La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Reprise à 14H15. Windows Server Update Services (WSUS) Cyril Voisin Chef de programme Sécurité Microsoft France.

Présentations similaires


Présentation au sujet: "Reprise à 14H15. Windows Server Update Services (WSUS) Cyril Voisin Chef de programme Sécurité Microsoft France."— Transcription de la présentation:

1 Reprise à 14H15

2 Windows Server Update Services (WSUS) Cyril Voisin Chef de programme Sécurité Microsoft France

3 La stratégie sécurité de Microsoft Isolation et résilience Authentification,Autorisation,Audit Excellencedelengineering Mise à jour avancée Conseils,Outils,Réponse

4 Aujourdhui Futur proche Windows, SQL, Exchange, Office… Windows, SQL, Exchange, Office… Office Update Download Center SUS SMS Microsoft Update (Windows Update) VS Update Windows Update Windows seulement UpdateServices Mises à jour

5 Automatic Updates (AU) Service de Mises à jour automatiques (le client de WSUS)

6 Automatic Updates (AU) Description Service local (Mises à jour automatiques) automatisant laccès à WU permettant Dobtenir automatiquement les mises à jour critiques et de sécurité de Windows dont elle a besoin De les installer automatiquement (si le propriétaire de la machine le souhaite) Quand on le connecte à WU (ou MU) : à destination du grand public et des TPE Quand on le connecte à WSUS, cest LE client WSUS (à destination des PME principalement)

7 Client Mises à jour automatiques (AutoUpdate) Principe : se connecte à Windows Update, Microsoft Update ou un serveur WSUS pour maintenir la machine à jour Mode pull Disponible pour Windows Server 2003 Windows 2000 SP3 Windows XP SP1

8 Installation à larrêt (XP SP2) Profiter de larrêt de la machine pour la maintenir à jour Contrôlé par stratégie de groupe

9 Configuration des clients Par stratégie de groupe ou par registre Configurer les Mises à jour automatiques (AutoUpdate) Modes dinstallation : Notifier avant téléchargement/installation Télécharger puis notifier pour installation Télécharger et installer automatiquement selon la planification Autoriser les administrateurs locaux à choisir le mode de configuration (sans pouvoir désactiver AutoUpdate)

10 Configuration des clients Fréquence de détection configurable (du client vers le serveur) : 22 heures par défaut; minimum 1 heure (charge sur le serveur) La durée réelle entre deux détections sera déterminée aléatoirement entre 80% et 100% de la durée paramétrée Délai de redémarrage et intervalle avant nouvelle demande de redémarrage (si redémarrage repoussé) Notification pour les non administrateurs (en fonction du mode dinstallation) Pas de redémarrage planifié (pour laisser lutilisateur redémarrer quand il le veut) Replanifier les installations planifiées (ex : 5 min après redémarrage) Autoriser linstallation immédiate des mises à jour automatiques Notifie lutilisateur si redémarrage nécessaire

11 Dépannage Vérifier le démarrage du service Vérifier la configuration du client Via linterface graphique (Propriétés du Poste de travail, onglet Mises à jour automatiques) Si stratégie de groupe, vérifier son application (gpresult) Si rafraîchissement de stratégie de groupe nécessaire : gpupdate /force Logs : Journal des événements %windir%\WindowsUpdate.log%windir%\SoftwareDistribution\ReportingEvents.log Forcer une détection : wuauclt.exe /detectnow Réinitialiser le cookie et forcer une détection : wuauclt.exe /resetauthorization /detectnow

12 Windows Server Update Services (WSUS, ex SUS 2.0) Serveur de gestion de mises à jour

13 Avertissement Windows Server Update Services (WSUS) nexiste pas encore en version finale (Release Candidate seulement) Certaines fonctionnalités décrites ici pourraient changer dici à la sortie du produit (même si cest peu probable)

14 Objectifs de WSUS (SUS 2.0) Construire linfrastructure de base de la gestion des mises à jour Créer une solution facile dutilisation, néanmoins complète, pour télécharger et distribuer des mises à jour de produits Microsoft Critiques ou non Rapports centralisés Garantie de linstallation Dépannage Systèmes ou applications Répondre aux demandes clients par rapport à la version SUS 1.0 (qui ne prend en charge que les mises à jour critiques ou sécurité de Windows)

