La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Gestion des mises à jour de sécurité Cyril VOISIN Chef de programme Sécurité Microsoft France.

Présentations similaires


Présentation au sujet: "Gestion des mises à jour de sécurité Cyril VOISIN Chef de programme Sécurité Microsoft France."— Transcription de la présentation:

1 Gestion des mises à jour de sécurité Cyril VOISIN Chef de programme Sécurité Microsoft France

2 Sommaire Partie 1 : introduction et rappels Partie 2 : Windows Update Services (WUS, ex SUS 2.0) Partie 3 : SMS 2003 Partie 4 : tableau de synthèse de comparaison de SUS/WUS/SMS

3 Partie 1 : introduction Rappels

4 Pas simplement des technos…

5 Les 3 facettes de la sécurité Architecture sécurisée Technologies Windows 2000/XP/2003 Active Directory Service Packs Correctifs IPSEC Kerberos PKI DFS EFS SSL/TLS Clusters Détection dintrusion SMS MOM ISA Antivirus GPO PersonnesAdmin. de lEntreprise Admin. Du Domaine Service/Support Développeur Utilisateur Archivage Politique daccès Installation Réparation Gestion des événements Gestion des perfs Gestion du Changement / de la Configuration Processus Restauration Sauvegarde Réponse à Incident MicrosoftOperationsFramework Evaluation de risques

6 Processus de gestion des correctifs 1. Assess 2. Identify 4. Deploy 3. Evaluate & Plan Discover a New Software Update Discover a New Software Update Determine Relevance Determine Relevance Obtain and Verify source files Obtain and Verify source files Submit RFC Submit RFC Determine Appropriate Response Determine Appropriate Response Plan the Release Plan the Release Build the Release Build the Release Acceptance Testing Acceptance Testing Deployment Preparation Deployment Preparation Deploy to targeted computers Deploy to targeted computers Post-Implementation Review Post-Implementation Review Inventory/Discover Existing Assets Inventory/Discover Existing Assets Assess Security Threats/Vulnerabilities Assess Security Threats/Vulnerabilities Determine the best source of information Determine the best source of information Assess Software Distribution Infrastructure Assess Software Distribution Infrastructure Assess Operational Effectiveness Assess Operational Effectiveness

7 Partie 2 : WUS Windows Updates Services (ex SUS 2.0)

8 Avertissement Windows Update Services (WUS) nexiste pas encore en version finale (beta 2 seulement) Certaines fonctionnalités décrites ici pourraient changer dici à la sortie du produit

9 Objectifs de WUS (SUS 2.0) Construire linfrastructure de base de la gestion des mises à jour Créer une solution facile dutilisation, néanmoins complète, pour télécharger et distribuer des mises à jour de produits Microsoft Critiques ou non Rapports centralisés Garantie de linstallation Dépannage Systèmes ou applications Répondre aux demandes clients par rapport à la version SUS 1.0 (qui ne prend en charge que les mises à jour critiques ou sécurité de Windows)

10 Les fonctionnalités demandées par nos clients *En partie possible via le réglage de la fréquence de détection et des scripts Fonctionnalités demandées SUS 1.0 SP1 WUS Support des Service Packs Installation sur SBS et sur des contrôleurs de domaine Support dOffice et dautres produits Microsoft Support dautres types de mises à jour Désinstallation de mise à jour Ciblage des mises à jour Amélioration du support pour les réseaux bas débit Réduction de la quantité de données à télécharger Réglage de la fréquence de détection des mises à jour Minimiser linterruption de lutilisateur Déploiement durgence dun correctif (gros bouton rouge) * Déploiement de mises à jour dautres applications non Microsoft Support de NT4

11 Produits supportés Client WUS Windows Windows 2000 SP3 + Windows XP Windows Server 2003 (SP1 mini pour versions 64 bits) Office Office XP SP2 et Office 2003 SQL Server SQL 2000 et MSDE 2000 Exchange Server Exchange Server 2003 A terme, plus de produits Microsoft Server WUS Windows 2000 Server SP4 Windows Server 2003 (32 bits)

