Déployer les correctifs et maintenir son parc informatique à jour avec 3/30/2017 12:05 PM Déployer les correctifs et maintenir son parc informatique à jour avec 3.0 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Qu’est ce que ? Un site Web très orienté technique http://www.microsoft.com/france/technet/default.mspx Une newsletter personnalisable http://www.microsoft.com/france/technet/presentation/flash/default.mspx Des séminaires techniques toute l’année, partout en France http://www.microsoft.com/france/technet/seminaires/seminaires.mspx Des webcasts et e-démos accessibles à tout instant http://www.microsoft.com/france/technet/seminaires/webcasts.mspx Un abonnement http://www.microsoft.com/france/technet/presentation/cd/default.mspx

Logistique Vos questions sont les bienvenues. N’hésitez pas ! Pause en milieu de session Feuille d’évaluation à remettre remplie en fin de session Merci d’éteindre vos téléphones Commodités

Objectif du séminaire 3/30/2017 12:05 PM Quelles sont les nouveautés de la version 3.0 et comment déployer ou migrer vers WSUS 3.0 ? © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Agenda Introduction Les basiques de WSUS 3.0 3/30/2017 12:05 PM Agenda Introduction Les basiques de WSUS 3.0 Mettre à niveau vers WSUS 3.0 Déployer des mises à jour Maintenir WSUS Conclusion et Questions & Réponses © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/30/2017 12:05 PM Introduction © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Vie et mort d’une vulnérabilité… Les attaques se produisent majoritairement ici La plupart des exploits sont conçues après la mise à disposition du correctif Vulnérabilité théorique Vulnérabilité à une attaque générale Mesure traditionnelle de la vulnérabilité Modulo cycle de publication mensuel Test, intégration et déploiement Ignorance Signalement Produit installé Vulnérabilité découverte Vulnérabilité publique Composant corrigé Correctif publié Correctif déployé chez les clients 7

Constats à la suite des vers Blaster et Sasser 3/30/2017 12:05 PM Constats à la suite des vers Blaster et Sasser 151 180 331 Blaster Welchia/ Nachi Nimda 25 SQL Slammer Nombre de jours entre le correctif et l’exploitation Prolifération des correctifs Temps avant exploitation en baisse Exploitations plus sophistiquée L’approche classique n’est pas suffisante 18 Sasser Le nombre de jours entre la sortie du correctif et l’exploitation de la vulnérabilité a tellement diminué (hors cas des zero-days exploits) que la seule solution défense restant aux entreprises consiste à appliquer les correctifs. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

La gestion des correctifs : un problème de l’industrie du logiciel 3/30/2017 12:05 PM Tous les acteurs sont concernés !! © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Gestion réussie des correctifs 3/30/2017 12:05 PM Produits, outils et automatisation Cohérents et répétitifs Compétences, rôles et responsabilités Processus Technologies Personnes © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Processus de gestion des correctifs 1. Évaluer l'environnement auquel les correctifs doivent être appliqués A. Créer/tenir à jour des systèmes de référence B. Évaluer l'architecture de gestion des correctifs C. Passer en revue l'infrastructure/ la configuration 2. Identifier de nouveaux correctifs A. Identifier de nouveaux correctifs B. Déterminer la pertinence des correctifs C. Vérifier l'authenticité et l'intégrité des correctifs 1. Analyser 2. Identifier 4. Déployer le correctif A. Distribuer et installer le correctif B. Rédiger un rapport sur l'avancement C. Traiter les exceptions D. Passer en revue le déploiement 3. Évaluer les correctifs et planifier leur déploiement A. Obtenir l'approbation nécessaire pour déployer B. Évaluer les risques C. Tester les correctifs D. Planifier la publication 3. Évaluer et planifier 4. Déployer Le processus de gestion des correctifs en entreprise : méthodes recommandées

