1 / 65

Gestion des mises à jour de sécurité

Gestion des mises à jour de sécurité. Cyril VOISIN Chef de programme Sécurité Microsoft France. Sommaire. Partie 1 : introduction et rappels Partie 2 : Windows Update Services (WUS, ex SUS 2.0) Partie 3 : SMS 2003 Partie 4 : tableau de synthèse de comparaison de SUS/WUS/SMS.

lis
Download Presentation

Gestion des mises à jour de sécurité

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Gestion des mises à jour de sécurité Cyril VOISIN Chef de programme Sécurité Microsoft France

  2. Sommaire • Partie 1 : introduction et rappels • Partie 2 : Windows Update Services (WUS, ex SUS 2.0) • Partie 3 : SMS 2003 • Partie 4 : tableau de synthèse de comparaison de SUS/WUS/SMS

  3. Partie 1 : introduction Rappels

  4. Pas simplement des technos…

  5. Restauration MOM Archivage Correctifs Windows 2000/XP/2003 Clusters Politiqued’accès ISA Sauvegarde Service Packs Installation Microsoft Operations Framework Gestion desévénements IPSEC Active Directory Détection d’intrusion Réparation PKI Gestion desperfs Antivirus Kerberos DFS Processus Evaluation de risques Technologies Gestion du Changement /de la Configuration SSL/TLS SMS Détection Protection GPO EFS Gestion Personnes Réponse à Incident Défense Récupération Admin. de l’Entreprise Admin. Du Domaine Service/ Support Développeur Utilisateur Les 3 facettes de la sécurité Architecturesécurisée

  6. Partie 2 : WUS Windows Updates Services (ex SUS 2.0)

  7. Avertissement • Windows Update Services (WUS) n’existe pas encore en version finale (beta 2 seulement) • Certaines fonctionnalités décrites ici pourraient changer d’ici à la sortie du produit

  8. Objectifs de WUS (SUS 2.0) • Construire l’infrastructure de base de la gestion des mises à jour • Créer une solution facile d’utilisation, néanmoins complète, pour télécharger et distribuer des mises à jour de produits Microsoft • Critiques ou non • Rapports centralisés • Garantie de l’installation • Dépannage • Systèmes ou applications • Répondre aux demandes clients par rapport à la version SUS 1.0 (qui ne prend en charge que les mises à jour critiques ou sécurité de Windows)

  9. Les fonctionnalités demandées par nos clients *En partie possible via le réglage de la fréquence de détection et des scripts

  10. Produits supportés • Client WUS • Windows • Windows 2000 SP3 + • Windows XP • Windows Server 2003 (SP1 mini pour versions 64 bits) • Office • Office XP SP2 et Office 2003 • SQL Server • SQL 2000 et MSDE 2000 • Exchange Server • Exchange Server 2003 • A terme, plus de produits Microsoft • Server WUS • Windows 2000 Server SP4 • Windows Server 2003 (32 bits)

  11. Aperçu de la solution Microsoft Update(utilise WUS) Serveur WUS Postes de travail (clients WUS) Groupe cible 1 Serveurs (clients WUS)Groupe cible 2 Administrateur WUS L’administrateur approuve les mises à jour L’administrateur met les clients dans différents groupes cibles L’administrateur souscrit à certaines catégories de mises à jour Le serveur télécharge les mises à jour depuis Microsoft Update Les clients s’enregistrent auprès du serveur Les clients installent les mises à jour approuvées par l’administrateur

  12. WUSNotions fondamentales Client Mises à jour automatiques Groupe cible Abonnement Approbation de mise à jour Rapports

  13. Principe : se connecte à Windows Update, Microsoft Update ou un serveur WUS pour maintenir la machine à jour Mode pull Nouvelle version dans Windows XP Service Pack 2 (permet l’installation avant arrêt) Disponible pour Windows Server 2003 Windows 2000 SP3 Windows XP SP1 Possibilité de mise à jour silencieuse du client à partir du serveur WUS Client Mises à jour automatiques (AutoUpdate)

