Transcript Déployer les correctifs et maintenir son parc informatique à jour avec 3.0

Déployer les correctifs et maintenir
son parc informatique à jour avec
3.0
1
Qu’est ce que
•
?
Un site Web très orienté technique
– http://www.microsoft.com/france/technet/default.mspx
•
Une newsletter personnalisable
– http://www.microsoft.com/france/technet/presentation/flash/default.mspx
•
Des séminaires techniques toute l’année, partout en France
– http://www.microsoft.com/france/technet/seminaires/seminaires.mspx
•
Des webcasts et e-démos accessibles à tout instant
– http://www.microsoft.com/france/technet/seminaires/webcasts.mspx
•
Un abonnement
– http://www.microsoft.com/france/technet/presentation/cd/default.mspx
2
Logistique
Pause en milieu de
session
Vos questions sont les
bienvenues.
N’hésitez pas !
Feuille d’évaluation à
remettre remplie en fin
de session
Merci d’éteindre
vos téléphones
Commodités
3
Objectif du séminaire
Quelles sont les nouveautés de la version
3.0 et comment déployer ou migrer vers
WSUS 3.0 ?
4
Agenda
•
•
•
•
•
•
Introduction
Les basiques de WSUS 3.0
Mettre à niveau vers WSUS 3.0
Déployer des mises à jour
Maintenir WSUS
Conclusion et Questions & Réponses
5
INTRODUCTION
6
Vie et mort d’une vulnérabilité…
Les attaques se produisent
majoritairement ici
La plupart des exploits sont
conçues après la mise à
disposition du correctif
Vulnérabilité théorique
Vulnérabilité à une attaque générale
Mesure traditionnelle de la vulnérabilité
Ignorance
Produit
installé
Signalement
Vulnérabilité
découverte
Vulnérabilité
publique
Modulo cycle de Test, intégration
publication mensuel et déploiement
Composant
corrigé
Correctif
publié
Correctif déployé
chez les clients
7
Constats à la suite des vers
Blaster et Sasser
►
►
►
►
Prolifération des correctifs
Temps avant exploitation en
baisse
Exploitations plus
sophistiquée
L’approche classique n’est
pas suffisante
331
Nombre de jours
entre le correctif et
l’exploitation
180
151
25
18
Le nombre de jours entre la sortie du correctif et l’exploitation de la
vulnérabilité a tellement diminué (hors cas des zero-days exploits)
que la seule solution défense restant aux entreprises consiste à
appliquer les correctifs.
8
La gestion des correctifs :
un problème de l’industrie du logiciel
Tous les acteurs sont concernés !!
9
Gestion réussie des correctifs
Cohérents
et répétitifs
Processus
Technologies Personnes
Produits, outils
et automatisation
Compétences, rôles
et responsabilités
10
Processus de gestion des correctifs
1. Évaluer l'environnement auquel
les correctifs doivent être
appliqués
A. Créer/tenir à jour des systèmes
de référence
B. Évaluer l'architecture de
1. Analyser
gestion des correctifs
C. Passer en revue
l'infrastructure/
la configuration
2. Identifier de nouveaux
correctifs
2. Identifier
4. Déployer le correctif
A. Distribuer et installer le
correctif
B. Rédiger un rapport sur
l'avancement
C. Traiter les exceptions
D. Passer en revue le
déploiement
4. Déployer
3. Évaluer
et planifier
A. Identifier de nouveaux
correctifs
B. Déterminer la pertinence
des correctifs
C. Vérifier l'authenticité et
l'intégrité des correctifs
3. Évaluer les correctifs
et planifier
leur déploiement
A. Obtenir l'approbation
nécessaire pour
déployer
B. Évaluer les risques
C. Tester les correctifs
D. Planifier la publication
Le processus de gestion des correctifs en entreprise : méthodes recommandées
11
Guides Microsoft de gestion des
risques et des correctifs

Guide de gestion des risques de sécurité






Introduction au guide de gestion des risques de
sécurité
Étude des pratiques de gestion des risques de sécurité
Présentation de la gestion des risques de sécurité
Évaluation des risques
Aide à la décision
Mise en place de contrôles et mesure de l'efficacité du
programme
http://www.microsoft.com/france/technet/securite/guidance/default.mspx

Guide de gestion des correctifs
Phase 1 – Analyse
 Phase 2 – Identification
 Phase 3 - Évaluation et planification
 Phase 4 – Déploiement

http://www.microsoft.com/france/securite/it/dossiers/correctifs/default.mspx
12
Gestion des mises à jour
Quelles solutions ?
