Vous êtes sur la page 1sur 29

Windows Server Update Services (WSUS) est la seconde génération de logiciel serveur pour le

déploiement des mises à jour, proposée par Microsoft pour remplacer Software Update Services
(SUS). La liste des options a été étoffée et le déploiement des serveurs a été grandement
simplifié mais WSUS a toujours pour but de limiter l'utilisation de la bande passante vers
Internet et de s'assurer que vos systèmes Windows (Windows 2000, XP et 2003) possèdent les
dernières mises à jour installées sur votre parc informatique.

Le fonctionnement de base de WSUS est simple. Il télécharge les mises à jour depuis les
serveurs Windows Update et il déploie les mises à jour téléchargées sur les machines de votre
réseau. Mais pour le bon fonctionnement de celui-ci, il est nécessaire de connaître toutes les
fonctionnalités de WSUS.

Alors, nous tâcherons de comprendre comment installer votre serveur WSUS, et nous
expliquerons comment le configurer. Ensuite, nous verrons comment utiliser les groupes pour
déployer les mises à jour. Après cela, nous aborderons comment éditer des rapports et
comment surveiller votre serveur WSUS. Enfin, nous apprendrons comment sécuriser votre
serveur WSUS.

1. Comment préparer l'installation de WSUS


1.1. Configuration minimale:

 Recommandation Microsoft pour 500 clients ou moins

Minimum Recommandé:

CPU 750 MHz 1 GHz

RAM 512 MB 1 GB

Base de donnée WMSDE/MSDE WMSDE/MSDE

Disque dur 32 GB 32 GB

 Recommandation Microsoft pour 500 à 15,000 clients

Minimum Recommandé:

CPU 1 GHz 3 GHz biprocesseur

RAM 1 GB 1 GB

SQL Server 2000 avec Service


Base de donnée SQL Server 2000 avec SP3a
Pack 3a
Disque dur 32 GB 32 GB

1.2. Type de déploiement

 WSUS simple:

o Méthode la plus simple: un serveur derrière votre pare feu qui se met à jour directement sur les
serveurs de Microsoft Update
o Les mises à jour sont déployées par le biais du client de mises à jour automatique: il faut leur
renseigner l'adresse du site web sur lequel il pourra récupérer les correctifs
o Création d'un site web par défaut ou alors sur un site personnalisé (port 8530)

 WSUS chaînés:

o Deux catégories de serveur: les serveurs amont et aval, un serveur aval se met à jour sur un
serveur amont
o Un serveur amont ne doit jamais se synchroniser sur un serveur aval, cela créerai une boucle
fermée qui n'est pas supportée par le protocole de communication entre les serveurs.
o Une authentification peut être demandée, dans un environnement Active Directory, sur le
serveur amont sur la base d'une liste définie de serveurs avals.
o Microsoft recommande de ne pas dépasser un enchaînement de plus de trois serveurs avals
bien qu'en théorie aucune limite ne soit imposée par le protocole de communication entre les
serveurs. Par contre, aucun test supérieur à un enchaînement de plus de cinq serveurs n'a été
réalisé par Microsoft.

 Réseau déconnecter d'Internet:


o Si un segment de votre réseau n'est pas connecté à Internet, pour quelle que raison que ce soit,
vous pouvez exporter le contenu de votre base de mises à jour, sur un media physique, afin de
les importer sur le serveur WSUS isolé.
o Cette solution peut aussi être envisageable pour les entreprises ayant des liaisons coûteuse ou
une bande passante faible vers Internet

1.3. Détails des options lors de l'installation d'un serveur WSUS

Au début de l'installation, vous pouvez choisir


le répertoire d'installation des mises à jour
WSUS.

Vérifiez que la case Stocker les mises à jour


localement soit cochée si vous n'avez pas de
serveur SQL 2000, ou bientôt, SQL Server
2005. Notez aussi que le répertoire par défaut
est C:\WSUS\
La Base de donnée de WSUS:

À ce moment de l'installation, vous pouvez


choisir la base de donnée qui correspond le
mieux à vos besoins: WMSDE, MSDE ou un
autre serveur de base de donnée (SQL Server
2000 SP3 minimum).

o Microsoft Windows SQL Server 2000


Desktop Engine (WMSDE): uniquement
disponible pour Windows 2003 server, pas
d'interface graphique, l'utilisateur ne peut
que l'utiliser pour les besoins de WSUS
o Microsoft SQL Server 2000 Desktop Engine
(MSDE): installez MSDE si vous souhaitez
installer WSUS sur un serveur Windows
2000, il est identique à WMSDE mais sans
les limitations pour la taille de la base ou le
nombre de connexion. Son téléchargement
est disponible sur le site de Microsoft.
o Microsoft SQL Server 2000: (le service pack
3a est obligatoire). C'est le serveur de base
de donnée le plus complet proposé par
Microsoft. Si vous choisissez d'utiliser ce
serveur de base de données avec WSUS, les
paramètres de configuration peuvent être
personnalisés (nested triggers, recursive
triggers...)

Sélection du site WEB:

Si sous avez déjà installé IIS pour un autre


service Web, l'assistant d'installation vous
donne le choix pour le site de WSUS:

o le site par défaut port 80


o ou alors la création d'un site Microsoft
Windows Server Update Service accessible
par le port 8530: ce numéro de port n'est
pas paramétrable.

Notez ici les adresses utiles pour accéder à


votre site Web WSUS:

o http://Nom_Serveur/WSUSAdmin :
l'adresse d'accès à la console
d'administration de votre serveur WSUS,
depuis votre navigateur Web (Microsoft IE
6 voir bientôt 7... ;).
o http://Nom_Serveur : utilisé pour l'accès
depuis les clients BITS (Windows 2000, XP,
2003)
Paramètre de mise à jour sur un serveur
miroir

2 cas sont possibles:

o Téléchargement depuis le site Web


Microsoft Update
o Installation d'un serveur aval depuis un
serveur amont WSUS.

La page suivante récapitule et informe sur les


sites utiles: Site Web d'administration:
http://votreServeur/wsusadmin et Site Web de
mise à jour automatique du client
http://votreServeur/selfupdate

Le programme d'installation lance l'installation


des services (ASP .net v1.1, WMSDE puis
WSUS). Cliquez sur le bouton Terminer et
commencez à découvrir l'interface en cliquant
sur les différents menus (les icônes en haut à
droite) ...
À noter:

Dès le début, une tâche vous demande de mettre


en place des communications Secure Socket
Layer (SSL)

1.4. Migration d'un serveur SUS vers un serveur WSUS

WSUS est une deuxième génération de serveur de mise à jour pour les infrastructures ayant des
plateformes Microsoft Windows (2000, XP, 2003). Par contre, vous ne pouvez pas mettre à jour
directement un serveur SUS avec l'assistant d'installation mais Microsoft fournit un support en
anglais téléchargeable sur son site Web. La démarche à suivre décrite est la suivante:

1.4.1. Les Pré requis logiciels:

 Sur Windows Server 2003:

o Microsoft Internet Information Service (IIS) 6.0


o Background Intelligent Transfer Service (BITS) 2.0
o Microsoft .NET Framework 1.1 Service Pack 1 pour Windows Server 2003, téléchargeable ici.