15 Les fonctionnalités demandées par nos clients *En partie possible via le réglage de la fréquence de détection et des scripts Fonctionnalités demandées SUS 1.0 SP1 WSUS Support des Service Packs Installation sur SBS et sur des contrôleurs de domaine Support dOffice et dautres produits Microsoft Support dautres types de mises à jour Désinstallation de mise à jour Ciblage des mises à jour Amélioration du support pour les réseaux bas débit Réduction de la quantité de données à télécharger Réglage de la fréquence de détection des mises à jour Minimiser linterruption de lutilisateur Déploiement durgence dun correctif (gros bouton rouge) * Déploiement de mises à jour dautres applications non Microsoft Support de NT4

16 Produits supportés Client WSUS Windows Windows 2000 SP3 + Windows XP Windows Server 2003 (SP1 mini pour versions 64 bits) Office Office XP SP2 et Office 2003 SQL Server SQL 2000 et MSDE 2000 Exchange Server Exchange Server 2003 A terme, plus de produits Microsoft (comme ISA Server 2004 par exemple)

17 Produits supportés Server WSUS Windows Server 2003 (32 bits) IIS6 BITS 2.0 for Windows Server 2003 (pas encore dispo en version finale).NET Framework 1.1 SP1 for Windows Server 2003 Windows 2000 Server SP4 IIS5 BITS 2.0 for Windows 2000 (pas encore dispo en version finale) Base de données 100% compatible SQL Server (ex : MSDE 2000) IE 6.0 SP1.NET Framework 1.1 avec SP1

18 Ladministrateur souscrit à certaines catégories de mises à jourLe serveur télécharge les mises à jour depuis Microsoft UpdateLes clients senregistrent auprès du serveur Ladministrateur met les clients dans différents groupes cibles Ladministrateur approuve les mises à jour Les clients installent les mises à jour approuvées par ladministrateur Microsoft Update (utilise WSUS) Serveur WSUS Postes de travail (clients WSUS) Groupe cible 1 Serveurs (clients WSUS) Groupe cible 2 Administrateur WSUS Aperçu de la solution WSUS

19 Client AU Possibilité de mise à jour silencieuse du client à partir du serveur WSUS Configurer les Mises à jour automatiques (AutoUpdate) en spécifiant un serveur intranet de Mise à jour Microsoft Ciblage (GPO ou pas) Attention : Windows XP sans Service Pack

20 Pré-installation (selfupdate)

21 Groupes cibles Utilité : cibler des mises à jour sur des machines spécifiques Groupe cible de test Groupe cible de production Deux types de ciblage Côté serveur Ladministrateur WSUS gère lappartenance aux groupes depuis le site dadministration (listes sur le serveur) Côté client Appartenance gérée automatiquement En utilisant des stratégies de groupe Ex : même groupe cible pour toutes les machines dune même UO dActive Directory) ou groupe cible attribué par GPO filtré selon les groupes Active Directory En utilisant le registre

22 Abonnements (subscriptions) Permet de choisir quelles mises à jour télécharger et quand Produit / Type de mise à jour (sécu, SP,FP, pilote,etc…) En fait une mise à jour est composée de deux éléments Un correctif Les méta données décrivant le correctif Par défaut : seules les méta données sont téléchargées (catalogue) les correctifs sont téléchargés sils sont approuvés (contenu) Abonnements Planifié (récurrent) Manuel

23 Approbation de mise à jour Vérification avant déploiement (détection) Évalue limpact dune mise à jour sur le réseau avant quelle ne soit déployée Au niveau de lapprobation dune mise à jour, choisir laction Detect only Après un cycle de détection des clients, la rubrique Status de la mise à jour indique le nombre de machines qui nécessitent la mise à jour Installation lors de la prochaine date planifiée Installation avec date butoir (passée une date donnée, linstallation devient obligatoire si on utilise AU quel que soit le mode, auto ou pas) Désinstallation (nécessite que la mise à jour le supporte)

24 Approbation automatique ? Par défaut, « détection » automatique pour Les mises à jour critiques et de sécurité Tous les groupes cibles Par défaut, aucune approbation automatique pour linstallation On pourrait choisir des types de mises à jour, et des groupes cibles En cas de révision dune mise à jour, la nouvelle version obtient le même niveau dapprobation que lancienne (désactivable pour effectuer un choix manuel)

25 Rapports Rapport standard consolidé (activités clients) Par machine / par mise à jour / par groupe cible Succès et échecs des téléchargements et installations avec les détails sur les erreurs Rapport sur les synchros Nouveautés, changements

26

27

28 Installation avec date butoir

29 Communications Configuration des paramètres de proxy Faible utilisation de la bande passante BITS pour les téléchargements client-serveur et serveur-serveur Mise à jour par abonnement (par produit/par type) Support des technologies delta compression Téléchargement dissocié des correctifs et de leurs méta données Port utilisé : 80 ou 8530 (attention, dans ce cas pour mettre à jour de « vieux » clients, il faut maintenir un site sur le port 80)

