930 likes | 1.19k Views
Déployer les correctifs et maintenir son parc informatique à jour avec. 3.0. Qu’est ce que ?. Un site Web très orienté technique http://www.microsoft.com/france/technet/default.mspx Une newsletter personnalisable
E N D
Déployer les correctifs et maintenir son parc informatique à jour avec 3.0
Qu’est ce que ? • Un site Web très orienté technique • http://www.microsoft.com/france/technet/default.mspx • Une newsletter personnalisable • http://www.microsoft.com/france/technet/presentation/flash/default.mspx • Des séminaires techniques toute l’année, partout en France • http://www.microsoft.com/france/technet/seminaires/seminaires.mspx • Des webcasts et e-démos accessibles à tout instant • http://www.microsoft.com/france/technet/seminaires/webcasts.mspx • Un abonnement • http://www.microsoft.com/france/technet/presentation/cd/default.mspx
Logistique Vos questions sont les bienvenues. N’hésitez pas ! Pause en milieu de session Feuille d’évaluation à remettre remplie en fin de session Merci d’éteindre vos téléphones Commodités
Objectif du séminaire Quelles sont les nouveautés de la version 3.0 et comment déployer ou migrer vers WSUS 3.0 ?
Agenda • Introduction • Les basiques de WSUS 3.0 • Mettre à niveau vers WSUS 3.0 • Déployer des mises à jour • Maintenir WSUS • Conclusion et Questions & Réponses
Vie et mort d’une vulnérabilité… Les attaques se produisent majoritairement ici La plupart des exploits sont conçues après la mise à disposition du correctif Vulnérabilité théorique Vulnérabilité à une attaque générale Mesure traditionnelle de la vulnérabilité Modulo cycle depublication mensuel Test, intégration et déploiement Ignorance Signalement Vulnérabilité publique Correctif déployé chez les clients Produit installé Vulnérabilité découverte Composant corrigé Correctif publié
18 Sasser Nombre de jours entre le correctif et l’exploitation 331 180 151 25 SQLSlammer Nimda Blaster Welchia/ Nachi Constats à la suite des vers Blaster et Sasser • Prolifération des correctifs • Temps avant exploitation en baisse • Exploitations plussophistiquée • L’approche classique n’est pas suffisante Le nombre de jours entre la sortie du correctif et l’exploitation de la vulnérabilité a tellement diminué (hors cas des zero-days exploits) que la seule solution défense restant aux entreprises consiste à appliquer les correctifs.
La gestion des correctifs : un problème de l’industrie du logiciel Tous les acteurs sont concernés !!
Cohérentset répétitifs Produits,outils etautomatisation Compétences,rôles etresponsabilités Gestionréussiedescorrectifs Processus Personnes Technologies
Processus de gestion des correctifs 1. Évaluerl'environnementauquel les correctifsdoivent être appliqués A.Créer/teniràjourdessystèmesderéférence B.Évaluerl'architecturedegestion descorrectifs C.Passerenrevuel'infrastructure/laconfiguration 2.Identifierdenouveauxcorrectifs A.Identifierdenouveauxcorrectifs B.Déterminerlapertinencedescorrectifs C.Vérifierl'authenticitéetl'intégritédescorrectifs 1. Analyser 2.Identifier 3.Évaluer les correctifsetplanifierleur déploiement A.Obtenirl'approbationnécessairepourdéployer B.Évaluerlesrisques C.Testerles correctifs D.Planifierlapublication 4.Déployerlecorrectif A.Distribueretinstallerlecorrectif B.Rédigerunrapportsurl'avancement C.Traiterlesexceptions D.Passerenrevueledéploiement 3.Évaluer etplanifier 4.Déployer Le processus de gestion des correctifs en entreprise : méthodes recommandées
Guides Microsoft de gestion des risques et des correctifs • Guide de gestion des risques de sécurité • Introduction au guide de gestion des risques de sécurité • Étude des pratiques de gestion des risques de sécurité • Présentation de la gestion des risques de sécurité • Évaluation des risques • Aide à la décision • Mise en place de contrôles et mesure de l'efficacité du programme http://www.microsoft.com/france/technet/securite/guidance/default.mspx • Guide de gestion des correctifs • Phase 1 – Analyse • Phase 2 – Identification • Phase 3 - Évaluation et planification • Phase 4 – Déploiement http://www.microsoft.com/france/securite/it/dossiers/correctifs/default.mspx
Gestion des mises à jourQuelles solutions ? Grandes Entreprises Petites et Moyennes Entreprise A la maison Microsoft Update Microsoft Baseline Security Analyzer 2.1
Windows Software Update Services • Offre d’entreprise de gestion des mises à jour • Solution gratuite complète pour télécharger et distribuer des mises à jour de produits Microsoft • Pas de coût licences Windows Server (2000 et ultérieur) • Nécessite une licence Windows Server / CAL pour les systèmes cibles • Délivrer une solution totalement fonctionnelle permettant de répondre au besoin de gestion de mises à jour des produits • Automatiser le plus possible le processus de mises à jour • Supporter l’ensemble des produits Microsoft • A destination de l’administrateur mais aussi de l’IT généraliste • Fin de support de SUS 1.0 : 10/07/2007 • cf http://support.microsoft.com/kb/905682