  14. Par stratégie de groupe ou par registre Configurer les Mises à jour automatiques (AutoUpdate) en spécifiant un serveur intranet de Mise à jour Microsoft Modes d’installation : Notifier avant téléchargement/installation Télécharger puis notifier pour installation Télécharger et installer automatiquement selon la planification Autoriser les administrateurs locaux à choisir le mode de configuration (sans pouvoir désactiver AutoUpdate) Configuration des clients

  15. Fréquence de détection configurable (du client vers le serveur) : 22 heures par défaut; minimum 1 heure (charge sur le serveur) La durée réelle entre deux détections sera déterminée aléatoirement entre 80% et 100% de la durée paramétrée Délai de redémarrage et intervalle avant nouvelle demande de redémarrage (si redémarrage repoussé) Notification pour les non administrateurs (en fonction du mode d’installation) Pas de redémarrage planifié (pour laisser l’utilisateur redémarrer quand il le veut) Replanifier les installations planifiées (ex : 5 min après redémarrage) Autoriser l’installation immédiate des mises à jour automatiques Ciblage Notifie l’utilisateur si redémarrage nécessaire Configuration des clients

  16. Groupes cibles • Utilité : cibler des mises à jour sur des machines spécifiques • Groupe cible de test • Groupe cible de production • Deux types de ciblage • Côté serveur • L’administrateur WUS gère l’appartenance aux groupes depuis le site d’administration (listes sur le serveur) • Côté client • Appartenance gérée automatiquement • En utilisant des stratégies de groupe (même groupe pour toutes les machines d’une même UO d’Active Directory) • En utilisant le registre

  17. Abonnements (subscriptions) • Permet de choisir quelles mises à jour télécharger et quand • Produit / Type de mise à jour (sécu, SP,FP, pilote,etc…) • En fait une mise à jour est composée de deux éléments • Un correctif • Les méta données décrivant le correctif • Par défaut : • seules les méta données sont téléchargées (catalogue) • les correctifs sont téléchargés s’ils sont approuvés (contenu) • Exemples d’abonnements • Quotidiens pour les mises à jour critiques • Hebdomadaires pour les mises à jour recommandées

  18. Approbation de mise à jour • Vérification avant déploiement (détection)Évalue l’impact d’une mise à jour sur le réseau avant qu’elle ne soit déployée • Au niveau de l’approbation d’une mise à jour, choisir l’action Detect • Après un cycle de détection des clients, la rubrique Status de la mise à jour indique le nombre de machines qui nécessitent la mise à jour • Installation lors de la prochaine date planifiée • Installation avec date butoir • Désinstallation (nécessite que la mise à jour le supporte)

  19. Approbation automatique ? • Par défaut, « détection » automatique pour • Les mises à jour critiques et de sécurité • Tous les groupes cibles • Par défaut, aucune approbation automatique pour l’installation • On pourrait choisir des types de mises à jour, et des groupes cibles • En cas de révision d’une mise à jour, la nouvelle version obtient le même niveau d’approbation que l’ancienne (désactivable pour effectuer un choix manuel)

  20. Rapports • Rapport standard consolidé (activités clients) • Par machine / par mise à jour / par groupe cible • Succès et échecs des téléchargements et installations avec les détails sur les erreurs • Rapport sur les synchros • Nouveautés, changements

  21. démo

  22. Installation avec date butoir

  23. Notions complémentaires Communications Options de déploiement des serveurs WUS Stockage Sécurité Flexibilité

  24. Communications • Configuration des paramètres de proxy • Faible utilisation de la bande passante • BITS pour les téléchargements client-serveur et serveur-serveur • Mise à jour par “abonnement” (par produit/par type) • Support des technologies “delta compression” • Téléchargement dissocié des correctifs et de leurs méta données

