Windows Server Update Services WSUS - PowerPoint PPT Presentation

1 / 64
About This Presentation
Title:

Windows Server Update Services WSUS

Description:

Windows Server Update Services WSUS – PowerPoint PPT presentation

Number of Views:1887
Avg rating:3.0/5.0
Slides: 65
Provided by: cyrilv
Category:

less

Transcript and Presenter's Notes

Title: Windows Server Update Services WSUS


1
Windows Server Update Services (WSUS)
Cyril Voisin Chef de programme Sécurité Microsoft
France
2
La stratégie sécurité de Microsoft
Mise à jour avancée
Conseils, Outils, Réponse
3
Amélioration des mises à jour
Simplifier le processus de mise à jour
  • Diminuer les coûts de mise à jour tout en
    augmentant lefficacité
  • Moins dinstallateurs et taille réduite
  • Outils améliorés pour lévaluation et le
    déploiement
  • Étendus à toutes les technologies Microsoft

4
Zoom sur les vers et vulnérabilités
  • Prolifération des correctifs
  • Temps avant exploitation en baisse
  • Exploitations plussophistiquée
  • Lapproche classique nest pas suffisante

5
Améliorer la gestion des correctifs
Votre besoin
Notre réponse
6
Mises à jour
Microsoft Update(Windows Update)
Download Center
Windows Update
Office Update
VS Update
Hier
Maintenant
Windows, SQL, Exchange, Office
Update Services
SUS
SMS
Windows seulement
Windows, SQL, Exchange, Office
Windows seulement
7
Processus de gestion des correctifs
2. Identifier de nouveaux correctifs Tâches A.
Identifier de nouveaux correctifs B. Déterminer
la pertinence des correctifs C. Vérifier
l'authenticité et l'intégrité des correctifs
1. Évaluer l'environnement auquel le correctif
doit être appliqué Tâches périodiques A.
Créer/tenir à jour des systèmes de référence B.
Évaluer l'architecture de gestion des
correctifs C. Passer en revue l'infrastructure/
la configuration Tâches en cours A. Découvrir
les ressources B. Clients d'inventaire
1. Évaluer
2. Identifier
3. Estimer et planifierle déploiement des
correctifs Tâches A. Obtenir l'approbation
nécessaire à déployer le correctif B. Évaluer
les risques C. Planifier le processus de
publication des correctifs D. Test pour
l'acceptation du correctif terminé
3. Estimer et planifier
4. Déployer
4. Déployer le correctif Tâches A. Distribuer et
installer le correctif B. Rédiger un rapport sur
l'avancement C. Traiter les exceptions D. Passer
en revue le déploiement
8
Automatic Updates (AU)
  • Service de Mises à jour automatiques (le client
    de WSUS)

9
Automatic Updates (AU)Description
  • Service local (Mises à jour automatiques)
    automatisant laccès à WU permettant
  • Dobtenir automatiquement les mises à jour
    critiques et de sécurité de Windows dont elle a
    besoin
  • De les installer automatiquement (si le
    propriétaire de la machine le souhaite)
  • Quand on le connecte à WU (ou MU) à destination
    du grand public et des TPE
  • Quand on le connecte à WSUS, cest LE client WSUS
    (à destination des PME principalement)

10
Client Mises à jour automatiques (AutoUpdate)
  • Principe
  • se connecte à Windows Update, Microsoft Update ou
    un serveur WSUS pour maintenir la machine à jour
  • Mode pull
  • Disponible pour
  • Windows Server 2003
  • Windows 2000 SP3
  • Windows XP SP1

11
Installation à larrêt (XP SP2)
  • Profiter de larrêt de la machine pour la
    maintenir à jour
  • Contrôlé par stratégie de groupe

12
Configuration des clients
  • Par stratégie de groupe ou par registre
  • Configurer les Mises à jour automatiques
    (AutoUpdate)
  • Modes dinstallation
  • Notifier avant téléchargement/installation
  • Télécharger puis notifier pour installation
  • Télécharger et installer automatiquement selon la
    planification
  • Autoriser les administrateurs locaux à choisir le
    mode de configuration (sans pouvoir désactiver
    AutoUpdate)

