SERVEUR WINDOWS UPDATE SERVICE (WSUS 3 SP2)

SERVEUR WINDOWS UPDATE SERVICE (WSUS 3 SP2) LES INFORMATIONS CONTENUES DANS CET ARTICLE S'APPLIQUENT AUX PRODUITS SUIVANTS: Microsoft Windows Serveur 2003 SP1 ou versions ultérieures. Microsoft Windows Serveur 2008 SP1 ou versions ultérieures. Microsoft Windows Server 2008 R2. Microsoft Windows Small Business Server 2008. Microsoft Windows Small Business Server 2003. TABLE DES MATIERES 1 Présentation... 2 2 Pré-requis pour l installation... 3 3 Installation des Pré-requis... 4 3.1 Ajout des roles nécessaires Sur un serveur Windows 2003 SP1 ou ultérieur... 4 3.2 Ajout des roles nécessaires Sur un serveur Windows 2008 SP1 ou 2008 R2... 5 4 Installation de WSUS 3.0 SP2... 6 5 Exploitation de WSUS 3.0 SP2... 13 5.1 Configuration des postes clients WSUS... 13 5.1.1 Postes en domaine active directory (AD)... 13 5.1.2 Postes en Workgroups (sans domaine Active Directory)... 18 6 Présentation de la console WSUS 3.0 SP2... 20 6.1 Configuration des mises à jour et des paramètres de synchronisation... 20 6.2 Configuration des groupes d ordinateurs... 21 6.2.1 Affectation des ordinateurs à des groupes WSUS... 21 7 Approbation et déploiement des mises à jour... 26 8 Exploitation quotidienne... 28 8.1 Rapports... 28 8.2 En cas de problème...... 29 9 Problème avec des ordinateurs Windows clonés à l'aide d'une image de référence non «sysprépée»... 30 10 Ressources nécessaires ou utiles... 31 10.1 Ressources logicielles... 31 10.2 Ressources documentaires... 31 Créé le 26/06/2011 Page 1 de 31

1 PRESENTATION Tout administrateur système connaît l importance de l application régulière des mises à jour Microsoft et notamment des patchs de sécurité. Ces derniers sont, en effet, essentiels pour maintenir votre parc informatique à l abri d attaques informatiques visant vos systèmes d exploitation. Windows Server Update Services (WSUS) est la solution technique proposée par Microsoft afin de permettre une gestion et un déploiement centralisés des mises à jour Microsoft. Il permet d utiliser le client Windows Update installé par défaut sur vos systèmes d exploitation afin d interroger non plus le serveur de mises à jour Microsoft (www.windowsupdate.com) mais votre propre serveur de mises à jour WSUS. Vous aurez alors un contrôle fin sur les mises à jour à télécharger depuis le site Microsoft économisant ainsi votre bande passante, ainsi que sur la stratégie de validation et de diffusion des mises à jour. Ce client Windows Update peut être configuré par stratégie de groupes afin de spécifier les heures de déploiement, les interactions avec l utilisateur, l obligation de redémarrer ou non à la suite d une installation de patchs, etc. Les mises à jour proposées peuvent être des services packs, des ensembles de correctifs, des patchs de sécurité, concernant aussi bien les systèmes d exploitation Windows 2000 SP4, XP, Vista, 7, Windows Server 2003, Windows Server 2008, 2008 R2 que les applications Microsoft les plus courantes (Office, SQL Server, Exchange Server, ISA Server, etc.). Ces mises à jour sont d autant plus nécessaires que Microsoft n accepte d apporter un support en cas de problème qu aux applications ou systèmes d exploitation ayant un niveau de service pack minimum. Suivant votre infrastructure, WSUS peut se mettre à jour avec le site Microsoft ou bien avec un autre serveur WSUS "maître". Vous pouvez ainsi avoir une hiérarchie de serveurs WSUS pour gérer vos environnements complexes. Nouveautés apportées par ce SP2 : o Support Windows Server 2008 R2 o Support Windows 7 o Application des règles plus détaillée o Compatibilité avec WSUS SP1. o Corrections de bugs et amélioration du support de l IPV6 o Support de la fonctionnalité BranchCache. o Définition d'une date et heure de deadline concernant l auto approbation des règles. Créé le 26/06/2011 Page 2 de 31

