéploiement N/AN/A SimpleSimple AvancéAvancé

Gestion de Gestion de l’inventairel’inventaire N/AN/A NonNon OuiOui

Vérification de Vérification de conformitéconformité N/AN/A Non – rapport de statut Non – rapport de statut

seulementseulement AvancéAvancé

RessourcesRessourcesSite sécurité :Site sécurité :http://www.microsoft.com/france/securitehttp://www.microsoft.com/france/securite Gestion des mises à jour de sécurité :Gestion des mises à jour de sécurité :http://www.microsoft.com/france/technet/securite/http://www.microsoft.com/france/technet/securite/gestionmaj/default.aspgestionmaj/default.asp Site WUS (en anglais) : Site WUS (en anglais) : http://www.microsoft.com/windowsserversystem/shttp://www.microsoft.com/windowsserversystem/sus/wusbeta.mspxus/wusbeta.mspxSite SMS :Site SMS :http://www.microsoft.com/france/sysmans/default.http://www.microsoft.com/france/sysmans/default.mspxmspxGestion des correctifs de sécurité avec SMS :Gestion des correctifs de sécurité avec SMS :http://www.microsoft.com/france/sysmans/decouvrhttp://www.microsoft.com/france/sysmans/decouvrez/patch.mspxez/patch.mspx MBSAMBSAhttp://www.microsoft.com/downloads/details.aspx?http://www.microsoft.com/downloads/details.aspx?FamilyID=8b7a580d-0c91-45b7-91ba-fc47f7c3d6aFamilyID=8b7a580d-0c91-45b7-91ba-fc47f7c3d6ad&displaylang=frd&displaylang=fr

BACKUPBACKUPBACKUPBACKUP

Installation à l’arrêt (XP Installation à l’arrêt (XP SP2)SP2)

Profiter de l’arrêt de la machine pour Profiter de l’arrêt de la machine pour la maintenir à jourla maintenir à jour

Contrôlé par stratégie de groupeContrôlé par stratégie de groupe

DiversDivers

Disponible en 25 langues pour le Disponible en 25 langues pour le client, 17 langues pour le serveurclient, 17 langues pour le serveur

Support de la Support de la delta compressiondelta compression

Mise à jour automatique du client Mise à jour automatique du client AutoUpdate (= AutoUpdate (= selfupdateselfupdate))

Pré-installation Pré-installation ((selfupdateselfupdate))