Les entreprises évoluent dans un monde compétitif et concurrentiel. Les ressources humaines restent importantes mais il ne faut non plus négliger les informations qu'elles produisent dans le système d'information de toute entreprise. Cependant les données, élément majeur du Système d'Information, se doivent d'être protégées. Et leur protection se résume en trois (3) éléments que sont : la confidentialité, l'intégrité et la disponibilité.

Dans le contexte actuel avec l'explosion d'Internet on assiste au développement des codes malveillants d'où la nécessité de mettre en place des mesures de sécurité pour protéger tout système d'information. Alors La gestion des correctifs de sécurité, ou patch management n'est plus seulement nécessaire que sur un sous-ensemble du système informatique mais a l'ensemble des ordinateurs du système informatique. Cette gestion semble évidente au premier abord car il suffit d'installer régulièrement les patches diffusés par les éditeurs pour corriger les vulnérabilités de leurs systèmes d'exploitation, produits et applications. Cependant, dans la pratique, les entreprises se heurtent rapidement à de nombreuses difficultés, et celles-ci croissent de manière proportionnelle à la taille et à la complexité des Systèmes d'Information de l'entreprise : temps de réaction trop longs, multiplication des types de systèmes et des vulnérabilités associées, manque d'expertise technique, problèmes de régression, coûts de déploiement, gestion des matériels nomades. Il est donc nécessaire de centraliser le processus de gestion des correctifs de sécurité pour une meilleure performance du système. Et c'est en cela qu'il nous a été demandé comme projet professionnel :

« IMPLEMENTATION D'UN GESTIONNAIRE DE CORRECTIF DANS UN ENVIRONNEMENT MICROSOFT (CAS DU SERVEUR WSUS) ».

Quel pourrait donc être l'apport d'un gestionnaire de correctif dans une plate-forme Microsoft?

Dans la recherche de cette influence, nous étudierons d'abord

l'environnement et le contexte d'exécution en mettant en relief les règles et les

processus de gestions des correctifs, ensuite les techniques de déploiement ^quiprésenteront les différentes architectures possibles en environnement de

production. En fin, parviendrons à déployer la solution par la configuration des serveurs et des postes clients.

ENVIRONNEMENT ET

CONTEXTE D'EXECUTION

CHAPITRE 1:

DEFINITION DE CONCEPTS

I- NOTION DE CORRECTIF

Un correctif est un logiciel destiné à rectifier ou pallier certains défauts d'un produit logiciel. Ainsi les correctifs ont pour but de combler un bug ou une faille de sécurité dans un code, afin de maintenir les versions logicielles intermédiaires dans les environnements de production.

II- GESTION REUSSIE DES CORRECTIFS

Qu'est ce qu'une gestion réussie des correctifs ?

Rappel : la sécurité se résume en trois (3) choses : Confidentialité - Intégrité - Disponibilité. Il en ait de même pour la gestion des correctifs : Personnes - Processus - Technologies

Figure1

> Les personnes :

Qui vont être formés aux

implémentés les choix de l'entreprise en terme de gestion de correctifs

> les processus :

On doit avoir définit la politique de notre entreprise en terme de gestion de correctifs. Quels sont les correctif

déploies et comment ?

> les technologies :

Les outils, tous ce qui est automatisation, qui va ê l'entreprise pour pouvoir déployer sereinement ces correctifs

Présenté par : SILUE Idrissa ICI

silueidriss@hotmail.com

1- LE PROCESSUS DE GESTION DES CORRECTIFS

Est ce qu'on peut se permettre de déployer n'importe quel correctif sur n'importe quelle machine?

Il ne faudrait pas que la gestion des correctifs se traduisent par une non disponibilité du service, en quel cas on aurait finalement réussie a attaqué un système puisqu'on l'aurait rendu indisponible. On se rappel que la disponibilité est l'une des composantes de la sécurité.

Alors lorsqu'on veut implémenter une gestion de correctifs, on se doit d'implémenter un processus.

Le processus de gestion des mises à jour tel que recommandé par Microsoft est une approche en quatre phases.

Figure2 : Processus de gestion des correctifs Phase 1 : inventaire

On doit connaitre nos machines, savoir quels sont les applications et les systèmes installés afin de ne déployer que les correctifs qui ont lieu d'être.

Phase 2 : identifier

On doit identifier également quels sont les correctifs qu'on doit déployer, déterminer leur pertinence pour notre environnement de production et d'établir si une mise à jour représente un changement normal ou urgent.

Phase 3 : évaluer et planifier

On doit pouvoir évaluer et planifier. Tester dans un environnement de type production afin de nous assurer qu'elle ne compromet pas les systèmes et applications stratégiques puis ensuite planifier notre déploiement sur l'ensemble de notre entreprise.

Phase 4 : déployer

Déployer avec succès la mise à jour du logiciel approuvée dans notre environnement de production afin de satisfaire l'ensemble des exigences des contrats de niveau de service sur les déploiements en place.

Quand on a terminé un déploiement, on se retrouve a faire une revu de

déploiement. Qu'est ce qui a été bien ou mal fait, et voir ce qu'on peut améliorer ?

2- LES TECHNOLOGIES

Les technologies qui étaient multiple précédemment ou on se retrouvait sur le site Microsoft avec différents référentiels, tel que : Office Update, Windows Update, Download Center et VS Update, avec différents outils :

- Windows Update sur le poste de travail qui était à mesure d'aller chercher ces correctifs sur le site Microsoft Office Update.

- SUS qui était à mesure d'aller chercher que les mises a jour Windows sur le site Microsoft Windows Update

- SMS qui disposait a la fois d'un certain nombre d'outils d'inventaire pour les correctifs a la fois système Windows et a la fois office.

A ce jour Microsoft dispose d'un unique référentiel (MICROSOFT UPDATE). Il regroupe les mises à jour Windows, SQL, Exchange, Office, ISA Serveur. D'où la plupart des produits Microsoft sont aujourd'hui disponible sur Microsoft Update. On va pouvoir de notre entreprise ou à la maison installé les correctifs en s'appuyé sur Microsoft Update au travers des outils de déploiements.

3- TERMINOLOGIE DE SÉCURITÉ

Vulnérabilité :

Logiciel, matériel, procédure, fonction ou configuration pouvant constituer un point faible exploitable durant une attaque, constitue une exposition.

Attaque :

Agent de menace tentant de profiter de certaines vulnérabilités à des fins illégitimes.

Contre-mesure :

Configurations logicielles, matériel ou procédures réduisant les risques dans un environnement informatique est également appelée une sauvegarde ou une atténuation.

Menace :

Source de danger.

Agent de menace :

Personne ou processus attaquant un système via une vulnérabilité afin d'enfreindre la stratégie de sécurité.

4- AGENCE DE MENACE

Virus :

Programme intrusif qui infecte des fichiers informatiques par insertion de copies de code auto répliquant et qui supprime des fichiers essentiels, effectue des modifications système ou réalise d'autres actions dans le but de corrompre les données résidant sur l'ordinateur ou l'ordinateur lui-même. Un virus se fixe à un programme hôte.

Ver :

Programme auto répliquant, souvent aussi malveillant qu'un virus, pouvant se propager d'un ordinateur à l'autre sans infecter des fichiers au préalable.

Cheval de Troie :

Logiciel ou e-mail en apparence utile et inoffensif, mais qui a en fait un but destructeur ou permet à un pirate de s'introduire.

Bombe e-mail :

E-mail malveillant envoyé à un destinataire sans défiance. Lorsque le destinataire ouvre l'e-mail ou exécute le programme, la bombe e-mail déclenche une action malveillante sur son ordinateur.

Piratage :

Personne ou entreprise qui mène une attaque.

CHAPITRE 2

PRESENTATION DU SUJET ET

PROBLEMATIQUE

I- PRÉSENTATION DU SUJET

1- CONTEXTE

Plusieurs milliers de vulnérabilités (failles) sont découvertes chaque année. Elles affectent la quasi-totalité des composants logiciels ou matériels du monde informatique, des micro-codes et des systèmes d'exploitation, aux progiciels et applications.

Pour répondre à cette problématique, la pratique autre fois était configurer toutes les machines afin quelles se synchronisent sur internet pour télécharger leur mise à jour. Aujourd'hui Microsoft met à notre disposition des solutions concrètes permettant la mise en oeuvre d'une politique de sécurité.

2- OBJECTIFS

Les objectifs de notre projet sont les suivants :

> Construire l'infrastructure de base de la gestion des mises à jour.

> Mettre en place une solution facile d'utilisation, néanmoins complète, pour télécharger et distribuer des mises à jour de produits Microsoft.

> Déployer de façon centralisée, l'ensemble des mises à jour Microsoft sur les machines d'un réseau local (y compris les mises à jour recommandées et les mises à jour de pilotes).

> Utiliser les outils de gestion de correctifs pour gérer un parc important de machines et colmater à temps les failles éventuelles.

> Optimiser l'utilisation de la bande passante au niveau d'Internet.

« L'objectif principal de notre projet est de mettre en place une solution permettant de centraliser la gestion des mises à jour Microsoft pour prévenir une exploitation éventuelle des failles découvertes. »

II- PROBLEMATIQUE

Pourquoi est-il important pour une entreprise ou une organisation de pouvoir gérée le déploiement de ses correctifs ?

La gestion des correctifs de sécurité et des mises à jour permet de rendre notre environnement de production opérationnel dans des conditions optimales, de résoudre les problèmes de sécurité et de maintenir la stabilité de notre environnement de production.

Ainsi le déploiement des correctifs dans les systèmes traditionnels demandait que toute les machines soient connectées à internet pour télécharger leur mise a jour. Une autre méthode de mise à jour utilisée était que l'administrateur, muni des correctifs (sur un support de stockage) parcourait toutes les machines du réseau pour l'installation des correctifs.

Ces méthodes de gestion de correctif, entrainent éventuellement les problèmes suivants :

· Saturation de la bande passante : puisque toutes les machines téléchargent en même temps leurs correctifs sur internet. Quel serait le débit idéal de connexion vers internet pour notre entreprise?

