Gestion des mises à jour avec Windows Update Services (ex SUS 2.0) Cyril VOISIN Chef de programme Sécurité Microsoft France
Avertissement Windows Update Services (WUS) nexiste pas encore en version finale (beta 1 seulement) Certaines fonctionnalités décrites ici pourraient changer dici à la sortie du produit
Sommaire Objectifs Aperçu de la solution WUS Notions fondamentales Client Mises à jour automatiques Groupe cible Abonnement Approbation de mise à jour Vérification avant déploiement Installation Installation avec date butoir DésinstallationRapports Notions complémentaires Communications Options de déploiement des serveurs WUS StockageSécuritéFlexibilité Scénario de mise à jour de serveurs Choix dun outil de gestion des correctifs Comparaison MU/WU/SMS
Aperçu de WUS
Objectifs de WUS (SUS 2.0) Construire linfrastructure de base de la gestion des mises à jour Créer une solution facile dutilisation, néanmoins complète, pour télécharger et distribuer des mises à jour de produits Microsoft Critiques ou non Rapports centralisés Garantie de linstallation Dépannage Systèmes ou applications Répondre aux demandes clients par rapport à la version SUS 1.0 (qui ne prend en charge que les mises à jour critiques ou sécurité de Windows)
Produits supportés Windows 2000 SP3 et versions ultérieures Office XP SP2 et Office 2003 SQL 2000 et MSDE 2000 Exchange Server 2003 A terme, tous les produits Microsoft
Ladministrateur souscrit à certaines catégories de mises à jourLe serveur télécharge les mises à jour depuis Microsoft UpdateLes clients senregistrent auprès du serveur Ladministrateur met les clients dans différents groupes cibles Ladministrateur approuve les mises à jour Les clients installent les mises à jour approuvées par ladministrateur Microsoft Update (utilise WUS) Serveur WUS Postes de travail (clients WUS) Groupe cible 1 Serveurs (clients WUS) Groupe cible 2 Administrateur WUS Aperçu de la solution
Notions fondamentales Client Mises à jour automatiques Groupe cible Abonnement Approbation de mise à jour Rapports
Client Mises à jour automatiques (AutoUpdate) Principe : se connecte à Windows Update, Microsoft Update ou un serveur WUS pour maintenir la machine à jour Mode pull Nouvelle version dans Windows XP Service Pack 2 Disponible pour Windows Server 2003 Windows 2000 SP3 Windows XP SP1 Possibilité de mise à jour silencieuse du client à partir du serveur WUS
Configuration des clients Par stratégie de groupe ou par registre Configurer les Mises à jour automatiques (AutoUpdate) en spécifiant un serveur intranet de Mise à jour Microsoft Modes dinstallation : Notifier avant téléchargement/installation Télécharger puis notifier pour installation Télécharger et installer automatiquement selon la planification Autoriser les administrateurs locaux à choisir le mode de configuration (sans pouvoir désactiver AutoUpdate)
Configuration des clients Fréquence de détection configurable (du client vers le serveur) : 22 heures par défaut; minimum 1 heure (charge sur le serveur) La durée réelle entre deux détections sera déterminée aléatoirement entre 80% et 100% de la durée paramétrée Délai de redémarrage et intervalle avant nouvelle demande de redémarrage (si redémarrage repoussé) Notification pour les non administrateurs (en fonction du mode dinstallation) Pas de redémarrage planifié (pour laisser lutilisateur redémarrer quand il le veut) Replanifier les installations planifiées (ex : 5 min après redémarrage) Autoriser linstallation immédiate des mises à jour automatiques Ciblage Notifie lutilisateur si redémarrage nécessaire
Groupes cibles Utilité : cibler des mises à jour sur des machines spécifiques Groupe cible de test Groupe cible de production Deux types de ciblage Côté serveur Ladministrateur WUS gère lappartenance aux groupes depuis le site dadministration (listes sur le serveur) Côté client Appartenance gérée automatiquement En utilisant des stratégies de groupe (même groupe pour toutes les machines dune même UO dActive Directory) En utilisant le registre
Abonnements (subscriptions) Permet de choisir quelles mises à jour télécharger et quand Produit / Type de mise à jour (sécu, SP,FP, pilote,etc…) En fait une mise à jour est composée de deux éléments Un correctif Les méta données décrivant le correctif Par défaut : seules les méta données sont téléchargées (catalogue) les correctifs sont téléchargés sils sont approuvés (contenu) Exemples dabonnements Quotidiens pour les mises à jour critiques Hebdomadaires pour les mises à jour recommandées
Ajout dun abonnement
Approbation de mise à jour Vérification avant déploiement (Scan) Évalue limpact dune mise à jour sur le réseau avant quelle ne soit déployée Au niveau de lapprobation dune mise à jour, choisir laction Scan Après un cycle de détection des clients, la rubrique Status de la mise à jour indique le nombre de machines qui nécessitent la mise à jour Installation lors de la prochaine date planifiée Installation avec date butoir Désinstallation (nécessite que la mise à jour le supporte) Re-approbation automatique (utiliser ou non automatiquement la nouvelle révision de mise à jour)
