Windows Server Update Services (WSUS) 4/2/2017 3:49 PM Windows Server Update Services (WSUS) Cyril Voisin Chef de programme Sécurité Microsoft France © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

La stratégie sécurité de Microsoft 4/2/2017 3:49 PM La stratégie sécurité de Microsoft Authentification, Autorisation, Audit Excellence de l’engineering Mise à jour avancée Isolation et résilience Conseils, Outils, Réponse © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Amélioration des mises à jour 4/2/2017 3:49 PM Simplifier le processus de mise à jour Diminuer les coûts de mise à jour tout en augmentant l’efficacité Moins d’installateurs et taille réduite Outils améliorés pour l’évaluation et le déploiement Étendus à toutes les technologies Microsoft © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Zoom sur les vers et vulnérabilités 4/2/2017 3:49 PM 151 180 331 Blaster Welchia/ Nachi Nimda 25 SQL Slammer Nombre de jours entre le correctif et l’exploitation Prolifération des correctifs Temps avant exploitation en baisse Exploitations plus sophistiquée L’approche classique n’est pas suffisante 18 Sasser © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Améliorer la gestion des correctifs 4/2/2017 3:49 PM Votre besoin Notre réponse Réduire la complexité des correctifs Consolidation autour de 2 installateurs de correctifs pour Windows 2000 et ultérieur, SQL, Office & Exchange. Comportement cohérent entre tous les correctifs (SUS 2.0, MSI 3.x) Réduire le risque de déploiement d’un correctif Maintenant : tests internes accrus ; test des pré-versions de correctifs par nos clients Possibilité de retour arrière pour Windows, SQL Server, Exchange, Office Réduire la taille des correctifs Maintenant : réduction de la taille des correctifs de 35% ou plus. 80% de réduction (technologie de correction par différence - delta patching –amélioration des fonctionnalités avec MSI 3.0) Réduire l’indisponibilité Maintenant : - 10 % de redémarrages pour Windows 2000 et + 30 % de redémarrages en moins pour Windows Server 2003 (à partir du SP1). Jusqu’à 70 % de réduction pour la prochaine version serveur Étendre l’automatisation à tous les produits SMS 2003 offre la capacité de déployer les correctifs pour toutes les plateformes et applications supportées Tous les correctifs Microsoft ont le même comportement pour l’installation (MSI 3.x + SUS 2.0) et seront disponibles à un seul endroit : Microsoft Update © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

“Microsoft Update” (Windows Update) 4/2/2017 3:49 PM Mises à jour “Microsoft Update” (Windows Update) Windows Update Download Center Office Update VS Update Hier Maintenant Windows, SQL, Exchange, Office… Update Services SUS Windows seulement SMS Windows, SQL, Exchange, Office… Windows seulement © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Processus de gestion des correctifs 4/2/2017 3:49 PM 1. Évaluer l'environnement auquel le correctif doit être appliqué Tâches périodiques A. Créer/tenir à jour des systèmes de référence B. Évaluer l'architecture de gestion des correctifs C. Passer en revue l'infrastructure/ la configuration Tâches en cours A. Découvrir les ressources B. Clients d'inventaire 2. Identifier de nouveaux correctifs Tâches A. Identifier de nouveaux correctifs B. Déterminer la pertinence des correctifs C. Vérifier l'authenticité et l'intégrité des correctifs 1. Évaluer 2. Identifier 3. Estimer et planifier le déploiement des correctifs Tâches A. Obtenir l'approbation nécessaire à déployer le correctif B. Évaluer les risques C. Planifier le processus de publication des correctifs D. Test pour l'acceptation du correctif terminé 3. Estimer et planifier 4. Déployer 4. Déployer le correctif Tâches A. Distribuer et installer le correctif B. Rédiger un rapport sur l'avancement C. Traiter les exceptions D. Passer en revue le déploiement © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Automatic Updates (AU) 4/2/2017 3:49 PM Automatic Updates (AU) Service de Mises à jour automatiques (le client de WSUS) © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Automatic Updates (AU) Description 4/2/2017 3:49 PM Service local (Mises à jour automatiques) automatisant l’accès à WU permettant D’obtenir automatiquement les mises à jour critiques et de sécurité de Windows dont elle a besoin De les installer automatiquement (si le propriétaire de la machine le souhaite) Quand on le connecte à WU (ou MU) : à destination du grand public et des TPE Quand on le connecte à WSUS, c’est LE client WSUS (à destination des PME principalement) AU est LE client WSUS WU = Windows Update MU = Microsoft Update © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Client Mises à jour automatiques (AutoUpdate) Principe : se connecte à Windows Update, Microsoft Update ou un serveur WSUS pour maintenir la machine à jour Mode pull Disponible pour Windows Server 2003 Windows 2000 SP3 Windows XP SP1

