Get documents about "Gestion des mises � jour de s�curit�
Document Sample
Gestion des mises à jour de
sécurité
Cyril VOISIN
Chef de programme
Sécurité
Microsoft France
Sommaire
Partie 1 : introduction et rappels
Partie 2 : Windows Update Services
(WUS, ex SUS 2.0)
Partie 3 : SMS 2003
Partie 4 : tableau de synthèse de
comparaison de SUS/WUS/SMS
Partie 1 : introduction
Rappels
Pas simplement des technos…
Les 3 facettes de la sécurité
Restauration
Kerberos
Architecture
sécurisée
Personnes
Utilisateur
Partie 2 : WUS
Windows Updates Services
(ex SUS 2.0)
Avertissement
Windows Update Services (WUS) n‟existe
pas encore en version finale (beta 2
seulement)
Certaines fonctionnalités décrites ici
pourraient changer d‟ici à la sortie du
produit
Objectifs de WUS (SUS 2.0)
Construire l‟infrastructure de base de la gestion
des mises à jour
Créer une solution facile d‟utilisation, néanmoins
complète, pour télécharger et distribuer des
mises à jour de produits Microsoft
Critiques ou non
Rapports centralisés
Garantie de l‟installation
Dépannage
Systèmes ou applications
Répondre aux demandes clients par rapport à la
version SUS 1.0 (qui ne prend en charge que les
mises à jour critiques ou sécurité de Windows)
Les fonctionnalités demandées par nos clients
Fonctionnalités demandées SUS 1.0 SP1 WUS
Support des Service Packs
Installation sur SBS et sur des contrôleurs de domaine
Support d‟Office et d‟autres produits Microsoft
Support d‟autres types de mises à jour
Désinstallation de mise à jour
Ciblage des mises à jour
Amélioration du support pour les réseaux bas débit
Réduction de la quantité de données à télécharger
Réglage de la fréquence de détection des mises à jour
Minimiser l‟interruption de l‟utilisateur
Déploiement d‟urgence d‟un correctif („gros bouton rouge‟) *
Déploiement de mises à jour d‟autres applications non
Microsoft
Support de NT4
*En partie possible via le réglage de la fréquence de détection et des scripts
Produits supportés
Client WUS
Windows
Windows 2000 SP3 +
Windows XP
Windows Server 2003 (SP1 mini pour versions 64 bits)
Office
Office XP SP2 et Office 2003
SQL Server
SQL 2000 et MSDE 2000
Exchange Server
Exchange Server 2003
A terme, plus de produits Microsoft
Server WUS
Windows 2000 Server SP4
Windows Server 2003 (32 bits)
Aperçu de la solution
Microsoft Update Serveur WUS
(utilise WUS)
Windows Update Services
Windows Update Services
<< Back
Back Finish
Finish Cancel
Cancel
Postes de travail (clients
WUS)
Groupe cible 1
Serveurs (clients WUS)
Administrateur WUS
Groupe cible 2
Les clients installent les àles mises différents de mises
met les auprès jour jour
L’administrateur approuvemisesààjouràapprouvées par Update
Les clients s’enregistrentmises du catégoriesgroupes à jour
Le serveur téléchargeles clients dansserveur Microsoft cibles
souscrit certaines depuis
l’administrateur
WUS
Notions fondamentales
Client Mises à jour automatiques
Groupe cible
Abonnement
Approbation de mise à jour
Rapports
Client Mises à jour
automatiques (AutoUpdate)
Principe :
se connecte à Windows
Update, Microsoft Update
ou un serveur WUS pour
maintenir la machine à jour
Mode pull
Nouvelle version dans
Windows XP Service
Pack 2 (permet
l‟installation avant arrêt)
Disponible pour
Windows Server 2003
Windows 2000 SP3
Windows XP SP1
Possibilité de mise à jour
silencieuse du client à
partir du serveur WUS
Configuration des clients
Par stratégie de groupe ou par
registre
Configurer les Mises à jour
automatiques (AutoUpdate) en
spécifiant un serveur intranet
de Mise à jour Microsoft
Modes d‟installation :
Notifier avant
téléchargement/installation
Télécharger puis notifier pour
installation
Télécharger et installer
automatiquement selon la
planification
