• 12 hours
  • Medium

Free online content available in this course.

course.header.alt.is_video

course.header.alt.is_certifying

Got it!

Last updated on 10/16/23

Distribuez des mises à jour avec WSUS

Ah, les mises à jour, un vaste sujet propice à la polémique. Faut-il les installer automatiquement ? Faut-il suivre le rythme de Microsoft (tous les premiers mardis du mois) ? Faut-il les installer systématiquement sur tout le parc ? Les interrogations sur le sujet sont nombreuses, et l’interprétation de chacun peut porter à confusion. Je vous propose de couper court aux polémiques et d’assumer une politique de déploiement que vous maîtriserez au travers de WSUS !

Qu’est-ce que WSUS ?

Si vous êtes utilisateur Windows sur votre poste personnel, vous connaissez le service de mise à jour de Microsoft. Windows Updates, Microsoft Updates, ce service, pour l’utilisateur lambda d’un ordinateur, est assez… capricieux. Il décide seul de quand redémarrer votre ordinateur, et l’actualité du mois d’octobre 2018 permet de comprendre à quel point cela peut être dangereux (la mise à jour de Windows 10 du mois d’octobre était capable de supprimer vos données personnelles... ce qui a heureusement été corrigé depuis).

Windows Update sous Windows 10
Windows Update sous Windows 10

WSUS est un équivalent de ce service (grand public, géré par Microsoft) à destination des administrateurs. Vous allez ainsi pouvoir télécharger les mises à jour de votre parc une seule fois via votre serveur WSUS (qui se connectera aux serveurs de Microsoft), puis décider de comment déployer et distribuer ces mises à jours !

Vous reprendrez alors le contrôle sur le cycle de mises à jour de votre parc informatique. C'est donc la solution idéale pour éviter les problèmes avec les utilisateurs.

La gestion des mises à jour est un sujet complexe, d’autant qu’il est difficile de demander au grand public d’effectuer des mises à jour. Il est difficile pour lui de savoir ce qu’il se cache derrière cela. Rassurez-vous, il en va de même pour les utilisateurs en entreprise.

Imaginez votre directeur s'arrêter d’analyser le tableau des ventes internationales de l’entreprise Gift SA pour lancer une mise à jour de son système d’exploitation :

  • Il n’en a pas le temps (certaines mises à jour majeures pouvant prendre plusieurs heures).

  • Il ne connaît pas l’impact de la mise à jour (certaines mises à jour corrigent des vulnérabilités mais impactent la compatibilité avec d’autres logiciels).

  • Si tous les utilisateurs devaient s’occuper de leurs mises à jour (dan le cas de Gift SA, plus de 150 utilisateurs), cela ferait inévitablement 150 x la taille des correctifs, dans de nombreux cas ils atteignent plus de 200 Mio, soit un total de 30 Gio de correctifs à récupérer.

Alors, à la vue de ces arguments, il est important de prendre en main ce travail.

Installez le rôle WSUS

Vous allez dire que je radote, mais rendez-vous sur le gestionnaire de serveur et installez le rôle WSUS. Il s’agit d’un point d’entrée plutôt simple et efficace pour gérer son serveur sous Windows. 😀

Très exactement, il s’agit des Services WSUS. Et vous verrez que de nombreuses fonctionnalités sont nécessaires. En effet, WSUS utilise de nombreuses options de déploiement pour minimiser la bande passante sur le réseau, ainsi que des fonctionnalités en lien avec le Web, car la récupération des mises à jour et leur déploiement va se baser sur ces services.

D’ailleurs, je vous inviterai à bien réfléchir à comment architecturer ce service en production, car il est consommateur d'espace disque pour les mises à jour, et très gourmand en base de données pour stocker les différentes données additionnelles (métadonnées) concernant les mises à jour. En effet, WSUS va récupérer les différents correctifs mais également une description, des informations concernant l’impact (surtout le redémarrage – nécessaire ou pas), ainsi que les informations de catégorisation et de cible.

Pour cette démonstration, je vous propose de ne pas stocker les mises à jour en local pour l'instant et donc de décocher la case proposant de le faire lors de l'installation du service :

Installation de WSUS
Installation de WSUS
Configuration post-déploiement
Configuration post-déploiement

Si tout va bien, vous devriez obtenir l'écran suivant pour lancer les services WSUS :

Lancement des services WSUS
Lancement des services WSUS

Vous arrivez alors sur l'assistant de configuration que vous pouvez fermer si vous souhaitez tout configurer manuellement.

