reprise 14h15 l.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Reprise à 14H15 PowerPoint Presentation
Download Presentation
Reprise à 14H15

Loading in 2 Seconds...

play fullscreen
1 / 64

Reprise à 14H15 - PowerPoint PPT Presentation


  • 278 Views
  • Uploaded on

Reprise à 14H15. Windows Server Update Services (WSUS). Cyril Voisin Chef de programme Sécurité Microsoft France. La stratégie sécurité de Microsoft. Authentification, Autorisation, Audit. Excellence de l’engineering. Isolation et résilience. Mise à jour avancée. Conseils,

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Reprise à 14H15' - jaden


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
windows server update services wsus

Windows Server Update Services (WSUS)

Cyril Voisin

Chef de programme Sécurité

Microsoft France

la strat gie s curit de microsoft
La stratégie sécurité de Microsoft

Authentification,

Autorisation,

Audit

Excellence

de

l’engineering

Isolation et

résilience

Mise à jour

avancée

Conseils,

Outils,

Réponse

mises jour
Mises à jour

“Microsoft Update”(Windows Update)

Windows Update

Download Center

Office Update

VS Update

Futur proche

Aujourd’hui

Windows, SQL,

Exchange, Office…

Update

Services

SUS

SMS

Windows seulement

Windows, SQL,

Exchange, Office…

Windows seulement

automatic updates au

Automatic Updates (AU)

Service de Mises à jour automatiques (le client de WSUS)

automatic updates au description
Automatic Updates (AU)Description
  • Service local (Mises à jour automatiques) automatisant l’accès à WU permettant
    • D’obtenir automatiquement les mises à jour critiques et de sécurité de Windows dont elle a besoin
    • De les installer automatiquement (si le propriétaire de la machine le souhaite)
  • Quand on le connecte à WU (ou MU) : à destination du grand public et des TPE
  • Quand on le connecte à WSUS, c’est LE client WSUS (à destination des PME principalement)
client mises jour automatiques autoupdate
Principe :

se connecte à Windows Update, Microsoft Update ou un serveur WSUS pour maintenir la machine à jour

Mode pull

Disponible pour

Windows Server 2003

Windows 2000 SP3

Windows XP SP1

Client Mises à jour automatiques (AutoUpdate)
installation l arr t xp sp2
Installation à l’arrêt (XP SP2)
  • Profiter de l’arrêt de la machine pour la maintenir à jour
  • Contrôlé par stratégie de groupe
configuration des clients
Par stratégie de groupe ou par registre

Configurer les Mises à jour automatiques (AutoUpdate)

Modes d’installation :

Notifier avant téléchargement/installation

Télécharger puis notifier pour installation

Télécharger et installer automatiquement selon la planification

Autoriser les administrateurs locaux à choisir le mode de configuration (sans pouvoir désactiver AutoUpdate)

Configuration des clients
configuration des clients10
Fréquence de détection configurable (du client vers le serveur) :

22 heures par défaut; minimum 1 heure (charge sur le serveur)

La durée réelle entre deux détections sera déterminée aléatoirement entre 80% et 100% de la durée paramétrée

Délai de redémarrage et intervalle avant nouvelle demande de redémarrage (si redémarrage repoussé)

Notification pour les non administrateurs (en fonction du mode d’installation)

Pas de redémarrage planifié (pour laisser l’utilisateur redémarrer quand il le veut)

Replanifier les installations planifiées (ex : 5 min après redémarrage)

Autoriser l’installation immédiate des mises à jour automatiques

Notifie l’utilisateur si redémarrage nécessaire

Configuration des clients
d pannage
Dépannage
  • Vérifier le démarrage du service
  • Vérifier la configuration du client
    • Via l’interface graphique (Propriétés du Poste de travail, onglet Mises à jour automatiques)
    • Si stratégie de groupe, vérifier son application (gpresult)
    • Si rafraîchissement de stratégie de groupe nécessaire : gpupdate /force
    • Logs :
      • Journal des événements
      • %windir%\WindowsUpdate.log
      • %windir%\SoftwareDistribution\ReportingEvents.log
    • Forcer une détection : wuauclt.exe /detectnow
    • Réinitialiser le cookie et forcer une détection : wuauclt.exe /resetauthorization /detectnow
windows server update services wsus ex sus 2 0

Windows Server Update Services (WSUS, ex SUS 2.0)