 Sur Windows 2000 serveur:

o Microsoft Internet Information Service (IIS) 5.0


o Background Intelligent Transfer Service (BITS) 2.0
o Une base de donnée 100% compatible avec Microsoft SQL; comme MSDE 2000, téléchargeable
cliquez ici pour le télécharger.
o Microsoft .NET Framework Version 1.1 Redistributable Package ici.
o Microsoft .NET Framework 1.1 Service Pack 1 pour Windows Server 2003, cliquez ici pour le
télécharger.

1.4.2. Installation de MSDE 2000 (Windows 2000 Serveur uniquement)

Si vous n'avez pas d'accès aux licences des produits Microsoft SQL Server, Microsoft propose
aux entreprises Microsoft SQL Server 2000 Desktop Engine (MSDE), un produit gratuit mis en
téléchargement pour les personnes souhaitant avoir un serveur Microsoft gratuit 100%
compatible avec Microsoft SQL. Toutes les options de configuration sont désactivées!

L'installation de ce service passe par quatre étapes:

o Téléchargez et décompressez l'archive MSDE


o Installez MSDE
o Vérifiez que l'instance de la base de donnée est active
o Mettre à jour la sécurité de MSDE

1.4.3. Installation de WSUS

Suivez le pas à pas d'installation par défaut, puis sur la page Option de base de donnée, faite
l'un des choix suivants:

o Sur un serveur Windows 2003 serveur, sélectionnez l'option Installer SQL Desktop Engine
(Windows) sur ce serveur.
o Si vous faite l'installation du serveur WSUS sur un serveur Windows 2000 serveur, sélectionnez
l'option Utiliser un serveur de base de donnée existant sur ce serveur. Ensuite, choisissez dans
la liste déroulante le nom de l'instance qui correspond, et cliquez sur suivant.

Pour la suite de l'installation, sur la page Sélection du Site Web, choisissez l'option Créer un
site Web Microsoft Windows Server Update Services, La console WSUS utilisera un site
différent et le port 8530. En effet, vous devez spécifier cette option car le site de SUS est, quand
à lui, toujours actifs sur le site par défaut. En ce qui concerne les étapes suivantes, référez vous
au pas à pas.

Une fois l'installation terminée, vous devrez configurer WSUS afin que le serveur ait la même
configuration que celle de votre serveur SUS: les langues des téléchargements et autres options
que vous avez configurez. Avant de passer à la prochaine étape, vous devrez synchroniser le
serveur. Pour plus de détails sur la configuration et la synchronisation de WSUS, je vous invite
à vous reporter au chapitre suivant.

1.4.4. Migration du contenu du serveur SUS vers le serveur WSUS

Pour cela, nous allons utiliser l'outil wsusutil.exe que le programme d'installation a installé lors
de l'étape précédente, pour cela:

o Ajoutez le chemin C:\Program Files\WSUS\Update Services\Tools dans votre variable


d'environnement PATH
o Cliquez sur le bouton Démarrer puis sur Exécuter
o Alors dans la boite de dialogue Exécuter, tapez wsusutil.exe migratesus /content
c:\sus\content\cabs /approvals NomServeurSUS /log NomFichier.log

Il vous sera ensuite nécessaire de configurer les approbations sur les mises à jour que vous venez
de migrer en fonction des groupes. Nous développerons ce sujet dans la suite de notre article.
1.4.5. Enlever les fonctions de SUS et activer WSUS vers le port 80.

Pour supprimer le site Web de SUS:

o Cliquez sur le bouton Démarrer puis sur Exécuter


o Alors dans la boite de dialogue Exécuter, tapez inetmgr puis OK
o Dans la console d'administration de IIS, cliquez avec le bouton droit sur le site Web de SUS et
cliquez sur Arrêter

Pour migrer le site Web de WSUS sur le port 80:

o Cliquez sur le bouton Démarrer puis sur Exécuter


o Alors dans la boite de dialogue Exécuter, tapez inetmgr puis OK
o Dans la console d'administration de IIS, cliquez avec le bouton droit sur le site Web de WSUS et
cliquez sur Propriétés
o Dans la boite dialogue qui s'ouvre, changer la valeur du champ TCP de 8350 pour celle de 80

Afin de parfaire cette migration de votre serveur SUS en serveur WSUS, vous devrez changer le
raccourci vers la console Web de configuration de WSUS dans le menu démarrer en effet, le port
ayant changé, le raccourcit ne pointe pas vers le bon site Web.

2. Configuration de la synchronisation et de l'approbation


2.1. Configuration du Service: Site Web d'administration
2.1.1. Option de synchronisation

 Planification

Après la première synchronisation, vous vous rendrez compte que les synchronisations
manuelles vous obligent à faire une maintenance régulière de votre serveur, en demandant les
synchronisations de votre propre chef. C'est pourquoi WSUS vous donne la possibilité de réaliser
vos synchronisations automatiquement, tous les jours, à une heure que vous pouvez définir en
fonction de la disponibilité de votre connexion à Internet (plutôt le soir pour ne pas encombrer
votre bande passante inutilement, par exemple :).

La planification est une étape incontournable de la configuration de base de votre serveur


WSUS.

 Produit et classification:

Si vous avez déjà mis en place un serveur SUS, vous avez du vous rendre compte que vous étiez
obligé de télécharger les mises à jour de l'ensemble de la famille Windows même si votre
entreprise ne comprenait que des postes de travail sous Windows XP. De plus, il vous était
impossible de déployer les mises à jour pour Microsoft Office ou alors celles de Microsoft
Exchange Server...
C'est pourquoi Microsoft a revu son serveur de mises à jour interne pour les entreprises, afin de
permettre aux administrateurs de celles-ci de sélectionner les produits pour lesquels ils
souhaitent télécharger les mises à jour. Avant la première synchronisation, la liste des mises à
jour est simplement composée des mises à jour des plateformes Windows (2000, XP, 2003
Server). Suite à la première synchronisation, la liste des produits est étoffée (Exchange, SQL,
Office...).

En outre, WSUS vous donne la possibilité de sélectionner le type de mise à jour (Feature Pack,
Mise à jour critique, Mise à jour de la sécurité, Mise à jour, Outils, Pilotes, Service Pack). Ainsi,
vous avez la possibilité de réduire la taille de la base de donnée de mises à jour, si vous pensez
ne pas avoir besoin des mises à jour de vos pilotes matériels...

 Serveur Proxy
Si vous utilisez un serveur Proxy entre votre serveur WSUS et sa source de mises à jour
(Windows Update ou un serveur WSUS amont), comme ISA Server par exemple, vous aurez
besoin de configurer les paramètres de serveur Proxy sur votre serveur WSUS. Vous devrez
indiquez le nom du serveur, le port que vous utilisez ainsi que les informations d'identification de
l'utilisateur que vous utiliserez pour vous connectez au Proxy, si nécessaire.

