Configuer les clients WSUS en SSL



Documents pareils
SERVEUR WINDOWS UPDATE SERVICE (WSUS 3 SP2)

But du papier : Paramétrer WSUS pour récupérer les mises à jour et administrer le serveur WSUS

Configuration de Virtual Server 2005 R2

Guide pas à pas pour l'utilisation de la Console de gestion des stratégies de groupe

LOGICIEL KIPICAM : Manuel d installation et d utilisation

Economies d énergie par GPO

AFTEC SIO 2. Christophe BOUTHIER Page 1

Guide détaillé pour Microsoft Windows Server Update Services 3.0 SP2

Sharpdesk V3.3. Guide d installation Push pour les administrateurs système Version

WinTask x64 Le Planificateur de tâches sous Windows 7 64 bits, Windows 8/ bits, Windows 2008 R2 et Windows bits

Guide de déploiement

Gestion d Active Directory à distance : MMC & Délégation

Guide de démarrage IKEY 2032 / Vigifoncia

CA Desktop Migration Manager

Préparation à l installation d Active Directory

FileMaker Server 13. Guide de configuration de l'installation réseau

DIASER Pôle Assistance Rectorat

Sage 50 Version 2014 Guide d installation. Sage Suisse SA

Corrigé de l'atelier pratique du module 8 : Implémentation de la réplication

Configurer le pare-feu de Windows XP SP2 pour WinReporter

Authentification unique Eurécia

Comment déployer l'active Directory sur Windows Server 2008 R2. Microsoft France Division DPE

Errata partie 2 Kit de formation Configuration d une infrastructure Active Directory avec Windows Server 2008

DELEGATION ACADEMIQUE AU NUMERIQUE FORMATION ADMINISTRATEUR SCRIBE 2.3 ET CARTABLE EN LIGNE (CEL)

Cours 420-KEG-LG, Gestion de réseaux et support technique. Atelier No 6-1

PARAGON SYSTEM BACKUP 2010

Windows 8 Installation et configuration

Utilisation de la clé de Registre BurFlags pour réinitialiser des jeux de réplicas FRS

TP 4 & 5 : Administration Windows 2003 Server

Créer et partager des fichiers

Documentation utilisateur, manuel utilisateur MagicSafe Linux. Vous pouvez télécharger la dernière version de ce document à l adresse suivante :

SafeGuard Enterprise Guide d'installation. Version du produit : 7

STATISTICA Version 12 : Instructions d'installation

Guide d'installation et d'administration

Windows Vista : Gestion des périphériques

INSTALLATION D UN PORTAIL CAPTIF PERSONNALISE PFSENSE

Cours 420-KEG-LG, Gestion de réseaux et support technique. Laboratoire 08. D. Création d usagers et de groupes pour la configuration des droits NTFS

Configurer le pare-feu de Windows XP SP2/Vista pour UserLock

Documentation Cobian

SafeGuard Enterprise Aide administrateur. Version du produit : 5.60

TABLE DES MATIERES...

UserLock Guide de Démarrage rapide. Version 8.5

SAUVEGARDER SES DONNEES PERSONNELLES

KAJOUT WASSIM INTERNET INFORMATION SERVICES (IIS) 01/03/2013. Compte-rendu sur ISS KAJOUT Wassim

Rapport sur les travaux pratiques réalisés sous Windows 2000 Serveur

Sécurité complète pour portables d entreprise. Manuel d'installation et de déploiement

Manuel d'installation

Configuration d'un annuaire LDAP

Printer Administration Utility 4.2

Préparer la synchronisation d'annuaires

AD FS avec Office 365 Guide d'installation e tape par e tape

Avira Professional Security Migrer vers Avira Professional Security version HowTo

STRA TEGIES DE GROUPE ET LOCALE

Tekla Structures Guide de l'administrateur sur l'acquisition de licences. Version du produit 21.1 septembre Tekla Corporation

BTS SIO option SISR Lycée Godefroy de Bouillon Clermont-Ferrand

Installation de Windows 2012 Serveur

Apps Sage : les 10 étapes pour publier vos données dans le Cloud.

