Title: Windows Server Update Services WSUS
1Windows Server Update Services (WSUS)
Cyril Voisin Chef de programme Sécurité Microsoft
France
2La stratégie sécurité de Microsoft
Mise à jour avancée
Conseils, Outils, Réponse
3Amélioration des mises à jour
Simplifier le processus de mise à jour
- Diminuer les coûts de mise à jour tout en
augmentant lefficacité - Moins dinstallateurs et taille réduite
- Outils améliorés pour lévaluation et le
déploiement - Étendus à toutes les technologies Microsoft
4Zoom sur les vers et vulnérabilités
- Prolifération des correctifs
- Temps avant exploitation en baisse
- Exploitations plussophistiquée
- Lapproche classique nest pas suffisante
5Améliorer la gestion des correctifs
Votre besoin
Notre réponse
6Mises à jour
Microsoft Update(Windows Update)
Download Center
Windows Update
Office Update
VS Update
Hier
Maintenant
Windows, SQL, Exchange, Office
Update Services
SUS
SMS
Windows seulement
Windows, SQL, Exchange, Office
Windows seulement
7Processus de gestion des correctifs
2. Identifier de nouveaux correctifs Tâches A.
Identifier de nouveaux correctifs B. Déterminer
la pertinence des correctifs C. Vérifier
l'authenticité et l'intégrité des correctifs
1. Évaluer l'environnement auquel le correctif
doit être appliqué Tâches périodiques A.
Créer/tenir à jour des systèmes de référence B.
Évaluer l'architecture de gestion des
correctifs C. Passer en revue l'infrastructure/
la configuration Tâches en cours A. Découvrir
les ressources B. Clients d'inventaire
1. Évaluer
2. Identifier
3. Estimer et planifierle déploiement des
correctifs Tâches A. Obtenir l'approbation
nécessaire à déployer le correctif B. Évaluer
les risques C. Planifier le processus de
publication des correctifs D. Test pour
l'acceptation du correctif terminé
3. Estimer et planifier
4. Déployer
4. Déployer le correctif Tâches A. Distribuer et
installer le correctif B. Rédiger un rapport sur
l'avancement C. Traiter les exceptions D. Passer
en revue le déploiement
8Automatic Updates (AU)
- Service de Mises à jour automatiques (le client
de WSUS)
9Automatic Updates (AU)Description
- Service local (Mises à jour automatiques)
automatisant laccès à WU permettant - Dobtenir automatiquement les mises à jour
critiques et de sécurité de Windows dont elle a
besoin - De les installer automatiquement (si le
propriétaire de la machine le souhaite) - Quand on le connecte à WU (ou MU) à destination
du grand public et des TPE - Quand on le connecte à WSUS, cest LE client WSUS
(à destination des PME principalement)
10Client Mises à jour automatiques (AutoUpdate)
- Principe
- se connecte à Windows Update, Microsoft Update ou
un serveur WSUS pour maintenir la machine à jour - Mode pull
- Disponible pour
- Windows Server 2003
- Windows 2000 SP3
- Windows XP SP1
11Installation à larrêt (XP SP2)
- Profiter de larrêt de la machine pour la
maintenir à jour - Contrôlé par stratégie de groupe
12Configuration des clients
- Par stratégie de groupe ou par registre
- Configurer les Mises à jour automatiques
(AutoUpdate) - Modes dinstallation
- Notifier avant téléchargement/installation
- Télécharger puis notifier pour installation
- Télécharger et installer automatiquement selon la
planification - Autoriser les administrateurs locaux à choisir le
mode de configuration (sans pouvoir désactiver
AutoUpdate)
13Configuration des clients
- Fréquence de détection configurable (du client
vers le serveur) - 22 heures par défaut minimum 1 heure (charge sur
le serveur) - La durée réelle entre deux détections sera
déterminée aléatoirement entre 80 et 100 de la
durée paramétrée - Délai de redémarrage et intervalle avant nouvelle
demande de redémarrage (si redémarrage repoussé) - Notification pour les non administrateurs (en
fonction du mode dinstallation)
- Pas de redémarrage planifié (pour laisser
lutilisateur redémarrer quand il le veut) - Replanifier les installations planifiées (ex 5
min après redémarrage) - Autoriser linstallation immédiate des mises à
jour automatiques - Notifie lutilisateur si redémarrage nécessaire
14Dépannage
- Vérifier le démarrage du service
- Vérifier la configuration du client
- Via linterface graphique (Propriétés du Poste de
