Gestion des mises jour de scurit

1
Gestion des mises à jour de sécurité

• Cyril VOISIN
• Chef de programme Sécurité
• Microsoft France

2
Sommaire

• Partie 1 introduction et rappels
• Partie 2 Windows Update Services (WUS, ex SUS
  2.0)
• Partie 3 SMS 2003
• Partie 4 tableau de synthèse de comparaison de
  SUS/WUS/SMS

3
Partie 1 introduction

• Rappels

4
Pas simplement des technos
5
Les 3 facettes de la sécurité
Architecturesécurisée
6
Processus de gestion des correctifs

• Discover a New Software Update
• Determine Relevance
• Obtain and Verify source files
• Submit RFC

• Inventory/Discover Existing Assets
• Assess Security Threats/Vulnerabilities
• Determine the best source of information
• Assess Software Distribution Infrastructure
• Assess Operational Effectiveness

1. Assess
2. Identify
3. Evaluate Plan
4. Deploy

• Deployment Preparation
• Deploy to targeted computers
• Post-Implementation Review

• Determine Appropriate Response
• Plan the Release
• Build the Release
• Acceptance Testing

7
Partie 2 WUS

• Windows Updates Services (ex SUS 2.0)

8
Avertissement

• Windows Update Services (WUS) nexiste pas encore
  en version finale (beta 2 seulement)
• Certaines fonctionnalités décrites ici pourraient
  changer dici à la sortie du produit

9
Objectifs de WUS (SUS 2.0)

• Construire linfrastructure de base de la gestion
  des mises à jour
• Créer une solution facile dutilisation,
  néanmoins complète, pour télécharger et
  distribuer des mises à jour de produits Microsoft
• Critiques ou non
• Rapports centralisés
• Garantie de linstallation
• Dépannage
• Systèmes ou applications
• Répondre aux demandes clients par rapport à la
  version SUS 1.0 (qui ne prend en charge que les
  mises à jour critiques ou sécurité de Windows)

10
Les fonctionnalités demandées par nos clients
En partie possible via le réglage de la
fréquence de détection et des scripts
11
Produits supportés

• Client WUS
• Windows
• Windows 2000 SP3
• Windows XP
• Windows Server 2003 (SP1 mini pour versions 64
  bits)
• Office
• Office XP SP2 et Office 2003
• SQL Server
• SQL 2000 et MSDE 2000
• Exchange Server
• Exchange Server 2003
• A terme, plus de produits Microsoft
• Server WUS
• Windows 2000 Server SP4
• Windows Server 2003 (32 bits)

12
Aperçu de la solution
Microsoft Update(utilise WUS)
Serveur WUS
Postes de travail (clients WUS) Groupe cible 1
Serveurs (clients WUS)Groupe cible 2
Administrateur WUS
Ladministrateur met les clients dans différents
groupes cibles
Ladministrateur approuve les mises à jour
Ladministrateur souscrit à certaines catégories
de mises à jour
Le serveur télécharge les mises à jour depuis
Microsoft Update
Les clients senregistrent auprès du serveur
Les clients installent les mises à jour
approuvées par ladministrateur
13
WUSNotions fondamentales

• Client Mises à jour automatiques
• Groupe cible
• Abonnement
• Approbation de mise à jour
• Rapports

14
Client Mises à jour automatiques (AutoUpdate)

• Principe
• se connecte à Windows Update, Microsoft Update ou
  un serveur WUS pour maintenir la machine à jour
• Mode pull
• Nouvelle version dans Windows XP Service Pack 2
  (permet linstallation avant arrêt)
• Disponible pour
• Windows Server 2003
• Windows 2000 SP3
• Windows XP SP1
• Possibilité de mise à jour silencieuse du client
  à partir du serveur WUS

15
Configuration des clients

• Par stratégie de groupe ou par registre
• Configurer les Mises à jour automatiques
  (AutoUpdate) en spécifiant un serveur intranet de
  Mise à jour Microsoft
• Modes dinstallation
• Notifier avant téléchargement/installation
• Télécharger puis notifier pour installation
• Télécharger et installer automatiquement selon la
  planification
• Autoriser les administrateurs locaux à choisir le
  mode de configuration (sans pouvoir désactiver
  AutoUpdate)

16
Configuration des clients

• Fréquence de détection configurable (du client
  vers le serveur)
• 22 heures par défaut minimum 1 heure (charge sur
  le serveur)
• La durée réelle entre deux détections sera
  déterminée aléatoirement entre 80 et 100 de la
  durée paramétrée
• Délai de redémarrage et intervalle avant nouvelle
  demande de redémarrage (si redémarrage repoussé)
• Notification pour les non administrateurs (en
  fonction du mode dinstallation)

