Vous êtes sur la page 1sur 45

Pport

D ET N E A I C I DS R O

Prpar Par:
AMINA TAOURIRI ;

Encadr Par:
Mme Marya AFQUIR

D E TO D SA I CI N E R

Les travaux prsents dans ce rapport on t effectus au sein de la Direction des assurances et de la prvoyance sociales (DAPS). Je tiens exprimer ma gratitude tous ceux qui mont prt main forte de prs ou de loin pour la ralisation de ce projet. Je remercie particulirement Mme Marya AFQUIR, chef du service informatique de la DAPS et mon encadrante, pour son assistance et son aide prcieuse quelle ma prodigue durant toute la priode de mon stage et qui a t parmi les principaux facteurs de lachvement de ce travail. Je remercie galement M. Mustapha LEBBAR Chef de la Division de lInspection de la DAPS. Mes remerciements les plus sincres M. Mohammed Ait Mansour pour sa disponibilit, son soutien et ses conseils tout au long du stage. Que tous ceux et celles qui ont contribu de prs ou de loin laccomplissement de ce travail trouvent lexpression de mes remerciements les plus chaleureux.

Merci.

D E T ND SA IR C IO E

:
Prsentation du lieu de stage . .5 I- Prsentation du Ministre de lEconomie et des Finances 5 1.1 Lhistorique du Ministre ..5 1.2 Organisation du Ministre ...........5 1.3 Organigramme du Ministre .6 II- Prsentation de lorganisme daccueil (DAPS) 7 2.1. Organisation de la DAPS et ses missions.. .8 2.2 Lorganigramme de la DAPS ..........9 2.3. Larchitecture rseau actuel de la DAPS 10 Windows serveur 200311 I- Installation de Windows 2003 Server..11 1- Copie des fichiers dinstallation .11 2- Validation des paramtres ............13 La mise en place dun serveur WSUS....18 I. Introduction : ....18 Quest ce que Windows Server update serveur ?......................................................18. Pourquoi matre jour son parc informatique ?.......................................................18 II. Positionnement : Positionnement de la solution Microsoft WSUS :19

Installation pas pas de WSUS : . 3.1 Prparation matrielle et systme du serveur Windows : Matriels et mdias :... Capacits recommandes : Complments logiciels ncessaires pour installation de WSUS :. Tailles de partitions :.. URL autorises :... 3.2 Installation de WSUS (Windows 2003) : 3.2.1. Pr requis : .. 3.2.2. Configuration dIIS : 3.2.3. Installation de BITS 2.0 : .. 3.2.4. Installation de Net Framework 1.1 SP1 : 3.2.5. Installation de Microsoft Report Viewer 2008 Redistributable.. 3.2.6. Installation de WSUS (avec WMSDE) : . 3.2.7. Option serveur standard : . III.

D E T ND S A IR C IO E

. IV. Configuration :..... Configuration du serveur :... Configuration dActive directory pour distribuer les mes jours aux ordinateur : Configuration de WSUS : Configuration de GPOS :. Configuration de WSUS : A. Options de synchronisation : . B. Options dApprobation : .. Utilisation de WSUS : . Etat de WSUS :.. Informations sur les mise jour :.. Rapports :.. Rapports des mises jour : apports des ordinateurs : V. 4

Dploiement : . Type de dploiement : WSUS simple :. WSUS chans : VI. Mise en scurit des serveurs WSUS : Installation par dfaut du serveur WSUS :.. Scurit du serveur hte de WSUS : Paramtres de scurit recommands : Scurit des communications:.. Ajout dune authentification AD pour les connexions entre serveur WSUS : .. Cration dune liste dauthentification :. Configuration dIIS :.. Communications scurises par SSL : Limitation de la solution SSL : Installation des certificats SSL :.. Certificats SSL et positionnement :.. VII. VIII. Conclusion : ........

