La configuration des strategies de mise a jour pour wsus

Actualités de l'IT
#1

LA CONFIGURATION DES STRATEGIES DE MISE A JOUR POUR WSUS.

En fait, les paramètres utilisés sont les mêmes que pour la mise à jour depuis Windows Update. Seul le site Web utilisé change.

A l’usage, la logique nous propose de créer au moins 4 stratégies.

Il en faut 2 pour les stations et 2 pour les serveurs.

En effet, les serveurs restent démarrés en permanence et peuvent être mis à jour en période moins critique (souvent la nuit ou le Weekend). En revanche, la mise à jour des stations se fera forcément dans la journée, souvent entre 12H et 14H.

L’application de correctifs peut parfois impliquer des dysfonctionnements, aussi bien sur le système que sur les applicatifs. Pour détecter les blocages les plus flagrants, il est conseillé d’utiliser un certain nombre de serveurs (les moins critiques) et de stations comme « groupe témoin » sur lesquels les correctifs seront testés. Les stratégies de tests sont configurées pour appliquer au plus vite les correctifs y compris en pleine journée afin d’être évaluée rapidement par les administrateurs.

L’heure planifiée et la cadence des communications seront donc les principales différences entre les stratégies suivantes :

  •   WSUS-TEST-STATION (Mise à jour planifiée vers 13H00, 1 communication par heure)

  •   WSUS-TEST-SERVEUR (Mise à jour planifiée vers 8H00, 1 communication par heure)

  •   WSUS-PROD-STATION (Mise à jour planifiée vers 13H00, 1 communication par 20H)

  •   WSUS-PROD-SERVEUR (Mise à jour planifiée vers 3H du matin, tous les dimanches, 1 communication par 20H)

  •   WSUS-DECOUVERTE (Pas de mise à jour planifiée, 1 communication par H ou par 20H)

J’ajoute une stratégie dite de « Découverte » aux autres stratégies. Celle-ci permet d’initialiser la communication entre le serveur WSUS et les clients, d’intégrer toutes les machines détectées dans la base, et d’évaluer ainsi les besoins en correctifs. Ce n’est pas réellement une stratégie « neutre » de découverte car un mode de planification doit être configuré dans la stratégie WSUS pour qu’elle soit effective. Le choix s’est donc porté sur « Notifier pour télécharger et notifier pour installer ».

ð Le problème est que les utilisateurs possédant des droits d’administration sur leurs machines ont la possibilité de valider les téléchargements, puis de valider les installations.

Voici un exemple de création d’une stratégie de groupe, qui nous permettra de passer en revue chacun des paramètres principaux :

Dans l'outil GPMC « Group Policy Manager Console », sur le conteneur « Objets de stratégie de groupe », utiliser l’option « Nouvel Objet GPO »

Dans « Configuration Ordinateur \ paramètres Windows\Modeles d’administration », sélectionner « Windows Update ».

713×404 19.5 KB

  1. Sélectionner l’élément principal de l'activation de WSUS, c’est-à-dire le serveur (Web) local qui remplacera le « Windows Update » de Microsoft : « spécifier l’emplacement… » :

Si l'état Activé est sélectionné, le client Mises à jour automatiques se connecte au service intranet de Mise à jour Microsoft spécifié à la place du site Windows Update, recherche les mises à jour et les télécharge. Si vous activez ce paramètre, les utilisateurs de votre organisation n'ont pas besoin de passer par un pare-feu pour obtenir les mises à jour et vous avez la possibilité de tester les mises à jour avant de les déployer.

Si l'état Désactivé ou Non configuré est sélectionné et si le service Mises à jour automatiques n'est pas désactivé par une stratégie ou une préférence utilisateur, le client Mises à jour automatiques se connecte directement au site Windows Update sur Internet.

Le port utilisé 80 ou 8530 dépendra de celui choisi pendant l’installation du serveur WSUS. C’est généralement le nom NETBIOS qui est utilisé, mais le nom complet fonctionnera aussi très bien.

Contrairement à Windows Update, on peut aussi indiquer un serveur (WSUS) de statistiques qui sera généralement le même que celui des mises à jour.

  1. Configuration du service de mises à jour proprement dites

4 = Télécharger automatiquement les mises à jour et les installer en fonction de la planification spécifiée ci-dessous

Le choix N°4 est le seul qui permette réellement d’automatiser et de planifier l’heure d’installation.