SafeGuard Enterprise Web Helpdesk. Version du produit : 6.1

Installation des outils OCS et GLPI

MANUEL. de l application «CdC Online» pour Windows. Table des matières

Guide d'utilisation du Serveur USB

SQL Server 2012 Administration d une base de données transactionnelle

Installation 1K-Serveur

MIGRER VERS LA DERNIERE VERSION DE L'ANTIVIRUS FIREWALL

GUIDE DE DÉMARRAGE RAPIDE

Sql Server 2005 Reporting Services

WinReporter Guide de démarrage rapide. Version 4

Espace pro. Installation des composants avec Firefox. Pour. Windows XP Vista en 32 et 64 bits Windows 7 en 32 et 64 bits

Installation.Net Framework 2.0 pour les postes utilisant Windows 8/8.1.

Netissime. [Sous-titre du document] Charles

Cours 420-KEG-LG, Gestion de réseaux et support technique. Atelier No2 :

La console MMC. La console MMC Chapitre 13 02/08/2009

JetClouding Installation

Sécurisation des accès au CRM avec un certificat client générique

TeamViewer 7 Manuel Manager

Contrôle parental NetAddictFree 8 NetAddictFree 8 - Guide d utilisation

SAP BUSINESSOBJECTS BUSINESS INTELLIGENCE SUITE 4.x VERSION Bien démarrer avec la CCM

Sécurisation de Windows NT 4.0. et Windows 2000

Guide de l'administrateur Citrix Personal vdisk 5.6.5

Sophos Endpoint Security and Control Guide de mise à niveau

Installation et configuration du logiciel BauBit

Procédure d'installation complète de Click&Decide sur un serveur

Sophos SafeGuard Disk Encryption, Sophos SafeGuard Easy Aide administrateur. Version du produit : 5.60

Guide de démarrage rapide Express

D. Déploiement par le réseau

Assistance à distance sous Windows

Sophos Computer Security Scan Guide de démarrage

PORTAIL INTERNET DE LA GESTION PUBLIQUE Guide d'utilisation du Portail Internet de la Gestion Publique

FANTEC HDD-Sneaker MANUEL D'UTILISATION. Comprend: Guide d'installation de materiel Disque dur Formatage manuel PCClone EX Guide d'installation

Tâches planifiées. Chapitre Introduction

Guide de l'utilisateur

Symantec Backup Exec Remote Media Agent for Linux Servers

Les Audits. 3kernels.free.fr 1 / 10

Guide de l utilisateur. Synchronisation de l Active Directory

Introduction. Instructions relatives à la création d ateliers de test. Préparer l ordinateur Windows Server 2003

[Tuto] Migration Active Directory 2003 vers 2008

TP redondance DHCP. Gillard Frédéric Page 1/17. Vue d ensemble du basculement DHCP

Configuration de Microsoft Internet Explorer pour l'installation des fichiers.cab AppliDis

NetSupport Notify (v2.01) Guide de démarrage. Tous droits réservés NetSupport Ltd

Transcription:

Configuer les clients WSUS en SSL Rédacteur : Eric Drezet ASR CNRS-CRHEA 02/2007 Groupe Admin06 - Resinfo But du papier : Sécuriser les communicaitions entre les clients (surtout les clients externes) et un serveur WSUS Préalable : Avoir installé SSL sur le serveur WSUS (cf. le papier «WSUS avec SSL»). Liens : Procédure : Dans un domaine Active Directory, les clients peuvent être paramétrés par stratégie de groupe (cf. le papier «Maj Windows par GPO». Ils peuvent être également paramétrés individuellement par stratégie locale ou par la base de registre. Paramétrage par stratégie locale Pour modifier la configuration AU via la stratégie de groupe locale, l'ajout de l'éditeur d'objet de stratégie de groupe local peut être effectué via la procédure suivante : Dans la barre des tâches et avec les droits d administrateur de la machine, cliquez sur Démarrer, sur Exécuter, tapez MMC, puis cliquez sur OK. Dans la console, sélectionnez le menu Fichier, cliquez sur Ajouter/supprimer un composant logiciel enfichable, puis cliquez sur Ajouter. Dans la boîte de dialogue Ajouter un composant logiciel enfichable autonome, cliquez sur Éditeur d'objet de stratégie de groupe, puis cliquez sur Ajouter. Eric Drezet Administrateur réseau CNRS-CRHEA 1