D E T ND S A IR C IO E

Prsentation du lieu de stage :


I. Prsentation du Ministre de lEconomie et des Finances : 1.1. Lhistorique du Ministre : La cration en juillet 1912 de la Direction Gnrale des Finances a donn naissance au 1er budget marocain moderne (9 juin 1917) indispensable une saine gestion des finances de lEtat, ainsi que la mise en place des moyens dlaborer et de mise en uvre de la fiscalit. 5

En 1956, la Direction Gnrale des Finances est devenue un Ministre plac sous lautorit dun Ministre qui labore la politique financire, montaire, du crdit et des finances extrieures de lEtat. Il en assure et suit lexcution conformment aux lois et rglements en vigueur et sous rserve des comptences dvolues au Premier ministre en matire de coordination et de suivi de lexcution de la politique gouvernementale. 1.2. Organisation du Ministre: Le Ministre de lconomie et des finances regroupe 12 directions savoir : Inspection Gnrale des Finances (IGF) Administration des Douanes et Impts Indirects (ADII) Trsorerie Gnrale du Royaume (TGR) Direction Gnrale des Impts (DGI) Direction du Budget (DB) Direction du Trsor et des Finances Extrieures (DTFE) Direction des Entreprises Publiques et de la Privatisation (DEPP) Direction des Assurances et de la Prvoyance Sociale (DAPS) Direction des Domaines (DD) Direction des Affaires Administratives et Gnrales (DAAG) Direction des Etudes et des Prvisions Financires (DEPF) Agence Judiciaire du Royaume (AJR). Ces directions se divisent en deux catgories savoir :

D E T ND S A IR C IO E

Les directions rseau reprsentes par lADII, la TGR, la DD et la DGI ; Les directions centrales dpendent de la DAAG en terme de ressources logistiques. 1.3. Organigramme du Ministre:

D E T ND S A IR C IO E

II- Prsentation de lorganisme daccueil (DAPS) : La Direction des Assurances et de la Prvoyance Sociale est une administration qui fait partie du Ministre de lconomie et des finances. Elle est charge de la rglementation et du contrle de l'activit des organismes d'assurances, de la rassurance et de la capitalisation. 7

Elle surveille le placement des fonds recueillis par ces organismes et contrle leur gestion technique et financire, veille au respect des droits des assurs et bnficiaires de contrats d'assurances et participe l'laboration de la rglementation et au contrle des organismes de prvoyance sociale. 2.1 Organisation de la DAPS et ses missions :

La direction des assurances et de la prvoyance sociale est organise en 8 divisions : a- Division du contrle des intermdiaires dassurance : Qui a pour mission le contrle des intermdiaires dassurances (personnes physiques ou morales) qui sont chargs de commercialiser les produits dassurances. A son tour, elle est constitue de 3 services : service des agents dassurance, service des courtiers dassurance et service de la banque assurance. b- Division des assurances dommages : Elle effectue des tudes juridiques et techniques, rpond des demandes dhomologation de produits dassurances dommages, donne des autorisations pour le protecting club et linsertion de la clause cut through ainsi que des avis sur des textes juridiques ou des conventions internationales. Elle est constitue de 2 services : service des risques divers et service des assurances responsabilit civile et transport.

c- Division des rgimes de retraite : Effectue des tudes relatives aux diffrents rgimes de retraite. La division est constitue de 2 services : service des rgimes de base et service des rgimes particuliers et complmentaires.

D E T ND S A IR C IO E

d- Division du contrle des entreprises dassurances : contrle les entreprises dassurances qui sont soit sur pices ou sur place. La division est constitue de 3 services : Service des socits toutes branches, service des mutuelles dassurances et des socits couvrant des risques spciaux et service des restructurations et des liquidations. 8

e- Division de la rassurance : Sa mission consiste superviser les oprations de rassurance effectues par les compagnies dassurance auprs des compagnies de rassurance locales ou trangres. La division est constitue de 2 services : service des oprations de rassurance et service des comptes de rassurance. f- Division des assurances de personnes : Elle traite et gre lassurance vie et les mutuelles en effectuant des tudes juridiques et techniques avec lvaluation des opportunits et lmission des avis sur des problmatiques du domaine, ainsi que le contrle des diffrentes mutuelles existantes par le biais de rapports produits ou par le biais des commissions de contrle sur place. Elle englobe 2 services : service des mutuelles de prvoyance sociale et service de lassurance vie.