· Remise en cause de l'intégrité des données : partant du principe que les machines n'ont pas la possibilité de vérifier l'intégrité et l'authenticité du correctif et qu'une attaque compromet l'intégrité des données, combien pourrait coûter la récupération des données à partir de la dernière sauvegarde fiable connue ou la vérification de l'intégrité des données auprès de nos clients et partenaires ? Quel pourrait être les conséquences d'un déploiement de correctif sur notre système de production?

· Temps mort : quel serait le coût du temps mort des ordinateurs dans notre environnement ? Que se passerait-t-il si un système vital pour l'activité est interrompu ? La plupart des attaques entraînent des temps morts, soit directement, soit à cause des mesures de récupération mises en oeuvre pour y remédier. Il est évident qu'à partir de ce moment-là, le coût sur la masse salariale deviendra très vite élevé.

· Durée de la récupération : quel serait le coût de réparation d'un problème de grande envergure dans notre environnement? Quel serait le coût d'une réinstallation du système d'exploitation et des applications sur un ordinateur et sur l'ensemble de nos ordinateurs ? Beaucoup d'attaques contre la sécurité nécessitent une réinstallation complète garantissant que tout code malveillant résiduel est supprimé.

· Vol de propriété intellectuelle : combien pourrait coûter le vol ou la destruction d'un secret professionnel ou d'une liste de clients à notre entreprise ?

· Perte de crédibilité : combien pourrait coûter une perte de crédibilité auprès de nos clients ? Combien pourrait nous coûter une perte de clients?

· Relations publiques négatives : quelle pourrait être la dévalorisation de notre côte ou de notre entreprise si nous perdons la confiance des investisseurs ? Quel serait l'impact d'une incapacité à protéger les informations personnelles de nos clients, comme leurs numéros de carte de crédit ?

· Protection juridique : quel serait le coût de la défense juridique de notre entreprise si elle était attaquée en justice à la suite d'une attaque informatique ? Des organisations qui fournissaient des services importants ont été attaquées en justice à cause de leur processus de gestion des mises à jour ou de l'absence d'un tel processus.

La question qui se pose à nous, est comment remédié à ces problèmes de correctifs, comment faire pour que le parc informatique ait le bon correctif, et ne pas être confronter au problème de saturation de la bande passante? Tel est l'objectif de notre étude.

ETUDE TECHNIQUE

CHAPITRE 3 :

CHOIX DE LA SOLUTION

De façon générale la mise à jour des correctifs se gère selon deux (2) grandes orientations qui sont les suivantes :

I- TELECHARGEMENT AUTONOME DES MISES A JOUR

Le téléchargement autonome des mises a jour consiste à configurer toute les machines afin quelles se synchronisent a internet pour télécharger leur mise a jour. L'augmentation du débit de l'accès à internet s'impose. Cette solution s'avère intéressante, car elle apporterait de la fluidité dans les transactions internet.

Par contre elle ne résous pas le problème du déploiement des bon correctifs dans notre environnement de production, et cette solution est très couteuse eu égard les tarifs proposés par les FAI en Côte d'Ivoire.

Prix des différents Fournisseur Accès Internet (FAI) en COTE D'IVOIRE

Tableau1 : Prix des différents FAI en COTE D'IVOIRE

II- IMPLEMENTATION D'UN GESTIONNAIRE DE CORRECTIF

L'implémenter un gestionnaire de correctifs consiste à contrôler le déploiement et la maintenance des versions logicielles intermédiaires dans les environnements de production. Il aide à préserver l'efficacité des opérations, à éliminer les vulnérabilités de la sécurité et à assurer la stabilité de l'environnement de production.

III- COMPARATIFS DES DEUX ORIENTATIONS

Tableau2 : comparatif des orientations des MAJ

A : Téléchargement autonome

B : implémentation d'un gestionnaire de correctif

IV- ORIENTATION RETENUE

Notre orientation c'est portée sur l'implémentation d'un gestionnaire de correctif du faite que nous pouvons avoir des solutions gratuite et qu'il nous permet d'avoir un déploiement contrôlé de nos différentes mises à jour.

V- SOLUTIONS DE GESTIONNAIRE DE CORRECTIF

Afin de permettre l'efficacité des opérations, d'éliminer les vulnérabilités de la sécurité et d'assurer la stabilité des environnements de production. Microsoft propose plusieurs outils de gestion des correctifs.

1- MICROSOFT UPDATE

1.1- PRESENTATION

Microsoft Update est un service proposant le téléchargement de toutes les dernières mises à jour des produits Microsoft depuis le site officiel de Microsoft. Il nous permet de protéger et d'optimiser notre ordinateur.

C'est un composant de WINDOWS qui n'a pas besoin d'installation, il suffit tout simplement d'activer l'option « Maintenir mon ordinateur à jour ».

La Mise à jour automatique est l'une des principales fonctionnalités de Microsoft Update.

1.2- FORCES ET FAIBLESSES

Tableau 3 : Forces et faiblesse de Microsoft Update

2- MICROSOFT BASELINE SECURITY ANALYZER (MBSA) 2.1- PRESENTATION

Microsoft Baseline Security Analyzer 2.0 (MBSA) est un outil simple ^d'emploidestiné à aider les petites et moyennes entreprises à évaluer leur sécurité d'après les

recommandations de sécurité de Microsoft. Cet outil analyse la mémoire centrale des ordinateurs clients ayant un système d'exploitation Microsoft Windows pour y rechercher des problèmes courants de configuration de la sécurité et génère des rapports de sécurité individuels pour chaque ordinateur.

2.2- FORCES ET FAIBLESSES

Tableau4 : Forces et faiblesse de MBSA

3- WINDOWS SERVER UPDATE SERVICES (WSUS) 3.1- PRESENTATION

Microsoft Windows Server Update Services 3.0 (WSUS) permet aux administrateurs de systèmes informatiques de déployer les dernières mises à jour publiées par Microsoft pour les produits Microsoft. Windows Server Update

Services nous aide à gérer pleinement la distribution des mises à jour disponibles via Microsoft Update sur tous les ordinateurs de notre réseau. Windows Server Update Services permet de gérer les correctifs et mises à jour. Il constitue une méthode efficace et rapide pour tenir tous nos systèmes à jour.

3.2- FORCES ET FAIBLESSES

Tableau 5 : Forces et faiblesse de WSUS

4- SYSTEMS MANAGEMENT SERVER 2003 (SMS 2003) 4.1- PRESENTATION

Microsoft Systems Management Server 2003 (Systems Management Server 2003, SMS 2003) est une solution complète d'administration de parc informatique, d'inventaire et de gestion des applications et de mises à jour de sécurité.

Les entreprises peuvent désormais réduire leurs coûts opérationnels au jour le jour et contrôler précisément l'infrastructure et l'activité informatique grâce à des rapports exhaustifs et personnalisables pour chaque niveau décisionnel de l'organisation.

4.2- FORCES ET FAIBLESSES

Tableau 6 : Forces et faiblesse de SMS

VI- COMPARATIF DES SOLUTIONS MICROSOFT POUR LA

GESTION DES CORRECTIFS

Tableau 7 : comparatif des solutions Microsoft

VII- SOLUTION DE MISE EN OEUVRE RETENUE

Notre choix s'est porté sur Windows Server Update Services pour les raisons suivantes :

- Déploiement des correctifs en interne dans l'entreprise

- L'administration de Microsoft Update est locale

- Adapter pour les moyennes et grandes entreprises - Gratuit

CHAPITRE 4 :

ARCHITECTURES POSSIBLE DE WSUS

Nous avons plusieurs architectures possibles dans la mise en oeuvre du serveur WSUS. Le choix de l'une des architectures sera fonction de la taille et de la configuration de l'entreprise dans laquelle nous serons amenés à déployer la solution.

Nous présenterons toutes les architectures possibles avec le serveur WSUS

I- ARCHITECTURE DE SERVEUR UNIQUE

Il s'agit du modèle de déploiement le plus simple à mettre en place.

Le serveur WSUS est installé derrière un pare-feu d'entreprise. Il synchronise les mises à jour avec le site web Microsoft Update.

Figure 3 : Architecture serveur de unique

II- PLUSIEURS SERVEURS WSUS INDEPENDANTS

Figure 4 : Architecture de serveurs indépendants

Vous pouvez choisir de mettre en place plusieurs serveurs WSUS dans votre entreprise de manière indépendante. C'est à dire que chacun possède sa propre console d'administration et chacun télécharge son contenu depuis le site de Microsoft Update sur Internet.

Dans ce scénario on peut imaginer que chaque serveur est utilisé pour des réseaux LAN différents voir des réseaux WAN (succursales).

On peut définir par exemple un serveur WSUS chargé de mettre à jour le réseau des serveurs et applications et un autre uniquement pour les systèmes d'exploitation clients comme Windows XP ou Vista.

III- SERVEURS SYNCHRONISES

Il s'agit d'un modèle de déploiement à serveur unique auquel un second serveur WSUS est connecté.

Ce second serveur peut alors être configuré pour récupérer les mises à jour depuis le premier serveur WSUS (serveur "upstream").

L'intérêt principal de ce genre de topologie est de permettre la distribution des

mises à jour sur le serveur WSUS d'un site distant connecté au réseau principal par une liaison fiable.

Les postes clients du site distant pourront ainsi récupérer les mises à jour avec un débit optimal depuis le serveur WSUS présent sur leur LAN.

Figure 5 : Architecture serveurs synchronisés

IV- SERVEURS DECONNECTES

Ce modèle plus rare est utilisable pour un sous-réseau isolé d'internet.

Il est possible de déployer un serveur WSUS sur un sous-réseau dont l'accès internet est restreint.

Le seul moyen pour importer les mises à jour sur le serveur WSUS est de les

transférer depuis un autre serveur WSUS connecté à internet en utilisant un média physique (CD-ROM, disque dur...).

