Upload
guillaume-lepage
View
120
Download
4
Embed Size (px)
Citation preview
Bienvenue
Qu’est ce que TechNet ?
• Un site Web très orienté technique– http://www.microsoft.com/france/technet/default.mspx
• Une newsletter personnalisable– http://www.microsoft.com/france/technet/presentation/flash/default.msp
x
• Des séminaires techniques toute l’année, partout en France– http://www.microsoft.com/france/technet/seminaires/seminaires.mspx
• Des Webcasts accessibles à tout instant– http://www.microsoft.com/france/technet/seminaires/webcasts.mspx
• Un abonnement– http://www.microsoft.com/france/technet/presentation/cd/default.mspx
Animateur
Administration et déploiement des correctifs avec Windows
Server Update Services et System Management
Server 2003
Logistique
Pause en milieu de session
Vos questions sont les bienvenues.N’hésitez pas !
Feuille d’évaluation à remettre remplie en fin de session
Cédérom
Commodités Merci d’éteindre vos téléphones
Agenda
• Partie 1 : Introduction et rappels• Partie 2 : Windows Server Update Services (ex
WUS, ex SUS 2.0)• Partie 3 : SMS 2003• Partie 4 : Synthèse - comparaison de
MU/WSUS/SMS
Sommaire
• Partie 1 : Introduction et rappels• Partie 2 : Windows Server Update Services• Partie 3 : System Management Servers 2003• Partie 4 : Synthèse - comparaison de
MU/WSUS/SMS
Les 3 facettes de la sécurité
ArchitectureArchitecturesécuriséesécurisée
TechnologiesWindows 2000/XP/2003
Active Directory
Service PacksCorre
ctifs
IPSEC
Kerberos
PKI
DF
S
EFS
SSL/TLS
Clusters
Détectio
n
d’in
trusio
n
SMS
MOM
ISA
Antivirus
GPO
PersonnesAdmin.de l’Entreprise
Admin
.
Du Dom
aine
Service/
Support
DéveloppeurUtilisateur
ArchivagePolitiqued’accès
Inst
alla
tion
RéparationGes
tion d
es
évén
emen
ts
Gestion desperfs
Gestion du
Changement /
de la C
onfiguratio
n
Proc
essu
s
Restauration Sauvegard
e
Réponse à Incident
Mic
roso
ft
Ope
ratio
ns
Fram
ewor
k
Evalu
atio
n
de ri
sque
s
Les différents types de correctif
1. Évaluer l'environnement auquel les correctifs doivent être appliqués
A. Créer/tenir à jour des systèmes de référence
B. Évaluer l'architecture de gestion des correctifs
C. Passer en revue l'infrastructure/la configuration
1. Analyser 2. Identifier
4. Déployer 3. Évaluer et planifier
2. Identifier de nouveaux correctifs
A. Identifier de nouveaux correctifs
B. Déterminer la pertinence des correctifs
C. Vérifier l'authenticité et l'intégrité des correctifs
3. Évaluer les correctifs et planifierleur déploiement
A. Obtenir l'approbation nécessaire pour déployer
B. Évaluer les risquesC. Tester les correctifsD. Planifier la publication
4. Déployer le correctif
A. Distribuer et installer le correctifB. Rédiger un rapport sur l'avancementC. Traiter les exceptions
D. Passer en revue le déploiement
Le processus de gestion des correctifs en entreprise : méthodes recommandées
Processus de gestion des correctifs
Gestion des correctifs hierSolutions multiples, nombre de produits limité
Windows Update/Office Update• Solutions Web pour l’utilisateur final
Software Update Services (SUS) 1.0• Intermédiaire entre Windows Update et Automatic Updates
(contrôle des mises à jour)
Microsoft Baseline Security Analyzer (MBSA) 1.2.1• Détecte les mises à jour de sécurité pour 16 produits• Détecte les vulnérabilités liées aux configurations pour 7 produits
Systems Management Server 2003• SUS Feature Pack (uniquement les mises à jour Windows)• MBSA 1.2.1 pour la détection des autres mises à jour de sécurité• Enterprise Update Scan Tool (EST)
– Détecte les mises à jour de sécurité critiques et importantes– Compatible avec SMS
Agent unifié, support produits étendus
Microsoft Update (MU)• version “Hosted” de Update Services• Solution Web pour l’utilisateur final
Windows Server Update Services (WSUS)• Infrastructure pour les mises à jour produits et outils• Solution évoluée de mises à jour pour la plate forme Microsoft
Microsoft Baseline Security Analyzer (MBSA) 2.0• Outil d’analyse sans la nécessité d’un serveur
Systems Management Server 2003• Outil d’inventaire pour les mises à jour Microsoft
Gestion des correctifs aujourd’hui
Sommaire
• Partie 1 : Introduction et rappels• Partie 2 : Windows Server Update Services (ex
WUS, ex SUS 2.0)• Partie 3 : SMS 2003• Partie 4 : Synthèse - comparaison de
MU/WSUS/SMS
Qu’est ce que Update Services?• Offre d’entreprise de gestion des mises à jour
– Obtenir le contenu du service Microsoft Update
• Composant téléchargeable sur le web (RTW) de Windows Server– Pas de coût licences Windows Server (2000 et ultérieur)
– Nécessite une licence Windows Server / CAL pour les systèmes cibles
• Ne modifie pas les offres existantes– SUS 1.0 continue d’obtenir son contenu de Windows Update (
déc. 2006)
• Composant principal des solutions de gestion des correctifs et mises à jour Microsoft.
