You are on page 1of 65

7

Dploiement dun gestionnaire de correctifs dans un environnement Microsoft

Avec le dveloppement de linformatique et lexplosion dInternet, les entreprises voluent dans un monde de plus en plus concurrentiel. Pour faire face cette concurrence, les entreprises basent leur force sur les ressources humaines et sur les systmes d'information informatiss. Derrire ceci, lon est confront au problme de la scurit informatique. La scurit informatique pose un problme dun ordre nouveau que lajout simple dune serrure ne saurait rsoudre. La prolifration du nombre dordinateurs et de ses applications, compte tenu du volume , de la qualit et de limportance des informations conserves dans les systmes informatiss, a engendr une multitude de menaces intentionnelles ou non pouvant porter atteinte au caractre confidentiel, lauthenticit et laccessibilit des donnes emmagasines dans ces systmes informatiss. Ces menaces sont, en grande partie, dues aux nombreuses failles scuritaires se trouvant dans les systmes dexploitation et autres applications. Ces failles scuritaires sont exploites, entre autre, par les pirates informatiques, au travers des codes malveillants quils crent (virus, cheval de Troie, bombe e-mail) pour attaquer les donnes contenues dans les systmes dinformation. Pour pallier aux failles scuritaires et protger les donnes du systme, plusieurs mesures scuritaires ont t adoptes par les constructeurs matriels, les diteurs de systme dexploitation et dapplication et autres acteurs du monde informatique. La gestion des correctifs est principalement axe sur les mises jour des systmes dexploitation et des applications. Chaque ordinateur peut le faire individuellement. Mais dans un grand rseau local, il serait intressant de centraliser le processus de gestion des correctifs pour une meilleure performance du rseau. Cest dans ce contexte que lAgence des Tlcommunications de Cte dIvoire (ATCI), structure qui nous a accueilli pour notre stage de fin de cycle, nous a soumis comme thme pour notre mmoire de fin de cycle le DEPLOIEMENT D'UN GESTIONNAIRE DE CORRECTIFS DANS UN ENVIRONNEMENT MICROSOFT. Quel pourrait donc tre l'apport d'un gestionnaire de correctifs dans un environnement Microsoft? Nous essayerons de rsoudre ce problme en trois parties. Nous prsenterons, en dbut, le contexte gnral de notre tude qui prsentera la structure daccueil ainsi que les rgles et processus de gestion des correctifs. Par la suite, nous prsenterons les techniques de dploiement en environnement de production. Cette tude prendra fin avec le dploiement de la solution par la configuration des serveurs et des postes clients. 1
Prsent par Kouam Akess Kouakou Nicaise

7
Dploiement dun gestionnaire de correctifs dans un environnement Microsoft

ETUDE PREALABLE

2
Prsent par Kouam Akess Kouakou Nicaise

7
Dploiement dun gestionnaire de correctifs dans un environnement Microsoft

Dans cette partie, nous prsenterons la structure daccueil, le thme soumis notre tude et ltude de lexistant.

3
Prsent par Kouam Akess Kouakou Nicaise

7
Dploiement dun gestionnaire de correctifs dans un environnement Microsoft

PRESENTATION DE LA STRUCTURE DACCUEIL

I- Missions de lATCI

LAgence des Tlcommunications de Cte dIvoire (ATCI) est une socit dEtat constitue conformment lordonnance N 98-441 du 04 Aot 1998 qui a modifie larticle 51 de la loi N 95-526 du 07 Juillet 1995 portant Code des Tlcommunications. Cette socit est place sous la tutelle technique du Ministre des Tlcommunications et des Nouvelles Technologies de lInformation. Les missions de lATCI sont de : - Faire appliquer les textes rglementaires en matire de tlcommunications, - Dfinir les principes et dautoriser la tarification des services qui sont fournis sous le rgime du monopole, - Dlivrer les autorisations dexploitation des services de tlcommunications, - Accorder les agrments des quipements terminaux, - Assurer la gestion et le contrle du spectre de frquences radiolectriques, - Grer le plan national de numrotation, - Contribuer lexercice de toute autre mission dintrt public que pourrait lui confier le gouvernement pour le compte de ltat dans le secteur des Tlcommunications. En outre, lATCI est charge de grer pour le compte de ltat certains immeubles des tlcommunications de lex-CITELCOM. II- Organisation interne La Direction Gnrale En vue dassurer la gestion courante et ladministration de lATCI, ainsi que lexcution des principes directeurs mentionns ci-dessus, le Directeur Gnral est assist : Dun (01) Secrtaire Gnral, De trois (03) Conseillers Techniques, De sept (07) Directions : La Direction de la Communication et de lInternational, 4
Prsent par Kouam Akess Kouakou Nicaise

7
Dploiement dun gestionnaire de correctifs dans un environnement Microsoft

La Direction des tudes et de la Prospective, La Direction de la Rglementation et des Affaires Juridiques, La Direction des Radiocommunications, La Direction des Affaires Administratives et Financires, La Direction du Budget et du Patrimoine, La Direction de lAudit et de la Qualit. o La Direction de la Communication et de lInternational Cette Direction est compose de trois (3) Sous-directions : La Sous-direction de lInternational, La Sous-direction de la Documentation et des Statistiques, La Sous-direction de la Communication. Elle est charge de : - Promouvoir limage de lATCI auprs du public externe laide de diffrents moyens de communication, - Coordonner et superviser la participation des services de lATCI aux activits des organisations internationales et rgionales de tlcommunications, de manire garantir la rgularit des relations administratives, techniques et de coopration de lAgence avec ces organisations. - Superviser la centralisation et le traitement des donnes de statistiques nationales et internationales sur les tlcommunications, la conservation et la mise disposition des Directions et du public de la documentation gnrale. o La Direction des Etudes et de la Prospective Elle comprend trois (3) Sous-directions : La Sous-direction des Etudes des Etudes Tarifaires, La Sous-direction de la Prospective, La Sous-direction de lHomologation et de la Normalisation. Elle est charge de rflchir sur les projets techniques et socio-conomiques visant dvelopper le secteur des tlcommunications. o La Direction de la Rglementation et des Affaires Juridiques Elle est constitue de quatre (4) Sous-directions : La Sous-direction des Licences et des Agrments, La Sous-direction du Suivi et du Contrle des Oprateurs, La Sous-direction du Contentieux Juridique, La Sous-direction du Contrle et de la Rpression Elle a pour mission de superviser les procdures dattributions de licences, autorisations et agrments ainsi que dexaminer les plaintes et les diffrends entre oprateurs. o La Direction des Radiocommunications 5
Prsent par Kouam Akess Kouakou Nicaise

7
Dploiement dun gestionnaire de correctifs dans un environnement Microsoft

Elle est compose de trois Sous-directions : La Sous-direction de la Gestion du Spectre, La Sous-direction de la Gestion des rseaux, La Sous-direction du Contrle du Spectre. Elle a pour mission de superviser la gestion du spectre de frquences en Cte dIvoire. o La Direction des Affaires Administratives et Financires Elle est constitue de trois (3) Sous-directions : La Sous-direction de la Comptabilit et des Finances, La Sous-direction du Recouvrement et du Contentieux, La Sous-direction des Ressources Humaines. Elle a pour mission dassurer la gestion des finances et du personnel de lAgence. o La Direction du Budget et du Patrimoine Elle est constitue de trois (03) sous directions : La sous direction du Patrimoine, La sous direction du Budget, La sous direction de lInformatique. Elle a pour mission de : Grer lensemble du patrimoine de lAgence et celui affect de lEtat, Grer le systme informatique de lATCI Grer lengagement budgtaire et les stocks o La Direction de lAudit et de la Qualit (DAQ)

Elle est constitue de deux (02) sous directions : La sous direction de lAudit et du Contrle interne, La sous direction de la Qualit. Elle a pour missions de : - Servir de Guichet unique pour les services fournis par lATCI - Effectuer lAudit et le Contrle de gestion Eu gard de ce qui a t dit, lorganigramme de lATCI se prsente comme indiqu dans la figure qui suit :

6
Prsent par Kouam Akess Kouakou Nicaise

7
Dploiement dun gestionnaire de correctifs dans un environnement Microsoft

DIRECTION GENERALE SECRETARIAT GENERAL SECRETARIAT DU DIRECTEUR GENERAL

CONSEILLERS TECHNIQUES

DIRECTION DE LA COMMUNIC ATION ET DE LINTERNAT IONAL

DIRECTIO N DES ETUDES ET DE LA PROSPECT IVE

DIRECTIO N DE LA REGLEME NTAT. ET DES AFF. JURIDIQUE S

DIRECTION DES RADIOCOMMUNIC ATIONS

DIRECTIO N DES AFFAIRE S ADM. ET FINANCIE RES

DIRECTION DE LAUDIT ET DE LA QUALITE DE

DIRECTION DU BUDGET ET DU PATRIMOIN E

S/D DE LINTERNAT IONAL

S/D ETUDES ECONO. ET FINANCIE RES

S/D AUTORISA TIONS ET AGREMEN TS

S/D GESTION DU SPECTRE

S/D COMPTABI LITE ET FINANCES

S/D AUDIT ET DU CONTRL E INTERNE

S/D DE LINFORMA TIQUE

S/D COMM. ET DES RELATIONS PUBLIQUES

S/D PROSPECT IVE ET NUMERATI ON

S/D CONTENTI EUX JURIDIQUE

S/D GESTION PERMISSIO NNAIRE RESEAUX

S/D RECOUVR EMENT ET CONTENTI EUX

S/D DU GUICHET UNIQUE

S/D DU PATRIMOIN E

S/D S/D DES STATISTIQU ES S/D HOMOLO GATION ET NORMALIS ATION SUIVI DES OPERATE URS S/D CONTRLE DU SPECTRE ET DES FREQUENC ES S/D RESSOUR CES HUMAINE S

S/D DU BUDGET

S/D CONTRL Prsent par Kouam Akess Kouakou Nicaise E ET REPRESSI ON

7
Dploiement dun gestionnaire de correctifs dans un environnement Microsoft

Figure 1 : Organigramme de lATCI

8
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

III-

Prsentation du service daccueil

A notre arrive, nous avons t reus la Direction du Budget et du Patrimoine (DBP). Cette Direction comprend trois(03) sous directions dont fait partie la sous direction de linformatique, service qui nous a appuy tout au long de la ralisation de cette tude.