30 Options de déploiement des serveurs Déploiement hiérarchique Serveurs indépendants Serveurs miroirs (« replica ») Serveurs non connectés à Internet

31 Procédure Sassurer que sur les serveurs les options avancées de synchronisation (installation express, langues) sont les mêmes Pas de problème pour le planning, les catégories de produits, le proxy… Copier les mises à jour depuis \WSUS\WSUSContent (utilitaire de sauvegarde de Windows, en mode incrémental par ex.) Exporter les méta données de la base de données WSUSutil.exe (32 bits seulement; il faut être admin) Copier le contenu sur le serveur destination Puis importer les méta données avec WSUSutil.exe

32 Stockage Base de données pour gérer tout ce qui nest pas contenu Prise en compte des dépendances entre les mises à jour MSDE vs SQL Server MSDE a une limite de 2Go Mises à jour hébergées sur Microsoft Update (WSUS sert alors seulement de point de contrôle) ou en local Filtrage de contenu Ne garder que les plateformes et langues dont vous avez besoin Dimensionnement Prévoir une croissance annuelle x nb de langues

33 Sécurité, flexibilité Sur le client et sur le serveur Vérification de signature des contenus téléchargés Permissions sur les contenus téléchargés Changement des ports Sauf pour contacter MU Infrastructure et plateforme Option en ligne de commande pour déclencher une détection côté client : wuauclt.exe /detectnow API du client en COM exécutables à distance et scriptables API du serveur basées sur.Net Framework

34 Exemple de script Le serveur et le client exposent tous les deux des API scriptables Dim update, i set AutoUpdate = CreateObject("Microsoft.Update.AutoUpdate") Autoupdate.DetectNow() set UpdateSession = CreateObject("Microsoft.Update.Session") set UpdateSearcher = UpdateSession.CreateUpdateSearcher() set SearchResult= UpdateSearcher.Search("") set Updates = SearchResult.Updates set UpdatesToInstall = CreateObject("Microsoft.Update.UpdateColl") For i = 0 to (Updates.Count-1) UpdatesToInstall.Add(Updates.Item(i))Next set Installer = UpdateSession.CreateUpdateInstaller() Installer.Updates = UpdatesToInstall set InstallationResult = Installer.Install() Détection Approbation Installation

35 Dimensionnement du serveur Jusquà 500 clients MinimumRecommandé Processeur 750 MHz 1 GHz ou + RAM 512 Mo 1 Go Base de données WMSDE/MSDEWMSDE/MSDE De 500 à clientsMinimumRecommandéProcesseur 1 GHz ou + Bi-processeur à 3 GHz ou + (2 processeurs pour plus de clients) RAM 1 Go 1 GB Base de données SQL Server 2000 SP3a

36 Espace disque NTFS requis Partition système : 1 Go libre au moins Partition stockant le contenu WSUS : 6 Go mini (30 Go recommandés) Partition où la base de données sera installée : 2 Go minimum

37 Installation Vue des différentes étapes de lassistant dinstallation (document Step by step guide to getting started with Microsoft Windows Server Update Services)

38 *utilisation de Windows Update, d'un autre outil de mise à jour ou mise à jour manuelle pour les systèmes et applications non supportés par WSUS ou Microsoft Update Client Sc é nario Choix Grande ou moyenne entreprise Besoin d'une solution unique et flexible de gestion des mises à jour avec un niveau é lev é de contrôle et de distribution pour TOUTES les versions de Windows et d'applications, ainsi qu'une solution de gestion du parc int é gr é SMS 2003 Besoin seulement d'une solution de mise à jour simple pour les produits Microsoft, et dans un premier temps Windows (2000 et ult é rieur), Office (2003 & XP), Exchange 2003, SQL Server 2000 et MSDE 2000 WSUS* Petite entreprise Au moins un serveur et un administrateur WSUS* Tous les autres sc é narios Microsoft Update* Consommateur Tous les sc é narios Microsoft Update* Choisir une solution de gestion des correctifs

39 Migration de SUS1 vers WSUS Pas de mise à jour mais une migration des mises à jour et des approbations (et cest tout) WSUSutil.exe SUS1 et WSUS peuvent cohabiter sur un même serveur