Microsoft
Update
Microsoft
Baseline Security
Analyzer 2.1
Grandes Entreprises
Petites et Moyennes
Entreprise
A la maison
13
WINDOWS SERVER UPDATE
SERVICES 3.0
14
Windows Software Update Services
• Offre d’entreprise de gestion des mises à jour
• Solution gratuite complète pour télécharger et distribuer des
mises à jour de produits Microsoft
– Pas de coût licences Windows Server (2000 et ultérieur)
– Nécessite une licence Windows Server / CAL pour les systèmes cibles
• Délivrer une solution totalement fonctionnelle permettant de
répondre au besoin de gestion de mises à jour des produits
– Automatiser le plus possible le processus de mises à jour
– Supporter l’ensemble des produits Microsoft
– A destination de l’administrateur mais aussi de l’IT généraliste
• Fin de support de SUS 1.0 : 10/07/2007
• cf http://support.microsoft.com/kb/905682
15
WSUS
- Aperçu de l’architecture
Serveur
WSUS
Microsoft Update
(utilise WSUS)
Windows
WindowsUpdate
UpdateServices
Services
<<Back
Back
Finish
Finish
Cancel
Cancel
Administrateur WSUS
Postes de travail (clients WSUS)
Groupe cible 1
Serveurs (clients WSUS)
Groupe cible 2
L’administrateur
approuve
les
mises
àcatégories
jour
met
les
clients
différents
groupes
cibles
Le serveur
Les
clients télécharge
s’enregistrent
souscrit
lesmises
àmises
auprès
certaines
àjour
du
jour
serveur
depuis Microsoft
de
mises
Update
à jour
Les
clients
installent
les
àdans
approuvées
par
l’administrateur
16
Adoption de WSUS 2.0
• Considéré par beaucoup comme l’une des meilleures solutions
de gestion des correctifs
• En un an (juin 2005  juin 2006)…
– WSUS 2.0 a excédé le nombre de déploiement de SUS 1.0
– 260,000 serveurs WSUS se sont synchronisés avec Microsoft Update
en Juin 2006
• SP1 disponible depuis juin 2006
–
–
–
–
–
Support de SQL Server 2005
Prise en charge de Windows Vista
Support multi langues de MS Office et Windows Vista
Version MSDE SP4
Intégration avec Windows Small Business Server 2003 R2
17
Fonctionnalités : contrôle
• Administrateur défini des groupes cibles
– Utilisation des stratégies de groupe pour ce faire dans
l’environnement AD
– Au travers de l’interface d’administration de WSUS pour les
environnement non AD
• Administrateur contrôle les approbations
– “Détection seulement” évaluation des machines qui nécessite
l’application d’un patch
– Approbation pour l’installation et la désinstallation (pas toujours
possible)
– Installation sur date butoir
– Approbation par groupe cible:
•
•
•
Différentes mises à jour vers différents groupes cibles
Différentes dates butoirs par groupe cible
Différentes actions par groupe cible
18
Fonctionnalités : Configuration de
l’ Agent
• Configuration flexible de l’Agent
–
–
–
–
–
Fréquence de polling
Notification et type d’installation
“Comportement” vis-à-vis du reboot
Port configurable
Non-administrateurs peuvent installer des mises à jour (comme
les administrateurs)
– Installation à l’arrêt
(Windows XP SP2, Windows Vista et Windows 2003 SP1 et +)
19
Fonctionnalités : Optimisation
réseau
• Résilient et transparent
– BITS* pour téléchargement client-serveur et serveur-serveur
– Téléchargements se font en fond de tache (background)
• Téléchargement minimale des mises à jour
– Souscriptions aux mises à jour – téléchargement des mises à