Objectifs et principes de conception• Délivrer une solution “simple d’utilisation” totalement
fonctionnelle permettant de répondre au besoin de gestion de mises à jour des produits– Automatiser le plus possible le processus de mises à jour
– Supporter plus que les patches Windows
– Répondre aux demandes des clients utilisant SUS 1.0
– A destination de l’administrateur mais aussi de l’IT généraliste
• Construire l’infrastructure de base “core” pour le patch management de la plate forme Windows– Utiliser par d’autres outils ( ie SMS & MBSA)
– Ensemble complet d’APIs permettant d’étendre et de personnaliser l’application
– Montée en charge ( à l’image de Microsoft Update)
Administrateur souscrit aux catégories de Administrateur souscrit aux catégories de mises à jourmises à jour
< Back Finish Cancel
Windows Update ServicesWindows Update Services
Serveur télécharge les mises à jour de Serveur télécharge les mises à jour de Microsoft UpdateMicrosoft UpdateClients s’enregistrent aux-mêmes avec le Clients s’enregistrent aux-mêmes avec le serveurserveurAdministrateur place les clients dans des Administrateur place les clients dans des groupes ciblesgroupes cibles
Administrateur approuve les mises à jourAdministrateur approuve les mises à jourAgents installent les mises à jour approuvées par Agents installent les mises à jour approuvées par l’administrateurl’administrateur
< Back Finish Cancel
Windows Update ServicesWindows Update Services
Microsoft Microsoft UpdateUpdate
Serveur Serveur WSUSWSUS
Groupe 1 Groupe 1 cible Postes cible Postes clientsclients
Groupe 2 cible Groupe 2 cible ServeursServeurs
Administrateur Administrateur WSUSWSUS
Vue d’ensemble
Mises à jour supportées• Contenu
– Windows, Office, SQL, Exchange à la RTM– Des produits additionnels viendront par la suite
• Plate-formes OS– Client/agent
• Windows 2000 SP3 et ult., Windows XP RTM et ult. (incl. XP embedded et XP x64)
• Windows 2003 RTM (32-bit seulement), Windows 2003 SP1 (x64 et ia64)– Serveur
• Windows 2000 SP4 et ultérieur• Windows 2003 RTM et ultérieur (32-bit seulement)
• Localisation– Client est localisé en 25 versions– Serveur est localisé en 17 versions– Support de la MUI
• Support de la delta compression
Fonctionnalités: contrôle• Administrateur défini des groupes cibles
– Utilisation des stratégies de groupe pour ce faire dans l’environnement AD
– Au travers de l’interface d’administration de WSUS pour les environnement non AD
• Administrateur contrôle les approbations– “Détection seulement” évaluation des machines qui nécessite
l’application d’un patch– Approbation pour l’installation et la désinstallation (pas toujours
possible)– Installation sur date butoir– Approbation par groupe cible:
• Différentes mises à jour vers différents groupes cibles• Différentes dates butoirs par groupe cible• Différentes actions par groupe cible
Fonctionnalités: Configuration de l’ Agent
• Configuration flexible de l’Agent – Fréquence de polling– Notification et type d’installation– “Comportement” vis-à-vis du reboot– Port configurable– Non-administrateurs peuvent installer des mises à jour (comme
les administrateurrs)– Installation à l’arrêt
(XP SP2 et Windows 2003 SP1 seulement)
Fonctionnalités: Optimisation réseau• Résilient et transparent
– BITS* pour téléchargement client-serveur et serveur-serveur– Téléchargements se font en fond de tache (background)
• Téléchargement minimale des mises à jour– Suscriptions aux mises à jour – téléchargement des mises à
jour pour les produits, classifications et langues que *vous* avez besoin
– Support de la technologie “delta compression” pour les communications
– Option client-serveur pour téléchargement uniquement les mises à jour approuvées (download on demand)
– Option pour télécharger uniquement le catalogue des mises à jour et la détection – binaires sur MU
*Background Intelligent Transfer Service
Installation• Serveur WSUS
– Windows Server 2003 (32 bits)• IIS6• BITS 2.0 for Windows Server 2003• .NET Framework 1.1 SP1 for Windows Server 2003
– Windows 2000 Server SP4• IIS5• BITS 2.0 for Windows 2000• Base de données 100% compatible SQL Server (ex : MSDE 2000)• IE 6.0 SP1• .NET Framework 1.1 avec SP1
• Client WSUS– Agent Windows Update : mise à jour automatique du client Windows
Update (= self-update)– Windows 2000 SP3 et +, Windows XP et +, Windows 2003 et +
Démonstration : console d’administration
WSUS- Notions fondamentales