2 PRE-REQUIS POUR L INSTALLATION Avant de vous lancer dans l installation et la configuration de WSUS, sachez que plusieurs pré-requis doivent être respectés sur le futur serveur WSUS. Le serveur doit respecter les pré-requis suivants : L espace disque à prévoir est de 1 Go sur la partition système, 2 Go pour la partition contenant la base de données et environ 30 Go pour la partition stockant les mises à jour (la volumétrie dépendra du nombre de produits et de langues choisis). WSUS 3.0 SP2 peut être installé sur les systèmes d exploitation suivants : o Windows Server 2008 R2. o Windows Server 2008 SP1 ou versions ultérieures. o Windows Server 2003 SP1 ou versions ultérieures. o Windows Small Business Server 2008. o Windows Small Business Server 2003. Les services suivants doivent également être installés : o IIS 6.0 ou versions ultérieures (avec l installation du composant ASP.NET et prise en charge des objets COM+ réseau). o Microsoft.NET Framework 2.0 ou versions ultérieures. La version 3.5 est le minimum requis si vous installez Microsoft Report Viewer 2008 SP1. o Une base de données Microsoft SQL Server 2008 (Express, Standard ou Enterprise Edition), SQL Server 2005 SP2 ou bien encore la base de données interne de Windows. o Microsoft Management Console 3.0. Téléchargeable à l adresse suivante : http://www.microsoft.com/downloads/fr-fr/details.aspx?familyid=4c84f80b-908d-4b5d-8aa8-27b962566d9f o Microsoft Report Viewer Redistributable 2008 SP1. Il est téléchargeable à l adresse suivante : http://www.microsoft.com/downloads/fr-fr/details.aspx?familyid=bb196d5d-76c2-4a0e-9458-267d22b6aac6 BITS 2.0 et WinHTTP 5.1 : cette mise à jour permet d'améliorer les protocoles de transferts utilisés par les serveurs et clients WSUS (cette mise à jour est applicable aux serveurs Microsoft Windows 2003) : http://www.microsoft.com/downloads/fr-fr/details.aspx?familyid=3fd31f05-d091-49b3-8a80-bf9b83261372 Le compte NT\Service réseau doit avoir les permissions Contrôle total sur les dossiers %windir%\microsoft.net\framework\v2.0.50727\temporary ASP.Net Files et le dossier %windir%\temp. En termes d accès réseau : Le pare-feu du serveur WSUS doit être autorisé à se connecter au serveur de mises à jour en amont (serveurs Microsoft sur Internet ou serveur maître WSUS). Les ports à autoriser sont les ports 80/TCP et 443/TCP. Si votre pare-feu ne le permet pas, vous pouvez n autoriser que les accès sur les URLs spécifiques dont la liste est disponible à l adresse suivante : http://support.microsoft.com/kb/885819 Si l'un de ces pré-requis n'est pas respecté un message d'erreur s'affiche alors et le processus d'installation ne peux pas débuter... Créé le 26/06/2011 Page 3 de 31

Afin de tester les pré-requis, une commande spécifique existe créant ainsi un fichier XML contenant tous les résultats des tests. Dans une invite de commande, saisissez : "X\ WSUS30-KB972455-x86.exe /p" (X représente le chemin où se situe l exécutable d installation du serveur WSUS). Aucun message n'apparaît, c'est normal... Par contre un fichier XML a été créé dans votre répertoire utilisateur temporaire => C:\Users\F.ANCELOT\AppData\Local\Temp\WSUSPreReqCheck.xml Une batterie de 12 tests est effectuée sur votre ordinateur, afin de vérifier d'une part votre système d'exploitation, la présence de IIS, le système de fichiers utilisé, l'espace disque, la présence de SUS ou non etc. etc. Tous ces résultats sont donc lisibles dans votre fichier XML (que vous pouvez ouvrir avec Internet Explorer). Le résultat est correct si la valeur est à "0" est pose problème si la valeur est à "1". Voici l exemple d un extrait de ce fichier : Ici nous pouvons voir que le code du résultat est 1 indiquant un souci. Le paramètre testé est le système d'exploitation: au minimum Windows Server 2003 SP1. En effet ce test a été effectué sur un Windows 7 ne répondant pas au pré-requis... En conclusion, vous devez avoir que des "0" dans les résultats pour vous lancer dans l'installation de WSUS. 3 INSTALLATION DES PRE-REQUIS Maintenant que vous connaissez les différents pré-requis, il vous est possible de démarrer l installation de WSUS sur votre Windows Server. La première partie de l installation consiste à installer les rôles et composants sur lesquels se reposera le rôle WSUS. Installez les mises à jour pour votre serveur (utilisez Windows Update). Téléchargez et installez le Report Viewer 2008 SP1. Téléchargez et installez MMC 3.0. Vérifiez que votre console de gestion de stratégie de groupe (gpmc.msc) est en version 1.0.2 3.1 AJOUT DES ROLES NECESSAIRES SUR UN SERVEUR WINDOWS 2003 SP1 OU ULTERIEUR Ouvrez le gestionnaire de serveur puis choisissez ajouter les rôles nécessaires. Créé le 26/06/2011 Page 4 de 31

Les serveurs d applications IIS et ASP.NET s installent. Passez maintenant à l étape «4 INSTALLATION DE WSUS». 3.2 AJOUT DES ROLES NECESSAIRES SUR UN SERVEUR WINDOWS 2008 SP1 OU 2008 R2 Ouvrez le gestionnaire de serveur puis choisissez «Ajouter des rôles» et cochez «Serveur d applications» et «Serveur Web (IIS)». L assistant ajout de rôles vous propose alors d ajouter les fonctionnalités requises pour le rôle Serveur d applications. Acceptez en cliquant sur «suivant». Sur la page Services du rôle Serveur d Applications, cochez «.Net Framework 3.5.». Acceptez les paramètres par défaut puis Cliquez sur «Suivant». Créé le 26/06/2011 Page 5 de 31

