La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Gestion des mises à jour de sécurité avec WSUS ou SMS Fabrice Meillon Architecte Infrastructure Microsoft France

Présentations similaires


Présentation au sujet: "Gestion des mises à jour de sécurité avec WSUS ou SMS Fabrice Meillon Architecte Infrastructure Microsoft France"— Transcription de la présentation:

1 Gestion des mises à jour de sécurité avec WSUS ou SMS Fabrice Meillon Architecte Infrastructure Microsoft France

2 Agenda Problématique et rappel du processus (MOF) La gestion des correctifs au travers de Windows Server Update Services La gestion des correctifs au travers de System Management Server 2003 Quel outil choisir ?

3 Produits, outils et automatisation Cohérents et répétitifs Compétences, rôles et responsabilités Processus Personnes Technologies Gestion réussie des correctifs

4 Processus Appliquée au processus de gestion des correctifs, les principes de MOF se déclinent en 4 phases : 1. 1.Inventaire : phase dinventaire de lexistant 2. 2.Identification : phase de détection des correctifs disponibles 3. 3.Evaluation : phase de test et de décision dapplication des correctifs, puis de planification de leur déploiement 4. 4.Déploiement : distribution et installation sur les ordinateurs cibles. Les principes fondamentaux des processus MOF sont : une approche structurée, un cycle de vie rapide et un perfectionnement itératif, une gestion basée sur la révision, et lintégration de la gestion des risques. Le processus de gestion des correctifs en entreprise : méthodes recommandées

5 Hier Aujourdhui Windows, SQL, Exchange, Office… Windows, SQL, Exchange, Office… Office Update Download Center SUS SystemManagementServer Microsoft Update (Windows Update) VS Update Windows Update Windows, Office seulement Windows seulement WindowsServerUpdateServices Technologies

6 Quest ce que Windows Server Update Services (WUS)? Offre dentreprise de gestion des mises à jour Obtenir le contenu du service Microsoft Update Composant téléchargeable sur le web Pas de coût licences Windows Server (2000 et ultérieur) Nécessite une licence Windows Server / CAL pour les systèmes cibles Ne modifie pas les offres existantes Software Update Services (SUS 1.0) continue dobtenir son contenu de Windows Update ( déc. 2006) Le client Windows Update

7 Administrateur souscrit aux catégories de mises à jour Serveur télécharge les mises à jour de Microsoft Update Clients senregistrent aux-mêmes avec le serveur Administrateur place les clients dans des groupes cibles Administrateur approuve les mises à jour Agents installent les mises à jour approuvées par ladministrateur Microsoft Update Serveur WSUS Groupe 1 cible Postes clients Groupe 2 cible Serveurs Administrateur WSUS Vue densemble

8 Windows Server Update Services Vue densemble

9 Implémentation Contenu Windows, Office, SQL, Exchange à lorigine (disponibilité du produit) Des produits additionnels sy ajoutent : Small Business Server 2003, DPM, Windows Defender, ISA… Plate-formes (Système dexploitation) Client/agent Windows 2000 SP3 et ult., Windows XP RTM et ult. (incl. XP embedded et XP x64) Windows 2003 RTM (32-bit seulement), Windows 2003 SP1 (x64 et ia64) Serveur Windows 2000 SP4 et ultérieur Windows 2003 RTM et ultérieur (32-bit seulement) Localisation Client est localisé en 25 versions Serveur est localisé en 17 versions Support des packs de langues au niveau du système (MUI)

10 Contrôle Administrateur défini des groupes cibles Utilisation des stratégies de groupe pour ce faire dans lenvironnement AD Au travers de linterface dadministration de WSUS pour les environnement non AD Administrateur contrôle les approbations Détection seulement évaluation des machines qui nécessite lapplication dun patch Approbation pour linstallation et la désinstallation (pas toujours possible) Installation sur date butoir Approbation par groupe cible: Différentes mises à jour vers différents groupes cibles Différentes dates butoirs par groupe cible Différentes actions par groupe cible

11 Configuration de lagent Fréquence de communication (polling) Notification et type dinstallation Comportement vis-à-vis du redémarrage Comportement vis-à-vis du redémarrage Port configurable Les utilisateurs standards peuvent installer des mises à jour par notification (comme les administrateurs) Installation à larrêt (XP SP2 et Windows 2003 SP1 seulement)