40 RessourcesRessources

41 Références Site sécurité : Questions : Gestion des mises à jour de sécurité : ionmaj/default.asp ionmaj/default.asp ionmaj/default.asp Site WSUS (en anglais) : Version RC : ation/trial/default.mspx ation/trial/default.mspx ation/trial/default.mspx Téléchargement des fichiers dinstallation Livres blancs Step-by-Step Guide to Getting Started with Microsoft Windows Server Update Services Deploying Microsoft Windows Server Update Services Microsoft Windows Server Update Services Operations Guide

42 Microsoft France 18, avenue du Québec Courtaboeuf Cedex

43 ComplémentsCompléments

44 Windows Server Update Services ex SUS 2.0 Logiciel gratuit* de gestion des mises à jour (sécurité ou non) de produits Microsoft Critiques ou non Rapports centralisés Garantie de linstallation Dépannage Systèmes ou applications Sappuie sur Microsoft Update * Nécessite des CAL si utilisé sur autre chose quun Windows Server 2003 Web Edition

45 AU dans XP sans aucun Service Pack

46 Security Development Lifecycle (SDL) aspx?pull=/library/en- us/dnsecure/html/sdl.asp aspx?pull=/library/en- us/dnsecure/html/sdl.asp

47 Postes de travail Clients Serveurs WSUS Microsoft Update Serveur WSUS

48 Postes de travail Clients Serveurs non connectés Microsoft Update Serveur WSUS Serveur WSUS (autonome) Importation et exportation manuelles

49 Mises à jour de serveurs Suggestions Définir des groupes cibles (GPO ou interface dadministration WSUS) Configurer les clients Mises à jour automatiques (GPO ou registre) Installation auto ou notification avant installation Si notification, ouverture de session ou script pour installation

50 Mises à jour de serveurs Suggestions Pour les serveurs avec des fenêtres de maintenance, configurer les Mises à jour automatiques pour une installation planifiée durant la fenêtre Pour les serveurs sans créneaux de maintenance : Configurer les Mises à jour automatiques pour notifier avant linstallation Ouvrir une session sur le serveur ou utiliser les API pour effectuer linstallation lorsque cest nécessaire

51 Mises à jour de serveurs Suggestions Datacenters Utiliser les stratégies BITS pour limiter la bande passante et les fenêtres de téléchargement Configurer les Mises à jour automatiques pour notifier avant linstallation Utiliser les API pour effectuer linstallation lorsque cest nécessaire Clusters Scripter la mise à jour nœud après noeud

52 Suggestions Nombre de serveurs ? Organisation ? Hiérarchie ou pas Mode replica (miroir) ou pas (se définit à linstallation seulement) Attention : il est conseillé de ne pas dépasser 3 niveaux dans la hiérarchie pour des questions de latence de propagation des mises à jour

53 Suggestions Connexion à Microsoft Update Configuration dun proxy (éventuellement compte + mot de passe) Ouverture du pare-feu HTTP 80 et HTTPS 443 pour joindre les serveurs Microsoft sur le Web Liste des domaines : ·http://windowsupdate.microsoft.com ·http://*.windowsupdate.microsoft.com ·https://*.windowsupdate.microsoft.com ·http://*.update.microsoft.com ·https://*.update.microsoft.com ·http://*.windowsupdate.com ·http://download.windowsupdate.com ·http://download.microsoft.com ·http://*.download.windowsupdate.com ·http://wustat.windows.com ·http://ntservicepack.microsoft.com

54 Suggestions Filtre dURL (type URLScan), si vous lutilisez, il faut : autoriser les extensions de type.exe (les enlever de la section [DenyExtensions] Autoriser dans [AllowVerbs] GETHEADPOSTOPTIONS

55 Suggestions Limiter la bande passante et lespace disque Choix des types de mise à jour dans labonnement Choix des langues Télécharger seulement les méta-données sans les correctifs (les correctifs sont téléchargés quand ils sont approuvés) Utiliser les installations express (deltas) ou pas

56 SuggestionsAbonnements Fréquence de mise à jour des abonnements : quotidienne pour mises à jour de sécurité, hebdo pour mises à jour normales, mensuelle/trimestrielle pour les pilotes Groupes cibles Diviser les machines par catégories de machines relativement homogènes A lintérieur de chaque catégorie, définir un groupe Pilote et un groupe Production Préférer la répartition par GPO plutôt que par clé de registre

57 Configuration du client Suggestions Choix de linstallation automatisée (sauf exceptions, dans ce cas obliger à utiliser AutoUpdate sans forcer le moment de linstallation) Appartenance à un groupe cible : via GPO