Sinon, suivez les étapes de l'assistant en laissant les paramètres par défaut. L'étape la plus longueétant la connexion vers le serveur en amont :

Assistant de configuration pour se connecter au serveur en amont
Assistant de configuration pour se connecter au serveur en amont

À la fin de l'assistant, ou si vous avez choisi de tout configurer manuellement, vous obtenez cette fenêtre :

Outil de gestion de WSUS
Outil de gestion de WSUS

Sur la gauche, vous disposez d’un menu de gestion :

  • des mises à jour récupérées par votre serveur ;

  • des ordinateurs correctement configurés comme clients ;

  • d’éventuels serveurs que vous pouvez configurer pour augmenter le niveau de sécurité (vous pouvez mettre un WSUS en DMZ pour récupérer les MAJ depuis les serveurs de Microsoft et avoir votre serveur WSUS connecté aux clients qui, lui, se trouvera sur votre LAN. Il récupérera les MAJ depuis le serveur en DMZ, par exemple) ;

  • les informations et configuration sur les synchronisations ;

  • des rapports ;

  • et les options.

Je vous propose d’aller jeter un œil sur les options avant toute opération.

Options de WSUS
Options de WSUS

Ici, vous allez pouvoir gérer les options de votre serveur, avec notamment certaines à configurer avec soin. Vous retrouvez la plupart des étapes de configuration si vous avez utilisé l'assistant de configuration WSUS :

  • Source de mises à jour et serveur proxy : c’est ici que vous allez configurer la manière de récupérer les mises à jour. Si vous avez protégé votre accès Internet avec un proxy, si vous avez configuré un serveur WSUS en DMZ, vous allez pouvoir déclarer ces différents modes de fonctionnement à cet emplacement.

  • Produits et classifications : c’est l’option la plus intéressante de WSUS. Elle va vous permettre de choisir, parmi les nombreux produits Microsoft, ceux pour lesquels vous allez récupérer les mises à jour !

Produits couverts par Microsoft Update
Produits couverts par Microsoft Update

Vous allez pouvoir récupérer uniquement les mises à jour concernant les produits Microsoft installés (et la liste est longue si vous avez installé d'autres applications Microsoft). De plus, les classifications vont vous permettre, sur les produits choisis, de cibler avec précision quels types de mises à jour récupérer : correctifs, sécurité, pilotes :

Classification des mises à jour
Classification des mises à jour

Avec la combinaison de ces deux onglets d’options, vous reprenez réellement le contrôle sur le déploiement (prochain) des mises à jour sur votre parc. Vous pouvez cibler les mises à jour critiques des serveurs Windows 2016 par exemple (c’est le choix que j’ai fait ici) :

  • Fichiers et langues des mises à jour : dans ces options, vous allez pouvoir limiter la bande passante en gérant la méthode de téléchargement des fichiers des mises à jour et le nombre de versions des mises à jour, à travers la sélection des langues de vos systèmes à mettre à jour (par défaut, toutes les langues seront téléchargées).

  • Planification de la synchronisation : ici, vous allez planifier la synchronisation de votre serveur (c.-à-d. la récupération des fichiers Microsoft Update) en choisissant l’heure et le nombre de synchronisations par jour. Attention à correctement planifier cette tâche qui sera très gourmande en bande passante !

  • Approbations automatiques : encore une option qui confirme que le WSUS est un incontournable en environnement Microsoft. Vous allez pouvoir valider automatiquement certaines mises à jour. Par exemple, vous considérez que tous les correctifs de sécurité doivent être appliqués, vous allez les approuver automatiquement ! De même, vous avez besoin de tester la mise à jour des pilotes, vous pourrez refuser l’approbation dans un premier temps, effectuer vos tests sur un groupe de postes clients “pilotes”, et si tout se passe bien, approuver après cette validation pour lancer un déploiement sur votre parc !

Approbation automatique de certaines Mises à jour
Approbation automatique de certaines mises à jour
  • Ordinateurs : cette option permet de choisir la méthode de regroupement des ordinateurs. Il est préférable de gérer cela via des GPO, mais WSUS peut vous laisser le faire manuellement via la console Services WSUS. Dans notre cas, c'est bien la gestion via les GPO et le registre qu'il faut choisir.

  • Assistant de nettoyage du serveur : comme son nom l’indique, cette option vous permet de faire un peu de ménage en supprimant les mises à jour inutilisées, les ordinateurs ne s’étant pas connectés depuis 30 jours ou plus, les fichiers inutiles… Grâce à cette option vous allez maîtriser l’occupation disque et la taille de la base de données.