Installation à l’arrêt (XP SP2) Profiter de l’arrêt de la machine pour la maintenir à jour Contrôlé par stratégie de groupe

Configuration des clients 4/2/2017 3:49 PM Par stratégie de groupe ou par registre Configurer les Mises à jour automatiques (AutoUpdate) Modes d’installation : Notifier avant téléchargement/installation Télécharger puis notifier pour installation Télécharger et installer automatiquement selon la planification Autoriser les administrateurs locaux à choisir le mode de configuration (sans pouvoir désactiver AutoUpdate) © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Configuration des clients Fréquence de détection configurable (du client vers le serveur) : 22 heures par défaut; minimum 1 heure (charge sur le serveur) La durée réelle entre deux détections sera déterminée aléatoirement entre 80% et 100% de la durée paramétrée Délai de redémarrage et intervalle avant nouvelle demande de redémarrage (si redémarrage repoussé) Notification pour les non administrateurs (en fonction du mode d’installation) Pas de redémarrage planifié (pour laisser l’utilisateur redémarrer quand il le veut) Replanifier les installations planifiées (ex : 5 min après redémarrage) Autoriser l’installation immédiate des mises à jour automatiques Notifie l’utilisateur si redémarrage nécessaire

Dépannage Vérifier le démarrage du service 4/2/2017 3:49 PM Vérifier le démarrage du service Vérifier la configuration du client Via l’interface graphique (Propriétés du Poste de travail, onglet Mises à jour automatiques) Si stratégie de groupe, vérifier son application (gpresult) Si rafraîchissement de stratégie de groupe nécessaire : gpupdate /force Regarder Journal des événements %windir%\WindowsUpdate.log %windir%\SoftwareDistribution\ReportingEvents.log Forcer une détection : wuauclt.exe /detectnow Réinitialiser le cookie et forcer une détection : wuauclt.exe /resetauthorization /detectnow © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Windows Server Update Services (WSUS, ex SUS 2.0) 4/2/2017 3:49 PM Windows Server Update Services (WSUS, ex SUS 2.0) Serveur de gestion de mises à jour © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Objectifs de WSUS (SUS 2.0) Construire l’infrastructure de base de la gestion des mises à jour Créer une solution facile d’utilisation, néanmoins complète, pour télécharger et distribuer des mises à jour de produits Microsoft Critiques ou non Rapports centralisés Garantie de l’installation Dépannage Systèmes ou applications Répondre à vos demandes par rapport à la version SUS 1.0 (qui ne prend en charge que les mises à jour critiques ou sécurité de Windows)

Les fonctionnalités demandées par nos clients 4/2/2017 3:49 PM Les fonctionnalités demandées par nos clients Fonctionnalités demandées SUS 1.0 SP1 WSUS Support des Service Packs  Installation sur SBS et sur des contrôleurs de domaine Support d’Office et d’autres produits Microsoft Support d’autres types de mises à jour Désinstallation de mise à jour Ciblage des mises à jour Amélioration du support pour les réseaux bas débit Réduction de la quantité de données à télécharger Réglage de la fréquence de détection des mises à jour Minimiser l’interruption de l’utilisateur Déploiement d’urgence d’un correctif (‘gros bouton rouge’) * Déploiement de mises à jour d’autres applications non Microsoft Support de NT4 *En partie possible via le réglage de la fréquence de détection et des scripts © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Produits supportés Client WSUS Windows Office SQL Server 4/2/2017 3:49 PM Client WSUS Windows Windows 2000 SP3 + Windows XP Windows Server 2003 (SP1 mini pour versions 64 bits) Office Office XP SP2 et Office 2003 SQL Server SQL 2000 et MSDE 2000 Exchange Server Exchange Server 2003 A terme, plus de produits Microsoft (comme ISA Server 2004 par exemple) © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Produits supportés Server WSUS Windows Server 2003 (32 bits) 4/2/2017 3:49 PM Server WSUS Windows Server 2003 (32 bits) IIS6 BITS 2.0 for Windows Server 2003 (pas encore dispo en version finale) .NET Framework 1.1 SP1 for Windows Server 2003 Windows 2000 Server SP4 IIS5 BITS 2.0 for Windows 2000 (pas encore dispo en version finale) Base de données 100% compatible SQL Server (ex : MSDE 2000) IE 6.0 SP1 .NET Framework 1.1 avec SP1 © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Aperçu de la solution WSUS Microsoft Update (utilise WSUS) Serveur WSUS Postes de travail (clients WSUS) Groupe cible 1 Serveurs (clients WSUS) Groupe cible 2 Administrateur WSUS L’administrateur approuve les mises à jour L’administrateur souscrit à certaines catégories de mises à jour Le serveur télécharge les mises à jour depuis Microsoft Update Les clients s’enregistrent auprès du serveur L’administrateur met les clients dans différents groupes cibles Les clients installent les mises à jour approuvées par l’administrateur