9
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

PRESENTATION DU THEME
I-

Contexte

Plusieurs milliers de vulnrabilits (failles) sont dcouvertes chaque anne. Elles affectent la quasi-totalit des composants logiciels ou matriels du monde informatique, des microcodes et des systmes d'exploitation, aux progiciels et applications. Pour rpondre ces tares, la pratique autrefois, tait de configurer tous les postes de travail afin quils se synchronisent directement sur Internet pour tlcharger leur mise jour. Aujourd'hui, Microsoft met notre disposition des solutions concrtes permettant la mise en uvre d'une politique de scurit telles que la gestion des correctifs. Un correctif est un logiciel destin rectifier ou pallier certains dfauts d'un produit logiciel. Ainsi, le correctif a pour but de combler un bug ou une faille de scurit dans un code, afin de maintenir les versions logicielles intermdiaires dans les environnements de production. II-

Problmatique

Pourquoi est-il important pour une entreprise ou une organisation de pouvoir grer le dploiement de ses correctifs ? La gestion des correctifs de scurit et des mises jour permet de rendre notre environnement de production oprationnel dans des conditions optimales, de rsoudre les problmes de scurit et de maintenir la stabilit de cet environnement. Ainsi le dploiement des correctifs dans les systmes traditionnels demandait que toute les machines soient connectes Internet pour tlcharger leur mise a jour. Une autre mthode de mise jour utilise tait que l'administrateur, muni des correctifs (sur un support de stockage) parcourait toutes les machines du rseau pour l'installation des correctifs. Ces mthodes de gestion de correctifs entrainent dventuels problmes que sont : o La saturation de la bande passante o La remise en cause de l'intgrit des donnes o Le temps mort o Une dure de la rcupration de donnes leve o Le vol de proprit intellectuelle o La perte de crdibilit o Les relations publiques ngatives 10
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

o La protection juridique. La rsolution de ces problmes est trs onreuse en temps et en argent. La question qui se pose nous est donc : Comment faut-il grer les correctifs pour que lenvironnement de production ne soit pas tre confronter tous ces problmes?

III-

Objectifs

Les objectifs de notre projet sont les suivants : Construire l'infrastructure de base de la gestion des mises jour. Mettre en place une solution facile d'utilisation, nanmoins complte, pour tlcharger et distribuer les mises jour de produits Microsoft. Dployer de faon centralise, l'ensemble des mises jour Microsoft sur les machines d'un rseau local (y compris les mises jour recommandes et les mises jour de pilotes). Utiliser les outils de gestion de correctifs pour grer un parc important de postes de travail et colmater temps les failles ventuelles. Optimiser l'utilisation de la bande passante au niveau d'Internet. L'objectif principal de notre projet sera, en gros, de mettre en place une solution permettant de centraliser la gestion des mises jour Microsoft pour prvenir une exploitation ventuelle des failles dcouvertes.

11
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

ETUDE DE LEXISTANT
Les moyens de tlcommunication de lATCI sont essentiellement bass sur les rseaux informatiques et tlphoniques. Nous les prsenterons progressivement en mettant laccent sur le volet informatique.

I-

Rseau informatique
1- Architecture du rseau

Le rseau de lATCI est constitu de deux rseaux locaux : le LAN du sige et celui de lentit (DRC, DRJ). Ces deux sites sont relis par une fibre optique. LATCI dispose galement de deux connexions internet (Afnet et Arobase). Cest en moyenne cent (100) personnes qui sont connectes au rseau local de lATCI. Ces sites sont interconnects et fonctionnent sous le mme rseau. Nous avons ainsi : Le rseau du sige : Le rseau du sige est constitu de quatre vingt dix huit(98) postes clients et de neuf (9) serveurs repartis comme suit : - un (1) serveur pour la gestion des mails (messagerie), - un (1) serveur ISA-Inter scan qui sert de passerelle, - un (1) serveur contrleur de domaine, - un (1) serveur contrleur de domaine second qui sert aussi de serveur de fichiers, - un (1) serveur dantivirus, - un (1) serveur dapplication ADONIX pour la comptabilit, - trois (3) serveurs dapplication ACURO pour la gestion des oprateurs de tlphonie cellulaire. Le rseau est galement constitu de routeurs, dun pare-feu Pix515 et de postes clients. Ce rseau a la caractristique dun rseau principal qui coiffe celui du site (DRC DRJ). Le rseau de la DRC DRJ : Il est compos de trente sept (37) micro- ordinateurs et portables. Le site de DRC DRJ est connect celui de sige au travers dune fibre optique. La connexion internet sur le site de DRC- DRJ provient du sige.

12
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

Les utilisateurs des deux LAN passent tous par la passerelle (serveur Compaq) pour accder internet et larchitecture globale du rseau donne ce qui suit :

Figure 2 : Schma du rseau local 2- Administration du rseau La plate forme utilise est Windows 2003 Server. Une tude est actuellement en cours pour la migration vers Windows 2008 Server. LATCI compte Au total neuf (9) serveurs qui se rpartissent comme suit :

13
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

Caractristiq ues Pentium IV, 1.2 GHz, 256Mo RAM, 120 Go DD Pentium IV, 1.2Ghz, 256Mo RAM, 120 Go DD Pentium IV, 1.2Ghz, 256Mo RAM, 120 Go DD Core 2 Duo, 2 GHz (* 2), 4 Go RAM, 180 Go DD Core 2 Duo, 2 GHz (* 2), 4 Go RAM, 180 Go DD

Marqu e Comp aq

Etat Passerell e ISA Interscan Contrle ur de domaine 1 Contrle ur de domaine 2 Serveur de message rie

Environnem ent Windows 2003 Server Windows 2003 Server Windows 2003 Server Windows 2003 Server

Quanti t 1

Comp aq

Comp aq

Comp aq

IBM

Base de Linux Suse donnes Acuro Serveur ADONIX Version X3 (compta) Serveur dantivir us Kaspersk y Total Windows 2003 Server

Pentium IV, 2.5 GHz, 512 Comp Mo RAM, aq 120 Go DD Core 2 Duo, 2 GHz (* 2), Comp 4 Go RAM, aq 180 Go DD

Windows 2003 Server

14
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

Tableau 1 : listing et caractristiques des serveurs de lATCI 3- Cblage Le cblage de lagence est fait de cbles paires torsades entre bureaux et de fibres optiques entre btiments. Le rseau actuel est de type Ethernet 100 Base T. Cette connectivit donne une meilleure transmission de donnes entre tous les utilisateurs de lAgence. Les deux btiments du sige bnficient dun coffret contenant trois Switchs de 24 et 32 ports et un panneau de brassage pour le btiment B, de deux Switch de 24 ports et un panneau de brassage pour le btiment A ; et ceci dans le but de rduire la longueur des cbles et avoir un rseau flexible. Les deux sites (sige et DRC- DRJ) sont interconnects par une liaison fibre optique. Il faut prciser que cette liaison est double pour palier le cas o la premire ligne arrivait tomber. 4- Maintenance de matriels informatiques Linventaire du matriel informatique a donn 130 ordinateurs de bureau et 22 PC portables, pour 57 imprimantes. La majorit de ces postes de travail est connect sur le rseau local via la prise RJ 45 du cble Ethernet 100 Base T cat. 5. Ces machines possdent outre des cartes rseau, des cartes modem et pour la plupart des PC portables des cartes Wifi. La maintenance de ces diffrents matriels est assure par un Ingnieur et un technicien de maintenance. 15
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

Lentreprise regorge de divers systmes dexploitation sur son rseau local que sont: - Windows 2003 server - Windows 2008 server - Windows XP familial - Windows XP professionnel - Linux Suse - Windows 7 entreprise - Windows Vista entreprise 5- Equipements rseaux Les quipements informatiques sont placs dans les locaux techniques climatiss, ferms cl, et dont laccs est rserv uniquement aux personnels du service informatique. Le sige peut se dcrire de la faon suivante : Un local au btiment B, contenant : un (1) Switch SMC, un(1) Accton, quatre (4) Hub SMC, un (1) convertisseur pour fibre optique, un (1) onduleur 60Kva, un (1) rgulateur de tension.

Un local au btiment A : La salle des serveurs, elle-mme contenant : Sept (7) serveurs ; Un (1) Switch Accton ; Un (1) onduleur 10 KVa. Cinq (5) Routeurs Cisco, (routeur ATCI 1, routeur dynamique, routeur mappage, routeur Arobase et routeur Afnet) ; Un (1) Pix Cisco 515 ; Un (1) ordinateur Compaq servant de passerelle ; Des Switchs ; Deux (2) convertisseurs pour fibre optique ; 6- Scurisation du rseau Au niveau de la scurit, le rseau local de lATCI est spar de lextrieur par deux (02) firewalls, le protgeant ainsi de toutes attaques. Ce sont le firewall logiciel ISA Server 2004 et le firewall matriel avec Cisco Pix 515. 16
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

En interne, un serveur dantivirus Kaspersky joue le rle de gendarme sur le rseau. La gestion des correctifs sopre individuellement sur chaque machine mais certaines installations logicielles requirent le mot de passe de ladministrateur.