  • Cumul des rapports : option servant à grouper les rapports d’état des ordinateurs.

  • Notification par courrier électronique : comme son nom l’indique, permet de recevoir des mails en fonction de critères particuliers.

  • Programme d’amélioration de Microsoft Update : vous permet d’autoriser ou non l’envoi de données anonymisées à Microsoft sur votre utilisation de WSUS.

  • Personnalisation : ces options permettent de personnaliser l’affichage de certaines tâches sur votre console WSUS.

  • Assistant de configuration du serveur WSUS : vous permet de relancer la configuration initiale des services WSUS sur votre serveur, avec notamment la synchronisation initiale des mises à jour.

Une fois les étapes de configuration faites, vous remarquez dans l'onglet "Toutes les mises à jour" la liste des mises à jour qu'il est possible de déployer sur votre parc de machines :

Liste de toutes les mises à jour disponibles
Mises à jour disponibles

Utilisez le rôle WSUS

Maintenant que vous maîtrisez l’ensemble des options et le principe de fonctionnement de WSUS, je vous propose de passer à la mise en œuvre d’une politique. Par défaut, vous ne disposerez d’aucun client sur votre serveur. Je vous propose d’ajouter un client, à savoir le serveur WSUS lui-même.

Pour cela, deux options s’offrent à vous :

  1. Vous disposez d’un Active Directory : utilisez les GPO, elles sont faites pour cela.

  2. Vous ne disposez pas d’Active Directory (cela peut arriver) : vous allez devoir utiliser la base de registre.

Ajouter des clients WSUS via GPO

Cette méthode est recommandée surtout si vous avez un parc de clients important.

Si vous ne l'avez pas encore fait, dans cette section, votre serveur doit être rattaché à un domaine. Pour cela, rien de très compliqué, tout est expliqué dans le cours "Centralisez et sécurisez votre annuaire Active Directory". Mais pour résumer, il suffit juste d'installer le rôle AD DS et de promouvoir votre serveur en tant que contrôleur de domaine. Une fois que c'est fait, vous allez pouvoir utiliser les GPO, c'est-à-dire les règles de configurations automatiques des postes clients.

Pour cela, ouvrez le gestionnaire de stratégies de groupes (GPO) :

Accès au gestionnaire de stratégies de groupes
Accès au gestionnaire de stratégies de groupes

Puis dans votre domaine, créez une nouvelle stratégie de groupe (GPO) :

Création de la GPO
Création de la GPO

Laissez le nom par défaut puis faites un clic droit sur cette GPO pour la modifier. Vous arrivez alors sur l'éditeur de stratégies de groupes :

Editeur de gestion des stratégies de groupes
Editeur de gestion des stratégies de groupes

Vous disposez des paramètres suivants dans Configuration ordinateur > Stratégies > Modèle d’administration > Composants Windows > Windows Update, ensuite vous disposez des options suivantes que vous devez configurer :

Option de configuration des mises à jour
Option de configuration des mises à jour

Les options les plus importantes étant :

  • "Configuration du service de mises à jour automatiques" qui doit être activée ;

  • "Spécifiez l'emplacement intranet du service de mise à jour Microsoft" où vous devez préciser l'adresse de votre serveur WSUS écoute sur le port 8530, vous pouvez donc spécifier "http://10.0.2.15:8530".  

Configuration de l’emplacement du serveur WSUS à contacter
Configuration de l’emplacement du serveur WSUS à contacter

Une fois que vous avez spécifié les options (en activant ou désactivant les paramètres que vous souhaitez), il ne vous reste plus qu’à déployer votre GPO et laisser la synchronisation automatique se faire. Encore une fois vous aurez plus de détails dans ce chapitre du cours sur Active Directory.

Mais pour résumer il suffit juste de fermer l’éditeur de GPO, de renommer votre GPO avec un nom explicite et de l’associer au groupe de machines auxquelles vous voulez appliquer les mises à jour automatiques. Ici, nous voulons appliquer ces mises à jours automatiques au serveur lui-même (qui est un contrôleur de domaine), il faut donc associer la GPO au groupe Domain Controllers :

Association de la GPO au groupe des contrôleurs de domaine.
Association de la GPO au groupe des contrôleurs de domaine.

