Upload
amaline-pepin
View
108
Download
0
Embed Size (px)
Citation preview
Gestion des mises à jour Gestion des mises à jour de sécuritéde sécuritéGestion des mises à jour Gestion des mises à jour de sécuritéde sécurité
Cyril VOISINCyril VOISINChef de programme Chef de programme SécuritéSécuritéMicrosoft FranceMicrosoft France
SommaireSommaire
Partie 1 : introduction et rappelsPartie 1 : introduction et rappels
Partie 2 : Windows Update Services Partie 2 : Windows Update Services (WUS, ex SUS 2.0)(WUS, ex SUS 2.0)
Partie 3 : SMS 2003Partie 3 : SMS 2003
Partie 4 : tableau de synthèse de Partie 4 : tableau de synthèse de comparaison de SUS/WUS/SMScomparaison de SUS/WUS/SMS
Partie 1 : Partie 1 : introductionintroductionPartie 1 : Partie 1 : introductionintroduction
RappelsRappels
Pas simplement des technos…Pas simplement des technos…
Les 3 facettes de la sécuritéLes 3 facettes de la sécurité
ArchitectureArchitecturesécuriséesécurisée
Technologies
TechnologiesWindows 2000/XP/2003
Windows 2000/XP/2003
Active Directory
Active Directory
Service PacksService Packs
Correctif
s
Correctif
s
IPSECIPSEC
KerberosKerberos
PKIPKI
DF
SD
FS
EFSEFS
SSL/TLS
SSL/TLS
Clusters
Clusters
Détectio
n
Détectio
n
d’in
trusio
nd
’intru
sion
SMSSMS
MOMMOM
ISAISA
Antivirus
Antivirus
GPOGPO
PersonnesPersonnesAdmin.Admin.de l’Entreprise
de l’EntrepriseAdm
in.
Admin
.
Du Dom
aine
Du Dom
aine
Service/Service/
SupportSupport
Développeur
DéveloppeurUtilisateurUtilisateur
ArchivageArchivage
Politique
Politiqued’accès
d’accès
Inst
alla
tion
Inst
alla
tion
Réparation
RéparationGes
tion d
es
Ges
tion d
es
évén
emen
ts
évén
emen
ts
Gestion desGestion des
perfsperfs
Gestion du
Gestion du
Changement /
Changement /
de la C
onfiguratio
n
de la C
onfiguratio
n
Proc
essu
s
Proc
essu
s
RestaurationRestauration Sauvegard
e
Sauvegard
e
Réponse à Réponse à IncidentIncident
Mic
roso
ft
Mic
roso
ft
Ope
ratio
ns
Ope
ratio
ns
Fram
ewor
k
Fram
ewor
k
Evalu
atio
n
Evalu
atio
n
de ri
sque
s
de ri
sque
s
Partie 2 : WUSPartie 2 : WUSPartie 2 : WUSPartie 2 : WUS
Windows Updates Windows Updates Services Services (ex SUS 2.0)(ex SUS 2.0)
AvertissementAvertissement
Windows Update Services (WUS) Windows Update Services (WUS) n’existe pas encore en version finale n’existe pas encore en version finale (beta 2 seulement)(beta 2 seulement)
Certaines fonctionnalités décrites ici Certaines fonctionnalités décrites ici pourraient changer d’ici à la sortie du pourraient changer d’ici à la sortie du produitproduit
Objectifs de WUS (SUS Objectifs de WUS (SUS 2.0)2.0)
Construire l’infrastructure de base de la Construire l’infrastructure de base de la gestion des mises à jourgestion des mises à jourCréer une solution facile d’utilisation, Créer une solution facile d’utilisation, néanmoins complète, pour télécharger et néanmoins complète, pour télécharger et distribuer des mises à jour de produits distribuer des mises à jour de produits MicrosoftMicrosoft
Critiques ou nonCritiques ou nonRapports centralisésRapports centralisésGarantie de l’installationGarantie de l’installationDépannageDépannageSystèmes ou applicationsSystèmes ou applications
Répondre aux demandes clients par Répondre aux demandes clients par rapport à la version SUS 1.0 (qui ne prend rapport à la version SUS 1.0 (qui ne prend en charge que les mises à jour critiques ou en charge que les mises à jour critiques ou sécurité de Windows)sécurité de Windows)
Les fonctionnalités demandées par nos Les fonctionnalités demandées par nos clientsclients
*En partie possible via le réglage de la fréquence de détection et des scripts
Fonctionnalités Fonctionnalités demandéesdemandées SUS 1.0 SP1SUS 1.0 SP1 WUSWUS
Support des Service PacksSupport des Service Packs Installation sur SBS et sur des contrôleurs de Installation sur SBS et sur des contrôleurs de domainedomaine
Support d’Office et d’autres produits MicrosoftSupport d’Office et d’autres produits Microsoft
Support d’autres types de mises à jourSupport d’autres types de mises à jour
Désinstallation de mise à jourDésinstallation de mise à jour
Ciblage des mises à jourCiblage des mises à jour