Sur la page Services du rôle Serveur Web (IIS), laissez les paramètres activés par défaut et ajoutez également les paramètres (et les services de rôles requis, si demandés) ASP.NET, Authentification Windows, Compression de contenu dynamique et compatibilité avec la gestion IIS 6. Puis cliquez sur «suivant». L écran récapitulatif apparaît alors. Cliquez sur «Installer» pour débuter l installation des composants. Un panneau récapitulatif vous confirme ensuite que l installation s est correctement déroulée. Si les mises à jour automatiques ne sont pas activées, un message d avertissement apparaîtra à la fin de l assistant vous invitant à les activer via le panneau de configuration. Cliquez alors sur «Fermer». Une fois ces premiers composants installés, vous pouvez maintenant lancer l installation de WSUS. 4 INSTALLATION DE WSUS 3.0 SP2 Avant d installer le serveur WSUS, vérifiez que vous avez bien donné la permission «Contrôle Total» au compte «Autorité NT\Service réseau» sur les dossiers «%windir%\microsoft.net\framework\v2.0.50727\temporary ASP.Net Files» et sur le dossier «%windir%\temp». Téléchargez et installez WSUS 3.0 SP2 à l adresse suivante : http://www.microsoft.com/downloads/en/details.aspx?familyid=a206ae20-2695-436c-9578-3403a7d46e40 Créé le 26/06/2011 Page 6 de 31

Sélectionnez alors la partition sur laquelle seront stockés les fichiers de mises à jour téléchargés. Bien que l assistant indique un minimum de 6 Go, il est généralement conseillé de sélectionner une partition non système d au moins 30 Go. L assistant vous demande alors de sélectionner l emplacement de la base de données utilisée par WSUS. Vous avez le choix entre installer localement la base de données interne Windows ou utiliser un serveur SQL local ou distant. Dans le cas d un serveur SQL, entrez le nom de l instance sous la forme <NomServeur>\<NomInstance>. Dans le cas d une connexion à un serveur SQL, l étape suivante sera d établir une connexion avec ce serveur. Dans notre exemple, choisissez d Installer la base de données interne Windows sur cet ordinateur. Créé le 26/06/2011 Page 7 de 31

Sur la page Sélection du site Web, indiquez les préférences du site web. Si vous possédez déjà un site écoutant sur le port 80, choisissez de Créer un site web Windows Server Update Services 3.0 SP2 afin que celui-ci écoute sur un port différent (port 8530). Dans notre exemple, aucun site n est configuré et, par conséquent, l option par défaut Utiliser le site Web IIS par défaut existant est correcte. Un assistant de configuration de Windows Server Update Services se lance vous demandant de vérifier les différents points évoqués précédemment concernant la connectivité réseau. Vérifiez à nouveau les points cités ici avant de continuer en cliquant sur «Suivant». Créé le 26/06/2011 Page 8 de 31

Choisissez le serveur en amont, à partir duquel ce serveur WSUS ira chercher ses mises à jour. En effet, il est possible d avoir une hiérarchie de serveurs. Cela est fort pratique dans les grandes entreprises où un processus de gestion de patchs (qualification, tests, etc.) est généralement en place afin de détecter et corriger les effets indésirables sur des applications suite à l installation de ces patchs. (Plus d infos sur le processus de gestion des patchs à cette adresse : http://technet.microsoft.com/fr-fr/library/cc700831.aspx). L avantage d avoir un serveur WSUS en amont est que celui-ci diffusera uniquement les patchs testés et validés (par une équipe spécialisée) aux autres serveurs WSUS des différentes divisions dépendantes. Les serveurs enfants s appellent des serveurs réplicas. Vous aurez ainsi la maîtrise sur les patchs installés sur l ensemble de votre entreprise. L autre avantage d avoir plusieurs WSUS répartis est l économie de bande passante pour certains sites ne disposant pas d un débit important ; cet argument est moins recevable dans la mesure où un poste patché peut désormais servir de relais de mise à jour (vous verrez cela un peu plus loin dans ce chapitre). Dans cet exemple, nous avons une architecture simple qui se résume à un seul WSUS qui se connecte donc à Internet. Choisissez l option «Synchroniser à partir de Windows Update». Créé le 26/06/2011 Page 9 de 31

Si votre serveur WSUS doit utiliser un proxy pour pouvoir se connecter au site de Microsoft, indiquez ici l adresse du proxy, ainsi que les identifiants éventuels. Si ce n est pas le cas, ne cochez rien. Choisissez les langues d installation des mises à jour. Ne cochez que le strict nécessaire suivant les langues installées sur les systèmes d exploitation de votre parc informatique. Créé le 26/06/2011 Page 10 de 31

Sélectionnez alors les produits que vous souhaitez mettre à jour. Une longue liste d applications Microsoft est disponible. Par défaut, les systèmes d exploitation clients et serveurs Windows sont sélectionnés. Validez en cliquant sur «Suivant». Indiquez alors les différents types de classifications pour lesquels les mises à jour seront téléchargées. Les options par défaut sont correctes. Le Service Pack des produits précédemment sélectionnés peut être utile mais attention cependant à l espace disque nécessaire au stockage de celui-ci pour les différents systèmes d exploitation. Validez en cliquant sur «Suivant». Choisissez alors le type de planification de ce serveur afin d interroger son serveur en amont. Préférez une planification quotidienne à une planification manuelle sauf si vous avez des contraintes fortes en termes de débit réseau. Dans cet exemple, une interrogation quotidienne à 20 heures est effectuée. Validez en cliquant sur «Suivant». Créé le 26/06/2011 Page 11 de 31