Guides Microsoft de gestion des risques et des correctifs 3/30/2017 12:05 PM Guides Microsoft de gestion des risques et des correctifs Guide de gestion des risques de sécurité Introduction au guide de gestion des risques de sécurité Étude des pratiques de gestion des risques de sécurité Présentation de la gestion des risques de sécurité Évaluation des risques Aide à la décision Mise en place de contrôles et mesure de l'efficacité du programme http://www.microsoft.com/france/technet/securite/guidance/default.mspx Guide de gestion des correctifs Phase 1 – Analyse Phase 2 – Identification Phase 3 - Évaluation et planification Phase 4 – Déploiement http://www.microsoft.com/france/securite/it/dossiers/correctifs/default.mspx © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Gestion des mises à jour Quelles solutions ? Microsoft Update Microsoft Baseline Security Analyzer 2.1 Grandes Entreprises Petites et Moyennes Entreprise A la maison

Windows Server Update Services 3.0 3/30/2017 12:05 PM Windows Server Update Services 3.0 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Windows Software Update Services 3/30/2017 12:05 PM Windows Software Update Services Offre d’entreprise de gestion des mises à jour Solution gratuite complète pour télécharger et distribuer des mises à jour de produits Microsoft Pas de coût licences Windows Server (2000 et ultérieur) Nécessite une licence Windows Server / CAL pour les systèmes cibles Délivrer une solution totalement fonctionnelle permettant de répondre au besoin de gestion de mises à jour des produits Automatiser le plus possible le processus de mises à jour Supporter l’ensemble des produits Microsoft A destination de l’administrateur mais aussi de l’IT généraliste Fin de support de SUS 1.0 : 10/07/2007 cf http://support.microsoft.com/kb/905682 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

WSUS - Aperçu de l’architecture 3/30/2017 12:05 PM Serveur WSUS Microsoft Update (utilise WSUS) Postes de travail (clients WSUS) Groupe cible 1 Serveurs (clients WSUS) Groupe cible 2 Administrateur WSUS Les clients installent les mises à jour approuvées par l’administrateur L’administrateur approuve les mises à jour Les clients s’enregistrent auprès du serveur L’administrateur met les clients dans différents groupes cibles Le serveur télécharge les mises à jour depuis Microsoft Update L’administrateur souscrit à certaines catégories de mises à jour © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Adoption de WSUS 2.0 Considéré par beaucoup comme l’une des meilleures solutions de gestion des correctifs En un an (juin 2005  juin 2006)… WSUS 2.0 a excédé le nombre de déploiement de SUS 1.0 260,000 serveurs WSUS se sont synchronisés avec Microsoft Update en Juin 2006 SP1 disponible depuis juin 2006 Support de SQL Server 2005 Prise en charge de Windows Vista Support multi langues de MS Office et Windows Vista Version MSDE SP4 Intégration avec Windows Small Business Server 2003 R2

Fonctionnalités : contrôle Administrateur défini des groupes cibles Utilisation des stratégies de groupe pour ce faire dans l’environnement AD Au travers de l’interface d’administration de WSUS pour les environnement non AD Administrateur contrôle les approbations “Détection seulement” évaluation des machines qui nécessite l’application d’un patch Approbation pour l’installation et la désinstallation (pas toujours possible) Installation sur date butoir Approbation par groupe cible: Différentes mises à jour vers différents groupes cibles Différentes dates butoirs par groupe cible Différentes actions par groupe cible

Fonctionnalités : Configuration de l’ Agent Configuration flexible de l’Agent Fréquence de polling Notification et type d’installation “Comportement” vis-à-vis du reboot Port configurable Non-administrateurs peuvent installer des mises à jour (comme les administrateurs) Installation à l’arrêt (Windows XP SP2, Windows Vista et Windows 2003 SP1 et +)

Fonctionnalités : Optimisation réseau Résilient et transparent BITS* pour téléchargement client-serveur et serveur-serveur Téléchargements se font en fond de tache (background) Téléchargement minimale des mises à jour Souscriptions aux mises à jour – téléchargement des mises à jour pour les produits, classifications et langues cibles Support de la technologie “delta compression” pour les communications Option client-serveur pour téléchargement uniquement les mises à jour approuvées (« download on demand ») Option pour télécharger uniquement le catalogue des mises à jour et la détection – binaires sur MU *Background Intelligent Transfer Service