Figure 6 : Architecture Serveurs non connectés aux réseaux Internet ou WSUS

Dans certains contextes particuliers, par exemple lorsque les ordinateurs cibles sont en DMZ, le serveur WSUS peut être déconnecté à la fois de l'Internet et des autres serveurs WSUS de l'organisation.

V- PRINCIPE ET FONCTIONNEMENT DE WSUS

1- PRINCIPE DE WSUS

Windows Server Update Services (WSUS) est la seconde génération de logiciel serveur gratuit pour le déploiement des mises à jour, proposées par Microsoft pour remplacer Software Update Services (SUS), qui ne prenait en charge que les mises à jour critiques ou sécurité de Windows.

WSUS permet d'avoir une infrastructure de gestion de mise à jour, de gérer les mises à jour des différents logiciels de Microsoft dans toutes les langues disponibles ainsi que les pilotes de certains matériels. WSUS est à sa deuxième version soit WSUS 3.0. Le serveur WSUS nous permettra de :

· Configurer un environnement de production qui prendra en charge la gestion des mises à jour pour des scénarios de routine et d'urgence.

· Découvrir les nouvelles mises à jour d'une façon pratique.

· Déterminer si une mise à jour est pertinente pour l'environnement de production.

· Tester les mises à jour avant de les déployées sur l'ensemble de l'environnement de production.

· Approuver et planifier les installations de mises à jour.

· Passer en revue le processus une fois le déploiement terminé.

2- FONCTIONNEMENT DE WSUS

On va implémenter le serveur WSUS au niveau de notre entreprise qui lui, va pouvoir mettre en connexion le serveur WSUS avec le site Microsoft Update ou on ira chercher les mises à jour. Chaque fois, WSUS effectuera un processus de synchronisation, en suivant les étapes ci-dessous :

· WSUS télécharge un référentiel de sécurité

· Il valide la signature de Microsoft

· Il compare ce référentiel au contenu de sa base locale de façon à identifier les nouvelles mises à jour

· Il attend l'approbation de l'administrateur

· Il télécharge les patches approuvés par l'administrateur (uniquement) et vérifie leur signature

· Il met à jour ses journaux de synchronisation et d'approbation

Le fonctionnement de WSUS est de type « Pull », c'est-à-dire que les informations sont toujours obtenues par une requête émise par le « client » (qui peut être un serveur WSUS) vers le serveur WSUS du niveau supérieur. Le serveur le plus dans l'organisation s'adresse quant à lui directement aux sites de Microsoft.

Côté client, le composant « Windows Automatic Update » est utilisé. WSUS dispose d'une technologie « Self Update » pour le mettre à jour automatiquement sur les ordinateurs clients lors de leur inscription sur un serveur WSUS.

IMPLEMENTATION DE LA

SOLUTION

CHAPITRE 5 :

INSTALLATION DE WSUS

I- PREPARATION MATERIELLE

La configuration matérielle et logicielle du serveur WSUS dépend du nombre de clients à mettre à jour dans l'entreprise.

1- MATERIEL

· 1 serveur (ordinateur) de préférence dédié.

· Windows serveur 2003 installé

2- CAPACITES RECOMMANDEES

Jusqu'à 500 postes clients connectés sur un même serveur

Tableau 8 : Dimensionnement du serveur pour 500 clients maximum De 500 à 15.000 postes clients

Tableau 9 : Dimensionnement du serveur pour 15.000 clients maximum

3- COMPLEMENTS LOGICIELS NECESSAIRES POUR

L'INSTALLATION DE WSUS

WSUS nécessite l'installation ou la mise à jour préalable de plusieurs composants. Les préparatifs concernent uniquement les éléments suivants :

· Microsoft Internet Information Services (IIS) 6.0

· Service de transfert intelligent en arrière-plan (BITS, Background Intelligent Transfer Service) 2.0 et WinHTTP 5.1 Windows Server 2003.

· Package redistribuable de Microsoft .NET Framework 2.0

· Microsoft Report Viewer Redistributable 2005

· Microsoft Management Console 3.0 pour Windows Server 2003
Ils sont téléchargeables gratuitement sur le Download center de Microsoft.

4- TAILLES DE PARTITIONS RECOMMANDEE SUR LES DISQUES

Pour installer WSUS 3.0, le système de fichiers du serveur doit satisfaire les conditions suivantes :

· la partition système et la partition sur laquelle on installe WSUS 3.0 doivent être formatées avec le système de fichiers NTFS ;

· un espace disque minimal de 1 Go est recommandé sur la partition système ;

· un espace disque minimal de 20 Go est nécessaire sur le volume où WSUS stocke son contenu ; 30 Go sont recommandés ;

· un espace disque minimal de 2 Go est recommandé sur le volume où le
programme d'installation de WSUS installe Base de données interne.

> Conditions d'installation réservées à la console

WSUS 3.0 permet d'installer la console d'administration WSUS sur les systèmes distants séparés du serveur WSUS. Les procédures d'installation réservées à la console peuvent être effectuées sur les systèmes d'exploitation suivants :

· Windows Server® 2008

· Windows Vista®

· Windows 7

· Windows Server 2003 Service Pack 1 ;

· Windows XP Service Pack 2.

Conditions logicielles préalables réservées à l'installation de la console

· Package redistribuable Microsoft .NET Framework Version 2.

· Microsoft Management Console 3.0 pour Windows Server 2003

· Microsoft Report Viewer Redistributable 2005

> Conditions requises pour les Mises à jour automatiques

Les conditions pour être pris en charge par WSUS sont :

- le composant client de WSUS 3.0.

- une connexion au réseau.

- Tout ordinateur exécutant un système d'exploitation Windows.

II- INSTALLATION DE WSUS (Windows serveur 2003) Après avoir vérifié que notre serveur répond aux conditions requises pour l'installation, on est prêt à installer WSUS 3.0.

1- INSTALLATION MANUELLE DE WSUS 3.0

On ouvre une session sur le serveur avec un compte administrateur. On exécute le programme d'installation (WSUSSetup.exe).

Ensuite il faut sélectionner le mode d'installation. Soit l'installation complète des services ainsi que sa console d'administration soit uniquement la console. La

console sur un poste client sert à administrer à distance tous les serveurs WSUS de l'entreprise.

Ensuite il faut choisir le lieu de stockage des mises à jour. Il est conseillé de les télécharger localement afin d'accélérer le processus de transfert vers les clients.

Cochez alors la case «Stocker les mises à jour localement» et choisissez le lieu de stockage exact. Si on ne coche pas cette case, les clients téléchargement alors les mises à jour depuis le site de Microsoft Update.

Ensuite il faut installer Microsoft SQL Server 2005. Si on laisse l'option par défaut, l'assistant vous l'installera et configurera. Sinon on peut sélectionner une

autre instance s'il en existe une sur votre serveur ou utilise un serveur SQL distant.

WSUS 3 se base sur IIS, on laissera l'option par défaut

Ensuite il faut entrer les paramètres de configuration de nos clients, c'est à dire : http://SERVWSUS. Ces paramètres pourront soit être configurés à l'aide de GPO ou manuellement sur chaque ordinateur.

Un résumé s'affiche, puis sur suivant pour lancer le processus d'installation 2- INSTALLATION AUTOMATISÉE

Si on a plusieurs serveurs WSUS 3 à déployer des commutateurs sont disponibles pour automatisés l'installation.

Pour connaitre ces commutateurs il faut taper WSUSSetup.exe /h :

Figure 7 : installation automatique de WSUS

Voici un exemple : X:\WSUSSetup.exe /q CONTENT_LOCAL=1

CONTENT_DIR=C:\WSUS WYUKON_DATA_DIR=C:\WSUSY CREATE_DATABASE=1 DEFAULT_WEBSITE=1. Ceci permet d'installer WSUS sur C:\WSUS, installer Yukon sur C:\WSUSY, et utilise le site web sur le 80.

3- PRESENTATION DES COMPOSANTS INDISPENSABLE A

L'INSTALLATION WSUS

> Le Service de transfert intelligent en arrière-plan (BITS) 2.0 et WinHTTP 5.1

Ce logiciel permet d'adopter la version 2.0 du Service de transfert intelligent en arrière-plan (BITS) et de mettre à jour WinHTTP. Ces mises à jour permettront d'optimiser les téléchargements à l'aide des futures versions de la fonctionnalité

mise à jour automatique de Windows Update et d'autres programmes qui font appel au service BITS pour transférer des fichiers à l'aide de la bande passante réseau inutilisée.

> Package redistribuable de Microsoft .NET Framework 2.0

Le package redistribuable de Microsoft .NET Framework 2.0 installe le runtime .NET Framework et les fichiers associés requis pour l'exécution d'applications développées pour le .NET Framework 2.0.

Le .NET Framework 2.0 fournit une évolutivité et des performances accrues aux

applications via l'amélioration de la mise en cache, le déploiement et la mise à jour d'applications via ClickOnce, la prise en charge du plus grand nombre de navigateurs et de périphériques possible via les contrôles et les services

ASP.NET 2.0.

> Microsoft Report Viewer Redistributable 2005

Le contrôle Microsoft Report Viewer permet aux applications qui s'exécutent sur le .NET Framework d'afficher des rapports conçus à partir de la technologie de

création de rapports Microsoft. Ce package redistribuable contient les versions des contrôles Windows Forms et des contrôles serveur Web ASP.NET de la visionneuse de rapports.

> Microsoft Management Console 3.0

Microsoft Management Console 3.0 (MMC 3.0) est une structure destinée à

centraliser et à simplifier les tâches quotidiennes de gestion système sous Windows en harmonisant les techniques de navigation, les menus, les barres d'outils et le workflow de différents outils. Les outils MMC (appelés composants logiciels enfichables) peuvent être utilisés pour gérer des réseaux, des ordinateurs, des services, des applications et d'autres composants système. MMC n'offre pas de fonctions d'administration, mais héberge divers composants logiciels enfichables Windows et non Windows qui permettent d'effectuer des tâches d'administration.

