Vous êtes sur la page 1sur 74

REMERCIEMENTS

Je ne pourrai commencer sans adresser mes remerciements à :

• Mme Caroline N’DIAYE, Responsable de la Filière Informatique, de

m’avoir permis de participer à ce projet

• Mr KANGA Eba, notre responsable de projet, de nous avoir fait

bénéficier de son expérience

Aussi, je voudrais remercier :

Mon père, mes mères pour leur soutien financier et pour l’amour qu’ils me

portent

Mes frères, sœur, amis et tous mes proches de m’avoir moral et physique.

Toute ma reconnaissance à DIEU, sans qui rien n’est possible.

2
AVANT PROPOS
Ce présent mémoire est le couronnement d’un projet initié par PIGIER qui rentrait
dans le cadre des applications que nous avons eu à présenter lors du salon des
ingénieurs. Ce mémoire nous permettra de valider notre Diplôme d'ingénieur en
informatique dont nous avons obtenu l’admissibilité.
PIGIER Côte d'Ivoire, créé en 1956, réunit les filières suivantes :
 BTS Informatique de Gestion
 BTS Finances Comptabilité
 BTS Communication et action publicitaire
 BTS Gestion Commerciale
 BTS Secrétariat Bilingue
 BTS Secrétariat Bureautique.
Il existe des filières accessibles après le BTS telles que :
 Diplôme Supérieur de Spécialité en Négociation et Communication
 Diplôme Supérieur de Spécialité en Audit Comptabilité
 Diplôme Supérieur de Spécialité en Génie Logiciel
 Diplôme Supérieur de Spécialité en Assistance de Direction
 Diplôme d'Etudes Supérieures Spécialisées en Finance et Comptabilité
 Master en Marketing et Communication
 Master en Administration des Entreprises
 Master en Audit et Contrôle de Gestion.
 Diplôme d'Ingénieur en Informatique
Le Diplôme d'ingénieur informatique dont la durée est de deux ans après le Diplôme
Supérieur de Spécialité en Génie Logiciel permet d’approfondir les enseignements
déjà reçus, en y ajoutant des thèmes d’opérations pratiques extraites de la réalité des
entreprises et utilisant les nouvelles technologies. Il s’obtient en deux (02) étapes :

3
 La phase théorique sanctionnée par un examen écrit qui nous permet
d’obtenir une admissibilité au diplôme.
 La phase pratique sanctionnée par la réalisation d’une application suivie
d’une soutenance dont l’appréciation accorde définitivement le diplôme.

4
ABSTRACT
At PIGIER it takes two (2) years to prepare for a computer science engineer
diploma, depending on whether a candidate holds a vocational training diploma. At the
end of the training program, an exam is taken. Successful student has to write a
dissertation on a given subject, after carrying out a work placement, and defends it in
front of a jury.
In this framework, we have chosen the following topic: « Deployment Solution
of Microsoft’s products updates in a Small and medium size Business ». We are
going first to justify this subject, and then explain the methodology resorted to and the
solutions we found.

Several thousand vulnerabilities (flaws) are discovered each year. They affect
most of the software or hardware components of computers, operating systems and
applications software too.
With the development of the Internet and the increase in the creation of
malicious codes, the security of any computing environment has become a major
factor for the survival of data traffic.
The solution will be to develop a strategy to update the various machines in
order to fight against possible attacks.
We studied the case of PIGIER Côte d'Ivoire, where updates are almost not
made. We have therefore decided to establish a policy to download updates and deploy
them in the network environment on different computers. This method will help solve
the problems of patches and updates brought about by malicious code.
The main objective of our project is to design a solution to centralize the
management of Microsoft Updates in order to prevent possible exploitation of
vulnerabilities discovered.
It is in this view that most of software publishers (especially Microsoft)
broadcast on the Internet patches and updates to correct any errors on software already
in use. These are to be downloaded and install on each workstation. This becomes a

5
tedious task for a director if the number of computers of the park becomes high. Our
solution Windows Server Update Services (WSUS) is a component of Microsoft.
In drafting our project, we tried to explain the operating principle of WSUS.
When installed and configured, WSUS can enable to download updates according to
Microsoft products installer on customers WSUS. The servers WSUS will then deploy
them on network clients on the basis of a planning.
The advantages of the solutions are:
• The use of patches management tools to manage a significant number of
computers security holes.
• The centralization of updates deployment on computers in a local area network.
• The optimization of the use of the internet level so that all users cannot use.
• To facilitate the tasks of the network administrator in order to avoid a peer-to-
peer installation of various patches and updates

At the end of our study, we can say that any computerized information system
must update the software to avoid problems with operation.
And Microsoft has implemented various technologies to correct security
vulnerabilities in these products.
We have to notice that WSUS is not antivirus software but a centralized
solution for Microsoft’s products updates management.

6
INTRODUCTION
Les entreprises évoluent dans un monde compétitif et concurrentiel. Les
ressources humaines restent importantes mais il ne faut non plus négliger les
informations qu’elles produisent dans le système d’information de toute d’entreprise.
Cependant les données, élément majeur du Système d’Information se doivent être
protégées. La protection des données se résument en trois (3) éléments :
Confidentialité – Intégrité – Disponibilité.
Dans le contexte actuel avec l’explosion d’Internet on assiste au développement des
codes malveillants d’où la nécessité de mettre en place des mesures de sécurité pour
protéger tout système d’information.

PIGIER Côte d'ivoire, école de référence, s’est donné un objectif


supplémentaire qui est la conquête des entreprises. Cette nouvelle politique s’est
matérialisée pendant les festivités marquant ses cinquante ans en initiant le salon des
ingénieurs. Au cours de ce salon, un certain nombre de projets fût présenté au grand
public, au Palais de la Culture de Treichville Abidjan Côte d’Ivoire, parmi lesquels
figurait notre projet qui a pour sujet "SOLUTION DE DEPLOIEMENT DE MISES
A JOUR MICROSOFT DANS UNE PME".

Le présent mémoire qui retrace les différentes étapes de réalisation de ce travail


se subdivise en quatre grandes parties que sont:
 Présentation de la structure d’accueil
 Présentation du projet et étude de l’existant
 Solutions possibles
 Solution proposée

7
8
PARTIE I : PRESENTATION DE LA STRUCTURE D’ACCUEIL

I. Origine

Créée en 1956, PIGIER Côte d'Ivoire, s'est adaptée sans faillir, sans ménager
ses efforts à toutes les évolutions et révolutions quelquefois pour offrir aux entreprises,
avec lesquelles elle est en étroite collaboration, des personnels compétents.

En effet, pour répondre aux besoins évolutifs des entreprises, l'école a


progressivement étoffé son catalogue de formations en passant des préparations aux
diplômes de type BEP et BAC Technologiques des années 70 aux BTS à compter de
1987 et développe depuis 1994, des formations de grandes écoles de niveau: BAC + 3
et BAC + 5.

L'évolution de notre portefeuille de formations est la résultante des actions


menées auprès des entreprises par notre Cabinet de Placement et notre Direction
Commerciale qui, à travers l'analyse du marché du travail (offres d'emploi – demandes
de formations et de perfectionnement) orientent conséquemment notre offre de
formation.

Nous avons ainsi, d'année en année, apporté des solutions aux préoccupations
des entreprises. En effet, face à la vitesse fulgurante de diffusion de nouvelles
technologies et à l'internationalisation de l'économie, les entreprises ont besoin de
personnels d'un niveau de qualification de plus en plus élevé, disposant d'un potentiel
d'adaptation accru pour participer efficacement à leur développement.

PIGIER Côte d'Ivoire, école déjà ouverte sur les entreprises et qui a célébré en
2006 ses cinquante années d'existence, a décidé de soumettre ses diplômes BAC +3 et
BAC +5 à la certification du CAMES en vue de :
• Faciliter la poursuite des études dans le cycle supérieur (2ème et 3ème cycle)
des universités africaines dans la mesure où l'on recense une vingtaine de nationalités
dans l'effectif des étudiants de l'école. En effet, l'école reçoit des étudiants boursiers ou

9
non de plusieurs pays africains : Gabon – Niger – Cameroun – Tchad – Centrafrique –
Mauritanie - Congo…
• Accroître l'intégration professionnelle des diplômés dans les secteurs
parapublics. Enfin, à travers cette certification, PIGIER Côte d'Ivoire entend se
rapprocher du monde des universités, creuset du savoir et de la recherche.

Aujourd'hui, tous les diplômes délivrés par PIGIER Côte d'Ivoire sont reconnus par le
CAMES :
• Diplôme Supérieur de Spécialité en Négociation et Communication Multimédia
• Diplôme Supérieur de Spécialité en Audit Comptabilité
• Diplôme Supérieur de Spécialité en Génie Logiciel
• Diplôme d'Etudes Supérieures Spécialisées en Finance et Comptabilité
• Diplôme Supérieur de Spécialité en Assistance de Direction
• Master en Marketing et Communication
• Master en Administration des Entreprises
• Master en Audit et Contrôle de Gestion.
• Diplôme d'Ingénieur en Informatique

II. Missions
• Formations diplômantes

 BAC + 2 : Brevet de technicien supérieur (Diplôme d’Etat)


 BAC +3 : Diplôme supérieur de spécialité (Diplôme école)
 BAC + 5 : Master et diplôme d’ingénieur. (Diplôme école)

• Séminaires de perfectionnement

Des modules de formation aux nouvelles technologies ou méthodes sont élaborés et


proposés aux entreprises pour le perfectionnement de leur personnel. PIGIER Côte
d’Ivoire est agréée par le Fonds de Développement de la Formation Professionnelle
(FDFP).