Client AU 4/2/2017 3:49 PM Possibilité de mise à jour silencieuse du client à partir du serveur WSUS Configurer les Mises à jour automatiques (AutoUpdate) en spécifiant un serveur intranet de Mise à jour Microsoft Ciblage (GPO ou pas) Attention : Windows XP sans Service Pack © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Pré-installation (selfupdate) 4/2/2017 3:49 PM Exemple ici lors du beta test de WSUS. Maintenant (juin 2005) on utilise Windows Installer 3.1 © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Groupes cibles Utilité : cibler des mises à jour sur des machines spécifiques Groupe cible de test Groupe cible de production Deux types de ciblage Côté serveur L’administrateur WSUS gère l’appartenance aux groupes depuis le site d’administration (listes sur le serveur) Côté client Appartenance gérée automatiquement En utilisant des stratégies de groupe (même groupe pour toutes les machines d’une même UO d’Active Directory) En utilisant le registre

Abonnements Permet de choisir quelles mises à jour télécharger et quand Produit / Type de mise à jour (sécu, SP,FP, pilote,etc…) En fait une mise à jour est composée de deux éléments Un correctif Les méta données décrivant le correctif Par défaut : seules les méta données sont téléchargées (catalogue) les correctifs sont téléchargés s’ils sont approuvés (contenu) Synchro Manuelle Automatique

Approbation de mise à jour Vérification avant déploiement (détection) Évalue l’impact d’une mise à jour sur le réseau avant qu’elle ne soit déployée Au niveau de l’approbation d’une mise à jour, choisir l’action Detect only Après un cycle de détection des clients, la rubrique Status de la mise à jour indique le nombre de machines qui nécessitent la mise à jour Installation lors de la prochaine date planifiée Installation avec date butoir (passée une date donnée, l’installation devient obligatoire si on utilise AU quel que soit le mode, auto ou pas) Désinstallation (nécessite que la mise à jour le supporte)

Approbation automatique ? Par défaut, « détection » automatique pour Les mises à jour critiques et de sécurité Tous les groupes cibles Par défaut, aucune approbation automatique pour l’installation On pourrait choisir des types de mises à jour, et des groupes cibles En cas de révision d’une mise à jour, la nouvelle version obtient le même niveau d’approbation que l’ancienne (désactivable pour effectuer un choix manuel)

Rapports Rapport standard consolidé (activités clients) 4/2/2017 3:49 PM Rapport standard consolidé (activités clients) Par machine / par mise à jour / par groupe cible Succès et échecs des téléchargements et installations avec les détails sur les erreurs Rapport sur les synchros Nouveautés, changements © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

démo WSUS

Installation avec date butoir 4/2/2017 3:49 PM © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Communications Configuration des paramètres de proxy (éventuellement compte + mot de passe) Faible utilisation de la bande passante BITS pour les téléchargements client-serveur et serveur-serveur Mise à jour par “abonnement” (par produit/par type) Support des technologies “delta compression” Téléchargement dissocié des correctifs et de leurs méta données Port utilisé : 80 ou 8530 (attention, dans ce cas pour mettre à jour de « vieux » clients, il faut maintenir un site sur le port 80)

Options de déploiement des serveurs Déploiement hiérarchique Serveurs indépendants Serveurs miroirs (« replica ») Serveurs non connectés à Internet

Serveurs WSUS Microsoft Update Serveur WSUS Serveur WSUS 4/2/2017 3:49 PM Serveurs WSUS Microsoft Update Serveur WSUS Serveur WSUS Postes de travail Clients Postes de travail Clients © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Hiérarchie Attention : il est conseillé de ne pas dépasser 3 niveaux dans la hiérarchie pour des questions de latence de propagation des mises à jour Mode replica (miroir), ou pas, se définit à l’installation seulement

