La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Bienvenue.

Publié parGuillaume Lepage Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "Bienvenue."— Transcription de la présentation:

1 Bienvenue

2 Qu’est ce que TechNet ? Un site Web très orienté technique
Une newsletter personnalisable Des séminaires techniques toute l’année, partout en France Des Webcasts accessibles à tout instant Un abonnement

3 Administration et déploiement des correctifs avec Windows Server Update Services et System Management Server 2003 Animateur

4 Logistique Vos questions sont les bienvenues.
N’hésitez pas ! Pause en milieu de session Feuille d’évaluation à remettre remplie en fin de session Cédérom Merci d’éteindre vos téléphones Commodités

5 Agenda Partie 1 : Introduction et rappels
Partie 2 : Windows Server Update Services (ex WUS, ex SUS 2.0) Partie 3 : SMS 2003 Partie 4 : Synthèse - comparaison de MU/WSUS/SMS

6 Sommaire Partie 1 : Introduction et rappels
Partie 2 : Windows Server Update Services Partie 3 : System Management Servers 2003 Partie 4 : Synthèse - comparaison de MU/WSUS/SMS

7 Les 3 facettes de la sécurité
Technologies Windows 2000/XP/2003 Active Directory Service Packs Correctifs IPSEC Kerberos PKI DFS EFS SSL/TLS Clusters Détection d’intrusion SMS MOM ISA Antivirus GPO Archivage Politique d’accès Installation Réparation Gestion des événements Gestion des perfs Gestion du Changement / de la Configuration Processus Restauration Sauvegarde Réponse à Incident Microsoft Operations Framework Evaluation de risques Protection Détection Défense Récupération Gestion Architecture sécurisée Personnes Admin. de l’Entreprise Admin. Du Domaine Service/ Support Développeur Utilisateur

8 Les différents types de correctif

9 Processus de gestion des correctifs
1. Évaluer l'environnement auquel les correctifs doivent être appliqués A. Créer/tenir à jour des systèmes de référence B. Évaluer l'architecture de gestion des correctifs C. Passer en revue l'infrastructure/ la configuration 2. Identifier de nouveaux correctifs A. Identifier de nouveaux correctifs B. Déterminer la pertinence des correctifs C. Vérifier l'authenticité et l'intégrité des correctifs 1. Analyser 2. Identifier 4. Déployer le correctif A. Distribuer et installer le correctif B. Rédiger un rapport sur l'avancement C. Traiter les exceptions D. Passer en revue le déploiement 3. Évaluer les correctifs et planifier leur déploiement A. Obtenir l'approbation nécessaire pour déployer B. Évaluer les risques C. Tester les correctifs D. Planifier la publication 3. Évaluer et planifier 4. Déployer Le processus de gestion des correctifs en entreprise : méthodes recommandées

10 Solutions multiples, nombre de produits limité
Gestion des correctifs hier Solutions multiples, nombre de produits limité Windows Update/Office Update Solutions Web pour l’utilisateur final Software Update Services (SUS) 1.0 Intermédiaire entre Windows Update et Automatic Updates (contrôle des mises à jour) Microsoft Baseline Security Analyzer (MBSA) 1.2.1 Détecte les mises à jour de sécurité pour 16 produits Détecte les vulnérabilités liées aux configurations pour 7 produits Systems Management Server 2003 SUS Feature Pack (uniquement les mises à jour Windows) MBSA pour la détection des autres mises à jour de sécurité Enterprise Update Scan Tool (EST) Détecte les mises à jour de sécurité critiques et importantes Compatible avec SMS

11 Agent unifié, support produits étendus
Gestion des correctifs aujourd’hui Agent unifié, support produits étendus Microsoft Update (MU) version “Hosted” de Update Services Solution Web pour l’utilisateur final Windows Server Update Services (WSUS) Infrastructure pour les mises à jour produits et outils Solution évoluée de mises à jour pour la plate forme Microsoft Microsoft Baseline Security Analyzer (MBSA) 2.0 Outil d’analyse sans la nécessité d’un serveur Systems Management Server 2003 Outil d’inventaire pour les mises à jour Microsoft

12 Sommaire Partie 1 : Introduction et rappels
Partie 2 : Windows Server Update Services (ex WUS, ex SUS 2.0) Partie 3 : SMS 2003 Partie 4 : Synthèse - comparaison de MU/WSUS/SMS

13 Qu’est ce que Update Services?
Offre d’entreprise de gestion des mises à jour Obtenir le contenu du service Microsoft Update Composant téléchargeable sur le web (RTW) de Windows Server Pas de coût licences Windows Server (2000 et ultérieur) Nécessite une licence Windows Server / CAL pour les systèmes cibles Ne modifie pas les offres existantes SUS 1.0 continue d’obtenir son contenu de Windows Update (  déc. 2006) Composant principal des solutions de gestion des correctifs et mises à jour Microsoft.