Serveur de gestion de mises à jour

avertissement
Avertissement
  • Windows Server Update Services (WSUS) n’existe pas encore en version finale (Release Candidate seulement)
  • Certaines fonctionnalités décrites ici pourraient changer d’ici à la sortie du produit (même si c’est peu probable)
objectifs de wsus sus 2 0
Objectifs de WSUS (SUS 2.0)
  • Construire l’infrastructure de base de la gestion des mises à jour
  • Créer une solution facile d’utilisation, néanmoins complète, pour télécharger et distribuer des mises à jour de produits Microsoft
    • Critiques ou non
    • Rapports centralisés
    • Garantie de l’installation
    • Dépannage
    • Systèmes ou applications
  • Répondre aux demandes clients par rapport à la version SUS 1.0 (qui ne prend en charge que les mises à jour critiques ou sécurité de Windows)
les fonctionnalit s demand es par nos clients
Les fonctionnalités demandées par nos clients

*En partie possible via le réglage de la fréquence de détection et des scripts

produits support s
Produits supportés
  • Client WSUS
    • Windows
      • Windows 2000 SP3 +
      • Windows XP
      • Windows Server 2003 (SP1 mini pour versions 64 bits)
    • Office
      • Office XP SP2 et Office 2003
    • SQL Server
      • SQL 2000 et MSDE 2000
    • Exchange Server
      • Exchange Server 2003
    • A terme, plus de produits Microsoft (comme ISA Server 2004 par exemple)
produits support s17
Produits supportés
  • Server WSUS
    • Windows Server 2003 (32 bits)
      • IIS6
      • BITS 2.0 for Windows Server 2003 (pas encore dispo en version finale)
      • .NET Framework 1.1 SP1 for Windows Server 2003
    • Windows 2000 Server SP4
      • IIS5
      • BITS 2.0 for Windows 2000 (pas encore dispo en version finale)
      • Base de données 100% compatible SQL Server (ex : MSDE 2000)
      • IE 6.0 SP1
      • .NET Framework 1.1 avec SP1
aper u de la solution wsus
Aperçu de la solution WSUS

Microsoft Update(utilise WSUS)

