déployer les correctifs et maintenir son parc informatique à jour avec
DESCRIPTION
Déployer les correctifs et maintenir son parc informatique à jour avec. 3.0. Qu’est ce que ?. Un site Web très orienté technique http://www.microsoft.com/france/technet/default.mspx Une newsletter personnalisable - PowerPoint PPT PresentationTRANSCRIPT
1
Déployer les correctifs et maintenir son parc informatique à jour avec
3.0
2
• Un site Web très orienté technique– http://www.microsoft.com/france/technet/default.mspx
• Une newsletter personnalisable– http://www.microsoft.com/france/technet/presentation/flash/default.mspx
• Des séminaires techniques toute l’année, partout en France– http://www.microsoft.com/france/technet/seminaires/seminaires.mspx
• Des webcasts et e-démos accessibles à tout instant– http://www.microsoft.com/france/technet/seminaires/webcasts.mspx
• Un abonnement– http://www.microsoft.com/france/technet/presentation/cd/default.mspx
Qu’est ce que ?
3
Logistique
Pause en milieu de session
Vos questions sont les bienvenues.N’hésitez pas !
Feuille d’évaluation à remettre remplie en fin de session
Commodités
Merci d’éteindre vos téléphones
4
Quelles sont les nouveautés de la version 3.0 et comment déployer ou migrer vers WSUS 3.0 ?
Objectif du séminaire
5
Agenda
• Introduction• Les basiques de WSUS 3.0• Mettre à niveau vers WSUS 3.0• Déployer des mises à jour• Maintenir WSUS• Conclusion et Questions & Réponses
6
INTRODUCTION
7
Vie et mort d’une vulnérabilité…
La plupart des exploits sont conçues après la mise à disposition du
correctif
Les attaques se produisent majoritairement ici
Produitinstallé
Vulnérabilitédécouverte
Composantcorrigé
Correctifpublié
Correctif déployéchez les clients
Ignorance Signalement Modulo cycle depublication mensuel
Test, intégrationet déploiement
Mesure traditionnelle de la vulnérabilité
Vulnérabilité à une attaque générale
Vulnérabilité théorique
Vulnérabilitépublique
8
► Prolifération des correctifs
► Temps avant exploitation en baisse
► Exploitations plussophistiquée
► L’approche classique n’est pas suffisante
151180
331
BlasterWelchia/ Nachi
Nimda
25SQL
Slammer
Nombre de jours entre le correctif et
l’exploitation
Constats à la suite des vers Blaster et Sasser
18Sasser
Le nombre de jours entre la sortie du correctif et l’exploitation de la vulnérabilité a tellement diminué
(hors cas des zero-days exploits) que la seule solution défense restant aux entreprises consiste à appliquer les
correctifs.
9
La gestion des correctifs : un problème de l’industrie du logiciel
Tous les acteurs sont concernés !!
10
Produits, outilset automatisation
Cohérents et répétitifs
Compétences, rôles et responsabilités
Processus
PersonnesTechnologies
Gestion réussie des correctifs
11
1. Évaluer l'environnement auquel les correctifs doivent être appliqués
A. Créer/tenir à jour des systèmes de référence
B. Évaluer l'architecture de gestion des correctifs
C. Passer en revue l'infrastructure/la configuration
1. Analyser 2. Identifier
4. Déployer 3. Évaluer et planifier
2. Identifier de nouveaux correctifs
A. Identifier de nouveaux correctifs
B. Déterminer la pertinence des correctifs
C. Vérifier l'authenticité et l'intégrité des correctifs
3. Évaluer les correctifs et planifierleur déploiement
A. Obtenir l'approbation nécessaire pour déployer
B. Évaluer les risquesC. Tester les correctifsD. Planifier la publication
4. Déployer le correctif
A. Distribuer et installer le correctifB. Rédiger un rapport sur l'avancementC. Traiter les exceptionsD. Passer en revue le déploiement
Le processus de gestion des correctifs en entreprise : méthodes recommandées
Processus de gestion des correctifs
12
Guides Microsoft de gestion des risques et des correctifs Guide de gestion des risques de sécurité
Introduction au guide de gestion des risques de sécurité
Étude des pratiques de gestion des risques de sécurité
Présentation de la gestion des risques de sécurité
Évaluation des risques Aide à la décision Mise en place de contrôles et mesure de
l'efficacité du programme http://www.microsoft.com/france/technet/securite/guidance/
default.mspx Guide de gestion des correctifs
Phase 1 – Analyse Phase 2 – Identification Phase 3 - Évaluation et planification Phase 4 – Déploiement
http://www.microsoft.com/france/securite/it/dossiers/correctifs/default.mspx
13
Microsoft Baseline Security
Analyzer 2.1
Microsoft Update
Gestion des mises à jourQuelles solutions ?
