gestion des mises à jour de sécurité avec wsus ou sms fabrice meillon architecte infrastructure...
TRANSCRIPT
Gestion des mises à jour de sécurité
avec WSUS ou SMS
Gestion des mises à jour de sécurité
avec WSUS ou SMS
Fabrice MeillonArchitecte Infrastructure
Microsoft France
http://blogs.technet.com/fabricem_blogs
Agenda
Problématique et rappel du Problématique et rappel du processus (MOF) processus (MOF)
La gestion des correctifs au La gestion des correctifs au travers de Windows Server travers de Windows Server Update ServicesUpdate Services
La gestion des correctifs au La gestion des correctifs au travers de System Management travers de System Management Server 2003Server 2003
Quel outil choisir ?Quel outil choisir ?
Produits,Produits, outilsoutilsetet automatisationautomatisation
CohérentsCohérents et répétitifset répétitifs
Compétences,Compétences, rôlesrôles etet responsabilitésresponsabilités
ProcessusProcessus
PersonnesPersonnesTechnologiesTechnologies
Gestion réussie des correctifs
Processus
1. 1. InventaireInventaire 2. 2. IdentifierIdentifier
4. 4. DDééployerployer 3. 3. ÉÉvaluer et valuer et planifierplanifier
Appliquée au processus de gestion des correctifs, les principes de MOF se déclinent en 4 phases :
1. Inventaire : phase d’inventaire de l’existant
2. Identification : phase de détection des correctifs disponibles
3. Evaluation : phase de test et de décision d’application des correctifs, puis de planification de leur déploiement
4. Déploiement : distribution et installation sur les ordinateurs cibles.
Les principes fondamentaux des processus MOF sont : une approche structurée, un cycle de vie rapide et un perfectionnement itératif, une gestion basée sur la révision, et l’intégration de la gestion des risques.
Le processus de gestion des correctifs en entreprise : méthodes recommandées
http://www.microsoft.com/france/technet/themes/secur/secmod193.mspx
HierHierAujourd’huAujourd’huii
Windows, SQL,Windows, SQL,Exchange, Office…Exchange, Office…
Windows, SQL,Windows, SQL,Exchange, Office…Exchange, Office…
Office Update
Download Center
SUSSUSSystemSystemManagementManagementServerServer
““Microsoft Update”Microsoft Update”(Windows(Windows Update) Update)
VS Update
Windows Update
Windows, Office seulementWindows, Office seulement
Windows seulementWindows seulement
WindowsWindowsServer Server UpdateUpdateServicesServices
Technologies
Qu’est ce que Windows Server Update Services (WUS)?
Offre d’entreprise de gestion des mises à Offre d’entreprise de gestion des mises à jourjour
Obtenir le contenu du service Microsoft UpdateObtenir le contenu du service Microsoft Update
ComposantComposant téléchargeable sur le webtéléchargeable sur le webPas de coût licences Windows Server (2000 et ultérieur)Pas de coût licences Windows Server (2000 et ultérieur)
Nécessite une licence Windows Server / CAL pour les Nécessite une licence Windows Server / CAL pour les systèmes ciblessystèmes cibles
Ne modifie pas les offres existantesNe modifie pas les offres existantes
Software Update Services (SUS 1.0) Software Update Services (SUS 1.0) continue d’obtenir son contenu de continue d’obtenir son contenu de Windows Update ( Windows Update ( déc. 2006) déc. 2006)
Le client Windows UpdateLe client Windows Update
Administrateur souscrit aux catégories de Administrateur souscrit aux catégories de mises à jourmises à jour
< Back Finish Cancel
Windows Update ServicesWindows Update Services
Serveur télécharge les mises à jour de Serveur télécharge les mises à jour de Microsoft UpdateMicrosoft UpdateClients s’enregistrent aux-mêmes avec le Clients s’enregistrent aux-mêmes avec le serveurserveurAdministrateur place les clients dans des Administrateur place les clients dans des groupes ciblesgroupes cibles
Administrateur approuve les mises à jourAdministrateur approuve les mises à jourAgents installent les mises à jour approuvées par Agents installent les mises à jour approuvées par l’administrateurl’administrateur
< Back Finish Cancel
Windows Update ServicesWindows Update Services
Microsoft Microsoft UpdateUpdate
Serveur Serveur WSUSWSUS
Groupe 1 Groupe 1 cible Postes cible Postes clientsclients
Groupe 2 cible Groupe 2 cible ServeursServeurs