  25. Options de déploiement des serveurs • Déploiement hiérarchique • Serveurs indépendants • Serveurs non connectés à Internet

  26. Postes de travail Clients Postes de travail Clients Serveurs WUS Microsoft Update Serveur WUS Serveur WUS

  27. Postes de travail Clients Serveurs non connectés Microsoft Update Serveur WUS Serveur WUS Importation et exportationmanuelles

  28. Stockage • Base de données pour gérer tout ce qui n’est pas contenu • Prise en compte des dépendances entre les mises à jour • MSDE vs SQL Server • MSDE a une limite de 2Go • Mises à jour hébergées sur Microsoft Update (WUS sert alors seulement de point de contrôle) ou en local • Filtrage de contenu • Ne garder que les plateformes et langues dont vous avez besoin • Dimensionnement • Prévoir une croissance annuelle x nb de langues

  29. Sécurité, flexibilité • Sur le client et sur le serveur • Vérification de signature des contenus téléchargés • Permissions sur les contenus téléchargés • Changement des ports • Sauf pour contacter MU • Infrastructure et plateforme • Option en ligne de commande pour déclencher une détection côté client : wuauclt.exe /detectnow • API du client en COM exécutables à distance et scriptables • API du serveur basées sur .Net Framework

  30. Exemple de script • Le serveur et le client exposent tous les deux des API scriptables Dim update, i set AutoUpdate = CreateObject("Microsoft.Update.AutoUpdate") Autoupdate.DetectNow() set UpdateSession = CreateObject("Microsoft.Update.Session") set UpdateSearcher = UpdateSession.CreateUpdateSearcher() set SearchResult= UpdateSearcher.Search("") set Updates = SearchResult.Updates set UpdatesToInstall = CreateObject("Microsoft.Update.UpdateColl") For i = 0 to (Updates.Count-1) UpdatesToInstall.Add(Updates.Item(i)) Next set Installer = UpdateSession.CreateUpdateInstaller() Installer.Updates = UpdatesToInstall set InstallationResult = Installer.Install() Détection Approbation Installation

  31. Scénario : mise à jour de serveurs avec WUS

  32. Mises à jour de serveursSuggestions • Définir des groupes cibles (GPO ou interface d’administration WUS) • Configurer les clients Mises à jour automatiques (GPO ou registre) • Installation auto ou notification avant installation • Si notification, ouverture de session ou script pour installation

  33. Mises à jour de serveursSuggestions • Pour les serveurs avec des fenêtres de maintenance, configurer les Mises à jour automatiques pour une installation planifiée durant la fenêtre • Pour les serveurs sans créneaux de maintenance : • Configurer les Mises à jour automatiques pour notifier avant l’installation • Ouvrir une session sur le serveur ou utiliser les API pour effectuer l’installation lorsque c’est nécessaire

  34. Mises à jour de serveursSuggestions • Datacenters • Utiliser les stratégies BITS pour limiter la bande passante et les fenêtres de téléchargement • Configurer les Mises à jour automatiques pour notifier avant l’installation • Utiliser les API pour effectuer l’installation lorsque c’est nécessaire • Clusters • Scripter la mise à jour nœud après noeud

  35. Partie 3 : SMS 2003 Systems Management Server 2003

  36. Gestion des ressources matérielles et logicielles CPU RAM OS P III 350 MHz 128 MB Windows NT 4 SP6 P III 700 MHz 128 MB Windows 2000 P IV 1 GHz 256 MB Windows XP SP1 ARM 300 MHz 64 MB PPC 2003 Découverte Inventaire Reporting Gestion du cycle de vie des applicationset des correctifs de sécurité Packaging Distribution Installation Suivi utilisation Télé-Assistance Fonctionnalités

