Gestion des mises à jour avec Windows Update Services (ex SUS 2.0) Cyril VOISIN Chef de programme Sécurité Microsoft France.

Slides:



Advertisements
Présentations similaires
Active Directory Windows 2003 Server
Advertisements

Installer un serveur FTP
Vue d'ensemble Présentation multimédia : Administration d’un environnement Microsoft Windows Server 2003 Ouverture de session sur Windows Server 2003 Installation.
GPO Group Policy Object
Protection du réseau périphérique avec ISA 2004
Gestion des mises à jour de sécurité
Gérer son parc hétérogène depuis MOM et SMS avec QMX de Quest Software Laurent CAYATTE Consultant avant-vente Quest Software.
Bienvenue.
1 HPC pour les opérations. Sommaire Quelques rappels sur Windows Compute Cluster Server Déploiement de Compute Cluster Administration de Compute cluster.
Reprise à 14H15.
Gestion des mises à jour de sécurité avec WSUS ou SMS
Tournée TechNet 2006 sur la conception « Une infrastructure sécurisée bien gérée »
« Les Mercredis du développement » Introduction Office « 12 » Présenté par Bernard Fedotoff Microsoft Regional Director Agilcom.
Comment Protéger les bases SQL avec System Center Data Protection Manager 2007.
Windows Server 2003 SP1. Survol technique de Windows Server 2003 Service Pack 1 Rick Claus Conseillers professionnels en TI Microsoft Canada.
1 HPC pour les opérations. Administration Compute Cluster Server.
Administration. Administration Enjeux L’efficacité et la fiabilité de l’Infrastructure Technologique (IT) sont des facteurs critiques de réussite.
Connecter des données métier à Office SharePoint Server 2007 via le Business Data Catalog.
Microsoft Office Groove Le contexte Une utilisation des postes de travail en très grande évolution chez les professionnels. Des lieux de travail.
Implémentation de la gestion de réseau dans Windows 2000 et plus
Vue d'ensemble Vue d'ensemble de la sécurité dans Windows Server 2003
Programmes de Réservation
Active Directory Windows 2003 Server
Module 1 : Préparation de l'administration d'un serveur
Labnet & PTSchemes : Guide dinstallation FSC Bruxelles, 26-28/10/2010.
Gérard Gasganias Ingénieur Avant-Vente Microsoft France
Configuration de Windows Server 2008 Active Directory
GESTION DE PARCS D’ORDINATEURS
BitDefender Enterprise Manager. BitDefender Enterprise Manager – protection centralisée pour votre réseau Principales fonctions Fonctions spéciales (WMI)
WINDOWS Les Versions Serveurs
ePolicy Orchestrator de McAfee
Networld+Interop – Novembre 2003
Présentation 1. Consumer/Soho Small BusinessMidsize Business CorporateEnterprise Windows Home Server 1-4 employés 1-4 PCs 1-4 employés 1-4 PCs 5-49 employés.
Module 8 : Maintenance des logiciels à l'aide des services SUS
Module 4 : Maintenance des pilotes de périphériques
Module 1 : Installation de Windows 2000 ou mise à niveau vers Windows 2000.
Module 1 : Installation de Microsoft Windows XP Professionnel
2 Développer, tester et déployer un site web avec WebMatrix (RIA101) Christine Dubois 9 février 2011.
1h chrono pour vous présenter le nouveau couple Windows 8.1 / MDT 2013
Le nouveau Project. Le Nouveau Project Une solution flexible en ligne ou sur poste de travail pour la gestion de portefeuille de projet et le travail.
Protéger Exchange avec System Center Data Protection Manager 2007
Windows Server Update Services (WSUS)
Active Directory Windows 2003 Server
Mise en oeuvre et exploitation
Création d’un serveur de mise à jour
Sécurité et confidentialité dans Microsoft Internet Explorer William Keener Développement de contenu Global Service Automation Microsoft Corporation.
Vue d'ensemble Préparation de l'installation
Plan Qu’est-ce que Windows Server 2008 ?
Windows 2003 Server Modification du mode de domaine
Journée pratique e-Gouvernement Lausanne, 12 mai 2004 Déploiement et gestion du poste de travail à la Ville de Lausanne Christophe Lambert LAMBERT CONSULTING.
FTP : File Transfer Protocol (protocole de transfert de fichier ) est un protocole de communication destiné à l'échange informatique de fichiers sur.
Positionnement : Outil de supervision et d’administration spécialiste Les management packs de l’éditeur et la base de connaissance embarquée Rapidité.
Création d’un domaine Il faut :
Module 3 : Création d'un domaine Windows 2000
Windows Server Update Services 3.0
En route vers le déploiement . . .
Module 1 : Vue d'ensemble de Microsoft SQL Server
Citrix ® Presentation Server 4.0 : Administration Module 9 : Déploiement d'applications.
1 Windows 2003 Server Stratégie des comptes. 2 Windows 2003 Server Il faut tenir compte de ces 3 paramètres.
Module 2 : Planification de l'installation de SQL Server
1 Chesné Pierre
Benjamin Soulier Technical Expert Cambridge Technology Partners Les nouveautés de Windows Azure.
Création d’applications distribuées.NET Ziriad Saibi Relation technique éditeurs de logiciels Microsoft France.
Gérer son parc de postes de travail et serveurs avec System Center Essentials (SCE) 2007.
La solution KoXo Administrator
9 février 2010 Enrique Ruiz Mateos Architecte avant-vente Microsoft
Déploiement d’imprimantes par GPO
Installation du PGI – CEGID
FACTORY systemes Module 2 Section 1 Page 2-3 Installation d’Industrial SQL FORMATION InSQL 7.0.
Transcription de la présentation:

Gestion des mises à jour avec Windows Update Services (ex SUS 2.0) Cyril VOISIN Chef de programme Sécurité Microsoft France

Avertissement Windows Update Services (WUS) nexiste pas encore en version finale (beta 1 seulement) Certaines fonctionnalités décrites ici pourraient changer dici à la sortie du produit

Sommaire Objectifs Aperçu de la solution WUS Notions fondamentales Client Mises à jour automatiques Groupe cible Abonnement Approbation de mise à jour Vérification avant déploiement Installation Installation avec date butoir DésinstallationRapports Notions complémentaires Communications Options de déploiement des serveurs WUS StockageSécuritéFlexibilité Scénario de mise à jour de serveurs Choix dun outil de gestion des correctifs Comparaison MU/WU/SMS

Aperçu de WUS

Objectifs de WUS (SUS 2.0) Construire linfrastructure de base de la gestion des mises à jour Créer une solution facile dutilisation, néanmoins complète, pour télécharger et distribuer des mises à jour de produits Microsoft Critiques ou non Rapports centralisés Garantie de linstallation Dépannage Systèmes ou applications Répondre aux demandes clients par rapport à la version SUS 1.0 (qui ne prend en charge que les mises à jour critiques ou sécurité de Windows)

Produits supportés Windows 2000 SP3 et versions ultérieures Office XP SP2 et Office 2003 SQL 2000 et MSDE 2000 Exchange Server 2003 A terme, tous les produits Microsoft

Ladministrateur souscrit à certaines catégories de mises à jourLe serveur télécharge les mises à jour depuis Microsoft UpdateLes clients senregistrent auprès du serveur Ladministrateur met les clients dans différents groupes cibles Ladministrateur approuve les mises à jour Les clients installent les mises à jour approuvées par ladministrateur Microsoft Update (utilise WUS) Serveur WUS Postes de travail (clients WUS) Groupe cible 1 Serveurs (clients WUS) Groupe cible 2 Administrateur WUS Aperçu de la solution

Notions fondamentales Client Mises à jour automatiques Groupe cible Abonnement Approbation de mise à jour Rapports

Client Mises à jour automatiques (AutoUpdate) Principe : se connecte à Windows Update, Microsoft Update ou un serveur WUS pour maintenir la machine à jour Mode pull Nouvelle version dans Windows XP Service Pack 2 Disponible pour Windows Server 2003 Windows 2000 SP3 Windows XP SP1 Possibilité de mise à jour silencieuse du client à partir du serveur WUS