Ajouter des clients WSUS via le registre

Si vous tentez de modifier le registre pour ajouter des clients, suivez les étapes du lien suivant (en anglais) ou encore plus simple : téléchargez ce petit outil qui permet de faire les modifications à votre place. C'est la dernière solution que j'ai choisie. Voici par exemple la configuration à y appliquer dans mon cas :

Selection des paramètres principaux
Selection des paramètres principaux
Sélection des paramètres avancés
Sélection des paramètres avancés

Une fois terminé, l'application créé automatiquement les bonnes clés dans le registre, ce qui est tout de même très pratique ! 🙂

Une fois l'une de ces options configurées, il n'est pas nécessaire de redémarrer votre serveur. Vous pouvez tout simplement lancer une recherche de mise à jour en passant par l'outil Windows Update. Vous pourrez ensuite vérifier au niveau des ordinateurs que votre ordinateur est apparu. Accessoirement, vous aurez droit à un indicateur sur les mises à jour présentes sur votre WSUS qui seront évaluées pour votre ordinateur :

Client du WSUS et évaluation des MAJ disponibles
Client du WSUS et évaluation des MAJ disponibles

Que vous ajoutiez des machines via les GPO ou via le registre, il faut le préciser au niveau serveur. Pour cela dans le menu latéral “Options”, sélectionnez “Ordinateurs” puis sélectionnez la 2ème option :

Activer l’ajout de machines via les GPO ou le registre
Activer l’ajout de machines via les GPO ou le registre

Approuvez des mises à jour WSUS

Tant que vous n’avez pas approuvé des MAJ, elles ne s'installent pas. Ici, comme vous avez mis à jour votre serveur avant de commencer l’installation de rôles, elles devraient être installées (suivant ce que vous avez choisi pour la première synchronisation).

Pour approuver des MAJ, rendez-vous dans la partie “Mises à jour” et grâce au clic droit, vous aurez le menu “Action” qui vous permettra d’approuver ou de refuser une mise à jour.

Pourquoi refuser une mise à jour ?

Je vous conseille de tester les mises à jour avant de les déployer à grande échelle. Si vous observez, lors de votre test, une incompatibilité avec un applicatif ou un autre correctif, refusez la mise à jour, elle ne se déploiera pas et vous serez à l’abri d’un souci à l’échelle de votre parc :

Approuver ou refuser une mise à jour
Approuver ou refuser une mise à jour

Afin d’avoir le plus d’informations possible sur une mise à jour, Microsoft vous offre de nombreuses informations sur chacune d’entre elles :

Information sur une mise à jour
Informations sur une mise à jour

Ainsi vous saurez en un coup d’œil, en cliquant sur une mise à jour, si elle nécessite un redémarrage, si elle est remplacée par une autre mise à jour, si elle met à jour le contrat de licence de Microsoft et surtout une description de ce qu’elle apporte (succincte ; pour une description complète, rendez-vous sur le lien correspondant de la base de connaissance de Microsoft – sous la forme http://support/microsoft/kb/xxxxx).

Vous avez maintenant toutes les cartes en main pour mettre en œuvre une politique de sécurité cohérente, et surtout maîtrisée, de votre parc de postes clients et serveurs sous Windows !

Allez plus loin

Si vous souhaitez aller encore plus loin, vous avez la possibilité d’installer le composant Report Viewer de Microsoft. Cela vous permettra d’obtenir une multitude de rapports sur les MAJ, l’état de conformité de votre parc vis-à-vis de votre politique de sécurité ou tout simplement sur l’état de santé de votre WSUS.

  • Guide Microsoft sur la mise en œuvre de WSUS.

  • Outil permettant de simplifier la configuration d’un poste vers un WSUS sans GPO (attention, ce ne sont que les sources).

En résumé

  • Windows Server permet de reprendre le contrôle des mises à jour Microsoft de son parc informatique au travers de WSUS.

  • WSUS permet de mettre en œuvre une stratégie de déploiement en fonction de critères simples (tels que l’heure ou la date de déploiement) ou avancés (en fonction du type de correctifs).

  • Microsoft fournit de nombreuses informations sur les mises à jour, qu’il met à disposition pour WSUS : description, impact en termes de redémarrage, cible, impact sur la licence…

  • Les ordinateurs clients doivent être configurés pour prendre en compte leur nouvelle source de mise à jour (le WSUS) ; pour cela deux méthodes existent, les GPO ou la modification du registre (pour les ordinateurs gérés sans Active Directory). 

Dans la prochaine et dernière partie de ce cours, vous continuerez à maîtriser l’administration de Windows Server, en particulier avec l’outil de scripting PowerShell ou encore la virtualisation via Hyper-V…

Example of certificate of achievement
Example of certificate of achievement