En outre, si vous utilisez un pare-feu entre votre réseau local et Internet, vous devrez rajouter les
règles suivantes. Autrement, la synchronisation vers les serveurs de Windows Update sera
difficile.

o Autoriser le trafic sur le port 80 et 443 entre votre serveur WSUS et Internet. Ces ports sont
utilisés par WSUS pour se mettre à jour sur les serveurs de Windows Update.
o Si la politique de votre entreprise ne vous permet pas de laisser tout le trafic sur ces ports car le
risque serait trop grand, vous devrez alors le restreindre à ces sites:
 http://windowsupdate.microsoft.com
 http://*.windowsupdate.microsoft.com
 https://*.windowsupdate.microsoft.com
 http://*.update.microsoft.com
 https://*.update.microsoft.com
 http://*.windowsupdate.com
 http://download.windowsupdate.com
 http://download.microsoft.com
 http://*.download.windowsupdate.com
 http://wustat.windows.com
 http://ntservicepack.microsoft.com

 Source de la mise à jour

Lors de l'installation, vous avez dû indiquer votre source de mise à jour. Mais, si pour une raison
ou pour une autre vous avez besoin de changer cette source de mise à jour (par exemple: serveur
en amont qui serait tombé ou alors l'installation d'un nouveau serveur en amont...), il est possible
à tout moment de modifier les informations que vous avez spécifiées lors de l'installation.
 Fichiers et langue des mises à jour

Dans la section Fichiers et Langue des mises à jour, vous pouvez choisir de stocker les fichiers
de mise à jour localement sur le serveur. Mais aussi, vous serez à même de choisir la façon dont
vous allez télécharger les mises à jour. Deux options s'offrent à vous: télécharger les mises à jour
après les avoir approuvées ou alors télécharger les fichiers d'installation rapide. En général, les
mises à jour consiste en de nouvelles versions de fichier qui existe déjà. Si vous avez choisi
l'option Télécharger les fichiers d'installation rapide, alors votre serveur WSUS va
simplement télécharger les différences entre le fichier d'origine et le patch associé (au niveau
binaire). Cela vous permettra de limiter la consommation de bande passante sur votre réseau
local (mais aux dépens de votre connexion à Internet). Ce choix peux se justifier si vous avez
choisi de planifier vos synchronisation à des heures où personnes n'est présent dans vos locaux
(la nuit, par exemple), ou alors si vous avez besoin de faire de l'exportation de votre base de
donnée...
En outre, WSUS ne vous obligera pas de télécharger les mises à jour pour l'ensemble des langues
disponibles. En effet, une entreprise française a un parc informatique composé essentiellement
de machines équipées de systèmes d'exploitation en français et n'a nulle besoin de télécharger les
mises à jour en coréen ou en hébreu. Ainsi, WSUS vous permet de Télécharger que les mises à
jour correspondant à vos paramètres régionaux, ou alors Télécharger les mises à jour dans
toutes les langues, y compris les nouvelles. En fonction de la diversité linguistique de votre
parc informatique, vous pouvez déterminer les langues que vous souhaitez télécharger afin de
répondre au mieux à vos besoins en choisissant vos langues (Anglais, Français... ), si vous avez
coché l'option Télécharger uniquement les mises à jour dans des langues sélectionnées.

2.1.2. Option d'approbation automatique

 Mises à jour

Lors de la synchronisation, le serveur WSUS va télécharger la liste des mises à jour disponible.
Ses mises à jour ont deux caractéristiques : Approuver la détection et Approuver
l'installation. L'approbation de la détection permet de spécifier au serveur WSUS, que telle ou
telles mises à jour doivent être présentes sur tel ou tels groupes. Pour cela, vous pouvez spécifier
les types de mises à jour que vous voulez automatiquement approuver pour le ou les groupes
d'ordinateurs que vous pouvez spécifier. Par défaut, les mises à jour critique et de sécurité sont
approuvées automatiquement pour tous les ordinateurs.

Ensuite, vous devrez approuver leur installation. En effet, sinon, votre serveur WSUS ne
téléchargera pas les mises à jours et ne pourra donc pas les déployer! Veillez donc à côcher la
case "Approuver automatiquement les mise à jour à installer d'après la règle suivante".
Ainsi, toutes les mises à jour critiques et de sécurité seront approuvées et téléchargées (donc
déployées) vers toutes les machines de votre réseau. Si vous n'avez pas coché cette case avant de
faire votre première synchronisation, vous devrez alors lancer manuellement le téléchargement
de toutes les mises à jour que vous avez approuvées.

De plus vous avez le choix d'ajouter des Classifications ou de modifier la liste des Groupes
d'ordinateurs, vous êtes libre d'adapter les approbations automatiques en fonction de la
politique de sécurité de votre entreprise (vous pouvez par exemple y ajouter les services packs et
exclure le groupe de vos serveurs...)

 Révision des mises à jours

Cette option permet de configurer votre serveur WSUS pour que les révisions des mises à jour:

o Soit approuvé automatiquement


o Soit approuvé manuellement et donc continuer à utiliser la version précédente de la mise à jour.

Par défaut, la règle est d'Approuvé automatiquement la dernière révision de la mise à jour
car ces mises à jours sont généralement publiées suite à des failles qui se sont révélées après
leurs sorties. Il est préférable de conserver cette option par défaut mais si votre politique de
sécurité est contre cette solution, sachez que vous pouvez modifier cette option en choisissant de
Continuer à utiliser la révision précédente et approuver manuellement la nouvelle révision
de la mise à jour.

 Mise à jour de Windows Server Update Service

Le serveur WSUS peut lui même être soumis à des mises à jour. Par défaut celle-ci sont
approuvée et Microsoft vous conseille de garder cette option par défaut afin que toutes les
futures mises à jour soient correctement détectées par les ordinateurs clientes de ses services.

2.2. Synchronisation: téléchargement et installation des mises à jour

Le serveur WSUS utilise le port 80 et le port 443 pour obtenir les mises à jour depuis le site de
Microsoft par contre, on ne peux pas le configurer. Si vous avez un pare-feu entre votre réseau et
Internet, souvenez vous qu'il faut y placer des règles pour laisser passer le trafic sur le port 80
(HTTP) et/ou 443 (HTTPS).

Par contre, vous pouvez toujours configurer vos autres serveurs WSUS pour qu'ils se
synchronisent sur le premier que vous avez configuré. Vous pourrez alors profiter de la bande
passante de votre réseau local. Selon les options que vous avez choisies lors de l'installation, les
ports 80 ou 8530 seront sollicités pour la connexion chaînée de vos serveurs WSUS. Prenez
garde à utiliser les adresses du type http://NomServeur:8350/..., si vous avez choisi d'utiliser ce
port.

Dans le cas où vous synchronisez votre serveur WSUS depuis un serveur depuis un autre serveur
WSUS de votre réseau, seules les mises à jour et les métadonnées seront partagées (ni les
informations sur les groupes de machines, ni les informations sur les approbations des mises à
jour le seront)
À partir du menu Mises à jour, vous pouvez gérer l'ensemble des correctifs mis à disposition par
Microsoft. C'est ici que vous serez capable de gérer les approbations de chaque mise à jour,
individuellement. Trois états d'approbation peuvent être associés à une mise à jour: Installer,
Détecter uniquement ou alors Non approuvée. De plus vous pouvez Refuser les mises à jour,
ce qui entraînera un effacement de la base de données des événements signalés par les
ordinateurs concernés par cette mise à jour.

Dans la partie Vue à gauche, vous avez un petit moteur de recherche qui vous permettra de
trouver les mises à jour en fonction de quatre critères que vous pouvez définir (Produit et
classification, Approbation, Synchronisé, Contenant le texte). Ainsi vous pourrez avoir des
Détails sur les mises à jours que vous avez recherchées (une description et des détails
d'information, l'État de déploiement sur vos groupes d'ordinateurs...) et un rapport peut être
imprimer si vous cliquez sur Imprimer le rapport d'état..