10
• Placement

Depuis 1990 l'école s'est dotée d'un Cabinet de placement agréé par l'Agence d'Etude
et de Promotion pour l'Emploi.

III. Infrastructures

L’école est implantée en plein centre du quartier des affaires (Plateau) sur une
superficie d’environ 3 000 m2.

Elle dispose de :

• 35 salles de cours théoriques

• 4 salles d’informatique contenant en moyenne 40 machines chacune, câblée


en réseau avec connexion Internet (liaison ADSL haut débit)

• Une salle de travaux pratiques en informatique pour les ingénieurs

• Un centre de documentation numérique (CDN)

• Un atelier audiovisuel

• Une bibliothèque physique

• Une infirmerie

11
IV. L’Administration

STRUCTURE ADMINISTRATIVE

12
STRUCTURE PEDAGOGIQUE

V. Partenariat

PIGIER Côte d'Ivoire fait partie d'un réseau international, La Compagnie de


Formation, comprenant différentes unités tant en Europe qu'en Afrique et au Proche
Orient : Ecoles professionnelles, Centres de formation, Ecoles d'enseignements
supérieurs ; toutes spécialisées dans la formation aux emplois dans les domaines
suivants :

13
Finance comptabilité

Informatique

Communication

Négociation commerciale

Commerce international

Secrétariat.

L'appartenance à cet ensemble permet de bénéficier des services du Centre


International de Recherche Pédagogique du Groupe PIGIER qui rassemble les
expériences des écoles du réseau et de plusieurs centaines de formateurs.

La Compagnie de formation comprend en plus du réseau PIGIER (36


établissements en France et 52 à l'étranger) des établissements tels que : - ISCOM
(Institut Supérieur de Communication et de Publicité : 4 écoles) - ESICAD (2
écoles)

Jumelage école entreprise

Dans le cadre du développement des formations BAC +3 et BAC +5,


l’établissement, fidèle à sa philosophie «former à l’emploi» a sollicité et obtenu la
participation active des entreprises Ivoiriennes à l’élaboration de ses programmes.
Cette étroite collaboration s’est traduite par la mise en place d’une cellule permanente
de validation des dits programmes dénommée comité de perfectionnement.
Aujourd’hui neuf (9) entreprises siègent au comité de perfectionnement. Ce sont :

CIE : Compagnie Ivoirienne d’Electricité


SODECI : Société de Distribution d’Eau de la Côte d’Ivoire
ORANGE (ex SIM) : Entreprise de téléphonie mobile
LIS : Ligue Ivoirienne des Secrétaires
SNPECI (FRATERNITE MATIN) : Société Nouvelle de Presse et d’Edition de Côte
d’Ivoire
CEDA (NEI) : Centre d’Edition et de Diffusion Africaine
IVOIRE INTERCONTINENTAL (HOTEL IVOIRE) : Complexe Hôtelier

14
SIMO : Entreprise spécialisée dans la commercialisation d’équipements informatiques
et de logiciels
PANAFCOM : Agence de communication et de publicité

Partenariat académique

PIGIER Cote d’ivoire fait partie du réseau international PIGIER et bénéficie de


ce fait des partenariats et apports de toutes les écoles du réseau dont l’ISCOM. C’est
cette appartenance qui a permis à l’école PIGIER Côte d’Ivoire de bénéficier du
partenariat avec Microsoft. PIGIER Côte d’Ivoire a engagé des négociations de
partenariat avec les Universités de Bouaké et Abobo-Adjamé qui doivent être
finalisées avant la fin d’année

Le contrat Microsoft Campus

Microsoft Campus est le contrat qui fournit les licences des postes clients
nécessaires à l’enseignement de l’informatique et de la bureautique dans toutes les
filières. Il couvre tous les postes clients de PIGIER Côte d’Ivoire. Il autorise le
déploiement de toutes les versions de Windows et Office de Microsoft simultanément
sur tous les postes. De ce fait, les membres du personnel administratif, les enseignants
et les étudiants bénéficient gratuitement des licences clients.

Les contrats Microsoft IT Academy : Informatique et Bureautique


Ces contrats confèrent à PIGIER Côte d’Ivoire l’agrément de centre d’examens des
certifications Microsoft dans les domaines informatique et bureautique. Ils autorisent
PIGIER Côte d’Ivoire à utiliser les signalétiques Microsoft et lui donnent droit à un
soutien commercial. Les étudiants qui le désirent peuvent passer à Abidjan des
certifications Microsoft reconnues dans le monde entier. Ces dispositions vont être
étendues à d’autres éditeurs tels Cisco, Adobe.

15
16
PARTIE II : PRESENTATION DU PROJET ET ETUDE DE L’EXISTANT

I. Contexte

Plusieurs milliers de vulnérabilités (failles) sont découvertes chaque année. Elles


affectent la quasi-totalité des composants logiciels ou matériels du monde
informatique, des micro-codes et des systèmes d’exploitation, aux progiciels et
applications.
Pour répondre à cette problématique, Microsoft met à notre disposition des solutions
concrètes permettant la mise en œuvre d’une politique de sécurité.

II. Les objectifs du projet

Les objectifs de notre projet sont les suivants :


 Construire l’infrastructure de base de la gestion des mises à jour.
 Mettre en place une solution facile d’utilisation, néanmoins complète, pour
télécharger et distribuer des mises à jour de produits Microsoft.
 Déployer de façon centralisée, l'ensemble des mises à jour Microsoft sur les
machines d'un réseau local (y compris les mises à jour recommandées et les mises à
jour de pilotes).
 Utiliser les outils de gestion de correctifs pour gérer un parc important de
machines et colmater à temps les failles éventuelles.
 Optimiser l’utilisation de la bande passante au niveau d’Internet.

L’objectif principal de notre projet est de mettre en place une solution permettant
de centraliser la gestion des mises à jour Microsoft pour prévenir une
exploitation éventuelle des failles découvertes.

III. Description de l’existant

Le réseau informatique de PGIER Côte d’Ivoire est composé de deux parties


indépendantes :
• L’administration
• Les salles informatiques

17
1. L’Administration

i. Existant matériel

Le réseau de l’administration est composé :

• Des ordinateurs de toutes les directions de l’école, de la salle des professeurs,


de la bibliothèque. Ce sont des Pentium IV de marques DELL, TOSHIBA, HP
COMPAQ ...
• Un serveur DELL (Processeur Intel Xeon 1,86 GHz, Mémoire RAM 2 GO,
Capacité Disque 438 GO) est dédié à la gestion des comptes d’utilisateurs du
personnel de PIGIER CI et au stockage des informations et applications.
• Un ordinateur de marque Dell a été dédié pour la gestion des impressions et des
fax.
• Un modem routeur de marque LINKSYS est utilisé pour la gestion de la
connexion Internet.
• Des imprimantes de marque HP pour la plupart sont directement reliées à des
ordinateurs dans certains bureaux.
• Une fibre optique permet de relier les ordinateurs du bâtiment C (salle des
professeurs, la Direction commerciale, le cabinet de placement) au bâtiment A
où se situe l’Administration.

ii. Existant logiciel

Sur le serveur de marque DELL de PIGIER, nous avons :

• Microsoft Windows Server 2003 Edition Entreprise comme système


d’exploitation.
• Microsoft Exchange Server 2003 pour la gestion de la messagerie.
• Les services Active Directory et DNS ont été activés pour la gestion des
comptes (Utilisateur et ordinateur).

18
• Des applications propriétaires de PIGIER telles Gesco pour la gestion de la
scolarité des étudiants et GestAbsences pour gérer l’état d’absence des
étudiants.

Sur les postes de travail, nous avons :


• Microsoft Windows XP Professionnel Service Pack 2
• La suite bureautique Microsoft Office 2003
• Des logiciels d’autres éditeurs tels qu’Adobe y sont installés
Toute l’administration fonctionne en environnement Client/serveur dans un domaine
Active Directory appelé PIGIERad

2. Salles informatiques

i. Existant matériel

Le réseau des salles informatiques comprend :


• Un serveur Dell dédié exclusivement à la gestion de Centre de Documentation
Numérique (CDN)
• Des ordinateurs de marque Dell, Toshiba, HP Compaq, constituent le parc
informatique des salles.
En dehors du CDN, un ordinateur de marque Dell est promu Serveur de fichiers et
chaque salle comprend en moyenne quarante (40) machines.

ii. Existant logiciel

Sur le serveur du CDN, est installé

• Comme système d’exploitation Microsoft Windows Server 2003 Edition


Entreprise
• Les applications dédiées à la gestion du CDN
Sur les serveurs des salles de cours, nous avons Microsoft Windows Server 2003
Edition Entreprise.