14 Objectifs et principes de conception
Délivrer une solution “simple d’utilisation” totalement fonctionnelle permettant de répondre au besoin de gestion de mises à jour des produits Automatiser le plus possible le processus de mises à jour Supporter plus que les patches Windows Répondre aux demandes des clients utilisant SUS 1.0 A destination de l’administrateur mais aussi de l’IT généraliste Construire l’infrastructure de base “core” pour le patch management de la plate forme Windows Utiliser par d’autres outils ( ie SMS & MBSA) Ensemble complet d’APIs permettant d’étendre et de personnaliser l’application Montée en charge ( à l’image de Microsoft Update)

15 Vue d’ensemble Microsoft Update Serveur WSUS
Groupe 1 cible Postes clients Administrateur WSUS Groupe 2 cible Serveurs Administrateur approuve les mises à jour Agents installent les mises à jour approuvées par l’administrateur Serveur télécharge les mises à jour de Microsoft Update Clients s’enregistrent aux-mêmes avec le serveur Administrateur souscrit aux catégories de mises à jour Administrateur place les clients dans des groupes cibles

16 Mises à jour supportées
Contenu Windows, Office, SQL, Exchange à la RTM Des produits additionnels viendront par la suite Plate-formes OS Client/agent Windows 2000 SP3 et ult., Windows XP RTM et ult. (incl. XP embedded et XP x64) Windows 2003 RTM (32-bit seulement), Windows 2003 SP1 (x64 et ia64) Serveur Windows 2000 SP4 et ultérieur Windows 2003 RTM et ultérieur (32-bit seulement) Localisation Client est localisé en 25 versions Serveur est localisé en 17 versions Support de la MUI Support de la delta compression

17 Fonctionnalités: contrôle
Administrateur défini des groupes cibles Utilisation des stratégies de groupe pour ce faire dans l’environnement AD Au travers de l’interface d’administration de WSUS pour les environnement non AD Administrateur contrôle les approbations “Détection seulement” évaluation des machines qui nécessite l’application d’un patch Approbation pour l’installation et la désinstallation (pas toujours possible) Installation sur date butoir Approbation par groupe cible: Différentes mises à jour vers différents groupes cibles Différentes dates butoirs par groupe cible Différentes actions par groupe cible

18 Fonctionnalités: Configuration de l’ Agent
Configuration flexible de l’Agent Fréquence de polling Notification et type d’installation “Comportement” vis-à-vis du reboot Port configurable Non-administrateurs peuvent installer des mises à jour (comme les administrateurrs) Installation à l’arrêt (XP SP2 et Windows 2003 SP1 seulement)

19 Fonctionnalités: Optimisation réseau
Résilient et transparent BITS* pour téléchargement client-serveur et serveur-serveur Téléchargements se font en fond de tache (background) Téléchargement minimale des mises à jour Suscriptions aux mises à jour – téléchargement des mises à jour pour les produits, classifications et langues que *vous* avez besoin Support de la technologie “delta compression” pour les communications Option client-serveur pour téléchargement uniquement les mises à jour approuvées (download on demand) Option pour télécharger uniquement le catalogue des mises à jour et la détection – binaires sur MU *Background Intelligent Transfer Service

20 Installation Serveur WSUS Windows Server 2003 (32 bits)
IIS6 BITS 2.0 for Windows Server 2003 .NET Framework 1.1 SP1 for Windows Server 2003 Windows 2000 Server SP4 IIS5 BITS 2.0 for Windows 2000 Base de données 100% compatible SQL Server (ex : MSDE 2000) IE 6.0 SP1 .NET Framework 1.1 avec SP1 Client WSUS Agent Windows Update : mise à jour automatique du client Windows Update (= self-update) Windows 2000 SP3 et +, Windows XP et +, Windows 2003 et +

21 Démonstration : console d’administration

22 WSUS- Notions fondamentales
Client Mises à jour automatiques Groupes cibles Abonnement Approbation de mise à jour Rapports APIs

23 Automatic Updates (AU) Agent Windows Update
Service local (Mises à jour automatiques) automatisant l’accès à WU/MU permettant D’obtenir automatiquement les mises à jour critiques et de sécurité de Windows dont elle a besoin De les installer automatiquement (si le propriétaire de la machine le souhaite) Agent Windows Update Quand on le connecte à Windows Update (ou Microsoft Update) : à destination du grand public et des TPE Quand on le connecte à WSUS, c’est LE client WSUS (à destination des PME principalement) AU est LE client WSUS WU = Windows Update MU = Microsoft Update

24 Client mise à jour automatiques AutoUpdate
Principe : se connecte à Windows Update, Microsoft Update ou un serveur WSUS pour maintenir la machine à jour Config. GPO Par script Mode pull Nouvelle version dans Windows XP SP2 (permet l’installation avant arrêt) Disponible pour Windows Server 2003 Windows 2000 SP3 et + Windows XP* et + Possibilité de mise à jour silencieuse du client à partir du serveur WSUS Possibilité de mise à jour silencieuse de l’agent en version 2.0 à partir du serveur WSUS Configurer les Mises à jour automatiques (AutoUpdate) en spécifiant un serveur intranet de Mise à jour Microsoft Ciblage (GPO ou pas) Attention : Windows XP sans Service Pack

