La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Gestion des mises à jour de sécurité

Présentations similaires


Présentation au sujet: "Gestion des mises à jour de sécurité"— Transcription de la présentation:

1 Gestion des mises à jour de sécurité
Cyril VOISIN Chef de programme Sécurité Microsoft France

2 Sommaire Partie 1 : introduction et rappels
Partie 2 : Windows Update Services (WUS, ex SUS 2.0) Partie 3 : SMS 2003 Partie 4 : tableau de synthèse de comparaison de SUS/WUS/SMS

3 Partie 1 : introduction Rappels

4 Pas simplement des technos…

5 Les 3 facettes de la sécurité
Technologies Windows 2000/XP/2003 Active Directory Service Packs Correctifs IPSEC Kerberos PKI DFS EFS SSL/TLS Clusters Détection d’intrusion SMS MOM ISA Antivirus GPO Archivage Politique d’accès Installation Réparation Gestion des événements Gestion des perfs Gestion du Changement / de la Configuration Processus Restauration Sauvegarde Réponse à Incident Microsoft Operations Framework Evaluation de risques Protection Détection Défense Récupération Gestion Architecture sécurisée Personnes Admin. de l’Entreprise Admin. Du Domaine Service/ Support Développeur Utilisateur

6 Processus de gestion des correctifs
Inventory/Discover Existing Assets Assess Security Threats/Vulnerabilities Determine the best source of information Assess Software Distribution Infrastructure Assess Operational Effectiveness Discover a New Software Update Determine Relevance Obtain and Verify source files Submit RFC 1. Assess 2. Identify 4. Deploy 3. Evaluate & Plan Deployment Preparation Deploy to targeted computers Post-Implementation Review Determine Appropriate Response Plan the Release Build the Release Acceptance Testing

7 Windows Updates Services (ex SUS 2.0)
Partie 2 : WUS Windows Updates Services (ex SUS 2.0)

8 Avertissement Windows Update Services (WUS) n’existe pas encore en version finale (beta 2 seulement) Certaines fonctionnalités décrites ici pourraient changer d’ici à la sortie du produit

9 Objectifs de WUS (SUS 2.0) Construire l’infrastructure de base de la gestion des mises à jour Créer une solution facile d’utilisation, néanmoins complète, pour télécharger et distribuer des mises à jour de produits Microsoft Critiques ou non Rapports centralisés Garantie de l’installation Dépannage Systèmes ou applications Répondre aux demandes clients par rapport à la version SUS 1.0 (qui ne prend en charge que les mises à jour critiques ou sécurité de Windows)

10 Les fonctionnalités demandées par nos clients
SUS 1.0 SP1 WUS Support des Service Packs Installation sur SBS et sur des contrôleurs de domaine Support d’Office et d’autres produits Microsoft Support d’autres types de mises à jour Désinstallation de mise à jour Ciblage des mises à jour Amélioration du support pour les réseaux bas débit Réduction de la quantité de données à télécharger Réglage de la fréquence de détection des mises à jour Minimiser l’interruption de l’utilisateur Déploiement d’urgence d’un correctif (‘gros bouton rouge’) * Déploiement de mises à jour d’autres applications non Microsoft Support de NT4 *En partie possible via le réglage de la fréquence de détection et des scripts

11 Produits supportés Client WUS Server WUS Windows Office SQL Server
Windows 2000 SP3 + Windows XP Windows Server 2003 (SP1 mini pour versions 64 bits) Office Office XP SP2 et Office 2003 SQL Server SQL 2000 et MSDE 2000 Exchange Server Exchange Server 2003 A terme, plus de produits Microsoft Server WUS Windows 2000 Server SP4 Windows Server 2003 (32 bits)

12 Aperçu de la solution Microsoft Update (utilise WUS) Serveur WUS
Postes de travail (clients WUS) Groupe cible 1 Serveurs (clients WUS) Groupe cible 2 Administrateur WUS L’administrateur approuve les mises à jour L’administrateur souscrit à certaines catégories de mises à jour Le serveur télécharge les mises à jour depuis Microsoft Update Les clients s’enregistrent auprès du serveur L’administrateur met les clients dans différents groupes cibles Les clients installent les mises à jour approuvées par l’administrateur