2.3. Exporter, importer des mises à jour

Il y a trois étapes à remplir pour pouvoir exporter et importer des mises à jour. Premièrement
vous devez vous assurez que les options de synchronisation avancée concorde entre le serveur
WSUS source et celui de destination (le téléchargement des fichiers d'installation rapide est alors
indispensable). Ensuite, copiez les mises à jour depuis le système de fichier du serveur source
vers le système de fichier du serveur de destination. Enfin, exporter les métadonnées des mises à
jour depuis la base de données sur le serveur source pour les importer sur la base de données du
serveur de destination.

2.3.1. Vérifier les options de synchronisation avancées

Afin de remplir la première étape, vérifiez la configuration de vos options avancée, pour cela:
o En premier lieu, ouvrez la console WSUS du serveur d'export ( http://votreServeur/wsusadmin ),
cliquez sur l'onglet Options puis sur la section Options de Synchronisation. Ensuite, cliquez sur
avancée dans la section Fichiers et langue des mises à jour.
o Alors dans la boite de dialogue Paramètre de Synchronisation Avancée, côchez la case
télécharger les fichiers d'installation rapide et vérifier la configuration de la partie Langues.
o En second lieu, ouvrez la console WSUS du serveur d'import ( http://votreServeur/wsusadmin ),
cliquez sur l'onglet Option puis sur la section Option de Synchronisation et cliquez sur avancée
dans la section fichiers et langue des mises à jour.
o Dans la boite de dialogue Paramètre de Synchronisation Avancée, vérifier que les
configuration concorde.

2.3.2. La migration des mises à jour

La deuxième étape consistera donc en la migration proprement dites des fichiers de


téléchargement rapide. La méthode à suivre est alors la suivante:

À noter: la configuration de base des Access Control List ne sont pas le même sur Windows
Serveur 2000 et Windows 2003 Server. Si nous copions des données d'un serveur sous Windows
2000 vers un serveur sous Windows Server 2003, il faut ajouter manuellement le groupe
SERVICE RÉSEAU de façon à ce que le groupe puisse accéder au dossier ou seront stocker les
données.

 Pour exporter les fichiers depuis le système de fichier du serveur d'export:

o Cliquez sur le bouton Démarrer puis sur Exécuter


o Alors dans la boite de dialogue Exécuter, tapez ntbackup. L'assistant de sauvegarde ou de
Restauration se lance par défaut, s'il n'a pas été désactivé. Vous pouvez soit utiliser cet assistant
ou alors travailler en mode avancé (ce que nous allons faire).
o Cliquez sur l'onglet Sauvegarde, puis sélectionnez le dossier où sont stockés les fichier que vous
souhaitez exporter. Par défaut, ceux-ci sont situés sur
lecteurd'installationWSUS:\WSUS\WSUSContent\.
o Dans la partie Nom de fichier ou lecteur de sauvegarde, tapez le chemin puis le nom de votre
fichier de sauvegarde (.bkt) ou utilisez le bouton Parcourir.
o Cliquez alors sur le bouton Démarrer et une boite de dialogue Informations sur la sauvegarde
s'ouvre.
o Cliquez sur Avancé puis dans la partie Type de sauvegarde choisissez Incrémentiel.
o Dans la boite de dialogue Informations sur la sauvegarde cliquez sur Démarrer la sauvegarde
pour commencer le processus de sauvegarde.
o Une fois la sauvegarde terminée, déplacez le fichier que vous venez de créer vers le serveur sur
lequel vous souhaitez importer les mises à jour.

 Pour restaurer les fichiers de mises à jour vers le serveur d'import:

o Cliquez sur le bouton Démarrer puis sur Exécuter


o Alors dans la boite de dialogue Exécuter, tapez ntbackup. L'assistant de sauvegarde ou de
Restauration se lance par défaut, s'il n'a pas été désactivé. Vous pouvez soit utiliser cet assistant
ou alors travailler en mode avancé.
o Cliquez sur l'onglet Restaurer et gérer le média, sélectionner alors le fichier de sauvegarde que
vous avez créer sur le serveur d'export. Si le fichier n'apparaît pas, faite un clic droit sur fichier
puis cliquez sur fichier catalogue pour ajouter le chemin vers le fichier.
o Dans Remplacer les fichiers vers, choisissez Autre emplacement. Alors, spécifier le répertoire
vers lequel vous voulez restaurer les fichiers (lecteurd'installationWSUS:\WSUS\WSUSContent\)
o Cliquez alors sur Démarrer. Quand la boite de dialogue Confirmation de restauration apparaît,
cliquez sur OK pour commencer la restauration.
2.3.3. L'exportation et l'importation des métadonnées

L'étape finale consiste à migrer les fichiers métadonnées vers le serveur d'import. Durant
l'installation de WSUS, le programme a copié l'utilitaire WSUSutil.exe, par défaut dans le
dossier C:\Program Files\Update Services\Tools. Vous devez être membre du groupe
administrateur local sur le serveur WSUS pour exporter ou importer des fichiers métadonnées.
Ces deux opérations doivent ce faire sur le serveur WSUS directement. Par contre, n'importer
jamais des fichiers métadonnées depuis un serveur que vous n'approuvez pas car la sécurité de
votre serveur WSUS est en jeu.

 Pour exporter des mises à jour depuis la base de donnée du serveur d'export:

o Ajouter le répertoire le chemin C:\Programme Files\WSUS\Update Services\Tools dans votre


variable d'environnement PATH, si ce n'est pas déjà fait.
o Cliquez sur le bouton Démarrer puis sur Exécuter
o Alors dans la boite de dialogue Exécuter, tapez wsusutil.exe export package.cab fichier.log
o Déplacer ainsi les fichiers que vous venez de créer et qui se situe dans le répertoire
C:\Documents and Setting\%USERNAME%\ sur le serveur qui est prêt à recevoir les fichier de
mise à jour

 Pour importer les fichier métadonnées vers la base de donnée du serveur d'import:

o Ajouter le répertoire le chemin C:\Programme Files\WSUS\Update Services\Tools dans votre


variable d'environnement PATH
o Cliquez sur le bouton Démarrer puis sur Exécuter
o Alors dans la boite de dialogue Exécuter, tapez wsusutil.exe export package.cab fichier.log

Enfin, l'export/import des mises à jour est réalisé avec brio. Si vous respectez la manipulation à
la règles, vous pourrez résoudre les problème lié au téléchargement des fichiers de mise à jour
sur un serveur isolé de votre réseau, n'ayant pas de connexion à Internet ou ayant une bande
passante faible et utilisée

3. Gestion des machines clientes


3.1. Configuration des mises à jours automatiques des clients
3.1.1. Avec des Stratégie De Groupe (GPO)

Voici la méthode pour déployer la politique de déploiement des mises à jour sur votre réseau.
Comme pré requis, il sera nécessaire d'avoir un domaine Active Directory.

