Networld+Interop – Novembre 2003 Gestion des correctifs de sécurité avec Microsoft SUS (Software Update Services) Networld+Interop – Novembre 2003 Gérard Gasganias
Introduction Microsoft Software Update Service est un composant du programme STPP (Strategic Technology Protection Program) Software Update Service a été développé pour gérer les mises à jour de sécurité des systèmes d’exploitation Microsoft Principe: Un serveur interne sur lequel se trouvent les mises à jour Les clients se connectent sur ce serveur pour installer les mises à jour validées
Positionnement SMS Windows Update Fonctionnalités SUS Elevé SMS Fonctionnalités SUS Windows Update Faible Ressources & Compétences Elevé
Fonctionnalités Déploiement de mises à jour pour Windows : de sécurité, de sécurité cumulatives (Security Rollup Packages), critiques, Services Packs Optimisation de la bande passante (BITS, Background Intelligent Transfert Service) Contrôle administratif de l’approbation des mises à jour Journal de synchronisation et d’approbations (XML)
Principe général Windows Update Pare-feu Serveur SUS Secondaire Primaire Parent SUS server downloads metadata about new updates as well as the updates themselves from Windows Update site Administrator reviews new updates and approves the appropriate ones after completing any required testing. SUS maintains download and approval logs on statistics (IIS) server Approved updates information including information for determining if the update is installed is distributed to child SUS servers and target systems Depending on AU configuration, AU either automatically downloads the missing updates or notifies the user that there are missing updates and requests the user’s permission to download them For target systems with AU configured to pull updates from a SUS server, AU downloads approved updates from specified SUS server For target systems with AU configured to pull updates from Windows Update, AU downloads the appropriate updates from WU as specified in the approved updates list received from its SUS server AU checks digital signatures on downloaded updates to verify authenticity & integrity Depending on AU configuration, it either automatically installs the updates or notifies & allows the user to choose which updates to install and when to install them. In latter case user reviews & selects updates to be installed AU logs the success / failure history for update installs on the target machines Serveur SUS Secondaire
Composant Client Titre2 Titre2 Titre2 Titre2 Titre2 Titre2 Titre2 Configuré par l’administrateur pour télécharger les mises à jour soit depuis le serveur SUS soit depuis le site Windows Update Un seul redémarrage nécessaire lors de l’installation de plusieurs mises à jour Inclus dans Windows 2000 SP3 et Windows XP SP1 Téléchargeable sur http://www.microsoft.com/windows2000/downloads/recommended/susclient/default.asp Disponible en 24 langues
Composant Serveur Interface d’administration Web “Secure by default” Paramétrage des options du serveur Gestion des mises à jour téléchargées : visualisation et validation “Secure by default” Nécessite NTFS, supporte SSL Installe IIS Lockdown et URL scanner Suivi de l’activité (XML) Statistiques de déploiement et installation des mises à jour Disponible uniquement en anglais et japonais Téléchargeable sur http://www.microsoft.com/windowsserversystem/sus/default.mspx
Configuration nécessaire Système d’exploitation Windows 2000 SP2 ou Windows Server 2003 IIS 5.0 ou supérieur et IE 5.5 ou supérieur Configuration matérielle Processeur : Pentium III – 733mhz Mémoire : 512 Mo Disque dur : 6 Giga Remarque : Cette configuration peut supporter jusqu’à 15,000 clients
Ressources Site Web SUS Documents : http://www.microsoft.com/windowsserversystem/sus/default.mspx Documents : FAQ : http://www.microsoft.com/windows2000/windowsupdate/sus/susfaq.asp Livre blanc : http://www.microsoft.com/windows2000/windowsupdate/sus/susdeployment.asp
© 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.