CHAPITRE 6 :

CONFIGURATION DE WSUS

I- CONFIGURATION DE LA CONNEXION RESEAU DU SERVEUR

Pour la configuration réseau, nous avons deux assistants nous simplifiant la vie. Le premier est l'assistant post-installation s'exécutant immédiatement après l'installation de WSUS 3. Il s'agît de configurer les paramètres du serveur.

1- L'ASSISTANT DE CONFIGURATION POST-INSTALLATION

Juste après l'installation, il est important de lancer l'assistant de configuration, sinon votre serveur WSUS sera inactif.

> Pour ouvrir la console

On ouvre la console Microsoft Windows Server Update Services 3.0 situé dans les outils d'administrations. Dans l'arborescence de gauche, on clique sur Options tout en bas. Ensuite sur Assistant de configuration du serveur WSUS afin de lancer l'assistant.

> Configurer le pare-feu pour que WSUS puisse obtenir les mises à jour

Avant de commencer, l'assistant demande de bien vérifier quelques points de communication cruciaux :

· Est ce que nos clients peuvent accéder correctement à notre serveur WSUS ? Il faut vérifier la configuration du pare-feu.

· Est ce que notre serveur peut se connecter à son serveur amont c'est à dire soit un autre serveur WSUS soit directement à Microsoft Update ?

· Si nous passons par un serveur proxy sa configuration est-elle correct ? Disposons-nous des informations d'authentification ?

Si le serveur est placé derrière un pare-feu configure pour une restriction d'adresses vers internet, il faut autoriser l'accès pour que WSUS puisse effectuer les mises à jour depuis le site Microsoft. Les URL de références sont :

· http: // windowsupdate.microsoft.com

· http://*.windowsupdate.microsoft.com

· https://*.windowsupdate.microsoft.com

· http://*.update.microsoft.com

· https://*.update.microsoft.com

· http://*.windowsupdate.com

· http://download.windowsupdate.com

· http://download.microsoft.com

· http://*.download.windowsupdate.com

· http://wustat.windows.com

> Choisir le serveur en amont

La première chose à faire est de choisir notre serveur amont. C'est à dire soit un autre serveur WSUS si on a une architecture complexe soit directement Microsoft

Update. Selon votre scénario de déploiement, on sera amené à le configurer en tant que serveur aval ou simple réplica. Si on le configure pour utiliser un autre serveur WSUS, choisissons le port à utiliser (par défaut 80). Pour plus de sécurité on utilise le SSL.

> Définir le serveur proxy

Figure 8 : choix du serveur proxy

On configure si nécessaire les options de serveur proxy si notre serveur en utilise un pour se connecter à Internet ou au serveur amont. On doit entrer le nom du serveur, le numéro de port à utiliser ainsi que les informations d'identifications nécessaires à la connexion.

Ensuite on doit démarrer une synchronisation en cliquant sur Start

Synchronisation. Le processus peut prendre quelques minutes en fonction du

nombre d'éléments à charger. Les informations téléchargées sont : le type de mise à jour, la catégorie de produit ainsi que sa langue. Une fois que la barre de progression est pleine, on fait sur Suivant.

> Choisir les langues

On sélectionne les langues des mises à jour qu'on souhaite télécharger. Bien évidemment il est conseillé de ne télécharger que les langues présentes dans votre entreprise. Plus on choisit de langues possibles, plus on aura besoin d'espace disque sur notre serveur. On a le choix entre plus de 27 langues.

> Choisir les produits

Choisir ensuite la liste des produits pour lesquelles on souhaite télécharger les mises à jour. En effet WSUS ne sert pas uniquement à la mise à jour de nos Windows mais prend en charge également de nombreux autres produits comme

Exchange Server, ISA, SQL, IE, Office,... Cochons les cases correspondantes à vos besoins en fonction de notre parc applicatif.

Figure 9 : sélection des différents produits > Choisir les classifications

On doit ensuite sélectionnez les types de mise à jour parmi une longue liste : Service Pack, Pilote, Outil, Mise à jour...

Figure 10 : classification des MAJ

> Configurer la planification de la synchronisation

Choisir enfin quelle sera la période de synchronisation ou si on le ferait de manière manuelle uniquement. Si on décide de mettre en place une planification, choisir l'heure de la première ainsi que le nombre de synchronisation par jour.

Ainsi on peut montrer jusqu'à 24 par jour, soit une par heure ! Notons qu'un laps de temps aléatoire pouvant allé jusqu'à 30 min sera ajouté à l'heure définie.

Figure 11 : synchronisation des MAJ

Pour finir la dernière page de l'assistant nous propose de lancer directement la console de gestion de WSUS 3 (si on a lancé l'assistant directement après l'installation, sinon la case est grisée) ainsi que lancer la première grosse synchronisation depuis Internet ou notre serveur amont.

Notons qu'il sera de toute façon possible de modifier ces paramètres par la suite dans les options de WSUS. Elles ne sont pas définitives.

2- L'ASSISTANT DE NETTOYAGE DES OBJETS OBSOLETES

Il s'agît cette fois, d'un assistant de nettoyage ! Ceci est très pratique afin de pouvoir supprimer tout un tas d'information inutiles dans WSUS ou obsolète. Les

administrateurs apprécieront la simplicité d'utilisation de cet assistant ainsi que sa puissance.

En lançant l'assistant de nettoyage (qui se trouve dans les options de WSUS), on sera tout d'abord inviter à sélectionner les éléments qu'on souhaite nettoyer. On a la possibilité parmi les 5 suivants :

· Mises à jour et révision de mise à jour inutilisées : Supprime les mises à jours qui sont arrivées à expiration et qui n'ont pas été approuvées au cours des trois dernier mois et supprimer les anciennes révisions de mises à jour qui n'ont pas été approuvées au cours des trois derniers mois.

· Ordinateurs ne contactant pas le serveur : permet de supprimer les

comptes d'ordinateurs dont le rapport n'a pas été envoyé depuis au moins 30

jours. Ceci évite de se retrouver avec une liste inimaginable d'ordinateur

alors qu'ils ne font plus parti de la société.

· Fichiers de mises à jour inutiles : supprime les mises à jour refusées ou non utilisées.

· Mises à jour ayant expiré : Refuse les mises à jour dont la date de validité définie par Microsoft est dépassée.

· Mises à jour remplacées : refuse les mises à jour remplacées par une mise à jour approuvée.

Une fois notre sélection faîte en cochant les cases de notre choix, on clique sur Suivant pour lancer le processus. Celui-ci peut prendre plusieurs minutes en fonction de la taille de notre base de données ainsi que du nombre d'éléments.

A la fin du traitement, un résumé est affiché indiquant le nombre d'objets concernés par chaque élément. On clique sur Terminer pour fermer l'assistant et revenir à la console de gestion de WSUS.

Figure 12 : assistant de nettoyage

L'assistant ne peut s'exécuter de manière manuelle. Il n'est pas possible de planifier un nettoyage des ressources obsolètes tous les dimanches soir par exemple.

II- CONFIGURATION DES POSTES CLIENTS

1- DANS UN ENVIRONNEMENT SANS CONTROLEUR DE DOMAINE

Si on ne possède pas de domaine Active Directory, il est possible de configurer les

clients via la base de registre avec toutes les options disponibles dans les stratégies de groupes mais la configuration des machines sera très contraignante.

Voici les différentes entrées de la base de registre pour la configuration des clients:

Noeud de configuration général:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpd ate

Tableau 10 : Noeud de configuration générale sans contrôleur de Domain

Noeud de configuration pour les mises à jour automatique:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpd ate\AU

Tableau 11 : Noeud de configuration pour les mises à jour automatique

2- DANS UN ENVIRONNEMENT AVEC UN CONTROLEUR DE

DOMAINE

Voici la méthode pour déployer la politique de déploiement des mises à jour sur le réseau. Comme pré requis, il sera nécessaire d'avoir un domaine Active Directory.

> Création de la stratégie de groupe

Avant d'entamer la création de GPO (Group Policy Object), pour la configuration de la mise à jour automatique des clients, s'assurer d'être en possession du dernier modèle d'administration Windows Update. Le fichier du modèle intégrant la gestion de WSUS se nomme Wuau.adm et il est situé dans le dossier

"%systemroot%\Inf". Il est disponible dans le Service Pack 2 de Microsoft Windows XP.

III- CIBLAGE DES ORDINATEURS

Le ciblage d'ordinateurs représente une part importante des déploiements WSUS. Il existe deux groupes d'ordinateurs par défaut : Tous les ordinateurs et Ordinateurs non attribués. Par défaut, lorsque chaque ordinateur client contacte pour la première fois le serveur WSUS, ce dernier l'ajoute à ces deux groupes.

Le ciblage est le principe consistant à regrouper des comptes d'ordinateurs dans des groupes, on peut donc créer des groupes d'ordinateurs personnalisés. L'avantage de la création de groupes d'ordinateurs est qu'il permet de tester les mises à jour avant de les déployer à grande échelle sur l'ensemble de notre réseau. Si les tests se déroulent comme prévu, on peut déployer les mises à jour sur le groupe Tous les ordinateurs.

1- IMBRICATION DES GROUPES.

Figure 13 : imbrication des groupes

Il est possible de créer un groupe à l'intérieur d'un autre et que un compte

d'ordinateur peut appartenir à plusieurs groupes. Il est en effet possible de créer un

groupe dans un autre groupe. Ainsi on peut créer une structure beaucoup plus précise du schéma de notre entreprise. On peut imaginer par exemple un groupe pour nos serveurs et à l'intérieur de celui-ci un group pour chaque rôle : DC, Serveur Web, DNS. Il n'y a pas de limite concernant de nombre d'imbrication de groupes.

