Gestion des mises à jour de sécurité avec WSUS ou SMS 3/26/2017 3:56 PM Gestion des mises à jour de sécurité avec WSUS ou SMS Gestion des mises à jour de sécurité avec WSUS ou SMS Description :Cette session aborde la problématique de l'identification des correctifs de sécurité manquants sur les postes de travail et les serveurs de l'entreprise et de leur déploiement au travers des outils Windows Server Update Services et System Management Server 2003. Intervenant :Fabrice Meillon, Microsoft France Niveau :Niveau 300 : Confirmé. Session d'un niveau avancé, s'adressant à des spécialistes. Une session de niveau 300 traite en profondeur des problématiques de résolution de problèmes, de l'utilisation de codes et des outils de développement pour les systèmes et solutions Microsoft. Fabrice Meillon Architecte Infrastructure Microsoft France http://blogs.technet.com/fabricem_blogs © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Agenda Problématique et rappel du processus (MOF) 3/26/2017 3:56 PM Agenda Problématique et rappel du processus (MOF) La gestion des correctifs au travers de Windows Server Update Services La gestion des correctifs au travers de System Management Server 2003 Quel outil choisir ? © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Gestion réussie des correctifs 3/26/2017 3:56 PM Gestion réussie des correctifs Produits, outils et automatisation Cohérents et répétitifs Compétences, rôles et responsabilités Processus Technologies Personnes © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Processus Appliquée au processus de gestion des correctifs, les principes de MOF se déclinent en 4 phases : Inventaire : phase d’inventaire de l’existant Identification : phase de détection des correctifs disponibles Evaluation : phase de test et de décision d’application des correctifs, puis de planification de leur déploiement Déploiement : distribution et installation sur les ordinateurs cibles. Les principes fondamentaux des processus MOF sont : une approche structurée, un cycle de vie rapide et un perfectionnement itératif, une gestion basée sur la révision, et l’intégration de la gestion des risques. Le processus de gestion des correctifs en entreprise : méthodes recommandées http://www.microsoft.com/france/technet/themes/secur/secmod193.mspx
“Microsoft Update” (Windows Update) 3/26/2017 3:56 PM Technologies “Microsoft Update” (Windows Update) Windows Update Download Center Office Update VS Update Hier Aujourd’hui Windows, SQL, Exchange, Office… Windows Server Update Services System Management Server Windows, Office seulement SUS Windows, SQL, Exchange, Office… Windows seulement © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Qu’est ce que Windows Server Update Services (WUS)? 3/26/2017 3:56 PM Qu’est ce que Windows Server Update Services (WUS)? Offre d’entreprise de gestion des mises à jour Obtenir le contenu du service Microsoft Update Composant téléchargeable sur le web Pas de coût licences Windows Server (2000 et ultérieur) Nécessite une licence Windows Server / CAL pour les systèmes cibles Ne modifie pas les offres existantes Software Update Services (SUS 1.0) continue d’obtenir son contenu de Windows Update ( déc. 2006) Le client Windows Update © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Vue d’ensemble Microsoft Update Serveur WSUS 3/26/2017 3:56 PM Vue d’ensemble Microsoft Update Serveur WSUS Groupe 1 cible Postes clients Administrateur WSUS Groupe 2 cible Serveurs Administrateur approuve les mises à jour Agents installent les mises à jour approuvées par l’administrateur Serveur télécharge les mises à jour de Microsoft Update Clients s’enregistrent aux-mêmes avec le serveur Administrateur souscrit aux catégories de mises à jour Administrateur place les clients dans des groupes cibles © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Windows Server Update Services 3/26/2017 3:56 PM Windows Server Update Services Vue d’ensemble © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Implémentation Contenu Plate-formes (Système d’exploitation) 3/26/2017 3:56 PM Implémentation Contenu Windows, Office, SQL, Exchange à l’origine (disponibilité du produit) Des produits additionnels s’y ajoutent : Small Business Server 2003, DPM, Windows Defender, ISA… Plate-formes (Système d’exploitation) Client/agent Windows 2000 SP3 et ult., Windows XP RTM et ult. (incl. XP embedded et XP x64) Windows 2003 RTM (32-bit seulement), Windows 2003 SP1 (x64 et ia64) Serveur Windows 2000 SP4 et ultérieur Windows 2003 RTM et ultérieur (32-bit seulement) Localisation Client