A la maison
Petites et Moyennes Entreprise
Grandes Entreprises
14
WINDOWS SERVER UPDATE SERVICES 3.0
15
Windows Software Update Services• Offre d’entreprise de gestion des mises à jour• Solution gratuite complète pour télécharger et distribuer des
mises à jour de produits Microsoft– Pas de coût licences Windows Server (2000 et ultérieur)– Nécessite une licence Windows Server / CAL pour les systèmes cibles
• Délivrer une solution totalement fonctionnelle permettant de répondre au besoin de gestion de mises à jour des produits– Automatiser le plus possible le processus de mises à jour– Supporter l’ensemble des produits Microsoft– A destination de l’administrateur mais aussi de l’IT généraliste
• Fin de support de SUS 1.0 : 10/07/2007• cf http://support.microsoft.com/kb/905682
16L’administrateur souscrit à certaines catégories de mises à jourLe serveur télécharge les mises à jour depuis Microsoft UpdateLes clients s’enregistrent auprès du serveurL’administrateur met les clients dans différents groupes ciblesL’administrateur approuve les mises à jourLes clients installent les mises à jour approuvées par l’administrateur
WSUS - Aperçu de l’architecture
< Back Finish Cancel
Windows Update ServicesWindows Update Services
< Back Finish Cancel
Windows Update ServicesWindows Update Services
Microsoft Update(utilise WSUS)
Serveur WSUS
Postes de travail (clients WSUS) Groupe cible 1
Serveurs (clients WSUS) Groupe cible 2
Administrateur WSUS
17
Adoption de WSUS 2.0• Considéré par beaucoup comme l’une des meilleures solutions
de gestion des correctifs
• En un an (juin 2005 juin 2006)…– WSUS 2.0 a excédé le nombre de déploiement de SUS 1.0– 260,000 serveurs WSUS se sont synchronisés avec Microsoft Update
en Juin 2006
• SP1 disponible depuis juin 2006 – Support de SQL Server 2005– Prise en charge de Windows Vista– Support multi langues de MS Office et Windows Vista– Version MSDE SP4– Intégration avec Windows Small Business Server 2003 R2
18
Fonctionnalités : contrôle• Administrateur défini des groupes cibles
– Utilisation des stratégies de groupe pour ce faire dans l’environnement AD
– Au travers de l’interface d’administration de WSUS pour les environnement non AD
• Administrateur contrôle les approbations– “Détection seulement” évaluation des machines qui nécessite
l’application d’un patch– Approbation pour l’installation et la désinstallation (pas toujours
possible)– Installation sur date butoir– Approbation par groupe cible:
• Différentes mises à jour vers différents groupes cibles• Différentes dates butoirs par groupe cible• Différentes actions par groupe cible
19
Fonctionnalités : Configuration de l’ Agent • Configuration flexible de l’Agent
– Fréquence de polling– Notification et type d’installation– “Comportement” vis-à-vis du reboot– Port configurable– Non-administrateurs peuvent installer des mises à jour (comme
les administrateurs)– Installation à l’arrêt
(Windows XP SP2, Windows Vista et Windows 2003 SP1 et +)
20
Fonctionnalités : Optimisation réseau• Résilient et transparent
– BITS* pour téléchargement client-serveur et serveur-serveur– Téléchargements se font en fond de tache (background)
• Téléchargement minimale des mises à jour– Souscriptions aux mises à jour – téléchargement des mises à
jour pour les produits, classifications et langues cibles– Support de la technologie “delta compression” pour les
communications– Option client-serveur pour téléchargement uniquement les
mises à jour approuvées (« download on demand »)– Option pour télécharger uniquement le catalogue des mises à
jour et la détection – binaires sur MU
*Background Intelligent Transfer Service
21
Fonctionnalités clés de WSUS Grille de comparaison
*En partie possible via le réglage de la fréquence de détection et des scripts** Si la mise à jour le permet