Autoriser les administrateurs
locaux à choisir le mode de
configuration (sans pouvoir
désactiver AutoUpdate)
Configuration des clients
Fréquence de détection Pas de redémarrage planifié
configurable (du client vers le (pour laisser l‟utilisateur
serveur) : redémarrer quand il le veut)
22 heures par défaut; Replanifier les installations
minimum 1 heure (charge sur planifiées (ex : 5 min après
le serveur) redémarrage)
La durée réelle entre deux Autoriser l‟installation
détections sera déterminée
aléatoirement entre 80% et immédiate des mises à jour
100% de la durée paramétrée automatiques
Délai de redémarrage et Ciblage
intervalle avant nouvelle Notifie l‟utilisateur si
demande de redémarrage (si redémarrage nécessaire
redémarrage repoussé)
Notification pour les non
administrateurs (en fonction du
mode d‟installation)
Groupes cibles
Utilité : cibler des mises à jour sur des machines
spécifiques
Groupe cible de test
Groupe cible de production
Deux types de ciblage
Côté serveur
L‟administrateur WUS gère l‟appartenance aux groupes
depuis le site d‟administration (listes sur le serveur)
Côté client
Appartenance gérée automatiquement
En utilisant des stratégies de groupe (même groupe pour toutes
les machines d‟une même UO d‟Active Directory)
En utilisant le registre
Abonnements (subscriptions)
Permet de choisir quelles mises à jour
télécharger et quand
Produit / Type de mise à jour (sécu, SP,FP,
pilote,etc…)
En fait une mise à jour est composée de deux
éléments
Un correctif
Les méta données décrivant le correctif
Par défaut :
seules les méta données sont téléchargées (catalogue)
les correctifs sont téléchargés s‟ils sont approuvés (contenu)
Exemples d‟abonnements
Quotidiens pour les mises à jour critiques
Hebdomadaires pour les mises à jour recommandées
Approbation de mise à jour
Vérification avant déploiement (détection)
Évalue l‟impact d‟une mise à jour sur le réseau
avant qu‟elle ne soit déployée
Au niveau de l‟approbation d‟une mise à jour, choisir
l‟action Detect
Après un cycle de détection des clients, la rubrique
Status de la mise à jour indique le nombre de
machines qui nécessitent la mise à jour
Installation lors de la prochaine date planifiée
Installation avec date butoir
Désinstallation (nécessite que la mise à jour le
supporte)
Approbation automatique ?
Par défaut, « détection » automatique pour
Les mises à jour critiques et de sécurité
Tous les groupes cibles
Par défaut, aucune approbation
automatique pour l‟installation
On pourrait choisir des types de mises à jour,
et des groupes cibles
En cas de révision d‟une mise à jour, la
nouvelle version obtient le même niveau
d‟approbation que l‟ancienne (désactivable
pour effectuer un choix manuel)
Rapports
Rapport standard consolidé (activités
clients)
Par machine / par mise à jour / par groupe
cible
Succès et échecs des téléchargements et
installations avec les détails sur les erreurs
Rapport sur les synchros
Nouveautés, changements
démo
Installation avec date butoir
Notions
complémentaires
Communications
Options de déploiement
des serveurs WUS
Stockage
Sécurité
Flexibilité
Communications
Configuration des paramètres de proxy
Faible utilisation de la bande passante
BITS pour les téléchargements client-serveur
et serveur-serveur
Mise à jour par “abonnement” (par produit/par
type)
Support des technologies “delta compression”
Téléchargement dissocié des correctifs et de
leurs méta données
Options de déploiement des
serveurs
Déploiement hiérarchique
Serveurs indépendants
Serveurs non connectés à Internet
Serveurs WUS
Microsoft Update
Serveur Serveur WUS
WUS
Postes de Postes de
travail Clients travail Clients
Serveurs non connectés
Microsoft Update Serveur WUS
Serveur WUS
Importation et exportation