3.1.1.1. Configuration de l'ordinateur qui configure les stratégies de groupe

Avant d'entamer la création de GPO (Group Policy Object), pour la configuration de la mise à
jour automatique des clients, vous devez vous assurer que vous possédez le dernier modèle
d'administration Windows Update. Le fichier du modèle intégrant la gestion de WSUS se
nomme Wuau.adm et il est situé dans le dossier %systemroot%\Inf. Il est disponible dans le
Service Pack 2 de Microsoft Windows XP.

Procédure pour importer le modèle d'administration Wuau.adm, si votre ordinateur ne possède


pas la dernière version:

 Dans l'éditeur de Stratégie de groupe, cliquez sur le nœud Modèle d'administration.


 Dans le menu Action, cliquez sur Ajout/Suppression de modèles...
 Dans la fenêtre "Ajout/Suppression de modèle", cliquez sur Ajouter...
 Dans la fenêtre de "Sélection de modèle", sélectionnez Wuau.adm et cliquez sur Ouvrir...
 Fermer la fenêtre "Ajout/Suppression de modèle".

3.1.1.2. Spécifier au client un serveur WSUS

Dès lors que ce modèle stratégie de groupe sera importé, les ordinateurs clients utiliseront le
service WSUS disponible sur votre réseau pour la mise à jour automatique mais les utilisateurs
pourront toujours mettre à jour manuellement leur ordinateur via Microsoft Windows Update.
Pour empêcher les utilisateurs d'utiliser Microsoft Windows Update, il faudra activer une autre
stratégie de groupe (voir chapitre 3.1.1.3, stratégie Supprimer l'accès à l'utilisation de toute
les fonctionnalités de Windows Update)

Procédure pour activer l'utilisation de votre serveur WSUS par les ordinateur clients pour la
mise à jour automatique:

 Dans l'éditeur de Stratégie de groupe, déployez les nœuds Configuration ordinateur, Modèle
d'administration, Composants Windows, Windows Update.
 Dans le panel de droite, modifiez la stratégie suivante: "Spécifier l'emplacement intranet du
service de Mise à jour Microsoft"
 Activez la stratégie dans la fenêtre Propriétés de la stratégie
 Renseignez l'adresse DNS du serveur qui héberge le service WSUS dans les champs "Configurer
le service intranet de Mise à jour pour la détection des mises à jour" et "Configurer le serveur
intranet de statistiques" (Exemple: http://wsus.supinfo.lan/ ou http://wsus.supinfo.lan:8350/)
 Activez la stratégie Configuration des mises à jours automatiques pour activer le service de
Mise à jour automatique des clients et spécifier une politique (voir ci-dessous)
 Cliquez OK

Une fois cette stratégie de groupe enregistrée et liée à un domaine ou à une unité d'organisation,
les ordinateurs utiliseront le serveur WSUS pour mettre à jour le système (après actualisation de
la stratégie de groupe sur les clients) grâce à la fonctionnalité de mise à jour automatique.

3.1.1.3. Spécifier des options de stratégie de groupe lié à la Mise à jour automatique de
Microsoft Windows

Grâce aux différentes options, vous pourrez changer l'interaction entre les clients, leur machine
et le serveur WSUS.

Vous trouverez ces options de stratégie de groupe dans le nœud Configuration


ordinateur\Modèle d'administration\Composants Windows\Windows Update

Stratégie Description

Autoriser le ciblage coté client Vous pouvez créer des groupes dans WSUS. L'objectif de cette
stratégie est de spécifier le nom de groupe que les ordinateurs
doivent utiliser pour télécharger les mises à jour.

Autoriser les non-administrateurs à Cette stratégie va permettre d'autoriser les utilisateurs non-
recevoir les notifications de mises à administrateurs de recevoir les notifications de mises à jour.
jours L'utilisateur pourra ou non confirmer l'installation des mises à
jour.

Autoriser l'installation immédiate Si la mise à jour ne nécessite pas de redémarrage de Windows ou


des mises à jour automatique de services Windows alors, si la stratégie est active, l'installation
des mises à jour s'effectue de suite.

Configuration des mises à jours Cette stratégie va permettre d'activer le service "Mise à jour
automatiques automatique" et ensuite le fonctionnement de celle-ci
(Notification, téléchargement, planification, interaction avec les
stratégies locales)
Fonctionnement des mises à jour possible:
2: Notification avant téléchargement et notification avant
installation des mises à jour
3: Téléchargement automatique des mises à jour et notification
avant installation des mises à jour
4: L'installation des mises à jour est automatique et planifié en
fonction des valeurs ScheduledInstallDay et ScheduledInstallTime
5: La planification des mises à jour est configuré mais l'utilisateur
final peut le configurer

Délai de redémarrage pour les Cette stratégie permet de renseigner la durée entre la fin de
installations planifiées l'installation de mise à jour et le redémarrage de la machine. (par
défaut 5 minutes)

Fréquence de détection des mises à Elle permet de configurer la durée entre chaque vérification de
jour automatiques mise à jour (de -20% à 0%) sur le serveur WSUS (par défaut: 22
heures, donc vérification après une durée de 18h24 et 22h)

Ne pas afficher l'option 'Installer les Si cette stratégie est active, l'option d'installation des mises à jour
mises à jour et éteindre' avant extinction ne sera pas disponible aux utilisateurs.

Ne pas modifier l'option par défaut Si cette stratégie est active, alors la fonction arrêt de la machine
'Installer les mises à jour et éteindre' par défaut sera celle avec l'installation des mises à jour

Pas de redémarrage planifié des Ne permet pas à la fonction Mise à jour automatique de
installations planifiés des mises à redémarrer la machine si celle-ci est planifiée. Seul l'utilisateur le
jour automatiques fera manuellement

Redemander un redémarrage avec Permet de spécifier une demande de redémarrage après un laps
les installations planifiées de temps, si la précédente a été refusée

Replanifier les installations Si l'installation planifiée précédente a été manquée, alors on


planifiées des mises à jours renseigne le temps depuis le démarrage de la machine avant une
automatiques nouvelle planification.

Vous trouverez d'autres stratégies de groupe lié au service Windows Update dans le nœud
Configuration utilisateur\Modèle d'administration\Composants Windows\Windows
Update.

Stratégie Description

Supprimer l'accès à l'utilisation de Permet de désactiver toutes les interactions avec Windows
toutes les fonctionnalités de Update. Il est fortement conseillé de l'activer pour éviter de faire
Windows Update doublon avec le service WSUS
Ne pas afficher l'option 'Installer les Si cette option est actif, alors l'option d'installation des mises à
mises à jour et éteindre' jour avant extinction ne sera pas disponible aux utilisateurs.

Ne pas modifier l'option par défaut Si cette option est actif, alors la fonction arrêt de la machine par
'Installer les mises à jour et éteindre' défaut sera celle avec l'installation des mises à jours

3.1.2. Dans un environnement sans A/D

Si vous ne possédez pas de domaine Active Directory, il est possible de configurer les clients via
la base de registre avec toutes les options disponibles dans les stratégies de groupes mais la
configuration des machines sera très contraignante.