Fonctionnalités demandées SUS 1.0 SP1 WSUS 2.0Support des Service Packs Installation sur SBS et sur des contrôleurs de domaine Support d’Office et d’autres produits Microsoft Support d’autres types de mises à jour Désinstallation de mise à jour **Ciblage des mises à jour Amélioration du support pour les réseaux bas débit (Bits) Réduction de la quantité de données à télécharger Réglage de la fréquence de détection des mises à jour Minimiser l’interruption de l’utilisateur Déploiement d’urgence d’un correctif (‘gros bouton rouge’)
*
Déploiement de mises à jour d’autres applications non Microsoft
22
Les évolutions demandées…• Plus évolutifs et tolérances aux pannes
– Pas de support du clustering NLB & SQL– UI ne permet pas de gérer un très grands nombres d’ordinateurs
• Améliorer les rapports– Options de sauvegarde des rapports– Possibilité de centraliser les rapports
• Ciblage plus flexible– Améliorations en regard de SUS 1.0, mais pas aussi pertinents que celui
proposé par d’autres produits• Plus de contenu
– Possibilité d’importer ces propres correctifs– Meilleurs support des drivers: pas uniquement les critiques
• Scripting & APIs– Pas d’appel des APIs à distance– Scripting : oui mais…
23
Objectifs de WSUS 3.0• Continuer à faire de WSUS une solution adoptée
et appréciée pour l’environnement Windows– Adresser les besoins et demandes des utilisateurs
• Améliorer l’infrastructure pour supporter de nouveaux scénarios en tenant compte des besoins de mises à jour des produits partenaires– SMS, etc.
• Support du client Windows Vista et du serveur Windows Server 2008 (Beta 3)
24
Plateformes supportées par WSUS 3.0• Support de toutes les langues d’OS Windows• Coté Serveur (Support des systèmes x86 et x64)
– Windows 2003 SP1 minimum• SQL Server 2005 SP1, SQL Server 2005 Embedded Edition• BITS 2.0, Windows Installer 3.1• Internet Information Services (IIS)• .NET Framework 2.0• MMC 3.0• Microsoft Report Viewer Redistribuable 2005
• Coté Client (support de x86, X64 et IA 64)– Windows 2000 SP4, Windows XP SP1, Windows Vista– Windows Server 2003 minimum
25
Déploiement simple
Microsoft Update
Firewall Serveur WSUS
GPO Script deConfiguration
Clients WSUS
26
Déploiement de multiples serveurs
Microsoft Update
Firewall Serveur WSUS
GPO
Serveurs
GPO
Ordinateurs clients
Serveurs WSUS Replica ou autonomes
27
Serveurs non connectés
Microsoft Update
Serveur WSUS
Serveur WSUSImportation et exportation
manuelles
Postes de travail Clients
28
Installation et configuration
28
29
Installation de WSUS
30
Configuration de WSUS 3.0
31
Le déploiement• WSUS 3.0 peut s’installer via une mise à jour d’un serveur 2.0• Les serveurs WSUS 2.0 peuvent se synchroniser à partir d’un
serveur WSUS 3.0– Permet une migration descendante de la hiérarchie
• Assistant de configuration post-installation
• Améliorations dans la prise en charge des environnements distribués– Passage entre serveur Replica et Autonome sans réinstallation– Support d’un sous ensemble des langues disponible en amont sur les
serveurs Replica– Les serveurs Replica peuvent synchroniser leurs meta-data d’un serveur
WSUS amont et les correctifs depuis Microsoft Update– Support de la synchronisation en mode déconnecté pour les serveurs
Replica
32
La fiabilité• Support de Network Load Balancing (NLB)
– Permet une bascule rapide pour des besoins de disponibilité
• Support de la mise en cluster de la base SQL– En complément du scénario NLB
• Supervision au travers de Microsoft Operations Manager– Pack d’administration MOM pour fournir une
supervision proactive de l’état de santé du serveur
33
Les performances
• Performances liées à la génération des rapports– 50% de gain de performance
• Performances liées à la synchronisation– Synchronisation complète descendante réduite de 90 à
20 minutes
• Support natif des serveurs x64 (comme serveur WSUS)
34
Service Mises à jour Automatiques• Service local (Mises à jour
automatiques (Windows Update) gérant l’accès à Microsoft Update /WSUS pour autoriser le téléchargement et l'installation des mises à jour de Windows.
