400 likes | 689 Views
Gestion des mises à jour de sécurité avec WSUS ou SMS. Fabrice Meillon Architecte Infrastructure Microsoft France http://blogs.technet.com/fabricem_blogs. Agenda. Problématique et rappel du processus (MOF) La gestion des correctifs au travers de Windows Server Update Services
E N D
Gestion des mises à jour de sécurité avec WSUS ou SMS Fabrice Meillon Architecte Infrastructure Microsoft France http://blogs.technet.com/fabricem_blogs
Agenda • Problématique et rappel du processus (MOF) • La gestion des correctifs au travers de Windows Server Update Services • La gestion des correctifs au travers de System Management Server 2003 • Quel outil choisir ?
Cohérentset répétitifs Produits,outils etautomatisation Compétences,rôles etresponsabilités Gestionréussiedescorrectifs Processus Personnes Technologies
Processus • Appliquée au processus de gestion des correctifs, les principes de MOF se déclinent en 4 phases : • Inventaire : phase d’inventaire de l’existant • Identification : phase de détection des correctifs disponibles • Evaluation : phase de test et de décision d’application des correctifs, puis de planification de leur déploiement • Déploiement : distribution et installation sur les ordinateurs cibles. • Les principes fondamentaux des processus MOF sont : une approche structurée, un cycle de vie rapide et un perfectionnement itératif, une gestion basée sur la révision, et l’intégration de la gestion des risques. Le processus de gestion des correctifs en entreprise : méthodes recommandées http://www.microsoft.com/france/technet/themes/secur/secmod193.mspx
Technologies “Microsoft Update”(Windows Update) Windows Update Download Center Office Update VS Update Hier Aujourd’hui Windows Server Update Services Windows, SQL, Exchange, Office… System Management Server SUS Windows, Office seulement Windows seulement Windows, SQL, Exchange, Office…
Qu’est ce que Windows Server Update Services (WUS)? • Offre d’entreprise de gestion des mises à jour • Obtenir le contenu du service Microsoft Update • Composanttéléchargeable sur le web • Pas de coût licences Windows Server (2000 et ultérieur) • Nécessite une licence Windows Server / CAL pour les systèmes cibles • Ne modifie pas les offres existantes • Software Update Services (SUS 1.0) continue d’obtenir son contenu de Windows Update ( déc. 2006) • Le client Windows Update
Vue d’ensemble Microsoft Update Serveur WSUS Groupe 1 cible Postes clients Administrateur WSUS Groupe 2 cible Serveurs Agents installent les mises à jour approuvées par l’administrateur Clients s’enregistrent aux-mêmes avec le serveur Administrateur approuve les mises à jour Serveur télécharge les mises à jour de Microsoft Update Administrateur souscrit aux catégories de mises à jour Administrateur place les clients dans des groupes cibles
Windows ServerUpdate Services Vue d’ensemble
Implémentation • Contenu • Windows, Office, SQL, Exchange à l’origine (disponibilité du produit) • Des produits additionnels s’y ajoutent : Small Business Server 2003, DPM, Windows Defender, ISA… • Plate-formes (Système d’exploitation) • Client/agent • Windows 2000 SP3 et ult., Windows XP RTM et ult. (incl. XP embedded et XP x64) • Windows 2003 RTM (32-bit seulement), Windows 2003 SP1 (x64 et ia64) • Serveur • Windows 2000 SP4 et ultérieur • Windows 2003 RTM et ultérieur (32-bit seulement) • Localisation • Client est localisé en 25 versions • Serveur est localisé en 17 versions • Support des packs de langues au niveau du système (MUI)
Contrôle • Administrateur défini des groupes cibles • Utilisation des stratégies de groupe pour ce faire dans l’environnement AD • Au travers de l’interface d’administration de WSUS pour les environnement non AD • Administrateur contrôle les approbations • “Détection seulement” évaluation des machines qui nécessite l’application d’un patch • Approbation pour l’installation et la désinstallation (pas toujours possible) • Installation sur date butoir • Approbation par groupe cible: • Différentes mises à jour vers différents groupes cibles • Différentes dates butoirs par groupe cible • Différentes actions par groupe cible
