Ah, les mises à jour, un vaste sujet propice à la polémique. Faut-il les installer automatiquement ? Faut-il suivre le rythme de Microsoft (tous les premiers mardis du mois) ? Faut-il les installer systématiquement sur tout le parc ? Les interrogations sur le sujet sont nombreuses, et l’interprétation de chacun peut porter à confusion. Je vous propose de couper court aux polémiques et d’assumer une politique de déploiement que vous maîtriserez au travers de WSUS !
Qu’est-ce que WSUS ?
Si vous êtes utilisateur Windows sur votre poste personnel, vous connaissez le service de mise à jour de Microsoft. Windows Updates, Microsoft Updates, ce service, pour l’utilisateur lambda d’un ordinateur, est assez… capricieux. Il décide seul de quand redémarrer votre ordinateur, et l’actualité du mois d’octobre 2018 permet de comprendre à quel point cela peut être dangereux (la mise à jour de Windows 10 du mois d’octobre était capable de supprimer vos données personnelles... ce qui a heureusement été corrigé depuis).
WSUS est un équivalent de ce service (grand public, géré par Microsoft) à destination des administrateurs. Vous allez ainsi pouvoir télécharger les mises à jour de votre parc une seule fois via votre serveur WSUS (qui se connectera aux serveurs de Microsoft), puis décider de comment déployer et distribuer ces mises à jours !
Vous reprendrez alors le contrôle sur le cycle de mises à jour de votre parc informatique. C'est donc la solution idéale pour éviter les problèmes avec les utilisateurs.
La gestion des mises à jour est un sujet complexe, d’autant qu’il est difficile de demander au grand public d’effectuer des mises à jour. Il est difficile pour lui de savoir ce qu’il se cache derrière cela. Rassurez-vous, il en va de même pour les utilisateurs en entreprise.
Imaginez votre directeur s'arrêter d’analyser le tableau des ventes internationales de l’entreprise Gift SA pour lancer une mise à jour de son système d’exploitation :
Il n’en a pas le temps (certaines mises à jour majeures pouvant prendre plusieurs heures).
Il ne connaît pas l’impact de la mise à jour (certaines mises à jour corrigent des vulnérabilités mais impactent la compatibilité avec d’autres logiciels).
Si tous les utilisateurs devaient s’occuper de leurs mises à jour (dan le cas de Gift SA, plus de 150 utilisateurs), cela ferait inévitablement 150 x la taille des correctifs, dans de nombreux cas ils atteignent plus de 200 Mio, soit un total de 30 Gio de correctifs à récupérer.
Alors, à la vue de ces arguments, il est important de prendre en main ce travail.
Installez le rôle WSUS
Vous allez dire que je radote, mais rendez-vous sur le gestionnaire de serveur et installez le rôle WSUS. Il s’agit d’un point d’entrée plutôt simple et efficace pour gérer son serveur sous Windows. 😀
Très exactement, il s’agit des Services WSUS. Et vous verrez que de nombreuses fonctionnalités sont nécessaires. En effet, WSUS utilise de nombreuses options de déploiement pour minimiser la bande passante sur le réseau, ainsi que des fonctionnalités en lien avec le Web, car la récupération des mises à jour et leur déploiement va se baser sur ces services.
D’ailleurs, je vous inviterai à bien réfléchir à comment architecturer ce service en production, car il est consommateur d'espace disque pour les mises à jour, et très gourmand en base de données pour stocker les différentes données additionnelles (métadonnées) concernant les mises à jour. En effet, WSUS va récupérer les différents correctifs mais également une description, des informations concernant l’impact (surtout le redémarrage – nécessaire ou pas), ainsi que les informations de catégorisation et de cible.
Pour cette démonstration, je vous propose de ne pas stocker les mises à jour en local pour l'instant et donc de décocher la case proposant de le faire lors de l'installation du service :
Si tout va bien, vous devriez obtenir l'écran suivant pour lancer les services WSUS :
Vous arrivez alors sur l'assistant de configuration que vous pouvez fermer si vous souhaitez tout configurer manuellement.