II-

Rseau tlphonique

Le rseau tlphonique de lATCI est constitu dun PABX Siemens HIPATH 3800 ayant en sortie deux lignes T0 pouvant chacune supporter 28 appels simultanes et de 110 postes tlphoniques connects au PABX.

III-

Critique de lexistant

Le systme de tlcommunication de lATCI est en somme assez performant. Du point de vue informatique, lATCI possde une architecture traditionnelle client-serveur. Elle sest pratiquement dote de tous les outils matriels et logiciels (serveur danti-virus...) pour scuriser son systme informatique. Mais cette architecture noffre pas de gestion centralise de correctifs. Toutes les machines du parc informatique opre leurs mises jour de faon libre et sans aucun contrle. Ce qui, lchelle de lentreprise, cre de nombreuses failles scuritaires exploitables par des individus mal intentionns pouvant causer une instabilit du systme do une ventuelle latence dans les oprations.

Cette partie nous a permis de voir le mode de fonctionnement de lATCI tant du point de vue admnistratif que technique. Elle nous a aussi permis de prsenter notre thme tout en critiquant lexistant.

17
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

18
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

ETUDE TECHNIQUE

Cette partie est compose de deux (2) chapitres qui concernent dans un premier temps, la prsentation de diffrentes solutions pour la gestion de correctifs qui nous amnera choisir la solution adapte nos besoins et dans un second temps, de prsenter les diverses architectures possibles avec le gestionnaire de correctif WSUS.

19
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

ETUDE DES DIFFERENTES SOLUTIONS ET CHOIX DUNE SOLUTION


I-

Processus de gestion des correctifs

Il ne faudrait pas que la gestion des correctifs se traduise par une non disponibilit du service. Auquel cas, lon aurait finalement russi attaquer un systme puisque le dit service aurait t rendu indisponible. Lon se rappellera toujours que la disponibilit est l'une des composantes de la scurit informatique. 20
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

Alors, lorsquon voudra implmenter un gestionnaire de correctifs, lon se devra d'implmenter un processus. Le processus de gestion des mises jour (gestion des correctifs) tel que recommand par Microsoft est une approche en quatre phases comme indiqu par la figure suivante :

Figure 3 : Processus de gestion des correctifs - Phase 1 : inventaire Lon doit connaitre les machines, savoir quelles sont les applications et les systmes installs afin de ne dployer que les correctifs qui ont lieu de ltre. - Phase 2 : identifier Lon doit identifier galement quels sont les correctifs qui devront tre dploys, dterminer leur pertinence pour lenvironnement de production et d'tablir si une mise jour (un correctif) reprsente un changement normal ou urgent.

- Phase 3 : valuer et planifier Lon doit pouvoir valuer et planifier ; cest--dire oprer des tests dans un environnement de type production afin de sassurer que les correctifs ne compromettront pas les systmes et applications stratgiques puis ensuite planifier le dploiement sur l'ensemble de lentreprise. - Phase 4 : dployer Cest dployer avec succs le correctif approuv du logiciel dans lenvironnement de production afin de satisfaire l'ensemble des exigences des contrats de niveau de service sur les dploiements en place. Quand lon a termin un dploiement, lon se doit de faire une revue de dploiement qui se rsume rpondre aux trois (3) questions que sont: 21
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

Qu'est-ce-qui a t bien ou mal fait ? Que pourra-t-on amliorer ? Comment? II-

Les technologies de gestion des correctifs (outils)

Les technologies taient multiples et lon se prsentait sur le site Microsoft avec diffrents rfrentiels tels que : Microsoft Update, Office Update, Download Center, Visual Studio Update, avec diffrents outils : - Windows Update sur le poste de travail qui tait mesure d'aller chercher ces correctifs sur le rfrentiel Office Update. - SUS (Server Update Services) qui tait mesure d'aller chercher que les mises a jour Windows sur le site Microsoft Update. - SMS (System Management Server) qui disposait d'un certain nombre d'outils d'inventaire pour les correctifs la fois systme Windows et Office. A ce jour Microsoft dispose d'un unique rfrentiel (MICROSOFT UPDATE). Il regroupe les mises jour Windows, SQL, Exchange, Office, ISA Serveur... De ce fait, la plupart des produits Microsoft est, aujourd'hui, disponible sur Microsoft Update. Lon peut donc de son entreprise ou la maison install les correctifs en s'appuyant sur Microsoft Update au travers des outils de dploiement.

III-

les mthodes de dploiement des mises jour

De faon gnrale, la mise jour des correctifs se gre selon deux (2) grandes orientations qui sont les suivantes : - le tlchargement autonome des mises jour - le dploiement dun gestionnaire de correctifs

1- Tlchargement autonome des mises jour Le tlchargement autonome des mises a jour consiste configurer toute les machines afin quelles se synchronisent Internet pour tlcharger leurs mises a jour. Cette orientation est trs gourmande en ressource Internet et en bande passante. Une augmentation du dbit s'avre intressante car elle apporterait de la fluidit dans les transactions Internet. Par contre elle ne rsout pas le problme du dploiement des bons correctifs dans lenvironnement de production puisque les mises jour sont 22
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

trs souvent effectues automatiquement et en arrire-plan. Lutilisateur et ladministrateur nont donc aucun contrle sur les choix effectuer. Elle est trs couteuse, du fait des tarifs proposs par les diffrents fournisseurs pour les technologies (VSAT, LS, ADSL...) et les dbits Internet en Cte d'Ivoire. 2- Dploiement dun gestionnaire de correctifs Dployer un gestionnaire de correctifs, cest linstaller sur un serveur et le configurer correctement afin dobtenir une meilleur fluidit du trafic sur le rseau. Le dploiement dun gestionnaire de correctifs aide prserver l'efficacit des oprations, liminer les vulnrabilits de la scurit et assurer la stabilit de l'environnement de production. De plus aprs le dploiement dans lenvironnement de production, lon naura pas forcement accs Internet depuis une station cliente pour effectuer les mises jour ncessaires pour celle-ci. Ici aussi, les mises jour restent toujours invisibles pour lutilisateur mais elles sont contrles totalement par ladministrateur du rseau. 3- Tableau Comparatif des deux orientations Le tableau ci-dessous contient les informations sur la comparaison des deux (2) orientations en fonction de certains critres de choix. Orientati ons critres A B Mises jour contrles NON OUI Optimisation de la bande NON passante OUI

Tableau 2: comparaison entre les diffrentes orientations de mise jour A : Tlchargement autonome B : dploiement d'un gestionnaire de correctif

4- Orientation retenue Le choix de lorientation s'est port sur le dploiement d'un gestionnaire de correctifs, du fait que nous pouvons avoir divers types de solutions payantes ou gratuites. Le gestionnaire de correctifs nous permet aussi d'avoir un dploiement contrl de nos diffrentes mises jour et une fluidit du trafic sur le rseau occasionne par loptimisation de la bande passante. 23
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

Dans ce qui suit, nous allons prsenter les diffrents gestionnaires de correctifs et faire notre choix en fonction des critres suivants : - Le dploiement des correctifs doit se faire en interne dans l'entreprise. - L'administration de Microsoft Update doit soprer en locale. - Le gestionnaire de correctifs doit tre adapt pour les moyennes et grandes entreprises. - Le gestionnaire de correctifs doit sobtenir moindre cot ou si possible gratuitement. IV-

Les diffrentes solutions Microsoft pour la gestion de correctifs

Afin de permettre l'efficacit des oprations, d'liminer les vulnrabilits de la scurit et d'assurer la stabilit des environnements de production, Microsoft propose plusieurs outils de gestion des correctifs. 1- Microsoft Baseline Security Analyzer (MBSA) Prsentation Microsoft Baseline Security Analyzer 2.0 (MBSA) est un outil simple d'emploi destin aider les petites et moyennes entreprises valuer leur scurit d'aprs les recommandations de scurit de Microsoft. Cet outil analyse la mmoire centrale des ordinateurs clients ayant un systme d'exploitation Microsoft Windows pour y rechercher des problmes courants de configuration de la scurit et gnre des rapports de scurit individuels pour chaque ordinateur. Il permet aussi de dployer les correctifs dans lenvironnement de production. Forces et faiblesses

forces
licence gratuite supporte toutes les mises jour automatiques des produits MICROSOFT

faiblesses
utilisation pour petite et moyenne entreprise ne permet pas le stockage des mises jour en

24
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

analyse la configuration de entreprise scurit du systme analys ne permet pas la mise jour scanne le niveau du patch des diffrents pilotes des systmes par rapport au rfrentiel de scurit dtecte les patchs de scurit manquants

Tableau 3 : Forces et faiblesses de MBSA 2- Windows Server Update Services (WSUS) Prsentation Microsoft Windows Server Update Services 3.0 (WSUS) permet aux administrateurs de systmes informatiques de dployer les dernires mises jour publies par Microsoft pour les produits Microsoft. WSUS aide grer pleinement la distribution des mises jour disponibles via Microsoft Update sur tous les ordinateurs du rseau. WSUS permet de grer les correctifs et mises jour. Il constitue une mthode efficace et rapide pour tenir tous nos systmes jour. Forces et faiblesses