13 WUS Notions fondamentales
Client Mises à jour automatiques Groupe cible Abonnement Approbation de mise à jour Rapports

14 Client Mises à jour automatiques (AutoUpdate)
Principe : se connecte à Windows Update, Microsoft Update ou un serveur WUS pour maintenir la machine à jour Mode pull Nouvelle version dans Windows XP Service Pack 2 (permet l’installation avant arrêt) Disponible pour Windows Server 2003 Windows 2000 SP3 Windows XP SP1 Possibilité de mise à jour silencieuse du client à partir du serveur WUS

15 Configuration des clients
Par stratégie de groupe ou par registre Configurer les Mises à jour automatiques (AutoUpdate) en spécifiant un serveur intranet de Mise à jour Microsoft Modes d’installation : Notifier avant téléchargement/installation Télécharger puis notifier pour installation Télécharger et installer automatiquement selon la planification Autoriser les administrateurs locaux à choisir le mode de configuration (sans pouvoir désactiver AutoUpdate)

16 Configuration des clients
Fréquence de détection configurable (du client vers le serveur) : 22 heures par défaut; minimum 1 heure (charge sur le serveur) La durée réelle entre deux détections sera déterminée aléatoirement entre 80% et 100% de la durée paramétrée Délai de redémarrage et intervalle avant nouvelle demande de redémarrage (si redémarrage repoussé) Notification pour les non administrateurs (en fonction du mode d’installation) Pas de redémarrage planifié (pour laisser l’utilisateur redémarrer quand il le veut) Replanifier les installations planifiées (ex : 5 min après redémarrage) Autoriser l’installation immédiate des mises à jour automatiques Ciblage Notifie l’utilisateur si redémarrage nécessaire

17 Groupes cibles Utilité : cibler des mises à jour sur des machines spécifiques Groupe cible de test Groupe cible de production Deux types de ciblage Côté serveur L’administrateur WUS gère l’appartenance aux groupes depuis le site d’administration (listes sur le serveur) Côté client Appartenance gérée automatiquement En utilisant des stratégies de groupe (même groupe pour toutes les machines d’une même UO d’Active Directory) En utilisant le registre

18 Abonnements (subscriptions)
Permet de choisir quelles mises à jour télécharger et quand Produit / Type de mise à jour (sécu, SP,FP, pilote,etc…) En fait une mise à jour est composée de deux éléments Un correctif Les méta données décrivant le correctif Par défaut : seules les méta données sont téléchargées (catalogue) les correctifs sont téléchargés s’ils sont approuvés (contenu) Exemples d’abonnements Quotidiens pour les mises à jour critiques Hebdomadaires pour les mises à jour recommandées

19 Approbation de mise à jour
Vérification avant déploiement (détection) Évalue l’impact d’une mise à jour sur le réseau avant qu’elle ne soit déployée Au niveau de l’approbation d’une mise à jour, choisir l’action Detect Après un cycle de détection des clients, la rubrique Status de la mise à jour indique le nombre de machines qui nécessitent la mise à jour Installation lors de la prochaine date planifiée Installation avec date butoir Désinstallation (nécessite que la mise à jour le supporte)

20 Approbation automatique ?
Par défaut, « détection » automatique pour Les mises à jour critiques et de sécurité Tous les groupes cibles Par défaut, aucune approbation automatique pour l’installation On pourrait choisir des types de mises à jour, et des groupes cibles En cas de révision d’une mise à jour, la nouvelle version obtient le même niveau d’approbation que l’ancienne (désactivable pour effectuer un choix manuel)

21 Rapports Rapport standard consolidé (activités clients)
Par machine / par mise à jour / par groupe cible Succès et échecs des téléchargements et installations avec les détails sur les erreurs Rapport sur les synchros Nouveautés, changements

22

23 démo

24 Installation avec date butoir

25 Notions complémentaires
Communications Options de déploiement des serveurs WUS Stockage Sécurité Flexibilité

26 Communications Configuration des paramètres de proxy
Faible utilisation de la bande passante BITS pour les téléchargements client-serveur et serveur-serveur Mise à jour par “abonnement” (par produit/par type) Support des technologies “delta compression” Téléchargement dissocié des correctifs et de leurs méta données