• Client Mises à jour automatiques• Groupes cibles• Abonnement• Approbation de mise à jour• Rapports• APIs
Automatic Updates (AU)Agent Windows Update
• Service local (Mises à jour automatiques) automatisant l’accès à WU/MU permettant– D’obtenir automatiquement les mises à jour critiques et de sécurité
de Windows dont elle a besoin– De les installer automatiquement (si le propriétaire de la machine le
souhaite)– Agent Windows Update
• Quand on le connecte à Windows Update (ou Microsoft Update) : à destination du grand public et des TPE
• Quand on le connecte à WSUS, c’est LE client WSUS (à destination des PME principalement)
Client mise à jour automatiques AutoUpdate
• Principe : – se connecte à Windows
Update, Microsoft Update ou un serveur WSUS pour maintenir la machine à jour
• Config. GPO• Par script
– Mode pull• Nouvelle version dans
Windows XP SP2 (permet l’installation avant arrêt)
• Disponible pour– Windows Server 2003– Windows 2000 SP3 et +– Windows XP* et +
• Possibilité de mise à jour silencieuse du client à partir du serveur WSUS
Pré installation (self-update)
Configuration des clients• Par stratégie de groupe ou par
registre
• Configurer les mises à jour automatiques (AutoUpdate) en spécifiant un serveur intranet de mise à jour Microsoft
• Modes d’installation :– Notifier avant le
téléchargement/installation – Télécharger puis notifier pour l’
installation– Télécharger et installer
automatiquement selon la planification
– Autoriser les administrateurs locaux à choisir le mode de configuration (sans pouvoir désactiver AutoUpdate)
Configuration des clients
• Fréquence de détection configurable (du client vers le serveur) : – 22 heures par défaut;
minimum 1 heure (charge sur le serveur)
– La durée réelle entre deux détections sera déterminée aléatoirement entre 80% et 100% de la durée paramétrée
• Délai de redémarrage et intervalle avant nouvelle demande de redémarrage (si redémarrage repoussé)
• Notification pour les non administrateurs (en fonction du mode d’installation)
• Pas de redémarrage planifié (pour laisser l’utilisateur redémarrer quand il le veut)
• Re-planifier les installations planifiées (ex : 5 min après redémarrage)
• Autoriser l’installation immédiate des mises à jour automatiques
• Ciblage• Notifie l’utilisateur si redémarrage
nécessaire
Dépannage
• Vérifier le démarrage du service• Vérifier la configuration du client
– Via l’interface graphique (Propriétés du Poste de travail, onglet Mises à jour automatiques)
– Si stratégie de groupe, vérifier son application (gpresult)– Si rafraîchissement de stratégie de groupe nécessaire : gpupdate
/force– Regarder
• Journal des événements• %windir%\WindowsUpdate.log• %windir%\SoftwareDistribution\ReportingEvents.log
– Forcer une détection : wuauclt.exe /detectnow– Réinitialiser le cookie et forcer une détection : wuauclt.exe
/resetauthorization /detectnow
Groupes cibles
• Utilité : cibler des mises à jour sur des machines spécifiques– Groupe cible de test– Groupe cible de production
• Deux types de ciblage– Côté serveur
• L’administrateur WSUS gère l’appartenance aux groupes depuis le site d’administration (listes sur le serveur)
– Côté client• Appartenance gérée automatiquement
– En utilisant des stratégies de groupe (même groupe pour toutes les machines d’une même UO d’Active Directory)
– En utilisant le Registre
Abonnements (subscriptions)
• Permet de choisir quelles mises à jour télécharger et quand– Produit / Type de mise à jour (sécurité, SP,FP, pilote, etc…)– En fait une mise à jour est composée de deux éléments :
• Un correctif• Les méta données décrivant le correctif
– Par défaut :• seules les méta données sont téléchargées (catalogue)• les correctifs sont téléchargés s’ils sont approuvés (contenu)
• Exemples d’abonnements :– Quotidiens pour les mises à jour critiques– Hebdomadaires pour les mises à jour recommandées
• Synchro – Manuelle / Automatique
Approbation de mise à jour
• Vérification avant déploiement (détection) : évalue l’impact d’une mise à jour sur le réseau avant qu’elle ne soit déployée– Au niveau de l’approbation d’une mise à jour, choisir l’action
Detect– Après un cycle de détection des clients, la rubrique Status de la
mise à jour indique le nombre de machines qui nécessitent la mise à jour
• Installation lors de la prochaine date planifiée• Installation avec date butoir• Désinstallation (nécessite que la mise à jour le supporte)
Approbation automatique ?