19
Les postes de travail des salles informatiques, pour des raisons de formation, ont un
système multi amorçage comprenant :
• Fedora Cora 6
• Microsoft Windows Server 2003 Edition
• Microsoft Windows XP Professionnel Service Pack 2 avec la suite logicielle
Microsoft Office 2003 et d’autres logiciels tels que les produits Adobe, Oracle...
Chaque salle informatique se trouve dans un domaine avec un réseau en étoile.

3. Existant en matière de mises à jour de produits Microsoft

La gestion centralisée des mises à jour Microsoft est presque inexistante à


l’administration comme dans les salles informatiques.

Elle est laissée à l’appréciation de l’utilisateur direct.

IV. Conséquences de la politique de mises à jour décrite

• Utilisation abusive de la bande passante au niveau d’Internet.


• La gestion des mises à jour devient fastidieuse, non centralisée et pas maîtrisée.
• Manque de protection de l’environnement de production.
• Impossibilité de Tests des mises à jour sur des machines dédiées avant leur
déploiement dans l’environnement de production.
• Risque de crash du Système d’Exploitation

20
21
PARTIE III : LES SOLUTIONS POSSIBLES

I. MICROSOFT® UPDATE

1. Présentation

Microsoft Update est un service proposant le téléchargement de toutes les


dernières mises à jour des produits Microsoft depuis le site officiel de Microsoft. Il
vous permet de protéger et d'optimiser votre ordinateur.
C’est un composant de WINDOWS qui n’a pas besoin d’installation, il suffit tout
simplement d’activer l’option « Maintenir mon ordinateur à jour ».
Les Mises à jour automatiques est l'une des principales fonctionnalités de Microsoft
Update.
2. Forces

Ce composant, présent sur votre ordinateur, installe automatiquement les mises


à jour critiques pour la sécurité et la fiabilité de votre ordinateur, comme les correctifs
de sécurité, l'optimisation de la fiabilité ou les tous derniers dispositifs de protection
contre le courrier indésirable pour les utilisateurs de Microsoft Outlook. Sans ces
mises à jour de sécurité, votre ordinateur est totalement vulnérable aux attaques
d'individus ou programmes malveillants.

3. Faiblesses

Non Optimisation de la bande passante du réseau


Non contrôle de la distribution des mises à jour
Planification du déploiement des mises à jour impossible
Ciblage de mises à jour impossible

22
II. MICROSOFT® WINDOWS SERVER UPDATE SERVICES 3.0

Microsoft Windows Server Update Services 3.0 (WSUS) permet aux


administrateurs de systèmes informatiques de déployer les dernières mises à jour
publiées par Microsoft pour les produits Microsoft. Windows Server Update Services
vous aide à gérer pleinement la distribution des mises à jour disponibles via Microsoft
Update sur tous les ordinateurs de votre réseau.
Windows Server Update Services est un module de Windows Server permettant
de gérer les correctifs et mises à jour. Il constitue une méthode efficace et rapide pour
tenir tous vos systèmes à jour.
Nous détaillerons en long et en large les différentes fonctionnalités de WSUS
dans la suite de notre exposé.

23
III. MICROSOFT® BASELINE SECURITY ANALYZER (MBSA)
VERSION2.0
1. Présentation

Microsoft Baseline Security Analyzer 2.0 (MBSA) est un outil simple d'emploi
destiné à aider les petites et moyennes entreprises à évaluer leur sécurité d'après les
recommandations de sécurité de Microsoft. Cet outil analyse la mémoire centrale des
ordinateurs clients ayant un système d’exploitation Microsoft Windows pour y
rechercher des problèmes courants de configuration de la sécurité et génère des
rapports de sécurité individuels pour chaque ordinateur.

2. Forces

Détection et déploiement précis des mises à jour de sécurité pour toutes les mises à
jour de sécurité
Analyse possible à partir d’une interface de ligne de commandes des ordinateurs avec
l’outil mbsacli.exe.
Installation du service possible sous Microsoft Windows XP

3. Faiblesses

Non Optimisation de la bande passante du réseau


Non Mise à jour des pilotes
Planification du déploiement des mises à jour impossible

24
IV. MICROSOFT® SYSTEM CENTER ESSENTIALS 2007

1. Présentation

Microsoft System Center Essentials 2007 (Essentials 2007) est une solution
d’administration unifiée et préventive qui permet aux administrateurs systèmes des
PME d’être plus efficaces dans la sécurisation, la mise à jour, le contrôle et le
dépannage de leurs environnements informatiques.
Essentials 2007 propose les fonctionnalités suivantes :
Surveillance préventive, résolution des problèmes et suivi du parc
Solution unifiée qui permet de gérer serveurs, postes clients, matériels, logiciels et
services informatiques depuis une console unique.
Exécution efficace des tâches d'administration complexes, telles que la résolution des
problèmes rencontrés par les utilisateurs, la surveillance et le déploiement des logiciels
clients et serveurs.

2. Forces

Déploiement des mises à jour destinées aux applications logicielles non Microsoft
Page récapitulative unique de la console affiche un résumé des informations relatives
aux tâches courantes, aux alertes et aux rapports
Système de notification des problèmes par courrier électronique ou par messages SMS

3. Faiblesses

Logiciel payant

25
V. MICROSOFT® SYSTEMS MANAGEMENT SERVER (SMS) 2003

1. Présentation

Microsoft Systems Management Server 2003 (Systems Management Server


2003, SMS 2003) est une solution complète d'administration de parc informatique,
d'inventaire et de gestion des applications et de mises à jour de sécurité.
Les entreprises peuvent désormais réduire leurs coûts opérationnels au jour le
jour et contrôler précisément l'infrastructure et l'activité informatique grâce à des
rapports exhaustifs et personnalisables pour chaque niveau décisionnel de
l'organisation.

2. Forces

 Gestion du parc informatique

Malgré un parc informatique grandissant, les organisations les plus efficaces


doivent avoir accès à une information exhaustive et pertinente sur leur infrastructure
pour pouvoir prendre des décisions appropriées en terme de rentabilité et économiser
sur les immobilisations.

 Déploiement d'applications

Les projets de déploiement d'applications dans les organisations de grande taille


deviennent plus compliqués et plus coûteux. Systems Management Server 2003 offre
une solution simple pour la planification, le test, le déploiement et l'analyse de ces
projets.

 Déploiement des mises à jour de sécurité

Maintenir l'intégrité du système informatique est essentiel pour toute organisation et


requiert d'identifier les vulnérabilités des logiciels, de rapidement déployer les
dernières mises à jour de sécurité et d'en contrôler l'installation effective.

26
 La mobilité

Systems Management Server 2003 permet de répondre au défi de la gestion d'un parc
informatique mobile. Il inclut notamment :
La gestion de la bande passante afin de préserver la productivité de l'utilisateur en
ligne lors des inventaires ou des déploiements
La reprise du transfert des applications au point d'interruption lorsqu'une connexion est
défaillante
La prise en compte du lieu d'accès de l'utilisateur nomade afin d'optimiser les
téléchargements depuis la source la plus proche.
Le support de tout système mobile (assistant de poche, terminaux) fonctionnant avec
Windows Mobile ou Windows XP.

3. Faiblesses

Logiciel payant

27
28
PARTIE IV : LA SOLUTION PROPOSEE

I. Raisons de note choix

Notre choix s’est porté sur Windows Server Update Services pour les raisons
suivantes :
• Vu le nombre de machines à prendre en compte, l’utilisation de Microsoft
Update devient fastidieuse
• L’administration de Microsoft Update est locale
• Systems Management Server n’est pas adapté par rapport à la taille de la
structure soumise à notre étude.
• Systems Management Server et System Center Essentials sont des solutions
payantes.
• Microsoft Baseline Security Analyzer 2.0 n’intègre pas la gestion de la mise à
jour des pilotes

II. Configuration requise pour les serveurs et les clients

1. Configuration du serveur

La configuration matérielle et logicielle du serveur WSUS dépend du nombre de


clients à mettre à jour dans l’entreprise.

i. Configuration matérielle

Configuration minimale Configuration de notre


pour moins de 500 clients serveur
Fréquence d’horloge du
1 GHz 2.8 GHz
processeur
Mémoire Ram 1 GB 1 GB
Capacité de la carte Réseau 10 MB 10 MB
Partition Système 1 GB 40 GB
Partition de stockage des
20 GB 30 GB
mises à jour

29
NB : La partition système et celle utilisée pour le stockage des mises sur le
serveur doivent avoir un système de fichiers NTFS.

ii. Configuration logicielle

• Microsoft Windows Server 2003 Service Pack 2


• Microsoft Internet Information Services (IIS) 6.0
• Windows Installer 3.1
• Microsoft .NET Framework 2.0
• Microsoft SQL Server 2005
• Microsoft Report Viewer Redistributable 2005

2. Conditions préalables pour l'utilisation de la console


d'administration WSUS 3.0

WSUS 3.0 vous permet maintenant d'installer la console d'administration WSUS sur
des systèmes distants du serveur WSUS.
• Microsoft Windows XP SP2, Microsoft Windows Vista,
Microsoft Windows Server 2003 ou Microsoft Windows Longhorn
• Microsoft Management Console 3.0
• Microsoft Report Viewer Redistributable 2005

3. Configuration des clients WSUS

La liste des systèmes d’exploitation nécessaires pour les clients :

• Microsoft Windows Vista


• Microsoft Windows Server 2003
• Microsoft Windows Longhorn
• Microsoft Windows XP
• Microsoft Windows 2000 SP4.