Serveur WSUS

Postes de travail (clients WSUS) Groupe cible 1

Serveurs (clients WSUS)Groupe cible 2

Administrateur WSUS

L’administrateur approuve les mises à jour

L’administrateur met les clients dans différents groupes cibles

L’administrateur souscrit à certaines catégories de mises à jour

Le serveur télécharge les mises à jour depuis Microsoft Update

Les clients s’enregistrent auprès du serveur

Les clients installent les mises à jour approuvées par l’administrateur

client au
Client AU
  • Possibilité de mise à jour silencieuse du client à partir du serveur WSUS
  • Configurer les Mises à jour automatiques (AutoUpdate) en spécifiant un serveur intranet de Mise à jour Microsoft
  • Ciblage (GPO ou pas)
  • Attention : Windows XP sans Service Pack
groupes cibles
Groupes cibles
  • Utilité : cibler des mises à jour sur des machines spécifiques
    • Groupe cible de test
    • Groupe cible de production
  • Deux types de ciblage
    • Côté serveur
      • L’administrateur WSUS gère l’appartenance aux groupes depuis le site d’administration (listes sur le serveur)
    • Côté client
      • Appartenance gérée automatiquement
        • En utilisant des stratégies de groupe
          • Ex : même groupe cible pour toutes les machines d’une même UO d’Active Directory) ou groupe cible attribué par GPO filtré selon les groupes Active Directory
        • En utilisant le registre
abonnements subscriptions
Abonnements (subscriptions)
  • Permet de choisir quelles mises à jour télécharger et quand
    • Produit / Type de mise à jour (sécu, SP,FP, pilote,etc…)
    • En fait une mise à jour est composée de deux éléments
      • Un correctif
      • Les méta données décrivant le correctif
    • Par défaut :
      • seules les méta données sont téléchargées (catalogue)
      • les correctifs sont téléchargés s’ils sont approuvés (contenu)
  • Abonnements
    • Planifié (récurrent)
    • Manuel
approbation de mise jour
Approbation de mise à jour
  • Vérification avant déploiement (détection)Évalue l’impact d’une mise à jour sur le réseau avant qu’elle ne soit déployée
    • Au niveau de l’approbation d’une mise à jour, choisir l’action Detect only
    • Après un cycle de détection des clients, la rubrique Status de la mise à jour indique le nombre de machines qui nécessitent la mise à jour
  • Installation lors de la prochaine date planifiée
  • Installation avec date butoir (passée une date donnée, l’installation devient obligatoire si on utilise AU quel que soit le mode, auto ou pas)
  • Désinstallation (nécessite que la mise à jour le supporte)
approbation automatique
Approbation automatique ?
  • Par défaut, « détection » automatique pour
    • Les mises à jour critiques et de sécurité
    • Tous les groupes cibles
  • Par défaut, aucune approbation automatique pour l’installation
    • On pourrait choisir des types de mises à jour, et des groupes cibles
  • En cas de révision d’une mise à jour, la nouvelle version obtient le même niveau d’approbation que l’ancienne (désactivable pour effectuer un choix manuel)
rapports
Rapports
  • Rapport standard consolidé (activités clients)
    • Par machine / par mise à jour / par groupe cible
    • Succès et échecs des téléchargements et installations avec les détails sur les erreurs
  • Rapport sur les synchros
    • Nouveautés, changements
communications
Communications
  • Configuration des paramètres de proxy
  • Faible utilisation de la bande passante
    • BITS pour les téléchargements client-serveur et serveur-serveur
    • Mise à jour par “abonnement” (par produit/par type)
    • Support des technologies “delta compression”
    • Téléchargement dissocié des correctifs et de leurs méta données
    • Port utilisé : 80 ou 8530 (attention, dans ce cas pour mettre à jour de « vieux » clients, il faut maintenir un site sur le port 80)
options de d ploiement des serveurs
Options de déploiement des serveurs
  • Déploiement hiérarchique
    • Serveurs indépendants
    • Serveurs miroirs (« replica »)
    • Serveurs non connectés à Internet
proc dure
Procédure
  • S’assurer que sur les serveurs les options avancées de synchronisation (installation express, langues) sont les mêmes
    • Pas de problème pour le planning, les catégories de produits, le proxy…
  • Copier les mises à jour depuis \WSUS\WSUSContent (utilitaire de sauvegarde de Windows, en mode incrémental par ex.)
  • Exporter les méta données de la base de données
    • WSUSutil.exe (32 bits seulement; il faut être admin)
  • Copier le contenu sur le serveur destination
  • Puis importer les méta données avec WSUSutil.exe
stockage
Stockage
  • Base de données pour gérer tout ce qui n’est pas contenu
  • Prise en compte des dépendances entre les mises à jour
  • MSDE vs SQL Server
    • MSDE a une limite de 2Go
  • Mises à jour hébergées sur Microsoft Update (WSUS sert alors seulement de point de contrôle) ou en local
  • Filtrage de contenu
    • Ne garder que les plateformes et langues dont vous avez besoin
  • Dimensionnement
    • Prévoir une croissance annuelle x nb de langues
s curit flexibilit
Sécurité, flexibilité
  • Sur le client et sur le serveur
    • Vérification de signature des contenus téléchargés
    • Permissions sur les contenus téléchargés
  • Changement des ports
    • Sauf pour contacter MU
  • Infrastructure et plateforme
    • Option en ligne de commande pour déclencher une détection côté client : wuauclt.exe /detectnow
    • API du client en COM exécutables à distance et scriptables
    • API du serveur basées sur .Net Framework
exemple de script
Exemple de script
  • Le serveur et le client exposent tous les deux des API scriptables

Dim update, i

set AutoUpdate = CreateObject("Microsoft.Update.AutoUpdate")

Autoupdate.DetectNow()

set UpdateSession = CreateObject("Microsoft.Update.Session")

set UpdateSearcher = UpdateSession.CreateUpdateSearcher()

set SearchResult= UpdateSearcher.Search("")

set Updates = SearchResult.Updates

set UpdatesToInstall = CreateObject("Microsoft.Update.UpdateColl")

For i = 0 to (Updates.Count-1)

UpdatesToInstall.Add(Updates.Item(i))

Next

set Installer = UpdateSession.CreateUpdateInstaller()

Installer.Updates = UpdatesToInstall

set InstallationResult = Installer.Install()

Détection

Approbation

Installation

dimensionnement du serveur
Dimensionnement du serveur

Jusqu’à 500 clients

De 500 à 15 000 clients

espace disque
Espace disque
  • NTFS requis
  • Partition système : 1 Go libre au moins
  • Partition stockant le contenu WSUS : 6 Go mini (30 Go recommandés)
  • Partition où la base de données sera installée : 2 Go minimum
installation
Installation
  • Vue des différentes étapes de l’assistant d’installation (document Step by step guide to getting started with Microsoft Windows Server Update Services)
choisir une solution de gestion des correctifs
Choisir une solution de gestion des correctifs