• Pas de redémarrage planifié (pour laisser
  lutilisateur redémarrer quand il le veut)
• Replanifier les installations planifiées (ex 5
  min après redémarrage)
• Autoriser linstallation immédiate des mises à
  jour automatiques
• Ciblage
• Notifie lutilisateur si redémarrage nécessaire

17
Groupes cibles

• Utilité cibler des mises à jour sur des
  machines spécifiques
• Groupe cible de test
• Groupe cible de production
• Deux types de ciblage
• Côté serveur
• Ladministrateur WUS gère lappartenance aux
  groupes depuis le site dadministration (listes
  sur le serveur)
• Côté client
• Appartenance gérée automatiquement
• En utilisant des stratégies de groupe (même
  groupe pour toutes les machines dune même UO
  dActive Directory)
• En utilisant le registre

18
Abonnements (subscriptions)

• Permet de choisir quelles mises à jour
  télécharger et quand
• Produit / Type de mise à jour (sécu, SP,FP,
  pilote,etc)
• En fait une mise à jour est composée de deux
  éléments
• Un correctif
• Les méta données décrivant le correctif
• Par défaut
• seules les méta données sont téléchargées
  (catalogue)
• les correctifs sont téléchargés sils sont
  approuvés (contenu)
• Exemples dabonnements
• Quotidiens pour les mises à jour critiques
• Hebdomadaires pour les mises à jour recommandées

19
Approbation de mise à jour

• Vérification avant déploiement (détection)Évalue
  limpact dune mise à jour sur le réseau avant
  quelle ne soit déployée
• Au niveau de lapprobation dune mise à jour,
  choisir laction Detect
• Après un cycle de détection des clients, la
  rubrique Status de la mise à jour indique le
  nombre de machines qui nécessitent la mise à jour
• Installation lors de la prochaine date planifiée
• Installation avec date butoir
• Désinstallation (nécessite que la mise à jour le
  supporte)

20
Approbation automatique ?

• Par défaut,  détection  automatique pour
• Les mises à jour critiques et de sécurité
• Tous les groupes cibles
• Par défaut, aucune approbation automatique pour
  linstallation
• On pourrait choisir des types de mises à jour, et
  des groupes cibles
• En cas de révision dune mise à jour, la nouvelle
  version obtient le même niveau dapprobation que
  lancienne (désactivable pour effectuer un choix
  manuel)

21
Rapports

• Rapport standard consolidé (activités clients)
• Par machine / par mise à jour / par groupe cible
• Succès et échecs des téléchargements et
  installations avec les détails sur les erreurs
• Rapport sur les synchros
• Nouveautés, changements

22
(No Transcript)
23
démo
24
Installation avec date butoir
25
Notions complémentaires

• Communications
• Options de déploiement des serveurs WUS
• Stockage
• Sécurité
• Flexibilité

26
Communications

• Configuration des paramètres de proxy
• Faible utilisation de la bande passante
• BITS pour les téléchargements client-serveur et
  serveur-serveur
• Mise à jour par abonnement (par produit/par
  type)
• Support des technologies delta compression
• Téléchargement dissocié des correctifs et de
  leurs méta données

27
Options de déploiement des serveurs

• Déploiement hiérarchique
• Serveurs indépendants
• Serveurs non connectés à Internet

28
Serveurs WUS
Microsoft Update
Serveur WUS
Serveur WUS
29
Serveurs non connectés
Microsoft Update
Serveur WUS
Serveur WUS
Importation et exportationmanuelles
30
Stockage

• Base de données pour gérer tout ce qui nest pas
  contenu
• Prise en compte des dépendances entre les mises à
  jour
• MSDE vs SQL Server
• MSDE a une limite de 2Go
• Mises à jour hébergées sur Microsoft Update (WUS
  sert alors seulement de point de contrôle) ou en
  local
• Filtrage de contenu
• Ne garder que les plateformes et langues dont
  vous avez besoin
• Dimensionnement
• Prévoir une croissance annuelle x nb de langues

31
Sécurité, flexibilité

• Sur le client et sur le serveur
• Vérification de signature des contenus
  téléchargés
• Permissions sur les contenus téléchargés
• Changement des ports
• Sauf pour contacter MU
• Infrastructure et plateforme
• Option en ligne de commande pour déclencher une
  détection côté client wuauclt.exe /detectnow
• API du client en COM exécutables à distance et
  scriptables
• API du serveur basées sur .Net Framework