25 Pré installation (self-update)
Les 2 composants sont dans le SP2 de XP

26 Configuration des clients
Par stratégie de groupe ou par registre Configurer les mises à jour automatiques (AutoUpdate) en spécifiant un serveur intranet de mise à jour Microsoft Modes d’installation : Notifier avant le téléchargement/installation Télécharger puis notifier pour l’ installation Télécharger et installer automatiquement selon la planification Autoriser les administrateurs locaux à choisir le mode de configuration (sans pouvoir désactiver AutoUpdate)

27 Configuration des clients
Fréquence de détection configurable (du client vers le serveur) : 22 heures par défaut; minimum 1 heure (charge sur le serveur) La durée réelle entre deux détections sera déterminée aléatoirement entre 80% et 100% de la durée paramétrée Délai de redémarrage et intervalle avant nouvelle demande de redémarrage (si redémarrage repoussé) Notification pour les non administrateurs (en fonction du mode d’installation) Pas de redémarrage planifié (pour laisser l’utilisateur redémarrer quand il le veut) Re-planifier les installations planifiées (ex : 5 min après redémarrage) Autoriser l’installation immédiate des mises à jour automatiques Ciblage Notifie l’utilisateur si redémarrage nécessaire

28 Dépannage Vérifier le démarrage du service
Vérifier la configuration du client Via l’interface graphique (Propriétés du Poste de travail, onglet Mises à jour automatiques) Si stratégie de groupe, vérifier son application (gpresult) Si rafraîchissement de stratégie de groupe nécessaire : gpupdate /force Regarder Journal des événements %windir%\WindowsUpdate.log %windir%\SoftwareDistribution\ReportingEvents.log Forcer une détection : wuauclt.exe /detectnow Réinitialiser le cookie et forcer une détection : wuauclt.exe /resetauthorization /detectnow

29 Groupes cibles Utilité : cibler des mises à jour sur des machines spécifiques Groupe cible de test Groupe cible de production Deux types de ciblage Côté serveur L’administrateur WSUS gère l’appartenance aux groupes depuis le site d’administration (listes sur le serveur) Côté client Appartenance gérée automatiquement En utilisant des stratégies de groupe (même groupe pour toutes les machines d’une même UO d’Active Directory) En utilisant le Registre

30 Abonnements (subscriptions)
Permet de choisir quelles mises à jour télécharger et quand Produit / Type de mise à jour (sécurité, SP,FP, pilote, etc…) En fait une mise à jour est composée de deux éléments : Un correctif Les méta données décrivant le correctif Par défaut : seules les méta données sont téléchargées (catalogue) les correctifs sont téléchargés s’ils sont approuvés (contenu) Exemples d’abonnements : Quotidiens pour les mises à jour critiques Hebdomadaires pour les mises à jour recommandées Synchro Manuelle / Automatique

31 Approbation de mise à jour
Vérification avant déploiement (détection) : évalue l’impact d’une mise à jour sur le réseau avant qu’elle ne soit déployée Au niveau de l’approbation d’une mise à jour, choisir l’action Detect Après un cycle de détection des clients, la rubrique Status de la mise à jour indique le nombre de machines qui nécessitent la mise à jour Installation lors de la prochaine date planifiée Installation avec date butoir Désinstallation (nécessite que la mise à jour le supporte)

32 Approbation automatique ?
Par défaut, « détection » automatique pour Les mises à jour critiques et de sécurité Tous les groupes cibles Par défaut, aucune approbation automatique pour l’installation On pourrait choisir des types de mises à jour, et des groupes cibles En cas de révision d’une mise à jour, la nouvelle version obtient le même niveau d’approbation que l’ancienne (désactivable pour effectuer un choix manuel)

33 Rapports Rapport standard consolidé (activités clients)
Par machine / par mise à jour / par groupe cible Succès et échecs des téléchargements et installations avec les détails sur les erreurs Rapport sur les synchros Nouveautés, changements

34 Démonstration : état et rapports

35

36

37

38 Installation avec date butoir

39 Installation à l’arrêt (XP SP2)
Profiter de l’arrêt de la machine pour la maintenir à jour Contrôler par stratégie de groupe

40 APIs publiques A la fois le client et le serveur expose des APIs publiques APIs serveur basées sur .NET (pour les taches d’administration) APIs client basées sur COM scriptable Exemples de scripts et de code dans le SDK WSUS

41 API coté Serveur Très fonctionnelle API .Net
API permet l’accès à un ensemble (superset) des taches de l’UI Configuration du serveur WSUS Approbation des mises à jour Updates Ajout/suppression des groupes cibles Ajout/suppression des clients dans le groupe cible Création de rapports personnalisés Toute l’UI utilise les API publiques “The bad news” Non exposé comme une interface COM Pas du support distant – doit être appelée localement