27 Options de déploiement des serveurs
Déploiement hiérarchique Serveurs indépendants Serveurs non connectés à Internet

28 Serveurs WUS Microsoft Update Serveur WUS Serveur WUS
Postes de travail Clients Postes de travail Clients

29 Serveurs non connectés
Microsoft Update Serveur WUS Serveur WUS Importation et exportation manuelles Postes de travail Clients

30 Stockage Base de données pour gérer tout ce qui n’est pas contenu
Prise en compte des dépendances entre les mises à jour MSDE vs SQL Server MSDE a une limite de 2Go Mises à jour hébergées sur Microsoft Update (WUS sert alors seulement de point de contrôle) ou en local Filtrage de contenu Ne garder que les plateformes et langues dont vous avez besoin Dimensionnement Prévoir une croissance annuelle x nb de langues

31 Sécurité, flexibilité Sur le client et sur le serveur
Vérification de signature des contenus téléchargés Permissions sur les contenus téléchargés Changement des ports Sauf pour contacter MU Infrastructure et plateforme Option en ligne de commande pour déclencher une détection côté client : wuauclt.exe /detectnow API du client en COM exécutables à distance et scriptables API du serveur basées sur .Net Framework

32 Exemple de script Le serveur et le client exposent tous les deux des API scriptables Dim update, i set AutoUpdate = CreateObject("Microsoft.Update.AutoUpdate") Autoupdate.DetectNow() set UpdateSession = CreateObject("Microsoft.Update.Session") set UpdateSearcher = UpdateSession.CreateUpdateSearcher() set SearchResult= UpdateSearcher.Search("") set Updates = SearchResult.Updates set UpdatesToInstall = CreateObject("Microsoft.Update.UpdateColl") For i = 0 to (Updates.Count-1) UpdatesToInstall.Add(Updates.Item(i)) Next set Installer = UpdateSession.CreateUpdateInstaller() Installer.Updates = UpdatesToInstall set InstallationResult = Installer.Install() Détection Approbation Installation

33 Scénario : mise à jour de serveurs avec WUS

34 Mises à jour de serveurs Suggestions
Définir des groupes cibles (GPO ou interface d’administration WUS) Configurer les clients Mises à jour automatiques (GPO ou registre) Installation auto ou notification avant installation Si notification, ouverture de session ou script pour installation

35 Mises à jour de serveurs Suggestions
Pour les serveurs avec des fenêtres de maintenance, configurer les Mises à jour automatiques pour une installation planifiée durant la fenêtre Pour les serveurs sans créneaux de maintenance : Configurer les Mises à jour automatiques pour notifier avant l’installation Ouvrir une session sur le serveur ou utiliser les API pour effectuer l’installation lorsque c’est nécessaire

36 Mises à jour de serveurs Suggestions
Datacenters Utiliser les stratégies BITS pour limiter la bande passante et les fenêtres de téléchargement Configurer les Mises à jour automatiques pour notifier avant l’installation Utiliser les API pour effectuer l’installation lorsque c’est nécessaire Clusters Scripter la mise à jour nœud après noeud

37 Systems Management Server 2003
Partie 3 : SMS 2003 Systems Management Server 2003

38 Gestion des ressources matérielles et logicielles
Fonctionnalités Gestion des ressources matérielles et logicielles PPC 2003 64 MB ARM 300 MHz Windows XP SP1 256 MB P IV 1 GHz Windows 2000 128 MB P III 700 MHz Windows NT 4 SP6 P III 350 MHz OS RAM CPU Découverte Inventaire Reporting Gestion du cycle de vie des applications et des correctifs de sécurité Packaging Distribution Installation Suivi utilisation Télé-Assistance