Amélioration du support pour les réseaux bas débitAmélioration du support pour les réseaux bas débit
Réduction de la quantité de données à téléchargerRéduction de la quantité de données à télécharger
Réglage de la fréquence de détection des mises à Réglage de la fréquence de détection des mises à jourjour
Minimiser l’interruption de l’utilisateurMinimiser l’interruption de l’utilisateur
Déploiement d’urgence d’un correctif (‘gros bouton Déploiement d’urgence d’un correctif (‘gros bouton rouge’)rouge’)
**
Déploiement de mises à jour d’autres applications Déploiement de mises à jour d’autres applications non Microsoftnon Microsoft
Support de NT4Support de NT4
Produits supportésProduits supportés
Client WUSClient WUSWindowsWindows
Windows 2000 SP3 +Windows 2000 SP3 +Windows XPWindows XPWindows Server 2003 (SP1 mini pour versions 64 bits)Windows Server 2003 (SP1 mini pour versions 64 bits)
OfficeOfficeOffice XP SP2 et Office 2003Office XP SP2 et Office 2003
SQL ServerSQL ServerSQL 2000 et MSDE 2000SQL 2000 et MSDE 2000
Exchange ServerExchange ServerExchange Server 2003Exchange Server 2003
A terme, plus de produits MicrosoftA terme, plus de produits Microsoft
Server WUSServer WUSWindows 2000 Server SP4Windows 2000 Server SP4Windows Server 2003 (32 bits)Windows Server 2003 (32 bits)
L’administrateur souscrit à certaines catégories de mises à jourLe serveur télécharge les mises à jour depuis Microsoft UpdateLes clients s’enregistrent auprès du serveurL’administrateur met les clients dans différents groupes cibles
L’administrateur approuve les mises à jourLes clients installent les mises à jour approuvées par l’administrateur
< Back Finish Cancel
Windows Update ServicesWindows Update Services
< Back Finish Cancel
Windows Update ServicesWindows Update Services
Microsoft Update(utilise WUS)
Serveur WUS
Postes de travail (clients WUS) Groupe cible 1
Serveurs (clients WUS)Groupe cible 2
Administrateur WUS
Aperçu de la Aperçu de la solutionsolution
WUSWUSNotions Notions fondamentalesfondamentales
WUSWUSNotions Notions fondamentalesfondamentales
Client Mises à jour Client Mises à jour automatiquesautomatiquesGroupe cibleGroupe cibleAbonnementAbonnementApprobation de mise à jourApprobation de mise à jourRapportsRapports
Client Mises à jour Client Mises à jour automatiques (automatiques (AutoUpdateAutoUpdate))
Principe : Principe : se connecte à Windows se connecte à Windows Update, Microsoft Update Update, Microsoft Update ou un serveur WUS pour ou un serveur WUS pour maintenir la machine à maintenir la machine à jourjourMode Mode pullpull
Nouvelle version dans Nouvelle version dans Windows XP Service Windows XP Service Pack 2 (permet Pack 2 (permet l’installation avant arrêt)l’installation avant arrêt)Disponible pourDisponible pour
Windows Server 2003Windows Server 2003Windows 2000 SP3Windows 2000 SP3Windows XP SP1Windows XP SP1
Possibilité de mise à jour Possibilité de mise à jour silencieuse du client à silencieuse du client à partir du serveur WUSpartir du serveur WUS
Configuration des clientsConfiguration des clients
Par stratégie de groupe ou Par stratégie de groupe ou par registrepar registreConfigurer les Mises à jour Configurer les Mises à jour automatiques (AutoUpdate) automatiques (AutoUpdate) en spécifiant un serveur en spécifiant un serveur intranet de Mise à jour intranet de Mise à jour MicrosoftMicrosoftModes d’installation :Modes d’installation :
Notifier avant Notifier avant téléchargement/installation téléchargement/installation Télécharger puis notifier Télécharger puis notifier pour installationpour installationTélécharger et installer Télécharger et installer automatiquement selon la automatiquement selon la planificationplanificationAutoriser les Autoriser les administrateurs locaux à administrateurs locaux à choisir le mode de choisir le mode de configuration (sans pouvoir configuration (sans pouvoir désactiver désactiver AutoUpdateAutoUpdate))
Configuration des clientsConfiguration des clients
Fréquence de détection Fréquence de détection configurable (du client vers configurable (du client vers le serveur) : le serveur) :