12 Ladministrateur souscrit à certaines catégories de mises à jourLe serveur télécharge les mises à jour depuis Microsoft UpdateLes clients senregistrent auprès du serveur Ladministrateur met les clients dans différents groupes cibles Ladministrateur approuve les mises à jour Les clients installent les mises à jour approuvées par ladministrateur Microsoft Update (utilise WUS) Serveur WUS Postes de travail (clients WUS) Groupe cible 1 Serveurs (clients WUS) Groupe cible 2 Administrateur WUS Aperçu de la solution

13 WUS Notions fondamentales Client Mises à jour automatiques Groupe cible Abonnement Approbation de mise à jour Rapports

14 Client Mises à jour automatiques (AutoUpdate) Principe : se connecte à Windows Update, Microsoft Update ou un serveur WUS pour maintenir la machine à jour Mode pull Nouvelle version dans Windows XP Service Pack 2 (permet linstallation avant arrêt) Disponible pour Windows Server 2003 Windows 2000 SP3 Windows XP SP1 Possibilité de mise à jour silencieuse du client à partir du serveur WUS

15 Configuration des clients Par stratégie de groupe ou par registre Configurer les Mises à jour automatiques (AutoUpdate) en spécifiant un serveur intranet de Mise à jour Microsoft Modes dinstallation : Notifier avant téléchargement/installation Télécharger puis notifier pour installation Télécharger et installer automatiquement selon la planification Autoriser les administrateurs locaux à choisir le mode de configuration (sans pouvoir désactiver AutoUpdate)

16 Configuration des clients Fréquence de détection configurable (du client vers le serveur) : 22 heures par défaut; minimum 1 heure (charge sur le serveur) La durée réelle entre deux détections sera déterminée aléatoirement entre 80% et 100% de la durée paramétrée Délai de redémarrage et intervalle avant nouvelle demande de redémarrage (si redémarrage repoussé) Notification pour les non administrateurs (en fonction du mode dinstallation) Pas de redémarrage planifié (pour laisser lutilisateur redémarrer quand il le veut) Replanifier les installations planifiées (ex : 5 min après redémarrage) Autoriser linstallation immédiate des mises à jour automatiques Ciblage Notifie lutilisateur si redémarrage nécessaire

17 Groupes cibles Utilité : cibler des mises à jour sur des machines spécifiques Groupe cible de test Groupe cible de production Deux types de ciblage Côté serveur Ladministrateur WUS gère lappartenance aux groupes depuis le site dadministration (listes sur le serveur) Côté client Appartenance gérée automatiquement En utilisant des stratégies de groupe (même groupe pour toutes les machines dune même UO dActive Directory) En utilisant le registre

18 Abonnements (subscriptions) Permet de choisir quelles mises à jour télécharger et quand Produit / Type de mise à jour (sécu, SP,FP, pilote,etc…) En fait une mise à jour est composée de deux éléments Un correctif Les méta données décrivant le correctif Par défaut : seules les méta données sont téléchargées (catalogue) les correctifs sont téléchargés sils sont approuvés (contenu) Exemples dabonnements Quotidiens pour les mises à jour critiques Hebdomadaires pour les mises à jour recommandées

19 Approbation de mise à jour Vérification avant déploiement (détection) Évalue limpact dune mise à jour sur le réseau avant quelle ne soit déployée Au niveau de lapprobation dune mise à jour, choisir laction Detect Après un cycle de détection des clients, la rubrique Status de la mise à jour indique le nombre de machines qui nécessitent la mise à jour Installation lors de la prochaine date planifiée Installation avec date butoir Désinstallation (nécessite que la mise à jour le supporte)

20 Approbation automatique ? Par défaut, « détection » automatique pour Les mises à jour critiques et de sécurité Tous les groupes cibles Par défaut, aucune approbation automatique pour linstallation On pourrait choisir des types de mises à jour, et des groupes cibles En cas de révision dune mise à jour, la nouvelle version obtient le même niveau dapprobation que lancienne (désactivable pour effectuer un choix manuel)

21 Rapports Rapport standard consolidé (activités clients) Par machine / par mise à jour / par groupe cible Succès et échecs des téléchargements et installations avec les détails sur les erreurs Rapport sur les synchros Nouveautés, changements