30
III. Les types de déploiement

Dans notre cas on parle de déploiements quand des mises à jour stockées sur un
serveur WSUS sont distribuées aux clients.
WSUS peut se déployer de différentes façons :

1. WSUS simple

• Méthode la plus simple: un serveur derrière votre pare feu qui se met à jour
directement sur les serveurs de Microsoft Update
• Les mises à jour sont déployées par le biais du client de mises à jour
automatique: il faut leur renseigner l'adresse du site web sur lequel il pourra
récupérer les correctifs
• Création d'un site web par défaut ou alors sur un site personnalisé (port 8530)

2. Serveurs WSUS chaînés

• Deux catégories de serveurs : les serveurs amont et aval, un serveur aval se met
à jour sur un serveur amont

31
• Un serveur amont ne doit jamais se synchroniser sur un serveur aval, cela
créerait une boucle fermée qui n'est pas supportée par le protocole de
communication entre les serveurs.

• Une authentification peut être demandée, dans un environnement Active


Directory, sur le serveur amont sur la base d'une liste définie de serveurs avals.
• Microsoft recommande de ne pas dépasser un enchaînement de plus de trois (3)
serveurs avals bien qu'en théorie aucune limite ne soit imposée par le protocole
de communication entre les serveurs. Par contre, aucun test supérieur à un
enchaînement de plus de cinq serveurs n'a été réalisé par Microsoft.

3. Réseau déconnecté d'Internet

• Si un segment de votre réseau n'est pas connecté à Internet, pour quelle que
raison que ce soit, vous pouvez exporter le contenu de votre base de mises à
jour, sur un media physique, afin de les importer sur le serveur WSUS isolé.
• Cette solution peut aussi être envisageable pour les entreprises ayant des
liaisons coûteuses ou une bande passante faible vers Internet

32
IV. Installation

1. Procédure d’installation du serveur WSUS 3.0

• Double cliquez sur le fichier d’installation WSUSSetup.exe

• Dans la fenêtre «Assistant Installation de Windows Server Update Services


3.0», cliquez sur «Suivant »

• Dans la fenêtre «Sélection du mode d’installation», sélectionner l’option


«Installation serveur complète avec la console d’administration», puis
cliquer sur «Suivant»

33
• Dans la fenêtre «Contrat de licence», lire les termes de la licence puis, cocher
l’option «J’accepte les termes du contrat de licence» et cliquez sur
«Suivant»

• Dans la fenêtre «Sélectionner la source des mises à jour», Spécifier


l’emplacement de stockage des mises à jour et vérifier que l’option «Stocker
les mises à jour localement» est cochée.

34
• Dans la fenêtre «Option de base de données», choisir l’option de base de
données qui convient le mieux au système en place. WSUS a la possibilité :
 en option 1, d’installer sa base de données sur le serveur WSUS
 d’utiliser un serveur de base de données existant sur le serveur WSUS en
option 2,
 en option 3, utiliser un serveur de base de données sur un ordinateur
distant.
Nous sélectionnons l’option 1 car nous souhaitons utiliser la base interne à WSUS.
Une fois le choix fait, cliquer sur « Suivant »

35
• Dans la fenêtre «Sélection du site Web», spécifier le site web que WSUS 3.0
doit utiliser.
Deux options nous sont proposées :
 soit utiliser le site web IIS par défaut
 soit créer un autre site pour WSUS sur le port 8530 si le port 80 est utilisé par
un autre site Web.
Nous choisissons l’option 1 vu que notre serveur est dédié à la gestion des mises à
jour.
Cliquer sur « Suivant ».

36
• Dans la fenêtre «Prêt pour l’installation de Windows Server Update
Services 3.0», voir le récapitulatif des choix effectués, puis cliquez sur
«Suivant» pour démarrer l’installation

• La fenêtre « Fin de l’assistant Installation ...» vous indique si l’installation de


WSUS 3.0 est terminée avec ou sans succès. Après avoir cliqué sur
« Terminer » l’assistant d’installation lance la fenêtre de configuration de
WSUS 3.0

37
2. Configuration du serveur WSUS

Etape 1 : Dans la fenêtre de préparation de la configuration «Avant de commencer»


• Configurer le pare feu pour autoriser les clients à accéder au serveur
• Vérifier que notre serveur WSUS peut se connecter au serveur en amont
• Disposer d’informations d’identification pour le serveur proxy.
• Cliquer sur « Suivant »

38
Etape 2 : Fenêtre «S’inscrire au programme d’amélioration de Microsoft Update»
Cocher « Oui je souhaite participer au programme » puis cliquer sur «Suivant»

39
Etape 3 : Fenêtre «Choisir le serveur en amont»
• Choisir l’option par défaut si nous souhaitons faire la synchronisation à partir
du site de Microsoft ou si nous ne disposons pas d’autres serveurs WSUS.
• Choisir la seconde option si nous disposons déjà d’un serveur WSUS dans notre
environnement. Dans ce cas il faudrait spécifier le nom du serveur.
Nous ne disposons pas de serveur en amont, nous sommes à l’installation de notre
premier serveur, nous optons donc pour l’option par défaut.
Cliquer sur «Suivant»

40
Etape 4 : Fenêtre «Définir le serveur Proxy»
Si nous disposons d’un serveur proxy dans notre environnement, cocher l’option
« Utiliser un serveur proxy lors de la synchronisation », spécifier le nom du serveur
proxy et le port utilisé.
Indiquer si nécessaire les informations d’identification de l’utilisateur pour se
connecter au serveur.
Dans notre réseau, nous n’utilisons pas de serveur Proxy pour la gestion de la
connexion Internet. Cliquer sur «Suivant»

41
Etape 5 : Fenêtre «Se connecter au serveur en amont»
Cliquer sur « Démarrer la connexion » dans la fenêtre pour enregistrer et télécharger
les informations relatives au serveur en amont et au serveur proxy.
Cliquer sur «Suivant»

42
Etape 6 : Fenêtre «Choix des langues»
Choisir les langues pour lesquelles le serveur téléchargera les mises à jour, dans notre
cas ce sera que le Français puis cliquer sur «Suivant»

43
Etape 7 : Fenêtre «Choisir les produits»
Définir les produits Microsoft pour lesquels le serveur téléchargera les mises à jour
puis cliquer sur « Suivant »
Ces produits sont choisis en fonction de notre environnement logiciel

44
Etape 8 : Fenêtre « Choisir les classifications»
Choisir les classes de mises à jour et cliquer sur « Suivant »

45
Etape 9 : Fenêtre « Définir la planification de la synchronisation»
Définir le type de synchronisation pour les mises à jour.
Nous optons pour la synchronisation manuelle. Cliquer sur « Suivant »

Etape 10 : Fenêtre « Terminé»


Cliquer sur « Suivant » pour lancer la console d’administration et commencer la
synchronisation initiale.

46
Etape 11 : Fenêtre « Et maintenant »
Cliquer sur « Terminer »
La fenêtre d’administration s’ouvre et la synchronisation initiale se lance.

47
3. Présentation de la console d’administration de WSUS 3.0

Image Console d’Administration WSUS 3.0

La console d'administration WSUS 3.0 est un composant logiciel enfichable de


Microsoft Management Console (MMC) 3.0 qui permet de gérer tous les composants
du déploiement WSUS. On peut exécuter la console administration WSUS sur tout
ordinateur d'un domaine ayant une relation d'approbation avec le domaine du serveur
WSUS.
La console d'administration WSUS principale se compose de trois volets (voir Image
Console d’Administration WSUS 3.0) :

• Volet de l'arborescence Update Services (dans le cadre ) : présente


l'arborescence de Update Services, vue hiérarchique de votre déploiement WSUS par
serveur WSUS disponibles. On peut ajouter plusieurs serveurs à la console
d’administration WSUS. Chaque serveur est associé aux catégories suivantes dans
l'arborescence Update Services :

48
1 [Nom du serveur] : Conteneur de tous les composants WSUS gérés par
le serveur sélectionné. Lorsqu’on sélectionne un serveur WSUS dans
l'arborescence Update Services, une page d'état détaillé apparaît pour le serveur
avec :

 Tâches à effectuer : Actions les plus urgentes à effectuer sur le


serveur WSUS.

 Vue d'ensemble : Vue d'ensemble de l'état des ordinateurs, mises


à jour et synchronisations pour le serveur.

 Ressources : Liens à des informations supplémentaires à propos


de WSUS.