g- Division de lorganisation du march des oprations financires : Elle est divise en 3 services avec chacun des missions particulires : service de lorganisation du march et des relations internationales qui sintresse ltude des agrments des compagnies dassurances, assurer le secrtariat du CCA, suivre certaines oprations effectues par les compagnies, et entretenir les relations de la DAPS avec les associations professionnelles du secteur et les instances internationales. Le service des statistiques qui rpond aux diffrentes demandes dinformations sur le secteur et traite les rclamations concernant le FGAC. le service des oprations financires qui suit le march financier ainsi que les oprations qui sy ralisent par les compagnies dassurances. h- Division de linspection: La mission de cette division englobe les affaires gnrales et linspection. Elle est constitue de 3 services : service informatique, service des affaires gnrales et service de linspection.

D E T ND SA IR C IO E

2.2. Lorganigramme de la DAPS :

D E T ND S A IR C IO E

2.3. Larchitecture rseau actuel de la DAPS :

10

Larchitecture rseau de la DAPS se caractrise par la mise en uvre dune technologie FastEthernet entirement commute, la technologie est en toile et respecte une hirarchie comme la suivante: Un Switch fdrateur CISCO ; 5 commutateurs sont relis au fdrateur par des liens GigaEthernet de type fibre optique ; Le 2me niveau est essentiellement constitu de six VLAN (Virtuel Local Area Network) dans le but damliorer la scurit et la performance en limitant la circulation des trames ; Dans la zone, la DAPS utilise un plan dadressage priv et tous les postes de travail sont membres du domaine DOMDAPS.

Larchitecture rseau de la DAPS:

DR C I N E A I E TO D S

Windows server 2003:


I- Installation de Windows 2003 Server : 11

1. Copie des fichiers dinstallation Formatage du disque dur, puis copie des fichiers de Windows Server 2003.

DR C I N E A I E TO D S

Initialisation de la configuration:

12

Redmarrage du systme, noter que lavertissement pour la disquette nest pas prendre en compte car nous nen avons pas utilis pour le booter . Ne pas enlever le CD car linstallation nest pas termine.

DR C I N E A I E TO D S

2. Validation des paramtres: Aprs le redmarrage de la machine, Windows Server 2003 se lance. 13

Nous arrivons une interface plus agrable, gauche nous pouvons suivre les tapes dinstallation ainsi que le temps restant, et droite les nouvelles fonctionnalits par rapport ldition prcdente du serveur Windows (Server 2000). En bas gauche, il y a une barre de dfilement qui permet de savoir si linstallation est toujours en cours.

Nous devons dfinir certains paramtres du serveur tel que le nom et lorganisation,

DR C I N E A I E TO D S

14

Entrer la clef dauthentification, afin de prouver la possession de la licence. Sil ny a pas de numro ou sil nest pas valide, linstallation ne pourra pas se poursuivre.

DR C I N E A I E TO D S

15

Entrer le nom de lordinateur et le mot de passe :

Nous considrerons quil ny a pas de contrleur de domaine, pour le moment nous le laisserons en WORKGROUP.

DR C I N E A I E TO D S

16

Copie des fichiers systmes.

Retour lcran dinstallation, pour la configuration des paramtres.

Enregistrement des paramtres.

DR C I N E A I E TO D S

17

Suppression des fichiers temporaires qui ont t ncessaire linstallation mais qui ne seront plus utiles aprs.

La machine redmarre et nous arrivons sur lcran daccs du serveur. La premire connexion devra ce faire avec le nom dutilisateur : Administrateur et le mot de passe entr prcdemment. Il faut appuyer simultanment sur les CTRL, ALT et SUPPR pour faire apparatre la fentre de connexion.