12 Optimisation réseau Réprise en cas de coupure et transparence BITS* pour téléchargement client-serveur et serveur-serveur Téléchargements se font en fond de tache (background) Téléchargement minimal des mises à jour Suscriptions aux mises à jour – téléchargement des mises à jour pour les produits, classifications et langues que *vous* avez besoin Support de la technologie delta compression pour les communications Option client-serveur pour téléchargement uniquement les mises à jour approuvées (download on demand) Option pour télécharger uniquement le catalogue des mises à jour et la détection – binaires sur MU *Background Intelligent Transfer Service

13 Architecture Serveur Server API File Store (NTFS) Metadata Store MSDE/SQL Client/Server Web service Server/Server Reporting Admin UI Contentsync Catalogsync Clients WSUS Servers/MU Admin workstation

14 Architecture Client WU Service or WSUS IE (WU Site) Custom scripts WU Client API Automatic updates Update manager Update handlers Content store Metadata Store Client WU BITS

15 Administration Serveur APIs basées.NET Règles simple pour automatiser le déploiement des mises à jour sans UI Client Ligne de commande wuauclt.exe /detectnow pour la détection APIs basées sur COM pour les scripts et le support distant Paramètres du client AU via stratégie de groupe ou scripts Outils de diagnostics

16 Scripting et outils Windows Server Update Services

17 Déploiement Différentes options de déploiement serveur Serveur unique Serveurs multiples ReplicaAutonome Serveurs déconnectés Dimensionnement et migration Configuration du client Windows Update

18 Serveur unique Microsoft update Serveur WSUS Poste clients

19 Serveurs multiples Microsoft Update Serveur WSUS Poste clients Serveur WSUS

20 Poste clients Serveurs déconnectés Microsoft update ServeurWSUS Serveur WSUS

21 Considérations de déploiement Besoins matériels Nombre de clients, fréquence de polling du client vers le serveur Base de données et stockage SQL Locale ou distante versus MSDE /WMSDE Bande passante Site unique, multi-sites, « branch office », bande passante faible Sécurité Personnalisation des ports de communication Scalabilité Hiérarchie Serveur Options des cibles Mode Client versus Serveur Management Automatisation par scripts versus interface dadministration Web

22 Migration depuis SUS 1.0 et dimensionnement 2 scénarios 2 machines Serveur SUS Serveur WSUS 1 machine SUS et WSUS Dimensionnement

23 Configuration client Windows Update Modes de configuration GPO (implique AD) Modification directe du registre Windows (script) Stratégies locales

24 Durcissement de la configuration WSUS Serveur Windows qui héberge WSUS, Communications entre serveurs et clients, Sécurité avancée du service Web IIS 6.0, Sécurité avancée de la base de données (et si nécessaire des communications avec celle-ci). Deploying Microsoft Windows Server Update Services – Appendix D: Security Settings WSUSDeploymentGuideTC/d4a3c3be-a76c-437e-8ae0-b96aff64df13.mspx

25 Téléassistance Quest ce que Systems Management Server (SMS) ? Gestion des ressources matérielles et logicielles PPC MB ARM 300 MHz Windows XP SP1 256 MB P IV 1 GHz Windows MB P III 700 MHz Windows NT 4 SP6 128 MB P III 350 MHz OSRAMCPU DécouverteInventaireReporting Gestion du cycle de vie des applications et des correctifs de sécurité PackagingDistributionInstallation Suivi utilisation

26 Internet Point de distribution SMS Clients SMS Microsoft Download Center Point de distribution SMS 2. 2.Téléchargement régulier du référentiel (MSSECURE.XML,WSUScan.cab…) 1. 1.Téléchargement et installation des outils danalyse sur le serveur de site 3. 3.Inventaire des clients et intégration avec les données dinventaire matériel SMS 4. 4.Utilisation de lassistant de distribution des mises à jour logicielle pour déclencher linstallation des mises à jour sélectionnées 6. 6.Installation des mises à jour par lagent SMS 7. 7.De manière périodique: le module de synchronisation vérifie la publication de nouvelles mises à jour; analyse les clients; et ladministrateur peut déployer les mises à jour nécessaires 5. 5.Téléchargement des fichiers; création/mise à jour des packages, programmes & annonces; réplication des packages & publication des programmes vers les clients SMS Clients SMS Processus Intranet Serveur de site

27 Outils dinventaire Systems Management Server 2003

28 Outils danalyse pour les mises à jour de sécurité (applications et systèmes) Permettent de créer dans SMS les lots Enrichissent linventaire Sintègrent avec le module de reporting Assistant de distribution des mises à jour logicielles Composants de SMS 2003