13
Configuration des clients
  • Fréquence de détection configurable (du client
    vers le serveur)
  • 22 heures par défaut minimum 1 heure (charge sur
    le serveur)
  • La durée réelle entre deux détections sera
    déterminée aléatoirement entre 80 et 100 de la
    durée paramétrée
  • Délai de redémarrage et intervalle avant nouvelle
    demande de redémarrage (si redémarrage repoussé)
  • Notification pour les non administrateurs (en
    fonction du mode dinstallation)
  • Pas de redémarrage planifié (pour laisser
    lutilisateur redémarrer quand il le veut)
  • Replanifier les installations planifiées (ex 5
    min après redémarrage)
  • Autoriser linstallation immédiate des mises à
    jour automatiques
  • Notifie lutilisateur si redémarrage nécessaire

14
Dépannage
  • Vérifier le démarrage du service
  • Vérifier la configuration du client
  • Via linterface graphique (Propriétés du Poste de
    travail, onglet Mises à jour automatiques)
  • Si stratégie de groupe, vérifier son application
    (gpresult)
  • Si rafraîchissement de stratégie de groupe
    nécessaire gpupdate /force
  • Regarder
  • Journal des événements
  • windir\WindowsUpdate.log
  • windir\SoftwareDistribution\ReportingEvents.log
  • Forcer une détection wuauclt.exe /detectnow
  • Réinitialiser le cookie et forcer une détection
    wuauclt.exe /resetauthorization /detectnow

15
Windows Server Update Services (WSUS, ex SUS 2.0)
  • Serveur de gestion de mises à jour

16
Objectifs de WSUS (SUS 2.0)
  • Construire linfrastructure de base de la gestion
    des mises à jour
  • Créer une solution facile dutilisation,
    néanmoins complète, pour télécharger et
    distribuer des mises à jour de produits Microsoft
  • Critiques ou non
  • Rapports centralisés
  • Garantie de linstallation
  • Dépannage
  • Systèmes ou applications
  • Répondre à vos demandes par rapport à la version
    SUS 1.0 (qui ne prend en charge que les mises à
    jour critiques ou sécurité de Windows)

17
Les fonctionnalités demandées par nos clients
En partie possible via le réglage de la
fréquence de détection et des scripts
18
Produits supportés
  • Client WSUS
  • Windows
  • Windows 2000 SP3
  • Windows XP
  • Windows Server 2003 (SP1 mini pour versions 64
    bits)
  • Office
  • Office XP SP2 et Office 2003
  • SQL Server
  • SQL 2000 et MSDE 2000
  • Exchange Server
  • Exchange Server 2003
  • A terme, plus de produits Microsoft (comme ISA
    Server 2004 par exemple)

19
Produits supportés
  • Server WSUS
  • Windows Server 2003 (32 bits)
  • IIS6
  • BITS 2.0 for Windows Server 2003 (pas encore
    dispo en version finale)
  • .NET Framework 1.1 SP1 for Windows Server 2003
  • Windows 2000 Server SP4
  • IIS5
  • BITS 2.0 for Windows 2000 (pas encore dispo en
    version finale)
  • Base de données 100 compatible SQL Server (ex
    MSDE 2000)
  • IE 6.0 SP1
  • .NET Framework 1.1 avec SP1

20
Aperçu de la solution WSUS
Microsoft Update(utilise WSUS)
Serveur WSUS
Postes de travail (clients WSUS) Groupe cible 1
Serveurs (clients WSUS)Groupe cible 2
Administrateur WSUS
Ladministrateur met les clients dans différents
groupes cibles
Ladministrateur approuve les mises à jour
Ladministrateur souscrit à certaines catégories
de mises à jour
Le serveur télécharge les mises à jour depuis
Microsoft Update
Les clients senregistrent auprès du serveur
Les clients installent les mises à jour
approuvées par ladministrateur
21
Client AU
  • Possibilité de mise à jour silencieuse du client
    à partir du serveur WSUS
  • Configurer les Mises à jour automatiques
    (AutoUpdate) en spécifiant un serveur intranet de
    Mise à jour Microsoft
  • Ciblage (GPO ou pas)
  • Attention Windows XP sans Service Pack