Voici les différentes entrées de la base de registre pour la configuration des clients:

Nœud de configuration général:


HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate

Entrée Description

Valeur possible: 0 ou 1
0: Seuls les administrateurs peuvent refuser ou accepter les mises à
ElevateNonAdmins
jour
1: Tout le monde peut refuser ou accepter les mises à jour

Permet de spécifier le groupe de mise à jour auquel l'ordinateur


TargetGroup
appartient (ciblage coté client)

Valeur possible: 0 ou 1
TargetGroupEnabled 0: Désactiver la fonctionnalité de ciblage coté client
1: Activer la fonctionnalité de ciblage coté client

Permet de spécifier l'emplacement du serveur WSUS (exemple:


WUServer http://wsus.supinfo.lan/ ou http://wsus.supinfo.lan:8350/). Doit
être identique à l'entrée WUStatusServer

Permet de spécifier l'emplacement du serveur WSUS (exemple:


WUStatusServer http://wsus.supinfo.lan/ ou http://wsus.supinfo.lan:8350/). Doit
être identique à l'entrée WUServer

Nœud de configuration pour les mises à jour automatique:


HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU

Entrée Description

AUOptions Valeur Possible: 2,3,4 ou 5


Configuration du fonctionnement de la Mise à jour automatique
(Notification, téléchargement, planification, interaction avec les
stratégies locales)
2: Notification avant téléchargement et notification avant
installation des mises à jour
3: Téléchargement automatique des mises à jour et notification
avant installation des mises à jour
4: l'installation des mises à jour est automatique et planifié en
fonction des valeurs DWORD ScheduledInstallDay et
ScheduledInstallTime
5: la planification des mises à jour est configuré mais l'utilisateur
final peut le configurer

AutoInstallMinorUpdates Valeur possible: 0 ou 1


0: N'installe pas de suite les mises à jours mineurs qui ne nécessite
pas de redémarrage de l'ordinateur ou de service
1: Installe de suite les mises à jours mineurs qui ne nécessite pas de
redémarrage de l'ordinateur ou de service

DetectionFrequency Valeur possible: de 1 à 22


Durée en heure entre chaque vérification de mise à jour (de -20% à
0%) sur le serveur WSUS

DetectionFrequencyEnabled Valeur possible: 0 ou 1


0: Utilise la valeur par défaut de la durée entre chaque vérification
de mise à jour (par défaut: 22 heures, donc vérification après une
durée de 18h24 et 22h)
1: Utilise la valeur renseigné par la valeur DWORD
DetectionFrequency (toujours de -20% à 0%) pour la durée entre
chaque vérification de mise à jour

NoAutoRebootWithLoggedOnUsers Valeur possible: 0 ou 1


0: l'ordinateur redémarre la machine dans les 5 minutes qui suivent
la mise à jour de la machine
1: l'utilisateur a le choix de redémarrer ou non la machine

NoAutoUpdate Valeur possible: 0 ou 1


0: Mise à jour automatique désactivé
1: Mise à jour automatique activé

RebootRelaunchTimeout Valeur possible: de 1 à 1440


Durée en minute entre chaque demande de redémarrage à
l'utilisateur de l'ordinateur

RebootRelaunchTimeoutEnabled Valeur possible: 0 ou 1


0: Le temps entre chaque demande de redémarrage à l'utilisateur
est celle par défaut (10 minutes)
1: Le temps entre chaque demande de redémarrage à l'utilisateur
est celle renseigne par la valeur DWORD RebootRelaunchTimeout

RebootWarningTimeout Valeur possible: de 1 à 30


Durée en minutes du compteur avant redémarrage de la machine
pour les mises à jour planifiées ou obligatoires
RebootWarningTimeoutEnabled Valeur possible: 0 ou 1
0: Le temps initial en minute du compteur avant redémarrage pour
les mises à jour planifiées ou obligatoires est celle par défaut (5
minutes)
1: Le temps initial en minute du compteur avant redémarrage pour
les mises à jour planifiées ou obligatoires est celle renseigné par la
valeur DWORD RebootRelaunchTimeout

RescheduleWaitTime Valeur possible: entre 1 et 60


Temps en minute pour l'attente depuis le démarrage de la machine
avant installation des mises à jour planifié raté.
Cette politique ne s'applique pas aux mises à jour qui ont une
échéance spécifique. Si l'échéance d'une mise à jour est dépassé
alors celle-ci est installé de suite.

RescheduleWaitTimeEnabled Valeur possible: 0 ou 1


0: Les mises à jour planifiées ratées seront reportés lors de
prochaine planification
1: Les mises à jour planifiées ratées seront installés après le laps de
temps spécifié par la valeur DWORD RebootRelaunchTimeout

ScheduledInstallDay Valeur possible: entre 0 et 7


0: Mise à jour planifié tous les jours
de 1 à 7: jour de la semaine de dimanche (1) à samedi (7)
Cette option ne marche seulement si l'entrée AUOption est
configurée à la valeur 4

ScheduledInstallTime Valeur possible: entre 0 et 23


Heure de la journée pour les mises à jour planifié
Cette option ne marche seulement si l'entrée AUOption est
configurée à la valeur 4

UseWUServer Valeur possible: de 0 à 1


0: Utilise Windows Update
1: Utilise votre serveur WSUS

3.2. Utilitaire en ligne de commande


3.2.1. Vérification du fonctionnement côté client

Microsoft fournit un outil pour tester le bon fonctionnement du client et de sa configuration. Il


permet de tester aussi la connexion avec le serveur WSUS.
Cet outil s'appelle "WSUS Client Diagnostic Tool". Vous pouvez le télécharger à l'adresse
suivante: cliquez ici
Il suffira juste de l'exécuter pour voir les différents processus testés et fonctionnels.

3.2.2. Détection manuel du serveur WSUS

Vous pouvez, en utilisant la ligne de commande suivante sur la machine cliente, détecter le
serveur WSUS manuellement et ainsi pouvoir administrer la machine très rapidement sur la
console WSUS (choix d'un groupe, etc...)

Procédure pour détecter manuellement le serveur WSUS sur un ordinateur client:

 Cliquez sur Démarrer puis sur Exécuter...


 Tapez dans le champ Ouvrir: wuauclt.exe /detectnow
 Cliquez sur OK

3.2.3. Mise à zéro des informations clientes

WSUS utilise des cookies pour enregistrer un certain nombre d'information, y compris le groupe
WSUS du client. Par défaut, le cookie est supprimé une heure après sa création. Mais si dans ce
laps de temps vous changer le groupe WSUS du client, vous risquez d'avoir des comportements
inattendus. Pour éviter tout souci, utilisez la procédure suivante.

Procédure pour réinitialiser le cookie de l'ordinateur client:

 Cliquez sur Démarrer puis sur Exécuter...


 Tapez dans le champ Ouvrir: wuauclt.exe /resetauthorization /detectnow
 Cliquez sur OK

3.3. Groupe d'ordinateurs WSUS

3.3.1. Présentation
Par défaut, deux groupes sont présents All Computers et Unassigned Computers. Lorsque
vous ajoutez une machine à votre serveur WSUS, celle-ci est membre des deux groupes. Mais
vous pouvez aussi enlever votre machine du groupe Unassigned Computers, pour l'assigner à
un autre groupe que vous avez créé. Le groupe All Computers vous permettra, quant à lui, de
distribuer très facilement une mise à jour (ou plusieurs) à l'ensemble des ordinateurs que vous
gérez.