22 heures par défaut; 22 heures par défaut; minimum 1 heure (charge minimum 1 heure (charge sur le serveur)sur le serveur)La durée réelle entre deux La durée réelle entre deux détections sera détections sera déterminée aléatoirement déterminée aléatoirement entre 80% et 100% de la entre 80% et 100% de la durée paramétréedurée paramétrée
Délai de redémarrage et Délai de redémarrage et intervalle avant nouvelle intervalle avant nouvelle demande de redémarrage demande de redémarrage (si redémarrage repoussé)(si redémarrage repoussé)Notification pour les non Notification pour les non administrateurs (en administrateurs (en fonction du mode fonction du mode d’installation)d’installation)
Pas de redémarrage Pas de redémarrage planifié (pour laisser planifié (pour laisser l’utilisateur redémarrer l’utilisateur redémarrer quand il le veut)quand il le veut)Replanifier les installations Replanifier les installations planifiées (ex : 5 min après planifiées (ex : 5 min après redémarrage)redémarrage)Autoriser l’installation Autoriser l’installation immédiate des mises à immédiate des mises à jour automatiquesjour automatiquesCiblageCiblageNotifie l’utilisateur si Notifie l’utilisateur si redémarrage nécessaireredémarrage nécessaire
Groupes ciblesGroupes cibles
Utilité : cibler des mises à jour sur des Utilité : cibler des mises à jour sur des machines spécifiquesmachines spécifiques
Groupe cible de testGroupe cible de test
Groupe cible de productionGroupe cible de production
Deux types de ciblageDeux types de ciblageCôté serveurCôté serveur
L’administrateur WUS gère l’appartenance aux groupes L’administrateur WUS gère l’appartenance aux groupes depuis le site d’administration (listes sur le serveur)depuis le site d’administration (listes sur le serveur)
Côté clientCôté clientAppartenance gérée automatiquementAppartenance gérée automatiquement
En utilisant des stratégies de groupe (même groupe pour En utilisant des stratégies de groupe (même groupe pour toutes les machines d’une même UO d’Active Directory)toutes les machines d’une même UO d’Active Directory)
En utilisant le registreEn utilisant le registre
Abonnements Abonnements ((subscriptions)subscriptions)
Permet de choisir quelles mises à jour Permet de choisir quelles mises à jour télécharger et quandtélécharger et quand
Produit / Type de mise à jour (sécu, SP,FP, Produit / Type de mise à jour (sécu, SP,FP, pilote,etc…)pilote,etc…)En fait une mise à jour est composée de deux En fait une mise à jour est composée de deux élémentséléments
Un correctifUn correctifLes méta données décrivant le correctifLes méta données décrivant le correctif
Par défaut :Par défaut :seules les méta données sont téléchargées (catalogue)seules les méta données sont téléchargées (catalogue)les correctifs sont téléchargés s’ils sont approuvés les correctifs sont téléchargés s’ils sont approuvés (contenu)(contenu)
Exemples d’abonnements Exemples d’abonnements Quotidiens pour les mises à jour critiquesQuotidiens pour les mises à jour critiquesHebdomadaires pour les mises à jour Hebdomadaires pour les mises à jour recommandéesrecommandées
Approbation de mise à Approbation de mise à jourjour
Vérification avant déploiement (Vérification avant déploiement (détectiondétection))Évalue l’impact d’une mise à jour sur le Évalue l’impact d’une mise à jour sur le réseau avant qu’elle ne soit déployéeréseau avant qu’elle ne soit déployée
Au niveau de l’approbation d’une mise à jour, Au niveau de l’approbation d’une mise à jour, choisir l’action choisir l’action DetectDetect
Après un cycle de détection des clients, la rubrique Après un cycle de détection des clients, la rubrique StatusStatus de la mise à jour indique le nombre de de la mise à jour indique le nombre de machines qui nécessitent la mise à jourmachines qui nécessitent la mise à jour
Installation lors de la prochaine date planifiéeInstallation lors de la prochaine date planifiée
Installation avec date butoirInstallation avec date butoir
Désinstallation (nécessite que la mise à jour Désinstallation (nécessite que la mise à jour le supporte)le supporte)
Approbation Approbation automatique ?automatique ?
