Présentation de Windows Update Services (ex SUS 2.0)
Compte rendu de la présentation de WUS (Windows Update Services) du Mercredi
5 Mai, de Cyril VOISIN, Chef de programme Sécurité Microsoft France.
1. Présentation
Cette présentation nous a permis de découvrir les nombreuses améliorations
de Software Update Service, plus connu sous le nom de SUS. La version présentée
est la version Béta 1, et ne présentait donc pas toutes les fonctionnalités
de la version finale. WUS sera disponible dans le courant de l'année, a précisé
Cyril VOISIN.
Cette nouvelle version de SUS a été conçue pour répondre aux attentes des utilisateurs,
en s'enrichissant de nombreuses nouvelles fonctionnalités. WUS (ou SUS pour
le moment) est fourni gratuitement par Microsoft : SUS
et WUS.
WUS permet de déployer de façon centralisée, l'ensemble des mises à jour de
Microsoft sur les machines d'un réseau local (y compris les mises à jour recommandées
et les mises à jour de pilotes). Une des améliorations principales vient du
fait que ces produits sont dorénavant supportés :
- Windows 2000 SP3 et ultérieur (XP, 2003 Server...)
- OFFICE 2003 et Office XP SP 2
- SQL SERVER & MSDE
- Exchange Server 2003
A long terme, WUS supportera l'ensemble des produits Microsoft.
Il est à noter que les Windows Serveurs sont aussi supportés.
Le serveur WUS télécharge les mises à jour à partir de Windows Update
(bientôt Microsoft Update, regroupant l'ensemble des mises à jour pour tous
les produits Microsoft) et les met à disposition des ordinateurs du réseau local.
Les ordinateurs clients consultent tous les jours le serveur WUS pour obtenir
d'éventuelles nouvelles mises à jours. Ces patchs sont alors installés suivant
la stratégie définie.
2. Nouveautés
Par rapport à la version SUS 1.0, il est maintenant possible de ne télécharger
que les mises à jours souhaitées, en les choisissant par version de Windows
par exemple. De plus, les patchs ont évolué. Seul les méta données (date, description,
OS concerné...) sont téléchargées. Le patch en lui même n'est récupéré à partir
de Windows Update, que s'il est approuvé par l'administrateur.
Afin de tester les patchs avant de les déployer, il est (enfin) possible de
créer des groupes d'ordinateurs cible, afin d'utiliser une politique de déploiement
différente suivant les groupes. On pourra par exemple créer un groupe Test,
un groupe Production et un groupe Server.
Les patchs seront testés sur le groupe de Test contenant une
petite dizaine de machines, et déployés sur l'ensemble du parc qu'une fois validés.
Le groupe Server pourra par exemeple passer outre les mises
à jours d'Office.
Windows XP utilise un système appelé BITS (Background Intelligent Transfer
Service) permettant de n'utiliser que la bande passante disponible pour
télécharger les mises à jour à partir du serveur WUS (le même système est présent
dans SMS). Cela permet de ne pas ralentir l'accès de l'utilisateur au réseau.
Les clients supportés dans un premier temps nécessitent une mise à jour du
composant de "Mise à jour automatique" de Windows avant de
pouvoir utiliser les fonctionnalités avancées de WUS. Cette mise à jour est
automatique pour les clients utilisant déjà Windows 2000 SP3 et Windows XP SP1.
Le mode de rattachement des clients au serveur WUS n'a pas changé :
par GPO grâce à Active Directory, ou par script, en rajoutant des clés dans
la base de registre des clients.
Microsoft a prévu dès le début d'intégrer des mises à jour d'autres fournisseurs.
C'est pourquoi l'image suivante commence l'arborescence avec Microsoft Corporation.
Il est désormais possible de scanner le réseau pour connaître si une
certaine mise à jour est requise par les postes clients. Pour cela, il faut
valider un patch par Scan. Lorsque les machines clientes vont
venir consulter les mises à jour disponibles, le serveur sera informé de la
nécessité de ce patch.
Il est aussi possible de fixer une date butoir pour une mise à jour. Dans ce
cas là, si la date est dépassée, le client se mettra à jour immédiatement
(sans tenir compte des stratégies d'installation de patch).
Cette version de WUS introduira la possibilité de désinstaller un patch, grâce
à la version 3.0 de MSI (Microsoft Software Installer). Ceci permettra de diminuer
le temps de sortie d'un patch, en réduisant le temps de validation du patch,
passé par Microsoft. Si le patch s'avère présenter des dysfonctionnements, il
sera alors possible de le supprimer. Ainsi les ordinateurs patchés auront pu
bénéficier de la correction voulue très rapidement et pourront installer un
meilleur correctif ultérieurement. Néanmoins, cette fonctionnalité n'a
pas été illustrée par une démonstration.
De plus, cette version permettra de supprimer automatiquement un ensemble d'anciennes
mises à jour cumulé dans un nouveau patch fraîchement téléchargé. Il ne sera
donc plus nécessaire de passer par toutes les versions du patch sur les machines
clientes avant d'avoir la dernière version dans le cas d'un poste démuni de
toute mise à jour...
La génération des rapports d'actions effectuées a aussi été grandement améliorée.
Elle repose maintenant sur SQL Server, ou le cas échéant, sur MSDE. Il est important
de souligner que MSDE est une version gratuite de SQL Server, ne prenant en
charge que des bases inférieures à 2 Go.
Un effort particulier a été apporté aussi sur l'utilisation en ligne de commande
de WUS. Il est dorénavant possible de scripter des actions de WUS. Par exemple,
il est possible de forcer les mises à jour sur un poste client grâce à
cette ligne de commande :
wuauclt.exe /detect now
3. Positionnement :
WUS vient compléter l'offre de Microsoft, entre Microsoft Update et SMS 2003
:
| Client |
Scénario |
Choix |
| Grande ou moyenne entreprise |
Besoin d'une solution unique et flexible de gestion
des mises à jour avec un niveau élevé de contrôle et de distribution pour
TOUTES les versions de Windows et d'applications, ainsi qu'une solution
de gestion du parc intégré |
SMS 2003 |
|
Besoin seulement d'une solution de mise à jour
simple pour les produits Microsoft, et dans un premier temps Windows (2000
et ultérieur), Office (2003 & XP), Exchange 2003, SQL Server 2000
et MSDE 2000 |
WUS |
| Petite entreprise |
Au moins un serveur et un administrateur |
WUS |
|
Tous les autres scénarios |
Microsoft Update |
|
Particuliers |
Tous les scénarios |
Microsoft Update |
Source : Microsoft France
Lors de la présentation, il a été confirmé que la mise à jour de la version SUS 1.0 SP1 était possible, mais aucun détail n'a été donné sur la procédure.
4. Conclusion
Microsoft a vraiment réalisé un travail remarquable sur WUS, le successeur
de SUS 1.0. Le produit présente dès aujourd'hui des fonctionnalités très
importantes qui ne peuvent plus être ignorées de nos jours. Son
déploiement, qui peut paraître lourd en raison du serveur SQL requis (ne pas oublié le serveur SQL MSDE qui est gratuit), sera
rapidement oublié par la sécurité qu'il procurera au réseau.
Il y a fort à parier que WUS sera largement présent en entreprise dans les
années à venir.
| 
IT Sec 2004 : Présentation de Windows Update Services 