Un avantage des groupes est que vous pouvez réaliser des tests sur un groupe (ex:
test_winXP_office2003), qui contient des machines représentative d'un autre groupe (celui-ci
pour qui seront destinés les correctifs), afin de vérifier les nouvelles mises à jour. Si les résultats
sont concluant, vous pourrez déployer ces mises à jour sur un second groupe répondant aux
critères de votre groupe de test (ex: PC_winXP_office2003). De cette façon, vous pourrez
facilement gérer le déploiement de vos mises à jour en fonction des profils matériels et logiciels
des machines de votre réseau.

Le nombre de groupe n'est pas limité!

3.3.2. Mode d'affectation des ordinateurs

Vous avez la possibilité d'affecter les ordinateurs dans les groupes WSUS:

 soit automatiquement via la stratégie de groupe (stratégie Autoriser le ciblage coté client) ou via
les informations de registre (entrées: TargetGroup et TargetGroupEnabled).
 soit manuellement via la console WSUS

Dans les deux cas, il faudra manuellement crée les groupes WSUS via la console WSUS. Si vous
devez maitrisez un parc informatique conséquent, vous devez bien entendu utiliser l'affectation
de groupe automatique.

Procédure pour configurer l'affectation des ordinateurs:

 Dans la console WSUS, cliquez sur Options et sur Options des ordinateurs
 Dans la fenêtre Options des ordinateurs, choisissez l'une des options possibles:
o Utiliser la tâche Déplacer les ordinateurs dans Windows Server Update Services si vous
souhaitez créer les groupes et assigner les ordinateurs via la console WSUS
o Utiliser la stratégie du groupe ou les paramètres des Registres des ordinateurs si vous
souhaitez créer les groupes via WSUS et assigner les ordinateurs via les stratégies de
groupe ou les informations de registre des ordinateurs clients
 Sous Tâches, cliquez sur Enregistrer les paramètres et confirmer les modifications

3.3.3. Création des groupes

En mode automatique ou manuel pour l'affectation des ordinateurs, vous devez créer les groupes.

Procédure pour la création des groupes dans la console WSUS:

 Dans la console WSUS, cliquez sur Ordinateurs


 Sous Tâches, cliquez sur Créer un groupe d'ordinateurs
 Cliquez sur OK

3.3.4 Affectation des ordinateurs (affectation manuelle)

Si vous avez choisi l'affectation des ordinateurs manuelle, vous devrez pour chaque ordinateur de
votre réseau lui désigner un groupe créé précédemment

Procédure pour affecter un ordinateur à un groupe WSUS manuellement:

 Dans la console WSUS, cliquez sur Ordinateurs


 Sous Groupes, sélectionnez le groupe où se trouve l'ordinateur que vous souhaitez déplacer
 Dans la liste des ordinateurs, sélectionnez l'ordinateur que vous souhaitez déplacer
 Sous Tâches, cliquez sur Déplacer l'ordinateur sélectionné
 Dans la liste des groupes, sélectionnez le groupe destinataire
 Cliquez sur OK

5. Sécurisez un serveur WSUS


5.1. Renforcer la sécurité de votre serveur Windows Server 2003 exécutant
WSUS

De façon à vous aider pour sécuriser votre serveur WSUS, Microsoft développe dans le White
Paper "Deploying Windows Serveur Update Service" (Appendix D) les points sur lesquels vous
devez porter votre attention:

 Activer des audits


 Appliquez les options de sécurité
 Configurer les journaux d'événement
 Lancer uniquement les services nécessaires
 Sécuriser les interfaces utilisant les protocoles TCP/IP sur vos serveurs WSUS
 Configurer la sécurité sur IIS 6 et SQL 2000 Serveur

Ces indications concernent uniquement les serveurs sous Windows 2003, utilisant un serveur
Microsoft SQL 2000. Certains paramètres doivent être en commun avec les serveurs WSUS
s'exécutant sur Windows 2000 Serveur mais rien n'est garanti. Nous n'allons pas ici nous étendre
sur les différentes parties concernant la sécurisation de votre serveur WSUS mais je recommande
vivement aux personnes ayant des impératifs de sécurité maximale de lire le WhitePaper (voir le
chapitre Ressources). Nous allons ci-dessous traiter les points les plus importants
5.2. Ajouter l'authentification entre les serveurs chaînés dans un
environnement Active Directory

Afin de sécuriser les communications entre les serveurs WSUS de votre infrastructure, vous avez
la possibilité d'exiger une authentification sur vos serveurs WSUS en amont. Par contre, tous vos
serveurs devront avoir un compte dans Active Directory pour permettre ce mécanisme. Alors, si
vous avez plusieurs domaines ou forêts dans votre entreprise, veillez à vérifier que des relations
d'approbation existent entre ceux-ci.

Le processus se fait en deux étapes:

 Création d'une liste de serveurs autorisés sur le serveur amont et l'ajouter à un fichier xml que
l'assistant à créer lors de l'installation de WSUS
 Dans IIS, désactiver l'accès anonyme vers le site de WSUS.

Ainsi, seuls les serveurs que vous spécifierez pourront télécharger les mises à jour depuis vos
serveurs WSUS en amont.

5.2.1. Création de la liste de serveurs

Le fichier à modifier est le suivant:


%ProgramFiles%\UpdateServices\WebServices\Serversyncwebservice\Web.config. Vous
devrez alors ajouter une balise <authorization> pour définir la liste des serveurs que vous
souhaitez autoriser pour le téléchargement des mises à jour. Cette balise doit se situer après les
balises <configuration> et <system.web> comme dans l'exemple suivant:

<configuration>
<system.web>
<authorization>
<allow users="DOMAINE\Nom_Ordinateur, DOMAINE\Nom_Ordinateur" />
<deny users="*" />
</authorization>
</system.web>
</configuration>

Comme vous pouvez le voir dans l'exemple, vous pouvez spécifier la listes des serveurs WSUS
en les identifiant comme suit, DOMAINE\Nom_Ordinateur, et en les séparant par des virgules
grâce à la balise <allow users=" DOMAINE1\Nom_OrdinateurA,
DOMAINE1\Nom_OrdinateurB, DOMAINE2\Nom_OrdinateurA..." />. De plus, vous avez aussi
la possibilité de déclarer explicitement une liste des serveurs non autorisés: dans l'exemple
présenté, * signifie que tous les serveurs non déclarés dans la balise au dessus n'ont pas le droit
de télécharger des données depuis ce serveur.

Par contre, veillez à vérifier l'ordre dans lequel vous placez les balises car le serveur exécutera la
première condition qu'il pourra vérifier.

5.2.2. Désactivation de l'accès anonyme dans IIS

La seconde étape consiste alors à configurer IIS pour désactiver les accès anonymes vers le
répertoire virtuel Serversyncwebservice et permettre l'authentification intégrée à Windows:

o Cliquez sur Tous les programmes dans le menu Démarrer, puis dans la partie Outils
d'administration, cliquez sur Gestionnaire des services Internet (IIS).
o Développer le nœud au nom de votre serveur WSUS puis faite de même avec le nœud Site Web
puis site WSUS.
o Faites un click droit sur ServerSyncWebService et cliquez ensuite sur propriété.
o Sur l'onglet Sécurité du répertoire, dans la partie Authentification et contrôle d'accès, cliquez
sur le bouton Modifier
o Dans la boite de dialogue qui vient de s'ouvrir, décochez la case Activer la connexion anonyme,
et sélectionnez la case Authentification Windows Intégrée
o Cliquez ensuite deux fois sur OK.