Administrateur Administrateur WSUSWSUS
Vue d’ensemble
Windows ServerUpdate ServicesWindows ServerUpdate Services
Vue d’ensemble
Implémentation
ContenuContenuWindows, Office, SQL, Exchange à l’origine (disponibilité du Windows, Office, SQL, Exchange à l’origine (disponibilité du produit)produit)Des produits additionnels s’y ajoutent : Small Business Des produits additionnels s’y ajoutent : Small Business Server 2003, DPM, Windows Defender, ISA…Server 2003, DPM, Windows Defender, ISA…
Plate-formes (Système d’exploitation)Plate-formes (Système d’exploitation)Client/agentClient/agent
Windows 2000 SP3 et ult., Windows XP RTM et ult. Windows 2000 SP3 et ult., Windows XP RTM et ult. (incl. XP embedded et XP x64)(incl. XP embedded et XP x64)Windows 2003 RTM (32-bit seulement), Windows 2003 SP1 (x64 Windows 2003 RTM (32-bit seulement), Windows 2003 SP1 (x64 et ia64)et ia64)
ServeurServeurWindows 2000 SP4 et ultérieurWindows 2000 SP4 et ultérieurWindows 2003 RTM et ultérieur (32-bit seulement)Windows 2003 RTM et ultérieur (32-bit seulement)
LocalisationLocalisationClient est localisé en 25 versionsClient est localisé en 25 versionsServeur est localisé en 17 versionsServeur est localisé en 17 versionsSupport des packs de langues au niveau du système (MUI)Support des packs de langues au niveau du système (MUI)
Contrôle
Administrateur défini des groupes ciblesAdministrateur défini des groupes ciblesUtilisation des stratégies de groupe pour ce faire Utilisation des stratégies de groupe pour ce faire dans l’environnement ADdans l’environnement ADAu travers de l’interface d’administration de WSUS Au travers de l’interface d’administration de WSUS pour les environnement non ADpour les environnement non AD
Administrateur contrôle les approbationsAdministrateur contrôle les approbations““Détection seulement” évaluation des machines Détection seulement” évaluation des machines qui nécessite l’application d’un patchqui nécessite l’application d’un patchApprobation pour l’installation et la désinstallation Approbation pour l’installation et la désinstallation (pas toujours possible)(pas toujours possible)Installation sur date butoirInstallation sur date butoirApprobation par groupe cible:Approbation par groupe cible:
Différentes mises à jour vers différents groupes Différentes mises à jour vers différents groupes ciblesciblesDifférentes dates butoirs par groupe cibleDifférentes dates butoirs par groupe cibleDifférentes actions par groupe cibleDifférentes actions par groupe cible
Configuration de l’agent
Fréquence de communication (polling)Fréquence de communication (polling)Notification et type d’installationNotification et type d’installation “ “Comportement” vis-à-vis du redémarrageComportement” vis-à-vis du redémarragePort configurablePort configurableLes utilisateurs standards peuvent installer Les utilisateurs standards peuvent installer des mises à jour par notification (comme des mises à jour par notification (comme les administrateurs)les administrateurs)Installation à l’arrêt Installation à l’arrêt (XP SP2 et Windows 2003 SP1 seulement)(XP SP2 et Windows 2003 SP1 seulement)
Optimisation réseau
Réprise en cas de coupure et transparenceRéprise en cas de coupure et transparenceBITS* pour téléchargement client-serveur et BITS* pour téléchargement client-serveur et serveur-serveurserveur-serveurTéléchargements se font en fond de tache Téléchargements se font en fond de tache (background)(background)
Téléchargement minimal des mises à jourTéléchargement minimal des mises à jourSuscriptions aux mises à jour – téléchargement Suscriptions aux mises à jour – téléchargement des mises à jour pour les produits, des mises à jour pour les produits, classifications et langues que *vous* avez classifications et langues que *vous* avez besoin besoin Support de la technologie “delta compression” Support de la technologie “delta compression” pour les communicationspour les communicationsOption client-serveur pour téléchargement Option client-serveur pour téléchargement uniquement les mises à jour approuvées uniquement les mises à jour approuvées (download on demand)(download on demand)Option pour télécharger uniquement le Option pour télécharger uniquement le catalogue des mises à jour et la détection – catalogue des mises à jour et la détection – binaires sur MUbinaires sur MU*Background Intelligent Transfer Service