est localisé en 25 versions Serveur est localisé en 17 versions Support des packs de langues au niveau du système (MUI) © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Contrôle Administrateur défini des groupes cibles 3/26/2017 3:56 PM Contrôle Administrateur défini des groupes cibles Utilisation des stratégies de groupe pour ce faire dans l’environnement AD Au travers de l’interface d’administration de WSUS pour les environnement non AD Administrateur contrôle les approbations “Détection seulement” évaluation des machines qui nécessite l’application d’un patch Approbation pour l’installation et la désinstallation (pas toujours possible) Installation sur date butoir Approbation par groupe cible: Différentes mises à jour vers différents groupes cibles Différentes dates butoirs par groupe cible Différentes actions par groupe cible © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Configuration de l’agent 3/26/2017 3:56 PM Configuration de l’agent Fréquence de communication (polling) Notification et type d’installation “Comportement” vis-à-vis du redémarrage Port configurable Les utilisateurs standards peuvent installer des mises à jour par notification (comme les administrateurs) Installation à l’arrêt (XP SP2 et Windows 2003 SP1 seulement) © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Optimisation réseau Réprise en cas de coupure et transparence 3/26/2017 3:56 PM Optimisation réseau Réprise en cas de coupure et transparence BITS* pour téléchargement client-serveur et serveur-serveur Téléchargements se font en fond de tache (background) Téléchargement minimal des mises à jour Suscriptions aux mises à jour – téléchargement des mises à jour pour les produits, classifications et langues que *vous* avez besoin Support de la technologie “delta compression” pour les communications Option client-serveur pour téléchargement uniquement les mises à jour approuvées (download on demand) Option pour télécharger uniquement le catalogue des mises à jour et la détection – binaires sur MU *Background Intelligent Transfer Service © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Architecture Serveur WSUS Servers/MU Clients Admin workstation 3/26/2017 3:56 PM Architecture Serveur WSUS Servers/MU Clients Admin workstation Server/Server Web service Reporting Web service Client/Server Web service Admin UI Catalog sync Content sync Server API Metadata Store MSDE/SQL File Store (NTFS) © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Architecture Client WU Service or WSUS IE (WU Site) Custom scripts 3/26/2017 3:56 PM Architecture Client WU Service or WSUS IE (WU Site) Custom scripts Client WU WU Client API Update handlers Update manager Automatic updates BITS Content store Metadata Store © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Administration Serveur Client Outils de diagnostics APIs basées .NET 3/26/2017 3:56 PM Administration Serveur APIs basées .NET Règles simple pour automatiser le déploiement des mises à jour sans UI Client Ligne de commande wuauclt.exe /detectnow pour la détection APIs basées sur COM pour les scripts et le support distant Paramètres du client AU via stratégie de groupe ou scripts Outils de diagnostics © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Windows Server Update Services 3/26/2017 3:56 PM Windows Server Update Services Scripting et outils © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Déploiement Différentes options de déploiement serveur 3/26/2017 3:56 PM Déploiement Différentes options de déploiement serveur Serveur unique Serveurs multiples Replica Autonome Serveurs déconnectés Dimensionnement et migration Configuration du client Windows Update © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Serveur unique Microsoft update Serveur WSUS Poste clients 3/26/2017 3:56 PM Serveur unique Microsoft update Serveur WSUS Poste clients © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Serveurs multiples Microsoft Update Serveur WSUS Serveur WSUS 3/26/2017 3:56 PM Serveurs multiples Microsoft Update Serveur WSUS Serveur WSUS Poste clients Poste clients © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Serveurs déconnectés Microsoft update Serveur WSUS Serveur WSUS 3/26/2017 3:56 PM Serveurs déconnectés Microsoft update Serveur WSUS Serveur WSUS Poste clients © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Considérations de déploiement 3/26/2017 3:56 PM Considérations de déploiement Besoins matériels Nombre de clients, fréquence de polling du client vers le serveur Base de données et stockage SQL Locale ou distante