Par défaut, « détection » automatique Par défaut, « détection » automatique pourpour
Les mises à jour critiques et de sécuritéLes mises à jour critiques et de sécuritéTous les groupes ciblesTous les groupes cibles
Par défaut, aucune approbation Par défaut, aucune approbation automatique pour l’installationautomatique pour l’installation
On pourrait choisir des types de mises à jour, On pourrait choisir des types de mises à jour, et des groupes cibleset des groupes cibles
En cas de révision d’une mise à jour, la En cas de révision d’une mise à jour, la nouvelle version obtient le même niveau nouvelle version obtient le même niveau d’approbation que l’ancienne d’approbation que l’ancienne (désactivable pour effectuer un choix (désactivable pour effectuer un choix manuel)manuel)
RapportsRapports
Rapport standard consolidé (activités Rapport standard consolidé (activités clients)clients)
Par machine / par mise à jour / par Par machine / par mise à jour / par groupe ciblegroupe cible
Succès et échecs des téléchargements et Succès et échecs des téléchargements et installations avec les détails sur les installations avec les détails sur les erreurserreurs
Rapport sur les synchrosRapport sur les synchrosNouveautés, changementsNouveautés, changements
démodémodémodémo
Installation avec date Installation avec date butoirbutoir
Notions Notions complémentairescomplémentairesNotions Notions complémentairescomplémentaires
Communications Communications Options de déploiement Options de déploiement
des serveurs WUSdes serveurs WUSStockageStockageSécuritéSécuritéFlexibilitéFlexibilité
CommunicationsCommunications
Configuration des paramètres de proxyConfiguration des paramètres de proxy
Faible utilisation de la bande passanteFaible utilisation de la bande passanteBITS pour les téléchargements client-BITS pour les téléchargements client-serveur et serveur-serveurserveur et serveur-serveur
Mise à jour par “abonnement” (par Mise à jour par “abonnement” (par produit/par type) produit/par type)
Support des technologies “delta Support des technologies “delta compression” compression”
Téléchargement dissocié des correctifs et Téléchargement dissocié des correctifs et de leurs méta donnéesde leurs méta données
Options de déploiement des Options de déploiement des serveursserveurs
Déploiement hiérarchiqueDéploiement hiérarchiqueServeurs indépendantsServeurs indépendants
Serveurs non connectés à InternetServeurs non connectés à Internet
Postes de travail Clients
Postes de travail Clients
Serveurs WUSServeurs WUS
Microsoft Update
Serveur WUS
Serveur WUS
Postes de travail Clients
Serveurs non connectésServeurs non connectés
Microsoft Update
Serveur WUS
Serveur WUSImportation et exportation
manuelles
StockageStockage
Base de données pour gérer tout ce qui Base de données pour gérer tout ce qui n’est pas contenun’est pas contenuPrise en compte des dépendances entre les Prise en compte des dépendances entre les mises à jourmises à jourMSDE vs SQL ServerMSDE vs SQL Server
MSDE a une limite de 2GoMSDE a une limite de 2GoMises à jour hébergées sur Microsoft Mises à jour hébergées sur Microsoft Update (WUS sert alors seulement de point Update (WUS sert alors seulement de point de contrôle) ou en localde contrôle) ou en localFiltrage de contenu Filtrage de contenu
Ne garder que les plateformes et langues dont Ne garder que les plateformes et langues dont vous avez besoinvous avez besoin
DimensionnementDimensionnementPrévoir une croissance annuelle x nb de languesPrévoir une croissance annuelle x nb de langues
Sécurité, flexibilitéSécurité, flexibilité
Sur le client et sur le serveur Sur le client et sur le serveur Vérification de signature des contenus Vérification de signature des contenus téléchargés téléchargés
Permissions sur les contenus téléchargésPermissions sur les contenus téléchargés
Changement des portsChangement des portsSauf pour contacter MUSauf pour contacter MU
Infrastructure et plateformeInfrastructure et plateformeOption en ligne de commande pour déclencher Option en ligne de commande pour déclencher une détection côté client : wuauclt.exe une détection côté client : wuauclt.exe /detectnow/detectnow
API du client en COM exécutables à distance et API du client en COM exécutables à distance et scriptablesscriptables
API du serveur basées sur .Net FrameworkAPI du serveur basées sur .Net Framework
Exemple de scriptExemple de script
Le serveur et le client exposent tous les deux Le serveur et le client exposent tous les deux des API scriptablesdes API scriptables