DR C I N E A I E TO D S

18

La mise en place dun serveur WSUS


I- Introduction:

Les systmes informatiques ont un rle critique en entreprise et sont sujet de nombreuses agressions. Pour rpondre cette problmatique, Microsoft sest engag proposer des solutions concrtes permettant de donner aux technologies informatiques toute la confiance de la part des utilisateurs

1.1 Quest ce que Windows Server Update Service ?


Microsoft Windows Server Update Services (WSUS) est une solution complte (et gratuite) de gestion des mises jour des fixes de scurit sur votre rseau. Cest la seconde gnration de logiciel serveur pour le dploiement des mises jour, propose par Microsoft pour remplacer Software Update Services (SUS). La liste des options a t toffe et le dploiement des serveurs a t grandement simplifi mais WSUS a toujours pour but de limiter l'utilisation de la bande passante vers Internet et de s'assurer que vos systmes Windows (Windows 2000, XP et 2003) possdent les dernires mises jour installes sur votre parc informatique.

2.1.

Pourquoi matre jour son parc informatique ?

Eliminer les failles de scurit = Amlioration de la scurit, Corrections de bugs = Amlioration de la stabilit des systmes et limination de problmes potentiels, Apporter de nouvelles fonctionnalits = Amlioration de la productivit Alors, nous tcherons de comprendre le fonctionnement de votre serveur WSUS, comment installer ce serveur, et nous expliquerons comment le configurer. Ensuite, nous verrons comment utiliser les groupes pour dployer les mises jour. Aprs cela, nous aborderons comment diter des rapports et comment surveiller votre serveur WSUS. Enfin, nous apprendrons comment scuriser votre serveur WSU.

DR C I N E A I E TO D S

19

II. Positionnement :

2.2.

Positionnement de la solution Microsoft WSUS :

SUS et WSUS sont les solutions dentreprise proposes par Microsoft pour faciliter le dploiement des correctifs sur les plates-formes Windows 2000/2003/XP. Elles se positionnent entre Windows Update, solution Internet, et Server Management System (SMS), solution intgre de distribution logiciel. Windows Server Update Services est le successeur de la solution Microsoft SUS 1.0 (Software Update Services). Sa vocation est doffrir gratuitement un moyen pour lentreprise de contrler le dploiement des mises jour dites rgulirement par Microsoft.

En rsum : WSUS permet de centraliser le tlchargement depuis le site Microsoft Update, et de grer le dploiement sur les ordinateurs de lentreprise. WSUS permet de dployer toutes les catgories de mises jour, pour les OS Windows et pour certains logiciels Windows tel quOffice, Exchange, SQL Server, etc. WSUS fonctionne en mode pull , sur le mme principe que SUS ou Windows Update, WSUS ne dispose pas dun outil de dtection des mises jour ncessaire, il permet par contre de dterminer si un correctif sapplique o non un client identifi.

DR C I N E A I E TO D S

20

III. Installation pas pas de WSUS :

3.1 Prparation matrielle et systme du serveur Windows :


Il sagit dans cette section de prparer le serveur destin recevoir le logiciel de gestion des correctifs. Il y a 3 catgories dactions mener : Installation de composants ncessaires au systme et lapplication Installation des correctifs de scurit recommands pour Windows Configuration des composants (rseau)

3.1.1. Matriels et mdias :


Matriel : 1 serveur de prfrence ddi. CD-ROM dinstallation Windows Disquette pilotes (carte Raid, rseau, ) CD-ROM de mise jour (ou accs Windows Update)

3.1.2. Capacits recommandes :


Jusqu 500 postes clients connects sur un mme serveur :

De 500 15.000 postes clients

DR C I N E A I E TO D S

21

de

3.1.3. Complments logiciels ncessaires pour installation


WSUS :

Les complments suivants sont requis pour linstallation. Ils sont ncessairement installs avant WSUS (Contrle linstallation). Les chapitres suivant dtaillent les installations de ces composants IIS BITS2.0 .NET Framework 1.1 Service Pack 1 (Implique la prsence du .NET Framework1.1) MSDE

3.1.4. Tailles de partitions :


Les partitions proposes sont : Mini 4Go pour le systme Windows 2000 Mini 6Go pour une partition DATA contenant les packages de mise jour