42 API coté Client APIs publiques, implémentées comme “wrappers” autours de l’Agent WU et des fonctionnalités de Mises à jour automatique (exposée au travers de COM et scriptable) Class Description AutomaticUpdates A class that exposes the settings of Automatic Updates and some functionality UpdateCollection A class representing an ordered list of Updates UpdateDownloader A class that downloads updates from the server UpdateInstaller A class that (un)installs updates from or onto the computer UpdateSearcher A class that searches for updates on the server SearchResult A class that represents the result of a search Update A class that exposes properties and methods available to an update

43 Exemple de scripts Dim update, i
set AutoUpdate = CreateObject("Microsoft.Update.AutoUpdate") Autoupdate.DetectNow() set UpdateSession = CreateObject("Microsoft.Update.Session") set UpdateSearcher = UpdateSession.CreateUpdateSearcher() set SearchResult= UpdateSearcher.Search("") set Updates = SearchResult.Updates set UpdatesToInstall = CreateObject("Microsoft.Update.UpdateColl") For i = 0 to (Updates.Count-1) UpdatesToInstall.Add(Updates.Item(i)) Next set Installer = UpdateSession.CreateUpdateInstaller() Installer.Updates = UpdatesToInstall set InstallationResult = Installer.Install() Détection Approbation Installation

44 Flexibilité déploiement/Management
Serveur APIs basées .NET Règles simple pour automatiser le déploiement des mises à jour sans UI Client Ligne de commande wuauclt.exe /detectnow pour la détection APIs basées sur COM pour les scripts et le support distant Paramètres du client AU via stratégie de groupe ou scripts

45 Démonstration : distribution d’un correctif

46 Notions complémentaires
Communications Options de déploiement des serveurs WSUS Stockage Sécurité Flexibilité

47 Communications (1/2) Configuration des paramètres de proxy

48 Communications (2/2) Faible utilisation de la bande passante
BITS (Backgound Intelligent Transfert Service) pour les téléchargements client serveur et serveur-serveur Mise à jour par “abonnement” (par produit/par type) Support des technologies “delta compression” Téléchargement dissocié des correctifs et de leurs méta données

49 Options de déploiement des serveurs
Déploiement hiérarchique Serveurs indépendants Serveurs non connectés à Internet

50 Hiérarchie Attention : il est conseillé de ne pas dépasser 3 niveaux dans la hiérarchie pour des questions de latence de propagation des mises à jour Mode replica (miroir) ou pas, se définit à l’installation seulement !!

51 Déploiement simple

52 Déploiement de réplica

53 Déploiement en agence

54 Serveurs non connectés
Microsoft Update Serveur WSUS Serveur WSUS Importation et exportation manuelles Postes de travail Clients

55 Stockage Base de données pour gérer tout ce qui n’est pas contenu
Prise en compte des dépendances entre les mises à jour WMSDE/MSDE vs SQL Server MSDE a une limite de 2Go, pas WMSDE (uniqt sur Windows 2003) Mises à jour hébergées sur Microsoft Update (WSUS sert alors seulement de point de contrôle) ou en local Filtrage de contenu Ne garder que les plateformes et langues dont vous avez besoin Dimensionnement Prévoir une croissance annuelle * nombre de langues

56 Sécurité, flexibilité Sur le client et sur le serveur
Vérification de signature des contenus téléchargés Permissions sur les contenus téléchargés Changement des ports Sauf pour contacter MU Port utilisé : 80 ou 8530 (attention, dans ce cas pour mettre à jour de « vieux » clients, il faut maintenir un site sur le port 80) Infrastructure et plateforme Option en ligne de commande pour déclencher une détection côté client : wuauclt.exe /detectnow API du client en COM exécutables à distance et scriptables API du serveur basées sur .Net Framework

57 Connexion à Microsoft Update
Ouverture du pare-feu HTTP 80 et HTTPS 443 pour joindre les serveurs Microsoft sur le Web Liste des domaines : · · · · · · · · · · ·

58 Filtrage d’URLs (ISA ou URLScan)
Si vous l’utilisez, il faut : autoriser les extensions de type .exe (les enlever de la section [DenyExtensions] Autoriser dans [AllowVerbs] GET HEAD POST OPTIONS

59 Dimensionnement du serveur WSUS
Jusqu’à 500 clients Minimum Recommandé Processeur 750 MHz 1 GHz ou + RAM 512 Mo 1 Go Base de données MSDE MSDE/WMSDE De 500 à clients Minimum Recommandé Processeur 1 GHz ou + Biprocesseurs à 3 GHz ou + (2 processeurs pour plus de clients) RAM 1 Go 1 GB Base de données WMSDE / SQL Server 2000 SP3a et +

60 Migration de SUS vers WSUS
Pas de mise à jour mais une migration des mises à jour et des approbations (et c’est tout) Migration sur même serveur Migration vers nouveau serveur WSUSutil.exe SUS1 et WSUS peuvent cohabiter sur un même serveur

61 Limites de la migration
WSUS et SUS 1.0 ne peuvent pas synchroniser leurs méta données l’un avec l’autre Pas de migration des paramètres de proxy Pas de migration des paramètres d’IIS Migration unidirectionnelle de SUS 1.0 vers WSUS La migration des approbations de mises à jour écrase les approbations existantes d’un groupe d’ordinateurs