22

23 démodémo

24 Installation avec date butoir

25 Notions complémentaires Communications Options de déploiement des serveurs WUS StockageSécuritéFlexibilité

26 Communications Configuration des paramètres de proxy Faible utilisation de la bande passante BITS pour les téléchargements client-serveur et serveur-serveur Mise à jour par abonnement (par produit/par type) Support des technologies delta compression Téléchargement dissocié des correctifs et de leurs méta données

27 Options de déploiement des serveurs Déploiement hiérarchique Serveurs indépendants Serveurs non connectés à Internet

28 Postes de travail Clients Serveurs WUS Microsoft Update Serveur WUS

29 Postes de travail Clients Serveurs non connectés Microsoft Update Serveur WUS Importation et exportation manuelles

30 Stockage Base de données pour gérer tout ce qui nest pas contenu Prise en compte des dépendances entre les mises à jour MSDE vs SQL Server MSDE a une limite de 2Go Mises à jour hébergées sur Microsoft Update (WUS sert alors seulement de point de contrôle) ou en local Filtrage de contenu Ne garder que les plateformes et langues dont vous avez besoin Dimensionnement Prévoir une croissance annuelle x nb de langues

31 Sécurité, flexibilité Sur le client et sur le serveur Vérification de signature des contenus téléchargés Permissions sur les contenus téléchargés Changement des ports Sauf pour contacter MU Infrastructure et plateforme Option en ligne de commande pour déclencher une détection côté client : wuauclt.exe /detectnow API du client en COM exécutables à distance et scriptables API du serveur basées sur.Net Framework

32 Exemple de script Le serveur et le client exposent tous les deux des API scriptables Dim update, i set AutoUpdate = CreateObject("Microsoft.Update.AutoUpdate") Autoupdate.DetectNow() set UpdateSession = CreateObject("Microsoft.Update.Session") set UpdateSearcher = UpdateSession.CreateUpdateSearcher() set SearchResult= UpdateSearcher.Search("") set Updates = SearchResult.Updates set UpdatesToInstall = CreateObject("Microsoft.Update.UpdateColl") For i = 0 to (Updates.Count-1) UpdatesToInstall.Add(Updates.Item(i))Next set Installer = UpdateSession.CreateUpdateInstaller() Installer.Updates = UpdatesToInstall set InstallationResult = Installer.Install() Détection Approbation Installation

33 Scénario : mise à jour de serveurs avec WUS

34 Mises à jour de serveurs Suggestions Définir des groupes cibles (GPO ou interface dadministration WUS) Configurer les clients Mises à jour automatiques (GPO ou registre) Installation auto ou notification avant installation Si notification, ouverture de session ou script pour installation

35 Mises à jour de serveurs Suggestions Pour les serveurs avec des fenêtres de maintenance, configurer les Mises à jour automatiques pour une installation planifiée durant la fenêtre Pour les serveurs sans créneaux de maintenance : Configurer les Mises à jour automatiques pour notifier avant linstallation Ouvrir une session sur le serveur ou utiliser les API pour effectuer linstallation lorsque cest nécessaire

36 Mises à jour de serveurs Suggestions Datacenters Utiliser les stratégies BITS pour limiter la bande passante et les fenêtres de téléchargement Configurer les Mises à jour automatiques pour notifier avant linstallation Utiliser les API pour effectuer linstallation lorsque cest nécessaire Clusters Scripter la mise à jour nœud après noeud

37 Partie 3 : SMS 2003 Systems Management Server 2003

38 Télé-Assistance Fonctionnalités Gestion des ressources matérielles et logicielles PPC MB ARM 300 MHz Windows XP SP1 256 MB P IV 1 GHz Windows MB P III 700 MHz Windows NT 4 SP6 128 MB P III 350 MHz OSRAMCPU DécouverteInventaireReporting Gestion du cycle de vie des applications et des correctifs de sécurité PackagingDistributionInstallation Suivi utilisation

39 Internet Point de distribution SMS Clients SMS Microsoft Download Center Point de distribution SMS 2.Téléchargement régulier du référentiel (MSSECURE.XML) 1.Téléchargement et installation des outils danalyse pour Windows (MBSACLI.EXE) et Office 3.Inventaire des clients et intégration avec les données dinventaire matériel SMS 4.Utilisation de lassistant Distribute Software Updates pour déclencher linstallation des mises à jour sélectionnées 6.Installation des mises à jour par lagent SMS 7.De manière périodique: synchronisation de nouvelles mises à jour; analyse des clients; déploiement des mises à jour nécessaires 5.Téléchargement des fichiers; création/mise à jour des packages, programmes & annonces; réplication des packages & publication des programmes vers les clients SMS Clients SMS SMS 2003 et correctifs de sécurité Architecture Intranet