• Par défaut, « détection » automatique pour– Les mises à jour critiques et de sécurité– Tous les groupes cibles
• Par défaut, aucune approbation automatique pour l’installation– On pourrait choisir des types de mises à jour, et des groupes
cibles
• En cas de révision d’une mise à jour, la nouvelle version obtient le même niveau d’approbation que l’ancienne (désactivable pour effectuer un choix manuel)
Rapports
• Rapport standard consolidé (activités clients)– Par machine / par mise à jour / par groupe cible– Succès et échecs des téléchargements et installations
avec les détails sur les erreurs
• Rapport sur les synchros– Nouveautés, changements
Démonstration : état et rapports
Installation avec date butoir
Installation à l’arrêt (XP SP2)
• Profiter de l’arrêt de la machine pour la maintenir à jour
• Contrôler par stratégie de groupe
APIs publiques
• A la fois le client et le serveur expose des APIs publiques
• APIs serveur basées sur .NET (pour les taches d’administration)
• APIs client basées sur COM scriptable• Exemples de scripts et de code dans le SDK
WSUS
API coté Serveur
• Très fonctionnelle API .Net• API permet l’accès à un ensemble (superset) des
taches de l’UI– Configuration du serveur WSUS– Approbation des mises à jour Updates– Ajout/suppression des groupes cibles– Ajout/suppression des clients dans le groupe cible– Création de rapports personnalisés– Toute l’UI utilise les API publiques
• “The bad news”– Non exposé comme une interface COM– Pas du support distant – doit être appelée localement
API coté Client• APIs publiques, implémentées comme “wrappers” autours
de l’Agent WU et des fonctionnalités de Mises à jour automatique (exposée au travers de COM et scriptable)
Class Description
AutomaticUpdates A class that exposes the settings of Automatic Updates and some functionality
UpdateCollection A class representing an ordered list of Updates
UpdateDownloader A class that downloads updates from the server
UpdateInstaller A class that (un)installs updates from or onto the computer
UpdateSearcher A class that searches for updates on the server
SearchResult A class that represents the result of a search
Update A class that exposes properties and methods available to an update
Exemple de scripts
Dim update, iset AutoUpdate = CreateObject("Microsoft.Update.AutoUpdate")Autoupdate.DetectNow()set UpdateSession = CreateObject("Microsoft.Update.Session")set UpdateSearcher = UpdateSession.CreateUpdateSearcher()set SearchResult= UpdateSearcher.Search("")set Updates = SearchResult.Updatesset UpdatesToInstall =
CreateObject("Microsoft.Update.UpdateColl")For i = 0 to (Updates.Count-1)
UpdatesToInstall.Add(Updates.Item(i))Nextset Installer = UpdateSession.CreateUpdateInstaller()Installer.Updates = UpdatesToInstallset InstallationResult = Installer.Install()
Détection
Approbation
Installation
Flexibilité déploiement/Management• Serveur
– APIs basées .NET – Règles simple pour automatiser le déploiement des
mises à jour sans UI
• Client– Ligne de commande wuauclt.exe /detectnow pour la
détection – APIs basées sur COM pour les scripts et le support
distant– Paramètres du client AU via stratégie de groupe ou
scripts
Démonstration : distribution d’un correctif
Notions complémentaires
• Communications • Options de déploiement des serveurs WSUS• Stockage• Sécurité • Flexibilité
Communications (1/2)
• Configuration des paramètres de proxy
Communications (2/2)
• Faible utilisation de la bande passante– BITS (Backgound Intelligent Transfert Service) pour les
téléchargements client serveur et serveur-serveur– Mise à jour par “abonnement” (par produit/par type) – Support des technologies “delta compression” – Téléchargement dissocié des correctifs et de leurs méta données
Options de déploiement des serveurs
• Déploiement hiérarchique– Serveurs indépendants
– Serveurs non connectés à Internet
Hiérarchie
• Attention : il est conseillé de ne pas dépasser 3 niveaux dans la hiérarchie pour des questions de latence de propagation des mises à jour
• Mode replica (miroir) ou pas, se définit à l’installation seulement !!