travail, onglet Mises à jour automatiques) - Si stratégie de groupe, vérifier son application
(gpresult) - Si rafraîchissement de stratégie de groupe
nécessaire gpupdate /force - Regarder
- Journal des événements
- windir\WindowsUpdate.log
- windir\SoftwareDistribution\ReportingEvents.log
- Forcer une détection wuauclt.exe /detectnow
- Réinitialiser le cookie et forcer une détection
wuauclt.exe /resetauthorization /detectnow
15Windows Server Update Services (WSUS, ex SUS 2.0)
- Serveur de gestion de mises à jour
16Objectifs de WSUS (SUS 2.0)
- Construire linfrastructure de base de la gestion
des mises à jour - Créer une solution facile dutilisation,
néanmoins complète, pour télécharger et
distribuer des mises à jour de produits Microsoft - Critiques ou non
- Rapports centralisés
- Garantie de linstallation
- Dépannage
- Systèmes ou applications
- Répondre à vos demandes par rapport à la version
SUS 1.0 (qui ne prend en charge que les mises à
jour critiques ou sécurité de Windows)
17Les fonctionnalités demandées par nos clients
En partie possible via le réglage de la
fréquence de détection et des scripts
18Produits supportés
- Client WSUS
- Windows
- Windows 2000 SP3
- Windows XP
- Windows Server 2003 (SP1 mini pour versions 64
bits) - Office
- Office XP SP2 et Office 2003
- SQL Server
- SQL 2000 et MSDE 2000
- Exchange Server
- Exchange Server 2003
- A terme, plus de produits Microsoft (comme ISA
Server 2004 par exemple)
19Produits supportés
- Server WSUS
- Windows Server 2003 (32 bits)
- IIS6
- BITS 2.0 for Windows Server 2003 (pas encore
dispo en version finale) - .NET Framework 1.1 SP1 for Windows Server 2003
- Windows 2000 Server SP4
- IIS5
- BITS 2.0 for Windows 2000 (pas encore dispo en
version finale) - Base de données 100 compatible SQL Server (ex
MSDE 2000) - IE 6.0 SP1
- .NET Framework 1.1 avec SP1
20Aperçu de la solution WSUS
Microsoft Update(utilise WSUS)
Serveur WSUS
Postes de travail (clients WSUS) Groupe cible 1
Serveurs (clients WSUS)Groupe cible 2
Administrateur WSUS
Ladministrateur met les clients dans différents
groupes cibles
Ladministrateur approuve les mises à jour
Ladministrateur souscrit à certaines catégories
de mises à jour
Le serveur télécharge les mises à jour depuis
Microsoft Update
Les clients senregistrent auprès du serveur
Les clients installent les mises à jour
approuvées par ladministrateur
21Client AU
- Possibilité de mise à jour silencieuse du client
à partir du serveur WSUS - Configurer les Mises à jour automatiques
(AutoUpdate) en spécifiant un serveur intranet de
Mise à jour Microsoft - Ciblage (GPO ou pas)
- Attention Windows XP sans Service Pack
22Pré-installation (selfupdate)
23Groupes cibles
- Utilité cibler des mises à jour sur des
machines spécifiques - Groupe cible de test
- Groupe cible de production
- Deux types de ciblage
- Côté serveur
- Ladministrateur WSUS gère lappartenance aux
groupes depuis le site dadministration (listes
sur le serveur) - Côté client
- Appartenance gérée automatiquement
- En utilisant des stratégies de groupe (même
groupe pour toutes les machines dune même UO
dActive Directory) - En utilisant le registre
24Abonnements
- Permet de choisir quelles mises à jour
télécharger et quand - Produit / Type de mise à jour (sécu, SP,FP,
pilote,etc) - En fait une mise à jour est composée de deux
éléments - Un correctif
- Les méta données décrivant le correctif
- Par défaut
- seules les méta données sont téléchargées
(catalogue) - les correctifs sont téléchargés sils sont
approuvés (contenu) - Synchro
- Manuelle
- Automatique
25Approbation de mise à jour
- Vérification avant déploiement (détection)Évalue
limpact dune mise à jour sur le réseau avant
quelle ne soit déployée - Au niveau de lapprobation dune mise à jour,
choisir laction Detect only - Après un cycle de détection des clients, la
rubrique Status de la mise à jour indique le
nombre de machines qui nécessitent la mise à jour - Installation lors de la prochaine date planifiée
- Installation avec date butoir (passée une date
donnée, linstallation devient obligatoire si on
utilise AU quel que soit le mode, auto ou pas) - Désinstallation (nécessite que la mise à jour le
supporte)
26Approbation automatique ?
