• 12 heures
  • Moyenne

Ce cours est visible gratuitement en ligne.

course.header.alt.is_video

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 05/03/2019

Distribuez des mises à jour avec WSUS

Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !

Ah, les mises à jour, un vaste sujet propice à la polémique. Faut-il les installer automatiquement ? Faut-il suivre le rythme de Microsoft (tous les premiers mardis du mois) ? Faut-il les installer systématiquement sur tout le parc ? Les interrogations sur le sujet sont nombreuses et l’interprétation de chacun peut porter à confusion. Je vous propose de couper court aux polémiques et d’assumer une politique de déploiement que vous maîtriserez au travers de WSUS !

Qu’est-ce que WSUS ?

Si vous êtes utilisateur Windows sur votre poste personnel, vous connaissez le service de mise à jour de Microsoft. Windows Updates, Microsoft Updates, ce service, pour l’utilisateur lambda d’un ordinateur, est assez… capricieux. Il décide seul de quand redémarrer votre ordinateur et l’actualité du mois d’octobre 2018 permet de comprendre à quel point cela peut être dangereux (la mise à jour de Windows 10 du mois d’octobre était capable de supprimer vos données personnelles...ce qui a heureusement été corrigé depuis).

Windows Update sous Windows 10
Windows Update sous Windows 10

WSUS est un équivalent de ce service (grand public géré par Microsoft) à destination des administrateurs. Vous allez ainsi pouvoir télécharger les mises à jour de votre parc 1 seule fois via votre serveur WSUS (qui se connectera aux serveurs de Microsoft), puis décider de comment déployer et distribuer ces mises à jours !

Vous reprendrez alors le contrôle sur le cycle de mises à jour de votre parc informatique. C'est donc la solution idéale pour éviter les problèmes avec les utilisateurs.

La gestion des mises à jour est un sujet complexe, d’autant qu’il est difficile de demander au grand public d’effectuer des mises à jour. Il est difficile pour lui de savoir ce qu’il se cache derrière cela. Rassurez-vous, il en va de même pour les utilisateurs en entreprise.

Imaginez votre directeur s'arrêter d’analyser le tableaux des ventes internationales de l’entreprise Gift SA pour lancer une mise à jour de son système d’exploitation :

  • Il n’en a pas le temps (certaines mises à jour majeures pouvant prendre plusieurs heures) ;

  • Il ne connaît pas l’impact de la mise à jour (certaines mises à jour corrigent des vulnérabilités mais impactent la compatibilité avec d’autres logiciels) ;

  • Si tous les utilisateurs devaient s’occuper de leurs mises à jour (dan le cas de Gift SA, plus de 150 utilisateurs), cela ferait inévitablement 150 x la taille des correctifs, dans de nombreux cas ils atteignent plus de 200 Mio, soit un total de 30 Gio de correctifs à récupérer.

Alors, à la vue de ces arguments, il est important de prendre en main ce travail.

Installez le rôle WSUS

Vous allez dire que je radote, mais rendez-vous sur le gestionnaire de serveur et installez le rôle WSUS. Il s’agit d’un point d’entrée plutôt simple et efficace pour gérer son serveur sous Windows 😀

Très exactement, il s’agit des Services WSUS. Et vous verrez que de nombreuses fonctionnalités sont nécessaires. En effet, WSUS utilise de nombreuses options de déploiement pour minimiser la bande passante sur le réseau, ainsi que des fonctionnalités en lien avec le web, car la récupération des mises à jour et leur déploiement va se baser sur ces services.

D’ailleurs, je vous inviterai à bien réfléchir à comment architecturer ce service en production, car il est consommateur d'espace disque pour les mises à jour, et très gourmand en base de données pour stocker les différentes données additionnelles (méta-données) concernant les mises à jour. En effet, WSUS va récupérer les différents correctifs mais également une description, des informations concernant l’impact (surtout le redémarrage - nécessaire ou pas), ainsi que les informations de catégorisation et de cible.