Configuration des clients Par stratégie de groupe ou par registre Configurer les Mises à jour automatiques (AutoUpdate) en spécifiant un serveur intranet de Mise à jour Microsoft Modes dinstallation : Notifier avant téléchargement/installation Télécharger puis notifier pour installation Télécharger et installer automatiquement selon la planification Autoriser les administrateurs locaux à choisir le mode de configuration (sans pouvoir désactiver AutoUpdate)

Configuration des clients Fréquence de détection configurable (du client vers le serveur) : 22 heures par défaut; minimum 1 heure (charge sur le serveur) La durée réelle entre deux détections sera déterminée aléatoirement entre 80% et 100% de la durée paramétrée Délai de redémarrage et intervalle avant nouvelle demande de redémarrage (si redémarrage repoussé) Notification pour les non administrateurs (en fonction du mode dinstallation) Pas de redémarrage planifié (pour laisser lutilisateur redémarrer quand il le veut) Replanifier les installations planifiées (ex : 5 min après redémarrage) Autoriser linstallation immédiate des mises à jour automatiques Ciblage Notifie lutilisateur si redémarrage nécessaire

Groupes cibles Utilité : cibler des mises à jour sur des machines spécifiques Groupe cible de test Groupe cible de production Deux types de ciblage Côté serveur Ladministrateur WUS gère lappartenance aux groupes depuis le site dadministration (listes sur le serveur) Côté client Appartenance gérée automatiquement En utilisant des stratégies de groupe (même groupe pour toutes les machines dune même UO dActive Directory) En utilisant le registre

Abonnements (subscriptions) Permet de choisir quelles mises à jour télécharger et quand Produit / Type de mise à jour (sécu, SP,FP, pilote,etc…) En fait une mise à jour est composée de deux éléments Un correctif Les méta données décrivant le correctif Par défaut : seules les méta données sont téléchargées (catalogue) les correctifs sont téléchargés sils sont approuvés (contenu) Exemples dabonnements Quotidiens pour les mises à jour critiques Hebdomadaires pour les mises à jour recommandées

Ajout dun abonnement

Approbation de mise à jour Vérification avant déploiement (Scan) Évalue limpact dune mise à jour sur le réseau avant quelle ne soit déployée Au niveau de lapprobation dune mise à jour, choisir laction Scan Après un cycle de détection des clients, la rubrique Status de la mise à jour indique le nombre de machines qui nécessitent la mise à jour Installation lors de la prochaine date planifiée Installation avec date butoir Désinstallation (nécessite que la mise à jour le supporte) Re-approbation automatique (utiliser ou non automatiquement la nouvelle révision de mise à jour)

Serveur WUS wus1.demo.loca l Poste de travail (client WUS) winxpvlbase.demo.local Contrôleur de domaine (client WUS) dc1.demo.localDémo Pare-feu, caché, serveur DHCP (hors domaine) demofwvm.demo.local

Approbation dune mise à jour

Installation avec date butoir

Rapports Rapport standard consolidé (activités clients) Par machine / par mise à jour / par groupe cible Succès et échecs des téléchargements et installations avec les détails sur les erreurs Rapport sur les synchros Nouveautés, changements Agrégation de rapports pour plusieurs serveurs Résumé vers le parent Rapport personnalisés (requêtes SQL) Rapport sur la bonne santé du serveur

Notions complémentaires Communications Options de déploiement des serveurs WUS StockageSécuritéFlexibilité

Communications Configuration des paramètres de proxy Faible utilisation de la bande passante BITS pour les téléchargements client-serveur et serveur-serveur Mise à jour par abonnement (par produit/par type) Support des technologies delta compression Téléchargement dissocié des correctifs et de leurs méta données

Options de déploiement des serveurs Déploiement hiérarchique Serveurs indépendants Serveurs replica Serveurs non connectés à Internet

Postes de travail Clients Serveur replica Microsoft Update Serveur WUS Serveur WUS (replica)

Postes de travail Clients Serveurs non connectés Microsoft Update Serveur WUS Importation et exportation manuelles

Stockage Base de données pour gérer tout ce qui nest pas contenu Prise en compte des dépendances entre les mises à jour MSDE vs SQL Server MSDE a une limite de 2Go Mises à jour hébergées sur Microsoft Update (WUS sert alors seulement de point de contrôle) ou en local Filtrage de contenu Ne garder que les plateformes et langues dont vous avez besoin Dimensionnement Prévoir une croissance annuelle x nb de langues