- Par défaut, détection automatique pour
- Les mises à jour critiques et de sécurité
- Tous les groupes cibles
- Par défaut, aucune approbation automatique pour
linstallation - On pourrait choisir des types de mises à jour, et
des groupes cibles - En cas de révision dune mise à jour, la nouvelle
version obtient le même niveau dapprobation que
lancienne (désactivable pour effectuer un choix
manuel)
27Rapports
- Rapport standard consolidé (activités clients)
- Par machine / par mise à jour / par groupe cible
- Succès et échecs des téléchargements et
installations avec les détails sur les erreurs - Rapport sur les synchros
- Nouveautés, changements
28(No Transcript)
29(No Transcript)
30démo WSUS
31Installation avec date butoir
32Communications
- Configuration des paramètres de proxy
(éventuellement compte mot de passe) - Faible utilisation de la bande passante
- BITS pour les téléchargements client-serveur et
serveur-serveur - Mise à jour par abonnement (par produit/par
type) - Support des technologies delta compression
- Téléchargement dissocié des correctifs et de
leurs méta données - Port utilisé 80 ou 8530 (attention, dans ce cas
pour mettre à jour de vieux clients, il faut
maintenir un site sur le port 80)
33Options de déploiement des serveurs
- Déploiement hiérarchique
- Serveurs indépendants
- Serveurs miroirs ( replica )
- Serveurs non connectés à Internet
34Serveurs WSUS
Microsoft Update
Serveur WSUS
Serveur WSUS
35Hiérarchie
- Attention il est conseillé de ne pas dépasser 3
niveaux dans la hiérarchie pour des questions de
latence de propagation des mises à jour - Mode replica (miroir), ou pas, se définit à
linstallation seulement
36Serveurs non connectés
Microsoft Update
Serveur WSUS
Serveur WSUS (autonome)
Importation et exportationmanuelles
37Procédure
- Sassurer que sur les serveurs les options
avancées de synchronisation (installation
express, langues) sont les mêmes - Pas de problème pour le planning, les catégories
de produits, le proxy - Copier les mises à jour depuis \WSUS\WSUSContent
(utilitaire de sauvegarde de Windows, en mode
incrémental par ex.) - Exporter les méta données de la base de données
- WSUSutil.exe (32 bits seulement il faut être
admin) - Copier le contenu sur le serveur destination
- Puis importer les méta données avec WSUSutil.exe
38Stockage
- Base de données pour gérer tout ce qui nest pas
contenu - Prise en compte des dépendances entre les mises à
jour - MSDE vs SQL Server
- MSDE a une limite de 2Go
- Mises à jour hébergées sur Microsoft Update (WSUS
sert alors seulement de point de contrôle) ou en
local - Filtrage de contenu
- Ne garder que les plateformes et langues dont
vous avez besoin - Dimensionnement
- Prévoir une croissance annuelle x nb de langues
39Sécurité
- Sur le client et sur le serveur
- Vérification de signature des contenus
téléchargés - Permissions sur les contenus téléchargés
- Mise en place de SSL pour léchange des
métadonnées - A faire sur votre serveur (mentionné sur la page
daccueil)
40Mise en place de SSL ?
- Pour protéger le transfert des méta données
- Ne pas appliquer sur tout le site car une partie
du trafic doit se faire en HTTP (en clair) - SSL sur
- SimpleAuthWebService
- DSSAuthWebService
- ServerSyncWebService
- WSUSAdmin
- ClientWebService
- Mais pas sur
- Content
- ReportingWebService
- SelfUpdate
- Port 443 ou 8531 (si port personnalisé en 8530
pour le trafic normal) - Sur les serveurs subordonnés, importer le
certificat dans le magasin des autorités de
certification racines de confiance de
lordinateur local ou dans le magasin des
autorités de certification racines de confiance
de Windows Server Update Services
41Mise en place de SSL ?