Vous pouvez alors lancer immédiatement la synchronisation avec le serveur en amont. Cela ne sera pas forcément consommateur en termes de débit réseau dans la mesure où vous aviez précédemment indiqué que seules les mises à jour approuvées seraient téléchargées. À ce moment de l installation, aucune mise à jour n a été approuvée et par conséquent seule la liste des patchs à télécharger sera récupérée depuis Internet. En revanche, une fois les patchs approuvés depuis la console WSUS (cf. Approbation et déploiement des mises à jour), lancez cette première synchronisation de préférence en heures non ouvrées. Validez en cliquant sur «Suivant». La dernière fenêtre vous guide alors sur les pages d aide des principales étapes à réaliser afin de pouvoir commencer à réellement utiliser votre serveur WSUS. Vous verrez en détail un peu plus loin ce qu il reste à effectuer. Cliquez sur «Terminer». Créé le 26/06/2011 Page 12 de 31

5 EXPLOITATION DE WSUS 3.0 SP2 La gestion des mises à jour Microsoft avec WSUS se fait au travers de deux outils. La console MMC dédiée à WSUS pour gérer les mises à jour à installer et les stratégies de groupe afin de configurer les paramètres liés à l installation de ces mises à jour sur les postes clients. 5.1 CONFIGURATION DES POSTES CLIENTS WSUS Avant d'entamer la création de GPO (Group Policy Object), pour la configuration de la mise à jour automatique des clients, vous devez vous assurer que vous possédez le dernier modèle d'administration Windows Update. Le fichier du modèle intégrant la gestion de WSUS se nomme «Wuau.adm» et il est situé dans le dossier «%systemroot%\inf». Une version à jour est disponible sur le serveur WSUS lui même. Accédez au répertoire «C:\Program Files\Update Services\Selfupdate\WSUS3\x86\Other\» du serveur WSUS et recherchez le fichier «wucltui_fr.cab» pour votre langue (fr = français). Celui-ci contient le fichier «Wuau.adm» à jour (actuellement en version du 6 Août 2009 61,8Ko). Procédure pour importer le modèle d'administration Wuau.adm, si votre ordinateur ne possède pas la dernière version: o Dans l'éditeur de Stratégie de groupe «GPEDIT.MSC», cliquez sur le nœud «Modèle d'administration». o Dans le menu Action, cliquez sur «Ajout/Suppression de modèles». o Dans la fenêtre "Ajout/Suppression de modèle", cliquez sur «Ajouter». o o Dans la fenêtre de «Sélection de modèle», sélectionnez l endroit où vous avez stocké le fichier «Wuau.adm» à jour et cliquez sur «Ouvrir..». Fermer la fenêtre "Ajout/Suppression de modèle". 5.1.1 POS TE S EN DOM AI NE AC TIVE DI RECTORY (AD) Dans un environnement en domaine, il est possible, grâce aux stratégies de groupe (GPO), de gérer de façon centralisée la politique de mises à jour Windows Update des postes de travail. Avant toute chose, il convient de configurer les stratégies de groupe des postes clients afin que ces derniers soient détectés par WSUS. Créé le 26/06/2011 Page 13 de 31

Pour cela, éditez la stratégie de groupe qui permet au service Windows Update du poste client de pointer vers le serveur WSUS et non plus le serveur Microsoft Windows. L édition d une stratégie au niveau du domaine peut tout à fait être envisagée si tous les postes de travail du domaine doivent se mettre à jour sur un même serveur WSUS. Si ce n est pas le cas, il faudra préférer définir cette stratégie de groupe au niveau des unités d organisation, contenant les ordinateurs pour lesquels vous souhaiterez avoir ce serveur WSUS comme référence pour récupérer les mises à jour. Dès lors que ce modèle stratégie de groupe sera importé, les ordinateurs clients utiliseront le service WSUS disponible sur votre réseau pour la mise à jour automatique mais les utilisateurs pourront toujours mettre à jour manuellement leur ordinateur via Microsoft Windows Update. Pour empêcher les utilisateurs d'utiliser Microsoft Windows Update, il faudra activer une autre stratégie de groupe (voir l option de stratégie «Supprimer l'accès à l'utilisation de toute les fonctionnalités de Windows Update»). Sur un serveur du domaine ou un poste de travail sur lequel sont installés les outils d administration du domaine AD, exécutez la console de gestion des stratégies de groupes«gpmc.msc». Créez un objet de stratégie de groupe sur l OU en question. Ici nous n avons pas OU de déclarée, nous allons donc créer un objet de stratégie de groupe sur le domaine complet «mypdf.local». Donnez-lui un nom. Ici, «WSUS». Créé le 26/06/2011 Page 14 de 31

Cliquez avec le bouton droit de la souris sur cet objet de stratégie et sélectionnez «Modifier». Dans l'éditeur de Stratégie de groupe, déployez le nœud «Configuration ordinateur\modèle d'administration\composants Windows\Windows Update». - Dans le panel de droite, modifiez les stratégies suivantes: o «Spécifier l'emplacement intranet du service de Mise à jour Microsoft». Activez la stratégie dans la fenêtre Propriétés de la stratégie. Renseignez l'adresse DNS du serveur qui héberge le service WSUS dans les champs "Configurer le service intranet de Mise à jour pour la détection des mises à jour" et «Configurer le serveur intranet de statistiques" (Exemple: http://srv-2k3-wsus). o «Configuration des mises à jour automatiques». Activer le service de Mise à jour automatique des clients et spécifier une politique (voir le tableau ci-dessous). Créé le 26/06/2011 Page 15 de 31