versus MSDE /WMSDE Bande passante Site unique, multi-sites, « branch office », bande passante faible Sécurité Personnalisation des ports de communication Scalabilité Hiérarchie Serveur Options des cibles Mode Client versus Serveur Management Automatisation par scripts versus interface d’administration Web © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Migration depuis SUS 1.0 et dimensionnement 3/26/2017 3:56 PM Migration depuis SUS 1.0 et dimensionnement 2 scénarios 2 machines Serveur SUS Serveur WSUS 1 machine SUS et WSUS Dimensionnement © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Configuration client Windows Update Modes de configuration GPO (implique AD) Modification directe du registre Windows (script) Stratégies locales
Durcissement de la configuration WSUS Serveur Windows qui héberge WSUS, Communications entre serveurs et clients, Sécurité avancée du service Web IIS 6.0, Sécurité avancée de la base de données (et si nécessaire des communications avec celle-ci). Deploying Microsoft Windows Server Update Services – Appendix D: Security Settings http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/WSUS/WSUSDeploymentGuideTC/d4a3c3be-a76c-437e-8ae0-b96aff64df13.mspx
Qu’est ce que Systems Management Server (SMS) ? 3/26/2017 3:56 PM Gestion des ressources matérielles et logicielles PPC 2003 64 MB ARM 300 MHz Windows XP SP1 256 MB P IV 1 GHz Windows 2000 128 MB P III 700 MHz Windows NT 4 SP6 P III 350 MHz OS RAM CPU Découverte Inventaire Reporting Gestion du cycle de vie des applications et des correctifs de sécurité Packaging Distribution Installation Suivi utilisation Téléassistance © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Processus Microsoft Download Center Internet Intranet 3/26/2017 3:56 PM Processus Microsoft Download Center Téléchargement et installation des outils d’analyse sur le serveur de site Téléchargement régulier du référentiel (MSSECURE.XML,WSUScan.cab…) Internet Intranet Inventaire des clients et intégration avec les données d’inventaire matériel SMS Serveur de site Utilisation de l’assistant de distribution des mises à jour logicielle pour déclencher l’installation des mises à jour sélectionnées Point de distribution SMS Clients SMS Téléchargement des fichiers; création/mise à jour des packages, programmes & annonces; réplication des packages & publication des programmes vers les clients SMS Point de distribution SMS Installation des mises à jour par l’agent SMS De manière périodique: le module de synchronisation vérifie la publication de nouvelles mises à jour; analyse les clients; et l’administrateur peut déployer les mises à jour nécessaires Clients SMS Clients SMS © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Systems Management Server 2003 3/26/2017 3:56 PM Systems Management Server 2003 Outils d’inventaire © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
3/26/2017 3:56 PM Composants de SMS 2003 Outils d’analyse pour les mises à jour de sécurité (applications et systèmes) Permettent de créer dans SMS les lots Enrichissent l’inventaire S’intègrent avec le module de reporting Assistant de distribution des mises à jour logicielles © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Les outils d’inventaire de mise à jour pour SMS 3/26/2017 3:56 PM Les outils d’inventaire de mise à jour pour SMS Security Update Inventory Tool Mises à jour critiques de sécurité et service packs pour Windows NT 4.0 et +, SQL Server 7.0 et + Catalogue MBSA 1.2.1 Office Update Inventory Tool Mises à jour de sécurité et les services pack pour Office 2000 et + Extended Security Update Inventory Tool Inventory Tool for Microsoft Updates (ITMU) Windows 2000 SP4 et + (Security updates, service packs, et rollups) SQL Server 2000 SP4 et+ Office XP et + pour les mises à jour de sécurité et les service packs Utilise le catalogue WSUS qui inclut toutes les langues © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Outil d’inventaire pour les mises à jour Microsoft (ITMU) 3/26/2017 3:56 PM Outil d’inventaire pour les mises à jour Microsoft (ITMU) Nouvel outil d ’analyse pour les sites SMS 2003 SP1 et les clients avancés Remplacement des outils d’inventaire des mises à jours MBSA et Office Dans certains cas, les outils « ancienne génération » devront être conservés Améliorations Standardisation des outils (utilisation de l’agent Windows Update 2.0) Plus de gestion de la ligne de commande pour la distribution des correctifs Rapports plus complets (19 disponibles) © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Assistant de distribution