39 SMS 2003 et correctifs de sécurité Architecture
Microsoft Download Center Téléchargement et installation des outils d’analyse pour Windows (MBSACLI.EXE) et Office Internet Téléchargement régulier du référentiel (MSSECURE.XML) Intranet Inventaire des clients et intégration avec les données d’inventaire matériel SMS Point de distribution SMS Utilisation de l’assistant Distribute Software Updates pour déclencher l’installation des mises à jour sélectionnées Clients SMS Téléchargement des fichiers; création/mise à jour des packages, programmes & annonces; réplication des packages & publication des programmes vers les clients SMS Point de distribution SMS Installation des mises à jour par l’agent SMS Clients SMS De manière périodique: synchronisation de nouvelles mises à jour; analyse des clients; déploiement des mises à jour nécessaires Clients SMS

40 SMS 2003 et correctifs de sécurité Architecture
Support de Windows 2003, XP, 2000 et de NT 4.0 (et des périphériques mobiles) Utilisation de l’infrastructure de télédistribution en place pour déployer MBSACLI 1.2 Exécution automatique d’une tâche récurrente permettant de déterminer quelles sont les mises à jour nécessaires pour chaque machine Les informations sont collectées par les mécanismes standard d’inventaire et transmises dans le référentiel de SMS Création de rapports permettant d’analyser les informations d’inventaire

41 SMS 2003 et correctifs de sécurité Composants
Security Update Inventory Tool Office Update Inventory Tool Distribute Software Updates Wizard

42 Security Update Inventory Tool
Objectif: Déterminer quels sont les correctifs présents et nécessaires pour les environnements Windows NT 4.0, 2000, XP et 2003 IE 5.x et 6.x IIS 4.0, 5.0 et 6.0 Exchange Server 2000 et 2003 MDAC 2.5, 2.6, 2.7, et 2.8 MSXML 2.5, 2.6, 3.0, et 4.0 BizTalk Server 2000, 2002, et 2004 Commerce Server 2000 et 2002 Content Management Server 2001 et 2002 Host Integration Server 2000, 2004, SNA Server 4.0 Liste des exceptions: Microsoft Baseline Security Analyzer (MBSA) returns note messages for some updates

43 Security Update Inventory Tool
Permet de créer dans SMS les lots permettant de Télécharger automatiquement la liste des correctifs de sécurité D’installer et exécuter, à intervalles de temps réguliers, MBSACli.exe sur les postes clients Enrichit l’inventaire avec Le numéro du bulletin de sécurité, le numéro de l’article technique, le titre, … Etat (Installé, Applicable) L’URL du site où peut être obtenue la mise à jour S’intègre avec le module de reporting

44 Security Update Inventory Tool

45 Office Update Inventory Tool
Objectif : Déterminer quels sont les correctifs Office applicables Office 2000 Office XP

46 Office Update Inventory Tool
Permet de créer dans SMS les lots permettant de Télécharger automatiquement la liste des correctifs D’installer et exécuter, à intervalles de temps réguliers, l’outil « Office Update Inventory Tool » sur les postes clients Enrichit l’inventaire avec Le numéro du bulletin de sécurité, le numéro de l’article technique, le titre, … Etat (Installé, Applicable) L’URL du site où peut être obtenue la mise à jour S’intègre avec le module de reporting

47 Distribute Software Updates Wizard
The following slides highlight some key screens from the Patch Deployment Wizard. Note, not every screen is shown.

48 Distribute Software Updates Wizard

49 Distribute Software Updates Wizard

50 Distribute Software Updates Wizard

51 Distribute Software Updates Wizard
Objectif : Automatiser le déploiement des mises à jour manquantes sur les postes clients Fonctionnement S’appuie sur l’inventaire remonté par les outils d’inventaire Il est aussi possible de déployer des mises à jour directement avec le SP1 Recherche des correctifs manquants, sélection des correctifs Téléchargement des correctifs depuis Microsoft.com Création automatique du Lot de l’Annonce et du Programme

52 Distribute Software Updates Wizard Fonctionnalités
Un assistant intégré à la sécurité et à la console d’administration de SMS permettant de Visualiser les mises à jour nécessaires et gérer les priorités Récupérer et autoriser les mises à jour Tester les mises à jour en environnement pilote Définir le contenu des lots Contrôler l’expérience et les scénarios utilisateurs