Si tout va bien, vous devriez obtenir l’écran suivant au niveau de l’outil Services WSUS nouvellement installé :

Outil de gestion de WSUS
Outil de gestion de WSUS

Sur la gauche, vous disposez d’un menu de gestion :

  • Des mises à jour récupérées par votre serveur ;

  • Des ordinateurs correctement configurés comme clients ;

  • D’éventuels serveurs que vous pouvez configurer pour augmenter le niveau de sécurité (vous pouvez mettre un WSUS en DMZ pour récupérer les MAJ depuis les serveurs de Microsoft et avoir votre serveur WSUS connecté aux clients qui, lui, se trouvera sur votre LAN. Il récupérera les MAJ depuis le serveur en DMZ, par exemple) ;

  • Les informations et configuration sur les synchronisations ;

  • Des rapports ;

  • Et les options.

Je vous propose d’aller jeter un œil sur les options avant toute opération.

Options de WSUS
Options de WSUS

Ici, vous allez pouvoir gérer les options de votre serveur, avec notamment certaines à configurer avec soin :

  • Source de mises à jour et serveur proxy : c’est ici que vous allez configurer la manière de récupérer les mises à jour. Si vous avez protégé votre accès Internet avec un proxy, si vous avez configuré un serveur WSUS en DMZ, vous allez pouvoir déclarer ces différents modes de fonctionnement à cet emplacement ;

  • Produits et classifications : c’est l’option la plus intéressante de WSUS. Elle va vous permettre de choisir, parmi les nombreux produits Microsoft, ceux pour lesquels vous allez récupérer les mises à jour !

Produits couverts par Microsoft Update
Produits couverts par Microsoft Update

Vous allez pouvoir récupérer uniquement les mises à jour concernant les produits Microsoft installés (et la liste est longue). De plus, les classifications vont vous permettre, sur les produits choisis, de cibler avec précision quels types de mises à jour récupérer : correctifs, sécurité, pilotes :

Classification des mises à jour
Classification des mises à jour

Avec la combinaison de ces deux onglets d’options, vous reprenez réellement le contrôle sur le déploiement (prochain) des mises à jour sur votre parc. Vous pouvez cibler les mises à jour critiques des serveurs Windows 2016 par exemple (c’est le choix que j’ai fait ici) :

  • Fichiers et langues des mises à jour : dans ces options, vous allez pouvoir limiter la bande passante en gérant la méthode de téléchargement des fichiers des mises à jour et le nombre de versions des mises à jour, à travers la sélection des langues de vos systèmes à mettre à jour (par défaut, toutes les langues seront téléchargées) ;

  • Planification de la synchronisation : ici, vous allez planifier la synchronisation de votre serveur (c.-à-d. la récupération des fichiers Microsoft Update) en choisissant l’heure et le nombre de synchronisations par jour. Attention à correctement planifier cette tâche qui sera très gourmande en bande passante !

  • Approbations automatiques : encore une option qui confirme que le WSUS est un incontournable en environnement Microsoft. Vous allez pouvoir valider automatiquement certaines mises à jour. Par exemple, vous considérez que tous les correctifs de sécurité doivent être appliqués, vous allez les approuver automatiquement ! De même, vous avez besoin de tester la mise à jour des pilotes, vous pourrez refuser l’approbation dans un premier temps, effectuer vos tests sur un groupe de postes clients “pilote” et si tout se passe bien, approuver après cette validation pour lancer un déploiement sur votre parc !

Approbation automatique de certaines Mises à jour
Approbation automatique de certaines mises à jour
  • Ordinateurs : cette option permet de choisir la méthode de regroupement des ordinateurs. Il est préférable de gérer cela via des GPO, mais WSUS peut vous laisser le faire manuellement via la console Services WSUS ;

  • Assistant de nettoyage du serveur : comme son nom l’indique, cette option vous permet de faire un peu de ménage en supprimant les mises à jours inutilisées, les ordinateurs ne s’étant pas connectés depuis 30 jours ou plus, les fichiers inutiles… Grâce à cette option vous allez maîtriser l’occupation disque et la taille de la base de données ;

  • Cumul des rapport : option servant à grouper les rapports d’état des ordinateurs ;

  • Notification par courrier électronique : comme son nom l’indique, permet de recevoir des mails en fonction de critères particuliers ;

  • Programme d’amélioration de Microsoft Update : vous permet d’autoriser ou non l’envoi de données anonymisées à Microsoft sur votre utilisation de WSUS ;

  • Personnalisation : ces options permettent de personnaliser l’affichage de certaines tâches sur votre console WSUS ;

  • Assistant de configuration du serveur WSUS : vous permet de relancer la configuration initiale des services WSUS sur votre serveur, avec notamment la synchronisation initiale des mises à jour.