Déploiement simple
Déploiement de réplica
Déploiement en agence
Postes de travail Clients
Serveurs non connectés
Microsoft Update
Serveur WSUS
Serveur WSUSImportation et exportation
manuelles
Stockage
• Base de données pour gérer tout ce qui n’est pas contenu• Prise en compte des dépendances entre les mises à jour• WMSDE/MSDE vs SQL Server
– MSDE a une limite de 2Go, pas WMSDE (uniqt sur Windows 2003)
• Mises à jour hébergées sur Microsoft Update (WSUS sert alors seulement de point de contrôle) ou en local
• Filtrage de contenu – Ne garder que les plateformes et langues dont vous avez besoin
• Dimensionnement– Prévoir une croissance annuelle * nombre de langues
Sécurité, flexibilité
• Sur le client et sur le serveur – Vérification de signature des contenus téléchargés – Permissions sur les contenus téléchargés
• Changement des ports– Sauf pour contacter MU– Port utilisé : 80 ou 8530 (attention, dans ce cas pour mettre à jour
de « vieux » clients, il faut maintenir un site sur le port 80)
• Infrastructure et plateforme– Option en ligne de commande pour déclencher une détection côté
client : wuauclt.exe /detectnow– API du client en COM exécutables à distance et scriptables– API du serveur basées sur .Net Framework
Connexion à Microsoft Update• Ouverture du pare-feu
– HTTP 80 et HTTPS 443 pour joindre les serveurs Microsoft sur le Web
– Liste des domaines :• · http://windowsupdate.microsoft.com
• · http://*.windowsupdate.microsoft.com
• · https://*.windowsupdate.microsoft.com
• · http://*.update.microsoft.com
• · https://*.update.microsoft.com
• · http://*.windowsupdate.com
• · http://download.windowsupdate.com
• · http://download.microsoft.com
• · http://*.download.windowsupdate.com
• · http://wustat.windows.com
• · http://ntservicepack.microsoft.com
Filtrage d’URLs (ISA ou URLScan)
• Si vous l’utilisez, il faut :– autoriser les extensions de type .exe (les enlever de
la section [DenyExtensions]– Autoriser dans [AllowVerbs]
• GET• HEAD• POST• OPTIONS
Dimensionnement du serveur WSUS
Jusqu’à 500 clients
Minimum Recommandé
Processeur 750 MHz 1 GHz ou +
RAM 512 Mo 1 Go
Base de données MSDE MSDE/WMSDE
De 500 à 15 000 clients
Minimum Recommandé
Processeur 1 GHz ou + Biprocesseurs à 3 GHz ou + (2 processeurs pour plus de 10 000 clients)
RAM 1 Go 1 GB
Base de données WMSDE / SQL Server 2000 SP3a et +
WMSDE / SQL Server 2000 SP3a et +
Migration de SUS vers WSUS
• Pas de mise à jour mais une migration des mises à jour et des approbations (et c’est tout)– Migration sur même serveur– Migration vers nouveau serveur
• WSUSutil.exe
• SUS1 et WSUS peuvent cohabiter sur un même serveur
Limites de la migration
• WSUS et SUS 1.0 ne peuvent pas synchroniser leurs méta données l’un avec l’autre
• Pas de migration des paramètres de proxy• Pas de migration des paramètres d’IIS• Migration unidirectionnelle de SUS 1.0 vers WSUS• La migration des approbations de mises à jour
écrase les approbations existantes d’un groupe d’ordinateurs
Migration avec un seul serveur
• Pour économiser le nombre de serveurs• Nécessite d’installer WSUS sur un port différent
de SUS 1.0• Nécessite la mise à jour des clients au fur et à
mesure qu’ils se connectent au serveur WSUS• Redirection des clients vers un port différent du
même serveur• Les clients utilisent toujours SUS 1.0 pour les
mises à jour jusqu’à ce qu’ils soient redirigés vers le port de WSUS, ou que SUS 1.0 soit retiré
Considérations de déploiement• Besoins matériels
– Nombre de clients, fréquence de polling du client vers le serveur• Base de données et stockage
– SQL Locale ou distante versus MSDE /WMSDE• Bande passante
– Site unique, multi-sites, « branch office », bande passante faible (low)
• Sécurité– Personnalisation des ports de communication
• Scalabilité– Hiérarchie Serveur – Options des cibles– Mode Client versus Serveur
• Management– Automatisation par scripts versus interface d’administration Web
Démonstration : Migration SUS vers WSUS
Agenda
• Partie 1 : Introduction et rappels• Partie 2 : Windows Server Update Services• Partie 3 : SMS 2003• Partie 4 : Synthèse - comparaison de
MU/WSUS/SMS
Téléassistance