Forces

Faiblesses

25
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

licence gratuite supporte toutes les mises jour automatiques des produits MICROSOFT dploiement possible dans les petites, moyennes et grandes entreprises mises jour des ordinateurs nomades ciblage du contenu en fonction du systme mettre jour planification centralise des dploiements optimisation de la bande passante distribution des correctifs en mode dconnect communication scurise entre serveurs fonctionnement avec un proxy

pas de distribution gnrale des logiciels pas de dploiement des systmes dexploitation

Tableau 4 : Forces et faiblesses de WSUS 3- Systems Management Server 2003 (SMS 2003) prsentation Microsoft Systems Management Server 2003 (SMS 2003) est une solution complte d'administration de parc informatique, d'inventaire et de gestion des applications et de mises jour de scurit. Les entreprises peuvent dsormais rduire leurs cots oprationnels au jour le jour et contrler prcisment l'infrastructure et l'activit informatique grce des rapports exhaustifs et personnalisables pour chaque niveau dcisionnel de l'organisation. Forces et faiblesses

26
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

Forces
fonctionnalit daide distance (redmarrage, contrle distance) distribution gnrale des logiciels dploiement des systmes dexploitation gestion des inventaires supporte toutes les mises jour des produits MICROSOFT permet le ciblage du contenu en fonction du systme mettre jour

Faiblesses
licence trop cher (1307 euros pour 250 postes) pas de distribution des correctifs en mode dconnect pas de communication scurise entre serveurs (http) pas de fonctionnement avec un proxy dploiement seulement en grandes entreprises ou organisations

Tableau 5 : Forces et faiblesses de SMS 4- Tableau comparatif des solutions Microsoft pour la gestion des correctifs Ce tableau met en relief les diffrentes solutions Microsoft, selon les critres suivants : Administration locale de Microsoft Update Dploiement des correctifs en interne Adapter pour moyennes et grandes entreprises Gratuit de la licence. 27
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

MBSA

WSUS

SMS oui oui oui non

Administration locale non oui de Microsoft Update Dploiement des non oui correctifs en interne Adapter pour moyennes et grandes non oui entreprises Gratuit de la licence oui oui Tableau 6 : comparatif des solutions Microsoft

V-

Solution de mise en uvre retenue

Notre choix s'est port sur Windows Server Update Services (WSUS) pour les raisons suivantes : - Dploiement des correctifs en interne dans l'entreprise. - Administration locale de Microsoft Update. - Adapter pour les moyennes entreprises comme lATCI. - licence gratuite. WSUS rempli donc tous nos critres de comparaison et de choix.

28
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

I-

Objectif et fonctionnement de WSUS

LE GESTIONNAIRE DE WSUS 1- Objectif de WSUS

CORRECTIFS

Windows Server Update Services (WSUS) est la seconde gnration de logiciel serveur gratuit pour le dploiement des mises jour, proposes par Microsoft pour remplacer Software Update Services (SUS), qui ne prenait en charge que les mises jour critiques ou scurit de Windows. WSUS permet d'avoir une infrastructure de gestion de mise jour, de grer les mises jour des diffrents logiciels de Microsoft dans toutes les langues disponibles ainsi que les pilotes de certains matriels. WSUS est sa deuxime version soit WSUS 3.0. Le serveur WSUS nous permettra de : Configurer un environnement de production qui prendra en charge la gestion des mises jour pour des scnarios de routine et d'urgence. Dcouvrir les nouvelles mises jour d'une faon pratique. Dterminer si une mise jour est pertinente pour l'environnement de production. Tester les mises jour avant de les dployes sur l'ensemble de l'environnement de production. Approuver et planifier les installations de mises jour. 29
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

Passer en revue le processus une fois le dploiement termin. 2- Fonctionnement de WSUS On va dployer un serveur WSUS au niveau de lentreprise et le mettre en connexion avec le site Microsoft Update o il ira chercher les mises jour. Chaque fois, WSUS effectuera un processus de synchronisation, en suivant les tapes ci-dessous : WSUS tlcharge un rfrentiel de scurit. Il valide la signature de Microsoft. Il compare ce rfrentiel au contenu de sa base locale de faon identifier les nouvelles mises jour. Il attend l'approbation de l'administrateur. Il tlcharge les patches approuvs par l'administrateur (uniquement) et vrifie leur signature. Il met jour ses journaux de synchronisation et d'approbation. Le fonctionnement de WSUS est de type Pull , c'est--dire que les informations sont toujours obtenues par une requte mise par le client (qui peut tre un serveur WSUS) vers le serveur WSUS du niveau suprieur. Le serveur du niveau le plus lev dans l'organisation s'adresse quant lui directement aux sites de Microsoft. Ct client, le composant Windows Automatic Update est utilis. WSUS dispose d'une technologie Self Update pour le mettre jour automatiquement sur les ordinateurs clients lors de leur inscription sur un serveur WSUS. II-

Les architectures possibles de dploiement de WSUS

Nous avons plusieurs architectures possibles pour la mise en uvre du serveur WSUS. Le choix de l'une des architectures sera fonction de la taille et de la configuration de l'entreprise dans laquelle nous serons amens dployer la solution. Nous prsenterons toutes les architectures possibles avec le serveur WSUS. 1- Architecture serveur unique

Il s'agit du modle de dploiement le plus simple mettre en place. Le serveur WSUS est install derrire un pare-feu d'entreprise. Il synchronise les mises jour avec le site web Microsoft Update.

30
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

Figure 8 : Architecture serveur unique Elle est trs peu couteuse et facile raliser. 2- Architecture serveurs indpendants

Figure 5 : Architecture serveurs indpendants Nous pouvons choisir de mettre en place plusieurs serveurs WSUS dans notre entreprise de manire indpendante ; c'est dire que chacun possde sa propre console d'administration et chacun tlcharge son contenu depuis le site de Microsoft Update sur Internet. Dans ce scnario, lon peut imaginer que chaque serveur est utilis pour des rseaux LAN diffrents voir des rseaux WAN (succursales). On peut dfinir, par exemple, un serveur WSUS charg de mettre jour le rseau des serveurs et applications et un autre uniquement pour les systmes d'exploitation clients comme Windows XP ou Vista. Mais la ralisation de cette architecture est trs couteuse. 3- Architecture serveurs synchroniss Il s'agit d'un modle de dploiement serveur unique auquel un second serveur WSUS est connect. Ce second serveur peut alors tre configur pour rcuprer les mises jour depuis le premier serveur WSUS. L'intrt principal de ce genre de topologie est de permettre la distribution des mises jour sur le serveur WSUS d'un site distant connect au rseau principal par une liaison fiable. 31
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

Les postes clients du site distant pourront ainsi rcuprer les mises jour avec un dbit optimal depuis le serveur WSUS prsent sur leur LAN. Linconvnient est que si le serveur WSUS principale ne fonctionne pas, les autres serveurs WSUS qui sont connects ne pourront plus tlcharger et dployer les correctifs.

Figure 6 : Architecture serveurs synchroniss 4- Architecture serveurs dconnects

Ce modle plus rare est utilisable pour un sous-rseau isol d'Internet. Il est possible de dployer un serveur WSUS sur un sous-rseau dont l'accs Internet est restreint. Le seul moyen pour importer les mises jour sur le serveur WSUS est de les transfrer depuis un autre serveur WSUS connect Internet en utilisant un mdia physique (CD-ROM, disque dur...).

Figure 7 : Architecture serveurs non connects Internet ou WSUS Dans certains contextes particuliers, par exemple lorsque les ordinateurs cibles sont en DMZ, le serveur WSUS peut tre dconnect la 32
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

fois de l'Internet et des autres serveurs WSUS de l'organisation. Le problme, dans cette architecture, est quil est obligatoire davoir la totalit des correctifs sur un support physique (CD-DVD...) pour pouvoir les dployer.

Dans cette partie, nous avons mis en exergue diverses solutions de gestion de correctifs en montrant leurs forces et leurs faiblesses. Nous avons, par la suite, confin toutes ces solutions dans un tableau comparatif. Ce qui sest sold par le choix de la solution WSUS puisquelle est la plus adapte nos besoins. Nous avons boucl cette partie par la prsentation des diffrentes architectures possibles de WSUS en environnement de production.

33
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

DEPLOIEMENT DE LA SOLUTION
34
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

RETENUE : WSUS

Cest la dernire partie de ce mmoire et de loin la plus importante. Elle est structure en trois chapitres. Il sera question pour nous dinstaller le serveur WSUS. Par la suite, nous devrons configurer le serveur et les postes clients. Cest deux premire partie reprsente de principe gnral du dploiement de WSUS. Cette partie prendra fin avec quelques crans imprims montrant la mise en uvre de WSUS au sein de lATCI.

35
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

I- Prparation matrielle INSTALLATION DU SERVEUR WSUS


La configuration matrielle et logicielle du serveur WSUS dpend du nombre de clients mettre jour dans l'entreprise. 1- Matriels et caractristiques recommands Pour linstallation de WSUS, lon devra disposer de : un (1) serveur (ordinateur) de prfrence ddi. un (1) systme dexploitation Microsoft Windows 2003 Server ou dune version ultrieure.