32
Exemple de script

• Le serveur et le client exposent tous les deux
  des API scriptables
• Dim update, i
• set AutoUpdate CreateObject("Microsoft.Update.Au
  toUpdate")
• Autoupdate.DetectNow()
• set UpdateSession CreateObject("Microsoft.Update
  .Session")
• set UpdateSearcher UpdateSession.CreateUpdateSea
  rcher()
• set SearchResult UpdateSearcher.Search("")
• set Updates SearchResult.Updates
• set UpdatesToInstall CreateObject("Microsoft.Upd
  ate.UpdateColl")
• For i 0 to (Updates.Count-1)
• UpdatesToInstall.Add(Updates.Item(i))
• Next
• set Installer UpdateSession.CreateUpdateInstalle
  r()
• Installer.Updates UpdatesToInstall
• set InstallationResult Installer.Install()

Détection
Approbation
Installation
33
Scénario mise à jour de serveurs avec WUS
34
Mises à jour de serveursSuggestions

• Définir des groupes cibles (GPO ou interface
  dadministration WUS)
• Configurer les clients Mises à jour automatiques
  (GPO ou registre)
• Installation auto ou notification avant
  installation
• Si notification, ouverture de session ou script
  pour installation

35
Mises à jour de serveursSuggestions

• Pour les serveurs avec des fenêtres de
  maintenance, configurer les Mises à jour
  automatiques pour une installation planifiée
  durant la fenêtre
• Pour les serveurs sans créneaux de maintenance
• Configurer les Mises à jour automatiques pour
  notifier avant linstallation
• Ouvrir une session sur le serveur ou utiliser les
  API pour effectuer linstallation lorsque cest
  nécessaire

36
Mises à jour de serveursSuggestions

• Datacenters
• Utiliser les stratégies BITS pour limiter la
  bande passante et les fenêtres de téléchargement
• Configurer les Mises à jour automatiques pour
  notifier avant linstallation
• Utiliser les API pour effectuer linstallation
  lorsque cest nécessaire
• Clusters
• Scripter la mise à jour nud après noeud

37
Partie 3 SMS 2003

• Systems Management Server 2003

38
Fonctionnalités
39
SMS 2003 et correctifs de sécuritéArchitecture
MicrosoftDownload Center

• Téléchargement et installation des outils
  danalyse pour Windows (MBSACLI.EXE) et Office

Internet

• Téléchargement régulier du référentiel
  (MSSECURE.XML)

Intranet

• Inventaire des clients et intégration avec les
  données dinventaire matériel SMS

Point de distribution SMS

• Utilisation de lassistant Distribute Software
  Updates pour déclencher linstallation des mises
  à jour sélectionnées

Clients SMS

• Téléchargement des fichiers création/mise à jour
  des packages, programmes annonces réplication
  des packages publication des programmes vers
  les clients SMS

Point de distribution SMS

• Installation des mises à jour par lagent SMS

Clients SMS

• De manière périodique synchronisation de
  nouvelles mises à jour analyse des clients
  déploiement des mises à jour nécessaires

Clients SMS
40
SMS 2003 et correctifs de sécuritéArchitecture

• Support de Windows 2003, XP, 2000 et de NT 4.0
  (et des périphériques mobiles)
• Utilisation de linfrastructure de
  télédistribution en place pour déployer MBSACLI
  1.2
• Exécution automatique dune tâche récurrente
  permettant de déterminer quelles sont les mises à
  jour nécessaires pour chaque machine
• Les informations sont collectées par les
  mécanismes standard dinventaire et transmises
  dans le référentiel de SMS
• Création de rapports permettant danalyser les
  informations dinventaire

41
SMS 2003 et correctifs de sécuritéComposants

• Security Update Inventory Tool
• Office Update Inventory Tool
• Distribute Software Updates Wizard

42
Security Update Inventory Tool

• Objectif Déterminer quels sont les correctifs
  présents et nécessaires pour les environnements
• Windows NT 4.0, 2000, XP et 2003
• IE 5.x et 6.x
• IIS 4.0, 5.0 et 6.0
• Exchange Server 2000 et 2003
• MDAC 2.5, 2.6, 2.7, et 2.8
• MSXML 2.5, 2.6, 3.0, et 4.0
• BizTalk Server 2000, 2002, et 2004
• Commerce Server 2000 et 2002
• Content Management Server 2001 et 2002
• Host Integration Server 2000, 2004, SNA Server
  4.0
• Liste des exceptions
• Microsoft Baseline Security Analyzer (MBSA)
  returns note messages for some updateshttp//supp
  ort.microsoft.com/default.aspx?scidkben-us30646
  0

43
Security Update Inventory Tool

• Permet de créer dans SMS les lots permettant de
• Télécharger automatiquement la liste des
  correctifs de sécurité
• Dinstaller et exécuter, à intervalles de temps
  réguliers, MBSACli.exe sur les postes clients
• Enrichit linventaire avec
• Le numéro du bulletin de sécurité, le numéro de
  larticle technique, le titre,
• Etat (Installé, Applicable)
• LURL du site où peut être obtenue la mise à jour
• Sintègre avec le module de reporting