3.1.5. URL autorises :


Si le serveur est plac derrire un Firewall configur pour une restriction dadresses vers lInternet, il faut autoriser laccs pour que WSUS puisse effectuer les mises jour depuis les sites Microsoft. Les URL rfrences sont : http://windowsupdate.microsoft.com https://windowsupdate.microsoft.com http://update.microsoft.com https://update.microsoft.com http://windowsupdate.com http://download.windowsupdate.com http://download.microsoft.com http://download.windowsupdate.com http://wustat.windows.com http://ntservicepack.microsoft.com

3.2. Installation de WSUS (Windows 2003):

3.2.1. Pr requis :
WSUS ncessite linstallation ou la mise jour pralable de plusieurs composants. La plate-forme Windows 2003 Server simplifie les oprations par la prsence en standard du Framework .NET, dInternet Explorer jour et du support de la base de donnes fournie avec WSUS. Les prparatifs concernent uniquement les lments suivants :

22

DR C I N E A I E TO D S

Configuration dIIS (pour supporter le site Web de WSUS) Mise jour de BITS en version 2.0 Mise jour du Framework .NET en version 1.1 SP1 Labsence de lun de ces lments provoque laffichage dun message dalerte et larrt de la procdure dinstallation de WSUS.

3.2.2. Configuration d'IIS :


Le serveur Web de Windows nest pas actif par dfaut, il faut le configurer pour supporter le site Web de WSUS. La console dadministration en mode Web de WSUS ncessite ASP.NET. Linstallation dIIS seffectue partir du panneau de configuration de Windows, par loption Composants Windows de loutil dajout suppression de programmes .

3.2.3. Installation de BITS 2.0 :


Linstallation dIIS seffectue partir du panneau de configuration de Windows, par loption Composants Windows de loutil dajout suppression de programmes .

23

DR C I N E A I E TO D S

24

DR C I N E A I E TO D S

3.2.4. Installation de .Net Framework 1.1 SP1 :

25

DR C I N E A I E TO D S

3.2.5. Installation de Microsoft Report Viewer 2008


Redistributable:
Le processus dinstallation vous rappelle que vous devez installer Microsoft Report Viewer 2008 Redistributable, vous pourrez toujours le faire aprs linstallation de WSUS.

26

DR C I N E A I E TO D S

3.2.6. Installation de WSUS:


Le fichier dinstallation de WSUS est commun aux plates-formes Windows 2000 et 2003.

Recommandations dusage et acceptation du contrat.

27

DR C I N E A I E TO D S

IL est

prfrable de stocker localement les donnes, sur un volume autre que la partition systme.

La procdure propose ensuite le choix de la base de donnes. Si le choix dSQL Server au lieu de MSDE a t fait, une instance spcifique peut tre choisie. Dans le cas prsent WSUS a dtect une plate-forme Windows 2003 et propose par dfaut linstallation de WMSDE.

28

DR C I N E A I E TO D S

Ltape suivante concerne la configuration du serveur IIS. Si le serveur est ddi, le serveur Web par dfaut est un bon choix. Attention :

- Dune part le port 80 en HTTP est toujours utilis par WSUS pour le sous rpertoire Self Update . - Dautre part lorsque WSUS est configur sur le port 8530, un second site Web est cr sur ce port en plus du site par dfaut sur le port 80. Le retour vers un site unique nest pas ais et ncessite des oprations dadministration dans IIS.

3.2.7. Option serveur :

29

DR C I N E A I E TO D S

ATTENTION :

Cette tape est cruciale, elle dtermine le rle du serveur en cours dinstallation. La case ne doit tre coche que si le serveur doit fonctionner en mode Rplica. Linstallation de WSUS nimpose pas de redmarrage. La console Web dadministration peut tre lance ds la clture de la procdure. IV. Configuration:

4.1.

Configuration du serveur :

4.1.1. Configuration d'Active directory pour distribuer les mises jour aux ordinateurs :
Dans la console Utilisateurs et Ordinateurs d'Active Directory, crez une nouvelle Unit d'Organisation dans laquelle vous copiez tous les ordinateurs du domaine qui avez besoin des mises jour.

Faites une clique droit sur lUnit d Organisation que vous venez de crer et cliquez ensuite sur Proprits.