Sinon, suivez les étapes de l'assistant en laissant les paramètres par défaut. L'étape la plus longueétant la connexion vers le serveur en amont :
À la fin de l'assistant, ou si vous avez choisi de tout configurer manuellement, vous obtenez cette fenêtre :
Sur la gauche, vous disposez d’un menu de gestion :
des mises à jour récupérées par votre serveur ;
des ordinateurs correctement configurés comme clients ;
d’éventuels serveurs que vous pouvez configurer pour augmenter le niveau de sécurité (vous pouvez mettre un WSUS en DMZ pour récupérer les MAJ depuis les serveurs de Microsoft et avoir votre serveur WSUS connecté aux clients qui, lui, se trouvera sur votre LAN. Il récupérera les MAJ depuis le serveur en DMZ, par exemple) ;
les informations et configuration sur les synchronisations ;
des rapports ;
et les options.
Je vous propose d’aller jeter un œil sur les options avant toute opération.
Ici, vous allez pouvoir gérer les options de votre serveur, avec notamment certaines à configurer avec soin. Vous retrouvez la plupart des étapes de configuration si vous avez utilisé l'assistant de configuration WSUS :
Source de mises à jour et serveur proxy : c’est ici que vous allez configurer la manière de récupérer les mises à jour. Si vous avez protégé votre accès Internet avec un proxy, si vous avez configuré un serveur WSUS en DMZ, vous allez pouvoir déclarer ces différents modes de fonctionnement à cet emplacement.
Produits et classifications : c’est l’option la plus intéressante de WSUS. Elle va vous permettre de choisir, parmi les nombreux produits Microsoft, ceux pour lesquels vous allez récupérer les mises à jour !
Vous allez pouvoir récupérer uniquement les mises à jour concernant les produits Microsoft installés (et la liste est longue si vous avez installé d'autres applications Microsoft). De plus, les classifications vont vous permettre, sur les produits choisis, de cibler avec précision quels types de mises à jour récupérer : correctifs, sécurité, pilotes :
Avec la combinaison de ces deux onglets d’options, vous reprenez réellement le contrôle sur le déploiement (prochain) des mises à jour sur votre parc. Vous pouvez cibler les mises à jour critiques des serveurs Windows 2016 par exemple (c’est le choix que j’ai fait ici) :
Fichiers et langues des mises à jour : dans ces options, vous allez pouvoir limiter la bande passante en gérant la méthode de téléchargement des fichiers des mises à jour et le nombre de versions des mises à jour, à travers la sélection des langues de vos systèmes à mettre à jour (par défaut, toutes les langues seront téléchargées).
Planification de la synchronisation : ici, vous allez planifier la synchronisation de votre serveur (c.-à-d. la récupération des fichiers Microsoft Update) en choisissant l’heure et le nombre de synchronisations par jour. Attention à correctement planifier cette tâche qui sera très gourmande en bande passante !
Approbations automatiques : encore une option qui confirme que le WSUS est un incontournable en environnement Microsoft. Vous allez pouvoir valider automatiquement certaines mises à jour. Par exemple, vous considérez que tous les correctifs de sécurité doivent être appliqués, vous allez les approuver automatiquement ! De même, vous avez besoin de tester la mise à jour des pilotes, vous pourrez refuser l’approbation dans un premier temps, effectuer vos tests sur un groupe de postes clients “pilotes”, et si tout se passe bien, approuver après cette validation pour lancer un déploiement sur votre parc !
Ordinateurs : cette option permet de choisir la méthode de regroupement des ordinateurs. Il est préférable de gérer cela via des GPO, mais WSUS peut vous laisser le faire manuellement via la console Services WSUS. Dans notre cas, c'est bien la gestion via les GPO et le registre qu'il faut choisir.