22
Pré-installation (selfupdate)
23
Groupes cibles
  • Utilité cibler des mises à jour sur des
    machines spécifiques
  • Groupe cible de test
  • Groupe cible de production
  • Deux types de ciblage
  • Côté serveur
  • Ladministrateur WSUS gère lappartenance aux
    groupes depuis le site dadministration (listes
    sur le serveur)
  • Côté client
  • Appartenance gérée automatiquement
  • En utilisant des stratégies de groupe (même
    groupe pour toutes les machines dune même UO
    dActive Directory)
  • En utilisant le registre

24
Abonnements
  • Permet de choisir quelles mises à jour
    télécharger et quand
  • Produit / Type de mise à jour (sécu, SP,FP,
    pilote,etc)
  • En fait une mise à jour est composée de deux
    éléments
  • Un correctif
  • Les méta données décrivant le correctif
  • Par défaut
  • seules les méta données sont téléchargées
    (catalogue)
  • les correctifs sont téléchargés sils sont
    approuvés (contenu)
  • Synchro
  • Manuelle
  • Automatique

25
Approbation de mise à jour
  • Vérification avant déploiement (détection)Évalue
    limpact dune mise à jour sur le réseau avant
    quelle ne soit déployée
  • Au niveau de lapprobation dune mise à jour,
    choisir laction Detect only
  • Après un cycle de détection des clients, la
    rubrique Status de la mise à jour indique le
    nombre de machines qui nécessitent la mise à jour
  • Installation lors de la prochaine date planifiée
  • Installation avec date butoir (passée une date
    donnée, linstallation devient obligatoire si on
    utilise AU quel que soit le mode, auto ou pas)
  • Désinstallation (nécessite que la mise à jour le
    supporte)

26
Approbation automatique ?
  • Par défaut,  détection  automatique pour
  • Les mises à jour critiques et de sécurité
  • Tous les groupes cibles
  • Par défaut, aucune approbation automatique pour
    linstallation
  • On pourrait choisir des types de mises à jour, et
    des groupes cibles
  • En cas de révision dune mise à jour, la nouvelle
    version obtient le même niveau dapprobation que
    lancienne (désactivable pour effectuer un choix
    manuel)

27
Rapports
  • Rapport standard consolidé (activités clients)
  • Par machine / par mise à jour / par groupe cible
  • Succès et échecs des téléchargements et
    installations avec les détails sur les erreurs
  • Rapport sur les synchros
  • Nouveautés, changements

28
(No Transcript)
29
(No Transcript)
30
démo WSUS
31
Installation avec date butoir
32
Communications
  • Configuration des paramètres de proxy
    (éventuellement compte mot de passe)
  • Faible utilisation de la bande passante
  • BITS pour les téléchargements client-serveur et
    serveur-serveur
  • Mise à jour par abonnement (par produit/par
    type)
  • Support des technologies delta compression
  • Téléchargement dissocié des correctifs et de
    leurs méta données
  • Port utilisé 80 ou 8530 (attention, dans ce cas
    pour mettre à jour de  vieux  clients, il faut
    maintenir un site sur le port 80)

33
Options de déploiement des serveurs
  • Déploiement hiérarchique
  • Serveurs indépendants
  • Serveurs miroirs ( replica )
  • Serveurs non connectés à Internet

34
Serveurs WSUS
Microsoft Update
Serveur WSUS
Serveur WSUS
35
Hiérarchie
  • Attention il est conseillé de ne pas dépasser 3
    niveaux dans la hiérarchie pour des questions de
    latence de propagation des mises à jour
  • Mode replica (miroir), ou pas, se définit à
    linstallation seulement