FonctionnalitésGestion des ressources matérielles et logicielles
PPC 200364 MBARM 300 MHz
Windows XP SP1256 MBP IV 1 GHz
Windows 2000128 MBP III 700 MHz
Windows NT 4 SP6128 MBP III 350 MHz
OSRAMCPU
Découverte Inventaire Reporting
Gestion du cycle de vie des applicationset des correctifs de sécurité
Packaging Distribution Installation Suivi utilisation
• S’appuie sur l’infrastructure SMS existante pour déployer les outils d’analyse sur l’ensemble des machines
• Exécute automatiquement une tâche récurrente permettant de déterminer quelles sont les mises à jour nécessaires pour chaque machine
• Ces informations sont collectées par les mécanismes standard d’inventaire et transmises dans le référentiel SMS
• Génère des rapports pour analyser ces informations
• Les mises à jour nécessaires sont automatiquement envoyés aux postes clients en utilisant les mécanismes standard SMS
SMS 2003 et correctifs de sécurité
Internet
Point de distribution SMS
Clients SMS
Clients SMS
MicrosoftDownload Center
Point de distribution SMS
2. Téléchargement régulier du référentiel (MSSECURE.XML,WSUScan.cab…)
1. Téléchargement et installation des outils d’analyse sur le serveur de site
3. Inventaire des clients et intégration avec les données d’inventaire matériel SMS
4. Utilisation de l’assistant de distribution des mises à jour logicielles pour déclencher l’installation des mises à jour sélectionnées
6. Installation des mises à jour par l’agent SMS
7. De manière périodique: le module de synchronisation vérifie la publication de nouvelles mises à jour et analyse les clients
5. Téléchargement des fichiers; création/mise à jour des packages, programmes & annonces; réplication des packages & publication des programmes vers les clients SMS
Clients SMS
SMS 2003 et correctifs de sécuritéArchitecture
Intranet
• Systems Management Server 2003 Software Update Scanning Tools – Outil d’inventaire pour les mises à jour de la sécurité
(Security Update Inventory Tool)– Outil d’inventaire pour les mises à jour Microsoft Office
(Office Update Inventory Tool)
• SMS Extended Security Update Inventory Tool
• Outil d’inventaire pour les mises à jour Microsoft (SMS Inventory Tool for Microsoft Updates)
SMS 2003 et correctifs de sécuritéComposants (disponibles sur le Web en téléchargement)
• Permettent de créer dans SMS les lots permettant de :– Télécharger automatiquement la liste des correctifs de sécurité – D’installer et exécuter, à intervalles de temps réguliers, l’outil d’analyse
sur les postes clients (permettant de déterminer quelles sont les mises à jour nécessaires pour chaque machine)
• Enrichissent l’inventaire avec– Numéro du bulletin de sécurité, numéro de l’article technique, titre, …– Etat (Installé, Applicable)– L’URL du site où peut être obtenue la mise à jour
• S’intègrent avec le module de reporting– Création de rapports permettant d’analyser les informations d’inventaire
Outils d’inventaire des mises à jour
• Toute mise à jour détectée par MBSACLI 1.2 peut être distribuée
• Prise en charge des mises à jour de– Windows (critiques, non-critiques et Service Packs)– IE, MDAC, IIS– SQL Server, Exchange Server, Biztalk…
• Support des clients Windows 2003, XP, 2000 et de NT 4.0
• Liste des exceptions:– Microsoft Baseline Security Analyzer (MBSA) returns
note messages for some updateshttp://support.microsoft.com/default.aspx?scid=kb;en-us;306460
Outil d’inventaire des mises à jour de la sécurité
Outil d’inventaire des mises à jour de la sécurité
• Déterminer quels sont les correctifs applicables– Office 2000– Office XP– Office 2003
Outil d’inventaire des mises à jour Microsoft Office
SMS Extended Security Update Inventory Tool • Outil de détection des mises à jour de sécurité pour certains
bulletins qui ne peuvent pas être détectés par MBSA ou ODT http://support.microsoft.com/?kbid=894192
http://support.microsoft.com/default.aspx?scid=kb;fr;894193
• L’outil dans sa version 4.2 (10/11/2005) prend en charge :
– MS04-028, MS05-004, MS05-006, MS05-009, MS05-022, MS05-029, MS05-030, MS05-031, MS05-033, MS05-034, MS05-044, MS05-050
http://www.microsoft.com/downloads/details.aspx?FamilyId=2C93DA1D-48A0-4E5C-991F-87E08954F61B&displaylang=en