Les capacits recommandes sont fonction du nombre de postes clients connects sur un mme serveur. Ces capacits sont rpertories dans les tableaux qui suivent : 36
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

EQUIPEMENTS CPU MEMOIRE SYSTEME DE GESTION DE BASE DE DONNEES

MINIMUM 750 MHz 512 MB SQL Server 2005

RECOMMAN DE 1 GHz ou plus 1GB ou plus SQL Server 2005

Tableau 6 : dimensionnement du serveur pour 500 postes clients maximum EQUIPEMENTS MINIMU M 1 GHz ou plus 1GB SQL Server 2005 RECOMMANDE 3 GHz biprocesseur ou plus. Solution biprocesseur recommande pour plus de 10000 postes 2GB ou plus SQL Server 2005

CPU MEMOIRE SYSTEME DE GESTION DE BASE DE DONNEES

Tableau 7 : dimensionnement du serveur pour 1500 postes clients maximum Pour linstallation du serveur, on opte pour un dimensionnement pour 500 postes clients maximum parce que lATCI possde un parc informatique de moins 200 machines. 2- Complments logiciels pour linstallation de WSUS WSUS 3.0 ncessite linstallation ou la mise jour pralable de plusieurs composants. Ces prparatifs concernant le systme dexploitation Windows 2003 Server se rapportent aux lments suivants : Microsoft Internet Information Services (IIS) version 6.0 Service de transfert intelligent en arrire-plan (BITS, Background Intelligent Transfer Service) version 2.0 Win HTTP version 5.1 Package redistribuable de Microsoft .NET Framework version 2.0 Microsoft Report Viewer Redistribuable 2005 Microsoft Management Console 3.0.

37
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

Tous ces composants sont tlchargeables sur le centre de tlchargement de Microsoft. Pour installer WSUS 3.0, le systme de fichier du serveur doit satisfaire les conditions suivantes : - La partition systme et la partition sur laquelle WSUS 3.0 sera install doivent tre formates avec le systme de fichier NTFS. - Un espace disque minimal de 1Go est recommand sur la partition systme. - Un espace disque minimal de 20Go est ncessaire sur le volume o WSUS stockera son contenu (30Go recommands). - Un espace disque minimal de 2Go est ncessaire sur le volume o le programme dinstallation de WSUS installera la base de donnes interne. 3- Autres conditions pour linstallation de WSUS Conditions dinstallation rserves la console WSUS WSUS 3.0 permet dinstaller une console servant ladministrer via des systmes distants spars du serveur WSUS. Les procdures dinstallation rserves la console peuvent tre effectues sur les systmes dexploitation suivants : - Windows 2008 Server - Windows 2003 Server service pack 1 ou version ultrieure - Windows Vista - Windows 7 - Windows XP service pack 2 ou version ultrieure.

Conditions requises automatiques

pour

les

mises

jour

Les conditions pour tre pris en charge par WSUS sont : Les composants clients de WSUS 3.0 Une connexion au rseau local auquel appartient le serveur WSUS Tout ordinateur excutant un systme dexploitation Microsoft Windows.

Aprs avoir vrifi que notre serveur rpond aux conditions requises dinstallation, nous pouvons maintenant installer WSUS 3.0. 38
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

II- Installation de WSUS 3.0 sous Windows 2003 Server


Pour dbuter linstallation de WSUS 3.0, lon ouvre une session sur le serveur avec un compte administrateur. On excute le programme dinstallation (WSUSSetup.exe). Il faut slectionner lun des deux (2) modes dinstallation savoir : - Linstallation complte du serveur prenant en compte linstallation de la console dadministration - Linstallation uniquement de la console dadministration permettant dadministrer dun poste client distant tous les serveurs WSUS de lentreprise.

Figure 9 : slection du mode dinstallation de WSUS 3.0 Aprs avoir slectionn le mode dinstallation, lon doit choisir le mode de stockage des mises jour. Il est conseill de les tlcharger localement afin dacclrer le processus de transfert vers les clients. Lon coche, ainsi, la case Stocker les mises jour localement et lon choisit lemplacement de stockage exact. Si lon ne coche pas cette case, les clients tlchargeront alors les mises jour directement depuis Internet. Il faut, par la suite, installer Microsoft SQL Server 2005. Si lon laisse loption par dfaut, lassistant linstallera et le configurera automatiquement. Lon peut aussi slectionner une autre instance, sil en existe sur le serveur qui hberge WSUS 3.0 ou encore utiliser un serveur SQL distant. La base de donnes WSUS ayant t installe par lassistant dinstallation, lon doit choisir d utiliser le site web IIS par dfaut existant . 39
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

Il nous faudra configurer les clients de manire ce quils puissent accder Windows Server Update Services 3.0 via ladresse http://WSUS. Ces paramtres pourront tre configurs soit manuellement sur chaque client soit laide dune GPO (Group Policy Object).

I- Prsentation de la console dadministration du serveur WSUS

CONFIGURATION/SECURISATION DU SERVEUR WSUS ET DES POSTES CLIENTS


Prsent par Kouam Akess Kouakou Nicaise

40

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

Figure 10 : console dadministration WSUS 3.0 La console dadministration WSUS 3.0 est un composant logiciel enfichable de Microsoft Management Console version 3.0 (MMC 3.0). Il permet de grer tous les composants de dploiement du serveur WSUS. Lon peut excuter la console dadministration WSUS sur tout ordinateur dun domaine ayant une relation dapprobation avec le domaine du serveur WSUS. La console dadministration WSUS principale se compose de trois colonnes : - larborescence Update Services - les rsultats - les actions. 1- Larborescence Update Services Cest la premire colonne de la console dadministration WSUS. Elle prsente une vue hirarchique du dploiement de la solution WSUS par serveur WSUS disponible. On peut ainsi grer plusieurs serveurs WSUS avec mme la console dadministration. Chaque serveur est associ aux catgories suivantes dans larborescence dUpdate Services : Nom du serveur : Cest le conteneur de tous les composants WSUS grs par le serveur slectionn. Lorsquon slectionne un serveur WSUS dans larborescence Update Services, une page dtat dtaille du serveur apparat avec : - Tches effectuer : ce sont les actions les plus urgentes effectuer sur le serveur WSUS.

41
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

Vue densemble : cest une vue densemble de ltat des ordinateurs en rapport avec les mises jour et les synchronisations au serveur WSUS. Ressources : ce sont des lments lis des informations supplmentaires propos du serveur WSUS.

Mises jour : Ce conteneur prsente toutes les mises jour susceptibles dtre approuves par le serveur WSUS. Ces mises jour sont regroupes par classification dans larborescence Update Services. Si lon slectionne Mises jour dans larborescence, une page dtat dtaille apparat avec les mises jour regroupes par vue de mises jour. Ordinateurs : Ce conteneur prsente tous les ordinateurs et groupes dordinateurs pris en charge par le serveur WSUS. Si lon slectionne Ordinateurs dans larborescence Update Services, une page dtaille de tous les groupes et ordinateurs pris en charge par le serveur WSUS apparat. Serveurs en aval : Cest le conteneur qui liste les serveurs en aval synchroniss avec le serveur WSUS slectionn. Rsultats de la synchronisation : Ce conteneur affiche lhistorique des rsultats de synchronisation. Cest le point central de la gestion des synchronisations. Rapports : Cest lemplacement central de cration des rapports dtat WSUS relatifs aux mises jour et aux synchronisations. Nous porterons notre attention sur ce point beaucoup plus bas. Options : Cest lemplacement central de configuration des paramtres du serveur WSUS slectionn. 2- Rsultats Cest la deuxime colonne de la console dadministration WSUS. Elle fournit des informations dtat sur un lment slectionn dans larborescence Update Services. Si lon clique sur le nud principal de larborescence, les diffrents serveurs WSUS grs par la console dadministration sont prsents dans le volet Rsultats. 3- Actions Cest la dernire colonne. Elle contient les actions qui sappliquent la slection effectue dans la premire colonne (larborescence Update Services).

42
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

II- Configuration du serveur WSUS


Aprs avoir fini linstallation de WSUS 3.0, il est ncessaire de lancer lassistant de configuration du serveur pour sa premire configuration ou celui-ci restera inactif. Cette configuration consiste renseigner certains paramtres (le serveur en amont, le proxy, la priode de synchronisation...) en fonction des objectifs fixs et en vue de la bonne oprabilit du serveur. La configuration sopre selon les tapes qui suivent : Ouvrir lassistant de configuration de WSUS: Lassistant se prsente comme suit :

Figure 11 : Assistant de configuration WSUS Configurer le pare-feu pour lobtention des mises jour : Avant de commencer, lassistant demande de bien sassurer de quelques points cruciaux de communication que sont : Vrifier la configuration du pare-feu pour que les clients puissent accder correctement au serveur WSUS pour effectuer leurs mises jour. Vrifier la connexion du serveur WSUS son serveur en amont ; cest-dire un autre serveur WSUS ou directement Microsoft Update. Vrifier que la configuration du serveur proxy est correcte et que lon dispose des informations dauthentification, dans le cas o lon en utilise. Si le serveur WSUS est plac derrire un pare-feu configur pour une restriction dadresses vers Internet, il faut autoriser laccs pour que le 43
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