- Inconvénients
- Perte de 10 de performance sur le serveur
- La connexion entre le serveur et la base de
données nutilise pas SSL - Les mettre sur la même machine
- Ou sur un même réseau privé
- Ou utiliser IPsec
- Configuration des clients
- Changer lURL du serveur WSUS (ex
https//monserveurWSUS) - Importation du certificat dans le magasin des
autorités de certification racines de confiance
de lordinateur local ou dans le magasin des
autorités de certification racines de confiance
du service Mises à jour automatiques
42Flexibilité
- Changement des ports
- Sauf pour contacter MU
- Infrastructure et plateforme
- Option en ligne de commande pour déclencher une
détection côté client wuauclt.exe /detectnow - API du client en COM exécutables à distance et
scriptables - API du serveur basées sur .Net Framework
43Exemple de script
- Le serveur et le client exposent tous les deux
des API scriptables - Dim update, i
- set AutoUpdate CreateObject("Microsoft.Update.Au
toUpdate") - Autoupdate.DetectNow()
- set UpdateSession CreateObject("Microsoft.Update
.Session") - set UpdateSearcher UpdateSession.CreateUpdateSea
rcher() - set SearchResult UpdateSearcher.Search("")
- set Updates SearchResult.Updates
- set UpdatesToInstall CreateObject("Microsoft.Upd
ate.UpdateColl") - For i 0 to (Updates.Count-1)
- UpdatesToInstall.Add(Updates.Item(i))
- Next
- set Installer UpdateSession.CreateUpdateInstalle
r() - Installer.Updates UpdatesToInstall
- set InstallationResult Installer.Install()
Détection
Approbation
Installation
44Suggestions
45Mises à jour de serveursSuggestions
- Définir des groupes cibles (GPO ou interface
dadministration WSUS) - Configurer les clients Mises à jour automatiques
(GPO ou registre) - Installation auto ou notification avant
installation - Si notification, ouverture de session ou script
pour installation
46Mises à jour de serveursSuggestions
- Pour les serveurs avec des fenêtres de
maintenance, configurer les Mises à jour
automatiques pour une installation planifiée
durant la fenêtre - Pour les serveurs sans créneaux de maintenance
- Configurer les Mises à jour automatiques pour
notifier avant linstallation - Ouvrir une session sur le serveur ou utiliser les
API pour effectuer linstallation lorsque cest
nécessaire
47Mises à jour de serveursSuggestions
- Datacenters
- Utiliser les stratégies BITS pour limiter la
bande passante et les fenêtres de téléchargement - Configurer les Mises à jour automatiques pour
notifier avant linstallation - Utiliser les API pour effectuer linstallation
lorsque cest nécessaire - Clusters
- Scripter la mise à jour nud après noeud
48Connexion à Microsoft Update
- Ouverture du pare-feu
- HTTP 80 et HTTPS 443 pour joindre les serveurs
Microsoft sur le Web - Liste des domaines
- http//windowsupdate.microsoft.com
- http//.windowsupdate.microsoft.com
- https//.windowsupdate.microsoft.com
- http//.update.microsoft.com
- https//.update.microsoft.com
- http//.windowsupdate.com
- http//download.windowsupdate.com
- http//download.microsoft.com
- http//.download.windowsupdate.com
- http//wustat.windows.com
- http//ntservicepack.microsoft.com
49Filtrage dURL (type URLScan)
- Si vous lutilisez, il faut
- autoriser les extensions de type .exe (les
enlever de la section DenyExtensions - Autoriser dans AllowVerbs
- GET
- HEAD
- POST
- OPTIONS
50Dimensionnement du serveur
Jusquà 500 clients
De 500 à 15 000 clients
51Espace disque
- NTFS requis
- Partition système 1 Go libre au moins
- Partition stockant le contenu WSUS 6 Go mini
(30 Go recommandés) - Partition où la base de données sera installée
2 Go minimum
52Installation
- Vue des différentes étapes de lassistant
dinstallation (document Step by step guide to
getting started with Microsoft Windows Server
Update Services)
53Maîtrise bande passante espace
disqueSuggestions
- Limiter la bande passante et lespace disque
- Choix des types de mise à jour dans labonnement
- Choix des langues
- Télécharger seulement les méta-données sans les
correctifs (les correctifs sont téléchargés quand
ils sont approuvés) - Utiliser les installations express (deltas) ou pas