Serveur WUS wus1.demo.loca l Poste de travail (client WUS) winxpvlbase.demo.local Contrôleur de domaine (client WUS) dc1.demo.localDémo Pare-feu, caché, serveur DHCP (hors domaine) demofwvm.demo.local
Approbation dune mise à jour
Installation avec date butoir
Rapports Rapport standard consolidé (activités clients) Par machine / par mise à jour / par groupe cible Succès et échecs des téléchargements et installations avec les détails sur les erreurs Rapport sur les synchros Nouveautés, changements Agrégation de rapports pour plusieurs serveurs Résumé vers le parent Rapport personnalisés (requêtes SQL) Rapport sur la bonne santé du serveur
Notions complémentaires Communications Options de déploiement des serveurs WUS StockageSécuritéFlexibilité
Communications Configuration des paramètres de proxy Faible utilisation de la bande passante BITS pour les téléchargements client-serveur et serveur-serveur Mise à jour par abonnement (par produit/par type) Support des technologies delta compression Téléchargement dissocié des correctifs et de leurs méta données
Options de déploiement des serveurs Déploiement hiérarchique Serveurs indépendants Serveurs replica Serveurs non connectés à Internet
Postes de travail Clients Serveur replica Microsoft Update Serveur WUS Serveur WUS (replica)
Postes de travail Clients Serveurs non connectés Microsoft Update Serveur WUS Importation et exportation manuelles
Stockage Base de données pour gérer tout ce qui nest pas contenu Prise en compte des dépendances entre les mises à jour MSDE vs SQL Server MSDE a une limite de 2Go Mises à jour hébergées sur Microsoft Update (WUS sert alors seulement de point de contrôle) ou en local Filtrage de contenu Ne garder que les plateformes et langues dont vous avez besoin Dimensionnement Prévoir une croissance annuelle x nb de langues
Sécurité, flexibilité Sur le client et sur le serveur Vérification de signature des contenus téléchargés Permissions sur les contenus téléchargés Changement des ports Sauf pour contacter MU Infrastructure et plateforme Option en ligne de commande pour déclencher une détection côté client : wuauclt.exe/detect API du client en COM exécutables à distance et scriptables API du serveur basées sur.Net Framework
Exemple de script Le serveur et le client exposent tous les deux des API scriptables Dim update, i set AutoUpdate = CreateObject("Microsoft.Update.AutoUpdate") Autoupdate.DetectNow() set UpdateSession = CreateObject("Microsoft.Update.Session") set UpdateSearcher = UpdateSession.CreateUpdateSearcher() set SearchResult= UpdateSearcher.Search("") set Updates = SearchResult.Updates set UpdatesToInstall = CreateObject("Microsoft.Update.UpdateColl") For i = 0 to (Updates.Count-1) UpdatesToInstall.Add(Updates.Item(i))Next set Installer = UpdateSession.CreateUpdateInstaller() Installer.Updates = UpdatesToInstall set InstallationResult = Installer.Install() Détection Approbation Installation
Scénario : mise à jour de serveurs avec WUS
Mises à jour de serveurs Suggestions Définir des groupes cibles (GPO ou interface dadministration WUS) Configurer les clients Mises à jour automatiques (GPO ou registre) Installation auto ou notification avant installation Si notification, ouverture de session ou script pour installation
Mises à jour de serveurs Suggestions Pour les serveurs avec des fenêtres de maintenance, configurer les Mises à jour automatiques pour une installation planifiée durant la fenêtre Pour les serveurs sans créneaux de maintenance : Configurer les Mises à jour automatiques pour notifier avant linstallation Ouvrir une session sur le serveur ou utiliser les API pour effectuer linstallation lorsque cest nécessaire
Mises à jour de serveurs Suggestions Datacenters Utiliser les stratégies BITS pour limiter la bande passante et les fenêtres de téléchargement Configurer les Mises à jour automatiques pour notifier avant linstallation Utiliser les API pour effectuer linstallation lorsque cest nécessaire Clusters Scripter la mise à jour nœud après noeud
Choisir un outil de gestion de correctifs
*utilisation de Windows Update, d'un autre outil de mise à jour ou mise à jour manuelle pour les systèmes et applications non supportés par WUS ou Microsoft Update Choisir une solution de gestion des correctifs Client Sc é nario Choix Grande ou moyenne entreprise Besoin d'une solution unique et flexible de gestion des mises à jour avec un niveau é lev é de contrôle et de distribution pour TOUTES les versions de Windows et d'applications, ainsi qu'une solution de gestion du parc int é gr é SMS 2003 Besoin seulement d'une solution de mise à jour simple pour les produits Microsoft, et dans un premier temps Windows (2000 et ult é rieur), Office (2003 & XP), Exchange 2003, SQL Server 2000 et MSDE 2000 WUS* Petite entreprise Au moins un serveur et un administrateur WUS* Tous les autres sc é narios Microsoft Update* Consommateur Tous les sc é narios Microsoft Update*