Dim update, iDim update, iset AutoUpdate = CreateObject("Microsoft.Update.AutoUpdate")set AutoUpdate = CreateObject("Microsoft.Update.AutoUpdate")Autoupdate.DetectNow()Autoupdate.DetectNow()set UpdateSession = CreateObject("Microsoft.Update.Session")set UpdateSession = CreateObject("Microsoft.Update.Session")set UpdateSearcher = UpdateSession.CreateUpdateSearcher()set UpdateSearcher = UpdateSession.CreateUpdateSearcher()set SearchResult= UpdateSearcher.Search("")set SearchResult= UpdateSearcher.Search("")set Updates = SearchResult.Updatesset Updates = SearchResult.Updatesset UpdatesToInstall = set UpdatesToInstall =
CreateObject("Microsoft.Update.UpdateColl")CreateObject("Microsoft.Update.UpdateColl")For i = 0 to (Updates.Count-1)For i = 0 to (Updates.Count-1)
UpdatesToInstall.Add(Updates.Item(i))UpdatesToInstall.Add(Updates.Item(i))NextNextset Installer = UpdateSession.CreateUpdateInstaller()set Installer = UpdateSession.CreateUpdateInstaller()Installer.Updates = UpdatesToInstallInstaller.Updates = UpdatesToInstallset InstallationResult = Installer.Install()set InstallationResult = Installer.Install()
Détection
Approbation
Installation
Scénario : mise à Scénario : mise à jour de serveurs jour de serveurs avec WUSavec WUS
Scénario : mise à Scénario : mise à jour de serveurs jour de serveurs avec WUSavec WUS
Mises à jour de serveursMises à jour de serveursSuggestionsSuggestions
Définir des groupes cibles (GPO ou Définir des groupes cibles (GPO ou interface d’administration WUS)interface d’administration WUS)
Configurer les clients Mises à jour Configurer les clients Mises à jour automatiques (GPO ou registre)automatiques (GPO ou registre)
Installation auto ou notification avant Installation auto ou notification avant installationinstallation
Si notification, ouverture de session ou Si notification, ouverture de session ou script pour installationscript pour installation
Mises à jour de serveursMises à jour de serveursSuggestionsSuggestions
Pour les serveurs avec des fenêtres Pour les serveurs avec des fenêtres de maintenance, configurer les Mises de maintenance, configurer les Mises à jour automatiques pour une à jour automatiques pour une installation planifiée durant la fenêtreinstallation planifiée durant la fenêtre
Pour les serveurs sans créneaux de Pour les serveurs sans créneaux de maintenance : maintenance :
Configurer les Mises à jour automatiques Configurer les Mises à jour automatiques pour notifier avant l’installationpour notifier avant l’installation
Ouvrir une session sur le serveur ou Ouvrir une session sur le serveur ou utiliser les API pour effectuer utiliser les API pour effectuer l’installation lorsque c’est nécessairel’installation lorsque c’est nécessaire
Mises à jour de serveursMises à jour de serveursSuggestionsSuggestions
DatacentersDatacentersUtiliser les stratégies BITS pour limiter la Utiliser les stratégies BITS pour limiter la bande passante et les fenêtres de bande passante et les fenêtres de téléchargementtéléchargement
Configurer les Mises à jour automatiques Configurer les Mises à jour automatiques pour notifier avant l’installationpour notifier avant l’installation
Utiliser les API pour effectuer Utiliser les API pour effectuer l’installation lorsque c’est nécessaire l’installation lorsque c’est nécessaire
ClustersClustersScripter la mise à jour nœud après noeudScripter la mise à jour nœud après noeud
Partie 3 : SMS 2003Partie 3 : SMS 2003Partie 3 : SMS 2003Partie 3 : SMS 2003
Systems Management Systems Management Server 2003Server 2003
Télé-AssistanceTélé-Assistance
FonctionnalitésFonctionnalitésGestion des ressources matérielles et logiciellesGestion des ressources matérielles et logicielles
PPC 2003PPC 200364 MB64 MBARM 300 MHzARM 300 MHz
Windows XP SP1Windows XP SP1256 MB256 MBP IV 1 GHzP IV 1 GHz
Windows 2000Windows 2000128 MB128 MBP III 700 MHzP III 700 MHz
Windows NT 4 SP6Windows NT 4 SP6128 MB128 MBP III 350 MHzP III 350 MHz
OSOSRAMRAMCPUCPU
DécouverteDécouverte InventaireInventaire ReportingReporting
Gestion du cycle de vie des applicationsGestion du cycle de vie des applicationset des correctifs de sécuritéet des correctifs de sécurité
PackagingPackaging DistributionDistribution InstallationInstallation Suivi utilisationSuivi utilisation
Internet
Point de distribution SMS
Clients SMS
Clients SMS
MicrosoftDownload Center
Point de distribution SMS
2. Téléchargement régulier du référentiel (MSSECURE.XML)
1. Téléchargement et installation des outils d’analyse pour Windows (MBSACLI.EXE) et Office
3. Inventaire des clients et intégration avec les données d’inventaire matériel SMS
4. Utilisation de l’assistant Distribute Software Updates pour déclencher l’installation des mises à jour sélectionnées
6. Installation des mises à jour par l’agent SMS
7. De manière périodique: synchronisation de nouvelles mises à jour; analyse des clients; déploiement des mises à jour nécessaires
5. Téléchargement des fichiers; création/mise à jour des packages, programmes & annonces; réplication des packages & publication des programmes vers les clients SMS
Clients SMS