54Groupes dordinateursSuggestions
- Groupes cibles
- Diviser les machines par catégories de machines
relativement homogènes - A lintérieur de chaque catégorie, définir un
groupe Pilote et un groupe Production - Préférer la répartition par GPO plutôt que par
clé de registre
55Configuration du clientSuggestions
- Choix de linstallation automatisée (sauf
exceptions, dans ce cas obliger à utiliser
AutoUpdate sans forcer le moment de
linstallation) - Appartenance à un groupe cible via GPO
56Configuration du clientSuggestions
- Choix de lheure dinstallation (possibilité de
répartir les heures selon les machines via GPO,
ce qui laisse loccasion détaler linstallation
sur le groupe Production et éventuellement de
détecter déventuels problèmes) - Fréquence de détection configurable (du client
vers le serveur, de 1H à 22H, par défaut 22H et
durée effective tirée aléatoirement entre 80 et
100 de la durée indiquée) 12H pour la
production et 1H pour le Pilote - Délai de redémarrage et intervalle avant nouvelle
demande de redémarrage (si redémarrage repoussé)
45 min
57Configuration du clientSuggestions
- Notification pour les non administrateurs (en
fonction du mode dinstallation) désactivé - Pas de redémarrage planifié (pour laisser
lutilisateur redémarrer quand il le veut)
désactivé - Replanifier les installations planifiées (après
redémarrage) 25 min - Autoriser linstallation immédiate des mises à
jour automatiques oui sur le Pilote, non sur la
production
58Approbation de mise à jourSuggestions
- Vérification avant déploiement (détection) à
utiliser largement sur Production - Installation pour les mises à jour normales
- Installation avec date butoir pour les mises à
jour de sécurité critiques (positionnement à date
de sortie du bulletin 9 jours) - Désinstallation à vérifier via rapports après
coup (cycle complet de détection, soit 22H par
défaut) - Re-approbation automatique (utiliser ou non
automatiquement la nouvelle révision de mise à
jour) désactivé (attention surveiller
loccurrence de ces mises à jour)
59Choisir une solution de gestion des correctifs
utilisation de Windows Update, d'un autre outil
de mise à jour ou mise à jour manuelle pour les
systèmes et applications non supportés par WSUS
ou Microsoft Update
60Migration de SUS1 vers WSUS
- Pas de mise à jour mais une migration des mises à
jour et des approbations (et cest tout) - WSUSutil.exe
- SUS1 et WSUS peuvent cohabiter sur un même
serveur
61Limites de la migration
- WSUS et SUS 1.0 ne peuvent pas synchroniser leurs
méta données lun avec lautre - Pas de migration des paramètres de proxy
- Pas de migration des paramètres dIIS
- Migration unidirectionnelle de SUS 1.0 vers WSUS
- La migration des approbations de mises à jour
écrase les approbations existantes dun groupe
dordinateurs
62Migration avec un seul serveur
- Pour économiser le nombre de serveurs
- Nécessite dinstaller WSUS sur un port différent
de SUS 1.0 - Nécessite la mise à jour des clients au fur et à
mesure quils se connectent au serveur WSUS - Redirection des clients vers un port différent du
même serveur - Les clients utilisent toujours SUS 1.0 pour les
mises à jour jusquà ce quils soient redirigés
vers le port de WSUS, ou que SUS 1.0 soit retiré
63Ressources
64Références
- Site sécurité http//www.microsoft.com/france/se
curite - Newsgroup microsoft.public.fr.update_services
- Gestion des mises à jour de sécurité
http//www.microsoft.com/france/technet/securite
/gestionmaj/default.asp - Wiki WSUS www.wsuswiki.com
- Site WSUS (en anglais) http//www.microsoft.com
/windowsserversystem/updateservices - Téléchargement des fichiers dinstallation
- Livres blancs
- Step-by-Step Guide to Getting Started with
Microsoft Windows Server Update Services - Deploying Microsoft Windows Server Update
Services - Microsoft Windows Server Update Services
Operations Guide -
- Outils de dépannage http//www.microsoft.com/win
dowsserversystem/updateservices/techinfo/default.m
spx
65Microsoft France 18, avenue du Québec 91 957
Courtaboeuf Cedex www.microsoft.com/france 0
825 827 829 msfrance_at_microsoft.com