Architecture Serveur
Server APIServer API
File StoreFile Store(NTFS)(NTFS)
Metadata StoreMetadata StoreMSDE/SQLMSDE/SQL
Client/ServerClient/ServerWeb serviceWeb service
Server/ServerServer/ServerWeb serviceWeb service
ReportingReportingWeb serviceWeb service Admin UIAdmin UI ContentContent
syncsyncCatalogCatalog
syncsync
ClientsClients
WSUS Servers/MUWSUS Servers/MU
Admin Admin workstationworkstation
Architecture Client
WU ServiceWU Serviceor WSUSor WSUS IE (WU Site)IE (WU Site) CustomCustom
scriptsscripts
WU Client APIWU Client API
AutomaticAutomaticupdatesupdates
UpdateUpdatemanagermanager
UpdateUpdatehandlershandlers
Content Content storestore
Metadata Metadata StoreStore
Client WU Client WU
BITSBITS
Administration
ServeurServeurAPIs basées .NET APIs basées .NET Règles simple pour automatiser le déploiement Règles simple pour automatiser le déploiement des mises à jour sans UIdes mises à jour sans UI
ClientClientLigne de commande wuauclt.exe /detectnow Ligne de commande wuauclt.exe /detectnow pour la détection pour la détection APIs basées sur COM pour les scripts et le APIs basées sur COM pour les scripts et le support distantsupport distantParamètres du client AU via stratégie de Paramètres du client AU via stratégie de groupe ou scriptsgroupe ou scripts
Outils de diagnosticsOutils de diagnostics
Scripting et outils
Windows ServerUpdate Services
Windows ServerUpdate Services
Déploiement
Différentes options de déploiement Différentes options de déploiement serveurserveur
Serveur uniqueServeur unique
Serveurs multiplesServeurs multiplesReplicaReplica
AutonomeAutonome
Serveurs déconnectésServeurs déconnectés
Dimensionnement et migrationDimensionnement et migration
Configuration du client Windows Configuration du client Windows UpdateUpdate
Serveur unique
Microsoft Microsoft updateupdate
Serveur Serveur WSUSWSUS
Poste clientsPoste clients
Poste clientsPoste clients
Serveurs multiples
Microsoft Microsoft UpdateUpdate
Serveur Serveur WSUSWSUS
Poste clientsPoste clients
Serveur Serveur WSUS WSUS
Poste clientsPoste clients
Serveurs déconnectés
Microsoft Microsoft updateupdate
ServeurServeur
WSUSWSUS
Serveur Serveur WSUSWSUS
Considérations de déploiementBesoins matérielsBesoins matériels
Nombre de clients, fréquence de polling du client vers le serveurNombre de clients, fréquence de polling du client vers le serveur
Base de données et stockageBase de données et stockageSQL Locale ou distante versus MSDE /WMSDESQL Locale ou distante versus MSDE /WMSDE
Bande passanteBande passanteSite unique, multi-sites, « branch office », bande passante faibleSite unique, multi-sites, « branch office », bande passante faible
SécuritéSécuritéPersonnalisation des ports de communicationPersonnalisation des ports de communication
ScalabilitéScalabilitéHiérarchie Serveur Hiérarchie Serveur Options des ciblesOptions des ciblesMode Client versus ServeurMode Client versus Serveur
ManagementManagementAutomatisation par scripts versus interface d’administration Automatisation par scripts versus interface d’administration WebWeb
Migration depuis SUS 1.0 et dimensionnement
2 scénarios2 scénarios2 machines 2 machines
Serveur SUSServeur SUS
Serveur WSUSServeur WSUS
1 machine1 machineSUS et WSUSSUS et WSUS
DimensionnementDimensionnement
Configuration client Windows Update
Modes de configurationModes de configurationGPO (implique AD)GPO (implique AD)
Modification directe du registre Windows Modification directe du registre Windows (script)(script)
Stratégies localesStratégies locales
Durcissement de la configuration WSUS
Serveur Windows qui héberge WSUS,Serveur Windows qui héberge WSUS,
Communications entre serveurs et clients,Communications entre serveurs et clients,
Sécurité avancée du service Web IIS 6.0,Sécurité avancée du service Web IIS 6.0,
Sécurité avancée de la base de données (et si Sécurité avancée de la base de données (et si nécessaire des communications avec celle-ci). nécessaire des communications avec celle-ci).