53 Distribute Software Updates Wizard Fonctionnalités
Comment récupérer les versions internationales du catalogue Modifier le fichier Download.ini pour y ajouter une section [Download2] XMLCABURL=http://go.microsoft.com/fwlink/?LinkId=26835 XMLCABDEST=1036 Pour plus d’information se reporter à l’adresse support.microsoft.com/default.aspx?scid=kb;EN-US;838403 Comment utiliser un Proxy nécessitant une authentification Utiliser PatchDownloader.exe /s:" "Server[:port] /U:<UserName as Domain\UserName>

54 SMS 2003 et correctifs de sécurité Installation des mises à jour
Utilisation privilégiée des zones de notification et des ballons Des détails supplémentaires sont disponibles pour les utilisateurs intéressés Possibilité d’utiliser des textes et graphiques spécifiques afin de mettre en exergue certaines mises à jour Support des installations en mode automatique ou silencieux Politique d’installation souple variant entre « installation obligatoire et immédiate » et « installation facultative » Détermination automatique du nombre optimum de démarrages

55 SMS 2003 et correctifs de sécurité Interface cliente

56 SMS 2003 et correctifs de sécurité Interface cliente

57 SMS 2003 et correctifs de sécurité Conformité du parc

58 SMS 2003 et correctifs de sécurité Conformité du parc

59 Comparaison SUS/WUS/SMS
Partie 4 : synthèse Comparaison SUS/WUS/SMS

60 Choisir une solution de gestion des correctifs
Client Scénario Choix Grande ou moyenne entreprise Besoin d'une solution unique et flexible de gestion des mises à jour avec un niveau élevé de contrôle et de distribution pour TOUTES les versions de Windows et d'applications, ainsi qu'une solution de gestion du parc intégré SMS 2003 Besoin seulement d'une solution de mise à jour simple pour les produits Microsoft, et dans un premier temps Windows (2000 et ultérieur), Office (2003 & XP), Exchange 2003, SQL Server 2000 et MSDE 2000 WUS* Petite entreprise Au moins un serveur et un administrateur Tous les autres scénarios Microsoft Update* Consommateur Tous les scénarios *utilisation de Windows Update, d'un autre outil de mise à jour ou mise à jour manuelle pour les systèmes et applications non supportés par WUS ou Microsoft Update

61 Comparaison de MU, WUS et SMS 2003
Capacité Microsoft Update WUS SMS 2003 Logiciels et contenus supportés Logiciels supportés pour le contenu Pareil que WUS + WinXP édition familiale Win2K, WS2003, WinXP Pro, Office 2003, Office XP, Exchange 2003, SQL Server 2000, MSDE Idem WUS + NT 4.0 & Win98 + peut mettre à jour n’importe quel logiciel fonctionnant sur Windows Types de contenu supportés Toutes les mises à jour de logiciels, mises à jour critiques de pilotes, Service Packs & Feature Packs Toutes les mises à jour de logiciels, Service Packs & Feature Packs + support la mise à jour et l’installation d’appli Windows Capacités de gestion des mises à jour Ciblage de contenu à certains systèmes N/A Simple Avancé Optimisation de la bande passante réseau Oui Contrôle de la distribution des correctifs Installation de correctif & flexibilité de la planification Manuelle & contrôlée par l’utilisateur final Rapport sur les installations de correctifs Erreurs d’installation rapportées à l’utilisateur. Liste les mises à jour manquantes pour la machine connectée Planification du déploiement Gestion de l’inventaire Non Vérification de conformité Non – rapport de statut seulement

62 Ressources Site sécurité : http://www.microsoft.com/france/securite
Gestion des mises à jour de sécurité : Site WUS (en anglais) : Site SMS : Gestion des correctifs de sécurité avec SMS : MBSA

63

64 BACKUP

65 Installation à l’arrêt (XP SP2)
Profiter de l’arrêt de la machine pour la maintenir à jour Contrôlé par stratégie de groupe

66 Divers Disponible en 25 langues pour le client, 17 langues pour le serveur Support de la delta compression Mise à jour automatique du client AutoUpdate (= selfupdate)

67 Pré-installation (selfupdate)


Télécharger ppt "Gestion des mises à jour de sécurité"

Présentations similaires


Annonces Google