*utilisation de Windows Update, d'un autre outil de mise à jour ou mise à jour manuelle pour les systèmes et applications non supportés par WSUS ou Microsoft Update

migration de sus1 vers wsus
Migration de SUS1 vers WSUS
  • Pas de mise à jour mais une migration des mises à jour et des approbations (et c’est tout)
  • WSUSutil.exe
  • SUS1 et WSUS peuvent cohabiter sur un même serveur
r f rences
Références
  • Site sécurité :http://www.microsoft.com/france/securite
  • Questions : frjms@microsoft.com
  • Gestion des mises à jour de sécurité :http://www.microsoft.com/france/technet/securite/gestionmaj/default.asp
  • Site WSUS (en anglais) : http://www.microsoft.com/windowsserversystem/updateservices
    • Version RC : http://www.microsoft.com/windowsserversystem/updateservices/evaluation/trial/default.mspx
      • Téléchargement des fichiers d’installation
      • Livres blancs
        • Step-by-Step Guide to Getting Started with Microsoft Windows Server Update Services
        • Deploying Microsoft Windows Server Update Services
        • Microsoft Windows Server Update Services Operations Guide
slide42

Microsoft France

18, avenue du Québec

91 957 Courtaboeuf Cedex

www.microsoft.com/france

0 825 827 829

msfrance@microsoft.com

windows server update services ex sus 2 0
Windows Server Update Servicesex SUS 2.0
  • Logiciel gratuit* de gestion des mises à jour (sécurité ou non) de produits Microsoft
    • Critiques ou non
    • Rapports centralisés
    • Garantie de l’installation
    • Dépannage
    • Systèmes ou applications
  • S’appuie sur Microsoft Update

* Nécessite des CAL si utilisé sur autre chose qu’un Windows Server 2003 Web Edition

security development lifecycle sdl
Security Development Lifecycle (SDL)
  • http://msdn.microsoft.com/security/default.aspx?pull=/library/en-us/dnsecure/html/sdl.asp
serveurs wsus
Serveurs WSUS

Postes de travail Clients

Postes de travail Clients

Microsoft Update

Serveur WSUS

Serveur WSUS

serveurs non connect s
Serveurs non connectés

Postes de travail Clients

Microsoft Update

Serveur WSUS

Serveur WSUS (autonome)