Fonctionnalités clés de WSUS Grille de comparaison Fonctionnalités demandées SUS 1.0 SP1 WSUS 2.0 Support des Service Packs  Installation sur SBS et sur des contrôleurs de domaine Support d’Office et d’autres produits Microsoft Support d’autres types de mises à jour Désinstallation de mise à jour ** Ciblage des mises à jour Amélioration du support pour les réseaux bas débit (Bits) Réduction de la quantité de données à télécharger Réglage de la fréquence de détection des mises à jour Minimiser l’interruption de l’utilisateur Déploiement d’urgence d’un correctif (‘gros bouton rouge’) * Déploiement de mises à jour d’autres applications non Microsoft *En partie possible via le réglage de la fréquence de détection et des scripts ** Si la mise à jour le permet

Les évolutions demandées… Plus évolutifs et tolérances aux pannes Pas de support du clustering NLB & SQL UI ne permet pas de gérer un très grands nombres d’ordinateurs Améliorer les rapports Options de sauvegarde des rapports Possibilité de centraliser les rapports Ciblage plus flexible Améliorations en regard de SUS 1.0, mais pas aussi pertinents que celui proposé par d’autres produits Plus de contenu Possibilité d’importer ces propres correctifs Meilleurs support des drivers: pas uniquement les critiques Scripting & APIs Pas d’appel des APIs à distance Scripting : oui mais…

Objectifs de WSUS 3.0 Continuer à faire de WSUS une solution adoptée et appréciée pour l’environnement Windows Adresser les besoins et demandes des utilisateurs Améliorer l’infrastructure pour supporter de nouveaux scénarios en tenant compte des besoins de mises à jour des produits partenaires SMS, etc. Support du client Windows Vista et du serveur Windows Server 2008 (Beta 3)

Plateformes supportées par WSUS 3.0 Support de toutes les langues d’OS Windows Coté Serveur (Support des systèmes x86 et x64) Windows 2003 SP1 minimum SQL Server 2005 SP1, SQL Server 2005 Embedded Edition BITS 2.0, Windows Installer 3.1 Internet Information Services (IIS) .NET Framework 2.0 MMC 3.0 Microsoft Report Viewer Redistribuable 2005 Coté Client (support de x86, X64 et IA 64) Windows 2000 SP4, Windows XP SP1, Windows Vista Windows Server 2003 minimum

Déploiement simple

Déploiement de multiples serveurs

Serveurs non connectés Microsoft Update Serveur WSUS Serveur WSUS Importation et exportation manuelles Postes de travail Clients

Installation et configuration 28 INF210

Installation de WSUS 3/30/2017 12:05 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Configuration de WSUS 3.0 3/30/2017 12:05 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Le déploiement 3/30/2017 12:05 PM WSUS 3.0 peut s’installer via une mise à jour d’un serveur 2.0 Les serveurs WSUS 2.0 peuvent se synchroniser à partir d’un serveur WSUS 3.0 Permet une migration descendante de la hiérarchie Assistant de configuration post-installation Améliorations dans la prise en charge des environnements distribués Passage entre serveur Replica et Autonome sans réinstallation Support d’un sous ensemble des langues disponible en amont sur les serveurs Replica Les serveurs Replica peuvent synchroniser leurs meta-data d’un serveur WSUS amont et les correctifs depuis Microsoft Update Support de la synchronisation en mode déconnecté pour les serveurs Replica © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

La fiabilité Support de Network Load Balancing (NLB) Permet une bascule rapide pour des besoins de disponibilité Support de la mise en cluster de la base SQL En complément du scénario NLB Supervision au travers de Microsoft Operations Manager Pack d’administration MOM pour fournir une supervision proactive de l’état de santé du serveur

Les performances Performances liées à la génération des rapports 3/30/2017 12:05 PM Les performances Performances liées à la génération des rapports 50% de gain de performance Performances liées à la synchronisation Synchronisation complète descendante réduite de 90 à 20 minutes Support natif des serveurs x64 (comme serveur WSUS) © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Service Mises à jour Automatiques Service local (Mises à jour automatiques (Windows Update) gérant l’accès à Microsoft Update /WSUS pour autoriser le téléchargement et l'installation des mises à jour de Windows. Agent Windows Update

Mises à jour automatiques importantes Défini comment se fait l’installation des mises à jour importantes sur le poste Mises à jour importantes : Maj Sécurité Maj Critiques Service Pack