Configuration de l’agent • Fréquence de communication (polling) • Notification et type d’installation • “Comportement” vis-à-vis du redémarrage • Port configurable • Les utilisateurs standards peuvent installer des mises à jour par notification (comme les administrateurs) • Installation à l’arrêt (XP SP2 et Windows 2003 SP1 seulement)
Optimisation réseau • Réprise en cas de coupure et transparence • BITS* pour téléchargement client-serveur et serveur-serveur • Téléchargements se font en fond de tache (background) • Téléchargement minimal des mises à jour • Suscriptions aux mises à jour – téléchargement des mises à jour pour les produits, classifications et langues que *vous* avez besoin • Support de la technologie “delta compression” pour les communications • Option client-serveur pour téléchargement uniquement les mises à jour approuvées (download on demand) • Option pour télécharger uniquement le catalogue des mises à jour et la détection – binaires sur MU *Background Intelligent Transfer Service
Architecture Serveur WSUS Servers/MU Admin workstation Clients Server/Server Web service Client/Server Web service Reporting Web service Admin UI Content sync Catalog sync Server API Metadata Store MSDE/SQL File Store (NTFS)
Architecture Client WU Serviceor WSUS IE (WU Site) Customscripts Client WU WU Client API Updatehandlers Updatemanager Automaticupdates BITS Content store Metadata Store
Administration • Serveur • APIs basées .NET • Règles simple pour automatiser le déploiement des mises à jour sans UI • Client • Ligne de commande wuauclt.exe /detectnow pour la détection • APIs basées sur COM pour les scripts et le support distant • Paramètres du client AU via stratégie de groupe ou scripts • Outils de diagnostics
Windows ServerUpdate Services Scripting et outils
Déploiement • Différentes options de déploiement serveur • Serveur unique • Serveurs multiples • Replica • Autonome • Serveurs déconnectés • Dimensionnement et migration • Configuration du client Windows Update
Serveur unique Microsoft update Serveur WSUS Poste clients
Serveurs multiples Microsoft Update Serveur WSUS Serveur WSUS Poste clients Poste clients
Serveurs déconnectés Microsoft update Serveur WSUS Serveur WSUS Poste clients
Considérations de déploiement • Besoins matériels • Nombre de clients, fréquence de polling du client vers le serveur • Base de données et stockage • SQL Locale ou distante versus MSDE /WMSDE • Bande passante • Site unique, multi-sites, « branch office », bande passante faible • Sécurité • Personnalisation des ports de communication • Scalabilité • Hiérarchie Serveur • Options des cibles • Mode Client versus Serveur • Management • Automatisation par scripts versus interface d’administration Web
Migration depuis SUS 1.0 et dimensionnement • 2 scénarios • 2 machines • Serveur SUS • Serveur WSUS • 1 machine • SUS et WSUS • Dimensionnement
Configuration client Windows Update • Modes de configuration • GPO (implique AD) • Modification directe du registre Windows (script) • Stratégies locales
Durcissement de la configuration WSUS • Serveur Windows qui héberge WSUS, • Communications entre serveurs et clients, • Sécurité avancée du service Web IIS 6.0, • Sécurité avancée de la base de données (et si nécessaire des communications avec celle-ci). Deploying Microsoft Windows Server Update Services – Appendix D: Security Settings http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/WSUS/WSUSDeploymentGuideTC/d4a3c3be-a76c-437e-8ae0-b96aff64df13.mspx
Gestion des ressources matérielles et logicielles CPU RAM OS P III 350 MHz 128 MB Windows NT 4 SP6 P III 700 MHz 128 MB Windows 2000 P IV 1 GHz 256 MB Windows XP SP1 ARM 300 MHz 64 MB PPC 2003 Découverte Inventaire Reporting Gestion du cycle de vie des applicationset des correctifs de sécurité Packaging Distribution Installation Suivi utilisation Téléassistance Qu’est ce que Systems Management Server (SMS) ?