Vous pouvez selon vos besoins configurer d autres options concernant la stratégie Windows Update des ordinateurs de votre domaine. Voici la liste des options possibles : o «Autoriser le ciblage coté client». Vous pouvez créer des groupes dans WSUS. L'objectif de cette stratégie est de spécifier le nom de groupe que les ordinateurs doivent utiliser pour télécharger les mises à jour. o «Autoriser les non-administrateurs à recevoir les notifications de mises à jours». Cette stratégie va permettre d'autoriser les utilisateurs non-administrateurs de recevoir les notifications de mises à jour. L'utilisateur pourra ou non confirmer l'installation des mises à jour. o «Autoriser l'installation immédiate des mises à jour automatique». Si la mise à jour ne nécessite pas de redémarrage de Windows ou de services Windows alors, si la stratégie est active, l'installation des mises à jour s'effectue de suite. o «Configuration des mises à jours automatiques». Cette stratégie va permettre d'activer le service "Mise à jour automatique" et ensuite le fonctionnement de celle-ci (Notification, téléchargement, planification, interaction avec les stratégies locales) Fonctionnement des mises à jour possible: 2: Notification avant téléchargement et notification avant installation des mises à jour. 3: Téléchargement automatique des mises à jour et notification avant installation des mises à jour. 4: L'installation des mises à jour est automatique et planifié en fonction des valeurs ScheduledInstallDay et ScheduledInstallTime. 5: La planification des mises à jour est configurée mais l'utilisateur final peut le configurer. o «Délai de redémarrage pour les installations planifiées». Cette stratégie permet de renseigner la durée entre la fin de l'installation de mise à jour et le redémarrage de la machine. ( par défaut 5 minutes). o «Fréquence de détection des mises à jour automatiques». Elle permet de configurer la durée entre chaque vérification de mise à jour sur le serveur WSUS (par défaut: 22 heures). o «Ne pas afficher l'option 'Installer les mises à jour et éteindre'». Si cette stratégie est active, l'option d'installation des mises à jour avant extinction ne sera pas disponible aux utilisateurs. o «Ne pas modifier l'option par défaut 'Installer les mises à jour et éteindre'». Si cette stratégie est active, alors la fonction arrêt de la machine par défaut sera celle avec l'installation des mises à jour. o «Pas de redémarrage planifié des installations planifiés des mises à jour automatiques». Ne permet pas à la fonction Mise à jour automatique de redémarrer la machine si celle-ci est planifiée. Seul l'utilisateur le fera manuellement. o «Redemander un redémarrage avec les installations planifiées». Permet de spécifier une demande de redémarrage après un laps de temps, si la précédente a été refusée. o «Replanifier les installations planifiées des mises à jours automatiques». Si l'installation planifiée précédente a été manquée, alors on renseigne le temps depuis le démarrage de la machine avant une nouvelle planification. Vous trouverez d'autres options de stratégies de groupe au niveau utilisateur liées au service Windows Update dans le nœud «Configuration utilisateur\modèle d'administration\composants Windows\Windows Update». Créé le 26/06/2011 Page 16 de 31

Dans l'éditeur de Stratégie de groupe, déployez le nœud d'administration\composants Windows\Windows Update». «Configuration utilisateur\modèle - Dans le panel de droite, modifiez les stratégies suivantes: o «Supprimer l'accès à l'utilisation de toutes les fonctionnalités de Windows Update». Permet de désactiver toutes les interactions avec Windows Update. Il est fortement conseillé de l'activer pour éviter de faire doublon avec le service WSUS. o «Ne pas afficher l'option 'Installer les mises à jour et éteindre'». Si cette option est active, alors l'option d'installation des mises à jour avant extinction ne sera pas disponible aux utilisateurs. o «Ne pas modifier l'option par défaut 'Installer les mises à jour et éteindre'». Si cette option est active, alors la fonction arrêt de la machine par défaut sera celle avec l'installation des mises à jour. o «Activer les notifications Windows Update». Ce paramètre affiche des notifications concernant le service Windows Update. Une fois cette stratégie de groupe paramétrée, enregistrée et liée à un domaine ou à une unité d'organisation, vérifiez que l état «Appliqué» est coché. Créé le 26/06/2011 Page 17 de 31