serveur puisse effectuer les mises jour depuis le site de Microsoft. Les URL de rfrence sont : - http://windowsupdate.microsoft.com - http://*.windowsupdate.microsoft.com - https://*.windowsupdate.microsoft.com - http://*.update.microsoft.com - https://*.update.microsoft.com - http://*.windowsupdate.com - http://download.windowsupdate.com - http://download.microsoft.com - http://*.download.windowsupdate.com - http://wustat.windows.com - http://ntservicepack.microsoft.com Choisir le serveur en amont : Le serveur en amont peut tre soit le site de Microsoft, soit un autre Serveur WSUS. Dfinir le serveur proxy : On dfinit les options du serveur proxy. On doit entrer le nom du serveur proxy, le numro de port utiliser (port 80 dans notre cas) ainsi que les informations dauthentification ncessaires la connexion au proxy. On dmarre ensuite une synchronisation. La synchronisation peut prendre quelques minutes en fonction du nombre dlments tlcharger. Les lments tlchargs sont le type de mise jour, la catgorie de produit ainsi que sa langue. Choix des langues : On slectionne les langues des mises jour que lon souhaite tlcharger. Plus lon choisit de langue, plus lon aura besoin despace disque sur le serveur WSUS. On a le choix entre plus de vingt-et-sept (27) langues. Bien videmment, il est conseill de tlcharger que les langues prsentes dans lenvironnement de production. Choix des produits : Il faut choisir les produits pour lesquels lon souhaite faire les mises jour. WSUS ne sert pas seulement la mise jour des systmes dexploitation mais il prend galement en charge de nombreux autres produits Microsoft tels quExchange Server, Office, Silverlight Il faut donc slectionner les produits en fonction du parc applicatif. Choix des classifications : Lon doit slectionner les types de mises jour parmi une liste comprenant, entre autre, les choix Service Pack, Pilote, Mise jour de dfinitions. Configurer la planification de la synchronisation : Il faut, cette tape, dfinir la priode de synchronisation si lon ne choisit pas de faire une synchronisation manuelle. Pour la dfinition de cette 44
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

priode de synchronisation, il faudra spcifier lheure de la premire synchronisation (12 heures dans notre cas) ainsi que le nombre de synchronisation par jour. On effectue vingt-et-quatre (24) synchronisations par jour soit une par heure. Notons quun laps de temps alatoire pouvant aller jusqu trente (30) minutes est ajout lheure dfinie. Aprs toutes ces tapes, la dernire page de lassistant proposera de lancer directement la console de gestion WSUS 3.0 ainsi que la premire synchronisation, si lon a lanc lassistant juste aprs linstallation. Dans le cas contraire, le reste du processus se fera de manire automatique. Notons quil nous sera possible de modifier ces paramtres par la suite dans les options de WSUS, du fait quelles ne sont pas fixes dfinitivement.

III- Configuration des postes clients


Il existe deux (2) approches pour la configuration des postes clients que sont : - la configuration dans un rseau sans contrleur de domaine - la configuration dans un rseau possdant un contrleur de domaine. Si lon ne possde pas de domaine Active Directory, il est possible de configurer les postes clients via la base de registre avec toutes les options disponibles dans les stratgies de groupes. Mais la configuration des machines sera trs contraignante. Pour grer ainsi des postes en WORKGROUP avec WSUS, il faut paramtrer des cls de registre sur ces machines. Pour cela, il est possible de crer un script .reg (voir annexes). Lapproche la mieux adapte pour le dploiement au sein de lATCI est la configuration dans un rseau possdant un contrleur de domaine, du fait de larchitecture client-serveur de cette structure. La mthode pour configurer les postes clients appartenant un domaine Active Directory suit deux (2) tapes que sont le choix des mises jour et la configuration de la police de groupe (GPO). Choix des mises jour : Il faut, au pralable, lancer la console dadministration WSUS. Ensuite, on cre les groupes dont on a besoin, par exemple Clients, Serveurs, Test et Dploiement. Ces groupes pourront tre utiliss pour diffrencier les machines et leur autoriser diffrentes mises jour, soit manuellement dans linterface, soit grce une police de groupe. Dans notre cas, nous utilisons justement une police de groupe pour diffrencier serveurs, clients et machines en cours de dploiement. Notons que pour que des mises jour soient tlcharges et donc disponibles linstallation sur les machines, il faut les approuver manuellement et dfinir pour quels groupes elles sont autorises. Dans 45
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

certaines structures comme lATCI, il est important de conserver cette approbation manuelle de manire pouvoir tester les mises jour avant de les dployer. Dans de plus petites structures, lon peut opter pour une approbation automatique. Il existe donc une option permettant dapprouver automatiquement certaines des mises jour proposes par Microsoft. Lon peut ensuite slectionner les mises jour qui seront approuves automatiquement. En cliquant sur le groupe dordinateurs soulign en bleu, lon peut dcider pour quels groupes lapprobation automatique fonctionnera. De manire gnrale il est prudent de ne pas choisir la case Service Pack avant davoir pu faire quelques tests. Configuration de la police de groupe (GPO) : La police de groupe permet la gestion des ordinateurs et des utilisateurs dans un environnement Active Directory. On ouvre la Console de gestion des stratgies de groupe et on cre un objet de stratgie de groupe. On donne, par exemple, le nom WSUS cette GPO. Il faut ensuite modifier la GPO cre (figure 12).

Figure 12 : diteur dobjets de stratgie de groupe Loption Spcifier lemplacement intranet du service de Mise jour Microsoft est indispensable pour que les clients puissent savoir sur quel serveur WSUS se connecter. Voici la configuration que nous avons utilise : Ne pas afficher loption Installer les mises jour et teindre dans la bote de dialogue Arrt de Windows : Activ Configuration du service Mises jour automatiques : Activ Configuration des mises jours automatiques : 4 Tlcharger et planifier linstallation 46
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

Jour de linstallation planifie : 5 Tous les jeudis Heure de linstallation planifie : 13:00

Spcifier lemplacement intranet du service de Mise jour Microsoft : Activ Configurer le service de Mise jour pour la dtection des mises jour : http://WSUS

Configurer le serveur intranet de statistiques : http://WSUS Pas de redmarrage automatique avec des utilisateurs connects pour les installations planifies de mises jour automatiques : Activ Frquence de dtection des mises jour automatiques : Activ Vrifier la disponibilit de mises jour lintervalle suivant (heures) : 22

Autoriser linstallation immdiate des mises jour automatiques : Activ Redemander un redmarrage avec les installations planifies : Activ

Attendre pendant la dure suivante avant de redemander un redmarrage planifi (minutes) : 1440 Autoriser les non-administrateurs recevoir les notifications de mise jour : Activ Activer les mises jour recommandes par lintermdiaire des Mises jour automatiques : Activ. Il faut lier la GPO modifie un objet de stratgie de groupe existant. La prochaine fois que les polices de groupe seront rafrachies sur les machines, celles-ci ne passeront plus sur Internet mais par notre serveur WSUS pour effectuer les mises jour. Il est aussi possible dutiliser une autre mthode ; cest--dire crer une police de groupe permettant dattribuer des machines automatiquement des groupes WSUS. Pour cela il faut organiser les machines dans des UO (Units dOrganisation) dans Active Directory. En respectant la manire dont nous grons notre domaine, il nous faudra crer une UO Clients et une UO Serveurs. Les postes clients sont regroups, par dfaut, dans lUO Computers. Une fois cela est fait, il faudra crer deux (2) polices de groupe appeles par exemple WSUS_Clients et WSUS_Serveurs contenant uniquement la valeur suivante modifier dans: Autoriser le ciblage ct client : Activ Nom de groupe cible pour cet ordinateur : Clients (ou Serveurs selon la GPO).

47
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

Il ne nous restera plus qu lier chaque GPO lUO correspondante. Si nous plaons des machines dans ces UO, elles se verront alors automatiquement attribues un groupe WSUS. Les noms des groupes doivent tre exactement les mmes que ceux que nous avons crs dans WSUS.

IV- Scurisation de WSUS avec Secure Socket Layer


On scurise le dploiement WSUS avec le protocole Secure Socket Layer (SSL). Le SSL va permettre de crypter l'authentification entre les postes clients et le serveur WSUS. Il sera aussi utilis pour crypter les mtadonnes (information sur la configuration de l'ordinateur et signature des mises jour) entre les postes clients et le serveur WSUS. WSUS, pour viter de saturer l'activer du serveur Web, transmet les mises jour aux clients en clair (protocole HTTP et non HTTPS). Mais il transmet au client avec les mtadonnes une information de hachage ainsi qu'une signature digitale pour chaque mise jour via le cryptage SSL (protocole HTTPS). Le client vrifie si la signature et le hash correspond la mise jour. Si elle ne correspond pas, il ne l'installe pas. 1- Les limites du SSL Comme pour toute activit de cryptage, celle-ci induit une augmentation de charge de travail de la station qui hberge WSUS. En moyenne, l'impact sur le poste est de l'ordre de 10% de perte de performance. De plus, si vous utilisez un serveur SQL distance, le trafic entre le service WSUS et le service SQL ne sera en aucun cas crypt par SSL. Si lon souhaite scuris les transactions SQL, voici quelques recommandations: Installer le service serveur SQL sur la mme machine qui hberge la solution WSUS Installer les serveurs qui hbergent le service SQL et le service WSUS sur un rseau priv Dployer une stratgie de scurit IP (IPSec) sur le rseau. 2- Configuration de SSL sur le serveur WSUS Tous les dossiers virtuels nutilisent pas le cryptage SSL. Ci-dessous, on a la liste des dossiers virtuels o il faudra activer le cryptage SSL: SimpleAuthWebService DSSAuthWebService ServerSyncWebService WSUSAdmin 48
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

ClientWebService Et voici la liste des dossiers virtuels o il ne faudra pas activer le cryptage SSL: Content ReportingWebService SelfUpdate La premire tape est celle d'importer le certificat pour le cryptage SSL dans le compte de l'ordinateur dans la catgorie Autorit de certification racine de confiance. Ensuite, il faut importer le certificat dans les proprits du site web "Site Web par dfaut". Puis pour terminer, on active pour chaque dossier virtuel cit ci-dessus (seulement ceux de la premire liste) le cryptage SSL. Ds lors pour accder la console WSUS, on doit ouvrir la console via le canal scuris (HTTPS) l'adresse suivante: https://NomdelamachineWSUS/WSUSAdmin/