Deploying Microsoft Windows Server Update Services –
Appendix D: Security Settingshttp://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/WSUS/WSUSDeploymentGuideTC/d4a3c3be-a76c-437e-8ae0-b96aff64df13.mspx
Téléassistance
Qu’est ce que Systems Management Server (SMS) ?Gestion des ressources matérielles et logicielles
PPC 2003PPC 200364 MB64 MBARM 300 MHzARM 300 MHz
Windows XP SP1Windows XP SP1256 MB256 MBP IV 1 GHzP IV 1 GHz
Windows 2000Windows 2000128 MB128 MBP III 700 MHzP III 700 MHz
Windows NT 4 SP6Windows NT 4 SP6128 MB128 MBP III 350 MHzP III 350 MHz
OSOSRAMRAMCPUCPU
Découverte Inventaire Reporting
Gestion du cycle de vie des applicationset des correctifs de sécurité
Packaging Distribution Installation Suivi utilisation
Internet
Point de distribution SMS
Clients SMS
Clients SMS
MicrosoftDownload Center
Point de distribution SMS
2. Téléchargement régulier du référentiel (MSSECURE.XML,WSUScan.cab…)
1. Téléchargement et installation des outils d’analyse sur le serveur de site
3. Inventaire des clients et intégration avec les données d’inventaire matériel SMS
4. Utilisation de l’assistant de distribution des mises à jour logicielle pour déclencher l’installation des mises à jour sélectionnées
6. Installation des mises à jour par l’agent SMS
7. De manière périodique: le module de synchronisation vérifie la publication de nouvelles mises à jour; analyse les clients; et l’administrateur peut déployer les mises à jour nécessaires
5. Téléchargement des fichiers; création/mise à jour des packages, programmes & annonces; réplication des packages & publication des programmes vers les clients SMS
Clients SMS
Processus
Intranet
Serveur de site
Outils d’inventaire
Systems Management Server 2003
Systems Management Server 2003
Outils d’analyse pour les mises à jour Outils d’analyse pour les mises à jour de sécurité (applications et systèmes)de sécurité (applications et systèmes)
Permettent de créer dans SMS les lotsPermettent de créer dans SMS les lots
Enrichissent l’inventaireEnrichissent l’inventaire
S’intègrent avec le module de reportingS’intègrent avec le module de reporting
Assistant de distribution des mises à Assistant de distribution des mises à jour logiciellesjour logicielles
Composants de SMS 2003
Les outils d’inventaire de mise à jour pour SMS
Security Update Inventory ToolSecurity Update Inventory ToolMises à jour critiques de sécurité et service packs pour Mises à jour critiques de sécurité et service packs pour Windows NT 4.0 et +, SQL Server 7.0 et +Windows NT 4.0 et +, SQL Server 7.0 et +Catalogue MBSA 1.2.1Catalogue MBSA 1.2.1
Office Update Inventory ToolOffice Update Inventory ToolMises à jour de sécurité et les services pack pour Office Mises à jour de sécurité et les services pack pour Office 2000 et + 2000 et +
Extended Security Update Inventory ToolExtended Security Update Inventory Tool
Inventory Tool for Microsoft Updates (ITMU)Inventory Tool for Microsoft Updates (ITMU)Windows 2000 SP4 et + (Security updates, service packs, Windows 2000 SP4 et + (Security updates, service packs, et rollups)et rollups)SQL Server 2000 SP4 et+ SQL Server 2000 SP4 et+ Office XP et + pour les mises à jour de sécurité et les Office XP et + pour les mises à jour de sécurité et les service packsservice packsUtilise le catalogue WSUS qui inclut toutes les languesUtilise le catalogue WSUS qui inclut toutes les langues