jour pour les produits, classifications et langues cibles
– Support de la technologie “delta compression” pour les
communications
– Option client-serveur pour téléchargement uniquement les
mises à jour approuvées (« download on demand »)
– Option pour télécharger uniquement le catalogue des mises à
jour et la détection – binaires sur MU
*Background Intelligent Transfer Service
20
Fonctionnalités clés de WSUS
Grille de comparaison
Fonctionnalités demandées
Support des Service Packs
Installation sur SBS et sur des contrôleurs de domaine
SUS 1.0 SP1


Support d’Office et d’autres produits Microsoft
Support d’autres types de mises à jour
Désinstallation de mise à jour
Ciblage des mises à jour
Amélioration du support pour les réseaux bas débit (Bits)
Réduction de la quantité de données à télécharger
Réglage de la fréquence de détection des mises à jour
Minimiser l’interruption de l’utilisateur
Déploiement d’urgence d’un correctif (‘gros bouton
rouge’)
Déploiement de mises à jour d’autres applications non
Microsoft
*En partie possible via le réglage de la fréquence de détection et des scripts
WSUS 2.0




**





*
21
Les évolutions demandées…
• Plus évolutifs et tolérances aux pannes
– Pas de support du clustering NLB & SQL
– UI ne permet pas de gérer un très grands nombres d’ordinateurs
• Améliorer les rapports
– Options de sauvegarde des rapports
– Possibilité de centraliser les rapports
• Ciblage plus flexible
– Améliorations en regard de SUS 1.0, mais pas aussi pertinents que celui
proposé par d’autres produits
• Plus de contenu
– Possibilité d’importer ces propres correctifs
– Meilleurs support des drivers: pas uniquement les critiques
• Scripting & APIs
– Pas d’appel des APIs à distance
– Scripting : oui mais…
22
Objectifs de WSUS 3.0
• Continuer à faire de WSUS une solution adoptée
et appréciée pour l’environnement Windows
– Adresser les besoins et demandes des utilisateurs
• Améliorer l’infrastructure pour supporter de
nouveaux scénarios en tenant compte des
besoins de mises à jour des produits partenaires
– SMS, etc.
• Support du client Windows Vista et du serveur
Windows Server 2008 (Beta 3)
23
Plateformes supportées par
WSUS 3.0
• Support de toutes les langues d’OS Windows
• Coté Serveur (Support des systèmes x86 et x64)
– Windows 2003 SP1 minimum
•
•
•
•
•
•
SQL Server 2005 SP1, SQL Server 2005 Embedded Edition
BITS 2.0, Windows Installer 3.1
Internet Information Services (IIS)
.NET Framework 2.0
MMC 3.0
Microsoft Report Viewer Redistribuable 2005
• Coté Client (support de x86, X64 et IA 64)
– Windows 2000 SP4, Windows XP SP1, Windows Vista
– Windows Server 2003 minimum
24
Déploiement simple
25
Déploiement de multiples serveurs
26
Serveurs non connectés
Microsoft Update
Importation et exportation
manuelles
Serveur
WSUS
Serveur
WSUS
Postes de travail
Clients
27
Installation
et configuration
28 28
Installation de WSUS
29
Configuration de WSUS 3.0
30
Le déploiement
•
•
WSUS 3.0 peut s’installer via une mise à jour d’un serveur 2.0
Les serveurs WSUS 2.0 peuvent se synchroniser à partir d’un
serveur WSUS 3.0
–
Permet une migration descendante de la hiérarchie
•
Assistant de configuration post-installation
•
Améliorations dans la prise en charge des environnements
distribués