36
Serveurs non connectés
Microsoft Update
Serveur WSUS
Serveur WSUS (autonome)
Importation et exportationmanuelles
37
Procédure
  • Sassurer que sur les serveurs les options
    avancées de synchronisation (installation
    express, langues) sont les mêmes
  • Pas de problème pour le planning, les catégories
    de produits, le proxy
  • Copier les mises à jour depuis \WSUS\WSUSContent
    (utilitaire de sauvegarde de Windows, en mode
    incrémental par ex.)
  • Exporter les méta données de la base de données
  • WSUSutil.exe (32 bits seulement il faut être
    admin)
  • Copier le contenu sur le serveur destination
  • Puis importer les méta données avec WSUSutil.exe

38
Stockage
  • Base de données pour gérer tout ce qui nest pas
    contenu
  • Prise en compte des dépendances entre les mises à
    jour
  • MSDE vs SQL Server
  • MSDE a une limite de 2Go
  • Mises à jour hébergées sur Microsoft Update (WSUS
    sert alors seulement de point de contrôle) ou en
    local
  • Filtrage de contenu
  • Ne garder que les plateformes et langues dont
    vous avez besoin
  • Dimensionnement
  • Prévoir une croissance annuelle x nb de langues

39
Sécurité
  • Sur le client et sur le serveur
  • Vérification de signature des contenus
    téléchargés
  • Permissions sur les contenus téléchargés
  • Mise en place de SSL pour léchange des
    métadonnées
  • A faire sur votre serveur (mentionné sur la page
    daccueil)

40
Mise en place de SSL ?
  • Pour protéger le transfert des méta données
  • Ne pas appliquer sur tout le site car une partie
    du trafic doit se faire en HTTP (en clair)
  • SSL sur
  • SimpleAuthWebService
  • DSSAuthWebService
  • ServerSyncWebService
  • WSUSAdmin
  • ClientWebService
  • Mais pas sur
  • Content
  • ReportingWebService
  • SelfUpdate
  • Port 443 ou 8531 (si port personnalisé en 8530
    pour le trafic normal)
  • Sur les serveurs subordonnés, importer le
    certificat dans le magasin des autorités de
    certification racines de confiance de
    lordinateur local ou dans le magasin des
    autorités de certification racines de confiance
    de Windows Server Update Services

41
Mise en place de SSL ?
  • Inconvénients
  • Perte de 10 de performance sur le serveur
  • La connexion entre le serveur et la base de
    données nutilise pas SSL
  • Les mettre sur la même machine
  • Ou sur un même réseau privé
  • Ou utiliser IPsec
  • Configuration des clients
  • Changer lURL du serveur WSUS (ex
    https//monserveurWSUS)
  • Importation du certificat dans le magasin des
    autorités de certification racines de confiance
    de lordinateur local ou dans le magasin des
    autorités de certification racines de confiance
    du service Mises à jour automatiques

42
Flexibilité
  • Changement des ports
  • Sauf pour contacter MU
  • Infrastructure et plateforme
  • Option en ligne de commande pour déclencher une
    détection côté client wuauclt.exe /detectnow
  • API du client en COM exécutables à distance et
    scriptables
  • API du serveur basées sur .Net Framework

43
Exemple de script
  • Le serveur et le client exposent tous les deux
    des API scriptables
  • Dim update, i
  • set AutoUpdate CreateObject("Microsoft.Update.Au
    toUpdate")
  • Autoupdate.DetectNow()
  • set UpdateSession CreateObject("Microsoft.Update
    .Session")
  • set UpdateSearcher UpdateSession.CreateUpdateSea
    rcher()
  • set SearchResult UpdateSearcher.Search("")
  • set Updates SearchResult.Updates
  • set UpdatesToInstall CreateObject("Microsoft.Upd
    ate.UpdateColl")
  • For i 0 to (Updates.Count-1)
  • UpdatesToInstall.Add(Updates.Item(i))
  • Next
  • set Installer UpdateSession.CreateUpdateInstalle
    r()
  • Installer.Updates UpdatesToInstall
  • set InstallationResult Installer.Install()