Spécifiez la planification à l'aide des options du paramètre de stratégie de groupe. Si aucune planification n'est spécifiée, toutes les installations seront planifiées chaque jour à 3h00. Si une mise à jour exige le redémarrage de l'ordinateur à la fin de l'installation, Windows le redémarre automatiquement. (Si un utilisateur est connecté à l'ordinateur lorsque Windows est prêt à redémarrer, il en est informé par un message qui lui donne la possibilité de retarder le redémarrage).

En fait, il n’existe pas de choix permettant la découverte en tant que telle. Tous les choix permettent d’installer soit de manière planifiée, soit de manière manuelle par les administrateurs. La stratégie de découverte consistera à utiliser le choix N°2 « Notifier pour télécharger et notifier pour installer », ce qui obligera l’administrateur à valider 2 fois l’opération avant qu’elle ne soit effective.

  1. Autoriser le ciblage client.

Cette configuration tout à fait facultative permet de forcer le groupe utilisé par WSUS. Les entreprises préfèrent souvent placer et déplacer manuellement les machines dans l’interface d’administration WSUS. Il est ainsi facile de placer temporairement une machine dans l’OU réservée aux tests et application de correctifs, puis la replacer dans son OU d’origine.

  1. Fréquence de détection des mises à jour

Cette option spécifie le délai en heures que doit observer Windows avant de vérifier la disponibilité de nouvelles mises à jour. La durée exacte est déterminée en soustrayant de ce nombre d'heures un pourcentage compris entre zéro et vingt pour cent du nombre d'heures spécifié. Par exemple, si cette stratégie est utilisée pour spécifier une fréquence de détection de 20 heures, tous les clients auxquels cette stratégie s'applique vérifieront la disponibilité des mises à jour après une durée comprise entre 16 et 20 heures.

  1. Pas de redémarrage automatique avec des utilisateurs connectés

Si l'état Activé est défini, le service Mises à jour automatiques ne redémarrera pas automatiquement un ordinateur lors d'une installation planifiée si un utilisateur a ouvert une session sur l'ordinateur. Dans ce cas, il avertira l'utilisateur qu'il doit redémarrer l'ordinateur.

  1. Autoriser l’installation immédiate des mises à jour automatiques

Spécifie si le service « Mises à jour automatiques » doit installer automatiquement certaines mises à jour qui ne nécessitent pas d'interrompre les services Windows ou de redémarrer Windows.

Si l'état Activé est défini, le service « Mises à jour automatiques » installera immédiatement ces mises à jour dès qu'elles seront téléchargées et prêtes à être installées.

  1. Autoriser les non-administrateurs à recevoir les notifications !

Cette stratégie autorise ou non les utilisateurs non-administrateurs à recevoir et donc à valider les notifications d’installation de mise à jour. Il est déconseillé de laisser l’utilisateur valider lui-même les notifications.

  1. Activer les mises à jour « recommandées »

Par défaut, les mises à jour "recommandées" ne sont pas incluses.

  1. Activation de la gestion de l’alimentation (sur les portables)

Windows Update ne mettra le système en éveil automatiquement que si Windows Update est configuré pour installer les mises à jour automatiquement. Si le système est en état de veille prolongée à l'heure d'installation planifiée et si des mises à jour doivent être effectuées, Windows Update utilise les fonctionnalités de Gestion de l'alimentation de Windows pour mettre automatiquement le système en éveil afin d'installer les mises à jour.

Il n’est pas recommandé de valider cette option.

  1. Redemander un démarrage (pour les installations planifiées)

Si l'état Activé est défini, un redémarrage planifié se produira au bout du nombre de minutes spécifié après que la première demande de redémarrage ait été reportée.

Si l'état Désactivé ou Non configuré est défini, l'intervalle par défaut est de 10 minutes.

  1. Paramétrer les services de mises à jour et de transfert intelligent

Le paramétrage de ces 2 services s’effectue dans la partie « Configuration Windows », « Configuration de la sécurité »,

Le service de Mise à jour Windows sera activé et démarré automatiquement. Attention, ce démarrage automatique n’interviendra qu’au prochain redémarrage du système si le service n’était pas déjà actif.

Le service de « Transfert intelligent » sera aussi configuré en démarrage automatique.

Pour être complet sur les stratégies de mise à jour, il existe aussi 4 éléments configurables dans la stratégie utilisateur. Une stratégie différente sera créée pour ces éléments et sera généralement appliquée à l’ensemble des utilisateurs.

Généralement, on supprime totalement l’accès aux fonctionnalités de « Windows Update » afin d’éviter toute modification de configuration non souhaitable par l’utilisateur.

A noter que les stratégies ne sont pas obligatoires, l’intégration au domaine Active Directory non plus. En revanche, celles-ci facilitent grandement la vision et la gestion de l’ensemble des machines Windows.