62 Migration avec un seul serveur
Pour économiser le nombre de serveurs Nécessite d’installer WSUS sur un port différent de SUS 1.0 Nécessite la mise à jour des clients au fur et à mesure qu’ils se connectent au serveur WSUS Redirection des clients vers un port différent du même serveur Les clients utilisent toujours SUS 1.0 pour les mises à jour jusqu’à ce qu’ils soient redirigés vers le port de WSUS, ou que SUS 1.0 soit retiré The same-server migration procedure is a three-step process, with two optional steps for testing and consolidating. Step 1: Install and Configure WSUS: When installing WSUS on a computer that has SUS installed, you must install WSUS by using a custom port. You must synchronize the WSUS server prior to migrating. Consider using the synchronization option for deferred downloads, which is enabled by default. Also, configure WSUS to download updates for the same number of languages that SUS was configured to download updates. By default WSUS is configured to download all languages. These configurations ensure that you do not unnecessarily download updates already on your network or in languages that you do not require. Step 2: Migrate Content and Approvals: You do not have to migrate both content and approvals from the SUS server. You can opt to initially migrate content and then migrate approvals at another time, or any number of combinations that suit your purpose. You do have to make sure that SUS is not synchronizing before you migrate content or approvals. Use WSUSutil.exe to migrate content and approvals from SUS to WSUS. Step 3: Test WSUS (Optional): Using local Group policy direct a client (or couple of clients) to the WSUS server on the 8530 port. Create deployments to the client to validate any specific scenarios like targeting or deadline times. Step 4: Move WSUS to Port 80 : Decommission the SUS server, and change the WSUS Web site from the custom port to port 80. As the SUS clients check in with the WSUS server, they will find the WSUS Web site and self-update to the Automatic Updates client compatible with WSUS. Note that you do not need to make any changes to Group Policy to get the SUS clients to self-update. If you prefer to leave your patching solution on a port other than port 80, you can leave WSUS on the custom 8530 port and change the client policy to point to this port on your WSUS server. You’ll still need to leave a selfupdate virtual directory on port 80 to allow pre-WSUS compatible clients to get updated to the WSUS compatible client. If you change the port number after installing WSUS, you have to create a new shortcut on your Start menu with the new URL to access the WSUS console from the Start menu. See Help and Support for instruction on creating shortcuts.

63 Considérations de déploiement
Besoins matériels Nombre de clients, fréquence de polling du client vers le serveur Base de données et stockage SQL Locale ou distante versus MSDE /WMSDE Bande passante Site unique, multi-sites, « branch office », bande passante faible (low) Sécurité Personnalisation des ports de communication Scalabilité Hiérarchie Serveur Options des cibles Mode Client versus Serveur Management Automatisation par scripts versus interface d’administration Web

64 Démonstration : Migration SUS
vers WSUS

65 Agenda Partie 1 : Introduction et rappels
Partie 2 : Windows Server Update Services Partie 3 : SMS 2003 Partie 4 : Synthèse - comparaison de MU/WSUS/SMS

66 Gestion des ressources matérielles et logicielles
Fonctionnalités Gestion des ressources matérielles et logicielles PPC 2003 64 MB ARM 300 MHz Windows XP SP1 256 MB P IV 1 GHz Windows 2000 128 MB P III 700 MHz Windows NT 4 SP6 P III 350 MHz OS RAM CPU Découverte Inventaire Reporting Gestion du cycle de vie des applications et des correctifs de sécurité Packaging Distribution Installation Suivi utilisation Téléassistance

67 SMS 2003 et correctifs de sécurité
S’appuie sur l’infrastructure SMS existante pour déployer les outils d’analyse sur l’ensemble des machines Exécute automatiquement une tâche récurrente permettant de déterminer quelles sont les mises à jour nécessaires pour chaque machine Ces informations sont collectées par les mécanismes standard d’inventaire et transmises dans le référentiel SMS Génère des rapports pour analyser ces informations Les mises à jour nécessaires sont automatiquement envoyés aux postes clients en utilisant les mécanismes standard SMS

68 SMS 2003 et correctifs de sécurité Architecture
Microsoft Download Center Téléchargement et installation des outils d’analyse sur le serveur de site Téléchargement régulier du référentiel (MSSECURE.XML,WSUScan.cab…) Internet Intranet Inventaire des clients et intégration avec les données d’inventaire matériel SMS Utilisation de l’assistant de distribution des mises à jour logicielles pour déclencher l’installation des mises à jour sélectionnées Point de distribution SMS Clients SMS Téléchargement des fichiers; création/mise à jour des packages, programmes & annonces; réplication des packages & publication des programmes vers les clients SMS Point de distribution SMS Installation des mises à jour par l’agent SMS De manière périodique: le module de synchronisation vérifie la publication de nouvelles mises à jour et analyse les clients Clients SMS Clients SMS