– Agent Windows Update
35
Mises à jour automatiques importantes • Défini comment se fait
l’installation des mises à jour importantes sur le poste
• Mises à jour importantes :– Maj Sécurité– Maj Critiques– Service Pack
36
Configuration de l’agent (1/2)• Par stratégie de groupe ou par
registre• Configurer les mises à jour
automatiques (AutoUpdate) en spécifiant un serveur intranet de mise à jour Microsoft (serveur WSUS)
• Modes d’installation :– Notifier avant le
téléchargement/installation – Télécharger puis notifier pour l’
installation– Télécharger et installer
automatiquement selon la planification
– Autoriser les administrateurs locaux à choisir le mode de configuration (sans pouvoir désactiver AutoUpdate)
37
Configuration de l’agent (2/2)• Fréquence de détection
configurable (du client vers le serveur) : – 22 heures par défaut;
minimum 1 heure (charge sur le serveur)
– La durée réelle entre deux détections sera déterminée aléatoirement entre 80% et 100% de la durée paramétrée
• Délai de redémarrage et intervalle avant nouvelle demande de redémarrage (si redémarrage repoussé)
• Notification pour les non administrateurs (en fonction du mode d’installation)
• Pas de redémarrage planifié (pour laisser l’utilisateur redémarrer quand il le veut)
• Re-planifier les installations planifiées (ex : 5 min après redémarrage)
• Autoriser l’installation immédiate des mises à jour automatiques
• Ciblage• Notifie l’utilisateur si redémarrage
nécessaire
38
Pré installation (self-update)
39
Ciblage• Utiliser pour cibler des mises à jour sur des machines
spécifiques– Groupe cible de test– Groupe cible de production
• Deux types de ciblage– Côté serveur
• L’administrateur WSUS gère l’appartenance aux groupes depuis le site d’administration (listes sur le serveur)
– Côté client• Appartenance gérée automatiquement
– En utilisant des stratégies de groupe (par exemple même groupe pour toutes les machines d’une même OU d’Active Directory)
– En utilisant le Registre
40
WSUS 3.0 - Améliorations liées au ciblage• WSUS 3.0 supporte 2 nouveaux concepts
concernant les groupes– L’imbrication
– L’appartenance à plusieurs groupes• Une machine peut être membre de groupe Serveurs ainsi
que du groupe Exchange Serveurs
41
Ciblage
41
42
Rapports
• Etats des clients, listes des mises à jour…– Par machine / par mise à jour / par groupe cible– Succès et échecs des téléchargements et installations avec les
détails sur les erreurs
• Disposer d’information sur les synchronisations avec Microsoft Update, entre serveurs WSUS– Nouveautés, changements
43
WSUS 3.0 - Améliorations liées au reporting• Vues générales et simplifiés
– Composants de rapports dans la boite– Détails sur les mises à jour et résumés
• Détails sur les mises à jour au niveau des serveurs réplica et autonomes
• Impression, Sauvegarde Excel ou PDF• Notification par e-mail• Nouveau rôle “Reporters”
– Permet un accès lecture-seul au serveur• Personnalisation des rapports (exemples sur MSDN)
– Vues SQL– API .net
44
Améliorations liées au reporting
44
45
WSUS 3.0 - Améliorations liées au reporting
46
WSUS 3.0 - Améliorations liées aux outils d’administration (1/2)• Nouvelle console d’administration basée sur une
MMC 3.0– Gestion de multiples serveurs au sein d’une seule console– Page de démarrage offrant un aperçu rapide– Vues personnalisées– Fonctionnalités de filtrage des vues– Tri et réorganisation des colonnes (colonnes
supplémentaires: Article KB, MSRC ID, Sévérité)– Menus contextuels– Intégration des rapports– Notifications et statut par e-mail
47
Console d’administration
47
48
WSUS 3.0 - Améliorations liées aux outils d’administration
49
WSUS 3.0 - Améliorations liées aux outils d’administration
50
WSUS 3.0 - Améliorations liées aux outils d’administration (2/2)• API disponibles pour importer des mises à jour
tierces et pour scripter les opérations• Nouvelles fonctionnalités d’administration
– Assistant de gestion de l’obsolescence du contenu du serveur WSUS (meta-données, machines, mises à jour)