Utilisez le rôle WSUS

Maintenant que vous maîtrisez l’ensemble des options et le principe de fonctionnement de WSUS, je vous propose de passer à la mise en oeuvre d’une politique. Par défaut, vous ne disposerez d’aucun client sur votre serveur. Je vous propose d’ajouter un client, à savoir le serveur WSUS lui-même.

Pour cela, deux options s’offrent à vous :

  1. Vous disposez d’un Active Directory : utilisez les GPO, elles sont faites pour cela ;

  2. Vous ne disposez pas d’Active Directory (cela peut arriver) : vous allez devoir utiliser la base de registre.

Ajouter des clients WSUS via GPO

Cette méthode est recommandée surtout si vous avez un parc de clients important. Pour cela, vous disposez des paramètres suivants dans Configuration ordinateur > Stratégies > Modèle d’administration > Composants Windows > Windows Update, ensuite vous disposez des options suivantes :

  • "Ne pas afficher l'option 'Installer les mises à jour et éteindre' dans la boîte de dialogue 'arrêt de Windows'" ;

  • "Ne pas modifier l'option par défaut 'Installer les mises à jour et éteindre' dans la boîte de dialogue 'Arrêt de Windows'" ;

  • "Configuration du service de mises à jour automatiques" ;

  • "Spécifier l'emplacement intranet du service de mises à jour automatiques" ;

  • "Fréquence de détection des mises à jour automatiques" ;

  • "Autoriser les non-administrateurs à recevoir les notifications de mises à jour automatiques" ;

  • "Autoriser l'installation des mises à jour automatiques" ;

  • "Activer les mises à jour automatiques recommandées via le service de mises à jour automatiques" ;

  • "Pas de redémarrage automatique avec des utilisateurs connectés pour les installations planifiées des mises à jour automatiques" ;

  • "Autoriser les mises à jour signées provenant d'un emplacement intranet du service de mises à jour Microsoft".

Ajouter des clients WSUS via le registre

Si vous souhaitez modifier le registre pour effectuer ces mêmes configurations, suivez les étapes suivantes :

Tous les paramètres se trouvent dans :

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

  • "WUServer"=http://nomduserveur/   (ou nomduserveur est le nom DNS de votre serveur WSUS)

  • "WUStatusServer"=http://nomduserveur/   (idem précédent)

  • "TargetGroupEnabled"=dword:00000001  (ici il s’agit de l’activation du ciblage par group du client)

  • "TargetGroup"=CLIENTS-W10-Test  (il s’agit du nom du groupe dans lequel les clients seront affichés sur la console WSUS)

  • "ElevateNonAdmins"=dword:00000000  (permet de spécifier s’il faut demander une élévation de privilège pour les utilisateurs non administrateur)

Ensuite, d’autres options se trouvent à cet emplacement :  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
Ces options vont permettre d’aller plus loin de la configuration du client WSUS :

  • "NoAutoRebootWithLoggedOnUsers"=dword:00000000  (autorisez vous le rédamarrage si des utilisateurs sont connecté sur le poste)

  • "NoAutoUpdate"=dword:00000000   (autorisez vous les mises à jour automatiques)

  • "AUOptions"=dword:00000004   (ici il s’agit des options que vous pouvez mettre en oeuvre sur le client : installation des MAJ, téléchargement des mises à jour sans installation…)

  • "ScheduledInstallDay"=dword:00000000   (la date d’installation des MAJ)

  • "ScheduledInstallTime"=dword:0000000f   (et l’heure)