–
–
–
–
Passage entre serveur Replica et Autonome sans réinstallation
Support d’un sous ensemble des langues disponible en amont sur les
serveurs Replica
Les serveurs Replica peuvent synchroniser leurs meta-data d’un serveu
WSUS amont et les correctifs depuis Microsoft Update
Support de la synchronisation en mode déconnecté pour les serveurs
Replica
31
La fiabilité
• Support de Network Load Balancing (NLB)
– Permet une bascule rapide pour des besoins de
disponibilité
• Support de la mise en cluster de la base SQL
– En complément du scénario NLB
• Supervision au travers de Microsoft Operations
Manager
– Pack d’administration MOM pour fournir une
supervision proactive de l’état de santé du serveur
32
Les performances
•
Performances liées à la génération des rapports
– 50% de gain de performance
•
Performances liées à la synchronisation
– Synchronisation complète descendante réduite de 90 à
20 minutes
•
Support natif des serveurs x64 (comme serveur
WSUS)
33
Service Mises à jour Automatiques
• Service local (Mises à jour
automatiques (Windows
Update) gérant l’accès à
Microsoft Update /WSUS
pour autoriser le
téléchargement et
l'installation des mises à jour
de Windows.
– Agent Windows Update
34
Mises à jour automatiques
importantes
• Défini comment se fait
l’installation des mises
à jour importantes sur
le poste
• Mises à jour
importantes :
– Maj Sécurité
– Maj Critiques
– Service Pack
35
Configuration de l’agent (1/2)
• Par stratégie de groupe ou par
registre
• Configurer les mises à jour
automatiques (AutoUpdate) en
spécifiant un serveur intranet de
mise à jour Microsoft (serveur
WSUS)
• Modes d’installation :
– Notifier avant le
téléchargement/installation
– Télécharger puis notifier pour l’
installation
– Télécharger et installer
automatiquement selon la
planification
– Autoriser les administrateurs
locaux à choisir le mode de
configuration (sans pouvoir
désactiver AutoUpdate)
36
Configuration de l’agent (2/2)
• Fréquence de détection
configurable (du client vers
le serveur) :
– 22 heures par défaut;
minimum 1 heure (charge
sur le serveur)
– La durée réelle entre deux
détections sera déterminée
aléatoirement entre 80% et
100% de la durée
paramétrée
• Délai de redémarrage et
intervalle avant nouvelle
demande de redémarrage (si
redémarrage repoussé)
• Notification pour les non
administrateurs (en fonction
du mode d’installation)
• Pas de redémarrage planifié (pour
laisser l’utilisateur redémarrer
quand il le veut)
• Re-planifier les installations
planifiées (ex : 5 min après
redémarrage)
• Autoriser l’installation immédiate
des mises à jour automatiques
• Ciblage
• Notifie l’utilisateur si redémarrage
nécessaire
37
Pré installation (self-update)
38
Ciblage
• Utiliser pour cibler des mises à jour sur des machines
spécifiques
– Groupe cible de test
– Groupe cible de production
• Deux types de ciblage
– Côté serveur
• L’administrateur WSUS gère l’appartenance aux groupes depuis
le site d’administration (listes sur le serveur)
– Côté client
• Appartenance gérée automatiquement
– En utilisant des stratégies de groupe (par exemple même groupe
pour toutes les machines d’une même OU d’Active Directory)
– En utilisant le Registre
39
WSUS 3.0 - Améliorations liées au
ciblage
•