3- Configuration de SSL sur les postes clients Il y a deux tapes pour permettre le bon fonctionnement du service WSUS avec le cryptage SSL : - Etape 1: Il faut renseigner l'adresse du Serveur WSUS par l'adresse qui utilise le protocole HTTPS (Exemple: https://wsus.inphb.ing/) aux postes clients: soit par GPO (stratgie: "Spcifier l'emplacement intranet du service de Mise jour Microsoft") soit par les informations de registre (voir annexes). Etape 2: On importe le certificat du site web ou le certificat de l'autorit qui a dlivr le certificat pour le site web dans le groupe Autorit de certification racine de confiance sur les ordinateurs clients. Il existe deux mthodes pour le faire: soit par la GPO en important le certificat dans le nud Configuration ordinateur\Paramtre Windows\Paramtres de scurit\Stratgies de cl publique\Autorits de certification racine de confiance et on dploie la GPO soit manuellement sur chaque machine client en important le certificat dans la Console Certificat, Compte de l'ordinateur, Conteneur Autorits de certification racines de confiance. -

V- les rapports
WSUS 3.0 propose un ensemble de rapports directement accessibles dans larborescence Update Services de sa console dadministration, pour 49
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

une surveillance adquate de lactivit. Avant de gnrer ces rapports, il nous faut dfinir le type de rapport ou encore dfinir si les serveurs descendants doivent tre pris en charge. Il existe trois (3) catgories de rapport que sont : - Les rapports de mise jour - Les rapports dordinateurs - Les rapports de synchronisation. 1- Les rapports de mise jour Ces rapports sont classs en trois (3) sections que sont : La synthse de ltat des mises jour qui permet davoir une prsentation gnrale de chaque mise jour qui se verra prsenter sur une page indpendante. Ltat dtaill des mises jour qui se rapproche grandement de la synthse de ltat des mises jour avec en plus pour chaque mise jour le statut dapplication de celle-ci pour lintgralit des ordinateurs prsents. Le tableau de ltat des mises jour qui affiche tout simplement les rsultats des mises jour sous forme de tableau facilitant ainsi lexportation. 2- Les rapports dordinateurs Il sagit des mmes sections constituant les rapports de mise jour, cette fois, elles concernent les ordinateurs. Ce sont : La synthse de ltat des ordinateurs Ltat dtaill des ordinateurs Le tableau de ltat des ordinateurs.

mais -

3- Les rapports de synchronisation Lon ne retrouve ici quune seule possibilit de rapport de synchronisation. Lon doit choisir les priodes concernes par ce rapport laide dun calendrier pour limiter le rsultat dans le temps. Lun des avantages de ces rapports est la possibilit de sauvegarde/exportation au format Excel et galement au format PDF. 4- Les notifications par e-mail WSUS 3.0 intgre un module de gestion des alertes par lenvoie demail. Ceci nous permettra dtre inform de larrive de nouvelles mises jour et de recevoir le statut des rapports, le tout dans notre bote aux 50
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

lettres. Il nest pas ncessaire davoir un serveur Exchange pour mettre en place cette fonctionnalit. Un simple serveur SMTP suffit amplement. On installe le composant SMTP de IIS puis on configure trs simplement en slectionnant ladresse IP du serveur ainsi que la mthode dauthentification client/serveur. En cas dchec, il faut autoriser notre serveur relayer les messages. Une fois SMTP configur, il nous faut dfinir les options dans la console WSUS. Pour ce faire, lon excute le petit assistant dans les options WSUS en cliquant sur Notifications par courrier e-mail. Ainsi dans longlet Gnral, nous renseignons ladresse e-mail du destinataire et nous pouvons choisir les cas de notifications adapts nos attentes; cest--dire larrive de nouvelles mises jour et/ou lenvoi de rapports dtat. Concernant lenvoi de rapports dtat, il nous faut slectionner la priodicit dmission (journalire ou hebdomadaire) ainsi que la langue dans laquelle le mail sera transmis. Dans longlet Serveur de messagerie, nous renseignons le nom de notre serveur SMTP, tout en spcifiant le port utiliser.il nous faut aussi enregistrer le nom et ladresse e-mail de lexpditeur. Enfin, dans le cas o lon utilise des identifiants spcifiques pour se connecter au serveur, il nous faudra entrer le nom dutilisateur et le mot de passe appropris. 5Rle pour la dlgation

Lorsque nous installons WSUS 3.0 sur notre serveur, celui-ci gnre automatiquement deux (2) nouveaux groupes de scurit nomms : - Administrateurs WSUS - Rapporteurs WSUS. Les membres du deuxime groupe (Rapporteurs WSUS) se voient attribuer un accs la console dadministration WSUS en lecture seule. Ainsi, ils peuvent surveiller le trafic en vrifiant les options et en gnrant des rapports mais ils ne peuvent ni modifier les paramtres ni changer la configuration comme les membres du premier groupe (Administrateurs WSUS). Ce systme permet de mettre en place une dlgation de tches en attribuant uniquement les droits de lecture quelquun. Pour ce faire, il nous suffit de crer un simple utilisateur puis lajouter au groupe Rapporteurs WSUS. Ensuite, il nous faut installer la console dadministration WSUS sur lordinateur client de cet utilisateur. Par la suite, il lancera lapplication en effectuant un Excutez en tant que afin de pouvoir spcifier le compte en question.

VI- Lassistant de nettoyage du serveur WSUS 3.0


Lassistant de nettoyage est trs pratique puisquil permet de supprimer tout un tas dinformations inutiles et obsoltes dans le 51
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

gestionnaire WSUS. En lanant cet assistant, lon se voit inviter slectionner les lments quon souhaite nettoyer (figure 24). On a la possibilit de choisir parmi les cinq (5) options suivantes : Mises jour et rvisions de mise joue inutilises : La slection de cette option permet de supprimer les mises jour qui sont arrives expiration et qui nont pas t approuves au cours des trois (3) derniers mois. Elle permet aussi la suppression des rvisions de mises jour qui nont pas eu dapprobation durant les trois (3) derniers mois. Ordinateurs ne contactant pas le serveur : Le choix de cette option engendre la suppression des comptes dordinateurs dont le rapport na pas t envoy depuis au moins trente (30) jours. Ceci permet dviter de se retrouver avec une liste inimaginable dordinateurs alors que certains ne font plus partir du parc informatique. Fichiers de mises jour inutiles : Cette option permet de supprimer les mises jour refuses ou non utilises. Mises jour ayant expir : Cette option permet de refuser les mises jour dont la date de validit dfinie par Microsoft est dpasse. Mises jour remplaces : La slection de cette option permet de refuser les mises jour qui nont pas t approuves depuis trente (30) ou plus et remplaces par une mise jour approuve.

52
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

Figure 13 : assistant de nettoyage du serveur WSUS Une fois que notre slection est faite, on lance le processus de nettoyage. Celui-ci peut prendre plusieurs minutes en fonction de notre base de donnes ainsi que du nombre dlments slectionns. A la fin du traitement, un rsum saffiche en indiquant le nombre dobjets concerns par chaque lment. Notons que lassistant ne peut sexcuter de manire automatique. Il nest donc pas possible planifier le nettoyage automatiquement sur un priode donne. Ceci devra se faire toujours manuellement.

I- Phase effective de dploiement


Cette phase de dploiement seffectue dans un SEIN DE MISE EN UVRE DE WSUS AU environnement de test calque sur larchitecture du rseau de lATCI. Lon a opt pour LATCI larchitecture de dploiement simple avec un seul serveur. Cest larchitecture la mieux adapte pour le dploiement de WSUS au sein de 53
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

lATCI compte tenu de sa similitude avec larchitecture du rseau local de celle-ci. Elle est trs peu couteuse et facile raliser. 1- Prparations matrielles pour linstallation de WSUS Machine abritant le serveur WSUS : Lon utilisera une machine virtuelle Windows 2003 Server pour linstallation de WSUS. La machine hte a les caractristiques suivantes : Un ordinateur portable de marque ACER Une mmoire vive de 2Go Un processeur Intel Celeron deux curs de 2GHz chacun Un disque dur de 160 Go Un systme dexploitation Windows Vista Entreprise La machine virtuelle qui hbergera le gestionnaire de correctifs WSUS 3.0 service pack 1a les caractristiques suivantes : CARACTERISTIQ UES 2GHz 512 MB 20 Go SQL Server 2005

EQUIPEMENTS CPU MEMOIRE DISQUE DUR SYSTEME DE GESTION DE BASE DE DONNEES Tableau 9: caractristiques du serveur virtuel

Les postes clients de WSUS : Quatre postes clients composs de la machine hte de WSUS et de trois ordinateurs de bureau de marque DELL ont t utiliss comme clients WSUS. Les caractristiques des machines de bureau sont les suivantes : Une mmoire vive de 1Go Un processeur Intel Pentium IV de 3,7GHz Un disque dur de 80 Go Un systme dexploitation Windows XP service pack 2 2- Prparations logicielles pour linstallation de WSUS

54
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

Le logiciel de virtualisation : Sur lordinateur portable (machine hte), nous installons VMware Player. VMware Player est un logiciel gratuit (dans certaines de ses versions, en occurrence sa version 3.1 que nous utilisons). Il permet dinstaller des machines virtuelles pouvant tourner sous nimporte quel systme dexploitation et utilisant tout ou presque les caractristiques matrielles de la machine physique qui les hbergent. Il permet aussi dinterconnecter les machines virtuelles entre elles et avec les autres machines physiques du rseau. Les logiciels ncessaires linstallation de WSUS : Linstallation et le fonctionnement de WSUS ncessite linstallation des logiciels et systmes dexploitation suivants : Windows 2003 Server Entreprise service pack 2 WSUS 3.0 service pack 1 Package redistribuable de Microsoft .NET Framework version 2.0 Microsoft Report Viewer Redistribuable 2005 Microsoft Management Console 3.0 Microsoft Internet Information Services (IIS) version 6.0 Service de transfert intelligent en arrire-plan (BITS, Background Intelligent Transfer Service) version 2.0 Win HTTP version 5.1 3- Description de lenvironnement de test Aprs linstallation de VMware Player, nous crons une machine virtuelle qui tourne sous Windows 2003 Server Entreprise service pack 2. Notons quavec VMware Player, les caractristiques de la machine virtuelle sont modifiables volont.