Serveurs non connectés 4/2/2017 3:49 PM Microsoft Update Serveur WSUS Serveur WSUS (autonome) Importation et exportation manuelles Un serveur WSUS déconnecté est nécessairement en mode autonome (ie pas dans un miroir) Postes de travail Clients © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Procédure S’assurer que sur les serveurs les options avancées de synchronisation (installation express, langues) sont les mêmes Pas de problème pour le planning, les catégories de produits, le proxy… Copier les mises à jour depuis \WSUS\WSUSContent (utilitaire de sauvegarde de Windows, en mode incrémental par ex.) Exporter les méta données de la base de données WSUSutil.exe (32 bits seulement; il faut être admin) Copier le contenu sur le serveur destination Puis importer les méta données avec WSUSutil.exe

Stockage Base de données pour gérer tout ce qui n’est pas contenu Prise en compte des dépendances entre les mises à jour MSDE vs SQL Server MSDE a une limite de 2Go Mises à jour hébergées sur Microsoft Update (WSUS sert alors seulement de point de contrôle) ou en local Filtrage de contenu Ne garder que les plateformes et langues dont vous avez besoin Dimensionnement Prévoir une croissance annuelle x nb de langues

Sécurité Sur le client et sur le serveur Vérification de signature des contenus téléchargés Permissions sur les contenus téléchargés Mise en place de SSL pour l’échange des métadonnées A faire sur votre serveur (mentionné sur la page d’accueil)

Mise en place de SSL ? Pour protéger le transfert des méta données Ne pas appliquer sur tout le site car une partie du trafic doit se faire en HTTP (en clair) SSL sur SimpleAuthWebService DSSAuthWebService ServerSyncWebService WSUSAdmin ClientWebService Mais pas sur Content ReportingWebService SelfUpdate Port : 443 ou 8531 (si port personnalisé en 8530 pour le trafic normal) Sur les serveurs subordonnés, importer le certificat dans le magasin des autorités de certification racines de confiance de l’ordinateur local ou dans le magasin des autorités de certification racines de confiance de Windows Server Update Services

Mise en place de SSL ? Inconvénients Configuration des clients Perte de 10% de performance sur le serveur La connexion entre le serveur et la base de données n’utilise pas SSL Les mettre sur la même machine Ou sur un même réseau privé Ou utiliser IPsec Configuration des clients Changer l’URL du serveur WSUS (ex : https://monserveurWSUS) Importation du certificat dans le magasin des autorités de certification racines de confiance de l’ordinateur local ou dans le magasin des autorités de certification racines de confiance du service Mises à jour automatiques

Flexibilité Changement des ports Infrastructure et plateforme Sauf pour contacter MU Infrastructure et plateforme Option en ligne de commande pour déclencher une détection côté client : wuauclt.exe /detectnow API du client en COM exécutables à distance et scriptables API du serveur basées sur .Net Framework

Exemple de script 4/2/2017 3:49 PM Le serveur et le client exposent tous les deux des API scriptables Dim update, i set AutoUpdate = CreateObject("Microsoft.Update.AutoUpdate") Autoupdate.DetectNow() set UpdateSession = CreateObject("Microsoft.Update.Session") set UpdateSearcher = UpdateSession.CreateUpdateSearcher() set SearchResult= UpdateSearcher.Search("") set Updates = SearchResult.Updates set UpdatesToInstall = CreateObject("Microsoft.Update.UpdateColl") For i = 0 to (Updates.Count-1) UpdatesToInstall.Add(Updates.Item(i)) Next set Installer = UpdateSession.CreateUpdateInstaller() Installer.Updates = UpdatesToInstall set InstallationResult = Installer.Install() Détection Approbation Installation © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Suggestions

Mises à jour de serveurs Suggestions Définir des groupes cibles (GPO ou interface d’administration WSUS) Configurer les clients Mises à jour automatiques (GPO ou registre) Installation auto ou notification avant installation Si notification, ouverture de session ou script pour installation

Mises à jour de serveurs Suggestions Pour les serveurs avec des fenêtres de maintenance, configurer les Mises à jour automatiques pour une installation planifiée durant la fenêtre Pour les serveurs sans créneaux de maintenance : Configurer les Mises à jour automatiques pour notifier avant l’installation Ouvrir une session sur le serveur ou utiliser les API pour effectuer l’installation lorsque c’est nécessaire