  • "AutoInstallMinorUpdates"=dword:00000001   (souhaitez vous installer automatiquement les mises à jour mineures)

  • “DetectionFrequencyEnabled"=dword:00000001  (souhaitez vous automatiser la détéction des mises à jour)

  • "DetectionFrequency"=dword:00000001   (à quelle fréquence ? entre toutes les 16 et jusqu’à toutes les 20h)

  • "RebootWarningTimeout"=dword:00000004   (voulez-vous avertir d’un redémarrage imminent)

  • "RebootWarningTimeoutEnabled"=dword:00000001    (et activer l’option précédente)

  • "RebootRelaunchTimeout"=dword:00000006   (voulez-vous autoriser le fait de repousser un redémarrage)

  • "RebootRelaunchTimeoutEnabled"=dword:00000001   (et activer l’option précédente)

  • "RescheduleWaitTimeEnabled"=dword:00000001   (voulez-vous permettre de repousser un redémarrage)

  • "RescheduleWaitTime"=dword:00000002   (et à quel moment le redémarrage aura lieu)

  • "UseWUServer"=dword:00000001  (utilisez vous un serveur WSUS ?)

Une fois l’une de ces options configurée, redémarrez votre serveur et vous observerez dans la console, au niveau des ordinateurs, que votre ordinateur est apparu. Accessoirement, vous aurez droit à un indicateur sur les mises à jour présentes sur votre WSUS qui seront évaluées pour votre ordinateur :

Client du WSUS et évaluation des MAJ disponible
Client du WSUS et évaluation des MAJ disponibles

Approuvez des mises à jour WSUS

Tant que vous n’avez pas approuvé des MAJ, elles ne s'installent pas. Ici, comme vous avez mis à jour votre serveur avant de commencer l’installation de rôles, elles devraient être installées (suivant ce que vous avez choisi pour la première synchronisation).

Pour approuver des MAJ, rendez-vous dans la partie “Mises à jour” et grâce au clic droit, vous aurez le menu “Action” qui vous permettra d’approuver ou de refuser une mise à jour.

Pourquoi refuser une mise à jour ?

Je vous conseille de tester les mises à jour avant de les déployer à grande échelle. Si vous observez, lors de votre test, une incompatibilité avec un applicatif ou un autre correctif, refusez la mise à jour, elle ne se déploiera pas et vous serez à l’abri d’un souci à l’échelle de votre parc :

Approuver ou refuser une mise à jour
Approuver ou refuser une mise à jour

Afin d’avoir le plus d’informations possible sur une mise à jour, Microsoft vous offre de nombreuses informations sur chacune d’entre elles :

Information sur une mise à jour
Informations sur une mise à jour

Ainsi vous saurez en un coup d’œil, en cliquant sur une mise à jour, si elle nécessite un redémarrage, si elle est remplacée par une autre mise à jour, si elle met à jour le contrat de licence de Microsoft et surtout une description de ce qu’elle apporte (succincte ; pour une description complète, rendez-vous sur le lien correspondant de la base de connaissance de Microsoft - sous la forme kb/xxxxx).

Vous avez maintenant toutes les cartes en main pour mettre en œuvre une politique de sécurité cohérente, et surtout maîtrisée, de votre parc de postes clients et serveurs sous Windows !

En résumé

  • Windows Server permet de reprendre le contrôle des mises à jour Microsoft de son parc informatique au travers de WSUS ;

  • WSUS permet de mettre en oeuvre une stratégie de déploiement en fonction de critères simples (tels que l’heure ou la date de déploiement) ou avancés (en fonction du type de correctifs) ;

  • Microsoft fournit de nombreuses informations sur les mises à jour, qu’il met à disposition pour WSUS : description, impact en termes de redémarrage, cible, impact sur la licence… ;

  • Les ordinateurs clients doivent être configurés pour prendre en compte leur nouvelle source de mise à jour (le WSUS) ; pour cela deux méthodes existent, les GPO ou la modification du registre (pour les ordinateurs gérés sans Active Directory).

Exemple de certificat de réussite
Exemple de certificat de réussite