29 Les outils dinventaire de mise à jour pour SMS Security Update Inventory Tool Mises à jour critiques de sécurité et service packs pour Windows NT 4.0 et +, SQL Server 7.0 et + Catalogue MBSA Office Update Inventory Tool Mises à jour de sécurité et les services pack pour Office 2000 et + Extended Security Update Inventory Tool Inventory Tool for Microsoft Updates (ITMU) Windows 2000 SP4 et + (Security updates, service packs, et rollups) SQL Server 2000 SP4 et+ Office XP et + pour les mises à jour de sécurité et les service packs Utilise le catalogue WSUS qui inclut toutes les langues

30 Outil dinventaire pour les mises à jour Microsoft (ITMU) Nouvel outil d analyse pour les sites SMS 2003 SP1 et les clients avancés Remplacement des outils dinventaire des mises à jours MBSA et Office Dans certains cas, les outils « ancienne génération » devront être conservés Améliorations Standardisation des outils (utilisation de lagent Windows Update 2.0) Plus de gestion de la ligne de commande pour la distribution des correctifs Rapports plus complets (19 disponibles)

31 Automatiser le déploiement des mises à jour manquantes sur les postes clients Fonctionnement Sappuie sur linventaire remonté Recherche des correctifs manquants, sélection des correctifs Téléchargement des correctifs depuis Microsoft.com Création automatique du lot de lannonce et du programme Pour ITMU, nécessite le correctif Assistant de distribution des mises à jour logicielles

32 Distribution et rapport Systems Management Server 2003

33 Utilisation privilégiée des zones de notification et des ballons Des détails supplémentaires sont disponibles pour les utilisateurs intéressés Possibilité dutiliser des textes et graphiques spécifiques afin de mettre en exergue certaines mises à jour Support des installations en mode automatique ou silencieux Politique dinstallation souple variant entre « installation obligatoire et immédiate » et « installation facultative » Détermination automatique du nombre optimum de démarrages Installation des mises à jour

34 Rapports

35 Microsoft Baseline Security Analyzer 2.0 Microsoft Update Automatic Updates Gestion des mises à jour A la maison Petites entreprises Entreprises moyennes Grandes Entreprises

36 *utilisation de Windows Update, d'un autre outil de mise à jour ou mise à jour manuelle pour les systèmes et applications non supportés par WSUS ou Microsoft Update Choisir une solution de gestion des correctifs Client Sc é nario Choix Grande ou moyenne entreprise Besoin d'une solution unique et flexible de gestion des mises à jour avec un niveau é lev é de contrôle et de distribution pour TOUTES les versions de Windows et d'applications, ainsi qu'une solution de gestion du parc int é gr é SMS 2003 Besoin seulement d'une solution de mise à jour simple pour les produits Microsoft, et dans un premier temps Windows (2000 et ult é rieur), Office (2003 & XP), Exchange 2003, SQL Server 2000 et MSDE 2000 WSUS* Petite entreprise Au moins un serveur et un administrateur WSUS* Tous les autres sc é narios Microsoft Update* A la maison Tous les sc é narios Microsoft Update*

37 Comparaison de Microsoft Update, WSUS et SMS 2003 Capacité Microsoft Update WSUS SMS 2003 Logiciels et contenus supportés Logiciels supportés pour le contenu Pareil que WSUS + WinXP édition familiale Win2K, WS2003, WinXP Pro, Office 2003, Office XP, Exchange 2003, SQL Server 2000, MSDE Idem WSUS + NT 4.0 & Win98 + peut mettre à jour nimporte quel logiciel fonctionnant sur Windows Types de contenu supportés Toutes les mises à jour de logiciels, mises à jour critiques de pilotes, Service Packs & Feature Packs Toutes les mises à jour de logiciels, Service Packs & Feature Packs + support la mise à jour et linstallation dappli Windows Capacités de gestion des mises à jour Ciblage de contenu à certains systèmes N/ASimple Avancé Optimisation de la bande passante réseau OuiOuiOui Contrôle de la distribution des correctifs N/ASimple Avancé Installation de correctif & flexibilité de la planification Manuelle & contrôlée par lutilisateur final Simple Avancé Rapport sur les installations de correctifs Erreurs dinstallation rapportées à lutilisateur. Liste les mises à jour manquantes pour la machine connectée Simple Avancé Planification du déploiement N/ASimple Avancé Gestion de linventaire N/ANonOui Vérification de conformité N/A Non – rapport de statut seulement Avancé

38 Quelques ressources utiles Windows Server Update Services ult.mspx System Management Server Site S é curit é S é minaire Technet, Webcasts/e demos et Chats Mon Blog

39 Questions / Réponses

40


Télécharger ppt "Gestion des mises à jour de sécurité avec WSUS ou SMS Fabrice Meillon Architecte Infrastructure Microsoft France"

Présentations similaires


Annonces Google