2- APPARTENANCE

Figure 14 : appartenance des ordinateurs

Le groupe nommé : Ordinateurs non attribués contient comme son nom l'indique l'ensemble des comptes ordinateurs n'ayant pas encore été intégrés à un nouveau groupe. Il est possible de créer autant de groupe qu'on souhaite. Juste un clic droit puis "Ajouter un groupe d'ordinateurs..." Un compte d'ordinateur peut appartenir à plusieurs groupes (attention la notion de compte d'ordinateur n'est a pas confondre avec celle de AD). Ceci permet de ranger nos ordinateurs de manière plus précise. Exemple notre serveur DNS qui se trouve à NY. Et bien il pourra être membre du group New York (comme ca il recevra toutes les mises à

jours spécifiques à ce site) mais également membre du groupe DNS en tant que serveur DNS.

Concernant le ciblage, il est toujours possible de le faire soit du côté serveur WSUS (valeur par défaut), en attribuant manuellement les ordinateurs à un ou plusieurs groupes soit de manière automatique en utilisant une stratégie de groupe (GPO) et en modifiant le paramètre : Autoriser le ciblage côté client.

On peut regretter qu'il ne soit pas possible de visionner directement le nombre d'ordinateur présent dans chaque groupe. Un simple chiffre entre parenthèse après chaque nom de groupe aurait été très pratique. Comme c'est le cas pour la console de gestion des imprimantes avec Windows Server 2003 R2 par exemple.

IV- ADMINISTRATION DU SERVEUR

1- PRESENTATION DE LA CONSOLE MMC 3

Figure 15 : la console MMC.3

La console d'administration WSUS 3.0 est un composant logiciel enfichable de Microsoft Management Console (MMC) 3.0 qui permet de gérer tous les composants du déploiement WSUS. On peut exécuter la console administration WSUS sur tout ordinateur d'un domaine ayant une relation d'approbation avec le domaine du serveur WSUS.

La console d'administration WSUS principale se compose de trois colonnes.

· 1ere colonne de l'arborescence Update Services : présente l'arborescence d'Update Services, vue hiérarchique de notre déploiement WSUS par serveur WSUS disponibles. On peut ajouter plusieurs serveurs à la console d'administration WSUS. Chaque serveur est associé aux catégories suivantes dans l'arborescence Update Services :

[Nom du serveur]: Conteneur de tous les composants WSUS gérés par le serveur sélectionné. Lorsqu'on sélectionne un serveur WSUS dans l'arborescence Update Services, une page d'état détaillé apparaît pour le serveur avec :

v' Tâches à effectuer : Actions les plus urgentes à effectuer sur le serveur WSUS.

v' Vue d'ensemble : Vue d'ensemble de l'état des ordinateurs, mises à jour et synchronisations pour le serveur.

v' Ressources : Liens à des informations supplémentaires à propos de WSUS.

Mises à jour : Conteneur présentant toutes les mises à jour susceptibles d'être approuvées sur le serveur. Les mises à jour sont regroupées par classification dans l'arborescence Update Services. Si on sélectionne mises à jour, une page d'état détaillée apparaît avec toutes les mises à jour regroupées par vue de mise à jour.

Ordinateurs : Conteneur présentant tous les ordinateurs et groupes disponibles sur le serveur. Si on sélectionne Ordinateurs dans

l'arborescence Update Services, une page d'état détaillé de tous les groupes d'ordinateurs du serveur WSUS apparaît.

Serveurs en aval : Liste des serveurs WSUS en aval qui se synchronisent sur le serveur sélectionné.

Résultats de la synchronisation : Historique des résultats de synchronisation et point central de gestion des synchronisations.

Rapports : Emplacement central de création des rapports d'état WSUS relatifs aux mises à jour et aux ordinateurs.

Options : Emplacement central de configuration des paramètres WSUS.

· 2^nde colonne Résultats : fournit des informations d'état sur l'élément sélectionné dans l'arborescence Update Services. Si on clique sur le noeud principal de l'arborescence, les serveurs WSUS sont présentés dans le volet Résultats.

· 3^e colonne Actions: contient les actions qui s'appliquent à la sélection effectuée dans l'arborescence Update Services, telles que Rechercher ou Aide, ainsi que les actions liées à la catégorie.

V- LES RAPPORTS

Les administrateurs aimant les rapports vont être servis. WSUS 3 propose en effet

un ensemble de rapports directement accessibles dans l'arborescence de la console. Ces rapports se basent sur le logiciel Report Viewer 2005 du coup ils sont

également accessibles depuis un poste sous XP. Avant de générer celui-ci quelques options sont configurables comme le type de rapport ou encore si les serveurs descendant doivent être pris en charge.

Il en existe trois catégories de rapport qui sont :

1- RAPPORTS DE MISE A JOUR

· Synthèse de l'état des mises à jour : permet d'avoir une présentation générale de chaque mise à jour. Chaque mise à jour sera présentée sur une page indépendante.

· Etat détaillé des mises à jour : cette deuxième option se rapproche grandement de la première avec en plus pour chaque mise à jour le statu d'application de celle-ci pour l'intégralité des ordinateurs présents.

· Tableau de l'état des mises à jour : cette dernière possibilité affiche tout simplement les résultats des mises à jour sous forme de tableau facilitant ainsi l'exportation.

2- RAPPORTS D'ORDINATEURS

il s'agît des même catégories qu'au dessus mais concernant maintenant les ordinateurs.

· Synthèse de l'état des ordinateurs

· Etat détaillé des ordinateurs

· Tableau de l'état des ordinateurs.

3- RAPPORTS DE SYNCHRONISATION

On retrouve ici qu'une seule possibilité de création de rapport de synchronisation, on doit choisir quels sont les périodes concernées par ce rapport à l'aide d'un calendrier pour limiter le résultat dans le temps.

L'un des grands avantage de ces rapports est la possibilité de

sauvegarde/exportation au format Excel (très pratique pour les tableaux surtout) mais également au format PDF.

Figure 16 : sauvegarde / exportation des rapports 4- NOTIFICATION PAR EMAIL

WSUS 3 intègre un module de gestion des alertes par l'envoie d'email. Ceci va nous permettre d'être tenu au courant de l'arrivée de nouvelles mises à jour, de recevoir le statut des rapports le tout dans votre boîte aux lettres.

Pour mettre en place cette fonctionnalité, nul besoin d'un serveur Exchange, un simple serveur SMTP suffit amplement. On installe le composant SMTP de IIS puis on configure très simplement, en sélectionnant l'adresse IP du serveur ainsi que la méthode d'authentification client/serveur. N'oublions pas en cas d'échec d'autoriser notre serveur à relayer des messages.

Figure 17 : Configuration du Serveur SMTP pour l'envoie d'alertes par email

Maintenant que notre serveur SMTP est correctement configuré, il nous faut définir les options dans la console WSUS.

On exécute le petit assistant dans les options de WSUS en cliquant sur

Notifications par courrier électronique. Une première page s'ouvre alors. On choisit les cas de notification par email c'est à dire : l'arrivé de nouvelles mise à jour et/ou l'envoie de rapports. Puis l'adresse email de la personne responsable dans le champ "Destinataires".

Concernant l'envoie des rapports, sélectionnons la périodicité c'est à dire journalière ou Hebdomadaire ainsi que la langue qu'on souhaite.

Figure 18 : configuration de la notification par courrier électronique

Dans le deuxième onglet "Serveur de messagerie", on tape le nom de notre

serveur SMTP, en spécifiant le port à utiliser (par défaut 25). Également le nom de la personne ainsi que son adresse email (il s'agît du compte émetteur). Enfin il faut préciser si on doit utiliser des identifiants spécifiques pour nous connecter au serveur.

5- ROLE POUR LA DELEGATION

Lorsqu'on installe WSUS sur notre serveur, celui-ci nous crée automatiquement deux nouveaux groupes de sécurité nommés :

· Administrateurs WSUS

· Rapporteurs WSUS

Dans ce deuxième groupe les membres de ce groupe se voient attribuer un accès en lecture seul à la console. Ainsi ils peuvent surveiller, vérifier les options, générer des rapports mais ne peuvent pas modifier les paramètres ni changer la configuration comme l'administrateur. Ce système permet de mettre en place une délégation de tâche en attribuant uniquement les droits de lecture à quelqu'un.

Pour se faire, il suffit de créer un simple nouvel utilisateur puis l'ajouté au groupe WSUS Reporters. En suite Installé la console d'administration sur un l'ordinateur

client de la personne, puis on la lance en effectuant un "Exécutez en tant que" afin de pouvoir spécifier le compte en question.

Figure 19 : délégation de tache a un rapporteur WSUS

La console se lance alors, on a accès à presque toutes les propriétés sauf l'assistant de configuration qui est bloqué en écriture.

Sur les boîtes de dialogue un message apparaît stipulant que : "Vous ne disposez pas des autorisations nécessaires pour modifier ces paramètres". En effet comme on peut le voir les propriétés sont toutes grisés empêchant ainsi leur modification.

Il est à noté que nous pouvons quand même générer et sauvegarder des rapports, c'est donc vraiment un rôle de surveillance et non d'administration.

VI- GESTION DES MISES A JOUR

La gestion des mises à jour permet de mieux contrôler les différents statuts et les déploiements.

En effet, l'approbation d'une ou plusieurs mises à jour se fait très simplement dans la console. Une fois l'ensemble des mises à jour sélectionnées, clic droit puis

choisir Approuver pour l'installation. Choisir pour quels groupes d'ordinateurs la ou les mises à jour doit s'appliquer. Bien évidemment il y a un héritage selon l'imbrication des groupes. On peut pour un groupe donné (ici New York et Pékin) refuser la mise à jour. Il est également possible de définir une deadline pour l'installation de la mise à jour, c'est à dire une date limite comme par exemple, un jour - une semaine - un mois - ou une date personnalisée. Il est possible avec WSUS 3 de créer plusieurs règles d'approbations en fonction du type de mise à jour et du produit. Il est également possible que les règles d'auto approbation peuvent être appliquées au contenu déjà existant dans WSUS.

Figure 20 : approbation des MAJ 1- PERSONNALISATION DE L'AFFICHAGE

Cette option propose de personnaliser un peu l'affichage de votre console WSUS. Elle est découpée en trois sous parties :

· Données des serveurs réplicas en aval : on peut choisir d'inclure dans l'affichage de notre serveur ou non les données provenant d'un serveur en aval en mode réplica.