Processus MicrosoftDownload Center • Téléchargement et installation des outils d’analyse sur le serveur de site • Téléchargement régulier du référentiel (MSSECURE.XML,WSUScan.cab…) Internet Intranet • Inventaire des clients et intégration avec les données d’inventaire matériel SMS Serveur de site Point de distribution SMS • Utilisation de l’assistant de distribution des mises à jour logicielle pour déclencher l’installation des mises à jour sélectionnées Clients SMS • Téléchargement des fichiers; création/mise à jour des packages, programmes & annonces; réplication des packages & publication des programmes vers les clients SMS Point de distribution SMS • Installation des mises à jour par l’agent SMS • De manière périodique: le module de synchronisation vérifie la publication de nouvelles mises à jour; analyse les clients; et l’administrateur peut déployer les mises à jour nécessaires Clients SMS Clients SMS
Systems Management Server 2003 Outils d’inventaire
Composants de SMS 2003 • Outils d’analyse pour les mises à jour de sécurité (applications et systèmes) • Permettent de créer dans SMS les lots • Enrichissent l’inventaire • S’intègrent avec le module de reporting • Assistant de distribution des mises à jour logicielles
Les outils d’inventaire de mise à jour pour SMS • Security Update Inventory Tool • Mises à jour critiques de sécurité et service packs pour Windows NT 4.0 et +, SQL Server 7.0 et + • Catalogue MBSA 1.2.1 • Office Update Inventory Tool • Mises à jour de sécurité et les services pack pour Office 2000 et + • Extended Security Update Inventory Tool • Inventory Tool for Microsoft Updates (ITMU) • Windows 2000 SP4 et + (Security updates, service packs, et rollups) • SQL Server 2000 SP4 et+ • Office XP et + pour les mises à jour de sécurité et les service packs • Utilise le catalogue WSUS qui inclut toutes les langues
Outil d’inventaire pour les mises à jour Microsoft (ITMU) • Nouvel outil d ’analyse pour les sites SMS 2003 SP1 et lesclients avancés • Remplacement des outils d’inventaire des mises à jours MBSA et Office • Dans certains cas, les outils « ancienne génération » devront être conservés • Améliorations • Standardisation des outils (utilisation de l’agent Windows Update 2.0) • Plus de gestion de la ligne de commande pour la distribution des correctifs • Rapports plus complets (19 disponibles)
Assistant de distribution des mises à jour logicielles Automatiser le déploiement des mises à jour manquantes sur les postes clients • Fonctionnement • S’appuie sur l’inventaire remonté • Recherche des correctifs manquants, sélection des correctifs • Téléchargement des correctifs depuis Microsoft.com • Création automatique du lot de l’annonce et du programme • Pour ITMU, nécessite le correctif 900257
Systems Management Server 2003 Distribution et rapport
Grandes Entreprises Entreprises moyennes Petites entreprises A la maison Gestion des mises à jour Microsoft Update Microsoft Baseline Security Analyzer 2.0 Automatic Updates
Choisir une solution de gestion des correctifs *utilisation de Windows Update, d'un autre outil de mise à jour ou mise à jour manuelle pour les systèmes et applications non supportés par WSUS ou Microsoft Update
Quelques ressources utiles • Windows Server Update Services http://www.microsoft.com/windowsserversystem/updateservices/default.mspx • System Management Server http://www.microsoft.com/france/sysmans/default.mspx • Site Sécurité http://www.microsoft.com/france/securite • Séminaire Technet, Webcasts/e demos et Chats http://www.microsoft.com/france/technet/seminaires • Mon Blog http://blogs.technet.com/fabricem_blogs