WSUS - Aperçu de l’architecture Serveur WSUS Microsoft Update(utilise WSUS) Postes de travail (clients WSUS) Groupe cible 1 Serveurs (clients WSUS) Groupe cible 2 Administrateur WSUS L’administrateur approuve les mises à jour L’administrateur met les clients dans différents groupes cibles L’administrateur souscrit à certaines catégories de mises à jour Le serveur télécharge les mises à jour depuis Microsoft Update Les clients s’enregistrent auprès du serveur Les clients installent les mises à jour approuvées par l’administrateur
Adoption de WSUS 2.0 • Considéré par beaucoup comme l’une des meilleures solutions de gestion des correctifs • En un an (juin 2005 juin 2006)… • WSUS 2.0 a excédé le nombre de déploiement de SUS 1.0 • 260,000 serveurs WSUS se sont synchronisés avec Microsoft Update en Juin 2006 • SP1 disponible depuis juin 2006 • Support de SQL Server 2005 • Prise en charge de Windows Vista • Support multi langues de MS Office et Windows Vista • Version MSDE SP4 • Intégration avec Windows Small Business Server 2003 R2
Fonctionnalités : contrôle • Administrateur défini des groupes cibles • Utilisation des stratégies de groupe pour ce faire dans l’environnement AD • Au travers de l’interface d’administration de WSUS pour les environnement non AD • Administrateur contrôle les approbations • “Détection seulement” évaluation des machines qui nécessite l’application d’un patch • Approbation pour l’installation et la désinstallation (pas toujours possible) • Installation sur date butoir • Approbation par groupe cible: • Différentes mises à jour vers différents groupes cibles • Différentes dates butoirs par groupe cible • Différentes actions par groupe cible
Fonctionnalités : Configuration de l’ Agent • Configuration flexible de l’Agent • Fréquence de polling • Notification et type d’installation • “Comportement” vis-à-vis du reboot • Port configurable • Non-administrateurs peuvent installer des mises à jour (comme les administrateurs) • Installation à l’arrêt (Windows XP SP2, Windows Vista et Windows 2003 SP1 et +)
Fonctionnalités : Optimisation réseau • Résilient et transparent • BITS* pour téléchargement client-serveur et serveur-serveur • Téléchargements se font en fond de tache (background) • Téléchargement minimale des mises à jour • Souscriptions aux mises à jour – téléchargement des mises à jour pour les produits, classifications et langues cibles • Support de la technologie “delta compression” pour les communications • Option client-serveur pour téléchargement uniquement les mises à jour approuvées (« downloadon demand ») • Option pour télécharger uniquement le catalogue des mises à jour et la détection – binaires sur MU *Background Intelligent Transfer Service
Fonctionnalitésclésde WSUS Grille de comparaison *En partie possible via le réglage de la fréquence de détection et des scripts ** Si la mise à jour le permet
Les évolutions demandées… • Plus évolutifs et tolérances aux pannes • Pas de support du clustering NLB & SQL • UI ne permet pas de gérer un très grands nombres d’ordinateurs • Améliorer les rapports • Options de sauvegarde des rapports • Possibilité de centraliser les rapports • Ciblage plus flexible • Améliorations en regard de SUS 1.0, mais pas aussi pertinents que celui proposé par d’autres produits • Plus de contenu • Possibilité d’importer ces propres correctifs • Meilleurs support des drivers: pas uniquement les critiques • Scripting & APIs • Pas d’appel des APIs à distance • Scripting : oui mais…
Objectifs de WSUS 3.0 • Continuer à faire de WSUS une solution adoptée et appréciéepour l’environnement Windows • Adresser les besoins et demandes des utilisateurs • Améliorer l’infrastructure pour supporter de nouveaux scénarios en tenant compte des besoins de mises à jour des produits partenaires • SMS, etc. • Support du client Windows Vista et du serveur Windows Server 2008 (Beta 3)
Plateformessupportées par WSUS 3.0 • Support de toutes les languesd’OS Windows • CotéServeur(Support des systèmes x86 et x64) • Windows 2003 SP1 minimum • SQL Server 2005 SP1, SQL Server 2005 Embedded Edition • BITS 2.0, Windows Installer 3.1 • Internet Information Services (IIS) • .NET Framework 2.0 • MMC 3.0 • Microsoft Report Viewer Redistribuable 2005 • Coté Client (support de x86, X64 et IA 64) • Windows 2000 SP4, Windows XP SP1, Windows Vista • Windows Server 2003 minimum
Serveurs non connectés Microsoft Update Serveur WSUS Serveur WSUS Importation et exportationmanuelles • Postes de travail Clients
Le déploiement • WSUS 3.0 peut s’installer via une mise à jour d’un serveur 2.0 • Les serveurs WSUS 2.0 peuvent se synchroniser à partir d’un serveur WSUS 3.0 • Permet une migration descendante de la hiérarchie • Assistant de configuration post-installation • Améliorations dans la prise en charge des environnements distribués • Passage entre serveur Replica et Autonome sans réinstallation • Support d’un sous ensemble des langues disponible en amont sur les serveurs Replica • Les serveurs Replica peuvent synchroniser leurs meta-data d’un serveur WSUS amont et les correctifs depuis Microsoft Update • Support de la synchronisation en mode déconnecté pour les serveurs Replica