SMS 2003 et correctifs de SMS 2003 et correctifs de sécuritésécuritéArchitectureArchitecture
Intranet
Support de Windows 2003, XP, 2000 et de NT Support de Windows 2003, XP, 2000 et de NT 4.0 (et des périphériques mobiles)4.0 (et des périphériques mobiles)
Utilisation de l’infrastructure de télédistribution Utilisation de l’infrastructure de télédistribution en place pour déployer MBSACLI 1.2en place pour déployer MBSACLI 1.2
Exécution automatique d’une tâche récurrente Exécution automatique d’une tâche récurrente permettant de déterminer quelles sont les mises à permettant de déterminer quelles sont les mises à jour nécessaires pour chaque machinejour nécessaires pour chaque machine
Les informations sont collectées par les Les informations sont collectées par les mécanismes standard d’inventaire et mécanismes standard d’inventaire et transmises dans le référentiel de SMStransmises dans le référentiel de SMS
Création de rapports permettant d’analyser les Création de rapports permettant d’analyser les informations d’inventaireinformations d’inventaire
SMS 2003 et correctifs de SMS 2003 et correctifs de sécuritésécuritéArchitectureArchitecture
Security Update Inventory ToolSecurity Update Inventory Tool
Office Update Inventory ToolOffice Update Inventory Tool
Distribute Software Updates WizardDistribute Software Updates Wizard
SMS 2003 et correctifs de SMS 2003 et correctifs de sécuritésécuritéComposantsComposants
Objectif: Déterminer quels sont les correctifs Objectif: Déterminer quels sont les correctifs présents et nécessaires pour les présents et nécessaires pour les environnementsenvironnements
Windows NT 4.0, 2000, XP et 2003Windows NT 4.0, 2000, XP et 2003IE 5.x et 6.xIE 5.x et 6.xIIS 4.0, 5.0 et 6.0IIS 4.0, 5.0 et 6.0Exchange Server 2000 et 2003Exchange Server 2000 et 2003MDAC 2.5, 2.6, 2.7, et 2.8MDAC 2.5, 2.6, 2.7, et 2.8MSXML 2.5, 2.6, 3.0, et 4.0MSXML 2.5, 2.6, 3.0, et 4.0BizTalk Server 2000, 2002, et 2004BizTalk Server 2000, 2002, et 2004Commerce Server 2000 et 2002Commerce Server 2000 et 2002Content Management Server 2001 et 2002Content Management Server 2001 et 2002Host Integration Server 2000, 2004, SNA Server 4.0Host Integration Server 2000, 2004, SNA Server 4.0
Liste des exceptions:Liste des exceptions:Microsoft Baseline Security Analyzer (MBSA) Microsoft Baseline Security Analyzer (MBSA) returns note messages for some updatesreturns note messages for some updateshttp://http://support.microsoft.com/default.aspx?scid=kb;en-us;306460support.microsoft.com/default.aspx?scid=kb;en-us;306460
Security Update Inventory Security Update Inventory ToolTool
Permet de créer dans SMS les lots permettant Permet de créer dans SMS les lots permettant dede
Télécharger automatiquement la liste des correctifs Télécharger automatiquement la liste des correctifs de sécurité de sécurité
D’installer et exécuter, à intervalles de temps D’installer et exécuter, à intervalles de temps réguliers, MBSACli.exe sur les postes clientsréguliers, MBSACli.exe sur les postes clients
Enrichit l’inventaire avecEnrichit l’inventaire avecLe numéro du bulletin de sécurité, le numéro de Le numéro du bulletin de sécurité, le numéro de l’article technique, le titre, …l’article technique, le titre, …
Etat (Installé, Applicable)Etat (Installé, Applicable)
L’URL du site où peut être obtenue la mise à jourL’URL du site où peut être obtenue la mise à jour
S’intègre avec le module de reportingS’intègre avec le module de reporting
Security Update Inventory Security Update Inventory ToolTool
Security Update Inventory Security Update Inventory ToolTool
Objectif : Déterminer quels sont les correctifs Objectif : Déterminer quels sont les correctifs Office applicablesOffice applicables
Office 2000Office 2000
Office XPOffice XP
Office Update Inventory ToolOffice Update Inventory Tool
Permet de créer dans SMS les lots permettant Permet de créer dans SMS les lots permettant dede
Télécharger automatiquement la liste des Télécharger automatiquement la liste des correctifscorrectifs
D’installer et exécuter, à intervalles de temps D’installer et exécuter, à intervalles de temps réguliers, l’outil « réguliers, l’outil « Office Update Inventory Tool Office Update Inventory Tool »» sur les postes clientssur les postes clients
Enrichit l’inventaire avecEnrichit l’inventaire avecLe numéro du bulletin de sécurité, le numéro de Le numéro du bulletin de sécurité, le numéro de l’article technique, le titre, …l’article technique, le titre, …
Etat (Installé, Applicable)Etat (Installé, Applicable)
L’URL du site où peut être obtenue la mise à jourL’URL du site où peut être obtenue la mise à jour
S’intègre avec le module de reportingS’intègre avec le module de reporting
Office Update Inventory ToolOffice Update Inventory Tool
Distribute Distribute Software Updates Software Updates WizardWizard