WSUS 3.0 supporte 2 nouveaux concepts
concernant les groupes
– L’imbrication
– L’appartenance à plusieurs groupes
•
Une machine peut être membre de groupe Serveurs ainsi
que du groupe Exchange Serveurs
40
Ciblage
41 41
Rapports
• Etats des clients, listes des mises à jour…
– Par machine / par mise à jour / par groupe cible
– Succès et échecs des téléchargements et installations
avec les détails sur les erreurs
• Disposer d’information sur les synchronisations
avec Microsoft Update, entre serveurs WSUS
– Nouveautés, changements
42
WSUS 3.0 - Améliorations liées au
reporting
•
Vues générales et simplifiés
–
–
•
Composants de rapports dans la boite
Détails sur les mises à jour et résumés
Détails sur les mises à jour au niveau des serveurs réplica
et autonomes
Impression, Sauvegarde Excel ou PDF
Notification par e-mail
Nouveau rôle “Reporters”
•
•
•
–
•
Permet un accès lecture-seul au serveur
Personnalisation des rapports (exemples sur MSDN)
–
–
Vues SQL
API .net
43
Améliorations
liées au reporting
44 44
WSUS 3.0 - Améliorations liées
au reporting
45
WSUS 3.0 - Améliorations liées
aux outils d’administration (1/2)
•
Nouvelle console d’administration basée sur une
MMC 3.0
–
–
–
–
–
Gestion de multiples serveurs au sein d’une seule console
Page de démarrage offrant un aperçu rapide
Vues personnalisées
Fonctionnalités de filtrage des vues
Tri et réorganisation des colonnes (colonnes
supplémentaires: Article KB, MSRC ID, Sévérité)
– Menus contextuels
– Intégration des rapports
– Notifications et statut par e-mail
46
Console
d’administration
47 47
WSUS 3.0 - Améliorations liées aux
outils d’administration
48
WSUS 3.0 - Améliorations liées aux
outils d’administration
49
WSUS 3.0 - Améliorations liées
aux outils d’administration (2/2)
•
•
API disponibles pour importer des mises à jour
tierces et pour scripter les opérations
Nouvelles fonctionnalités d’administration
– Assistant de gestion de l’obsolescence du contenu du
serveur WSUS (meta-données, machines, mises à
jour)
– Règles d’approbation spécifiques par type de mise à
jour et par groupe cible
– Sélection des types de produits gérés
– Envoi de messages électroniques
– …
50
Abonnements (subscriptions)
• Permet de choisir quelles mises à jour télécharger et
quand
– Produit / Type de mise à jour (sécurité, SP,FP, pilote, etc…)
– En fait une mise à jour est composée de deux éléments :
• Un correctif
• Les méta données décrivant le correctif
– Par défaut :
• seules les méta données sont téléchargées (catalogue)
• les correctifs sont téléchargés s’ils sont approuvés (contenu)
• Exemples d’abonnements :
– Quotidiens pour les mises à jour critiques
– Hebdomadaires pour les mises à jour recommandées
• Synchro
– Manuelle / Automatique
51
Approbation de mise à jour
• Vérification avant déploiement (détection) : évalue l’impact
d’une mise à jour sur le réseau avant qu’elle ne soit
déployée
– Au niveau de l’approbation d’une mise à jour, choisir l’action
Detect
– Après un cycle de détection des clients, la rubrique Status de la
mise à jour indique le nombre de machines qui nécessitent la mise
à jour
• Installation lors de la prochaine date planifiée
• Installation avec date butoir
• Désinstallation (nécessite que la mise à jour le supporte)
52
Approbation automatique ?