– Règles d’approbation spécifiques par type de mise à jour et par groupe cible
– Sélection des types de produits gérés– Envoi de messages électroniques– …
51
Abonnements (subscriptions)• Permet de choisir quelles mises à jour télécharger et
quand– Produit / Type de mise à jour (sécurité, SP,FP, pilote, etc…)– En fait une mise à jour est composée de deux éléments :
• Un correctif• Les méta données décrivant le correctif
– Par défaut :• seules les méta données sont téléchargées (catalogue)• les correctifs sont téléchargés s’ils sont approuvés (contenu)
• Exemples d’abonnements :– Quotidiens pour les mises à jour critiques– Hebdomadaires pour les mises à jour recommandées
• Synchro – Manuelle / Automatique
52
Approbation de mise à jour
• Vérification avant déploiement (détection) : évalue l’impact d’une mise à jour sur le réseau avant qu’elle ne soit déployée– Au niveau de l’approbation d’une mise à jour, choisir l’action
Detect– Après un cycle de détection des clients, la rubrique Status de la
mise à jour indique le nombre de machines qui nécessitent la mise à jour
• Installation lors de la prochaine date planifiée• Installation avec date butoir• Désinstallation (nécessite que la mise à jour le supporte)
53
Approbation automatique ?• Par défaut, « détection » automatique pour
– Les mises à jour critiques et de sécurité– Tous les groupes cibles
• Par défaut, aucune approbation automatique pour l’installation– On pourrait choisir des types de mises à jour, et des
groupes cibles
• En cas de révision d’une mise à jour, la nouvelle version obtient le même niveau d’approbation que l’ancienne (désactivable pour effectuer un choix manuel)
54
AbonnementsApprobationNotifications
54
55
WSUS 3.0 - Améliorations liées aux outils d’administration
56
METTRE À NIVEAU VERS WSUS 3.0
57
Scenarios de mise à niveau• A partir de SUS 1.0
– Non directement supportée• Mise à niveau d’un serveur unique
– Mise à niveau “in-place”: WSUS2->WSUS3 sur le même serveur– Mise à niveau “migration” : WSUS2->WSUS3 sur des serveurs
différents• Mise à niveau d’une hiérarchie de serveurs
– Serveurs connectés– Serveurs déconnectés
58
Migration depuis SUS• Pas directement supportée• WSUS3 ne peut pas être installée sur le même
serveur que SUS 1.0• 2 options pour mettre à jour:
– Migrer vers WSUS 2.0 SP1, puis mettre à jour vers WSUS3
• Migration SUS 1.0 -> WSUS 2.0 http://technet2.microsoft.com/WindowsServer/f?en/Library/c86e95dc-381f-47a2-b761-1fe0f13ad3f41033.mspx
– Installer WSUS 3.0 sur un serveur séparé– Installation from scratch – Faire pointer les clients vers le nouveau serveur
59
Mise à niveau in place• Le programme d’installation supporte la mise à
niveau “in-place”Setup– Conserve les mises à jours, paramètres et approbations– Pas de re-déploiement du client WSUS: mise à jour
automatique du client lors de la première connexion au serveur
– Support du mode d’installation sans réponse• Exemple SDK WsusMigrate pour migrer les groupes
cibles d’un serveur à un autre• Mise à jour d’une hiérarchie du haut vers le bas
60
Considérations « mise à niveau in-place »• Sauvegarde /restauration
– Mise à niveau “in-place” ne propose pas de retour arrière• Faire une sauvegarde de la base WSUS 2.0 avant la mise à niveau
• Système d’exploitation serveur– WSUS3 n’est pas supporté sur Windows 2000 Server
• Base de données– WSUS3 nécessite SQL 2005 SP1 minimum ou Windows Internal Database
• Mettre à niveau WSUS2 vers SQL 2005 SP1 avant la mise à jour• Réaliser une mise à jour “in-place”, le programme d’installation met
automatiquement à jour la base de donnée vers Windows Internal Database SP1 (=SQL 2005 Embedded Edition)
• Si base de données distante, il faut désinstaller le back-end puis mettre à jour (setup unifié front/back end)
• Console d’administration Web– Plus possible d’utiliser la console web après la mise à jour– Installer la console d’administration WSUS ou les outils de prise de contrôle
à distance
61
Mise à niveau • Installer WSUS 3.0 sur un nouveau serveur