Outil d’inventaire pour les mises à jour Microsoft (ITMU)
Nouvel outil d ’analyse Nouvel outil d ’analyse pour les sites SMS 2003 pour les sites SMS 2003 SP1 et lesSP1 et les clients avancésclients avancés
Remplacement des outils d’inventaire des mises à Remplacement des outils d’inventaire des mises à jours MBSA et Officejours MBSA et Office
Dans certains cas, les outils « ancienne génération » Dans certains cas, les outils « ancienne génération » devront être conservésdevront être conservés
AméliorationsAméliorationsStandardisation des outils (utilisation de l’agent Standardisation des outils (utilisation de l’agent Windows Update 2.0)Windows Update 2.0)Plus de gestion de la ligne de commande pour la Plus de gestion de la ligne de commande pour la distribution des correctifsdistribution des correctifsRapports plus complets (19 disponibles)Rapports plus complets (19 disponibles)
Automatiser le déploiement des mises à Automatiser le déploiement des mises à jour manquantes sur les postes clientsjour manquantes sur les postes clients
FonctionnementFonctionnementS’appuie sur l’inventaire remonté S’appuie sur l’inventaire remonté
Recherche des correctifs manquants, Recherche des correctifs manquants, sélection des correctifssélection des correctifs
Téléchargement des correctifs depuis Téléchargement des correctifs depuis Microsoft.comMicrosoft.com
Création automatique du lot de l’annonce Création automatique du lot de l’annonce et du programmeet du programme
Pour ITMU, nécessite le correctif 900257Pour ITMU, nécessite le correctif 900257
Assistant de distribution des mises à jour logicielles
Distribution et rapport
Systems Management Server 2003
Systems Management Server 2003
Microsoft Microsoft Baseline Baseline Security Security
Analyzer 2.0Analyzer 2.0
Microsoft Microsoft UpdateUpdate
Automatic UpdatesAutomatic Updates
Gestion des mises à jour
A la maisonA la maison
Petites entreprisesPetites entreprises
Entreprises moyennesEntreprises moyennes
Grandes EntreprisesGrandes Entreprises
*utilisation de Windows Update, d'un autre outil de mise à jour ou mise à jour manuelle pour les systèmes et applications non supportés *utilisation de Windows Update, d'un autre outil de mise à jour ou mise à jour manuelle pour les systèmes et applications non supportés par WSUS ou Microsoft Updatepar WSUS ou Microsoft Update
Choisir une solution de gestion des correctifs
ClientClient ScénarioScénario ChoixChoix
Grande ou Grande ou moyenne moyenne entrepriseentreprise
Besoin d'une solution unique et flexible de Besoin d'une solution unique et flexible de gestion des mises à jour avec un niveau gestion des mises à jour avec un niveau élevé de contrôle et de distribution pour élevé de contrôle et de distribution pour TOUTES les versions de Windows et TOUTES les versions de Windows et d'applications, ainsi qu'une solution de d'applications, ainsi qu'une solution de gestion du parc intégrégestion du parc intégré
SMS 2003
Besoin seulement d'une solution de mise à Besoin seulement d'une solution de mise à jour simple pour les produits Microsoft, et jour simple pour les produits Microsoft, et dans un premier temps Windows (2000 et dans un premier temps Windows (2000 et ultérieur), Office (2003 & XP), Exchange ultérieur), Office (2003 & XP), Exchange 2003, SQL Server 2000 et MSDE 20002003, SQL Server 2000 et MSDE 2000
WSUS*