Configuration de l’agent (1/2) Par stratégie de groupe ou par registre Configurer les mises à jour automatiques (AutoUpdate) en spécifiant un serveur intranet de mise à jour Microsoft (serveur WSUS) Modes d’installation : Notifier avant le téléchargement/installation Télécharger puis notifier pour l’ installation Télécharger et installer automatiquement selon la planification Autoriser les administrateurs locaux à choisir le mode de configuration (sans pouvoir désactiver AutoUpdate)

Configuration de l’agent (2/2) Fréquence de détection configurable (du client vers le serveur) : 22 heures par défaut; minimum 1 heure (charge sur le serveur) La durée réelle entre deux détections sera déterminée aléatoirement entre 80% et 100% de la durée paramétrée Délai de redémarrage et intervalle avant nouvelle demande de redémarrage (si redémarrage repoussé) Notification pour les non administrateurs (en fonction du mode d’installation) Pas de redémarrage planifié (pour laisser l’utilisateur redémarrer quand il le veut) Re-planifier les installations planifiées (ex : 5 min après redémarrage) Autoriser l’installation immédiate des mises à jour automatiques Ciblage Notifie l’utilisateur si redémarrage nécessaire

Pré installation (self-update)

Ciblage Utiliser pour cibler des mises à jour sur des machines spécifiques Groupe cible de test Groupe cible de production Deux types de ciblage Côté serveur L’administrateur WSUS gère l’appartenance aux groupes depuis le site d’administration (listes sur le serveur) Côté client Appartenance gérée automatiquement En utilisant des stratégies de groupe (par exemple même groupe pour toutes les machines d’une même OU d’Active Directory) En utilisant le Registre

WSUS 3.0 - Améliorations liées au ciblage 3/30/2017 12:05 PM WSUS 3.0 supporte 2 nouveaux concepts concernant les groupes L’imbrication L’appartenance à plusieurs groupes Une machine peut être membre de groupe Serveurs ainsi que du groupe Exchange Serveurs © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Ciblage 41 INF210

Rapports Etats des clients, listes des mises à jour… Par machine / par mise à jour / par groupe cible Succès et échecs des téléchargements et installations avec les détails sur les erreurs Disposer d’information sur les synchronisations avec Microsoft Update, entre serveurs WSUS Nouveautés, changements

WSUS 3.0 - Améliorations liées au reporting 3/30/2017 12:05 PM WSUS 3.0 - Améliorations liées au reporting Vues générales et simplifiés Composants de rapports dans la boite Détails sur les mises à jour et résumés Détails sur les mises à jour au niveau des serveurs réplica et autonomes Impression, Sauvegarde Excel ou PDF Notification par e-mail Nouveau rôle “Reporters” Permet un accès lecture-seul au serveur Personnalisation des rapports (exemples sur MSDN) Vues SQL API .net © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Améliorations liées au reporting 44 INF210

WSUS 3.0 - Améliorations liées au reporting 3/30/2017 12:05 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

WSUS 3.0 - Améliorations liées aux outils d’administration (1/2) 3/30/2017 12:05 PM WSUS 3.0 - Améliorations liées aux outils d’administration (1/2) Nouvelle console d’administration basée sur une MMC 3.0 Gestion de multiples serveurs au sein d’une seule console Page de démarrage offrant un aperçu rapide Vues personnalisées Fonctionnalités de filtrage des vues Tri et réorganisation des colonnes (colonnes supplémentaires: Article KB, MSRC ID, Sévérité) Menus contextuels Intégration des rapports Notifications et statut par e-mail © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Console d’administration 47 INF210

WSUS 3.0 - Améliorations liées aux outils d’administration 3/30/2017 12:05 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

WSUS 3.0 - Améliorations liées aux outils d’administration 3/30/2017 12:05 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