• Migrer les mises à jour et les approbations du serveur WSUS 2.0 WSUS 3.0 :– Utiliser ntbackup pour copier le contenu du répertoire des mises à
jour(http://technet2.microsoft.com/windowsserver/en/library/4696c613-66f3-483d-
8ea9-66bcca74730e1033.mspx?mfr=true)– Synchroniser le serveur WSUS 3.0 pour disposer des dernières
meta-données• Exporter/importer les approbations et les groupes via WsusMigrate
• Faire pointer les clients vers le nouveau serveur– Au travers de la stratégie de groupe / modification registre– Les clients sont mis à jour à la prochaine synchronisation
62
Mise à niveau d’une hiérarchie• La mise à jour se fait à partir du serveur le plus haut de la
hiérarchie– WSUS 2.0 peut se synchroniser avec un serveur WSUS 3.0
(l’inverse est faux)– Remarque : la synchronisation nécessite WSUS2 SP1 ou
WSUS2 RTM + KB910847
63
Migration depuis WSUS 2.0
63
64
Migration WSUS 2.0 vers WSUS 3.0
65
DÉPLOYER DES MISES À JOUR
66
Installation avec date butoir
67
Installation à l’arrêt (XP SP2)
• Profiter de l’arrêt de la machine pour la maintenir à jour• Contrôler par stratégie de groupe
68
MAINTENIR WSUS 3.0
69
Maintenance du serveur WSUS• Les serveurs WSUS nécessitent peu d’opérations de
maintenance• 3 opérations clés
– Ordinateurs clients• Gérer l’ajout et la suppression des machines de l’inventaire
– Contenu• Supprimer les contenus obsolètes
– Base de données• Sauvegarde• Défragmentation des index
• Microsoft Windows Server Update Services 3.0 Operations Guide– http://technet2.microsoft.com/windowsserver/en/library/9b65850d-17a0-440e-
9cad-2eb881011f5f1033.mspx
70
Maintenance - Ordinateurs• Pourquoi nettoyer les ordinateurs ?
– Diminuer la taille de la base– Disposer de rapports fiables et à jour
• Comment ?– L’assistant de nettoyage
• Supprime les machines qui n’ont pas contacté le serveur depuis plus de 30 jours
– API disponibles• http://www.microsoft.com/technet/windowsserver/wsus/default.mspx
71
Contenu• Pourquoi ?
– Ne pas approuver ou refuser une mises à jour ne supprime pas le contenu
– Supprimer les contenus obsolètes– Réduire le besoin d’espace disque
• Comment ?– Lancer l’assistant de nettoyage, lequel supprimera:
• Meta données pour les mises à jour non approuvées de plus de 90 jours
• Vieilles versions de mises à jour• Fichiers inutilisés pour les mises à jour sur le serveur lui-même et
les serveurs fils de la hiérarchie• Mises à jour expirées et qui sont inutiles ou non approuvées deouis
au moins 30 jours
72
Assistant de nettoyage
72
73
WSUS 3.0 – Assistant de nettoyage
74
Maintenance – Base de données• Périodiquement défragmenter la base de données
– http://technet2.microsoft.com/windowsserver/en/library/e787794b-4f09-4d01-ae4e-5983ea7634f91033.mspx• sqlcmd -S np:\\.\pipe\MSSQL$MICROSOFT##SSEE\sql\query –
i <scriptLocation>\WsusDBMaintenance.sql
• Disposer d’un plan de récupération en cas de désastre– Souvent se traduit par la réinstallation du serveur– Sauvegarder la base de données via ntbackup ou script
sqlcmd (http://go.microsoft.com/fwlink/?LinkId=70728)• http://technet2.microsoft.com/windowsserver/en/library/
0f0b7103-052e-481e-9efb-be7ab06fbd181033.mspx
75
Supervision du serveur WSUS• Supervision pro active des serveurs WSUS• Disponibilité du pack d’administration pour MOM
2005 pour WSUS 3.0– Liste des serveurs WSUS avec leur état générale :
• Alertes, • Evénements• Taches• Performances
– Etat de santé des clients
76
Résolution de problèmes• Rapports Serveur
– E-mail– Synchronisation– Rapports ordinateurs et mises à jour– SoftwareDistribution.log– Change log
• Clients– Rapports ordinateurs et mises à jour– Client WindowsUpdate.log – Personnalisation des rapports à partir des APIs et des journaux
client
77
APIs publiques
• A la fois le client et le serveur expose des APIs publiques• APIs serveur basées sur .NET
(pour les taches d’administration)• APIs client basées sur COM scriptable• Exemples de scripts et de code dans le SDK WSUS
78