69 SMS 2003 et correctifs de sécurité Composants (disponibles sur le Web en téléchargement)
Systems Management Server 2003 Software Update Scanning Tools Outil d’inventaire pour les mises à jour de la sécurité (Security Update Inventory Tool) Outil d’inventaire pour les mises à jour Microsoft Office (Office Update Inventory Tool) SMS Extended Security Update Inventory Tool Outil d’inventaire pour les mises à jour Microsoft (SMS Inventory Tool for Microsoft Updates)

70 Outils d’inventaire des mises à jour
Permettent de créer dans SMS les lots permettant de : Télécharger automatiquement la liste des correctifs de sécurité D’installer et exécuter, à intervalles de temps réguliers, l’outil d’analyse sur les postes clients (permettant de déterminer quelles sont les mises à jour nécessaires pour chaque machine) Enrichissent l’inventaire avec Numéro du bulletin de sécurité, numéro de l’article technique, titre, … Etat (Installé, Applicable) L’URL du site où peut être obtenue la mise à jour S’intègrent avec le module de reporting Création de rapports permettant d’analyser les informations d’inventaire

71 Outil d’inventaire des mises à jour de la sécurité
Toute mise à jour détectée par MBSACLI 1.2 peut être distribuée Prise en charge des mises à jour de Windows (critiques, non-critiques et Service Packs) IE, MDAC, IIS SQL Server, Exchange Server, Biztalk… Support des clients Windows 2003, XP, 2000 et de NT 4.0 Liste des exceptions: Microsoft Baseline Security Analyzer (MBSA) returns note messages for some updates

72 Outil d’inventaire des mises à jour de la sécurité

73 Outil d’inventaire des mises à jour Microsoft Office
Déterminer quels sont les correctifs applicables Office 2000 Office XP Office 2003

74 SMS Extended Security Update Inventory Tool
Outil de détection des mises à jour de sécurité pour certains bulletins qui ne peuvent pas être détectés par MBSA ou ODT L’outil dans sa version 4.2 (10/11/2005) prend en charge : MS04-028, MS05-004, MS05-006, MS05-009, MS05-022, MS05-029, MS05-030, MS05-031, MS05-033, MS05-034, MS05-044, MS05-050

75 Outil d’inventaire pour les mises à jour Microsoft
Nouvel outil d’analyse pour les sites SMS 2003 SP1 et les clients avancés En règle général, c’est un remplacement des outils d’inventaire des mises à jours actuellement disponibles MBSA et Office Dans certains cas, les outils ancienne génération devront être conservés Outil d’inventaire pour les mises à jour Microsoft (ITMU) prends en charge à la fois les mises à jour pour les systèmes d’exploitation et les applications Microsoft Windows XP Embedded / Microsoft Windows X64 Edition / Microsoft Office XP and Office 2003 / Microsoft Exchange 2000 et 2003 / Microsoft Windows 2000 Service Pack 4 et + / MSXML, MDAC, et Microsoft Virtual Machine / Microsoft SQL Server 2000 SP4 et SQL Server 2005 SMS 2003 SP1 uses the Inventory Tool for Microsoft Updates (ITMU) to determine the update compliance of managed systems. This tool provides integration with updates offered by Windows Update and Microsoft Update. The tool shares the same security update, update rollup, and service pack data as offered by Microsoft Windows Server Update Services (WSUS). This inventory tool can be used only within an SMS 2003 SP1 site hierarchy with certain hotfixes applied. SMS 2003 SP1 is updated to incorporate WSUS technology for scanning and deployment. ITMU currently uses Windows Update Agent version 5.8, which improves security update detection with support for the following products: •Microsoft Windows XP Embedded•Microsoft Windows 64-bit edition (based on Windows Server 2003 SP1 code)•Microsoft Office XP and Office 2003•Microsoft Exchange 2000 and Exchange 2003•Microsoft Windows 2000 Service Pack 4 and later•All Windows components (such as MSXML, MDAC, and Microsoft Virtual Machine)•Microsoft SQL Server 2000 SP4 and SQL Server 2005•Additional products as published to the Windows Updates catalogITMU includes the following components: •Scan tool for Microsoft updates. Enables you to scan your Windows desktops and servers for installed and missing Microsoft updates similarly to how Microsoft Baseline Security Analyzer (MBSA) determines compliance for Microsoft security updates.•Synchronization of the Windows Updates Catalog. Downloads the WSUS scan catalog on a recurring schedule.•The latest Windows Update Agent. The Windows Update Agent version is installed on the Windows operating system to support Windows Update detection and deployment.•New SMS Advanced Client release and updated Distribute Software Update Wizard.