Figure 1. Boîte de dialogue Ajouter un composant logiciel enfichable autonome Dans l'assistant Stratégie de groupe, acceptez Ordinateur local, puis cliquez sur Terminer. Pour afficher toutes les options de stratégie de configuration AU dans l'éditeur d'objet de stratégie de groupe, développez Configuration de l'ordinateur, développez Modèles administratifs, développez Composants Windows, puis cliquez sur Windows Update. Affichez le volet de la console et la description de chaque stratégie associée, (cf. figure 2). Eric Drezet Administrateur réseau CNRS-CRHEA 2

Figure 2. Éditeur d'objet de stratégie de groupe pour la stratégie de groupe locale Vous pouvez voir que les options de stratégie de groupe de WSUS incluent également des stratégies qui configurent le serveur WSUS vers lequel les clients doivent pointer (Spécifier l'emplacement du service Microsoft Update sur l'intranet), autorisent la jointure automatique d'un client avec un groupe cible préexistant sur le serveur WSUS (ce qui fait que les approbations pour ce groupe cible s'appliquent également au client spécifié lorsqu'il est activé), et offrent la possibilité de configurer la fréquence selon laquelle un client se connecte à un serveur WSUS (fréquence de détection Automatic Update). Configuration du comportement général de téléchargement et d'installation AU Configurer Automatic Updates est la stratégie globale qui gère le comportement fondamental de téléchargement et d'installation d'au. À partir de cette stratégie, d'autres stratégies peuvent être appliquées afin d'ajouter un niveau de détail au comportement, mais il s'agit de la stratégie de base via laquelle l'une de ses options de configuration détermine comment AU télécharge et installe. Voir figure 3. Eric Drezet Administrateur réseau CNRS-CRHEA 3

Figure 3. Options de configuration globales d'automatic Update Sélectionnez les options suivantes : 4 Télécharger et planifier l installation Choisir la fréquence (quotidienne est préférable) et l heure Dans la fenêtre suivante, sélectionnez «Activé» Si le port par défaut pour SSL a été conservé (443), les clients doivent être paramétrés comme suit pour pointer vers le serveur WSUS : https://serveurwsus.domaine.fr (2) (2) Attention à spécifier le nom FQDN du serveur qui correspond au certificat de serveur demandé. Si un autre port a été choisi saisir : https://serveurwsus.domaine.fr:n port Planifiez ensuite le temps d attente après redémarrage du système pour le cas où les clients auraient raté l heure planifiée plus haut Enfin, n imposez aucun redémarrage automatique pour les clients après mise à jour Eric Drezet Administrateur réseau CNRS-CRHEA 4

Paramétrage par la base de registre Si vous ne possédez pas de domaine Active Directory, il est possible de configurer les clients via la base de registre avec toutes les options disponibles dans les stratégies de groupes mais la configuration des machines sera très contraignante. Voici les différentes entrées de la base de registre pour la configuration des clients: Nœud de configuration général: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate Entrée ElevateNonAdmins TargetGroup TargetGroupEnabled WUServer WUStatusServer Description Valeur possible: 0 ou 1 0: Seuls les administrateurs peuvent refuser ou accepter les mises à jour 1: Tout le monde peut refuser ou accepter les mises à jour Permet de spécifier le groupe de mise à jour auquel l'ordinateur appartient (ciblage coté client) Valeur possible: 0 ou 1 0: Désactiver la fonctionnalité de ciblage coté client 1: Activer la fonctionnalité de ciblage coté client Permet de spécifier l'emplacement du serveur WSUS (exemple: http://serveurwsus.domaine.fr/ ou http:// ServeurWsus.domaine.fr/:8350/). Doit être identique à l'entrée WUStatusServer Permet de spécifier l'emplacement du serveur WSUS (exemple: http://serveurwsus.domaine.fr/ ou http:// ServeurWsus.domaine.fr/:8350/). Doit être identique à l'entrée WUServer Nœud de configuration pour les mises à jour automatique: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU Entrée Description AUOptions Valeur Possible: 2,3,4 ou 5 Configuration du fonctionnement de la Mise à jour automatique (Notification, téléchargement, planification, interaction avec les stratégies locales) 2: Notification avant téléchargement et notification avant installation des mises à jour 3: Téléchargement automatique des mises à jour et notification avant installation des mises à jour 4: l'installation des mises à jour est automatique et planifié en fonction des valeurs DWORD ScheduledInstallDay et ScheduledInstallTime 5: la planification des mises à jour est configuré mais l'utilisateur final peut le configurer AutoInstallMinorUpdates Valeur possible: 0 ou 1 0: N'installe pas de suite les mises à jours mineurs qui Eric Drezet Administrateur réseau CNRS-CRHEA 5