Outil d’inventaire pour les mises à jour Microsoft• Nouvel outil d’analyse pour les sites SMS 2003 SP1 et les
clients avancés– En règle général, c’est un remplacement des outils d’inventaire
des mises à jours actuellement disponibles MBSA et Office• Dans certains cas, les outils ancienne génération devront être
conservés
• Outil d’inventaire pour les mises à jour Microsoft (ITMU) prends en charge à la fois les mises à jour pour les systèmes d’exploitation et les applications– Microsoft Windows XP Embedded / Microsoft Windows X64
Edition / Microsoft Office XP and Office 2003 / Microsoft Exchange 2000 et 2003 / Microsoft Windows 2000 Service Pack 4 et + / MSXML, MDAC, et Microsoft Virtual Machine / Microsoft SQL Server 2000 SP4 et SQL Server 2005
Outil d’inventaire pour les mises à jour Microsoft• « ITMU » s’appuie sur l’agent Windows Update
pour l’analyse des mises à jour– Outil d’analyse « standalone » – ne nécessite pas de
serveur WSUS ou de connectivité Internet– Agent Windows Update 2.0 est natif à partir de
Windows Server 2003 SP1– Distribué comme un package par SMS pour les autres
OS
• En respect avec Microsoft Update pour les mises à jours critiques, les rollups et les service packs
Mise en oeuvre ITMU
• Site SMS :– Requiert SMS 2003 SP1– Correctifs à installés dans l’ordre (KB 900257, 900401 et 901034*)– Création package, programmes, publications et regroupements
• Client avancé :– SMS 2003 SP1– Windows 2000 SP3 et + , MSXML 3.0– Windows Installer 3.1v2 (msi)– Mises à jour du client avancé (correctif 901034)
• Installation de l’agent Windows Update 2.0 (5.8.0.2469)
http://www.microsoft.com/smserver/downloads/2003/tools/
msupdates_required.mspx * ou 899512 et 892044
Améliorations ITMU
• Standardisation des outils (utilisation de l’agent Windows Update 2.0)
• Plus de gestion de la ligne de commande pour la distribution des correctifs
• Rapports plus complets– 19 rapports
Comparaison des outils de mises à jour de correctifs
• Le moteur de détection d’ITMU s’appuie sur l’agent Windows Updates
• Les technologies suivantes s’appuient sur l’agent Windows® Update– Microsoft Update, MBSA 2.0, and Windows Server™
Update Services
• Toutes les solutions de mises à jours doivent donner des résultats cohérents entre elles.
Comparaison des outils d’inventaire
de mises à jour pour SMS• ITMU supporte Security updates, service packs, et rollups
pour Windows 2000 SP4 et +– MBSA supporte critical security updates et service packs pour
Windows NT® 4.0 et +• ITMU supporte Office XP et + pour les mises à jour de
sécurité et les service packs– Mises à jour pour Microsoft Office supporte Office 2000 et + pour
mises à jour de sécurité et les service pack• ITMU supporte SQL Server 2000 SP4 et+
– MBSA supporte SQL Server 7.0 et +• ITMU utilise le catalogue WSUS (WSUSScan.cab) qui inclut
toutes les langues– Le catalogue MBSA (MSSecure.cab) est spécifique à chaque langue
de l’OS• Besoin de déployer MSSecure.cab pour chaque langue de l’OS client
• Objectif : Automatiser le déploiement des mises à jour manquantes sur les postes clients
• Fonctionnement– S’appuie sur l’inventaire remonté par les outils d’inventaire– Il est aussi possible de déployer des mises à jour directement avec le
SP1
• Recherche des correctifs manquants, sélection des correctifs
• Téléchargement des correctifs depuis Microsoft.com
• Création automatique du Lot de l’Annonce et du Programme
Assistant de distribution des mises à jour logicielles
• Un assistant intégré à la sécurité et à la console d’administration de SMS permettant de :– Visualiser les mises à jour nécessaires et gérer les priorités– Récupérer et autoriser les mises à jour– Tester les mises à jour en environnement pilote– Définir le contenu des lots– Contrôler l’expérience et les scénarios utilisateurs
• Pour ITMU, nécessite le hotfix 900257
Assistant de distribution des mises à jour logicielles Fonctionnalités
• Comment récupérer les versions internationales du catalogue– Modifier le fichier Download.ini pour y ajouter une section
[Download2] XMLCABURL=http://go.microsoft.com/fwlink/?