Distribute Distribute Software Updates Software Updates WizardWizard
Distribute Distribute Software Updates Software Updates WizardWizard
Distribute Distribute Software Updates Software Updates WizardWizard
Objectif : Automatiser le déploiement des Objectif : Automatiser le déploiement des mises à jour manquantes sur les postes clientsmises à jour manquantes sur les postes clients
FonctionnementFonctionnementS’appuie sur l’inventaire remonté par les outils S’appuie sur l’inventaire remonté par les outils d’inventaired’inventaireIl est aussi possible de déployer des mises à jour Il est aussi possible de déployer des mises à jour directement avec le SP1directement avec le SP1
Recherche des correctifs manquants, sélection Recherche des correctifs manquants, sélection des correctifsdes correctifs
Téléchargement des correctifs depuis Téléchargement des correctifs depuis Microsoft.comMicrosoft.com
Création automatique du Lot de l’Annonce et Création automatique du Lot de l’Annonce et du Programmedu Programme
Distribute Distribute Software Updates Software Updates WizardWizard
Un assistant intégré à la sécurité et à la Un assistant intégré à la sécurité et à la console d’administration de SMS permettant console d’administration de SMS permettant dede
Visualiser les mises à jour nécessaires et gérer les Visualiser les mises à jour nécessaires et gérer les prioritéspriorités
Récupérer et autoriser les mises à jourRécupérer et autoriser les mises à jour
Tester les mises à jour en environnement piloteTester les mises à jour en environnement pilote
Définir le contenu des lotsDéfinir le contenu des lots
Contrôler l’expérience et les scénarios utilisateursContrôler l’expérience et les scénarios utilisateurs
Distribute Distribute Software Updates Software Updates WizardWizardFonctionnalitésFonctionnalités
Utilisation privilégiée des zones de notification Utilisation privilégiée des zones de notification et des ballonset des ballonsDes détails supplémentaires sont disponibles Des détails supplémentaires sont disponibles pour les utilisateurs intéresséspour les utilisateurs intéressésPossibilité d’utiliser des textes et graphiques Possibilité d’utiliser des textes et graphiques spécifiques afin de mettre en exergue spécifiques afin de mettre en exergue certaines mises à jourcertaines mises à jourSupport des installations en mode Support des installations en mode automatique ou silencieuxautomatique ou silencieuxPolitique d’installation souple variant entre Politique d’installation souple variant entre « installation obligatoire et immédiate » et « installation obligatoire et immédiate » et « installation facultative »« installation facultative »Détermination automatique du nombre Détermination automatique du nombre optimum de démarragesoptimum de démarrages
SMS 2003 et correctifs de SMS 2003 et correctifs de sécuritésécuritéInstallation des mises à jourInstallation des mises à jour
SMS 2003 et correctifs de SMS 2003 et correctifs de sécuritésécuritéInterface clienteInterface cliente
SMS 2003 et correctifs de SMS 2003 et correctifs de sécuritésécuritéInterface clienteInterface cliente
SMS 2003 et correctifs de SMS 2003 et correctifs de sécuritésécuritéConformité du parcConformité du parc
SMS 2003 et correctifs de SMS 2003 et correctifs de sécuritésécuritéConformité du parcConformité du parc
Partie 4 : synthèsePartie 4 : synthèsePartie 4 : synthèsePartie 4 : synthèse
Comparaison Comparaison SUS/WUS/SMSSUS/WUS/SMS
*utilisation de Windows Update, d'un autre outil de mise à jour ou mise à jour manuelle pour les systèmes et applications non supportés *utilisation de Windows Update, d'un autre outil de mise à jour ou mise à jour manuelle pour les systèmes et applications non supportés par WUS ou Microsoft Updatepar WUS ou Microsoft Update
Choisir une solution de gestion des Choisir une solution de gestion des correctifscorrectifs
ClientClient ScénarioScénario ChoixChoix
Grande ou Grande ou moyenne moyenne entrepriseentreprise
Besoin d'une solution unique et flexible de Besoin d'une solution unique et flexible de gestion des mises à jour avec un niveau gestion des mises à jour avec un niveau élevé de contrôle et de distribution pour élevé de contrôle et de distribution pour TOUTES les versions de Windows et TOUTES les versions de Windows et d'applications, ainsi qu'une solution de d'applications, ainsi qu'une solution de gestion du parc intégrégestion du parc intégré
SMS 2003SMS 2003
Besoin seulement d'une solution de mise à Besoin seulement d'une solution de mise à jour simple pour les produits Microsoft, et jour simple pour les produits Microsoft, et dans un premier temps Windows (2000 et dans un premier temps Windows (2000 et ultérieur), Office (2003 & XP), Exchange ultérieur), Office (2003 & XP), Exchange 2003, SQL Server 2000 et MSDE 20002003, SQL Server 2000 et MSDE 2000