Assistant de nettoyage du serveur : comme son nom l’indique, cette option vous permet de faire un peu de ménage en supprimant les mises à jour inutilisées, les ordinateurs ne s’étant pas connectés depuis 30 jours ou plus, les fichiers inutiles… Grâce à cette option vous allez maîtriser l’occupation disque et la taille de la base de données.
Cumul des rapports : option servant à grouper les rapports d’état des ordinateurs.
Notification par courrier électronique : comme son nom l’indique, permet de recevoir des mails en fonction de critères particuliers.
Programme d’amélioration de Microsoft Update : vous permet d’autoriser ou non l’envoi de données anonymisées à Microsoft sur votre utilisation de WSUS.
Personnalisation : ces options permettent de personnaliser l’affichage de certaines tâches sur votre console WSUS.
Assistant de configuration du serveur WSUS : vous permet de relancer la configuration initiale des services WSUS sur votre serveur, avec notamment la synchronisation initiale des mises à jour.
Une fois les étapes de configuration faites, vous remarquez dans l'onglet "Toutes les mises à jour" la liste des mises à jour qu'il est possible de déployer sur votre parc de machines :
Utilisez le rôle WSUS
Maintenant que vous maîtrisez l’ensemble des options et le principe de fonctionnement de WSUS, je vous propose de passer à la mise en œuvre d’une politique. Par défaut, vous ne disposerez d’aucun client sur votre serveur. Je vous propose d’ajouter un client, à savoir le serveur WSUS lui-même.
Pour cela, deux options s’offrent à vous :
Vous disposez d’un Active Directory : utilisez les GPO, elles sont faites pour cela.
Vous ne disposez pas d’Active Directory (cela peut arriver) : vous allez devoir utiliser la base de registre.
Ajouter des clients WSUS via GPO
Cette méthode est recommandée surtout si vous avez un parc de clients important.
Si vous ne l'avez pas encore fait, dans cette section, votre serveur doit être rattaché à un domaine. Pour cela, rien de très compliqué, tout est expliqué dans le cours "Centralisez et sécurisez votre annuaire Active Directory". Mais pour résumer, il suffit juste d'installer le rôle AD DS et de promouvoir votre serveur en tant que contrôleur de domaine. Une fois que c'est fait, vous allez pouvoir utiliser les GPO, c'est-à-dire les règles de configurations automatiques des postes clients.
Pour cela, ouvrez le gestionnaire de stratégies de groupes (GPO) :
Puis dans votre domaine, créez une nouvelle stratégie de groupe (GPO) :
Laissez le nom par défaut puis faites un clic droit sur cette GPO pour la modifier. Vous arrivez alors sur l'éditeur de stratégies de groupes :
Vous disposez des paramètres suivants dans Configuration ordinateur > Stratégies > Modèle d’administration > Composants Windows > Windows Update, ensuite vous disposez des options suivantes que vous devez configurer :
Les options les plus importantes étant :
"Configuration du service de mises à jour automatiques" qui doit être activée ;
"Spécifiez l'emplacement intranet du service de mise à jour Microsoft" où vous devez préciser l'adresse de votre serveur WSUS écoute sur le port 8530, vous pouvez donc spécifier "http://10.0.2.15:8530".
Une fois que vous avez spécifié les options (en activant ou désactivant les paramètres que vous souhaitez), il ne vous reste plus qu’à déployer votre GPO et laisser la synchronisation automatique se faire. Encore une fois vous aurez plus de détails dans ce chapitre du cours sur Active Directory.