Détection
Approbation
Installation
44
Suggestions
45
Mises à jour de serveursSuggestions
  • Définir des groupes cibles (GPO ou interface
    dadministration WSUS)
  • Configurer les clients Mises à jour automatiques
    (GPO ou registre)
  • Installation auto ou notification avant
    installation
  • Si notification, ouverture de session ou script
    pour installation

46
Mises à jour de serveursSuggestions
  • Pour les serveurs avec des fenêtres de
    maintenance, configurer les Mises à jour
    automatiques pour une installation planifiée
    durant la fenêtre
  • Pour les serveurs sans créneaux de maintenance
  • Configurer les Mises à jour automatiques pour
    notifier avant linstallation
  • Ouvrir une session sur le serveur ou utiliser les
    API pour effectuer linstallation lorsque cest
    nécessaire

47
Mises à jour de serveursSuggestions
  • Datacenters
  • Utiliser les stratégies BITS pour limiter la
    bande passante et les fenêtres de téléchargement
  • Configurer les Mises à jour automatiques pour
    notifier avant linstallation
  • Utiliser les API pour effectuer linstallation
    lorsque cest nécessaire
  • Clusters
  • Scripter la mise à jour nud après noeud

48
Connexion à Microsoft Update
  • Ouverture du pare-feu
  • HTTP 80 et HTTPS 443 pour joindre les serveurs
    Microsoft sur le Web
  • Liste des domaines
  • http//windowsupdate.microsoft.com
  • http//.windowsupdate.microsoft.com
  • https//.windowsupdate.microsoft.com
  • http//.update.microsoft.com
  • https//.update.microsoft.com
  • http//.windowsupdate.com
  • http//download.windowsupdate.com
  • http//download.microsoft.com
  • http//.download.windowsupdate.com
  • http//wustat.windows.com
  • http//ntservicepack.microsoft.com

49
Filtrage dURL (type URLScan)
  • Si vous lutilisez, il faut
  • autoriser les extensions de type .exe (les
    enlever de la section DenyExtensions
  • Autoriser dans AllowVerbs
  • GET
  • HEAD
  • POST
  • OPTIONS

50
Dimensionnement du serveur
Jusquà 500 clients
De 500 à 15 000 clients
51
Espace disque
  • NTFS requis
  • Partition système 1 Go libre au moins
  • Partition stockant le contenu WSUS 6 Go mini
    (30 Go recommandés)
  • Partition où la base de données sera installée
    2 Go minimum

52
Installation
  • Vue des différentes étapes de lassistant
    dinstallation (document Step by step guide to
    getting started with Microsoft Windows Server
    Update Services)

53
Maîtrise bande passante espace
disqueSuggestions
  • Limiter la bande passante et lespace disque
  • Choix des types de mise à jour dans labonnement
  • Choix des langues
  • Télécharger seulement les méta-données sans les
    correctifs (les correctifs sont téléchargés quand
    ils sont approuvés)
  • Utiliser les installations express (deltas) ou pas

54
Groupes dordinateursSuggestions
  • Groupes cibles
  • Diviser les machines par catégories de machines
    relativement homogènes
  • A lintérieur de chaque catégorie, définir un
    groupe Pilote et un groupe Production
  • Préférer la répartition par GPO plutôt que par
    clé de registre

55
Configuration du clientSuggestions
  • Choix de linstallation automatisée (sauf
    exceptions, dans ce cas obliger à utiliser
    AutoUpdate sans forcer le moment de
    linstallation)
  • Appartenance à un groupe cible via GPO