API Serveur (WSUS API) • http://msdn2.microsoft.com/en-us/library/ms744624.aspx• WSUS API 2.0 permet l’accès à un ensemble des tâches
de la MMC– Configuration du serveur WSUS– Approbation des mises à jour Updates– Ajout/suppression des groupes cibles– Ajout/suppression des clients dans le groupe cible– Création de rapports personnalisés– La MMC utilise les API publiques
• Nouveautés WSUS 3.0 APIPublication (Publishing) Publication, approbation et déploiement de MAJ tierces
Administration à distance Permet l’administration à distance du serveur WSUS
Inventaire Fonctionnalité de base de l’inventaire
Nettoyage Etendue et options de nettoyage
79
API Client (Windows Update Agent API)• APIs publiques, implémentées comme “wrappers” autours
de l’Agent WU et des fonctionnalités de Mises à jour automatique (exposée au travers de COM et scriptable)
• http://msdn2.microsoft.com/en-us/library/aa387099.aspx
DescriptionAutomaticUpdates A class that exposes the settings of Automatic Updates and some
functionality UpdateCollection A class representing an ordered list of Updates UpdateDownloader A class that downloads updates from the server UpdateInstaller ClassUpdateSearcher A class that searches for updates on the server SearchResult A class that represents the result of a searchUpdate A class that exposes properties and methods available to an update
80
Exemple de scriptsDim update, iset AutoUpdate =
CreateObject("Microsoft.Update.AutoUpdate")Autoupdate.DetectNow()set UpdateSession =
CreateObject("Microsoft.Update.Session")set UpdateSearcher = UpdateSession.CreateUpdateSearcher()set SearchResult= UpdateSearcher.Search("")set Updates = SearchResult.Updatesset UpdatesToInstall =
CreateObject("Microsoft.Update.UpdateColl")For i = 0 to (Updates.Count-1)
UpdatesToInstall.Add(Updates.Item(i))Nextset Installer = UpdateSession.CreateUpdateInstaller()Installer.Updates = UpdatesToInstallset InstallationResult = Installer.Install()
Détection
Approbation
Installation
81
La ligne de commande• L’utilitaire wsusutil
– http://technet2.microsoft.com/windowsserver/en/library/2686bd2b-910a-479b-961e-cea2a20280241033.mspx
– Disponible sur le serveur WSUS, pas si uniquement installation de la console
– Options: configuressl, healthmonitoring, export, import, movecontent, listfrontendservers, deletefrontendserver, checkhealth, reset, listinactiveapprovals, removeinactiveapprovals, usecustomwebsite
• L’utilitaire wuauclt– http://technet2.microsoft.com/windowsserver/en/library/2686bd2
b-910a-479b-961e-cea2a20280241033.mspx– Contrôle de l’agent Windows Update– Options : detectnow, resetauthorization, reportnow
82
CONCLUSION et Q&R
83
En résumé : WSUS 3.0
• Déploiement et configuration simplifiés• Performances améliorées• Fiabilité améliorée• Reporting multi-sites et multi-critères• Outils d’administration• Ciblage évolué• Devient la plate forme de distribution
84
Devient la plateforme de distribution
Microsoft Update
WSUS software distribution
infrastructure
auto-sync
WHOS publishesdrivers
WU agent on corporate client
auto-sync
New catalog siteselective import
SCCM 2007
SCE
locallypublishITCU
3rd party tool
local publish
Inside the corporation
Product teams
publishesupdates
• Tout le contenu de Microsoft Update est disponible pour toutes les solutions de gestions des correctifs.
• System Center Configuration Manager 2007 et System Center Essentials disposeront d’outils de création et de publications de mises à jour “tierces”.
• WSUS ne fournit pas le support à la publication
85
Ressources WSUS • Page d’accueil
http://www.microsoft.com/windowsserversystem/updateservices
• WSUS Community http://www.microsoft.com/windowsserversystem/updateservices/community/default.mspx– Team Blogs, MVPs, Forums, Newsgroups, Webcasts, Wiki
• Tools and API Samples http://www.microsoft.com/windowsserversystem/updateservices/downloads/default.mspx
86
Questions / Réponses
87
Questions / Réponses
88
Microsoft France18, avenue du Québec
91 957 Courtaboeuf Cedex
www.microsoft.com/france
0 825 827 829