La stratégie sera alors appliquée sur les postes clients (cela prend 90 minutes environ). Vous pouvez forcer l application de cette stratégie, via la commande «gpupdate /force» à lancer depuis le poste client. Une fois la stratégie appliquée, il faut attendre environ 20 minutes pour que l ordinateur client contacte le serveur WSUS. Vous pouvez forcer cette détection via la commande «wuauclt /detectnow». 5.1.2 POS TES EN WORKGROUPS (S ANS DOM AINE AC TI VE DIRECTORY). Si vous ne possédez pas de domaine Active Directory, il est possible de configurer les clients via la stratégie de groupe locale (gpedit.msc) ou via la base de registre. En utilisant la stratégie de groupe locale (gpedit.msc), on peut retrouver les mêmes options de stratégie que pour le mode en domaine Active Directory mais de façon locale (liées au poste même). Ce mode de configuration des machines est donc très contraignant, puisque la configuration des postes ne s effectue pas de façon centralisée mais de façon locale (sur chaque poste directement). Un utilitaire a été créé pour appliquer facilement les modifications à effectuer sur les postes clients. Il se nomme «WSUS ClientManager for Workgroups» et est téléchargeable sur mon site dans la rubrique «Espace de Téléchargement\Utilitaires toutes versions WINDOWS». Voici les différentes entrées de la base de registre pour la configuration des clients: Pour modifier les clés de base de registre nécessaires, utilisez l utilitaire «regedit.exe» en ligne de commande. HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate Clés ElevateNonAdmins TargetGroup TargetGroupEnabled WUServer WUStatusServer Description des valeurs possibles Valeur possible: 0 ou 1 0: Seuls les administrateurs peuvent refuser ou accepter les mises à jour 1: Tout le monde peut refuser ou accepter les mises à jour Permet de spécifier le groupe de mise à jour auquel l'ordinateur appartient (ciblage coté client) Valeur possible: 0 ou 1 0: Désactiver la fonctionnalité de ciblage coté client 1: Activer la fonctionnalité de ciblage coté client Permet de spécifier l'emplacement du serveur WSUS (exemple: http://srv-2k3-wsus). Doit être identique à l'entrée WUStatusServer Permet de spécifier l'emplacement du serveur WSUS (exemple: http://srv-2k3-wsus). Doit être identique à l'entrée. Doit être identique à l'entrée WUServer HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU Clés Description des valeurs possibles AUOptions Valeur Possible: 2,3,4 ou 5 Configuration du fonctionnement de la Mise à jour automatique (Notification, téléchargement, planification, interaction avec les stratégies locales) 2: Notification avant téléchargement et notification avant installation des mises à jour 3: Téléchargement automatique des mises à jour et notification avant installation des mises à jour 4: l'installation des mises à jour est automatique et planifié en fonction des valeurs DWORD ScheduledInstallDay et ScheduledInstallTime 5: la planification des mises à jour est configuré mais l'utilisateur final peut le configurer AutoInstallMinorUpdates Valeur possible: 0 ou 1 0: N'installe pas de suite les mises à jours mineurs qui ne nécessite pas de redémarrage de l'ordinateur ou de service Créé le 26/06/2011 Page 18 de 31

1: Installe de suite les mises à jours mineurs qui ne nécessite pas de redémarrage de l'ordinateur ou de service DetectionFrequency Valeur possible: de 1 à 22 Durée en heure entre chaque vérification de mise à jour sur le serveur WSUS DetectionFrequencyEnabled Valeur possible: 0 ou 1 0: Utilise la valeur par défaut de la durée entre chaque vérification de mise à jour (par défaut: 22 heures 1: Utilise la valeur renseigné par la valeur DWORD DetectionFrequency pour la durée entre chaque vérification de mise à jour NoAutoRebootWithLoggedOnUsers Valeur possible: 0 ou 1 0: l'ordinateur redémarre la machine dans les 5 minutes qui suivent la mise à jour de la machine 1: l'utilisateur a le choix de redémarrer ou non la machine NoAutoUpdate Valeur possible: 0 ou 1 0: Mise à jour automatique désactivé 1: Mise à jour automatique activé RebootRelaunchTimeout Valeur possible: de 1 à 1440 Durée en minute entre chaque demande de redémarrage à l'utilisateur de l'ordinateur RebootRelaunchTimeoutEnabled Valeur possible: 0 ou 1 0: Le temps entre chaque demande de redémarrage à l'utilisateur est celle par défaut (10 minutes) 1: Le temps entre chaque demande de redémarrage à l'utilisateur est celle renseigne par la valeur DWORD RebootRelaunchTimeout RebootWarningTimeout Valeur possible: de 1 à 30 Durée en minutes du compteur avant redémarrage de la machine pour les mises à jour planifiées ou obligatoires RebootWarningTimeoutEnabled Valeur possible: 0 ou 1 0: Le temps initial en minute du compteur avant redémarrage pour les mises à jour planifiées ou obligatoires est celle par défaut (5 minutes) 1: Le temps initial en minute du compteur avant redémarrage pour les mises à jour planifiées ou obligatoires est celle renseigné par la valeur DWORD RebootRelaunchTimeout RescheduleWaitTime Valeur possible: entre 1 et 60 Temps en minute pour l'attente depuis le démarrage de la machine avant installation des mises à jour planifié raté. Cette politique ne s'applique pas aux mises à jour qui ont une échéance spécifique. Si l'échéance d'une mise à jour est dépassé alors celle-ci est installé de suite. RescheduleWaitTimeEnabled Valeur possible: 0 ou 1 0: Les mises à jour planifiées ratées seront reportés lors de prochaine planification 1: Les mises à jour planifiées ratées seront installés après le laps de temps spécifié par la valeur DWORD RebootRelaunchTimeout ScheduledInstallDay Valeur possible: entre 0 et 7 0: Mise à jour planifié tous les jours de 1 à 7: jour de la semaine de dimanche (1) à samedi (7) Cette option ne marche seulement si l'entrée AUOption est configurée à la valeur 4 ScheduledInstallTime Valeur possible: entre 0 et 23 Heure de la journée pour les mises à jour planifiées Cette option ne marche seulement si l'entrée AUOption est configurée à la valeur 4 UseWUServer Valeur possible: de 0 à 1 0: Utilise Windows Update 1: Utilise votre serveur WSUS Créé le 26/06/2011 Page 19 de 31