5.3. Sécurisé WSUS avec Secure Socket Layer

Vous pouvez sécuriser votre déploiement WSUS avec le protocole Secure Socket Layer (SSL).
Le SSL va permettre de crypter l'authentification entre les ordinateurs clients ou les serveurs en
aval et le serveur WSUS. Il sera aussi utilisé pour crypter les métadonnées (information sur la
configuration de l'ordinateur et signature des mises à jour) entre le ordinateurs client et le serveur
WSUS.

WSUS, pour éviter de saturer l'activer du serveur Web, transmet les mises à jour aux clients en
clair (protocole HTTP et non HTTPS). Mais il transmet au client avec les métadonnées une
information de hachage ainsi qu'une signature digitale pour chaque mise à jour via le cryptage
SSL (protocole HTTPS). Le client va vérifier si la signature et le hash correspond à la mise à
jour. Si elle ne correspond pas, il ne l'installe pas.

5.3.1. Les limites du SSL

Comme pour toute activité de cryptage, celle-ci induit une augmentation de charge de travail de
votre ordinateur qui héberge WSUS. En moyenne, l'impact sur votre ordinateur est de l'ordre de
10% de perte de performance.
De plus, si vous utilisez un serveur SQL à distance, le trafic entre le service WSUS et le service
SQL ne sera en aucun cas crypté par SSL.
Si vous souhaitez sécurisé les transactions SQL, voici quelques recommandations:

 Installer le service serveur SQL sur la même machine qui héberge la solution WSUS
 Installer les serveurs qui hébergent le service SQL et le service WSUS sur un réseau privé
 Déployer une stratégie de sécurité IP (IPSec) sur votre réseau

5.3.2. Configurer le SSL sur le serveur WSUS

Comme expliqué ci-dessus, tous les dossiers virtuels n'utilise pas le cryptage SSL. Ci-dessous, la
liste des dossiers virtuels où il faudra activer le cryptage SSL:

 SimpleAuthWebService
 DSSAuthWebService
 ServerSyncWebService
 WSUSAdmin
 ClientWebService

Et voici la liste des dossiers virtuels où il ne faudra pas activer le cryptage SSL:

 Content
 ReportingWebService
 SelfUpdate

La première étape est celle d'importer votre certificat pour le cryptage SSL dans le compte de
l'ordinateur dans la catégorie Autorité de certification racine de confiance
Ensuite, importer le certificat dans les propriétés du site web "Site Web par défaut". Puis pour
terminer, activer pour chaque dossier virtuel cité ci-dessus (seulement ceux de la première liste)
le cryptage SSL.
Dès lors pour accéder à la console WSUS, vous allez devoir ouvrir la console via le canal
sécurisé (HTTPS) à l'adresse suivante: https://NomdelamachineWSUS/WSUSAdmin/
Pour que les ordinateurs clients puissent accéder au serveur WSUS sécurisé, on va devoir
modifier la configuration de celle-ci.

5.3.3. Configurer le SSL sur les ordinateurs clients

Il y a deux étapes pour permettre le bon fonctionnement du service WSUS avec le cryptage SSL

1ere Étape:

Renseigné l'adresse du Serveur WSUS aux ordinateurs clients:

 soit par GPO (stratégie: "Spécifier l'emplacement intranet du service de Mise à jour Microsoft")
 soit par les informations de registre (valeur DWORD WUServer et WUStatusServer)

par l'adresse qui utilise le protocole HTTPS (Exemple: https://wsus.laboratoire-microsoft.lan/)

2eme Étape:

Importer le certificat du site web ou le certificat de l'autorité qui a délivré le certificat pour le site
web dans le groupe Autorité de certification racine de confiance sur les ordinateurs clients.
Deux méthodes pour le faire:

 soit par GPO (Importez le certificat dans le noeud Configuration ordinateur\Paramètre


Windows\Paramètres de sécurité\Stratégies de sécurité publique\Autorités de certification
racine de confiance) et déployer la GPO
 soit manuellement sur chaque machine client (Importez le certificat dans la Console Certificat,
Compte de l'ordinateur, Conteneur Autorités de certification racines de confiance)

5.3.4. Configurer le SSL pour les serveurs avals WSUS

Si vous utilisez un serveur WSUS en aval pour synchroniser votre serveur WSUS et que ce
serveur utilise aussi le cryptage SSL alors utilisé la procédure suivante pour activer le SSL lors
des transactions:

 Dans la barre d'outils de la console WSUS, cliquez sur Options


 Cliquez sur le lien Options de synchronisation
 Dans l'encart Source de la mise à jour, renseigné le champ Numéro de port par 443 (port par
défaut du protocole HTTPS) et coché la case Utilisez SSL pour la synchronisation des
informations de mise à jour

Conclusion
Notre article a pour but de vous familiariser avec le serveur WSUS afin de vous permettre de le
mettre en place dans votre réseau pour déployer les mises à jour sur les machines clientes
exécutant Microsoft Windows 2000, XP et 2003.

Ainsi, nous avons découvert Comment...

 Préparer le déploiement d'un serveur WSUS: réfléchir à la configuration du ou des serveurs sur
lequel vous souhaitez installer WSUS, à la disposition de vos serveurs dans votre entreprise, à
l'hébergement de la base de donnée.
 Configurer votre serveur WSUS: pour planifier les mises à jour, pour sélectionner les langues,
les produits et les types de mises à jours et effectuer l'approbation des mises à jour.
 Migrer d'un serveur SUS vers WSUS
 Exporter et Importer des mises à jour.
 Configurer les ordinateurs clients dans un environnement Active Directory ou alors dans des
groupes de travail
 Utiliser les groupes WSUS pour le déploiement des mises à jour
 Créer des rapports et surveiller votre serveur WSUS
 Sécuriser votre serveur WSUS

En fait, il est de votre intérêt et de celui de Microsoft, de mettre en place un serveur WSUS au
sein de votre réseau. De cette façon, il est possible d'économiser de la bande passante vers
Internet et il est plus facile de s'assurer du déploiement des mises à jour sur les machines de
votre parc.

WSUS est un produit gratuit et facile d'utilisation, mais Microsoft propose un autre produit
plus complet, System Management Server 2003 (SMS), qui s'oriente plus vers les grandes
entreprises souhaitant centraliser tous les déploiements sur un serveur: déploiement des
correctifs, de logiciels (avec des fichiers .msi ou .exe), l'installation via le réseau de Système
d'Exploitation... SMS reprend les fonctionnalités de WSUS mais va beaucoup plus loin dans ses
fonctions de gestion du parc informatique. Si vous souhaitez avoir de plus amples informations,
je vous conseille l'article de Thomas LIAUTARD et Nicolas MILBRAND: "Présentation et
implémentation de System Management Server 2003 (SMS 2003)".

Ressources
Télécharger ici le programme d'installation de WSUS

Télécharger ici le programme "WSUS Client Diagnostic Tool"

Télécharger ici le programme "WSUS Debug Tool "

Télécharger ici le White Paper Microsoft associé

Vous pourrez trouvez aussi de l'aide ici sur le site TechNet de Microsoft

Vous aimerez peut-être aussi