Mises à jour de serveurs Suggestions Datacenters Utiliser les stratégies BITS pour limiter la bande passante et les fenêtres de téléchargement Configurer les Mises à jour automatiques pour notifier avant l’installation Utiliser les API pour effectuer l’installation lorsque c’est nécessaire Clusters Scripter la mise à jour nœud après noeud

Connexion à Microsoft Update Ouverture du pare-feu HTTP 80 et HTTPS 443 pour joindre les serveurs Microsoft sur le Web Liste des domaines : · http://windowsupdate.microsoft.com · http://*.windowsupdate.microsoft.com · https://*.windowsupdate.microsoft.com · http://*.update.microsoft.com · https://*.update.microsoft.com · http://*.windowsupdate.com · http://download.windowsupdate.com · http://download.microsoft.com · http://*.download.windowsupdate.com · http://wustat.windows.com · http://ntservicepack.microsoft.com

Filtrage d’URL (type URLScan) Si vous l’utilisez, il faut : autoriser les extensions de type .exe (les enlever de la section [DenyExtensions] Autoriser dans [AllowVerbs] GET HEAD POST OPTIONS

Dimensionnement du serveur Jusqu’à 500 clients Minimum Recommandé Processeur 750 MHz 1 GHz ou + RAM 512 Mo 1 Go Base de données WMSDE/MSDE De 500 à 15 000 clients Minimum Recommandé Processeur 1 GHz ou + Bi-processeur à 3 GHz ou + (2 processeurs pour plus de 10 000 clients) RAM 1 Go 1 GB Base de données SQL Server 2000 SP3a

Espace disque NTFS requis Partition système : 1 Go libre au moins Partition stockant le contenu WSUS : 6 Go mini (30 Go recommandés) Partition où la base de données sera installée : 2 Go minimum

Installation Vue des différentes étapes de l’assistant d’installation (document Step by step guide to getting started with Microsoft Windows Server Update Services)

Maîtrise bande passante & espace disque Suggestions Limiter la bande passante et l’espace disque Choix des types de mise à jour dans l’abonnement Choix des langues Télécharger seulement les méta-données sans les correctifs (les correctifs sont téléchargés quand ils sont approuvés) Utiliser les installations express (deltas) ou pas

Groupes d’ordinateurs Suggestions Groupes cibles Diviser les machines par catégories de machines relativement homogènes A l’intérieur de chaque catégorie, définir un groupe Pilote et un groupe Production Préférer la répartition par GPO plutôt que par clé de registre

Configuration du client Suggestions Choix de l’installation automatisée (sauf exceptions, dans ce cas obliger à utiliser AutoUpdate sans forcer le moment de l’installation) Appartenance à un groupe cible : via GPO

Configuration du client Suggestions Choix de l’heure d’installation (possibilité de répartir les heures selon les machines via GPO, ce qui laisse l’occasion d’étaler l’installation sur le groupe Production et éventuellement de détecter d’éventuels problèmes) Fréquence de détection configurable (du client vers le serveur, de 1H à 22H, par défaut 22H et durée effective tirée aléatoirement entre 80% et 100% de la durée indiquée) : 12H pour la production et 1H pour le Pilote Délai de redémarrage et intervalle avant nouvelle demande de redémarrage (si redémarrage repoussé) : 45 min

Configuration du client Suggestions Notification pour les non administrateurs (en fonction du mode d’installation) : désactivé Pas de redémarrage planifié (pour laisser l’utilisateur redémarrer quand il le veut) : désactivé Replanifier les installations planifiées (après redémarrage) : 25 min Autoriser l’installation immédiate des mises à jour automatiques : oui sur le Pilote, non sur la production

Approbation de mise à jour Suggestions Vérification avant déploiement (détection) : à utiliser largement sur Production Installation : pour les mises à jour normales Installation avec date butoir : pour les mises à jour de sécurité critiques (positionnement à date de sortie du bulletin + 9 jours) Désinstallation : à vérifier via rapports après coup (cycle complet de détection, soit 22H par défaut) Re-approbation automatique (utiliser ou non automatiquement la nouvelle révision de mise à jour) : désactivé (attention : surveiller l’occurrence de ces mises à jour)