30

DR C I N E A I E TO D S

Dans l'onglet Group Policy, cliquez sur New et crez une nouvelle Stratgie de Groupe appele SUS ou bien WSUS. Cliquez ensuite sur Edit.

Dans l'arborescence de gauche, allez dans Computer Configuration -> Administrative Templates -> Composants Windows -> Windows Update, et double cliquez sur la premire ligne dans la fentre de droite. 31

DR C I N E A I E TO D S

Dans cette fentre vous allez pouvoir configurer chaque de la distribution des mises jour aux postes clients. N'hsitez pas lire les explications de chaque paramtre en cliquant sur l'onglet Explantation. Une fois que vous avez configur tous les paramtres, fermez la fentre et cliquez sur OK pour sauvegarder la stratgie de groupe. Une dernire chose effectuer sur le serveur, activer cette nouvelle stratgie de groupe: Ouvrez une fentre de commande DOS et tapez la commande gpupdate /force.

4.1.2.

Configuration de WSUS :

La premire fois il faut effectuer la synchronisation sur les serveurs de mise jour de microsoft.

Avec WSUS il est possible de tlcharger les mises jour quune fois que celles-ci sont approuves, le serveur commence par rcuprer les informations concernant les mises jour (les metadata) puis ensuite aprs approbation tlcharge les fichiers concerns.

32

DR C I N E A I E TO D S

Une fois la synchronisation termine, un rsum de la situation et une liste de toutes les mises jours concerns par la dernire synchronisation est disponible, afin dapprouver les mises jour.

Il ne reste plus qu dfinir lautomatisation du processus pour la synchronisation.

4.2. Configuration du client :


Pour tous les clients ayant une version de Windows suprieur Windows 2000, la synchronisation des mises jour est transparente. Aucune configuration nest ncessaire pour les ordinateurs clients. Toute la configuration est ralise avec les Stratgies de Groupes dans Active Directory, et dans la configuration de WSUS. Cette partie dcrit la procdure pour configurer les mises jour avec les GPO ; si vous ntes pas dans un environnement Active Directory, il est recommand de suivre la procdure officielle fournie par Microsoft. Dans un environnement non Active Directory, vous pouvez utiliser les objets Local Group Policy. De plus, une connaissance pralable des GPO est ncessaire avant de consulter cette documentation.

4.1.1. Configuration de WSUS :


Pour configurer WSUS en utilisant les GPO, la procdure est trs simple. Il suffit dactiver la radio box Utilis les Group Policy ou la base de registre des ordinateurs dans la section Options . 33

DR C I N E A I E TO D S

4.1.2. Configuration des GPOs :


Avant la configuration des GPOs, vous devez crer les stratgies de groupes appropries. Vous devez configurer les GPO dans Active Directory pour grer les mises jour des ordinateurs client. Il est prfrable de crer une GPO par type de clients. Aprs la cration des Group Policy vous devez activer et configurer deux options dans la section Windows Update.

Les deux options sont Configuration des mises jour automatique et Spcifier une cible intranet pour les mises jour.

34

35

DET NEA I COD R I S

V.

Dploiement :

5.1. Type de dploiement : Serveur WSUS unique (WSUS simple):

Dans un scnario de serveur WSUS unique, les administrateurs peuvent configurer un serveur excutant WSUS l'intrieur de leur pare-feu d'entreprise, qui synchronise le contenu directement avec Microsoft Update et distribue les mises jour aux ordinateurs clients, comme illustr ci-dessous.
o

1.2.

Serveurs WSUS multiples (rseau plus complexe) :


o Les scnarios suivants sont les scnarios courants pour le dploiement des composants WSUS dans un rseau de taille moyenne ou un rseau plus complexe.

Serveurs WSUS multiples indpendants :


o Les administrateurs peuvent dployer plusieurs serveurs configurs de sorte que chaque serveur est gr de faon indpendante et que chaque serveur synchronise son contenu partir de Microsoft Update, comme illustr ci-dessous. o La mthode de dploiement de ce scnario est approprie pour les situations dans lesquelles diffrents segments de rseau local (LAN) ou de rseau tendu

(WAN) sont grs en tant qu'entits distinctes (par exemple, une succursale). o Elle est galement approprie lorsqu'un serveur excutant WSUS est configur pour ne dployer les mises jour qu'aux ordinateurs clients excutant un certain systme d'exploitation (tel que Windows 2000), tandis qu'un autre serveur est configur pour dployer les

mises jour uniquement aux ordinateurs clients excutant un autre systme d'exploitation (tel que Windows XP).