56
Configuration du clientSuggestions
  • Choix de lheure dinstallation (possibilité de
    répartir les heures selon les machines via GPO,
    ce qui laisse loccasion détaler linstallation
    sur le groupe Production et éventuellement de
    détecter déventuels problèmes)
  • Fréquence de détection configurable (du client
    vers le serveur, de 1H à 22H, par défaut 22H et
    durée effective tirée aléatoirement entre 80 et
    100 de la durée indiquée) 12H pour la
    production et 1H pour le Pilote
  • Délai de redémarrage et intervalle avant nouvelle
    demande de redémarrage (si redémarrage repoussé)
    45 min

57
Configuration du clientSuggestions
  • Notification pour les non administrateurs (en
    fonction du mode dinstallation) désactivé
  • Pas de redémarrage planifié (pour laisser
    lutilisateur redémarrer quand il le veut)
    désactivé
  • Replanifier les installations planifiées (après
    redémarrage) 25 min
  • Autoriser linstallation immédiate des mises à
    jour automatiques oui sur le Pilote, non sur la
    production

58
Approbation de mise à jourSuggestions
  • Vérification avant déploiement (détection) à
    utiliser largement sur Production
  • Installation pour les mises à jour normales
  • Installation avec date butoir pour les mises à
    jour de sécurité critiques (positionnement à date
    de sortie du bulletin 9 jours)
  • Désinstallation à vérifier via rapports après
    coup (cycle complet de détection, soit 22H par
    défaut)
  • Re-approbation automatique (utiliser ou non
    automatiquement la nouvelle révision de mise à
    jour) désactivé (attention surveiller
    loccurrence de ces mises à jour)

59
Choisir une solution de gestion des correctifs
 
utilisation de Windows Update, d'un autre outil
de mise à jour ou mise à jour manuelle pour les
systèmes et applications non supportés par WSUS
ou Microsoft Update
60
Migration de SUS1 vers WSUS
  • Pas de mise à jour mais une migration des mises à
    jour et des approbations (et cest tout)
  • WSUSutil.exe
  • SUS1 et WSUS peuvent cohabiter sur un même
    serveur

61
Limites de la migration
  • WSUS et SUS 1.0 ne peuvent pas synchroniser leurs
    méta données lun avec lautre
  • Pas de migration des paramètres de proxy
  • Pas de migration des paramètres dIIS
  • Migration unidirectionnelle de SUS 1.0 vers WSUS
  • La migration des approbations de mises à jour
    écrase les approbations existantes dun groupe
    dordinateurs

62
Migration avec un seul serveur
  • Pour économiser le nombre de serveurs
  • Nécessite dinstaller WSUS sur un port différent
    de SUS 1.0
  • Nécessite la mise à jour des clients au fur et à
    mesure quils se connectent au serveur WSUS
  • Redirection des clients vers un port différent du
    même serveur
  • Les clients utilisent toujours SUS 1.0 pour les
    mises à jour jusquà ce quils soient redirigés
    vers le port de WSUS, ou que SUS 1.0 soit retiré

63
Ressources
64
Références
  • Site sécurité http//www.microsoft.com/france/se
    curite
  • Newsgroup microsoft.public.fr.update_services
  • Gestion des mises à jour de sécurité
    http//www.microsoft.com/france/technet/securite
    /gestionmaj/default.asp
  • Wiki WSUS www.wsuswiki.com
  • Site WSUS (en anglais) http//www.microsoft.com
    /windowsserversystem/updateservices
  • Téléchargement des fichiers dinstallation
  • Livres blancs
  • Step-by-Step Guide to Getting Started with
    Microsoft Windows Server Update Services
  • Deploying Microsoft Windows Server Update
    Services
  • Microsoft Windows Server Update Services
    Operations Guide
  • Outils de dépannage http//www.microsoft.com/win
    dowsserversystem/updateservices/techinfo/default.m
    spx

65
Microsoft France 18, avenue du Québec 91 957
Courtaboeuf Cedex www.microsoft.com/france 0
825 827 829 msfrance_at_microsoft.com
Write a Comment
User Comments (0)
About PowerShow.com