Sécurité, flexibilité Sur le client et sur le serveur Vérification de signature des contenus téléchargés Permissions sur les contenus téléchargés Changement des ports Sauf pour contacter MU Infrastructure et plateforme Option en ligne de commande pour déclencher une détection côté client : wuauclt.exe/detect API du client en COM exécutables à distance et scriptables API du serveur basées sur.Net Framework

Exemple de script Le serveur et le client exposent tous les deux des API scriptables Dim update, i set AutoUpdate = CreateObject("Microsoft.Update.AutoUpdate") Autoupdate.DetectNow() set UpdateSession = CreateObject("Microsoft.Update.Session") set UpdateSearcher = UpdateSession.CreateUpdateSearcher() set SearchResult= UpdateSearcher.Search("") set Updates = SearchResult.Updates set UpdatesToInstall = CreateObject("Microsoft.Update.UpdateColl") For i = 0 to (Updates.Count-1) UpdatesToInstall.Add(Updates.Item(i))Next set Installer = UpdateSession.CreateUpdateInstaller() Installer.Updates = UpdatesToInstall set InstallationResult = Installer.Install() Détection Approbation Installation

Scénario : mise à jour de serveurs avec WUS

Mises à jour de serveurs Suggestions Définir des groupes cibles (GPO ou interface dadministration WUS) Configurer les clients Mises à jour automatiques (GPO ou registre) Installation auto ou notification avant installation Si notification, ouverture de session ou script pour installation

Mises à jour de serveurs Suggestions Pour les serveurs avec des fenêtres de maintenance, configurer les Mises à jour automatiques pour une installation planifiée durant la fenêtre Pour les serveurs sans créneaux de maintenance : Configurer les Mises à jour automatiques pour notifier avant linstallation Ouvrir une session sur le serveur ou utiliser les API pour effectuer linstallation lorsque cest nécessaire

Mises à jour de serveurs Suggestions Datacenters Utiliser les stratégies BITS pour limiter la bande passante et les fenêtres de téléchargement Configurer les Mises à jour automatiques pour notifier avant linstallation Utiliser les API pour effectuer linstallation lorsque cest nécessaire Clusters Scripter la mise à jour nœud après noeud

Choisir un outil de gestion de correctifs

*utilisation de Windows Update, d'un autre outil de mise à jour ou mise à jour manuelle pour les systèmes et applications non supportés par WUS ou Microsoft Update Choisir une solution de gestion des correctifs Client Sc é nario Choix Grande ou moyenne entreprise Besoin d'une solution unique et flexible de gestion des mises à jour avec un niveau é lev é de contrôle et de distribution pour TOUTES les versions de Windows et d'applications, ainsi qu'une solution de gestion du parc int é gr é SMS 2003 Besoin seulement d'une solution de mise à jour simple pour les produits Microsoft, et dans un premier temps Windows (2000 et ult é rieur), Office (2003 & XP), Exchange 2003, SQL Server 2000 et MSDE 2000 WUS* Petite entreprise Au moins un serveur et un administrateur WUS* Tous les autres sc é narios Microsoft Update* Consommateur Tous les sc é narios Microsoft Update*

Comparaison de MU, WUS et SMS 2003 Capacité Microsoft Update WUS SMS 2003 Logiciels et contenus supportés Logiciels supportés pour le contenu Pareil que WUS + WinXP édition familiale Win2K, WS2003, WinXP Pro, Office 2003, Office XP, Exchange 2003, SQL Server 2000, MSDE Idem WUS + NT 4.0 & Win98 + peut mettre à jour nimporte quel logiciel fonctionnant sur Windows Types de contenu supportés Toutes les mises à jour de logiciels, mises à jour critiques de pilotes, Service Packs & Feature Packs Toutes les mises à jour de logiciels, Service Packs & Feature Packs + support la mise à jour et linstallation dappli Windows Capacités de gestion des mises à jour Ciblage de contenu à certains systèmes N/ASimple Avancé Optimisation de la bande passante réseau OuiOuiOui Contrôle de la distribution des correctifs N/ASimple Avancé Installation de correctif & flexibilité de la planification Manuelle & contrôlée par lutilisateur final Simple Avancé Rapport sur les installations de correctifs Erreurs dinstallation rapportées à lutilisateur. Liste les mises à jour manquantes pour la machine connectée Simple Avancé Planification du déploiement N/ASimple Avancé Gestion de linventaire N/ANonOui Vérification de conformité N/A Non – rapport de statut seulement Avancé