2 Mises à jour : Conteneur présentant toutes les mises à jour susceptibles


d'être approuvées sur le serveur. Les mises à jour sont regroupées par classification
dans l'arborescence Update Services. Si on sélectionne Mises à jour, une page
d'état détaillée apparaît avec toutes les mises à jour regroupées par vue de mise à
jour.

3 Ordinateurs : Conteneur présentant tous les ordinateurs et groupes


disponibles sur le serveur. Si on sélectionne Ordinateurs dans l'arborescence
Update Services, une page d'état détaillé de tous les groupes d'ordinateurs du
serveur WSUS apparaît.

4 Serveurs en aval : Liste des serveurs WSUS en aval qui se


synchronisent sur le serveur sélectionné.

5 Résultats de la synchronisation : Historique des résultats de


synchronisation et point central de gestion des synchronisations.

6 Rapports : Emplacement central de création des rapports d'état WSUS


relatifs aux mises à jour et aux ordinateurs.

7 Options : Emplacement central de configuration des paramètres WSUS.

49
• Volet Résultats (dans le cadre ) : fournit des informations d'état sur l'élément
sélectionné dans l'arborescence Update Services. Si on clique sur le nœud principale
de l'arborescence, les serveurs WSUS sont présentés dans le volet Résultats.

• Volet Actions (dans le cadre ): contient les actions qui s'appliquent à la


sélection effectuée dans l'arborescence Update Services, telles que Rechercher ou
Aide, ainsi que les actions liées à la catégorie.

4. Configuration des postes clients WSUS 3.0

i. Dans un environnement sans contrôleur de domaine

Si vous ne possédez pas de domaine Active Directory, il est possible de configurer les
clients via la base de registre avec toutes les options disponibles dans les stratégies de
groupes mais la configuration des machines sera très contraignante.
Voici les différentes entrées de la base de registre pour la configuration des clients:

Nœud de configuration général:


HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate

Entrée Description
Valeur possible: 0 ou 1
0: Seuls les administrateurs peuvent refuser ou accepter
ElevateNonAdmins les mises à jour
1: Tout le monde peut refuser ou accepter les mises à
jour
Permet de spécifier le groupe de mise à jour auquel
TargetGroup
l'ordinateur appartient (ciblage coté client)
Valeur possible: 0 ou 1
TargetGroupEnabled 0: Désactiver la fonctionnalité de ciblage coté client
1: Activer la fonctionnalité de ciblage coté client
Permet de spécifier l'emplacement du serveur WSUS
WUServer (exemple: http://PIGS003/). Doit être identique à
l'entrée WUStatusServer

50
Permet de spécifier l'emplacement du serveur WSUS
WUStatusServer (exemple: http:// PIGS003/ Doit être identique à
l'entrée WUServer

Nœud de configuration pour les mises à jour automatique:


HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\
AU
Entrée Description
AUOptions Valeur Possible: 2,3,4 ou 5
Configuration du fonctionnement de la mise à
jour automatique (Notification, téléchargement,
planification, interaction avec les stratégies
locales)
2: Notification avant téléchargement et
notification avant installation des mises à jour
3: Téléchargement automatique des mises à jour
et notification avant installation des mises à jour
4: l'installation des mises à jour est automatique
et planifié en fonction des valeurs DWORD
ScheduledInstallDay et ScheduledInstallTime
5: la planification des mises à jour est configuré
mais l'utilisateur final peut le configurer
AutoInstallMinorUpdates Valeur possible: 0 ou 1
0: N'installe pas automatiquement les mises à
jours mineurs qui ne nécessitent pas de
redémarrage de l'ordinateur ou de service
1: Installe automatiquement les mises à jours
mineurs qui ne nécessite pas de redémarrage de
l'ordinateur ou de service
DetectionFrequency Valeur possible: de 1 à 22
Durée en heure entre chaque vérification de mise
à jour (de -20% à 0%) sur le serveur WSUS
DetectionFrequencyEnabled Valeur possible: 0 ou 1
0: Utilise la valeur par défaut de la durée entre
chaque vérification de mise à jour (par défaut: 22
heures, donc vérification après une durée de
18h24 et 22h)
1: Utilise la valeur renseignée par la valeur
DWORD DetectionFrequency (toujours de -20%

51
à 0%) pour la durée entre chaque vérification de
mise à jour
NoAutoRebootWithLoggedOnUsers Valeur possible: 0 ou 1
0: l'ordinateur redémarre la machine dans les 5
minutes qui suivent la mise à jour de la machine
1: l'utilisateur a le choix de redémarrer ou non la
machine
NoAutoUpdate Valeur possible: 0 ou 1
0: Mise à jour automatique désactivée
1: Mise à jour automatique activée
RebootRelaunchTimeout Valeur possible: de 1 à 1440
Durée en minute entre chaque demande de
redémarrage à l'utilisateur de l'ordinateur
RebootRelaunchTimeoutEnabled Valeur possible: 0 ou 1
0: Le temps entre chaque demande de
redémarrage à l'utilisateur est celle par défaut (10
minutes)
1: Le temps entre chaque demande de
redémarrage à l'utilisateur est le même renseigné
par la valeur DWORD RebootRelaunchTimeout
RebootWarningTimeout Valeur possible: de 1 à 30
Durée en minutes du compteur avant redémarrage
de la machine pour les mises à jour planifiées ou
obligatoires
RebootWarningTimeoutEnabled Valeur possible: 0 ou 1
0: Le temps initial en minute du compteur avant
redémarrage pour les mises à jour planifiées ou
obligatoires est le même par défaut (5 minutes)
1: Le temps initial en minute du compteur avant
redémarrage pour les mises à jour planifiées ou
obligatoires est le même renseigné par la valeur
DWORD RebootRelaunchTimeout
RescheduleWaitTime Valeur possible: entre 1 et 60
Temps en minute pour l'attente depuis le
démarrage de la machine avant installation des
mises à jour planifiées échouées.
Cette politique ne s'applique pas aux mises à jour
qui ont une échéance spécifique. Si l'échéance
d'une mise à jour est dépassée alors celle-ci est
installée de suite.

52
RescheduleWaitTimeEnabled Valeur possible: 0 ou 1
0: Les mises à jour planifiées échouées seront
reportées lors de la prochaine planification
1: Les mises à jour planifiées ratées seront
installés après le laps de temps spécifié par la
valeur DWORD RebootRelaunchTimeout
ScheduledInstallDay Valeur possible: entre 0 et 7
0: Mise à jour planifié tous les jours
de 1 à 7: jour de la semaine de dimanche (1) à
samedi (7)
Cette option ne marche seulement que si l'entrée
AUOption est configurée à la valeur 4 c'est-à-dire
mises à jour planifiées automatiques
ScheduledInstallTime Valeur possible: entre 0 et 23
Heure de la journée pour les mises à jour planifié
Cette option ne marche seulement si l'entrée
AUOption est configurée à la valeur 4
UseWUServer Valeur possible: de 0 à 1
0: Utilise Windows Update
1: Utilise votre serveur WSUS

ii. Dans un environnement avec un contrôleur de domaine

Voici la méthode pour déployer la politique de déploiement des mises à jour sur le
réseau. Comme pré requis, il sera nécessaire d'avoir un domaine Active Directory.

a. Création de la stratégie de groupe

Avant d'entamer la création de GPO (Group Policy Object), pour la configuration de


la mise à jour automatique des clients, s’assurer d’être en possession du dernier
modèle d'administration Windows Update. Le fichier du modèle intégrant la gestion de
WSUS se nomme Wuau.adm et il est situé dans le dossier "%systemroot%\Inf". Il
est disponible dans le Service Pack 2 de Microsoft Windows XP.