• Par défaut, « détection » automatique pour
– Les mises à jour critiques et de sécurité
– Tous les groupes cibles
• Par défaut, aucune approbation automatique pour
l’installation
– On pourrait choisir des types de mises à jour, et des
groupes cibles
• En cas de révision d’une mise à jour, la nouvelle
version obtient le même niveau d’approbation que
l’ancienne (désactivable pour effectuer un choix
manuel)
53
Abonnements
Approbation
Notifications
54 54
WSUS 3.0 - Améliorations liées aux
outils d’administration
55
METTRE À NIVEAU VERS
WSUS 3.0
56
Scenarios de mise à niveau
• A partir de SUS 1.0
– Non directement supportée
• Mise à niveau d’un serveur unique
– Mise à niveau “in-place”: WSUS2->WSUS3 sur le
même serveur
– Mise à niveau “migration” : WSUS2->WSUS3 sur des
serveurs différents
• Mise à niveau d’une hiérarchie de serveurs
– Serveurs connectés
– Serveurs déconnectés
57
Migration depuis SUS
• Pas directement supportée
• WSUS3 ne peut pas être installée sur le même
serveur que SUS 1.0
• 2 options pour mettre à jour:
– Migrer vers WSUS 2.0 SP1, puis mettre à jour vers
WSUS3
• Migration SUS 1.0 -> WSUS 2.0
http://technet2.microsoft.com/WindowsServer/f?en/Library/c86
e95dc-381f-47a2-b761-1fe0f13ad3f41033.mspx
– Installer WSUS 3.0 sur un serveur séparé
– Installation from scratch
– Faire pointer les clients vers le nouveau serveur
58
Mise à niveau in place
• Le programme d’installation supporte la mise à
niveau “in-place”Setup
– Conserve les mises à jours, paramètres et approbations
– Pas de re-déploiement du client WSUS: mise à jour
automatique du client lors de la première connexion au
serveur
– Support du mode d’installation sans réponse
• Exemple SDK WsusMigrate pour migrer les groupes
cibles d’un serveur à un autre
• Mise à jour d’une hiérarchie  du haut vers le bas
59
Considérations « mise à niveau in-place »
• Sauvegarde /restauration
– Mise à niveau “in-place” ne propose pas de retour arrière
• Faire une sauvegarde de la base WSUS 2.0 avant la mise à niveau
• Système d’exploitation serveur
– WSUS3 n’est pas supporté sur Windows 2000 Server
• Base de données
– WSUS3 nécessite SQL 2005 SP1 minimum ou Windows Internal Database
• Mettre à niveau WSUS2 vers SQL 2005 SP1 avant la mise à jour
• Réaliser une mise à jour “in-place”, le programme d’installation met
automatiquement à jour la base de donnée vers Windows Internal Database SP1
(=SQL 2005 Embedded Edition)
• Si base de données distante, il faut désinstaller le back-end puis mettre à jour
(setup unifié front/back end)
• Console d’administration Web
– Plus possible d’utiliser la console web après la mise à jour
– Installer la console d’administration WSUS ou les outils de prise de contrôle
à distance
60
Mise à niveau
• Installer WSUS 3.0 sur un nouveau serveur
• Migrer les mises à jour et les approbations du serveur
WSUS 2.0  WSUS 3.0 :
– Utiliser ntbackup pour copier le contenu du répertoire des mises à
jour
(http://technet2.microsoft.com/windowsserver/en/library/4696c613-66f3-483d8ea9-66bcca74730e1033.mspx?mfr=true)
– Synchroniser le serveur WSUS 3.0 pour disposer des dernières
meta-données
• Exporter/importer les approbations et les groupes via WsusMigrate
• Faire pointer les clients vers le nouveau serveur
– Au travers de la stratégie de groupe / modification registre
– Les clients sont mis à jour à la prochaine synchronisation
61
Mise à niveau d’une hiérarchie
• La mise à jour se fait à partir du serveur le plus haut de la
hiérarchie
– WSUS 2.0 peut se synchroniser avec un serveur WSUS 3.0
(l’inverse est faux)
– Remarque : la synchronisation nécessite WSUS2 SP1 ou
WSUS2 RTM + KB910847
62
Migration
depuis WSUS 2.0
63 63
Migration WSUS 2.0 vers WSUS 3.0
64
DÉPLOYER DES MISES À
JOUR
65
Installation avec date butoir
66
Installation à l’arrêt (XP SP2)
• Profiter de l’arrêt de la machine pour la maintenir
à jour
• Contrôler par stratégie de groupe
67
MAINTENIR WSUS 3.0
68
Maintenance du serveur WSUS
• Les serveurs WSUS nécessitent peu d’opérations de
maintenance
• 3 opérations clés
– Ordinateurs clients
• Gérer l’ajout et la suppression des machines de l’inventaire
– Contenu
• Supprimer les contenus obsolètes
– Base de données
• Sauvegarde
• Défragmentation des index
• Microsoft Windows Server Update Services 3.0 Operations
Guide
– http://technet2.microsoft.com/windowsserver/en/library/9b65850d-17a0-440e9cad-2eb881011f5f1033.mspx
69
Maintenance - Ordinateurs
• Pourquoi nettoyer les ordinateurs ?