manuelles
Postes de
travail Clients
Stockage
Base de données pour gérer tout ce qui n‟est
pas contenu
Prise en compte des dépendances entre les
mises à jour
MSDE vs SQL Server
MSDE a une limite de 2Go
Mises à jour hébergées sur Microsoft Update
(WUS sert alors seulement de point de contrôle)
ou en local
Filtrage de contenu
Ne garder que les plateformes et langues dont vous
avez besoin
Dimensionnement
Prévoir une croissance annuelle x nb de langues
Sécurité, flexibilité
Sur le client et sur le serveur
Vérification de signature des contenus téléchargés
Permissions sur les contenus téléchargés
Changement des ports
Sauf pour contacter MU
Infrastructure et plateforme
Option en ligne de commande pour déclencher une
détection côté client : wuauclt.exe /detectnow
API du client en COM exécutables à distance et
scriptables
API du serveur basées sur .Net Framework
Exemple de script
Le serveur et le client exposent tous les deux des
API scriptables
Dim update, i Détection
set AutoUpdate = CreateObject("Microsoft.Update.AutoUpdate")
Autoupdate.DetectNow()
set UpdateSession = CreateObject("Microsoft.Update.Session")
set UpdateSearcher = UpdateSession.CreateUpdateSearcher()
set SearchResult= UpdateSearcher.Search("")
set Updates = SearchResult.Updates
set UpdatesToInstall =
CreateObject("Microsoft.Update.UpdateColl")
For i = 0 to (Updates.Count-1)
UpdatesToInstall.Add(Updates.Item(i)) Approbation
Next
set Installer = UpdateSession.CreateUpdateInstaller()
Installer.Updates = UpdatesToInstall
set InstallationResult = Installer.Install() Installation
Scénario : mise à jour
de serveurs avec WUS
Mises à jour de serveurs
Suggestions
Définir des groupes cibles (GPO ou
interface d‟administration WUS)
Configurer les clients Mises à jour
automatiques (GPO ou registre)
Installation auto ou notification avant
installation
Si notification, ouverture de session ou script
pour installation
Mises à jour de serveurs
Suggestions
Pour les serveurs avec des fenêtres de
maintenance, configurer les Mises à jour
automatiques pour une installation
planifiée durant la fenêtre
Pour les serveurs sans créneaux de
maintenance :
Configurer les Mises à jour automatiques pour
notifier avant l‟installation
Ouvrir une session sur le serveur ou utiliser
les API pour effectuer l‟installation lorsque
c‟est nécessaire
Mises à jour de serveurs
Suggestions
Datacenters
Utiliser les stratégies BITS pour limiter la
bande passante et les fenêtres de
téléchargement
Configurer les Mises à jour automatiques pour
notifier avant l‟installation
Utiliser les API pour effectuer l‟installation
lorsque c‟est nécessaire
Clusters
Scripter la mise à jour nœud après noeud
Partie 3 : SMS 2003
Systems Management
Server 2003
Fonctionnalités et logicielles
Gestion des ressources matérielles
CPU RAM OS
P III 350 MHz 128 MB Windows NT 4 SP6
P III 700 MHz 128 MB Windows 2000
P IV 1 GHz 256 MB Windows XP SP1
ARM 300 MHz 64 MB PPC 2003
Découverte Inventaire Reporting
Gestion du cycle de vie des applications
et des correctifs de sécurité
Packaging Distribution Installation Suivi utilisation
Télé-Assistance
SMS 2003 et correctifs de
sécurité
1. Téléchargement et installation des
Microsoft
Download Center
Architecture
outils d’analyse pour Windows
(MBSACLI.EXE) et Office
2. Téléchargement régulier du
référentiel (MSSECURE.XML)
3. Inventaire des clients et
intégration avec les données
d’inventaire matériel SMS
Point de distribution SMS
4. Utilisation de l’assistant Distribute Software
Updates pour déclencher l’installation des Clients SMS
mises à jour sélectionnées
5. Téléchargement des fichiers; création/mise
à jour des packages, programmes &
Point de distribution SMS
annonces; réplication des packages &