Petite Petite entrepriseentreprise
Au moins un serveur et un administrateurAu moins un serveur et un administrateur WSUS*
Tous les autres scénariosTous les autres scénariosMicrosoft Update*
A la maison A la maison Tous les scénariosTous les scénariosMicrosoft Update*
Comparaison de Microsoft Update, WSUS et SMS 2003CapacitéCapacité Microsoft UpdateMicrosoft Update WSUSWSUS SMS 2003SMS 2003Logiciels et contenus supportésLogiciels et contenus supportés
Logiciels supportés pour Logiciels supportés pour le contenule contenu
Pareil que WSUS + WinXP Pareil que WSUS + WinXP édition familialeédition familiale
Win2K, WS2003, WinXP Pro, Win2K, WS2003, WinXP Pro, Office 2003, Office XP, Office 2003, Office XP, Exchange 2003, SQL Server Exchange 2003, SQL Server 2000, MSDE2000, MSDE
Idem WSUS + NT 4.0 & Win98 + Idem WSUS + NT 4.0 & Win98 + peut mettre à jour n’importe quel peut mettre à jour n’importe quel logiciel fonctionnant sur Windowslogiciel fonctionnant sur Windows
Types de contenu Types de contenu supportéssupportés
Toutes les mises à jour de Toutes les mises à jour de logiciels, mises à jour logiciels, mises à jour critiques de pilotes, Service critiques de pilotes, Service Packs & Feature PacksPacks & Feature Packs
Toutes les mises à jour de Toutes les mises à jour de logiciels, mises à jour critiques logiciels, mises à jour critiques de pilotes, Service Packs & de pilotes, Service Packs & Feature PacksFeature Packs
Toutes les mises à jour de logiciels, Toutes les mises à jour de logiciels, Service Packs & Feature PacksService Packs & Feature Packs+ support la mise à jour et + support la mise à jour et l’installation d’appli Windowsl’installation d’appli Windows
Capacités de gestion des mises à jourCapacités de gestion des mises à jour
Ciblage de contenu à Ciblage de contenu à certains systèmescertains systèmes N/AN/A SimpleSimple AvancéAvancé
Optimisation de la Optimisation de la bande passante réseaubande passante réseau OuiOui OuiOui Oui Oui
Contrôle de la Contrôle de la distribution des distribution des correctifscorrectifs
N/AN/A SimpleSimple AvancéAvancé
Installation de correctif Installation de correctif & flexibilité de la & flexibilité de la planificationplanification
Manuelle & contrôlée par Manuelle & contrôlée par l’utilisateur finall’utilisateur final SimpleSimple AvancéAvancé
Rapport sur les Rapport sur les installations de installations de correctifscorrectifs
Erreurs d’installation Erreurs d’installation rapportées à l’utilisateur. rapportées à l’utilisateur. Liste les mises à jour Liste les mises à jour manquantes pour la manquantes pour la machine connectéemachine connectée
SimpleSimple AvancéAvancé
Planification du Planification du déploiementdéploiement N/AN/A SimpleSimple AvancéAvancé
Gestion de l’inventaireGestion de l’inventaire N/AN/A NonNon OuiOui
Vérification de Vérification de conformitéconformité N/AN/A Non – rapport de statut Non – rapport de statut
seulementseulement AvancéAvancé
Quelques ressources utiles
Windows Server Update Services
http://www.microsoft.com/windowsserversystem/updateservices/default.mspx
System Management Serverhttp://www.microsoft.com/france/sysmans/default.mspx Site Sécurité http://www.microsoft.com/france/securite
Séminaire Technet, Webcasts/e demos et Chatshttp://www.microsoft.com/france/technet/seminaires
Mon Bloghttp://blogs.technet.com/fabricem_blogs
Questions / Réponses