Ressources stem/sus/wusbeta.mspx stem/sus/wusbeta.mspx Atelier Windows Update Services

BACKUPBACKUP

Processus de gestion des correctifs 1. Assess 2. Identify 4. Deploy 3. Evaluate & Plan Discover a New Software Update Discover a New Software Update Determine Relevance Determine Relevance Obtain and Verify source files Obtain and Verify source files Submit RFC Submit RFC Determine Appropriate Response Determine Appropriate Response Plan the Release Plan the Release Build the Release Build the Release Acceptance Testing Acceptance Testing Deployment Preparation Deployment Preparation Deploy to targeted computers Deploy to targeted computers Post-Implementation Review Post-Implementation Review Inventory/Discover Existing Assets Inventory/Discover Existing Assets Assess Security Threats/Vulnerabilities Assess Security Threats/Vulnerabilities Determine the best source of information Determine the best source of information Assess Software Distribution Infrastructure Assess Software Distribution Infrastructure Assess Operational Effectiveness Assess Operational Effectiveness

Troubleshooting Tips (1 of 4) Setup issues Prerequisites Additional steps may be needed Cannot run setup Verify prerequisites Setup fails Review logs, correct problem and retry Logs Setup log %Windir%\MSusSetup.log database setup log %Windir%\MSusCa.log BITS setup log %Windir%\BitsSetup.log

Troubleshooting Tips (2 of 4) IIS Issues Site not started Check ports, start site IIS not running Restart IIS Is WUS site accessible from local machine? Check services, IE settings Is WUS site accessible from different machine? Check connectivity, name resolution

Troubleshooting Tips (3 of 4) Database issues Cannot access database Set up accounts and machine.config Is WUS db accessible? Select * from tbConfigurationA Are there any updates data in WUS db? Select count(*) from vwMinimalUpdate

Troubleshooting Tips (4 of 4) Executing Subscription Cannot create a new subscription, error cannot connect to upstream server Verify proxy settings Updates page doesnt show any updates. Verify the view updates filter Verify subscriptions I just approved an update, updates page doesnt show approved update Verify the view updates filter Log %Windir%\temp\SoftwareDistribution.log Restart IIS and Software Update Services service

Ongoing Operations Get help Daily tasks Weekly tasks Monthly tasks As-needed tasks

Get Help Get familiar with Microsoft Operations Framework (MOF) Process, Team, and Risk Models. l=/technet/itsolutions/msm/default.asp or l=/technet/itsolutions/msm/default.asp l=/technet/itsolutions/msm/default.asp Read the Deployment Guide for WUS

Daily Tasks DescriptionProcessTeam Role Cluster Perform an inventory on serversAssessOperations Check production environment for unmanaged or rogue computers AssessSecurity Check for potential system vulnerabilities AssessSecurity Check to ensure compliance with security standards and policies AssessSecurity Check Web sites, messages, and other sources for information about new software updates IdentifyOperations Monitor progress of software update deployment DeployRelease

Weekly Tasks DescriptionProcessTeam Role Cluster Perform an inventory of workstations AssessOperations Check that workstation inventory is up to date AssessOperations Review change requests for software updates that are not considered emergencies and determine the most appropriate response Evaluate and Plan All

Monthly Tasks DescriptionProcessTeam Role Cluster Check for new sources of software update information AssessOperations Review security standards and policies AssessSecurity

As-Needed Tasks DescriptionProcessTeam Role Cluster Review a software update and perform an immediate audit of computers at risk, if this is an emergency IdentifySecurity Plan for the release of the software update into production Evaluate and Plan All Deploy a software update and monitor progress DeployRelease Resolve issues with computers that fail to install a software update DeployRelease Perform a change review to assess how successful the deployment of the software update was and whether the process needs to be improved DeployAll

Installation à larrêt (XP SP2) Profiter de larrêt de la machine pour la maintenir à jour Contrôlé par stratégie de groupe