40 Support de Windows 2003, XP, 2000 et de NT 4.0 (et des périphériques mobiles) Utilisation de linfrastructure de télédistribution en place pour déployer MBSACLI 1.2 Exécution automatique dune tâche récurrente permettant de déterminer quelles sont les mises à jour nécessaires pour chaque machine Les informations sont collectées par les mécanismes standard dinventaire et transmises dans le référentiel de SMS Création de rapports permettant danalyser les informations dinventaire SMS 2003 et correctifs de sécurité Architecture

41 Security Update Inventory Tool Office Update Inventory Tool Distribute Software Updates Wizard SMS 2003 et correctifs de sécurité Composants

42 Objectif: Déterminer quels sont les correctifs présents et nécessaires pour les environnements Windows NT 4.0, 2000, XP et 2003 IE 5.x et 6.x IIS 4.0, 5.0 et 6.0 Exchange Server 2000 et 2003 MDAC 2.5, 2.6, 2.7, et 2.8 MSXML 2.5, 2.6, 3.0, et 4.0 BizTalk Server 2000, 2002, et 2004 Commerce Server 2000 et 2002 Content Management Server 2001 et 2002 Host Integration Server 2000, 2004, SNA Server 4.0 Liste des exceptions: Microsoft Baseline Security Analyzer (MBSA) returns note messages for some updates support.microsoft.com/default.aspx?scid=kb;en-us; support.microsoft.com/default.aspx?scid=kb;en-us; support.microsoft.com/default.aspx?scid=kb;en-us; Security Update Inventory Tool

43 Permet de créer dans SMS les lots permettant de Télécharger automatiquement la liste des correctifs de sécurité Dinstaller et exécuter, à intervalles de temps réguliers, MBSACli.exe sur les postes clients Enrichit linventaire avec Le numéro du bulletin de sécurité, le numéro de larticle technique, le titre, … Etat (Installé, Applicable) LURL du site où peut être obtenue la mise à jour Sintègre avec le module de reporting Security Update Inventory Tool

44

45 Objectif : Déterminer quels sont les correctifs Office applicables Office 2000 Office XP Office Update Inventory Tool

46 Permet de créer dans SMS les lots permettant de Télécharger automatiquement la liste des correctifs Dinstaller et exécuter, à intervalles de temps réguliers, loutil « Office Update Inventory Tool » sur les postes clients Enrichit linventaire avec Le numéro du bulletin de sécurité, le numéro de larticle technique, le titre, … Etat (Installé, Applicable) LURL du site où peut être obtenue la mise à jour Sintègre avec le module de reporting Office Update Inventory Tool

47 Distribute Software Updates Wizard

48

49

50

51 Objectif : Automatiser le déploiement des mises à jour manquantes sur les postes clients Fonctionnement Sappuie sur linventaire remonté par les outils dinventaire Il est aussi possible de déployer des mises à jour directement avec le SP1 Recherche des correctifs manquants, sélection des correctifs Téléchargement des correctifs depuis Microsoft.com Création automatique du Lot de lAnnonce et du Programme Distribute Software Updates Wizard

52 Un assistant intégré à la sécurité et à la console dadministration de SMS permettant de Visualiser les mises à jour nécessaires et gérer les priorités Récupérer et autoriser les mises à jour Tester les mises à jour en environnement pilote Définir le contenu des lots Contrôler lexpérience et les scénarios utilisateurs Distribute Software Updates Wizard Fonctionnalités

53 Comment récupérer les versions internationales du catalogue Modifier le fichier Download.ini pour y ajouter une section [Download2] XMLCABURL=http://go.microsoft.com/fwlink/?LinkId=26835 XMLCABDEST=1036 Pour plus dinformation se reporter à ladresse support.microsoft.com/default.aspx?scid=kb;EN-US; Comment utiliser un Proxy nécessitant une authentification Utiliser PatchDownloader.exe /s:" "Server[:port] /U: Utiliser PatchDownloader.exe /s:" "Server[:port] /U: Distribute Software Updates Wizard Fonctionnalités