Importation et exportationmanuelles

mises jour de serveurs suggestions
Mises à jour de serveursSuggestions
  • Définir des groupes cibles (GPO ou interface d’administration WSUS)
  • Configurer les clients Mises à jour automatiques (GPO ou registre)
    • Installation auto ou notification avant installation
    • Si notification, ouverture de session ou script pour installation
mises jour de serveurs suggestions50
Mises à jour de serveursSuggestions
  • Pour les serveurs avec des fenêtres de maintenance, configurer les Mises à jour automatiques pour une installation planifiée durant la fenêtre
  • Pour les serveurs sans créneaux de maintenance :
    • Configurer les Mises à jour automatiques pour notifier avant l’installation
    • Ouvrir une session sur le serveur ou utiliser les API pour effectuer l’installation lorsque c’est nécessaire
mises jour de serveurs suggestions51
Mises à jour de serveursSuggestions
  • Datacenters
    • Utiliser les stratégies BITS pour limiter la bande passante et les fenêtres de téléchargement
    • Configurer les Mises à jour automatiques pour notifier avant l’installation
    • Utiliser les API pour effectuer l’installation lorsque c’est nécessaire
  • Clusters
    • Scripter la mise à jour nœud après noeud
suggestions
Suggestions
  • Nombre de serveurs ? Organisation ?
    • Hiérarchie ou pas
    • Mode replica (miroir) ou pas (se définit à l’installation seulement)
    • Attention : il est conseillé de ne pas dépasser 3 niveaux dans la hiérarchie pour des questions de latence de propagation des mises à jour
suggestions53
Suggestions
  • Connexion à Microsoft Update
    • Configuration d’un proxy (éventuellement compte + mot de passe)
    • Ouverture du pare-feu
      • HTTP 80 et HTTPS 443 pour joindre les serveurs Microsoft sur le Web
      • Liste des domaines :
        • · http://windowsupdate.microsoft.com
        • · http://*.windowsupdate.microsoft.com
        • · https://*.windowsupdate.microsoft.com
        • · http://*.update.microsoft.com
        • · https://*.update.microsoft.com
        • · http://*.windowsupdate.com
        • · http://download.windowsupdate.com
        • · http://download.microsoft.com
        • · http://*.download.windowsupdate.com
        • · http://wustat.windows.com
        • · http://ntservicepack.microsoft.com
suggestions54
Suggestions
  • Filtre d’URL (type URLScan), si vous l’utilisez, il faut :
    • autoriser les extensions de type .exe (les enlever de la section [DenyExtensions]
    • Autoriser dans [AllowVerbs]
      • GET
      • HEAD
      • POST
      • OPTIONS
suggestions55
Suggestions
  • Limiter la bande passante et l’espace disque
    • Choix des types de mise à jour dans l’abonnement
    • Choix des langues
    • Télécharger seulement les méta-données sans les correctifs (les correctifs sont téléchargés quand ils sont approuvés)
    • Utiliser les installations express (deltas) ou pas
suggestions56
Suggestions
  • Abonnements
    • Fréquence de mise à jour des abonnements : quotidienne pour mises à jour de sécurité, hebdo pour mises à jour normales, mensuelle/trimestrielle pour les pilotes
  • Groupes cibles
    • Diviser les machines par catégories de machines relativement homogènes
    • A l’intérieur de chaque catégorie, définir un groupe Pilote et un groupe Production
    • Préférer la répartition par GPO plutôt que par clé de registre
configuration du client suggestions
Configuration du clientSuggestions
  • Choix de l’installation automatisée (sauf exceptions, dans ce cas obliger à utiliser AutoUpdate sans forcer le moment de l’installation)
  • Appartenance à un groupe cible : via GPO
configuration du client suggestions58
Configuration du clientSuggestions
  • Choix de l’heure d’installation (possibilité de répartir les heures selon les machines via GPO, ce qui laisse l’occasion d’étaler l’installation sur le groupe Production et éventuellement de détecter d’éventuels problèmes)
  • Fréquence de détection configurable (du client vers le serveur, de 1H à 22H, par défaut 22H et durée effective tirée aléatoirement entre 80% et 100% de la durée indiquée) : 12H pour la production et 1H pour le Pilote
  • Délai de redémarrage et intervalle avant nouvelle demande de redémarrage (si redémarrage repoussé) : 45 min
configuration du client suggestions59
Configuration du clientSuggestions
  • Notification pour les non administrateurs (en fonction du mode d’installation) : désactivé
  • Pas de redémarrage planifié (pour laisser l’utilisateur redémarrer quand il le veut) : désactivé
  • Replanifier les installations planifiées (après redémarrage) : 25 min
  • Autoriser l’installation immédiate des mises à jour automatiques : oui sur le Pilote, non sur la production
approbation de mise jour suggestions
Approbation de mise à jourSuggestions
  • Vérification avant déploiement (détection) : à utiliser largement sur Production
  • Installation : pour les mises à jour normales
  • Installation avec date butoir : pour les mises à jour de sécurité critiques (la positionner à date de sortie du bulletin + 9 jours)
  • Désinstallation : à vérifier via rapports après coup (cycle complet de détection, soit 22H par défaut)
  • Re-approbation automatique (utiliser ou non automatiquement la nouvelle révision de mise à jour) : désactivé (attention : surveiller l’occurrence de ces mises à jour)
autres suggestions
AutresSuggestions
  • Dépannage
    • Côté client : option en ligne de commande pour déclencher une détection côté client : wuauclt.exe /detectnow
    • Lecture des logs
  • Rapports consolidés de l’activité des clients
    • Par machine / par mise à jour / par groupe cible
    • Succès et échecs des téléchargements et installations avec les détails sur les erreurs
  • Rapport sur les synchros
    • Nouveautés, changements
  • Surveillance de la santé du serveur
  • Serveur Update Services déconnecté d’Internet (script manuel de synchro)
mise en place de ssl
Mise en place de SSL ?
  • Pour protéger le transfert des méta données
  • Ne pas appliquer sur tout le site car une partie du trafic doit se faire en HTTP (en clair)
    • SSL sur
      • SimpleAuthWebService
      • DSSAuthWebService
      • ServerSyncWebService
      • WSUSAdmin
      • ClientWebService
    • Mais pas sur
      • Content
      • ReportingWebService
      • SelfUpdate
    • Port : 443 ou 8531 (si port personnalisé en 8530 pour le trafic normal)
    • Sur les serveurs subordonnés, importer le certificat dans le magasin des autorités de certification racines de confiance de l’ordinateur local ou dans le magasin des autorités de certification racines de confiance de Windows Server Update Services
mise en place de ssl63
Mise en place de SSL ?
  • Inconvénients
    • Perte de 10% de performance sur le serveur
    • La connexion entre le serveur et la base de données n’utilise pas SSL
      • Les mettre sur la même machine
      • Ou sur un même réseau privé
      • Ou utiliser IPsec
  • Configuration des clients
    • Changer l’URL du serveur WSUS (ex : https://monserveurWSUS)
    • Importation du certificat dans le magasin des autorités de certification racines de confiance de l’ordinateur local ou dans le magasin des autorités de certification racines de confiance du service Mises à jour automatiques