  37. SMS 2003 et correctifs de sécuritéArchitecture MicrosoftDownload Center • Téléchargement et installation des outils d’analyse pour Windows (MBSACLI.EXE) et Office Internet • Téléchargement régulier du référentiel (MSSECURE.XML) Intranet • Inventaire des clients et intégration avec les données d’inventaire matériel SMS Point de distribution SMS • Utilisation de l’assistant Distribute Software Updates pour déclencher l’installation des mises à jour sélectionnées Clients SMS • Téléchargement des fichiers; création/mise à jour des packages, programmes & annonces; réplication des packages & publication des programmes vers les clients SMS Point de distribution SMS • Installation des mises à jour par l’agent SMS Clients SMS • De manière périodique: synchronisation de nouvelles mises à jour; analyse des clients; déploiement des mises à jour nécessaires Clients SMS

  38. SMS 2003 et correctifs de sécuritéArchitecture • Support de Windows 2003, XP, 2000 et de NT 4.0 (et des périphériques mobiles) • Utilisation de l’infrastructure de télédistribution en place pour déployer MBSACLI 1.2 • Exécution automatique d’une tâche récurrente permettant de déterminer quelles sont les mises à jour nécessaires pour chaque machine • Les informations sont collectées par les mécanismes standard d’inventaire et transmises dans le référentiel de SMS • Création de rapports permettant d’analyser les informations d’inventaire

  39. SMS 2003 et correctifs de sécuritéComposants • Security Update Inventory Tool • Office Update Inventory Tool • Distribute Software Updates Wizard

  40. Security Update Inventory Tool • Objectif: Déterminer quels sont les correctifs présents et nécessaires pour les environnements • Windows NT 4.0, 2000, XP et 2003 • IE 5.x et 6.x • IIS 4.0, 5.0 et 6.0 • Exchange Server 2000 et 2003 • MDAC 2.5, 2.6, 2.7, et 2.8 • MSXML 2.5, 2.6, 3.0, et 4.0 • BizTalk Server 2000, 2002, et 2004 • Commerce Server 2000 et 2002 • Content Management Server 2001 et 2002 • Host Integration Server 2000, 2004, SNA Server 4.0 • Liste des exceptions: • Microsoft Baseline Security Analyzer (MBSA) returns note messages for some updateshttp://support.microsoft.com/default.aspx?scid=kb;en-us;306460

  41. Security Update Inventory Tool • Permet de créer dans SMS les lots permettant de • Télécharger automatiquement la liste des correctifs de sécurité • D’installer et exécuter, à intervalles de temps réguliers, MBSACli.exe sur les postes clients • Enrichit l’inventaire avec • Le numéro du bulletin de sécurité, le numéro de l’article technique, le titre, … • Etat (Installé, Applicable) • L’URL du site où peut être obtenue la mise à jour • S’intègre avec le module de reporting

  42. Security Update Inventory Tool

  43. Office Update Inventory Tool • Objectif : Déterminer quels sont les correctifs Office applicables • Office 2000 • Office XP

  44. Office Update Inventory Tool • Permet de créer dans SMS les lots permettant de • Télécharger automatiquement la liste des correctifs • D’installer et exécuter, à intervalles de temps réguliers, l’outil « Office Update Inventory Tool »sur les postes clients • Enrichit l’inventaire avec • Le numéro du bulletin de sécurité, le numéro de l’article technique, le titre, … • Etat (Installé, Applicable) • L’URL du site où peut être obtenue la mise à jour • S’intègre avec le module de reporting

  45. Distribute Software Updates Wizard

  46. Distribute Software Updates Wizard

  47. Distribute Software Updates Wizard

  48. Distribute Software Updates Wizard

  49. Distribute Software Updates Wizard • Objectif : Automatiser le déploiement des mises à jour manquantes sur les postes clients • Fonctionnement • S’appuie sur l’inventaire remonté par les outils d’inventaire • Il est aussi possible de déployer des mises à jour directement avec le SP1 • Recherche des correctifs manquants, sélection des correctifs • Téléchargement des correctifs depuis Microsoft.com • Création automatique du Lot de l’Annonce et du Programme

More Related