Mais pour résumer il suffit juste de fermer l’éditeur de GPO, de renommer votre GPO avec un nom explicite et de l’associer au groupe de machines auxquelles vous voulez appliquer les mises à jour automatiques. Ici, nous voulons appliquer ces mises à jours automatiques au serveur lui-même (qui est un contrôleur de domaine), il faut donc associer la GPO au groupe Domain Controllers :
Ajouter des clients WSUS via le registre
Si vous tentez de modifier le registre pour ajouter des clients, suivez les étapes du lien suivant (en anglais) ou encore plus simple : téléchargez ce petit outil qui permet de faire les modifications à votre place. C'est la dernière solution que j'ai choisie. Voici par exemple la configuration à y appliquer dans mon cas :
Une fois terminé, l'application créé automatiquement les bonnes clés dans le registre, ce qui est tout de même très pratique ! 🙂
Une fois l'une de ces options configurées, il n'est pas nécessaire de redémarrer votre serveur. Vous pouvez tout simplement lancer une recherche de mise à jour en passant par l'outil Windows Update. Vous pourrez ensuite vérifier au niveau des ordinateurs que votre ordinateur est apparu. Accessoirement, vous aurez droit à un indicateur sur les mises à jour présentes sur votre WSUS qui seront évaluées pour votre ordinateur :
Que vous ajoutiez des machines via les GPO ou via le registre, il faut le préciser au niveau serveur. Pour cela dans le menu latéral “Options”, sélectionnez “Ordinateurs” puis sélectionnez la 2ème option :
Approuvez des mises à jour WSUS
Tant que vous n’avez pas approuvé des MAJ, elles ne s'installent pas. Ici, comme vous avez mis à jour votre serveur avant de commencer l’installation de rôles, elles devraient être installées (suivant ce que vous avez choisi pour la première synchronisation).
Pour approuver des MAJ, rendez-vous dans la partie “Mises à jour” et grâce au clic droit, vous aurez le menu “Action” qui vous permettra d’approuver ou de refuser une mise à jour.
Pourquoi refuser une mise à jour ?
Je vous conseille de tester les mises à jour avant de les déployer à grande échelle. Si vous observez, lors de votre test, une incompatibilité avec un applicatif ou un autre correctif, refusez la mise à jour, elle ne se déploiera pas et vous serez à l’abri d’un souci à l’échelle de votre parc :
Afin d’avoir le plus d’informations possible sur une mise à jour, Microsoft vous offre de nombreuses informations sur chacune d’entre elles :
Ainsi vous saurez en un coup d’œil, en cliquant sur une mise à jour, si elle nécessite un redémarrage, si elle est remplacée par une autre mise à jour, si elle met à jour le contrat de licence de Microsoft et surtout une description de ce qu’elle apporte (succincte ; pour une description complète, rendez-vous sur le lien correspondant de la base de connaissance de Microsoft – sous la forme http://support/microsoft/kb/xxxxx).
Vous avez maintenant toutes les cartes en main pour mettre en œuvre une politique de sécurité cohérente, et surtout maîtrisée, de votre parc de postes clients et serveurs sous Windows !
Allez plus loin
Si vous souhaitez aller encore plus loin, vous avez la possibilité d’installer le composant Report Viewer de Microsoft. Cela vous permettra d’obtenir une multitude de rapports sur les MAJ, l’état de conformité de votre parc vis-à-vis de votre politique de sécurité ou tout simplement sur l’état de santé de votre WSUS.
Guide Microsoft sur la mise en œuvre de WSUS.
Outil permettant de simplifier la configuration d’un poste vers un WSUS sans GPO (attention, ce ne sont que les sources).
En résumé
Windows Server permet de reprendre le contrôle des mises à jour Microsoft de son parc informatique au travers de WSUS.
WSUS permet de mettre en œuvre une stratégie de déploiement en fonction de critères simples (tels que l’heure ou la date de déploiement) ou avancés (en fonction du type de correctifs).
Microsoft fournit de nombreuses informations sur les mises à jour, qu’il met à disposition pour WSUS : description, impact en termes de redémarrage, cible, impact sur la licence…
Les ordinateurs clients doivent être configurés pour prendre en compte leur nouvelle source de mise à jour (le WSUS) ; pour cela deux méthodes existent, les GPO ou la modification du registre (pour les ordinateurs gérés sans Active Directory).
Dans la prochaine et dernière partie de ce cours, vous continuerez à maîtriser l’administration de Windows Server, en particulier avec l’outil de scripting PowerShell ou encore la virtualisation via Hyper-V…