44
Security Update Inventory Tool
45
Office Update Inventory Tool

• Objectif Déterminer quels sont les correctifs
  Office applicables
• Office 2000
• Office XP

46
Office Update Inventory Tool

• Permet de créer dans SMS les lots permettant de
• Télécharger automatiquement la liste des
  correctifs
• Dinstaller et exécuter, à intervalles de temps
  réguliers, loutil  Office Update Inventory Tool
  sur les postes clients
• Enrichit linventaire avec
• Le numéro du bulletin de sécurité, le numéro de
  larticle technique, le titre,
• Etat (Installé, Applicable)
• LURL du site où peut être obtenue la mise à jour
• Sintègre avec le module de reporting

47
Distribute Software Updates Wizard
48
Distribute Software Updates Wizard
49
Distribute Software Updates Wizard
50
Distribute Software Updates Wizard
51
Distribute Software Updates Wizard

• Objectif Automatiser le déploiement des mises à
  jour manquantes sur les postes clients
• Fonctionnement
• Sappuie sur linventaire remonté par les outils
  dinventaire
• Il est aussi possible de déployer des mises à
  jour directement avec le SP1
• Recherche des correctifs manquants, sélection des
  correctifs
• Téléchargement des correctifs depuis
  Microsoft.com
• Création automatique du Lot de lAnnonce et du
  Programme

52
Distribute Software Updates WizardFonctionnalités

• Un assistant intégré à la sécurité et à la
  console dadministration de SMS permettant de
• Visualiser les mises à jour nécessaires et gérer
  les priorités
• Récupérer et autoriser les mises à jour
• Tester les mises à jour en environnement pilote
• Définir le contenu des lots
• Contrôler lexpérience et les scénarios
  utilisateurs

53
Distribute Software Updates WizardFonctionnalités

• Comment récupérer les versions internationales du
  catalogue
• Modifier le fichier Download.ini pour y ajouter
  une sectionDownload2 XMLCABURLhttp//go.micros
  oft.com/fwlink/?LinkId26835 XMLCABDEST1036
• Pour plus dinformation se reporter à ladresse
  support.microsoft.com/default.aspx?scidkbEN-US8
  38403
• Comment utiliser un Proxy nécessitant une
  authentification
• Utiliser PatchDownloader.exe /s" "Serverport
  /UltUserName as Domain\UserNamegt

54
SMS 2003 et correctifs de sécuritéInstallation
des mises à jour

• Utilisation privilégiée des zones de notification
  et des ballons
• Des détails supplémentaires sont disponibles pour
  les utilisateurs intéressés
• Possibilité dutiliser des textes et graphiques
  spécifiques afin de mettre en exergue certaines
  mises à jour
• Support des installations en mode automatique ou
  silencieux
• Politique dinstallation souple variant entre
   installation obligatoire et immédiate  et
   installation facultative 
• Détermination automatique du nombre optimum de
  démarrages

55
SMS 2003 et correctifs de sécuritéInterface
cliente
56
SMS 2003 et correctifs de sécuritéInterface
cliente
57
SMS 2003 et correctifs de sécuritéConformité du
parc
58
SMS 2003 et correctifs de sécuritéConformité du
parc
59
Partie 4 synthèse

• Comparaison SUS/WUS/SMS

60
Choisir une solution de gestion des correctifs
 
utilisation de Windows Update, d'un autre outil
de mise à jour ou mise à jour manuelle pour les
systèmes et applications non supportés par WUS
ou Microsoft Update
61
Comparaison de MU, WUS et SMS 2003
62
Ressources

• Site sécurité http//www.microsoft.com/france/se
  curite
• Gestion des mises à jour de sécurité
  http//www.microsoft.com/france/technet/securite
  /gestionmaj/default.asp
• Site WUS (en anglais) http//www.microsoft.com/
  windowsserversystem/sus/wusbeta.mspx
• Site SMS http//www.microsoft.com/france/sysmans
  /default.mspx
• Gestion des correctifs de sécurité avec SMS
  http//www.microsoft.com/france/sysmans/decouvre
  z/patch.mspx
• MBSAhttp//www.microsoft.com/downloads/details.as
  px?FamilyID8b7a580d-0c91-45b7-91ba-fc47f7c3d6add
  isplaylangfr

63
(No Transcript)
64
BACKUP
65
Installation à larrêt (XP SP2)

• Profiter de larrêt de la machine pour la
  maintenir à jour
• Contrôlé par stratégie de groupe

66
Divers

• Disponible en 25 langues pour le client, 17
  langues pour le serveur
• Support de la delta compression
• Mise à jour automatique du client AutoUpdate (
  selfupdate)

67
Pré-installation (selfupdate)