des mises à jour logicielles 3/26/2017 3:56 PM Assistant de distribution des mises à jour logicielles Automatiser le déploiement des mises à jour manquantes sur les postes clients Fonctionnement S’appuie sur l’inventaire remonté Recherche des correctifs manquants, sélection des correctifs Téléchargement des correctifs depuis Microsoft.com Création automatique du lot de l’annonce et du programme Pour ITMU, nécessite le correctif 900257 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Systems Management Server 2003 3/26/2017 3:56 PM Systems Management Server 2003 Distribution et rapport © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Installation des mises à jour 3/26/2017 3:56 PM Installation des mises à jour Utilisation privilégiée des zones de notification et des ballons Des détails supplémentaires sont disponibles pour les utilisateurs intéressés Possibilité d’utiliser des textes et graphiques spécifiques afin de mettre en exergue certaines mises à jour Support des installations en mode automatique ou silencieux Politique d’installation souple variant entre « installation obligatoire et immédiate » et « installation facultative » Détermination automatique du nombre optimum de démarrages © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Rapports 3/26/2017 3:56 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Gestion des mises à jour 3/26/2017 3:56 PM Gestion des mises à jour Microsoft Update Microsoft Baseline Security Analyzer 2.0 Automatic Updates Grandes Entreprises Entreprises moyennes Petites entreprises A la maison © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Choisir une solution de gestion des correctifs 3/26/2017 3:56 PM Choisir une solution de gestion des correctifs Client Scénario Choix Grande ou moyenne entreprise Besoin d'une solution unique et flexible de gestion des mises à jour avec un niveau élevé de contrôle et de distribution pour TOUTES les versions de Windows et d'applications, ainsi qu'une solution de gestion du parc intégré SMS 2003 Besoin seulement d'une solution de mise à jour simple pour les produits Microsoft, et dans un premier temps Windows (2000 et ultérieur), Office (2003 & XP), Exchange 2003, SQL Server 2000 et MSDE 2000 WSUS* Petite entreprise Au moins un serveur et un administrateur Tous les autres scénarios Microsoft Update* A la maison Tous les scénarios *utilisation de Windows Update, d'un autre outil de mise à jour ou mise à jour manuelle pour les systèmes et applications non supportés par WSUS ou Microsoft Update © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Comparaison de Microsoft Update, WSUS et SMS 2003 3/26/2017 3:56 PM Comparaison de Microsoft Update, WSUS et SMS 2003 Capacité Microsoft Update WSUS SMS 2003 Logiciels et contenus supportés Logiciels supportés pour le contenu Pareil que WSUS + WinXP édition familiale Win2K, WS2003, WinXP Pro, Office 2003, Office XP, Exchange 2003, SQL Server 2000, MSDE Idem WSUS + NT 4.0 & Win98 + peut mettre à jour n’importe quel logiciel fonctionnant sur Windows Types de contenu supportés Toutes les mises à jour de logiciels, mises à jour critiques de pilotes, Service Packs & Feature Packs Toutes les mises à jour de logiciels, Service Packs & Feature Packs + support la mise à jour et l’installation d’appli Windows Capacités de gestion des mises à jour Ciblage de contenu à certains systèmes N/A Simple Avancé Optimisation de la bande passante réseau Oui Contrôle de la distribution des correctifs Installation de correctif & flexibilité de la planification Manuelle & contrôlée par l’utilisateur final Rapport sur les installations de correctifs Erreurs d’installation rapportées à l’utilisateur. Liste les mises à jour manquantes pour la machine connectée Planification du déploiement Gestion de l’inventaire Non Vérification de conformité Non – rapport de statut seulement © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Quelques ressources utiles 3/26/2017 3:56 PM Quelques ressources utiles Windows Server Update Services http://www.microsoft.com/windowsserversystem/updateservices/default.mspx System Management Server http://www.microsoft.com/france/sysmans/default.mspx Site Sécurité http://www.microsoft.com/france/securite Séminaire Technet, Webcasts/e demos et Chats http://www.microsoft.com/france/technet/seminaires Mon Blog http://blogs.technet.com/fabricem_blogs © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Questions / Réponses 3/26/2017 3:56 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
3/26/2017 3:56 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.