6 PRESENTATION DE LA CONSOLE WSUS 3.0 SP2 Afin de pouvoir administrer complètement le service WSUS, vous devez être membre du groupe Administrateur local du serveur hébergeant WSUS ou faire partie du groupe Administrateurs WSUS. Les membres du groupe Rapporteurs WSUS ont un accès en lecture seule afin notamment d avoir la possibilité d éditer des rapports WSUS. Démarrez la console d administration WSUS depuis le Menu «Démarrer\Outils d administration\windows Server Update Services». La plupart des paramètres nécessaires ont déjà été configurés via l assistant d installation. 6.1 CONFIGURATION DES MISES A JOUR ET DES PARAMETRES DE SYNCHRONISATION Une fois la console WSUS ouverte, rendez-vous au niveau des «Options». Les paramètres «Sources des mises à jour et serveur proxy», «Produits et classifications», «Fichiers et langues des mises à jour» et «Planification de la synchronisation» ont déjà été définis via l exécution de l assistant. Vous pouvez à nouveau vérifier ces paramètres si vous le souhaitez. Une fois la vérification effectuée, lancez une synchronisation en vous rendant au niveau de la tâche «Synchronisations» et cliquez sur «Synchroniser maintenant». Créé le 26/06/2011 Page 20 de 31

Cette synchronisation est quasi immédiate car vous n avez pas encore approuvé de mises à jour (ce paramètre est modifiable au niveau de «Options/Fichiers et langues des mises à jour»). Cette synchronisation permet uniquement de lister les mises à jour disponibles pour les produits choisis. 6.2 CONFIGURATION DES GROUPES D ORDINATEURS Les groupes d ordinateurs permettent de définir les ordinateurs qui seront concernés par les mises à jour de votre choix. Cela permet notamment de définir un périmètre pilote utilisé pour tester les patchs avant leur application sur l ensemble des ordinateurs. Il est ainsi conseillé d attribuer des postes représentatifs à un groupe spécifique et d appliquer les patchs à ce groupe dans un premier temps. Si tout se déroule bien, vous pourrez alors choisir d appliquer ce patch sur tous les ordinateurs. Le nombre de groupe n'est pas limité! Par défaut, à la première détection d un ordinateur par WSUS, celui-ci est ajouté aux deux groupes créés par défaut, à savoir le groupe «Tous les ordinateurs» et son sous groupe «Ordinateurs non attribués». 6.2.1 AFFECTATION DES ORDIN ATEURS A DES GROUPES WSUS Vous avez la possibilité d'affecter les ordinateurs dans les groupes WSUS: soit automatiquement via la stratégie de groupe (stratégie «Autoriser le ciblage coté client») ou via les informations de base de registre (entrées: TargetGroup et TargetGroupEnabled). soit manuellement via la console WSUS Dans les deux cas, il faudra crée manuellement les groupes d ordinateurs WSUS et paramétrer la politique d affectation des ordinateurs à ces groupes WSUS et cela via la console WSUS. Si vous devez maitrisez un parc informatique conséquent, vous devez bien entendu utiliser l'affectation de groupe automatique via la stratégie de groupe (GPO). Créé le 26/06/2011 Page 21 de 31

6.2.1.1 Création des groupes d ordinateurs WSUS En mode automatique ou manuel pour l'affectation des ordinateurs, vous devez créer manuellement les groupes. Procédure pour la création des groupes dans la console WSUS: Dans la console WSUS, cliquez sur «Ordinateurs». Puis cliquez avec le bouton droit de la souris sur «Tous les ordinateurs» et sélectionnez «Ajouter un groupe d'ordinateurs..». Saisissez le nom du groupe à créer et cliquez sur «Ajouter». Le nouveau groupe apparait désormais dans le groupe «Tous les ordinateurs». 6.2.1.2 Procédure pour Configurer la politique d affectation des ordinateurs aux groupes WSUS: Dans la console WSUS, cliquez sur «Options» et sur «Ordinateurs». Choisissez l'une des options possibles: «Utiliser la console Update Services», si vous souhaitez créer les groupes et assigner les ordinateurs via la console WSUS. «Utiliser les paramètres de stratégie de groupe ou de Registres sur les ordinateurs», si vous souhaitez créer les groupes via WSUS et assigner les ordinateurs via la stratégie de groupe (stratégie «Autoriser le ciblage coté client») ou via les informations de registre des ordinateurs clients. Cliquez sur «Appliquer», puis sur «OK» pour confirmer les modifications. Créé le 26/06/2011 Page 22 de 31

6.2.1.3 Affectation manuelle des ordinateurs en utilisant la console WSUS Si vous avez choisi l'affectation des ordinateurs manuelle, vous devrez pour chaque ordinateur de votre réseau lui désigner un groupe créé précédemment. Procédure pour affecter un ordinateur à un groupe WSUS manuellement: Dans la console WSUS, cliquez sur «Ordinateurs». Sous le groupe «Tous les ordinateurs», sélectionnez le groupe où se trouve l'ordinateur que vous souhaitez déplacer. Dans la liste des ordinateurs, sélectionnez l'ordinateur que vous souhaitez déplacer. Cliquez avec le bouton droit de la souris sur «Modifier l appartenance». Dans la liste des groupes, sélectionnez le groupe destinataire. Cliquez sur «OK». 6.2.1.4 Affectation automatique des ordinateurs par Active Directory (GPO) Créez selon vos besoins des unités d organisation (OU) à l aide de la console «Gestion des stratégies de groupe» (gpmc.msc). Nommez la nouvelle unité d organisation Créé le 26/06/2011 Page 23 de 31