· Accessibiité : Afficher les erreurs de validation dans des fenêtres contextuelles

· Liste des tâches à effectuer : on peut choisir la liste des tâches à effectuer sur ce serveur qui apparaissent sur la page d'accueil de la console de gestion. En effet par exemple l'utilisation du protocole SSL est quelque chose qui nous ai constamment rappelé, si on décide de ne pas l'implémenter, il peut

être préférable de supprimer l'affichage permanant du message stipulant qu'on doit le mettre en place.

Figure 21 : personnalisation de l'affichage de la console MMC.3 2- SOURCE DES MISES A JOUR ET SERVEUR PROXY

En se rendant dans Source des mises à jour et serveur proxy on peut choisir de modifier la source des vos mises à jour c'est à dire soit Microsoft Update ou un serveur amont sans réinstallation préalable de celui-ci.

Concernant les serveurs avals nous allons retrouver deux cas de figure :

· Serveurs avals en mode autonome : c'est la configuration de serveur qu'on va utiliser dans une structure hiérarchisée comportant un siège social et des succursales. Pour cela il suffit de configurer comme source de mises à jour un serveur amont. Dans ce cas, le serveur aval dispose de sa propre base de groupe d'ordinateur. Il n'y a aucun lien avec le serveur amont à ce niveau. Le

serveur aval autonome n'est pas libre de choisir la liste des produits et classification qui l'intéresse, il dépend pour cela de son serveur amont. D'ailleurs si on se rende dans les options afin de les modifier, un message

indique : "Ce serveur est configuré pour être synchronisé à partir d'un serveur WSUS en amont. Les produits et les classifications peuvent uniquement être configurés sur le serveur en amont".

En revanche, on a la possibilité de sélectionner les langues que l'on souhaite télécharger sur le serveur aval autonome. Ainsi on peut imaginer une multinational dont le siège social se trouve à Paris, muni d'un serveur WSUS téléchargeant les mises à jour avec les langues Françaises, Allemandes et Anglaises. Cette entreprise possède des succursales à Londres et Munich et bien on pourra choisir que les serveurs WSUS locaux ne prennent en compte que leur langue respective. Concernant les mises à jour, on est libres de les approuver ou non et de les installer à notre guise.

· Serveurs avals en mode réplica : dans ce cas de figure il s'agît d'une copie conforme du serveur amont. En effet ici l'ensemble des options de configuration (produits et classification), approbation des mises à jour ainsi que les groupes d'ordinateurs seront répliqués. A noter que seul les noms des groupes sont répliqués et non la liste des ordinateurs présents à l'intérieur. Si on tente de modifier certaines options, on pourra voir le message suivant

s'afficher : "Les options sont désactivées, car ce serveur est un serveur réplica". On ne peut pas contrôler l'approbation des mises à jour au niveau d'un serveur aval en mode réplica. Ce type de configuration est mis en place dans des gros sites afin de répartir les ordinateurs sur 2 ou plusieurs serveurs WSUS par exemple.

Dans les modèles de déploiement on a la possibilité de changer de statut sans réinstallation. C'est à dire qu'un serveur aval peu être défini en tant que serveur autonome ou réplica et inversement sans réinstaller pour autant le logiciel. De même il peut passer de serveur hiérarchisé en serveur indépendant en modifiant simplement les options de source.

3- PLANIFICATION DE LA SYNCHRONISATION

Une possibilité d'appliquer au niveau des serveurs indépendant que des serveurs avals la configuration avancée de la réplication. Contrairement aux éditions

précédentes, on peut ainsi planifier une synchronisation plusieurs fois par jour. On a un maximum de 24 fois par jours soit 1 fois par heure. Bien évidemment, ceci n'est peut être pas très utilisé de se synchroniser toutes les heures, mais on peut imaginer que ceci peut être pratique pour les sites distants afin d'éviter en cas d'erreur de connexion d'attendre 24h avant de recommencer. Cela permet surtout

de réduire les délais de réplication en cas d'approbation de mises à jour importantes ou de rajout de produits.

Figure 22 : planification de la synchronisation

4- FICHIERS ET LANGUES DES MISES A JOUR

On peut également noter quelques éléments de configuration au niveau de la localisation des mises à jour. En effet un serveur aval peut très bien récupérer toutes les métas donnés au niveau du serveur amont et le contenu des mises à jour directement sur Internet. Ce qui peut s'avérer très pratique dans le cas d'une succursale disposant d'un faible accès à la maison mère (suffisant pour récupérer les informations sur les mises à jour), mais d'une connexion haut débit pour Internet.

On coche la case "Téléchargez les fichiers à partir de Microsoft Update (ne pas

télécharger à partir d'un serveur en amont)". Ceci permet donc pour un serveur en aval d'être contrôlé par un autre serveur en amont sans pour autant surcharger l'intégralité de la bande passante entre les deux sites.

Il est même possible pour les clients distants qui sont connectés avec une liaison lente au site principale de leur spécifier de télécharger les mises à jour approuvées par WSUS directement à partir de Microsoft Update.

Figure 23 : fichiers et langues des MAJ

Une autre option possible est l'utilisation des fichiers d'installation rapide. En quoi cela consiste-t-il ? Généralement une mise à jour remplace un fichier existant sur notre disque dur afin de combler un bug ou une faille de sécurité dans le code. C'est donc l'intégralité du fichier qui est écrasé. Seulement, juste une infime partie dudit fichier nécessite une modification. L'utilisation des fichiers d'installation rapide permet justement d'installer uniquement la différence entre les deux fichiers (ce que l'on appelle le delta).

Contrairement à ce que l'on peut penser la taille des fichiers téléchargés est plus grosse car pour chaque fichier il faut avoir toutes les versions possibles. Par contre pour les clients cela va beaucoup plus vite par la suite. Voici un schéma expliquant ainsi la comparaison des tailles des fichiers téléchargés en MO. Par défaut cette option est désactivée.

- Comparaison de l'utilisation des fichiers d'installation rapide -

Option activée

Option désactivée

Figure 24 : comparaison d'installation rapide de fichier 5- PRISE EN CHARGE DES UTILISATEURS MOBILES

Si on possède une entreprise disposant de plusieurs sites géographiques, une

problématique peut s'initier. En effet on peut facilement imaginer que l'on dispose de nombreux utilisateurs mobiles. Ces utilisateurs voyageant beaucoup ont donc

l'habitude de se connecter à de nombreux réseaux différents. Bien évidemment on

souhaite que ces derniers récupèrent leurs mises à jour sur le serveur WSUS le plus proche.

· La première chose à faire est d'identifier tous les serveurs WSUS de chaque réseau et de noter leur adresse ip.

· Dans la console DNS, créer un nouvel enregistrement de ressource (RR) de type A (hôte) nommé WSUSServer qui point vers l'adresse ip d'un serveur WSUS. Répéter cette même étape pour chaque server WSUS.

· Dans les propriétés du serveur DNS, activer la prise en charge du Round Robin ainsi que la fonction de tri des masques réseau.

· On configure nos clients pour utiliser WSUS en spécifiant comme nom : WSUSServer (comme définie dans le DNS)

Ainsi avec cette méthode, lorsqu'un client voudra contacter son serveur WSUS, il interrogera le DNS qui à lui reverra l'adresse IP du Serveur WSUS local.

CHAPITRE 7 :

MISE EN SÉCURITÉ DES SERVEURS

WSUS

La sécurité des déploiements des mises à jour avec WSUS est donc orientée selon 3 axes :

· Sécurité du serveur Windows qui héberge WSUS,

· Sécurité des communications entre Serveurs et Clients,

· Sécurité avancée du service Web IIS 6.0

I- SECURITE DU SERVEUR HOTE DE WSUS

1- STRATEGIES D'AUDIT

Les stratégies d'audit sont un mécanisme de configuration automatique permettant d'inscrire dans les journaux d'événements les actions des utilisateurs que nous aurons activées.

Procédure : Lancer l'éditeur de stratégie de groupes. Dans le volet de gauche de la fenêtre qui s'affiche, développer « Paramètres de sécurité » puis « Stratégies locales » et cliquer sur « Stratégie d'audit » sous le noeud « Paramètres Windows » de « Configuration Ordinateur ». Les stratégies s'affichent dans le volet de droite.

Tableau 12 : Stratégie d'audit

2- OPTIONS DE SECURITE

Procédure : Lancer l'éditeur de stratégie de groupes. Dans le volet de gauche de la fenêtre qui s'affiche, développer « Paramètres de sécurité » puis « Stratégies locales » et cliquer sur « Options de sécurité » sous le noeud « Paramètres Windows » de « Configuration Ordinateur ». Les stratégies s'affichent dans le volet de droite.

Tableau 13 : options de sécurité

3- JOURNAUX D'EVENEMENTS

Configurer les paramètres de journal des événements pour aider à assurer un niveau adéquat de suivi des activités

Procédure : Lancer l'éditeur de stratégie de groupes. Dans le volet de gauche de la fenêtre qui s'affiche, développer « Paramètres de sécurité » puis cliquer sur « Journal d'évènements » sous le noeud « Paramètres Windows » de « Configuration Ordinateur ».

Tableau 14 : Journaux des événements

4- LES SERVICES SYSTEME

Seuls les services nécessaires au serveur WSUS ont été démarrés. Dans le tableau sont listés que les services démarrés automatiquement.

Tableau 15 : Services système

II- SECURITE DES COMMUNICATIONS

Les serveurs WSUS sont exposés sur le réseau et doivent pouvoir communiquer avec les ordinateurs connectés pour le déploiement des mises à jour ainsi qu'avec leurs serveurs source, dont Windows Update sur l'Internet.

La sécurité des communications est un élément important de la sécurisation du serveur.

1- AJOUT D'UNE AUTHENTIFICATION AD POUR LES

CONNEXIONS ENTRE SERVEURS WSUS

Une première solution pour limiter le risque lors de la synchronisation de deux (2) serveurs WSUS est d'ajouter une authentification obligatoire.

