Présentation du produit Windows System Updates Services.

Suite au retour surprise de certains virus (conflicker), dont la faille principale est corrigée depuis  presque 2 ans, de nombreuses entreprises se reposent la question de mettre en place une mise à jour plus automatisée et plus contrôlée des patchs de sécurité et des SP !

Voici un schéma reprenant les éléments principaux nécessaires au fonctionnement, ainsi que le déroulement des opérations. L’installation n’est pas très compliquée. La configuration sera vue dans un autre document.

 

Les composants essentiels sur le serveur:

-          Un serveur Windows intégré ou non dans le domaine.

-          Une base SQL installée (SQL Express Intégré ou autre MSSQL sur le réseau)

-          Le service IIS sera configuré sur le port 80 ou sur le  port 8530. Le port 8530 permet de séparer les flux classiques http des téléchargements de mises à jour sur les firewalls.

-          Le « service de transfert intelligent en arrière-plan » alias BITS sera configuré et utilisé par WSUS pour optimiser les téléchargements (reprise au point d’arrêt).

-          Un accès Internet (http) direct ou par proxy.

-          Un espace disque (très) important pour le téléchargement (Prévoir 25 Go par langue, selon les logiciels sélectionnés).

Les composants des machines clientes : (Serveurs et stations)

-          Le service de Mise à jour Windows

-          Le « service de transfert intelligent en arrière-plan » (BITS) est conseillé.

-          L’utilisation des stratégies de groupes pour la mise en place est aussi conseillée !

Voici le déroulement des opérations :

-          WSUS télécharge les définitions concernant les produits (logiciels) et les classes de mises à jour choisis (patchs, SP, Features,…) et met à jour la base de données.

-          Les machines clientes configurées pour utiliser WSUS téléchargent les définitions qui leurs correspondent et analysent leurs situations (Installé, Non installé, Non nécessaire).

-          Les machines clientes remontent les situations sous forme de rapports et les informations sont mises à jour dans la base.

-          L’administrateur approuve (ou refuse) les définitions souhaitées pour des groupes de machines définis sur WSUS. L’administrateur peut aussi décider de la suppression, c’est-à-dire la désinstallation de certaines mises à jour  qui provoqueraient des problèmes inattendus.

-          WSUS télécharge les mises à jour approuvées (si cette option a été choisie, sinon les mises à jour sont déjà présentes) et met à jour la base.

-          Les machines clientes configurées pour utiliser WSUS téléchargent les mises à jour et les installent en fonction de la stratégie définie correspondent et analysent le résultat (Installé, Non installé, Echec ou Non nécessaire).

-          Les machines clientes remontent les situations sous forme de rapports et les informations sont mises à jour dans la base.

 

Conclusions sur le fonctionnement :

-          WSUS se place en intermédiaire entre le site Microsoft « Windows Update » et vos machines.

-          Le serveur de mises à jour ne pousse pas réellement les modifications, car ce sont les machines clientes sont actives et qui viennent chercher les éléments en fonction de planifications définies spécifiquement sur chaque machine. Ceci permet de gérer différemment  les serveurs, les stations et surtout les machines de test. En effet, l’effet des mises à jour sera préférablement vérifié sur un groupe de machines « témoin » avant d’être appliquées à toutes les autres.

-          Comme le montre le schéma, WSUS peut être utilisé pour fournir une structure hiérarchique de mises à jour à partir d’un site principal à destination d’autres sites afin d’optimiser les mises à jour sur les sites distants.

 

Il est intéressant de noter que le composant WSUS est intégré à Windows 2008 R2 sous la forme d’un rôle.

La configuration des stratégies utilisées pour WSUS seront abordées dans un prochain article !