– Diminuer la taille de la base
– Disposer de rapports fiables et à jour
• Comment ?
– L’assistant de nettoyage
• Supprime les machines qui n’ont pas contacté le serveur depuis
plus de 30 jours
– API disponibles
• http://www.microsoft.com/technet/windowsserver/wsus/default.mspx
70
Contenu
• Pourquoi ?
– Ne pas approuver ou refuser une mises à jour ne supprime pas
le contenu
– Supprimer les contenus obsolètes
– Réduire le besoin d’espace disque
• Comment ?
– Lancer l’assistant de nettoyage, lequel supprimera:
• Meta données pour les mises à jour non approuvées de plus de 90
jours
• Vieilles versions de mises à jour
• Fichiers inutilisés pour les mises à jour sur le serveur lui-même et
les serveurs fils de la hiérarchie
• Mises à jour expirées et qui sont inutiles ou non approuvées deouis
au moins 30 jours
71
Assistant de
nettoyage
72 72
WSUS 3.0 – Assistant de nettoyage
73
Maintenance – Base de données
• Périodiquement défragmenter la base de données
– http://technet2.microsoft.com/windowsserver/en/library/e
787794b-4f09-4d01-ae4e-5983ea7634f91033.mspx
• sqlcmd -S np:\\.\pipe\MSSQL$MICROSOFT##SSEE\sql\query –i
<scriptLocation>\WsusDBMaintenance.sql
• Disposer d’un plan de récupération en cas de
désastre
– Souvent se traduit par la réinstallation du serveur
– Sauvegarder la base de données via ntbackup ou script
sqlcmd (http://go.microsoft.com/fwlink/?LinkId=70728)
• http://technet2.microsoft.com/windowsserver/en/library/0f0b7103
-052e-481e-9efb-be7ab06fbd181033.mspx
74
Supervision du serveur WSUS
• Supervision pro active des serveurs WSUS
• Disponibilité du pack d’administration pour MOM
2005 pour WSUS 3.0
– Liste des serveurs WSUS avec leur état générale :
•
•
•
•
Alertes,
Evénements
Taches
Performances
– Etat de santé des clients
75
Résolution de problèmes
• Rapports Serveur
–
–
–
–
–
E-mail
Synchronisation
Rapports ordinateurs et mises à jour
SoftwareDistribution.log
Change log
• Clients
– Rapports ordinateurs et mises à jour
– Client WindowsUpdate.log
– Personnalisation des rapports à partir des APIs et des journaux
client
76
APIs publiques
• A la fois le client et le serveur expose des APIs
publiques
• APIs serveur basées sur .NET
(pour les taches d’administration)
• APIs client basées sur COM scriptable
• Exemples de scripts et de code dans le SDK
WSUS
77
API Serveur (WSUS API)
•
•
http://msdn2.microsoft.com/en-us/library/ms744624.aspx
WSUS API 2.0 permet l’accès à un ensemble des tâches
de la MMC
–
–
–
–
–
–
•
Configuration du serveur WSUS
Approbation des mises à jour Updates
Ajout/suppression des groupes cibles
Ajout/suppression des clients dans le groupe cible
Création de rapports personnalisés
La MMC utilise les API publiques
Nouveautés WSUS 3.0 API
Publication (Publishing)
Publication, approbation et déploiement de MAJ tierces
Administration à distance
Permet l’administration à distance du serveur WSUS
Inventaire
Fonctionnalité de base de l’inventaire
Nettoyage
Etendue et options de nettoyage
78
API Client (Windows Update Agent API)
•
APIs publiques, implémentées comme “wrappers” autours
de l’Agent WU et des fonctionnalités de Mises à jour
automatique (exposée au travers de COM et scriptable)
•