DR C I N E A I E TO D S

Serve urs WSUS multiples synchroniss en interne :


Les administrateurs peuvent dployer plusieurs serveurs excutant WSUS qui synchronisent tout le contenu l'intrieur de l'intranet de leur entreprise. Dans la figure suivante, seul un serveur est expos Internet. o Dans cette configuration, c'est le seul serveur qui tlcharge les mises jour de Microsoft Update. Ce serveur est configur comme le serveur en amont, c'est--dire la source sur laquelle les serveurs en aval se synchronisent. o Le cas chant, les serveurs peuvent tre situs sur un rseau multi site afin d'offrir la meilleure connectivit tous ordinateurs clients.
o

Multi site afin d'offrir la meilleure connectivit tous ordinateurs clients.


o

5.1.3.

Serveurs WSUS dconnects (connexion Internet limite) :


Si la stratgie d'entreprise ou d'autres circonstances limitent l'accs des ordinateurs Internet, les administrateurs peuvent configurer un serveur interne excutant WSUS, comme illustr ci-dessous. o Dans cet exemple, un serveur est cr, connect Internet, mais isol de l'intranet. o Aprs avoir tlcharg, test et approuv les mises jour sur ce serveur, l'administrateur exporte les mtadonnes et le contenu de mise jour vers le support appropri ; ensuite, l'administrateur importe partir du support les mtadonnes et le contenu de mise jour vers les serveurs excutant WSUS au sein de l'intranet. o Bien que la figure suivante illustre ce modle
o

dans sa forme la plus simple, il pourrait tre tendu un dploiement de n'importe quelle taille. o tre tendu un dploiement de n'importe quelle taille.

DR C I N E A I E TO D S

VI.

Mise en scurit des serveurs WSUS :

6.1. serveur WSUS :

Installation par dfaut du

Windows Server Update Service sappuie sur 2 composants :


o

Le service IIS (Internet Information Services) de Windows Server pour distribuer les mises jour sur les ordinateurs clients comme sur les serveurs WSUS fils connects, Une base de donnes SQL (MSDE ou SQL Server).

Le serveur Web par dfaut est utilis, configur sur le port dcoute 80 pour le protocole HTTP mais Il est aussi possible de prciser ds linstallation le port personnalis 8530. La scurit des dploiements des mises jour avec WSUS est donc oriente selon 4 axes : Scurit du serveur Windows qui hberge WSUS, Scurit des communications entre Serveurs et Clients, Scurit avance du service Web IIS 6.0, Scurit avance de la base de donnes (et si ncessaire des communications avec celle-ci).

6.2. WSUS :
o

Scurit du serveur hte de

Les oprations de scurit dcrites ici sont destines un systme Windows 2003 Server, mais elles sont pour la plupart applicables Windows 2000.

6.2.1. Paramtres de scurit recommands :


Les stratgies daudit permettent de tracer dans les journaux les diffrents vnements systme. Lcran suivant montre les options recommandes. Attention toutefois, la taille des journaux doit permettre de stocker les vnements sur une priode suffisante. Une taille de 10 Mo est recommande.

DR C I N E A I E TO D S

Options de scurit
Certaines de ces options ne sont pas disponibles sous Windows 2000, toutefois la plupart des options sont communes.

Paramtres des journaux

DR C I N E A I E TO D S

La taille recommande est de 100480 pour les 3 journaux : Application, Scurit et Systme.

7.1.

Scurit des communications :

Les serveurs WSUS sont exposs sur le rseau et doivent pouvoir communiquer avec les ordinateurs connects pour le dploiement des mises jour ainsi quavec leurs serveurs source, dont Windows Update sur lInternet. La scurit des communications est un lment important de la scurisation du serveur.