WUSWUS**
Petite Petite entrepriseentreprise
Au moins un serveur et un administrateurAu moins un serveur et un administrateur WUSWUS**
Tous les autres scénariosTous les autres scénarios Microsoft Microsoft UpdateUpdate**
ConsommateConsommateurur Tous les scénariosTous les scénarios Microsoft Microsoft
UpdateUpdate**
Comparaison de MU, WUS et SMS Comparaison de MU, WUS et SMS 20032003CapacitéCapacité Microsoft UpdateMicrosoft Update WUSWUS SMS 2003SMS 2003Logiciels et contenus supportésLogiciels et contenus supportés
Logiciels supportés Logiciels supportés pour le contenupour le contenu
Pareil que WUS + Pareil que WUS + WinXP édition WinXP édition familialefamiliale
Win2K, WS2003, WinXP Win2K, WS2003, WinXP Pro, Office 2003, Office Pro, Office 2003, Office XP, Exchange 2003, SQL XP, Exchange 2003, SQL Server 2000, MSDEServer 2000, MSDE
Idem WUS + NT 4.0 & Win98 Idem WUS + NT 4.0 & Win98 + peut mettre à jour + peut mettre à jour n’importe quel logiciel n’importe quel logiciel fonctionnant sur Windowsfonctionnant sur Windows
Types de contenu Types de contenu supportéssupportés
Toutes les mises à jour Toutes les mises à jour de logiciels, mises à de logiciels, mises à jour critiques de jour critiques de pilotes, Service Packs pilotes, Service Packs & Feature Packs& Feature Packs
Toutes les mises à jour de Toutes les mises à jour de logiciels, mises à jour logiciels, mises à jour critiques de pilotes, critiques de pilotes, Service Packs & Feature Service Packs & Feature PacksPacks
Toutes les mises à jour de Toutes les mises à jour de logiciels, Service Packs & logiciels, Service Packs & Feature PacksFeature Packs+ support la mise à jour et + support la mise à jour et l’installation d’appli l’installation d’appli WindowsWindows
Capacités de gestion des mises à jourCapacités de gestion des mises à jour
Ciblage de contenu Ciblage de contenu à certains systèmesà certains systèmes N/AN/A SimpleSimple AvancéAvancé
Optimisation de la Optimisation de la bande passante bande passante réseauréseau
OuiOui OuiOui Oui Oui
Contrôle de la Contrôle de la distribution des distribution des correctifscorrectifs
N/AN/A SimpleSimple AvancéAvancé
Installation de Installation de correctif & correctif & flexibilité de la flexibilité de la planificationplanification
Manuelle & contrôlée Manuelle & contrôlée par l’utilisateur finalpar l’utilisateur final SimpleSimple AvancéAvancé
Rapport sur les Rapport sur les installations de installations de correctifscorrectifs
Erreurs d’installation Erreurs d’installation rapportées à rapportées à l’utilisateur. Liste les l’utilisateur. Liste les mises à jour mises à jour manquantes pour la manquantes pour la machine connectéemachine connectée
SimpleSimple AvancéAvancé
Planification du Planification du déploiementdéploiement N/AN/A SimpleSimple AvancéAvancé
Gestion de Gestion de l’inventairel’inventaire N/AN/A NonNon OuiOui
Vérification de Vérification de conformitéconformité N/AN/A Non – rapport de statut Non – rapport de statut
seulementseulement AvancéAvancé
RessourcesRessourcesSite sécurité :Site sécurité :http://www.microsoft.com/france/securitehttp://www.microsoft.com/france/securite Gestion des mises à jour de sécurité :Gestion des mises à jour de sécurité :http://www.microsoft.com/france/technet/securite/http://www.microsoft.com/france/technet/securite/gestionmaj/default.aspgestionmaj/default.asp Site WUS (en anglais) : Site WUS (en anglais) : http://www.microsoft.com/windowsserversystem/shttp://www.microsoft.com/windowsserversystem/sus/wusbeta.mspxus/wusbeta.mspxSite SMS :Site SMS :http://www.microsoft.com/france/sysmans/default.http://www.microsoft.com/france/sysmans/default.mspxmspxGestion des correctifs de sécurité avec SMS :Gestion des correctifs de sécurité avec SMS :http://www.microsoft.com/france/sysmans/decouvrhttp://www.microsoft.com/france/sysmans/decouvrez/patch.mspxez/patch.mspx MBSAMBSAhttp://www.microsoft.com/downloads/details.aspx?http://www.microsoft.com/downloads/details.aspx?FamilyID=8b7a580d-0c91-45b7-91ba-fc47f7c3d6aFamilyID=8b7a580d-0c91-45b7-91ba-fc47f7c3d6ad&displaylang=frd&displaylang=fr
BACKUPBACKUPBACKUPBACKUP
Installation à l’arrêt (XP Installation à l’arrêt (XP SP2)SP2)
Profiter de l’arrêt de la machine pour Profiter de l’arrêt de la machine pour la maintenir à jourla maintenir à jour
Contrôlé par stratégie de groupeContrôlé par stratégie de groupe
DiversDivers
Disponible en 25 langues pour le Disponible en 25 langues pour le client, 17 langues pour le serveurclient, 17 langues pour le serveur
Support de la Support de la delta compressiondelta compression
Mise à jour automatique du client Mise à jour automatique du client AutoUpdate (= AutoUpdate (= selfupdateselfupdate))
Pré-installation Pré-installation ((selfupdateselfupdate))