LinkId=26835 XMLCABDEST=1036 – Pour plus d’information se reporter à l’adresse
support.microsoft.com/default.aspx?scid=kb;EN-US;838403
• Comment utiliser un Proxy nécessitant une authentification– Utiliser PatchDownloader.exe /s:" "Server[:port] /U:<UserName as
Domain\UserName>
Assistant de distribution des mises à jour logicielles Fonctionnalités
Assistant de distribution des mises à jour logicielles
• Utilisation privilégiée des zones de notification et des ballons
• Des détails supplémentaires sont disponibles pour les utilisateurs intéressés
• Possibilité d’utiliser des textes et graphiques spécifiques afin de mettre en exergue certaines mises à jour
• Support des installations en mode automatique ou silencieux
• Politique d’installation souple variant entre « installation obligatoire et immédiate » et « installation facultative »
• Détermination automatique du nombre optimum de démarrages
SMS 2003 et correctifs de sécuritéInstallation des mises à jour
SMS 2003 et correctifs de sécuritéInterface cliente
SMS 2003 et correctifs de sécuritéConformité du parc
Sommaire
• Partie 1 : Introduction et rappels• Partie 2 : Windows Server Update Services• Partie 3 : SMS 2003• Partie 4 : Synthèse - comparaison de
MU/WSUS/SMS
Microsoft Update CatalogWindows 2000+Windows 2000+Office XP+Office XP+Exchange 2000+Exchange 2000+SQL 2000 SP4+SQL 2000 SP4+
Client finalClient final Grande EnterpriseGrande Enterprise
PMEPME
TPETPE
Windows Update AgentWindows Update Agent
WSUSWSUS SMSSMSAutomatic UpdatesAutomatic Updates& MU Website& MU Website
MBSA 2.0MBSA 2.0
Detection etmise à jour du contenu
Infrastructure Detection et Installation
*utilisation de Windows Update, d'un autre outil de mise à jour ou mise à jour manuelle pour les systèmes et applications non supportés *utilisation de Windows Update, d'un autre outil de mise à jour ou mise à jour manuelle pour les systèmes et applications non supportés par WSUS ou Microsoft Updatepar WSUS ou Microsoft Update
Choisir une solution de gestion des correctifs
Client Scénario Choix
Grande ou moyenne entreprise
Besoin d'une solution unique et flexible de gestion des mises à jour avec un niveau élevé de contrôle et de distribution pour TOUTES les versions de Windows et d'applications, ainsi qu'une solution de gestion du parc intégré
SMS 2003
Besoin seulement d'une solution de mise à jour simple pour les produits Microsoft, et dans un premier temps Windows (2000 et ultérieur), Office (2003 & XP), Exchange 2003, SQL Server 2000 et MSDE 2000
WSUS*
Petite entreprise
Au moins un serveur et un administrateur WSUS*
Tous les autres scénariosMicrosoft Update*
Consommateur Tous les scénariosMicrosoft Update*
Comparaison de MU, WSUS et SMS 2003Capacité Microsoft Update WSUS SMS 2003
Logiciels et contenus supportés
Logiciels supportés pour le contenu
Pareil que WSUS + WinXP édition familiale
Win2K, WS2003, WinXP Pro, Office 2003, Office XP, Exchange 2003, SQL Server 2000, MSDE
Idem WSUS + NT 4.0 & Win98 + peut mettre à jour n’importe quel logiciel fonctionnant sur Windows
Types de contenu supportés
Toutes les mises à jour de logiciels, mises à jour critiques de pilotes, Service Packs & Feature Packs
Toutes les mises à jour de logiciels, mises à jour critiques de pilotes, Service Packs & Feature Packs
Toutes les mises à jour de logiciels, Service Packs & Feature Packs+ support la mise à jour et l’installation d’appli Windows
Capacités de gestion des mises à jour
Ciblage de contenu à certains systèmes
N/A Simple Avancé
Optimisation de la bande passante réseau
Oui Oui Oui
Contrôle de la distribution des correctifs
N/A Simple Avancé
Installation de correctif & flexibilité de la planification
Manuelle & contrôlée par l’utilisateur final
Simple Avancé
Rapport sur les installations de correctifs
Erreurs d’installation rapportées à l’utilisateur. Liste les mises à jour manquantes pour la machine connectée
Simple Avancé
Planification du déploiement N/A Simple Avancé
Gestion de l’inventaire N/A Non Oui
Vérification de conformité N/A Non – rapport de statut seulement Avancé
Ressources utiles
• Site sécurité :http://www.microsoft.com/france/securite
• Gestion des mises à jour de sécurité :http://www.microsoft.com/france/technet/securite/gestionmaj/default.asp
• Site WSUS (en anglais) : http://www.microsoft.com/wsus
• Newsgroup : microsoft.public.fr.update_services• Site SMS :
http://www.microsoft.com/france/sysmans/default.mspx• Gestion des correctifs de sécurité avec SMS :
http://www.microsoft.com/france/sysmans/decouvrez/patch.mspx • MBSA 2.0
http://www.microsoft.com/technet/security/tools/mbsa2/default.mspx
Questions / Réponses