WSUS 3.0 - Améliorations liées aux outils d’administration (2/2) 3/30/2017 12:05 PM WSUS 3.0 - Améliorations liées aux outils d’administration (2/2) API disponibles pour importer des mises à jour tierces et pour scripter les opérations Nouvelles fonctionnalités d’administration Assistant de gestion de l’obsolescence du contenu du serveur WSUS (meta-données, machines, mises à jour) Règles d’approbation spécifiques par type de mise à jour et par groupe cible Sélection des types de produits gérés Envoi de messages électroniques … © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Abonnements (subscriptions) Permet de choisir quelles mises à jour télécharger et quand Produit / Type de mise à jour (sécurité, SP,FP, pilote, etc…) En fait une mise à jour est composée de deux éléments : Un correctif Les méta données décrivant le correctif Par défaut : seules les méta données sont téléchargées (catalogue) les correctifs sont téléchargés s’ils sont approuvés (contenu) Exemples d’abonnements : Quotidiens pour les mises à jour critiques Hebdomadaires pour les mises à jour recommandées Synchro Manuelle / Automatique

Approbation de mise à jour Vérification avant déploiement (détection) : évalue l’impact d’une mise à jour sur le réseau avant qu’elle ne soit déployée Au niveau de l’approbation d’une mise à jour, choisir l’action Detect Après un cycle de détection des clients, la rubrique Status de la mise à jour indique le nombre de machines qui nécessitent la mise à jour Installation lors de la prochaine date planifiée Installation avec date butoir Désinstallation (nécessite que la mise à jour le supporte)

Approbation automatique ? Par défaut, « détection » automatique pour Les mises à jour critiques et de sécurité Tous les groupes cibles Par défaut, aucune approbation automatique pour l’installation On pourrait choisir des types de mises à jour, et des groupes cibles En cas de révision d’une mise à jour, la nouvelle version obtient le même niveau d’approbation que l’ancienne (désactivable pour effectuer un choix manuel)

Abonnements Approbation Notifications 54 INF210

WSUS 3.0 - Améliorations liées aux outils d’administration 3/30/2017 12:05 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Mettre à niveau vers WSUS 3.0 3/30/2017 12:05 PM Mettre à niveau vers WSUS 3.0 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Scenarios de mise à niveau A partir de SUS 1.0 Non directement supportée Mise à niveau d’un serveur unique Mise à niveau “in-place”: WSUS2->WSUS3 sur le même serveur Mise à niveau “migration” : WSUS2->WSUS3 sur des serveurs différents Mise à niveau d’une hiérarchie de serveurs Serveurs connectés Serveurs déconnectés

Migration depuis SUS Pas directement supportée WSUS3 ne peut pas être installée sur le même serveur que SUS 1.0 2 options pour mettre à jour: Migrer vers WSUS 2.0 SP1, puis mettre à jour vers WSUS3 Migration SUS 1.0 -> WSUS 2.0 http://technet2.microsoft.com/WindowsServer/f?en/Library/c86e95dc-381f-47a2-b761-1fe0f13ad3f41033.mspx Installer WSUS 3.0 sur un serveur séparé Installation from scratch Faire pointer les clients vers le nouveau serveur

Microsoft Management Summit 2007 March 26-30, 2007 | San Diego, CA Mise à niveau in place 3/30/2017 12:05 PM Le programme d’installation supporte la mise à niveau “in-place”Setup Conserve les mises à jours, paramètres et approbations Pas de re-déploiement du client WSUS: mise à jour automatique du client lors de la première connexion au serveur Support du mode d’installation sans réponse Exemple SDK WsusMigrate pour migrer les groupes cibles d’un serveur à un autre Mise à jour d’une hiérarchie  du haut vers le bas © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Considérations « mise à niveau in-place » Sauvegarde /restauration Mise à niveau “in-place” ne propose pas de retour arrière Faire une sauvegarde de la base WSUS 2.0 avant la mise à niveau Système d’exploitation serveur WSUS3 n’est pas supporté sur Windows 2000 Server Base de données WSUS3 nécessite SQL 2005 SP1 minimum ou Windows Internal Database Mettre à niveau WSUS2 vers SQL 2005 SP1 avant la mise à jour Réaliser une mise à jour “in-place”, le programme d’installation met automatiquement à jour la base de donnée vers Windows Internal Database SP1 (=SQL 2005 Embedded Edition) Si base de données distante, il faut désinstaller le back-end puis mettre à jour (setup unifié front/back end) Console d’administration Web Plus possible d’utiliser la console web après la mise à jour Installer la console d’administration WSUS ou les outils de prise de contrôle à distance