Créez et liez pour chacune de ces OU un objet de stratégie Windows Update paramétré selon vos besoins et contenant l option «Autoriser le ciblage coté client» paramétrée sur le groupe de mise à jour WSUS souhaité. Nommez le nouvel Objet de stratégie de groupe. Validez en cliquant sur «OK». Paramétrez toutes vos options de stratégie Windows Update, sans oublier celle «Autoriser le ciblage côté client». Créé le 26/06/2011 Page 24 de 31

Pointez cette option de stratégie Windows Update vers le groupe de mise à jour WSUS désiré. Validez en cliquant sur «OK». N oubliez pas de cocher «Appliquer» pour que cette stratégie soit active. Créé le 26/06/2011 Page 25 de 31

Déplacez vos comptes d ordinateurs dans les bonnes Unités d Organisations (OU) grâce à la console «Utilisateurs et ordinateurs Active Directory» (dsa.msc). Forcez la mise à jour des stratégies de groupe sur les postes client en exécutant «gpupdate /force». Désormais chaque unité d organisation utilisera sa propre stratégie de groupe Windows Update et se mettra à jour en fonction de son groupe WSUS. WSUS utilise des cookies pour enregistrer un certain nombre d'information, y compris le groupe WSUS du client. Par défaut, le cookie est supprimé une heure après sa création. Mais si dans ce laps de temps vous changer le groupe WSUS du client, vous risquez d'avoir des comportements inattendus. Pour éviter tout souci, utilisez la procédure suivante. Procédure pour réinitialiser le cookie de l'ordinateur client: Cliquez sur «Démarrer» puis sur «Exécuter..». Tapez la commande suivante dans le champ Ouvrir: «wuauclt.exe /resetauthorization /detectnow». Cliquez sur «OK». 7 APPROBATION ET DEPLOIEMENT DES MISES A JOUR Maintenant que vous avez catégorisé (si besoin) les ordinateurs sur lesquels vous souhaitez déployer vos mises à jour, via l ajout de ces derniers dans un groupe WSUS spécifique, il vous reste à approuver les patchs identifiés pour ces ordinateurs. Pour cela, à partir de la console WSUS (wsus.msc), cliquez sur «Mises à jour\toutes les mises à jour». Dans la fenêtre de droite, choisissez Approbation : «Non approuvées» et État : «Nécessaire» puis cliquez sur «Actualiser». Créé le 26/06/2011 Page 26 de 31

La liste des patchs non approuvés et à installer est alors affichée. Vous pouvez effectuer cette opération au niveau des mises à jour de sécurité uniquement si vous le souhaitez ou en effectuant cette même procédure à l endroit de votre choix. Sélectionnez alors les mises à jour que vous souhaitez approuver. Pour en approuver plusieurs à la fois, maintenez la touche [Ctrl] avant de les sélectionner une à une. Si ces mises à jour sont affichées de façon consécutive, la touche [Shift] permet de sélectionner toutes les lignes entre la première et la dernière sélection. Faites alors un clic droit sur la sélection et choisissez «Approuver». La fenêtre qui s ouvre alors vous invite à sélectionner le groupe d ordinateurs et l état de l approbation. Sélectionnez le groupe de votre choix (dans cet exemple, le groupe «Test») en cliquant sur la flèche apposée au nom du groupe et choisissez «Approuvée pour l installation...». Si vous faites à nouveau un clic droit sur le groupe de votre choix, il vous est possible de définir une «Date Limite». Passée cette date, la mise à jour en question sera automatiquement installée sans délai sur les postes du groupe en question. Cette date limite est également utile pour forcer l installation de patch sur un poste fraîchement installé. Il faut néanmoins garder à l esprit qu il est nécessaire d intégrer régulièrement les dernières mises à jour de sécurité (ainsi que les mises à jour tierces importantes comme les plugins Internet Explorer) à votre DVD d installation de Windows créé à partir d un poste de référence ou de votre master. Créé le 26/06/2011 Page 27 de 31

Cliquez sur le bouton «Fermer» de la fenêtre Progression de l approbation après avoir vérifié que tout s était déroulé sans problème. Ceci ne représente qu une manière de procéder car il aurait également été possible d approuver les mises à jour depuis le rapport d état généré au niveau d un ordinateur représentatif, se trouvant dans le groupe WSUS de votre choix. Il est également possible d approuver automatiquement des mises à jour suivant des conditions que vous pouvez établir (comme l approbation automatique d une classification ou d un produit précis). L approbation automatique se configure au niveau de «Options/Approbations automatiques». Une fois les mises à jour approuvées, celles-ci sont rapidement mises à disposition des postes clients pour installation (automatique ou pas, suivant les choix effectués précédemment par stratégie de groupe). 8 EXPLOITATION QUOTIDIENNE 8.1 RAPPORTS WSUS propose de nombreux rapports permettant de vérifier l état de déploiement des patchs ou de l état des ordinateurs (synthèse de l état des mises à jour, état détaillé des mises à jour, synthèse de l état des ordinateurs, etc.). Tous ces rapports sont visibles depuis la console WSUS, au niveau du nœud «Rapports». Créé le 26/06/2011 Page 28 de 31