http://msdn2.microsoft.com/en-us/library/aa387099.aspx
Description
AutomaticUpdates
A class that exposes the settings of Automatic Updates and some
functionality
UpdateCollection
A class representing an ordered list of Updates
UpdateDownloader
A class that downloads updates from the server
UpdateInstaller
Class
UpdateSearcher
A class that searches for updates on the server
SearchResult
A class that represents the result of a search
Update
A class that exposes properties and methods available to an update
79
Exemple de scripts
Dim update, i
set AutoUpdate =
CreateObject("Microsoft.Update.AutoUpdate")
Autoupdate.DetectNow()
Détection
set UpdateSession =
CreateObject("Microsoft.Update.Session")
set UpdateSearcher = UpdateSession.CreateUpdateSearcher()
set SearchResult= UpdateSearcher.Search("")
set Updates = SearchResult.Updates
set UpdatesToInstall =
CreateObject("Microsoft.Update.UpdateColl")
For i = 0 to (Updates.Count-1)
Approbation
UpdatesToInstall.Add(Updates.Item(i))
Next
set Installer = UpdateSession.CreateUpdateInstaller()
Installer.Updates = UpdatesToInstall
Installation
set InstallationResult = Installer.Install()
80
La ligne de commande
• L’utilitaire wsusutil
– http://technet2.microsoft.com/windowsserver/en/library/2686bd2
b-910a-479b-961e-cea2a20280241033.mspx
– Disponible sur le serveur WSUS, pas si uniquement installation
de la console
– Options: configuressl, healthmonitoring, export, import,
movecontent, listfrontendservers, deletefrontendserver,
checkhealth, reset, listinactiveapprovals,
removeinactiveapprovals, usecustomwebsite
• L’utilitaire wuauclt
– http://technet2.microsoft.com/windowsserver/en/library/2686bd2
b-910a-479b-961e-cea2a20280241033.mspx
– Contrôle de l’agent Windows Update
– Options : detectnow, resetauthorization, reportnow
81
CONCLUSION et Q&R
82
En résumé : WSUS 3.0
•
•
•
•
•
•
•
Déploiement et configuration simplifiés
Performances améliorées
Fiabilité améliorée
Reporting multi-sites et multi-critères
Outils d’administration
Ciblage évolué
Devient la plate forme de distribution
83
Devient la plateforme de distribution
• Tout le contenu de Microsoft Update est disponible
pour toutes les solutions de gestions des correctifs.
• System Center Configuration Manager 2007 et System
Center Essentials disposeront d’outils de création et de
publications de mises à jour “tierces”.
• WSUS ne fournit pas le support à la publication
WHOS
publishes
drivers
Inside the corporation
SCCM 2007
locally
publish
ITCU
Microsoft
Update
auto-sync
publishes
updates
Product
teams
New catalog site
selective import
WSUS software
distribution
infrastructure
local publish
3rd party
tool
auto-sync
SCE
WU agent on
corporate client
84
Ressources WSUS
• Page d’accueil
http://www.microsoft.com/windowsserversystem/updateservices
• WSUS Community
http://www.microsoft.com/windowsserversystem/updateservices/com
munity/default.mspx
– Team Blogs, MVPs, Forums, Newsgroups, Webcasts,
Wiki
• Tools and API Samples
http://www.microsoft.com/windowsserversystem/updateservices/down
loads/default.mspx
85
Questions / Réponses
86
Questions / Réponses
87
Microsoft France
18, avenue du Québec
91 957 Courtaboeuf Cedex
www.microsoft.com/france
0 825 827 829
[email protected]
88