Mise à niveau Installer WSUS 3.0 sur un nouveau serveur Migrer les mises à jour et les approbations du serveur WSUS 2.0  WSUS 3.0 : Utiliser ntbackup pour copier le contenu du répertoire des mises à jour (http://technet2.microsoft.com/windowsserver/en/library/4696c613-66f3-483d-8ea9-66bcca74730e1033.mspx?mfr=true) Synchroniser le serveur WSUS 3.0 pour disposer des dernières meta-données Exporter/importer les approbations et les groupes via WsusMigrate Faire pointer les clients vers le nouveau serveur Au travers de la stratégie de groupe / modification registre Les clients sont mis à jour à la prochaine synchronisation

Mise à niveau d’une hiérarchie La mise à jour se fait à partir du serveur le plus haut de la hiérarchie WSUS 2.0 peut se synchroniser avec un serveur WSUS 3.0 (l’inverse est faux) Remarque : la synchronisation nécessite WSUS2 SP1 ou WSUS2 RTM + KB910847

Migration depuis WSUS 2.0 63 INF210

Migration WSUS 2.0 vers WSUS 3.0 3/30/2017 12:05 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Déployer des mises à jour 3/30/2017 12:05 PM Déployer des mises à jour © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Installation avec date butoir

Installation à l’arrêt (XP SP2) Profiter de l’arrêt de la machine pour la maintenir à jour Contrôler par stratégie de groupe

3/30/2017 12:05 PM MainteniR WSUS 3.0 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Maintenance du serveur WSUS Les serveurs WSUS nécessitent peu d’opérations de maintenance 3 opérations clés Ordinateurs clients Gérer l’ajout et la suppression des machines de l’inventaire Contenu Supprimer les contenus obsolètes Base de données Sauvegarde Défragmentation des index Microsoft Windows Server Update Services 3.0 Operations Guide http://technet2.microsoft.com/windowsserver/en/library/9b65850d-17a0-440e-9cad-2eb881011f5f1033.mspx

Maintenance - Ordinateurs Pourquoi nettoyer les ordinateurs ? Diminuer la taille de la base Disposer de rapports fiables et à jour Comment ? L’assistant de nettoyage Supprime les machines qui n’ont pas contacté le serveur depuis plus de 30 jours API disponibles http://www.microsoft.com/technet/windowsserver/wsus/default.mspx

Contenu Pourquoi ? Comment ? Ne pas approuver ou refuser une mises à jour ne supprime pas le contenu Supprimer les contenus obsolètes Réduire le besoin d’espace disque Comment ? Lancer l’assistant de nettoyage, lequel supprimera: Meta données pour les mises à jour non approuvées de plus de 90 jours Vieilles versions de mises à jour Fichiers inutilisés pour les mises à jour sur le serveur lui-même et les serveurs fils de la hiérarchie Mises à jour expirées et qui sont inutiles ou non approuvées deouis au moins 30 jours

Assistant de nettoyage 72 INF210

WSUS 3.0 – Assistant de nettoyage 3/30/2017 12:05 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Maintenance – Base de données Périodiquement défragmenter la base de données http://technet2.microsoft.com/windowsserver/en/library/e787794b-4f09-4d01-ae4e-5983ea7634f91033.mspx sqlcmd -S np:\\.\pipe\MSSQL$MICROSOFT##SSEE\sql\query –i <scriptLocation>\WsusDBMaintenance.sql Disposer d’un plan de récupération en cas de désastre Souvent se traduit par la réinstallation du serveur Sauvegarder la base de données via ntbackup ou script sqlcmd (http://go.microsoft.com/fwlink/?LinkId=70728) http://technet2.microsoft.com/windowsserver/en/library/0f0b7103-052e-481e-9efb-be7ab06fbd181033.mspx

Supervision du serveur WSUS Supervision pro active des serveurs WSUS Disponibilité du pack d’administration pour MOM 2005 pour WSUS 3.0 Liste des serveurs WSUS avec leur état générale : Alertes, Evénements Taches Performances Etat de santé des clients