55
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

Figure 13 : machine virtuelle Windows 2003 Server Sur le serveur virtuel, on cre un domaine Active Directory nomm atci.lan. La machine physique hbergeant le serveur virtuel ainsi que les trois autres machines a t intgr dans ce domaine.

Figure 14 : schma du rseau de test Pour linstallation de WSUS 3.0 service pack 1, on utilise exactement la mme procdure que celle dcrite dans le chapitre 6.

II- Configuration et surveillance de lenvironnement de test


1- Configuration dans lenvironnement de test Lenvironnement de test est configur selon la procdure dcrite dans le chapitre 7. Pour la configuration des postes clients, nous avons opt pour une configuration avec la GPO parce que nous sommes dans un rseau avec contrleur de domaine et elle permet de distinguer les postes clients des serveurs, et de suivre clairement lactivit sur le rseau. On suit scrupuleusement la mme mthode du chapitre 7. Cette configuration change quelque peu lorsquil sagit de configurer le serveur WSUS. Ces diffrences sont les suivantes : 56
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

Choix du serveur en amont : Le serveur en amont est le site de Microsoft, du fait du choix dune architecture de serveur unique. Dfinition du serveur proxy : On renseigne les champs suivants la figure ci-aprs :

Figure 15 : dfinition des paramtres du proxy Slections des logiciels Microsoft pour les mises jour : Les logiciels suivants sont utiliss en environnement de production au de lATCI et peuvent faire lobjet de mise jour via le serveur WSUS : Developer Tools, Runtimes and Redistributables Exchange Forefront Firewall client for ISA Server Microsoft Application Virtualization 4.5 Microsoft Security Essentials Microsoft StreamInsight V1.0 Network Monotoring 3 Office Silverlight SQL Server System Center Virtual Machine Manager Virtual Server Windows Live Windows Works 57
Prsent par Kouam Akess Kouakou Nicaise

sein -

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

Service de transfert intelligent en arrire-plan (BITS, Background Intelligent Transfer Service) version 2.0 Win HTTP version 5.1.

Figure 16 : slection des produits mettre jour Il faut donc cocher toutes les cases environnement et appliquer la slection.

qui

concernent

notre

Choix des langues : Sur les trente-et-huit (38) langues proposes par WSUS 3.0, lon ne choisit que celles adaptes lenvironnement de test. Ce sont langlais et le franais. Planification de synchronisation : Le personnel de lATCI arrte de travailler quotidiennement partir de 17 heures. On choisit donc 16 heures comme heure de Synchronisation parce que cest cette heure que lactivit sur le rseau devient plus fluide.

58
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

Figure 17 : planification de la synchronisation 2- Surveillance des activits dans lenvironnement de test Afin de sassurer du bon fonctionnement du serveur WSUS, on utilise la console performance pour crer des fichiers journaux de l'activit de ce service, outre les rapports proposs par WSUS.

Figure 18 : console performance On cre un nouveau fichier journal. La fentre suivante s'ouvre:

Figure 19 : journal WSUS 59


Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

La prochaine tape est de rajouter les compteurs qui doivent tre surveilles.

Figure 20 : ajout des compteurs Les compteurs permettent de surveiller les performances du serveur WSUS sur le rseau. Ils sont fonction des objets de performance (services WSUS) slectionns. Dans notre cas, nous slectionnons cinq objets de performance que sont : - WSUS: Mthode du service Web client, - WSUS: Mthodes Web du serveur, - WSUS: Service Web client, - WSUS: Service Web de cration de rapports, - WSUS: Service Web du serveur. Voici une liste non exhaustive des compteurs qui peuvent tre intressants et quon se propose de dcouvrir: WSUS: Mthodes Web du serveur\ Nombre d'appel la mthode Web WSUS: Mthode du service Web client\ Nombre d'appel la mthode Web WSUS: Service Web client\ Nombre d'appel par seconde WSUS: Service Web client\ Dure moyenne d'excution WSUS: Service Web de cration de rapports\ Nombre d'vnements en file d'attente WSUS: Service Web du serveur\ Dure d'excution maximale WSUS: Service Web du serveur\ Dure moyenne d'excution WSUS: Service Web du serveur\ Nombre d'appel par seconde Les compteurs a et b permettent de ne pas passer cot d'une monte en charge imprvu de l'utilisation de votre serveur. Ensuite, les compteurs c et d mettent en vidence un changement de comportement des postes clients (tentative d'attaque du type buffer over flow ou alors une attaque virale contre votre serveur WSUS). Le compteur e permet de savoir 60
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

si la cration de nos rapports avec le serveur WSUS n'utilisent pas trop les ressources du serveur. Pour finir, les compteurs f g donnent une vision objective de la charge que subit le serveur. Ainsi, en combinant l'analyse que lon fait de ces compteurs et de ceux que lon a choisi dans les autres journaux de performance, on est capable de dterminer les nouveaux besoins matriels ainsi que les probables attaques sur votre rseau. C'est pourquoi le choix des compteurs t mrement rflchi afin de rcuprer les rsultats les plus reprsentatifs possibles.

III- Exemple de dploiement de correctifs en environnement de production


Il sagit pour nous de dployer le correctif pour le service de transfert intelligent en arrire plan (BITS) 2.0 et WinHTTP 5.1 le poste client D dont le nom de lordinateur est nic-farot. Cette machine appartient au groupe dordinateurs clients pralablement cr dans WSUS. On lance dabord lapprobation des mises jour qui se prsente selon la figure suivante :

61
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

Figure 21 : approbation de mise jour Aprs lapprobation, on suit la progression de la mise jour. On a, au mme moment, une vue sur le rapport du poste nic-farot.

Figure 22 : progression de la mise jour et vue du rapport de lordinateur Aprs la mise jour, on gnre un rapport dtaill de lordinateur.

62
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

Figure 23 : rapport dtaill de ltat pour le poste client nic-farot

IV- Evaluation financire


La solution ayant t adopte, il nous faut la valoriser pour son dploiement. Le tableau qui suit contient tous les lments ainsi que les prix ncessaires au dploiement de WSUS en environnement de production.

DESIGNATION Ordinateur DELL CPU Intel core 2 duo 2GHz Mmoire 4GB Disque dur 160 Go Systme dexploitation Windows 2003 Server Main d'uvre

QUANTI TE

PRIX MONTAN UNITAIR T E

750.000 fcfa

750.000 fcfa

800.000 fcfa

800.000 fcfa

TOTAL

1.550.000 fcfa

Tableau 10: cot du dploiement de la solution WSUS Cette solution cotera 2.250.000 labonnement Internet est dj rgl. fcfa, en considrant que

63
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

Cest avec cette partie que notre travail sachve ou presque. Il a t question, pour nous, de montrer le cas gnral de linstallation et de la configuration du serveur WSUS. Aprs quoi, nous avons configur les postes clients en nous situant toujours le cas gnral. Cette partie sest acheve par la mise en ouvre de la solution WSUS en environnement de test.

64
Prsent par Kouam Akess Kouakou Nicaise

8
Implmentation dun gestionnaire de correctifs dans un environnement Microsoft

Lobjectif de cette tude tait de mettre en place une solution facile d'utilisation, nanmoins complte, pour tlcharger, distribuer et dployer de faon centralise l'ensemble des mises jour des produits Microsoft sur les machines du rseau de lATCI. Cet objectif visait principalement colmater les brches de scurit dans le rseau. Ainsi, nous avons pu nous familiariser avec le serveur WSUS afin de permettre sa mise en place dans le rseau pour dployer les mises jour sur les machines clientes excutant les produits Microsoft. Nous avons tudi tous les aspects de la technologie WSUS, de la gnralit sur les systmes de mise jour, de l'installation de WSUS sa configuration en passant par les procdures de dploiement, la scurit. Nous avons procd ensuite une mise en uvre du serveur WSUS dans un environnement de test sur une machine virtuelle Windows server 2003 Entreprise, connecte des clients htes physiques. Des tests raliss ont t prsents dans le rapport. LATCI, limage de toutes les entreprises, est en perptuelle expansion. De ce fait, nous assistons une augmentation du nombre dutilisateurs mobiles (se connectant au rseau sans fil) difficiles grer. Lon devra ce pencher sur ce fait et trouver des solutions adquats pour une meilleure gestion de ces utilisateurs. Ce qui rendra encore le rseau beaucoup plus scuris. Dans cette optique, Microsoft propose dautres solutions bien plus volues (mais payante) tel que loutil appel SMS (System Management Server) permettant d'effectuer en plus des fonctions de mise jour, du dploiement de soft distance. Nous avons tir des expriences intressantes avec le dploiement de WSUS dans un rseau comme celui de lATCI. En effet, nous avons approfondi nos connaissances en administration systme/rseau, de faon gnrale, et en particulier en administration du serveur Windows 2003 et des gestionnaires de mise jour.

65
Prsent par Kouam Akess Kouakou Nicaise