publication des programmes vers les clients
SMS
6. Installation des mises à jour par Clients SMS
l’agent SMS
7. De manière périodique: synchronisation de
nouvelles mises à jour; analyse des
clients; déploiement des mises à jour Clients SMS
nécessaires
SMS 2003 et correctifs de
sécurité Windows 2003, XP, 2000 et de NT 4.0 (et
Support de
Architecture
des périphériques mobiles)
Utilisation de l‟infrastructure de télédistribution en
place pour déployer MBSACLI 1.2
Exécution automatique d‟une tâche récurrente permettant
de déterminer quelles sont les mises à jour nécessaires
pour chaque machine
Les informations sont collectées par les mécanismes
standard d‟inventaire et transmises dans le référentiel
de SMS
Création de rapports permettant d‟analyser les
informations d‟inventaire
SMS 2003 et correctifs de
sécurité
Composants
Security Update Inventory Tool
Office Update Inventory Tool
Distribute Software Updates Wizard
Security Update Inventory Tool
Objectif: Déterminer quels sont les correctifs
présents et nécessaires pour les environnements
Windows NT 4.0, 2000, XP et 2003
IE 5.x et 6.x
IIS 4.0, 5.0 et 6.0
Exchange Server 2000 et 2003
MDAC 2.5, 2.6, 2.7, et 2.8
MSXML 2.5, 2.6, 3.0, et 4.0
BizTalk Server 2000, 2002, et 2004
Commerce Server 2000 et 2002
Content Management Server 2001 et 2002
Host Integration Server 2000, 2004, SNA Server 4.0
Liste des exceptions:
Microsoft Baseline Security Analyzer (MBSA) returns note
messages for some updates
http://support.microsoft.com/default.aspx?scid=kb;en-us;306460
Security Update Inventory Tool
Permet de créer dans SMS les lots permettant de
Télécharger automatiquement la liste des correctifs de
sécurité
D‟installer et exécuter, à intervalles de temps réguliers,
MBSACli.exe sur les postes clients
Enrichit l‟inventaire avec
Le numéro du bulletin de sécurité, le numéro de l‟article
technique, le titre, …
Etat (Installé, Applicable)
L‟URL du site où peut être obtenue la mise à jour
S‟intègre avec le module de reporting
Security Update Inventory Tool
Office Update Inventory Tool
Objectif : Déterminer quels sont les correctifs Office
applicables
Office 2000
Office XP
Office Update Inventory Tool
Permet de créer dans SMS les lots permettant de
Télécharger automatiquement la liste des correctifs
D‟installer et exécuter, à intervalles de temps réguliers,
l‟outil « Office Update Inventory Tool » sur les postes
clients
Enrichit l‟inventaire avec
Le numéro du bulletin de sécurité, le numéro de l‟article
technique, le titre, …
Etat (Installé, Applicable)
L‟URL du site où peut être obtenue la mise à jour
S‟intègre avec le module de reporting
Distribute Software Updates
Wizard
Distribute Software Updates Wizard
Distribute Software Updates Wizard
Distribute Software Updates Wizard
Distribute Software Updates Wizard
Objectif : Automatiser le déploiement des mises à
jour manquantes sur les postes clients
Fonctionnement
S‟appuie sur l‟inventaire remonté par les outils d‟inventaire
Il est aussi possible de déployer des mises à jour
directement avec le SP1
Recherche des correctifs manquants, sélection des
correctifs
Téléchargement des correctifs depuis Microsoft.com
Création automatique du Lot de l‟Annonce et du
Programme
Distribute Software Updates Wizard
Fonctionnalités
Un assistant intégré à la sécurité et à la console
d‟administration de SMS permettant de
Visualiser les mises à jour nécessaires et gérer les
priorités
Récupérer et autoriser les mises à jour
Tester les mises à jour en environnement pilote
Définir le contenu des lots
Contrôler l‟expérience et les scénarios utilisateurs
SMS 2003 et correctifs de
sécurité privilégiée des zones de notification et des
Utilisation
Installation des mises à jour
ballons
Des détails supplémentaires sont disponibles pour