Résolution de problèmes Rapports Serveur E-mail Synchronisation Rapports ordinateurs et mises à jour SoftwareDistribution.log Change log Clients Client WindowsUpdate.log Personnalisation des rapports à partir des APIs et des journaux client

APIs publiques A la fois le client et le serveur expose des APIs publiques APIs serveur basées sur .NET (pour les taches d’administration) APIs client basées sur COM scriptable Exemples de scripts et de code dans le SDK WSUS

API Serveur (WSUS API) http://msdn2.microsoft.com/en-us/library/ms744624.aspx WSUS API 2.0 permet l’accès à un ensemble des tâches de la MMC Configuration du serveur WSUS Approbation des mises à jour Updates Ajout/suppression des groupes cibles Ajout/suppression des clients dans le groupe cible Création de rapports personnalisés La MMC utilise les API publiques Nouveautés WSUS 3.0 API Publication (Publishing) Publication, approbation et déploiement de MAJ tierces Administration à distance Permet l’administration à distance du serveur WSUS Inventaire Fonctionnalité de base de l’inventaire Nettoyage Etendue et options de nettoyage

API Client (Windows Update Agent API) APIs publiques, implémentées comme “wrappers” autours de l’Agent WU et des fonctionnalités de Mises à jour automatique (exposée au travers de COM et scriptable) http://msdn2.microsoft.com/en-us/library/aa387099.aspx Description AutomaticUpdates A class that exposes the settings of Automatic Updates and some functionality UpdateCollection A class representing an ordered list of Updates UpdateDownloader A class that downloads updates from the server UpdateInstaller Class UpdateSearcher A class that searches for updates on the server SearchResult A class that represents the result of a search Update A class that exposes properties and methods available to an update

Exemple de scripts Dim update, i set AutoUpdate = CreateObject("Microsoft.Update.AutoUpdate") Autoupdate.DetectNow() set UpdateSession = CreateObject("Microsoft.Update.Session") set UpdateSearcher = UpdateSession.CreateUpdateSearcher() set SearchResult= UpdateSearcher.Search("") set Updates = SearchResult.Updates set UpdatesToInstall = CreateObject("Microsoft.Update.UpdateColl") For i = 0 to (Updates.Count-1) UpdatesToInstall.Add(Updates.Item(i)) Next set Installer = UpdateSession.CreateUpdateInstaller() Installer.Updates = UpdatesToInstall set InstallationResult = Installer.Install() Détection Approbation Installation

La ligne de commande L’utilitaire wsusutil L’utilitaire wuauclt 3/30/2017 12:05 PM L’utilitaire wsusutil http://technet2.microsoft.com/windowsserver/en/library/2686bd2b-910a-479b-961e-cea2a20280241033.mspx Disponible sur le serveur WSUS, pas si uniquement installation de la console Options: configuressl, healthmonitoring, export, import, movecontent, listfrontendservers, deletefrontendserver, checkhealth, reset, listinactiveapprovals, removeinactiveapprovals, usecustomwebsite L’utilitaire wuauclt Contrôle de l’agent Windows Update Options : detectnow, resetauthorization, reportnow © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Conclusion et Q&R 3/30/2017 12:05 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

En résumé : WSUS 3.0 Déploiement et configuration simplifiés 3/30/2017 12:05 PM En résumé : WSUS 3.0 Déploiement et configuration simplifiés Performances améliorées Fiabilité améliorée Reporting multi-sites et multi-critères Outils d’administration Ciblage évolué Devient la plate forme de distribution © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Devient la plateforme de distribution Tout le contenu de Microsoft Update est disponible pour toutes les solutions de gestions des correctifs. System Center Configuration Manager 2007 et System Center Essentials disposeront d’outils de création et de publications de mises à jour “tierces”. WSUS ne fournit pas le support à la publication

Ressources WSUS Page d’accueil http://www.microsoft.com/windowsserversystem/updateservices WSUS Community http://www.microsoft.com/windowsserversystem/updateservices/community/default.mspx Team Blogs, MVPs, Forums, Newsgroups, Webcasts, Wiki Tools and API Samples http://www.microsoft.com/windowsserversystem/updateservices/downloads/default.mspx

Questions / Réponses

Questions / Réponses

Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex www.microsoft.com/france 0 825 827 829 msfrance@microsoft.com