58 Configuration du client Suggestions Choix de lheure dinstallation (possibilité de répartir les heures selon les machines via GPO, ce qui laisse loccasion détaler linstallation sur le groupe Production et éventuellement de détecter déventuels problèmes) Fréquence de détection configurable (du client vers le serveur, de 1H à 22H, par défaut 22H et durée effective tirée aléatoirement entre 80% et 100% de la durée indiquée) : 12H pour la production et 1H pour le Pilote Délai de redémarrage et intervalle avant nouvelle demande de redémarrage (si redémarrage repoussé) : 45 min

59 Configuration du client Suggestions Notification pour les non administrateurs (en fonction du mode dinstallation) : désactivé Pas de redémarrage planifié (pour laisser lutilisateur redémarrer quand il le veut) : désactivé Replanifier les installations planifiées (après redémarrage) : 25 min Autoriser linstallation immédiate des mises à jour automatiques : oui sur le Pilote, non sur la production

60 Approbation de mise à jour Suggestions Vérification avant déploiement (détection) : à utiliser largement sur Production Installation : pour les mises à jour normales Installation avec date butoir : pour les mises à jour de sécurité critiques (la positionner à date de sortie du bulletin + 9 jours) Désinstallation : à vérifier via rapports après coup (cycle complet de détection, soit 22H par défaut) Re-approbation automatique (utiliser ou non automatiquement la nouvelle révision de mise à jour) : désactivé (attention : surveiller loccurrence de ces mises à jour)

61 Autres Suggestions Dépannage Côté client : option en ligne de commande pour déclencher une détection côté client : wuauclt.exe /detectnow Lecture des logs Rapports consolidés de lactivité des clients Par machine / par mise à jour / par groupe cible Succès et échecs des téléchargements et installations avec les détails sur les erreurs Rapport sur les synchros Nouveautés, changements Surveillance de la santé du serveur Serveur Update Services déconnecté dInternet (script manuel de synchro)

62 Mise en place de SSL ? Pour protéger le transfert des méta données Ne pas appliquer sur tout le site car une partie du trafic doit se faire en HTTP (en clair) SSL sur SimpleAuthWebServiceDSSAuthWebServiceServerSyncWebServiceWSUSAdminClientWebService Mais pas sur ContentReportingWebServiceSelfUpdate Port : 443 ou 8531 (si port personnalisé en 8530 pour le trafic normal) Sur les serveurs subordonnés, importer le certificat dans le magasin des autorités de certification racines de confiance de lordinateur local ou dans le magasin des autorités de certification racines de confiance de Windows Server Update Services

63 Mise en place de SSL ? Inconvénients Perte de 10% de performance sur le serveur La connexion entre le serveur et la base de données nutilise pas SSL Les mettre sur la même machine Ou sur un même réseau privé Ou utiliser IPsec Configuration des clients Changer lURL du serveur WSUS (ex : https://monserveurWSUS) Importation du certificat dans le magasin des autorités de certification racines de confiance de lordinateur local ou dans le magasin des autorités de certification racines de confiance du service Mises à jour automatiques

64 Comparaison de MU, WSUS et SMS 2003 Capacit é Microsoft Update WSUS SMS 2003 Logiciels et contenus support é s Logiciels support é s pour le contenu Pareil que WSUS + WinXP é dition familiale Win2K, WS2003, WinXP Pro, Office 2003, Office XP, Exchange 2003, SQL Server 2000, MSDE Idem WSUS + NT 4.0 & Win98 + peut mettre à jour n importe quel logiciel fonctionnant sur Windows Types de contenu support é s Toutes les mises à jour de logiciels, mises à jour critiques de pilotes, Service Packs & Feature Packs Toutes les mises à jour de logiciels, Service Packs & Feature Packs + support la mise à jour et l installation d appli Windows Capacit é s de gestion des mises à jour Ciblage de contenu à certains syst è mes N/ASimple Avanc é Optimisation de la bande passante r é seau OuiOuiOui Contrôle de la distribution des correctifs N/ASimple Avanc é Installation de correctif & flexibilit é de la planification Manuelle & contrôl é e par l utilisateur final Simple Avanc é Rapport sur les installations de correctifs Erreurs d installation rapport é es à l utilisateur. Liste les mises à jour manquantes pour la machine connect é e Simple Avanc é Planification du d é ploiement N/ASimple Avanc é Gestion de l inventaire N/ANonOui V é rification de conformit é N/A Non – rapport de statut seulement Avanc é


Télécharger ppt "Reprise à 14H15. Windows Server Update Services (WSUS) Cyril Voisin Chef de programme Sécurité Microsoft France."

Présentations similaires


Annonces Google