76 Outil d’inventaire pour les mises à jour Microsoft
« ITMU » s’appuie sur l’agent Windows Update pour l’analyse des mises à jour Outil d’analyse « standalone » – ne nécessite pas de serveur WSUS ou de connectivité Internet Agent Windows Update 2.0 est natif à partir de Windows Server 2003 SP1 Distribué comme un package par SMS pour les autres OS En respect avec Microsoft Update pour les mises à jours critiques, les rollups et les service packs

77 Mise en oeuvre ITMU Site SMS : Client avancé :
Requiert SMS 2003 SP1 Correctifs à installés dans l’ordre (KB , et *) Création package, programmes, publications et regroupements Client avancé : SMS 2003 SP1 Windows 2000 SP3 et + , MSXML 3.0 Windows Installer 3.1v2 (msi) Mises à jour du client avancé (correctif ) Installation de l’agent Windows Update 2.0 ( ) msupdates_required.mspx * ou et

78 Améliorations ITMU Standardisation des outils (utilisation de l’agent Windows Update 2.0) Plus de gestion de la ligne de commande pour la distribution des correctifs Rapports plus complets 19 rapports

79 Comparaison des outils de mises à jour de correctifs
Le moteur de détection d’ITMU s’appuie sur l’agent Windows Updates Les technologies suivantes s’appuient sur l’agent Windows® Update Microsoft Update, MBSA 2.0, and Windows Server™ Update Services Toutes les solutions de mises à jours doivent donner des résultats cohérents entre elles.

80 Comparaison des outils d’inventaire de mises à jour pour SMS
ITMU supporte Security updates, service packs, et rollups pour Windows 2000 SP4 et + MBSA supporte critical security updates et service packs pour Windows NT® 4.0 et + ITMU supporte Office XP et + pour les mises à jour de sécurité et les service packs Mises à jour pour Microsoft Office supporte Office 2000 et + pour mises à jour de sécurité et les service pack ITMU supporte SQL Server 2000 SP4 et+ MBSA supporte SQL Server 7.0 et + ITMU utilise le catalogue WSUS (WSUSScan.cab) qui inclut toutes les langues Le catalogue MBSA (MSSecure.cab) est spécifique à chaque langue de l’OS Besoin de déployer MSSecure.cab pour chaque langue de l’OS client

81 Assistant de distribution des mises à jour logicielles
Objectif : Automatiser le déploiement des mises à jour manquantes sur les postes clients Fonctionnement S’appuie sur l’inventaire remonté par les outils d’inventaire Il est aussi possible de déployer des mises à jour directement avec le SP1 Recherche des correctifs manquants, sélection des correctifs Téléchargement des correctifs depuis Microsoft.com Création automatique du Lot de l’Annonce et du Programme

82 Assistant de distribution des mises à jour logicielles Fonctionnalités
Un assistant intégré à la sécurité et à la console d’administration de SMS permettant de : Visualiser les mises à jour nécessaires et gérer les priorités Récupérer et autoriser les mises à jour Tester les mises à jour en environnement pilote Définir le contenu des lots Contrôler l’expérience et les scénarios utilisateurs Pour ITMU, nécessite le hotfix

83 Assistant de distribution des mises à jour logicielles Fonctionnalités
Comment récupérer les versions internationales du catalogue Modifier le fichier Download.ini pour y ajouter une section [Download2] XMLCABURL= XMLCABDEST=1036 Pour plus d’information se reporter à l’adresse support.microsoft.com/default.aspx?scid=kb;EN-US;838403 Comment utiliser un Proxy nécessitant une authentification Utiliser PatchDownloader.exe /s:" "Server[:port] /U:<UserName as Domain\UserName>

84 Assistant de distribution des mises à jour logicielles
The following slides highlight some key screens from the Patch Deployment Wizard. Note, not every screen is shown.

85 SMS 2003 et correctifs de sécurité Installation des mises à jour
Utilisation privilégiée des zones de notification et des ballons Des détails supplémentaires sont disponibles pour les utilisateurs intéressés Possibilité d’utiliser des textes et graphiques spécifiques afin de mettre en exergue certaines mises à jour Support des installations en mode automatique ou silencieux Politique d’installation souple variant entre « installation obligatoire et immédiate » et « installation facultative » Détermination automatique du nombre optimum de démarrages

86 SMS 2003 et correctifs de sécurité Interface cliente

87 SMS 2003 et correctifs de sécurité
Conformité du parc

88 Sommaire Partie 1 : Introduction et rappels
Partie 2 : Windows Server Update Services Partie 3 : SMS 2003 Partie 4 : Synthèse - comparaison de MU/WSUS/SMS

89 Microsoft Update Catalog
Detection et mise à jour du contenu Windows 2000+ Office XP+ Exchange 2000+ SQL 2000 SP4+ PME Client final Grande Enterprise TPE MBSA 2.0 WSUS SMS Automatic Updates & MU Website Infrastructure Detection et Installation Windows Update Agent

90 Choisir une solution de gestion des correctifs
Client Scénario Choix Grande ou moyenne entreprise Besoin d'une solution unique et flexible de gestion des mises à jour avec un niveau élevé de contrôle et de distribution pour TOUTES les versions de Windows et d'applications, ainsi qu'une solution de gestion du parc intégré SMS 2003 Besoin seulement d'une solution de mise à jour simple pour les produits Microsoft, et dans un premier temps Windows (2000 et ultérieur), Office (2003 & XP), Exchange 2003, SQL Server 2000 et MSDE 2000 WSUS* Petite entreprise Au moins un serveur et un administrateur Tous les autres scénarios Microsoft Update* Consommateur Tous les scénarios *utilisation de Windows Update, d'un autre outil de mise à jour ou mise à jour manuelle pour les systèmes et applications non supportés par WSUS ou Microsoft Update