L'authentification nécessite les deux (2) opérations successives décrites ci-après > Configuration d'IIS

L'opération suivante est de désactiver l'accès anonyme au service Web SeverSyncWebService dans IIS, puis d'activer l'authentification Windows intégrée.

Figure 25 : configuration d'IIS

Attention, cette configuration ne doit s'appliquer qu'au répertoire Web SeverSyncWebService.

III- COMMUNICATIONS SECURISEES PAR SSL

Le protocole SSL (Secure Sockets Layer) permet de sécuriser le déploiement des mises à jour. WSUS utilise SSL lors des communications avec les clients et avec les serveurs WSUS « fils ». Les mises à jour sont composées de 2 parties qui sont transférées selon des principes différents :

· Les « Métadonnées », c'est-à-dire des données décrivant le contenu et la cible des fichiers de mise à jour, sont transférés en SSL. C'est le mode de communication utilisé obligatoirement lors d'une connexion sur le site Microsoft Update.

· Les fichiers de mise à jour sont transmis avec le protocole HTTP. Pour limiter le risqué sur un canal non sécurisé :

o Chaque fichier est signé

o Un hash est calculé et envoyé avec les Métadonnées pour chaque mise à jour

WSUS vérifie la signature digitale et le hash à chaque téléchargement Si la mise à jour a été modifiée, elle n'est pas installée.

1- LIMITATION DE LA SOLUTION SSL

Il existe deux limitations à l'usage de la solution SSL :

· Le mécanisme de calcul pour le chiffrement / déchiffrement augmente la charge du serveur. Il est conseillé de prévoir environ 10% de ressources supplémentaires lorsque le SSL est activé.

· Si le serveur WSUS utilise une base de données SQL Server hébergée sur un autre serveur, la communication entre WSUS et la base de données distante est non sécurisée. Il est possible de sécuriser cette communication en utilisant une stratégie IPSec.

Cette limitation ne s'applique pas si la base de données est située sur le serveur WSUS lui-même.

2- INSTALLATION DES CERTIFICATS SSL

SSL utilise pour le chiffrement des données des certificats de type « Web Server ». Ce type de certificat peut être délivré par l'autorité de certification disponible avec les systèmes Windows Server.

La procédure présentée dans cette section utilise la PKI (Public Key Infrastructure) Windows 2003 Server.

3- CERTIFICATS SSL ET POSITIONNEMENT

L'usage d'une autorité de certification privée est recommandé dans le cas de WSUS puisqu'il s'agit d'une architecture de serveurs interne à l'entreprise.

La principale contrainte d'une autorité privée, hormis son administration et les règles de sécurité afférant, est qu'elle doit elle-même être approuvée par les ordinateurs qui l'utilisent pour rendre valide le certificat du site Web.

Il existe donc 2 certificats à mettre en oeuvre pour une communication en HTTPS :

· Le certificat de l'autorité, à installer sur tous les ordinateurs utilisant SSL (Serveurs et postes).

· Le certificat du site Web à installer uniquement sur le serveur IIS du site.

CHAPITRE 8 :

VALORISATION

Tableau 16 : Valorisation du projet

CONCLUSION

Au terme de notre étude, nous pouvons dire que la sécurité en informatique est un facteur très important qu'il ne faut pas négliger.

Et tout système d'information informatisé non sécurisé s'expose à bon nombre de problèmes comme les failles, le dysfonctionnement des applications et programme. C'est pour cette raison, Microsoft a mis en oeuvre des technologies permettant de gérer des ordinateurs pour la mise à jour de ses différents produits.

Ainsi nous avons pu étudier tous les aspects de WSUS, de la généralité des systèmes de mise à jour, l'installation de WSUS à la configuration en passant par les procédures d'exploitation ainsi que la sécurité demandé par une telle mise en place. Aussi nous précisons que WSUS n'a jamais été un antivirus mais plutôt une solution de gestion centralisée des mises à jours de produits Microsoft dans le but de permettre une homogénéité de configuration sécurisée du réseau.

Bien que WSUS soit gratuit et simple d'utilisation il s'adresse à des entreprises ayant un parc machine important désirant centraliser les processus de mises à jour. WSUS s'intègre parfaitement dans un environnement Microsoft, rentrant en corrélation parfaite avec plein d'outils Microsoft (Domaine active directory, Groupe machine, GPO...) ce qui fait tout son intérêt et sa puissance.

Cependant Microsoft propose une solution bien plus évolué (mais payante) permettant d'effectuer en plus des fonctions de mise à jour, du reporting ainsi que du déploiement de soft à distance dans un outil appelé SMS (System Management Server).

·
· Sites visites en Mars 2010

http://www.google.ci

· LABORATOIRE SUPINFO DES TECHNOLOGIES MICROSOFT http://www.microsoft.com/france/securite

http :// www.microsoft.com/windowsserversystem/updateservices/default.mspx
·
· Sites visites en Avril 2010

· LABORATOIRE SUPINFO DES TECHNOLOGIES MICROSOFT Joachim GOMARD http://www.laboratoire-microsoft.org/articles/wsus3// Michael KERBIDI http://www.laboratoire-microsoft.org/articles/server/WSUS/

· MICROSOFT / TECHNET http://www.microsoft.com/france/technet/windowsserver/librairie/default.mspx http://www.microsoft.com/windowsserversystem/updateservices

http://www.microsoft.com/windowsserversystem/updateservices/community/defau lt.mspx

http://www.microsoft.com/windowsserversystem/updateservices/downloads/defaul t.mspx

· GUIDE DETAILLE POUR WINDOWS SERVER UPDATE SERVICES 3.0 SP2 http://technet.microsoft.com/fr-fr/library/dd939822%28WS.10%29.aspx

Active Directory (AD) : Nom du service d'annuaire de Microsoft. Il permet de représenter et de stocker les éléments constitutifs du réseau. Il permet également l'attribution et l'application de stratégies, la distribution de logiciels, et l'installation de mises à jour critiques par les administrateurs.

Audit : Evaluation des risques des activités informatiques, dans le but d'apporter une diminution de ceux-ci et d'améliorer la maîtrise des systèmes d'information.

Base de registre : Base de données utilisée par le système d'exploitation Windows. Elle contient les données de configuration du système d'exploitation et des autres logiciels installés. Microsoft utilise aujourd'hui plutôt le terme Registre Windows pour parler de cette base de données.

BITS : Background Intelligent Transfer Service en français service de transfert intelligent en arrière-plan, est un composant des systèmes d'exploitation Microsoft Windows (Vista et Windows 2003). Il permet le transfert de fichiers asynchrones utilisant la bande passante lorsqu'elle est inoccupée.

Contrôleur de domaine : Serveur sur lequel est installé Active Directory et qui s'occupe de l'authentification des utilisateurs dans un domaine.

Débogage : Correction d'un programme, d'un logiciel, ou d'une application suite à une anomalie de fonctionnement.

DHCP : Dynamic Host Configuration Protocol terme anglais désignant un protocole réseau dont le rôle est d'assurer la configuration automatique des paramètres IP d'une station, notamment en lui assignant automatiquement une adresse IP et un masque de sous-réseau.

DMZ (zone démilitarisée) : c'est un sous-réseau isolé par un pare-feu. Ce sousréseau contient des machines se situant entre un réseau interne (LAN - postes clients) et un réseau externe (typiquement, Internet).

DNS : Domain Name System en français système de noms de domaine, est un système permettant d'établir une correspondance entre une adresse IP et un nom de domaine et, plus généralement, de trouver une information à partir d'un nom de domaine.

Domaine : Unité de base de la structure d'Active Directory. C'est un ensemble d'ordinateurs et d'utilisateurs qui partagent une même base de données d'annuaire. Un domaine a un nom unique sur le réseau.

HTTP : HyperText Transfer Protocol en français protocole de transfert hypertexte, est un protocole de communication client-serveur développé pour le World Wide Web.

GPO : Group Policy Object, stratégies de groupe en français sont des fonctions de gestion centralisée de la famille Windows. Elles permettent la gestion des ordinateurs et des utilisateurs dans un environnement Active Directory.

IIS : Internet Information Services est le logiciel serveur Web de la plateforme Windows.

IPSec (Internet Protocol Security) : Protocole destiné à fournir différents services de sécurité. Il propose ainsi plusieurs choix et options qui lui permettent de répondre de façon adaptée aux besoins des entreprises, nomades, extranets, particuliers, etc...

MAJ : Mise à jour

Métadonnées : Terme utilisé pour définir l'ensemble des informations techniques et descriptives ajoutées aux documents pour mieux les qualifier.

MMC : Microsoft Management Console est une composante du système d'exploitation Windows qui fournit aux administrateurs de système et aux utilisateurs avancés une interface flexible à travers laquelle ils peuvent configurer leur système et en surveiller le fonctionnement

NTFS : Système de fichiers conçu pour les systèmes Microsoft pour stocker des données sur disque dur. Il s'inspire d'HPFS, le système de fichiers conçu pour OS/2. Le sigle NTFS désigne en anglais NT File System (littéralement système de fichiers de la génération NT). Ce système est arrivé avec la première version de Windows NT, en 1993.

Service Pack : Paquet de services en français, diminutif SP est un ensemble de mises à jour, corrections et/ou améliorations de logiciels livré sous forme d'un seul package installable en une seule opération. De nombreux éditeurs tels que Microsoft publient un service pack quand le nombre de correctifs individuels devient trop important.

SSL : (Secure Socket Layer) est un protocole de sécurisation des échanges, développé par Netscape. Il a été conçu pour assurer la sécurité des transactions sur Internet (notamment entre un client et un serveur.

SMTP: Simple Mail Transfer Protocol (littéralement « Protocole simple de transfert de courrier »), est un protocole de communication utilisé pour transférer le courrier électronique vers les serveurs de messagerie électronique.

Stratégie : Configuration logicielle du système par rapport aux utilisateurs.

SQL Server : Système de gestion de base de données (SGBD) développé par Microsoft.