les utilisateurs intéressés
Possibilité d‟utiliser des textes et graphiques
spécifiques afin de mettre en exergue certaines
mises à jour
Support des installations en mode automatique ou
silencieux
Politique d‟installation souple variant entre
« installation obligatoire et immédiate » et
« installation facultative »
Détermination automatique du nombre optimum de
démarrages
SMS 2003 et correctifs de
sécurité
Interface cliente
SMS 2003 et correctifs de
sécurité
Interface cliente
SMS 2003 et correctifs de
sécurité
Conformité du parc
SMS 2003 et correctifs de
sécurité
Conformité du parc
Partie 4 : synthèse
Comparaison
SUS/WUS/SMS
Choisir une solution de gestion des
correctifs
Client Scénario Choix
Besoin d'une solution unique et flexible de gestion
des mises à jour avec un niveau élevé de contrôle et
de distribution pour TOUTES les versions de SMS 2003
Windows et d'applications, ainsi qu'une solution de
Grande ou gestion du parc intégré
moyenne
entreprise Besoin seulement d'une solution de mise à jour
simple pour les produits Microsoft, et dans un
premier temps Windows (2000 et ultérieur), Office WUS*
(2003 & XP), Exchange 2003, SQL Server 2000 et
MSDE 2000
Au moins un serveur et un administrateur WUS*
Petite
entreprise Tous les autres scénarios
Microsoft
Update*
Microsoft
Consommateur Tous les scénarios
Update*
*utilisation de Windows Update, d'un autre outil de mise à jour ou mise à jour manuelle pour les systèmes et applications non supportés
par WUS ou Microsoft Update
Comparaison de MU, WUS et SMS 2003
Capacité Microsoft Update WUS SMS 2003
Logiciels et contenus supportés
Win2K, WS2003, WinXP Pro,
Idem WUS + NT 4.0 & Win98 + peut
Logiciels supportés Pareil que WUS + WinXP Office 2003, Office XP,
mettre à jour n’importe quel
pour le contenu édition familiale Exchange 2003, SQL Server
logiciel fonctionnant sur Windows
2000, MSDE
Toutes les mises à jour de Toutes les mises à jour de
Toutes les mises à jour de
logiciels, mises à jour logiciels, Service Packs & Feature
Types de contenu logiciels, mises à jour critiques
critiques de pilotes, Packs
supportés de pilotes, Service Packs &
Service Packs & Feature + support la mise à jour et
Feature Packs
Packs l’installation d’appli Windows
Capacités de gestion des mises à jour
Ciblage de contenu à
N/A Simple Avancé
certains systèmes
Optimisation de la
Oui Oui Oui
bande passante réseau
Contrôle de la
distribution des N/A Simple Avancé
correctifs
Installation de correctif
Manuelle & contrôlée par
& flexibilité de la Simple Avancé
l’utilisateur final
planification
Erreurs d’installation
Rapport sur les rapportées à l’utilisateur.
installations de Liste les mises à jour Simple Avancé
correctifs manquantes pour la
machine connectée
Planification du
N/A Simple Avancé
déploiement
Gestion de l’inventaire N/A Non Oui
Ressources
Site sécurité :
http://www.microsoft.com/france/securite
Gestion des mises à jour de sécurité :
http://www.microsoft.com/france/technet/securite/gestion
maj/default.asp
Site WUS (en anglais) :
http://www.microsoft.com/windowsserversystem/sus/wus
beta.mspx
Site SMS :
http://www.microsoft.com/france/sysmans/default.mspx
Gestion des correctifs de sécurité avec SMS :
http://www.microsoft.com/france/sysmans/decouvrez/patc
h.mspx
MBSA
http://www.microsoft.com/downloads/details.aspx?Family
ID=8b7a580d-0c91-45b7-91ba-
fc47f7c3d6ad&displaylang=fr
BACKUP
Installation à l‟arrêt (XP SP2)
Profiter de l‟arrêt de la machine pour la
maintenir à jour
Contrôlé par stratégie de groupe
Divers
Disponible en 25 langues pour le client, 17
langues pour le serveur
Support de la delta compression
Mise à jour automatique du client
AutoUpdate (= selfupdate)
Pré-installation (selfupdate)