91 Comparaison de MU, WSUS et SMS 2003
Capacité Microsoft Update WSUS SMS 2003 Logiciels et contenus supportés Logiciels supportés pour le contenu Pareil que WSUS + WinXP édition familiale Win2K, WS2003, WinXP Pro, Office 2003, Office XP, Exchange 2003, SQL Server 2000, MSDE Idem WSUS + NT 4.0 & Win98 + peut mettre à jour n’importe quel logiciel fonctionnant sur Windows Types de contenu supportés Toutes les mises à jour de logiciels, mises à jour critiques de pilotes, Service Packs & Feature Packs Toutes les mises à jour de logiciels, Service Packs & Feature Packs + support la mise à jour et l’installation d’appli Windows Capacités de gestion des mises à jour Ciblage de contenu à certains systèmes N/A Simple Avancé Optimisation de la bande passante réseau Oui Contrôle de la distribution des correctifs Installation de correctif & flexibilité de la planification Manuelle & contrôlée par l’utilisateur final Rapport sur les installations de correctifs Erreurs d’installation rapportées à l’utilisateur. Liste les mises à jour manquantes pour la machine connectée Planification du déploiement Gestion de l’inventaire Non Vérification de conformité Non – rapport de statut seulement 98 en temps que client SMS

92 Ressources utiles Site sécurité : Gestion des mises à jour de sécurité : Site WSUS (en anglais) : Newsgroup : microsoft.public.fr.update_services Site SMS : Gestion des correctifs de sécurité avec SMS : MBSA 2.0

93 Questions / Réponses

94

Télécharger ppt "Bienvenue."

Présentations similaires

Active Directory Windows 2003 Server

Active Directory Windows 2003 Server
Les technologies décisionnelles et le portail

Les technologies décisionnelles et le portail
GPO Group Policy Object

GPO Group Policy Object
Protection du réseau périphérique avec ISA 2004

Protection du réseau périphérique avec ISA 2004
Préinstallation de Microsoft Office System 2007 en utilisant lOPK (OEM Preinstallation Kit) OEM System Builder Channel.

Préinstallation de Microsoft Office System 2007 en utilisant lOPK (OEM Preinstallation Kit) OEM System Builder Channel.
Gestion des mises à jour de sécurité

Gestion des mises à jour de sécurité
Gérer son parc hétérogène depuis MOM et SMS avec QMX de Quest Software Laurent CAYATTE Consultant avant-vente Quest Software.

Gérer son parc hétérogène depuis MOM et SMS avec QMX de Quest Software Laurent CAYATTE Consultant avant-vente Quest Software.
1 HPC pour les opérations. Sommaire Quelques rappels sur Windows Compute Cluster Server Déploiement de Compute Cluster Administration de Compute cluster.

1 HPC pour les opérations. Sommaire Quelques rappels sur Windows Compute Cluster Server Déploiement de Compute Cluster Administration de Compute cluster.
Reprise à 14H15.

Reprise à 14H15.
Gestion des mises à jour avec Windows Update Services (ex SUS 2.0) Cyril VOISIN Chef de programme Sécurité Microsoft France.

Gestion des mises à jour avec Windows Update Services (ex SUS 2.0) Cyril VOISIN Chef de programme Sécurité Microsoft France.
Botnet, défense en profondeur

Botnet, défense en profondeur
Gestion des mises à jour de sécurité avec WSUS ou SMS

Gestion des mises à jour de sécurité avec WSUS ou SMS
Tournée TechNet 2006 sur la conception « Une infrastructure sécurisée bien gérée »

Tournée TechNet 2006 sur la conception « Une infrastructure sécurisée bien gérée »
« Les Mercredis du développement » Introduction Office « 12 » Présenté par Bernard Fedotoff Microsoft Regional Director Agilcom.

« Les Mercredis du développement » Introduction Office « 12 » Présenté par Bernard Fedotoff Microsoft Regional Director Agilcom.
1 HPC pour les opérations. Administration Compute Cluster Server.

1 HPC pour les opérations. Administration Compute Cluster Server.
Personnalisation des sites SharePoint avec SharePoint Designer 2007

Personnalisation des sites SharePoint avec SharePoint Designer 2007
Microsoft Office Groove 2007. Le contexte Une utilisation des postes de travail en très grande évolution chez les professionnels. Des lieux de travail.

Microsoft Office Groove Le contexte Une utilisation des postes de travail en très grande évolution chez les professionnels. Des lieux de travail.
Vue d'ensemble Vue d'ensemble de la sécurité dans Windows Server 2003

Vue d'ensemble Vue d'ensemble de la sécurité dans Windows Server 2003
Administration sous windows … server Stratégies de groupes

Administration sous windows … server Stratégies de groupes
Module 13 : Implémentation de la protection contre les sinistres

Module 13 : Implémentation de la protection contre les sinistres

Présentations similaires

Annonces Google