Procédure pour importer le modèle d'administration Wuau.adm, si votre ordinateur


ne possède pas la dernière version:

53
• Dans l'éditeur de Stratégie de groupe, cliquer sur le nœud « Modèle
d'administration ».
• Dans le menu Action, cliquez sur « Ajout/Suppression de modèles... »
• Dans la fenêtre « Ajout/Suppression de modèle », cliquez sur « Ajouter... »
• Dans la fenêtre de « Sélection de modèle », sélectionnez "Wuau.adm" et
cliquez sur « Ouvrir... »
• Fermer la fenêtre « Ajout/Suppression de modèle ».

b. Spécifier au client un serveur WSUS

Dès lors que ce modèle stratégie de groupe sera importé, les ordinateurs clients
utiliseront le service WSUS disponible sur votre réseau pour la mise à jour
automatique.
Procédure pour activer l'utilisation de votre serveur WSUS par les ordinateurs clients
pour la mise à jour automatique:

• Dans l'éditeur de Stratégie de groupe, déployer les nœuds Configuration


Ordinateur —> Modèle d'administration —> Composants Windows —>
Windows Update.
• Dans le panel de droite, double cliquer sur la stratégie suivante: «Spécifier
l'emplacement intranet du service de Mise à jour Microsoft»
• Activez la stratégie dans la fenêtre Propriétés de la stratégie
• Renseignez l'adresse DNS du serveur qui héberge le service WSUS dans les
champs « Configurer le service intranet de Mise à jour pour la détection
des mises à jour » et « Configurer le serveur intranet de statistiques »
(Exemple: http://pigs003/), cliquer sur « Appliquer » puis sur OK.
• Activer la stratégie «Configuration des mises à jours automatiques» pour
activer le service de Mise à jour automatique des clients et spécifier une
politique (voir ci-dessous)
• Cliquer OK

Une fois cette stratégie de groupe enregistrée et liée à un domaine ou à une unité
d'organisation, les ordinateurs utiliseront le serveur WSUS pour mettre à jour le

54
système (après actualisation de la stratégie de groupe sur les clients) grâce à la
fonctionnalité de mise à jour automatique.

c. Spécifier des options de stratégie de groupe lié à


la Mise à jour automatique de Microsoft Windows

Grâce aux différentes options, vous pourrez changer l'interaction entre les clients, leur
machine et le serveur WSUS.
Vous trouverez ces options de stratégie de groupe dans le nœud « Configuration
Ordinateur\Modèle d'administration\Composants Windows\Windows Update »
Stratégie Description
Autoriser le ciblage coté client Vous pouvez créer des groupes dans la console
d’administration WSUS. L'objectif de cette stratégie
est de spécifier le nom de groupe que les ordinateurs
doivent utiliser pour télécharger les mises à jour.
Choix : Non configuré
Autoriser les non Cette stratégie va permettre d'autoriser les utilisateurs
administrateurs à recevoir les non administrateurs de recevoir les notifications de
notifications de mises à jour mises à jour. L'utilisateur pourra ou non confirmer
l'installation des mises à jour.
Choix : Non configuré
Autoriser l'installation Si la mise à jour ne nécessite pas de redémarrage de
immédiate des mises à jour Windows ou de services Windows alors, si la stratégie
automatique est active, l'installation des mises à jour s'effectue
automatiquement.
Choix : Activé
Configuration du service des Cette stratégie va permettre d'activer le service "Mise
mises à jours automatiques à jour automatique" et ensuite le fonctionnement de
celle-ci (Notification, téléchargement, planification)
Fonctionnement des mises à jour possible:
2: Notification avant téléchargement et notification
avant installation des mises à jour
3: Téléchargement automatique des mises à jour et

55
notification avant installation des mises à jour
4: L'installation des mises à jour est automatique et
planifié en fonction des valeurs ScheduledInstallDay
et ScheduledInstallTime
5: La planification des mises à jour est configuré mais
l'utilisateur final peut le configurer
Choix : Activé - 4 - Tous les jours- 10H00
Fréquence de détection des Elle permet de configurer la durée entre chaque
mises à jour automatiques vérification de mise à jour (de -20% à 0%) sur le
serveur WSUS (par défaut: 22 heures, donc
vérification après une durée de 18h24 et 22h)
Choix : Activé (22 Heures)
Ne pas afficher l'option Si cette stratégie est active, l'option d'installation des
'Installer les mises à jour et mises à jour avant extinction ne sera pas disponible
éteindre' aux utilisateurs.
Choix : Activé
Ne pas modifier l'option par Si cette stratégie est active, alors la fonction arrêt de la
défaut 'Installer les mises à jour machine par défaut sera celle avec l'installation des
et éteindre' mises à jour
Choix : Activé
Pas de redémarrage planifié des Ne permet pas à la fonction Mise à jour automatique
installations planifiés des mises de redémarrer la machine si celle-ci est planifiée. Seul
à jour automatiques l'utilisateur le fera manuellement
Choix : Activé
Redemander un redémarrage Permet de spécifier une demande de redémarrage
avec les installations planifiées après un laps de temps, si la précédente a été refusée
Choix : Non configuré
Replanifier les installations Si l'installation planifiée précédente a été manquée,
planifiées des mises à jour alors on renseigne le temps depuis le démarrage de la
automatiques machine avant une nouvelle planification.
Choix : Non configuré

56
Vous trouverez d'autres stratégies de groupe lié au service Windows Update dans le
nœud « Configuration utilisateur\Modèle d'administration\Composants
Windows\Windows Update ».
Stratégie Description
Supprimer l'accès à l'utilisation Permet de désactiver toutes les interactions avec
de toutes les fonctionnalités de Windows Update. Il est fortement conseillé de l'activer
Windows Update pour éviter de faire doublon avec le service WSUS
Choix : Non configuré
Ne pas afficher l'option Si cette option est active, alors l'option d'installation
'Installer les mises à jour et des mises à jour avant extinction ne sera pas disponible
éteindre' aux utilisateurs.
Choix : Activé
Ne pas modifier l'option par Si cette option est active, alors la fonction arrêt de la
défaut 'Installer les mises à jour machine par défaut sera celle avec l'installation des
et éteindre' mises à jours
Choix : Activé

5. Utilitaire en ligne de commande

i. Vérification du fonctionnement côté client

Microsoft fournit un outil pour tester le bon fonctionnement du client et de sa


configuration. Il permet de tester aussi la connexion avec le serveur WSUS.
Cet outil s'appelle "WSUS Client Diagnostic Tool".

Procédure : Copier le fichier « clientdiag.exe » précédemment téléchargé sur le site


de Microsoft et le copier sur l’ordinateur client et double-cliquer sur le fichier.

57
ii. Détection manuelle du serveur WSUS

Vous pouvez, en utilisant la ligne de commande suivante sur la machine cliente,


détecter le serveur WSUS manuellement et ainsi pouvoir administrer immédiatement le
client configuré à partir de la console WSUS sans attendre le délai de rafraîchissement
des stratégies.
Procédure pour détecter manuellement le serveur WSUS sur un ordinateur client:

• Cliquer sur « Démarrer » puis sur « Exécuter... »


• Taper dans le champ Ouvrir : "wuauclt.exe /detectnow"
• Cliquer sur OK
iii. Mise à zéro des informations clientes

WSUS utilise des cookies pour enregistrer un certain nombre d'informations, y


compris le groupe WSUS du client. Par défaut, le cookie est supprimé une heure après
sa création. Mais si dans ce laps de temps vous changer le groupe WSUS du client,
vous risquez d'avoir des comportements inattendus. Pour éviter tout souci, utilisez la
procédure suivante.

Procédure pour réinitialiser le cookie de l'ordinateur client:

58
• Cliquez sur Démarrer puis sur Exécuter...
• Tapez dans le champ Ouvrir: wuauclt.exe /resetauthorization /detectnow
• Cliquez sur OK

V. Sécurisation du serveur WSUS

Les points suivant traiteront des paramètres à activer pour la sécurisation du serveur
WSUS.

1. Stratégies d’audit

Les stratégies d’audit sont un mécanisme de configuration automatique permettant


d’inscrire dans les journaux d’événements les actions des utilisateurs que nous aurons
activées
Procédure : Lancer l’éditeur de stratégie de groupes. Dans le volet de gauche de la
fenêtre qui s’affiche, développer « Paramètres de sécurité » puis « Stratégies locales »
et cliquer sur « Stratégie d’audit » sous le nœud « Paramètres Windows » de
« Configuration Ordinateur ».. Les stratégies s’affichent dans le volet de droite.

Stratégie Paramètre de stratégie Explication


Auditer les événements Réussite, Echec La vérification des connexions
de connexion aux permet de déterminer les
comptes tentatives de forçage de mots de
passe
Auditer la gestion des Réussite, Echec Auditer chaque événement de
comptes gestion des comptes tel que le
renommage, l’activation ou
désactivation d’un compte
Auditer les événements Réussite, Echec Suivi d’ouverture et de fermeture
de connexion de session
Auditer les Réussite, Echec Suivi de modification des
modifications de stratégies d’affectation de droits
stratégie d’utilisateur, aux stratégies
d’audit ou aux stratégies

59
d’approbation.
Auditer l’utilisation des Réussite, Echec Audit chaque instance d’un
privilèges utilisateur exerçant un droit
d’utilisateur.
Auditer les événements Réussite, Echec Audit tout événement affectant la
système sécurité du système ou le journal
de sécurité.

2. Options de sécurité

Procédure : Lancer l’éditeur de stratégie de groupes. Dans le volet de gauche de la


fenêtre qui s’affiche, développer « Paramètres de sécurité » puis « Stratégies
locales » et cliquer sur « Options de sécurité » sous le nœud « Paramètres
Windows » de « Configuration Ordinateur ».. Les stratégies s’affichent dans le
volet de droite.