La fiabilité • Support de Network LoadBalancing (NLB) • Permet une bascule rapide pour des besoins de disponibilité • Support de la mise en cluster de la base SQL • En complément du scénario NLB • Supervision au travers de Microsoft Operations Manager • Pack d’administration MOM pour fournir une supervision proactive de l’état de santé du serveur
Les performances • Performances liées à la génération des rapports • 50% de gain de performance • Performances liées à la synchronisation • Synchronisation complète descendante réduite de 90 à 20 minutes • Support natif des serveurs x64 (comme serveur WSUS)
Service Mises à jour Automatiques • Service local (Mises à jour automatiques (Windows Update) gérant l’accès à Microsoft Update /WSUS pour autoriser le téléchargement et l'installation des mises à jour de Windows. • Agent Windows Update
Défini comment se fait l’installation des mises à jour importantes sur le poste Mises à jour importantes : Maj Sécurité Maj Critiques Service Pack Mises à jour automatiques importantes
Par stratégie de groupe ou par registre Configurer les mises à jour automatiques (AutoUpdate) en spécifiant un serveur intranet de mise à jour Microsoft (serveur WSUS) Modes d’installation : Notifier avant le téléchargement/installation Télécharger puis notifier pour l’ installation Télécharger et installer automatiquement selon la planification Autoriser les administrateurs locaux à choisir le mode de configuration (sans pouvoir désactiver AutoUpdate) Configuration de l’agent (1/2)
Fréquence de détection configurable (du client vers le serveur) : 22 heures par défaut; minimum 1 heure (charge sur le serveur) La durée réelle entre deux détections sera déterminée aléatoirement entre 80% et 100% de la durée paramétrée Délai de redémarrage et intervalle avant nouvelle demande de redémarrage (si redémarrage repoussé) Notification pour les non administrateurs (en fonction du mode d’installation) Pas de redémarrage planifié (pour laisser l’utilisateur redémarrer quand il le veut) Re-planifier les installations planifiées (ex : 5 min après redémarrage) Autoriser l’installation immédiate des mises à jour automatiques Ciblage Notifie l’utilisateur si redémarrage nécessaire Configuration de l’agent (2/2)
Ciblage • Utiliser pour cibler des mises à jour sur des machines spécifiques • Groupe cible de test • Groupe cible de production • Deux types de ciblage • Côté serveur • L’administrateur WSUS gère l’appartenance aux groupes depuis le site d’administration (listes sur le serveur) • Côté client • Appartenance gérée automatiquement • En utilisant des stratégies de groupe (par exemple même groupe pour toutes les machines d’une même OU d’Active Directory) • En utilisant le Registre
WSUS 3.0 - Améliorations liées au ciblage • WSUS 3.0 supporte 2 nouveaux concepts concernant les groupes • L’imbrication • L’appartenance à plusieurs groupes • Une machine peut être membre de groupe Serveurs ainsi que du groupe Exchange Serveurs
Ciblage 41
Rapports • Etats des clients, listes des mises à jour… • Par machine / par mise à jour / par groupe cible • Succès et échecs des téléchargements et installations avec les détails sur les erreurs • Disposer d’information sur les synchronisations avec Microsoft Update, entre serveurs WSUS • Nouveautés, changements
WSUS 3.0 - Améliorations liées au reporting • Vues générales et simplifiés • Composants de rapports dans la boite • Détails sur les mises à jour et résumés • Détails sur les mises à jour au niveau des serveurs réplica et autonomes • Impression, Sauvegarde Excel ou PDF • Notification par e-mail • Nouveau rôle “Reporters” • Permet un accès lecture-seul au serveur • Personnalisation des rapports (exemples sur MSDN) • Vues SQL • API .net
WSUS 3.0 - Améliorations liées aux outils d’administration (1/2) • Nouvelle console d’administration basée sur une MMC 3.0 • Gestion de multiples serveurs au sein d’une seule console • Page de démarrage offrant un aperçu rapide • Vues personnalisées • Fonctionnalités de filtrage des vues • Tri et réorganisation des colonnes (colonnes supplémentaires: Article KB, MSRC ID, Sévérité) • Menus contextuels • Intégration des rapports • Notifications et statut par e-mail
WSUS 3.0 - Améliorations liées aux outils d’administration
WSUS 3.0 - Améliorations liées aux outils d’administration
WSUS 3.0 - Améliorations liées aux outils d’administration (2/2) • API disponibles pour importer des mises à jour tierces et pour scripter les opérations • Nouvelles fonctionnalités d’administration • Assistant de gestion de l’obsolescence du contenu du serveur WSUS (meta-données, machines, mises à jour) • Règles d’approbation spécifiques par type de mise à jour et par groupe cible • Sélection des types de produits gérés • Envoi de messages électroniques • …