ne nécessite pas de redémarrage de l'ordinateur ou de service 1: Installe de suite les mises à jours mineurs qui ne nécessite pas de redémarrage de l'ordinateur ou de service DetectionFrequency Valeur possible: de 1 à 22 Durée en heure entre chaque vérification de mise à jour (de -20% à 0%) sur le serveur WSUS DetectionFrequencyEnabled Valeur possible: 0 ou 1 0: Utilise la valeur par défaut de la durée entre chaque vérification de mise à jour (par défaut: 22 heures, donc vérification après une durée de 18h24 et 22h) 1: Utilise la valeur renseigné par la valeur DWORD DetectionFrequency (toujours de -20% à 0%) pour la durée entre chaque vérification de mise à jour NoAutoRebootWithLoggedOnUsers Valeur possible: 0 ou 1 0: l'ordinateur redémarre la machine dans les 5 minutes qui suivent la mise à jour de la machine 1: l'utilisateur a le choix de redémarrer ou non la machine NoAutoUpdate Valeur possible: 0 ou 1 0: Mise à jour automatique désactivé 1: Mise à jour automatique activé RebootRelaunchTimeout Valeur possible: de 1 à 1440 Durée en minute entre chaque demande de redémarrage à l'utilisateur de l'ordinateur RebootRelaunchTimeoutEnabled Valeur possible: 0 ou 1 0: Le temps entre chaque demande de redémarrage à l'utilisateur est celle par défaut (10 minutes) 1: Le temps entre chaque demande de redémarrage à l'utilisateur est celle renseigne par la valeur DWORD RebootRelaunchTimeout RebootWarningTimeout Valeur possible: de 1 à 30 Durée en minutes du compteur avant redémarrage de la machine pour les mises à jour planifiées ou obligatoires RebootWarningTimeoutEnabled Valeur possible: 0 ou 1 0: Le temps initial en minute du compteur avant redémarrage pour les mises à jour planifiées ou obligatoires est celle par défaut (5 minutes) 1: Le temps initial en minute du compteur avant redémarrage pour les mises à jour planifiées ou obligatoires est celle renseigné par la valeur DWORD RebootRelaunchTimeout RescheduleWaitTime Valeur possible: entre 1 et 60 Temps en minute pour l'attente depuis le démarrage de la machine avant installation des mises à jour planifié raté. Cette politique ne s'applique pas aux mises à jour qui ont une échéance spécifique. Si l'échéance d'une mise à jour est dépassé alors celle-ci est installé de suite. RescheduleWaitTimeEnabled Valeur possible: 0 ou 1 Eric Drezet Administrateur réseau CNRS-CRHEA 6

0: Les mises à jour planifiées ratées seront reportés lors de prochaine planification 1: Les mises à jour planifiées ratées seront installés après le laps de temps spécifié par la valeur DWORD RebootRelaunchTimeout ScheduledInstallDay Valeur possible: entre 0 et 7 0: Mise à jour planifié tous les jours de 1 à 7: jour de la semaine de dimanche (1) à samedi (7) Cette option ne marche seulement si l'entrée AUOption est configurée à la valeur 4 ScheduledInstallTime Valeur possible: entre 0 et 23 Heure de la journée pour les mises à jour planifié Cette option ne marche seulement si l'entrée AUOption est configurée à la valeur 4 UseWUServer Valeur possible: de 0 à 1 0: Utilise Windows Update 1: Utilise votre serveur WSUS Authentifier la communication entre les clients et le serveur Pour que les clients puissent communiquer avec le serveur (et le serveur avec luimême en tant que client), il faut lui installer les certificats racines de l autorité de certification dans le magasin de l odinateur (et non dans le magasin utilisateur). Pour ce faire, utiliser soit les stratégies de groupes (cf. «Installer les certificats racines par GPO») soit la console mmc équipée du logiciel enfichable «Certificats» et importer les certificats racines dans le magasin «Autorités de certifications racines de confiance» de l ordinateur local. Eric Drezet Administrateur réseau CNRS-CRHEA 7