Stratégie Paramètre de stratégie Explication

Comptes : état de compte Activé Permet d’activer le compte


d’administrateur Administrateur, compte
nécessaire pour la gestion des
autres utilisateurs.
Comptes : restreindre Activé Désactive l’ouverture de sessions
l’utilisation de mots de à distance par des services
passe vierges par le réseaux tels que Telnet, FTP
compte local à avec des comptes sans mot de
l’ouverture de session passe
console
Audit : auditer l’accès des Activé Permet de voir l’utilisateur qui a
objets système globaux créé un objet système
Audit : arrêter Désactivé Permet de désactiver l’arrêt
immédiatement le immédiat du système lorsque
système s’il n’est pas celui-ci n’est pas capable
possible de se connecter d’inscrire des événements dans le

60
aux audits de sécurité journal de sécurité. Ce paramètre
de sécurité détermine si le
système s’arrête s’il n’est pas
capable de consigner des
événements de sécurité.
Ouverture de session Désactivé Permet d’empêcher les
interactive : ne pas programmes malveillants tels
demander la combinaison que les chevaux de Troie se
de touches faisant passer pour une
Ctrl+Alt+Suppr connexion Windows de se
connecter afin d’extraire les mots
de passe et autres informations

3. Journaux d’évènements

Configurer les paramètres de journal des événements pour aider à assurer un niveau
adéquat de suivi des activités

Procédure : Lancer l’éditeur de stratégie de groupes. Dans le volet de gauche de la


fenêtre qui s’affiche, développer « Paramètres de sécurité » puis cliquer sur
« Journal d’évènements » sous le nœud « Paramètres Windows » de
« Configuration Ordinateur ».
Stratégies Paramètre de stratégie Explication
Taille maximale du journal Définir la taille à Un grand journal des événements
de sécurité 100489 kilo-octets permet de stocker et de recherche
de problématiques et événements
suspects

Taille maximale du journal Définir la taille à Un grand journal des événements


des applications 100489 kilo-octets permet aux administrateurs de
stocker et de recherche de
problématiques et événements
suspects

61
Taille maximale du journal Définir la taille à Un grand journal des événements
système 100489 kilo-octets permet aux administrateurs de
stocker et de recherche de
problématiques et événements
suspects

Empêcher le groupe local Activé Empêcher le groupe local Invité


Invité d’accéder au journal d'accéder à des informations
de sécurité sensibles du journal de sécurité
Interdire au groupe local Activé Empêcher le groupe local Invité
Invité l’accès au journal d'accéder à des informations
des applications sensibles du journal des
applications
Empêcher le groupe local Activé Empêcher le groupe local Invité
Invité d’accéder au journal d'accéder à des informations
système sensibles du journal système

Durée de stockage du 7 jours Après une semaine, le journal


journal de sécurité devrait être stocké sur un serveur
centralisé journal.
Durée de stockage du 7 jours Après une semaine, le journal
journal des applications devrait être stocké sur un serveur
centralisé journal.
Durée de stockage du 7 jours Après une semaine, le journal
journal système devrait être stocké sur un serveur
centralisé journal.

4. Les services Système

Seuls les services nécessaires au serveur WSUS ont été démarrés. Dans le tableau sont
listés que les services démarrés automatiquement.

Services Description
Update Services Active le téléchargement à partir de Microsoft Updates

62
vers le serveur WSUS
Explorateur d’ordinateurs Tient à jour la liste des ordinateurs présents sur le réseau
Client DHCP Inscrit et met à jour les adresses IP et les enregistrements
DNS
Client DNS Résout et remet dans le cache les noms DNS
Journal des évènements Active les messages d’évènements émis par les
programmes fonctionnant sous Windows et les composants
devant être affichés dans l’observateur d’évènements
Service d’administration Active le serveur pour administrer les services FTP et Web
IIS
Service IPSEC Fournit une sécurité de part et d’autre des liaisons entre les
clients et les serveurs sur le réseau
Gestionnaire de disque Détecte et analyse de nouveaux lecteurs de disques durs et
logique envoie les informations de volume de disque au
gestionnaire administratif de disque logique pour la
configuration.
Ouverture de session Maintient un canal sécurisé entre ce serveur et les
réseau ordinateurs pour authentifier les utilisateurs et les services
Plug-and-Play Permet à l’ordinateur de reconnaître et d’adapter les
modifications matérielles avec peu ou pas l’intervention de
l’utilisateur
Appel de procédure Sert de mappeur de point de terminaison et de gestionnaire
distante (RPC) de contrôle de services. Nécessaire pour les
communications RPC.
Emplacement protégé Protège le stockage d’informations sensible, telles que les
clés privées et interdit l’accès aux services, aux processus
ou aux utilisateurs non autorisés
Gestionnaire de comptes Signale à d’autres services que le gestionnaire de comptes
de sécurité de sécurité (SAM) est prêt à accepter des demandes.
Serveur Prend en charge le partage de fichiers, d’impression et des
canaux nommés via le réseau
Notification d’évènement Surveille les évènements du système et en avertit les
système souscripteurs du système d’évènement COM+
Assistance TCP/IP Nécessaire pour les ordinateurs exécutant un système
NetBIOS d’exploitation antérieur à Microsoft Windows Server 2003
Horloge Windows Conserve la conservation de la date et de l’heure sur tous

63
les clients et les serveurs du réseau
Station de travail Crée et maintien des connexions de réseau client à des
serveurs distants

64
5. Durcissement TCP/IP

Microsoft recommande le durcissement de TCP/IP pour les serveurs WSUS. Le


durcissement se fait par le renforcement de la pile TCP/IP en modifiant certaines clés
de la base des registres

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect
Valeur de la clé Description
REG_DWORD = 1 Cette valeur de Registre force le
protocole TCP à ajuster la
retransmission de SYN-ACKS

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxPortsExhaust
ed
Valeur de la clé Description
REG_DWORD = 1 Aide à la protection contre les SYN-
ACKS

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen
Valeur de la clé Description
REG_DWORD = 500 Aide à la protection contre les SYN-
ACKS

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpenRet
ried
Valeur de la clé Description
REG_DWORD = 400 Aide à la protection contre les SYN-
ACKS

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\
EnableICMPredirect
Valeur de la clé Description
REG_DWORD = 0 Protège la machine d’une attaque via le
protocole ICMP

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\
EnableDeadGWDetect
Valeur de la clé Description
REG_DWORD = 0 Empêche la redirection forcée vers une
passerelle non désirée

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\
DisableIPSourceRouting

65
Valeur de la clé Description
REG_DWORD = 1 Désactive le routage des paquets
transférés depuis la source

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\
IPEnableRouter
Valeur de la clé Description
REG_DWORD = 0 Désactive le suivi des paquets entre les
deux interfaces

6. Service IIS

La configuration des paramètres suivants du serveur web IIS pour nous aider à
sécuriser le serveur WSUS.

i. Personnaliser les messages d’erreur

Par défaut IIS envoie des messages d’erreurs détaillés aux clients. Il est recommandé
d’envoyer des messages moins détaillés ce qui pourrait empêcher un utilisateur non
autorisé d’avoir accès au serveur par l’exploitation des messages d’erreurs.

Procédure :

1. Dans le menu « Démarrer » pointer sur « Programmes » puis sur « Outils


d’administration » et ensuite cliquer sur « Gestionnaire des services
Internet ».

2. Dans la fenêtre qui s’affiche, dérouler le nœud « Ordinateur local »

3. Faire un clic droit sur le nœud « Sites web » ensuite cliquer sur « Propriétés »

4. Sur l’onglet « Répertoire de base », cliquer sur « Configuration »

5. Sur l'onglet « Débogage », dans la zone « Indicateurs de débogage », cocher


la case « Activer le débogage de script ASP coté client », puis sous la zone
« Messages d’erreurs pour les erreurs de script » cliquer sur « Envoyer le
message d’erreur suivant au client » et vérifier que le texte suivant est inscrit

66
dans la zone de texte prévue "Une erreur s'est produite sur le serveur lors du
traitement de l'URL. Contactez l'administrateur système."

ii. Ajouter des informations à afficher dans le journal de IIS

Par défaut, IIS affiche dans son journal un certain nombre d’options. Il est
recommandé d’ajouter des options supplémentaires

Procédure :

1. Dans le menu « Démarrer » pointer sur « Programmes » puis sur Outils


d’administration et ensuite cliquer sur « Gestionnaire des services Internet ».

2. Dans la fenêtre qui s’affiche, dérouler le nœud « Ordinateur local »

3. Faire un clic droit sur le nœud « Sites web » ensuite cliquer sur « Propriétés »

4. Sur l’onglet « Avancés » de « Propriétés de journalisation », cocher les


options suivantes dans la zone « Option de journalisation étendue »

• Nom du serveur

• Durée

• Hôte

• Cookie

• Référant (Point d’accès)

iii. Supprimer les entêtes http

Par défaut, IIS active l’envoi des entêtes http au navigateur du client. Il est
recommandé de supprimer tout entête http existant.

Procédure :

67
1. Dans le menu « Démarrer » pointer sur « Programmes » puis sur « Outils
d’administration » et ensuite cliquer sur « Gestionnaire des services
Internet ».