7.1.1. Ajout dune authentification AD pour les connexions entre serveurs WSUS :
Une premire solution pour limiter le risque lors de la synchronisation de 2 serveurs WSUS est dajouter une authentification obligatoire. Lauthentification ncessite les 2 oprations successives dcrites ciaprs :

7.1.2. Cration dune liste dauthentification :


%Program files %\Updatservices\Webservuces\Serversyncwebservice\web.config

DR C I N E A I E TO D S

Le fichier est base sur XML. La cration de la liste dauthentification correspond lajout de la section dans ce fichier, en respectant la hirarchie des balises XML. La section doit tre insre entre les balises existantes et. Elle peut contenir les lments suivants : Allow users="domain\computer_name, domain\computer_name" / deny users=domain\computer_name, domain\computer_name" /

7.1.1.

Configuration d'IIS :

Lopration suivante est de dsactiver laccs anonyme au service Web SeverSyncWebService dans IIS, puis dactiver lauthentification Windows intgre.

Attention, cette configuration ne doit sappliquer quau rpertoire Web SeverSyncWebService.

7.1.1. Communications scurises par SSL :


Le protocole SSL (Secure Sockets Layer) permet de scuriser le dploiement des mises jour. WSUS utilise SSL lors des communications

avec les clients et avec les serveurs WSUS fils . Les mises jour sont composes de 2 parties qui sont transfres selon des principes diffrents :

DR C I N E A I E TO D S

Les Mtadonnes , c'est--dire des donnes dcrivant le contenu et la cible des fichiers de mise jour, sont transfrs en SSL. Cest le mode de communication utilis obligatoirement lors dune connexion sur le site Microsoft Update. Les fichiers de mise jour sont transmis avec le protocole HTTP. Pour limiter le risqu sur un canal non scuris : -Chaque fichier est sign -Un hash est calcul et envoy avec les Mtadonnes pour chaque mise jour WSUS vrifie la signature digitale et le hash chaque tlchargement Si la mise jour a t modifie, elle nest pas installe.

7.1.2.

Limitation de la solution SSL :

Il existe deux limitations lusage de la solution SSL : Le mcanisme de calcul pour le chiffrement / dchiffrement augmente la charge du serveur. Il est conseill de prvoir environ 10% de ressources supplmentaires lorsque le SSL est activ. Si le serveur WSUS utilise une base de donnes SQL Server hberge sur un autre serveur, la communication entre WSUS et sa base de donnes distante est non scurise. Il est possible de scuriser cette communication en utilisant une stratgie IP Sec. Cette limitation ne sapplique pas si la base de donnes est situe sur le serveur WSUS lui-mme.

7.1.1. Installation des certificats SSL :


SSL utilise pour le chiffrement des donnes des certificats de type Web Server . Ce type de certificat peut tre dlivr par lautorit de certification disponible avec les systmes Windows Server.

La procdure prsente dans cette section utilise la PKI Windows 2003 Server.

7.1.1.

Certificats SSL et positionnement :

Lusage dune autorit de certification prive est recommand dans le cas de WSUS puisquil sagit dune architecture de serveurs interne lentreprise. La principale contrainte dune autorit prive, hormis son administration et les rgles de scurit affrant, est quelle doit ellemme tre approuve par les ordinateurs qui lutilisent pour rendre valide le certificat du site Web.

DR C I N E A I E TO D S

Il existe donc 2 certificats mettre en uvre pour une communication en HTTPS : Le certificat de lautorit, installer sur tous les ordinateurs utilisant SSL (Serveurs et postes), Le certificat du site Web installer uniquement sur le serveur IIS du site.

Conclusion:
Voila!!! Vous venez d'apprendre comment implmenter le WSUS et son utilisation. Donc vous allez pouvoir grce cet outil gagner du temps de connexion pour les machines clientes, de manire ce quel puisse accder Internet

sans tlcharger les mises jours du systme. Ce qui permet tout moment d'avoir les mises jour ncessaire au client et serveur par le biais du rseau local. Cependant il y a possibilit de faire un chanage de serveur en implmentant un serveur en amont et en avale.