Paquet : Unité de transmission utilisée pour communiquer. Afin de transmettre un message d'une machine à une autre sur un réseau, celui-ci est découpé en plusieurs paquets transmis séparément.

Pare feu : Elément du réseau informatique, logiciel et/ou matériel, qui a pour fonction de faire respecter la politique de sécurité du réseau, celle-ci définissant quels sont les types de communication autorisés ou interdits.

Port : Point d'entrée à un service sur un équipement (pc, serveur,...) connecté à un réseau. C'est aussi composant du réseau TCP/IP qui permet de diviser les types de communication que l'on veut avoir entre les ordinateurs.

PKI (Public Key Infrastructure) : un système de gestion de clés publiques qui utilise des mécanismes de signature et certifie des clés publiques qui permettent de chiffrer et de signer des messages ainsi que des flux de données, afin d'assurer la confidentialité, l'authentification, l'intégrité et la non-répudiation.

Protocole : Méthode standard qui permet la communication entre des processus (s'exécutant éventuellement sur différentes machines), c'est-à-dire un ensemble de règles et de procédures à respecter pour émettre et recevoir des données sur un réseau.

Relation d'approbation : Configuration qui permet à un utilisateur ou à un ordinateur d'un domaine donné d'accéder aux ressources de son domaine mais aussi d'autres domaines.

Ressource (RR) de type A : Les enregistrements de ressources hôtes (A) sont utilisés dans une zone pour associer des noms de domaine DNS d'ordinateurs (ou hôtes) à leurs adresses IP.

Round Robin : (Tournoi à la ronde) est un mécanisme d'équilibrage local utilisé par les serveurs DNS de partager et de distribuer les charges des ressources réseau.

Routage désigne le mécanisme par lequel les données d'un équipement expéditeur sont acheminées jusqu'à leur destinataire en examinant les informations situées au niveau 3 du modèle OSI (IP par exemple), même si aucun des deux ne connaît le chemin complet que les données devront suivre.

RPC : Remote Procedure Call est un protocole permettant de faire des appels de procédures sur un ordinateur distant à l'aide d'un serveur d'application. Ce protocole est utilisé dans le modèle client-serveur et permet de gérer les différents messages entre ces entités.

TCP/IP : Transmission Control Protocol/Internet Protocol est une suite de
protocoles. Il provient des noms des deux protocoles majeurs de la suite de

protocoles, c'est-à-dire les protocoles TCP et IP. TCP/IP représente d'une certaine façon l'ensemble des règles de communication sur Internet et se base sur la notion adressage IP, c'est-à-dire le fait de fournir une adresse IP à chaque machine du réseau afin de pouvoir acheminer des paquets de données.

Script : Liste de commandes écrites dans un langage destinée à être interprétée pour effectuer une certaine tâche.

Serveur proxy : traduction française de «proxy server», appelé aussi «serveur mandataire» est à l'origine une machine faisant fonction d'intermédiaire entre les ordinateurs d'un réseau local (utilisant parfois des protocoles autres que le protocole TCP/IP) et Internet.

URL : Uniform Resource Locator littéralement « localisateur uniforme de ressource », est une chaîne de caractères (codé en ASCII, donc utilisant l'alphabet anglais, ce qui signifie aucun accent comme « é » ou « î ») utilisée pour adresser les ressources du World Wide Web : document HTML, image, son, forum Usenet, boîte aux lettres électroniques, etc

Tableau1 : prix des différents FAI en COTE D'IVOIRE .17

Tableau2 : comparatif des orientations de MAJ ..17

Tableau3 : forces et faiblesses de Microsoft Update 19

Tableau4 : forces et faiblesses de MBSA 20

Tableau5 : forces et faiblesses de WSU 21

Tableau6 : forces et faiblesses de SMS 22

Tableau7: comparatif des solutions Microsoft 23

Tableau8 : dimensionnement du serveur WSUS (500 postes) 31

Tableau9 : dimensionnement du serveur WSUS (15.000 postes) 31

Tableau10:noeud de configuration général dans un environnement sans DC 46

Tableau11:noeud de configuration des MAJ dans un environnement sans DC......50 Tableau12: stratégie d'audit 73

Tableau13:option de sécurité 75

Tableau14:journaux des événements 76

Tableau15: service systèmes 78

Tableau16: valorisation du projet 83

CHAPITRE 1: DEFINITION DE CONCEPTS 4

I- NOTION DE CORRECTIF 4

II- GESTION REUSSIE DES CORRECTIFS 4

1- LE PROCESSUS DE GESTION DES CORRECTIFS 6

2- LES TECHNOLOGIES 7

3- TERMINOLOGIE DE SÉCURITÉ 8

4- AGENCE DE MENACE 9

CHAPITRE 2 : PRESENTATION DU SUJET ET PROBLEMATIQUE 10

I- PRÉSENTATION DU SUJET 10

1- CONTEXTE 10

2- OBJECTIFS 10

II- PROBLEMATIQUE 11

CHAPITRE 3 : ORIENTATION & CHOIX DE LA SOLUTION 15

I- AUGMENTATION DU DEBIT DE L'ACCES A INTERNET 15

Prix des différents Fournisseur Accès Internet (FAI) en COTE D'IVOIRE 15

III- IMPLEMENTATION D'UN GESTIONNAIRE DE CORRECTIF 16

III- COMPARATIFS DES DEUX ORIENTATIONS 16

IV- ORIENTATION RETENUE 16

I- MICROSOFT UPDATE 17

1- PRESENTATION 17

2- FORCES ET FAIBLESSES 17

II- MICROSOFT BASELINE SECURITY ANALYZER (MBSA) 18

1- PRESENTATION 18

2- FORCES ET FAIBLESSES 18

III- WINDOWS SERVER UPDATE SERVICES (WSUS) 18

1- PRESENTATION 18

2- FORCES ET FAIBLESSES 19

IV- SYSTEMS MANAGEMENT SERVER 2003 (SMS 2003) 20

1- PRESENTATION 20

2- FORCES ET FAIBLESSES 20

V- COMPARATIF DES SOLUTIONS MICROSOFT POUR LA GESTION DES

CORRECTIFS 21

VI- SOLUTION DE MISE EN OEUVRE RETENUE 21

CHAPITRE 4 : ARCHITECTURES POSSIBLE DE WSUS 22

I- ARCHITECTURE DE SERVEUR UNIQUE 22

II- PLUSIEURS SERVEURS WSUS INDEPENDANTS 23

III- SERVEURS SYNCHRONISES 24

IV- SERVEURS DECONNECTES 25

V- PRINCIPE ET FONCTIONNEMENT DE WSUS 26

1- PRINCIPE DE WSUS 26

2- FONCTIONNEMENT DE WSUS 27

CHAPITRE 5 : INSTALLATION DE WSUS 29

I- PREPARATION MATERIELLE 29

1- MATERIEL 29

2- CAPACITES RECOMMANDEES 29

3- COMPLEMENTS LOGICIELS NECESSAIRES POUR L'INSTALLATION DE WSUS 30

4- TAILLES DE PARTITIONS RECOMMANDEE SUR LES DISQUES 30

II- INSTALLATION DE WSUS (Windows serveur 2003) 31

1- INSTALLATION MANUELLE DE WSUS 3.0 32

2- INSTALLATION AUTOMATISÉE 33

3- PRESENTATION DES COMPOSANTS INDISPENSABLE A L'INSTALLATION WSUS 34

CHAPITRE 6 : CONFIGURATION DE WSUS 36

I- CONFIGURATION DE LA CONNEXION RESEAU DU SERVEUR 36

1- L'ASSISTANT DE CONFIGURATION POST-INSTALLATION 36

2- L'ASSISTANT DE NETTOYAGE DES OBJETS OBSOLETES 40

II- CONFIGURATION DES POSTES CLIENTS 42

1- DANS UN ENVIRONNEMENT SANS CONTROLEUR DE DOMAINE 42

2- DANS UN ENVIRONNEMENT AVEC UN CONTROLEUR DE DOMAINE 47

III- CIBLAGE DES ORDINATEURS 48

1- IMBRICATION DES GROUPES. 48

2- APPARTENANCE 49

IV- ADMINISTRATION DU SERVEUR 51

1- PRESENTATION DE LA CONSOLE MMC 3 51

V- LES RAPPORTS 53

1- RAPPORTS DE MISE A JOUR 54

2- RAPPORTS D'ORDINATEURS 54

3- RAPPORTS DE SYNCHRONISATION 54

4- NOTIFICATION PAR EMAIL 55

5- ROLE POUR LA DELEGATION 58

VI- GESTION DES MISES A JOUR 60

1- PERSONNALISATION DE L'AFFICHAGE 61

2- SOURCE DES MISES A JOUR ET SERVEUR PROXY 62

3- PLANIFICATION DE LA SYNCHRONISATION 64

4- FICHIERS ET LANGUES DES MISES A JOUR 65

5- PRISE EN CHARGE DES UTILISATEURS MOBILES 66

CHAPITRE 7 : MISE EN SECURITE DES SERVEURS WSUS 68

I- SECURITE DU SERVEUR HOTE DE WSUS 68

1- STRATEGIES D'AUDIT 68

2- OPTIONS DE SECURITE 70

3- JOURNAUX D'EVENEMENTS 71

4- LES SERVICES SYSTEME 73

II- SECURITE DES COMMUNICATIONS 75

1- AJOUT D'UNE AUTHENTIFICATION AD POUR LES CONNEXIONS ENTRE

SERVEURS WSUS 76

III- COMMUNICATIONS SECURISEES PAR SSL 77

1- LIMITATION DE LA SOLUTION SSL 78

2- INSTALLATION DES CERTIFICATS SSL 78

3- CERTIFICATS SSL ET POSITIONNEMENT 79

CHAPITRE 8 : VALORISATION 80

CONCLUSION 81

WEBOGRAPHIE 82

GLOSSAIRE 83

LISTE DES FIGURES 89

LISTE DES TABLEAUX 90

TABLE DES MATIERES ..91