2. Dans la fenêtre qui s’affiche, dérouler le nœud « Ordinateur local »

3. Faire un clic droit sur le nœud « Sites web » ensuite cliquer sur « Propriétés »

4. Sur l’onglet « Entêtes HTTP », dans la zone « Entêtes personnalisés »


sélectionner « X-Powered-By: ASP.NET » puis cliquer sur le bouton
« Supprimer »

68
CONCLUSION

Au terme de notre étude, nous pouvons dire que la sécurité en


informatique est un facteur très important qu’il ne faut pas négliger.
Et tout système d’information informatisé non sécurisé s’expose à bon nombre
problèmes comme les failles, le dysfonctionnement des applications et
programmes…

C’est pour cette raison que Microsoft a mis en œuvre des technologies
permettant de gérer des ordinateurs pour la mise à jour des ses différentes
produits.

Dans notre exposé, nous avons énuméré toutes les technologies possibles.
Cependant notre choix s’est porté sur Microsoft Windows Server Update
Services (WSUS) pas parce qu’il est mieux que les autres mais mieux adapté à
notre environnement d’étude (infrastructure réseau).

Aussi nous allons préciser que WSUS 3.0 n’a jamais été un antivirus
mais une solution de gestion centralisée de mises à jour de produits Microsoft
dans le but de permettre une homogénéité des postes et des serveurs en terme de
configuration et de niveau de sécurité.

69
GLOSSAIRE

Active Directory : Nom du service d'annuaire de Microsoft apparu dans le système


d'exploitation Microsoft Windows Server 2000. Il permet de représenter et de stocker
les éléments constitutifs du réseau (les ressources informatiques mais également les
utilisateurs) sous formes d'objets, c'est-à-dire un ensemble d'attributs représentant un
élément concret.

Audit : Evaluation des risques des activités informatiques, dans le but d'apporter une
diminution de ceux-ci et d'améliorer la maîtrise des systèmes d'information.

Base de registre : Base de données utilisée par le système d'exploitation Windows.


Elle contient les données de configuration du système d'exploitation et des autres
logiciels installés. Microsoft utilise aujourd'hui plutôt le terme Registre Windows pour
parler de cette base de données.

BITS : Background Intelligent Transfer Service en français service de transfert


intelligent en arrière-plan, est un composant des systèmes d'exploitation Microsoft
Windows (Vista et Windows 2003). Il permet le transfert de fichiers asynchrones
utilisant la bande passante lorsqu'elle est inoccupée.

Contrôleur de domaine : Serveur sur lequel est installé Active Directory et qui
s’occupe de l’authentification des utilisateurs dans un domaine.

Cookie : Fichier stocké sur l’ordinateur client permettant d’identifier le parcours d’un
utilisateur sur un site web.

Débogage : Correction d'un programme, d’un logiciel, ou d’une application suite à


une anomalie de fonctionnement.

70
DHCP : Dynamic Host Configuration Protocol terme anglais désignant un protocole
réseau dont le rôle est d'assurer la configuration automatique des paramètres IP d'une
station, notamment en lui assignant automatiquement une adresse IP et un masque de
sous-réseau.

DNS : Domain Name System en français système de noms de domaine, est un système
permettant d'établir une correspondance entre une adresse IP et un nom de domaine et,
plus généralement, de trouver une information à partir d'un nom de domaine.

Domaine : Unité de base de la structure d’Active Directory. C’est un ensemble


d’ordinateurs et d’utilisateurs qui partagent une même base de données d’annuaire. Un
domaine a un nom unique sur le réseau.

HTTP : HyperText Transfer Protocol en français protocole de transfert hypertexte, est


un protocole de communication client-serveur développé pour le World Wide Web.

GPO : Group Policy Object, stratégies de groupe en français sont des fonctions de
gestion centralisée de la famille Windows. Elles permettent la gestion des ordinateurs
et des utilisateurs dans un environnement Active Directory.

ICMP : Internet Control Message Protocol est un protocole qui permet de gérer les
informations relatives aux erreurs des machines connectées. Etant donné le peu de
contrôles que le protocole IP réalise, il permet non pas de corriger ces erreurs mais de
faire part de ces erreurs aux protocoles des couches voisines. Ainsi, le protocole ICMP
est utilisé par tous les routeurs, qui l'utilisent pour signaler une erreur (appelé Delivery
Problem).

IIS : Internet Information Services est le logiciel serveur Web de la plateforme


Windows NT.

MMC : Microsoft Management Console est une composante du système


d'exploitation Windows qui fournit aux administrateurs de système et aux utilisateurs

71
avancés une interface flexible à travers laquelle ils peuvent configurer leur système et
en surveiller le fonctionnement

MSDE :) Microsoft Data Engine, Microsoft Desktop Engine ou Microsoft SQL Server
Desktop Engine est une édition limitée mais gratuite de Microsoft SQL Server.

NTFS : Système de fichiers conçu pour Windows NT (et ses successeurs chez
Microsoft) pour stocker des données sur disque dur. Il s’inspire d’HPFS, le système de
fichiers conçu pour OS/2. Le sigle NTFS désigne en anglais NT File System
(littéralement système de fichiers de la génération NT). Ce système est arrivé avec la
première version de Windows NT, en 1993.

SAM : Security Account Manager en français gestionnaire des comptes de sécurité,


est la base de données des comptes locaux sur Windows Server 2003, Windows XP,
Windows 2000. C'est l'un des composants de la base de registre. Elle contient les mots
de passe locaux.

Service Pack : Paquet de services en français, diminutif SP est un ensemble de mises


à jour, corrections et/ou améliorations de logiciels livré sous forme d'un seul package
installable en une seule opération. De nombreux éditeurs tels que Microsoft publient
un service pack quand le nombre de correctifs individuels devient trop important.

Stratégie : Configuration logicielle du système par rapport aux utilisateurs.

Paquet : Unité de transmission utilisée pour communiquer. Afin de transmettre un


message d'une machine à une autre sur un réseau, celui-ci est découpé en plusieurs
paquets transmis séparément.

Pare feu : Elément du réseau informatique, logiciel et/ou matériel, qui a pour fonction
de faire respecter la politique de sécurité du réseau, celle-ci définissant quels sont les
types de communication autorisés ou interdits.

72
Port : Point d'entrée à un service sur un équipement (pc, serveur,...) connecté à un
réseau. C’est aussi composant du réseau TCP/IP qui permet de diviser les types de
communication que l'on veut avoir entre les ordinateurs.

Protocole : Méthode standard qui permet la communication entre des processus


(s'exécutant éventuellement sur différentes machines), c'est-à-dire un ensemble de
règles et de procédures à respecter pour émettre et recevoir des données sur un réseau.

Relation d’approbation : Configuration qui permet à un utilisateur ou à un ordinateur


d’un domaine donné d’accéder aux ressources de son domaine mais aussi d’autres
domaines.

Routage désigne le mécanisme par lequel les données d'un équipement expéditeur
sont acheminées jusqu'à leur destinataire en examinant les informations situées au
niveau 3 du modèle OSI (IP par exemple), même si aucun des deux ne connaît le
chemin complet que les données devront suivre.

RPC : Remote Procedure Call est un protocole permettant de faire des appels de
procédures sur un ordinateur distant à l'aide d'un serveur d'application. Ce protocole
est utilisé dans le modèle client-serveur et permet de gérer les différents messages
entre ces entités.

TCP/IP : Transmission Control Protocol/Internet Protocol est une suite de protocoles.


Il provient des noms des deux protocoles majeurs de la suite de protocoles, c'est-à-dire
les protocoles TCP et IP. TCP/IP représente d'une certaine façon l'ensemble des règles
de communication sur Internet et se base sur la notion adressage IP, c'est-à-dire le fait
de fournir une adresse IP à chaque machine du réseau afin de pouvoir acheminer des
paquets de données.

73
Script : Liste de commandes écrites dans un langage destinée à être interprétée pour
effectuer une certaine tâche.

Serveur proxy : traduction française de «proxy server», appelé aussi «serveur


mandataire» est à l'origine une machine faisant fonction d'intermédiaire entre les
ordinateurs d'un réseau local (utilisant parfois des protocoles autres que le protocole
TCP/IP) et Internet.

URL : Uniform Resource Locator littéralement « localisateur uniforme de ressource »,


est une chaîne de caractères (codé en ASCII, donc utilisant l'alphabet anglais, ce qui
signifie aucun accent comme « é » ou « î ») utilisée pour adresser les ressources du
World Wide Web : document HTML, image, son, forum Usenet, boîte aux lettres
électroniques, etc

74
BIBLIOGRAPHIE
OUVRAGES

 Préparation aux certifications MSCA et MCSE


Examen N° 70-291
Eni Editions

 Essentiel Windows Server 2003


Administrer et gérer un environnement Microsoft Windows Server 2003
Auteur : Yann ALET, Brahim NEDJIMI et Loïc THOBOIS
Examen 70-290

 Essentiel Windows Server 2003


Planification, implémentation et maintenance d’une infrastructure Active Directory
Microsoft Windows Server 2003
Auteur : Brahim NEDJIMI, Mathieu MARTINEAU et Loïc THOBOIS
Examen 70-294.

 Step by step to getting Started With Microsoft Windows Server Update


Services
Auteur: Tim Elhajj
Edition: Sean Bentley

SITES WEB

 www.supinfo.com
 www.microsoft.com
 www.laboratoire-microsoft.org
 www.google.fr
 www.ybet.be

75