54 Utilisation privilégiée des zones de notification et des ballons Des détails supplémentaires sont disponibles pour les utilisateurs intéressés Possibilité dutiliser des textes et graphiques spécifiques afin de mettre en exergue certaines mises à jour Support des installations en mode automatique ou silencieux Politique dinstallation souple variant entre « installation obligatoire et immédiate » et « installation facultative » Détermination automatique du nombre optimum de démarrages SMS 2003 et correctifs de sécurité Installation des mises à jour

55 SMS 2003 et correctifs de sécurité Interface cliente

56

57 SMS 2003 et correctifs de sécurité Conformité du parc

58

59 Partie 4 : synthèse Comparaison SUS/WUS/SMS

60 *utilisation de Windows Update, d'un autre outil de mise à jour ou mise à jour manuelle pour les systèmes et applications non supportés par WUS ou Microsoft Update Choisir une solution de gestion des correctifs Client Sc é nario Choix Grande ou moyenne entreprise Besoin d'une solution unique et flexible de gestion des mises à jour avec un niveau é lev é de contrôle et de distribution pour TOUTES les versions de Windows et d'applications, ainsi qu'une solution de gestion du parc int é gr é SMS 2003 Besoin seulement d'une solution de mise à jour simple pour les produits Microsoft, et dans un premier temps Windows (2000 et ult é rieur), Office (2003 & XP), Exchange 2003, SQL Server 2000 et MSDE 2000 WUS* Petite entreprise Au moins un serveur et un administrateur WUS* Tous les autres sc é narios Microsoft Update* Consommateur Tous les sc é narios Microsoft Update*

61 Comparaison de MU, WUS et SMS 2003 Capacité Microsoft Update WUS SMS 2003 Logiciels et contenus supportés Logiciels supportés pour le contenu Pareil que WUS + WinXP édition familiale Win2K, WS2003, WinXP Pro, Office 2003, Office XP, Exchange 2003, SQL Server 2000, MSDE Idem WUS + NT 4.0 & Win98 + peut mettre à jour nimporte quel logiciel fonctionnant sur Windows Types de contenu supportés Toutes les mises à jour de logiciels, mises à jour critiques de pilotes, Service Packs & Feature Packs Toutes les mises à jour de logiciels, Service Packs & Feature Packs + support la mise à jour et linstallation dappli Windows Capacités de gestion des mises à jour Ciblage de contenu à certains systèmes N/ASimple Avancé Optimisation de la bande passante réseau OuiOuiOui Contrôle de la distribution des correctifs N/ASimple Avancé Installation de correctif & flexibilité de la planification Manuelle & contrôlée par lutilisateur final Simple Avancé Rapport sur les installations de correctifs Erreurs dinstallation rapportées à lutilisateur. Liste les mises à jour manquantes pour la machine connectée Simple Avancé Planification du déploiement N/ASimple Avancé Gestion de linventaire N/ANonOui Vérification de conformité N/A Non – rapport de statut seulement Avancé

62 Ressources Site sécurité : Gestion des mises à jour de sécurité : maj/default.asp maj/default.asp maj/default.asp Site WUS (en anglais) : beta.mspx beta.mspx beta.mspx Site SMS : Gestion des correctifs de sécurité avec SMS : h.mspx h.mspx h.mspx MBSA ID=8b7a580d-0c91-45b7-91ba- fc47f7c3d6ad&displaylang=fr ID=8b7a580d-0c91-45b7-91ba- fc47f7c3d6ad&displaylang=fr ID=8b7a580d-0c91-45b7-91ba- fc47f7c3d6ad&displaylang=fr

63

64 BACKUPBACKUP

65 Installation à larrêt (XP SP2) Profiter de larrêt de la machine pour la maintenir à jour Contrôlé par stratégie de groupe

66 Divers Disponible en 25 langues pour le client, 17 langues pour le serveur Support de la delta compression Mise à jour automatique du client AutoUpdate (= selfupdate)

67 Pré-installation (selfupdate)


Télécharger ppt "Gestion des mises à jour de sécurité Cyril VOISIN Chef de programme Sécurité Microsoft France."

Présentations similaires


Annonces Google