Comparaison de MU, WUS et SMS 2003 Capacité Microsoft Update WUS SMS 2003 Logiciels et contenus supportés Logiciels supportés pour le contenu Pareil que WUS + WinXP édition familiale Win2K, WS2003, WinXP Pro, Office 2003, Office XP, Exchange 2003, SQL Server 2000, MSDE Idem WUS + NT 4.0 & Win98 + peut mettre à jour nimporte quel logiciel fonctionnant sur Windows Types de contenu supportés Toutes les mises à jour de logiciels, mises à jour critiques de pilotes, Service Packs & Feature Packs Toutes les mises à jour de logiciels, Service Packs & Feature Packs + support la mise à jour et linstallation dappli Windows Capacités de gestion des mises à jour Ciblage de contenu à certains systèmes N/ASimple Avancé Optimisation de la bande passante réseau OuiOuiOui Contrôle de la distribution des correctifs N/ASimple Avancé Installation de correctif & flexibilité de la planification Manuelle & contrôlée par lutilisateur final Simple Avancé Rapport sur les installations de correctifs Erreurs dinstallation rapportées à lutilisateur. Liste les mises à jour manquantes pour la machine connectée Simple Avancé Planification du déploiement N/ASimple Avancé Gestion de linventaire N/ANonOui Vérification de conformité N/A Non – rapport de statut seulement Avancé
Ressources stem/sus/wusbeta.mspx stem/sus/wusbeta.mspx Atelier Windows Update Services
BACKUPBACKUP
Processus de gestion des correctifs 1. Assess 2. Identify 4. Deploy 3. Evaluate & Plan Discover a New Software Update Discover a New Software Update Determine Relevance Determine Relevance Obtain and Verify source files Obtain and Verify source files Submit RFC Submit RFC Determine Appropriate Response Determine Appropriate Response Plan the Release Plan the Release Build the Release Build the Release Acceptance Testing Acceptance Testing Deployment Preparation Deployment Preparation Deploy to targeted computers Deploy to targeted computers Post-Implementation Review Post-Implementation Review Inventory/Discover Existing Assets Inventory/Discover Existing Assets Assess Security Threats/Vulnerabilities Assess Security Threats/Vulnerabilities Determine the best source of information Determine the best source of information Assess Software Distribution Infrastructure Assess Software Distribution Infrastructure Assess Operational Effectiveness Assess Operational Effectiveness
Troubleshooting Tips (1 of 4) Setup issues Prerequisites Additional steps may be needed Cannot run setup Verify prerequisites Setup fails Review logs, correct problem and retry Logs Setup log %Windir%\MSusSetup.log database setup log %Windir%\MSusCa.log BITS setup log %Windir%\BitsSetup.log
Troubleshooting Tips (2 of 4) IIS Issues Site not started Check ports, start site IIS not running Restart IIS Is WUS site accessible from local machine? Check services, IE settings Is WUS site accessible from different machine? Check connectivity, name resolution
Troubleshooting Tips (3 of 4) Database issues Cannot access database Set up accounts and machine.config Is WUS db accessible? Select * from tbConfigurationA Are there any updates data in WUS db? Select count(*) from vwMinimalUpdate
Troubleshooting Tips (4 of 4) Executing Subscription Cannot create a new subscription, error cannot connect to upstream server Verify proxy settings Updates page doesnt show any updates. Verify the view updates filter Verify subscriptions I just approved an update, updates page doesnt show approved update Verify the view updates filter Log %Windir%\temp\SoftwareDistribution.log Restart IIS and Software Update Services service
Ongoing Operations Get help Daily tasks Weekly tasks Monthly tasks As-needed tasks
Get Help Get familiar with Microsoft Operations Framework (MOF) Process, Team, and Risk Models. l=/technet/itsolutions/msm/default.asp or l=/technet/itsolutions/msm/default.asp l=/technet/itsolutions/msm/default.asp Read the Deployment Guide for WUS
Daily Tasks DescriptionProcessTeam Role Cluster Perform an inventory on serversAssessOperations Check production environment for unmanaged or rogue computers AssessSecurity Check for potential system vulnerabilities AssessSecurity Check to ensure compliance with security standards and policies AssessSecurity Check Web sites, messages, and other sources for information about new software updates IdentifyOperations Monitor progress of software update deployment DeployRelease
Weekly Tasks DescriptionProcessTeam Role Cluster Perform an inventory of workstations AssessOperations Check that workstation inventory is up to date AssessOperations Review change requests for software updates that are not considered emergencies and determine the most appropriate response Evaluate and Plan All
Monthly Tasks DescriptionProcessTeam Role Cluster Check for new sources of software update information AssessOperations Review security standards and policies AssessSecurity
As-Needed Tasks DescriptionProcessTeam Role Cluster Review a software update and perform an immediate audit of computers at risk, if this is an emergency IdentifySecurity Plan for the release of the software update into production Evaluate and Plan All Deploy a software update and monitor progress DeployRelease Resolve issues with computers that fail to install a software update DeployRelease Perform a change review to assess how successful the deployment of the software update was and whether the process needs to be improved DeployAll
Installation à larrêt (XP SP2) Profiter de larrêt de la machine pour la maintenir à jour Contrôlé par stratégie de groupe