Choisir une solution de gestion des correctifs 4/2/2017 3:49 PM Client Scénario Choix Grande ou moyenne entreprise Besoin d'une solution unique et flexible de gestion des mises à jour avec un niveau élevé de contrôle et de distribution pour TOUTES les versions de Windows et d'applications, ainsi qu'une solution de gestion du parc intégré SMS 2003 Besoin seulement d'une solution de mise à jour simple pour les produits Microsoft, et dans un premier temps Windows (2000 et ultérieur), Office (2003 & XP), Exchange 2003, SQL Server 2000 et MSDE 2000 WSUS* Petite entreprise Au moins un serveur et un administrateur Tous les autres scénarios Microsoft Update* Consommateur Tous les scénarios   *utilisation de Windows Update, d'un autre outil de mise à jour ou mise à jour manuelle pour les systèmes et applications non supportés par WSUS ou Microsoft Update © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Migration de SUS1 vers WSUS Pas de mise à jour mais une migration des mises à jour et des approbations (et c’est tout) WSUSutil.exe SUS1 et WSUS peuvent cohabiter sur un même serveur

Limites de la migration 4/2/2017 3:49 PM WSUS et SUS 1.0 ne peuvent pas synchroniser leurs méta données l’un avec l’autre Pas de migration des paramètres de proxy Pas de migration des paramètres d’IIS Migration unidirectionnelle de SUS 1.0 vers WSUS La migration des approbations de mises à jour écrase les approbations existantes d’un groupe d’ordinateurs © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Migration avec un seul serveur 4/2/2017 3:49 PM Pour économiser le nombre de serveurs Nécessite d’installer WSUS sur un port différent de SUS 1.0 Nécessite la mise à jour des clients au fur et à mesure qu’ils se connectent au serveur WSUS Redirection des clients vers un port différent du même serveur Les clients utilisent toujours SUS 1.0 pour les mises à jour jusqu’à ce qu’ils soient redirigés vers le port de WSUS, ou que SUS 1.0 soit retiré The same-server migration procedure is a three-step process, with two optional steps for testing and consolidating. Step 1: Install and Configure WSUS: When installing WSUS on a computer that has SUS installed, you must install WSUS by using a custom port. You must synchronize the WSUS server prior to migrating. Consider using the synchronization option for deferred downloads, which is enabled by default. Also, configure WSUS to download updates for the same number of languages that SUS was configured to download updates. By default WSUS is configured to download all languages. These configurations ensure that you do not unnecessarily download updates already on your network or in languages that you do not require. Step 2: Migrate Content and Approvals: You do not have to migrate both content and approvals from the SUS server. You can opt to initially migrate content and then migrate approvals at another time, or any number of combinations that suit your purpose. You do have to make sure that SUS is not synchronizing before you migrate content or approvals. Use WSUSutil.exe to migrate content and approvals from SUS to WSUS. Step 3: Test WSUS (Optional): Using local Group policy direct a client (or couple of clients) to the WSUS server on the 8530 port. Create deployments to the client to validate any specific scenarios like targeting or deadline times. Step 4: Move WSUS to Port 80 : Decommission the SUS server, and change the WSUS Web site from the custom port to port 80. As the SUS clients check in with the WSUS server, they will find the WSUS Web site and self-update to the Automatic Updates client compatible with WSUS. Note that you do not need to make any changes to Group Policy to get the SUS clients to self-update. If you prefer to leave your patching solution on a port other than port 80, you can leave WSUS on the custom 8530 port and change the client policy to point to this port on your WSUS server. You’ll still need to leave a selfupdate virtual directory on port 80 to allow pre-WSUS compatible clients to get updated to the WSUS compatible client. If you change the port number after installing WSUS, you have to create a new shortcut on your Start menu with the new URL to access the WSUS console from the Start menu. See Help and Support for instruction on creating shortcuts. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Ressources

Références Site sécurité : http://www.microsoft.com/france/securite Newsgroup : microsoft.public.fr.update_services Gestion des mises à jour de sécurité : http://www.microsoft.com/france/technet/securite/gestionmaj/default.asp Wiki WSUS : www.wsuswiki.com Site WSUS (en anglais) : http://www.microsoft.com/windowsserversystem/updateservices Téléchargement des fichiers d’installation Livres blancs Step-by-Step Guide to Getting Started with Microsoft Windows Server Update Services Deploying Microsoft Windows Server Update Services Microsoft Windows Server Update Services Operations Guide … Outils de dépannage : http://www.microsoft.com/windowsserversystem/updateservices/techinfo/default.mspx

Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex 4/2/2017 3:49 PM Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex www.microsoft.com/france 0 825 827 829 msfrance@microsoft.com © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.