Cycle de diffusion des correctifs de sécurité

Rentrons directement dans le vif du sujet grâce à la modélisation de la topologie permettant de sécuriser votre infrastructure informatique. Tout ce processus repose sur l’infrastructure SMS existante comme les remontées d’inventaire, les différents regroupements et packages.

1.1 Fonctionnement du processus étape par étape

Nous avons subdivisé en 6étapes clés le processus de diffusion réalisé par Systems Management Serveur 2003.

Pour rappel SMS2003 s’appuis sur les composants suivant afin de mener à bien ces tâches.

Voici le résumé des actions réalisées durant ce processus:

  • Téléchargement et installation des outils d’analyses d’inventaire et du référentiel/catalogue de sécurité. Le serveur de site récupère les résultats d’analyse des clients SMS grâce aux cycles d’inventaire. Ces résultats sont ensuite stockés dans la base de données du site SMS.

  • Utilisation de l’assistant de distribution de mises à jour logicielles pour déclencher le téléchargement et l’installation des correctifs sélectionnés. Il utilise les informations de la base de données afin d’installer les mises à jour nécessaires.

  • En fonction des publications, initiation du téléchargement des mises à jour dans le cache client à partir du point de distribution.

  • Installation des mises à jour par l’agent SMS en fonction du calendrier de planification.

  • Processus de mise à jour du référentiel de sécurité par l’hôte de synchronisation.

  • Reporting permettant le suivis du déploiement.

  • Ce cycle n’inclut pas l’étape clé de test dans un environnement de pré-production , elle est impératif avant toute diffusion de correctifs. Même si Microsoft teste ses correctifs cela ne vous garanti pas qu’un correctif de sécurité ne vous causera pas de problèmes lorsqu’il sera déployé en production (pilotes, produits et/ou périphériques incompatibles). Voici les grandes lignes permettant de validez en interne chaque correctifs:

    • Testez les correctifs de sécurités dans un environnement de test isolé du réseau de production.
    • Utilisezdes systèmes informatiques représentatifs (même logiciel et configuration).
    • Effectuez une veille technologique sur la sécurité en consultant des forums, sites et newsgroups afin de trouver rapidement des solutions en cas de problèmes.

    1.2 Recommandations diverses

    Bien entendu soyez perpétuellement informé des dernières vulnérabilités en:

    • Consultant les listes d’alertes de sécurité et les sites dédiés (www.secuser.com).
    • Et inscrivez-vous aux bulletins de sécurité de Microsoft et aux alertes de votre fournisseur d’antivirus.

    Ceci permet d’éviter des situations critiques comme par exemple, le tristement célèbre « ver Blaster » puisque Microsoft avait corrigé cette vulnérabilité du service d’appel de procédure a distance (RPC : Remote Procedure Call) bien trois semaines avant sa propagation.

    Présentation et installation des outils d’inventaire

    2.1 Présentation des outils d’inventaire

    Nous distinguons trois catégories d’outils:

  • Software Update Scanning Tools, un outil de gestion de correctif de sécurité basé sur la MBSA (MicrosoftBaseline SecurityAnalyzer) et Office Security. C’est le première outil d’analyse utilisé par SMS 2.0 et SMS 2003. Privilégiez dès que possible l’outil Inventory Tool for Microsoft Update.
  • Inventory Tool for Microsoft Updates, nouvelle outil d’analyse directement issus de la technologie WSUS (Windows Server Update Services). Il offre un système de gestion fiable et flexible pour les mises à jour de sécurité, les correctifs et les Services Packs. Et permet la gestion de nombreux produits de Microsoft dont Windows, Office, SQL et Exchange. Attention: il ne peut s’installer et fonctionner correctement que sur un système SMS 2003 SP1 comprenant des clients avancés.
  • Outils d’inventaire tierces, ils permettent de gérer les mises à jour des firmwares et drivers de vos stations et serveurs DELL et IBM.

  • Grâce à l’inventaire logiciel et matériel réalisé par SMS, ces outils permettent de:

    • Connaître les besoins des machines du parc au niveau des trous de sécurité, détectés à l’aide de remontées permanentes d’inventaire.

    • Déterminer l’état d’avancement des différents correctifs déployés.

    • Tester sur des machines ciblées les correctifs avant de les diffuser et ceci de manière discrète aux yeux des utilisateurs.

    2.2 Téléchargement des outils d’analyse

    Selon la volonté de Microsoft, SMS2003 est dépourvu de ces composants, c’est pourquoi il faut dans un premier temps les acquérir manuellement. Rendez-vous sur le site de Microsoft où ils sont disponible gratuitement et dans plusieurs langues [ici].

    Une seconde possibilité vous est offerte, directement dans la console d’administration SMS effectuez un clic droit sur le nœud « Mises à jour logiciels» et choisissez « Toutes les tâches » puis « Télécharger les programme d’analyse d’inventaire ».

    Vous serez redirigés sur une page de téléchargement qui présente les produits d’analyse supportés par SMS, à savoir:

    Dans un premier temps un rappel sera effectué concernant les notions fondamentales du processus de distribution de SMS. Ensuite nous vous présenterons les procédures d’installation de l’outil Software Update Scanning Tools puis du récent Inventory Tool for Microsoft Updates. Surtout, n’installez pas ces deux outils, un seul suffit, choisissez celui qui correspond le mieux en fonction de votre infrastructureSMS.

    2.3 Rappel des notions essentielles propres à SMS2003

    Avant de commencer l’installation de ces composants, voici un bref rappel de notions sur la distribution logiciel de System Management Server, en effet ces outils sont entièrement basés sur ces mécanismes c’est pourquoi il est important de les comprendre et de connaitre le langage spécifique à SMS .

    La clé de cette distribution repose sur l’utilisation de packages, ils sont composés ainsi :

    • Un package (ayant plusieurs propriétés comme: un identifiant, sa source, des paramètres de distribution…).

    • Les programmes (mise a jours de sécurité, utilitaires…)

    • Un serveur ayant le rôle de point de distribution qui l’hébergera.

    Une fois que vous avez configuré un package, il sera associé à un groupe contenant des objets (utilisateur, groupe d’utilisateur et ordinateur) regroupés par critère (système d’exploitation, quantité de mémoire physique…), on les appelle simplement regroupement.

    Pour lancer l’installation d’un programme sur les membres d’un regroupement, il faut les avertir à l’aide d’une publication qui définit :

    • Un package et un programme que vous voulez distribuer.

    • Un destinataire, c’est le regroupement.

    • Quand ?, ainsi que sa priorité (faible, moyenne et haute)

    2.4 Installation de Software Update Scanning Tools

    Voici la procédure d’installation du premier outil permettant de mettre à jours votre parc. Utilisez le uniquement si votre parc contient des serveurs SMS 2.0 ou 2003 dépourvu du SP1 et qui sont en gestion de clients héritésSMS.

    Software Update Scanning Tools est composé de deux outils d’analyse appelés OfficePatch_XXX.exe et SecurityyPatch_XXX.exeXXX représente le language de l’exécutable.

    • Security Update Inventory Tool est l’équivalant de la MBSA, dont le rôle consiste à rechercher les mises à jour de sécurités manquantes puis en fonction du résultat, la génération de rapports. (Conformément au site Microsoft Update)

    • Microsoft Office Inventory Tool for Updates, qui permet de déterminer si les produits de la gamme Office sont à jour (conformément au site Microsoft Office Update)

    Nous commençons par installer l’outil d’analyse Office Inventory Tool. Il se présente sous la forme d’un assistant classique. Une fois l’assistant lancé et l’écran de bienvenue et de la licence accepter, l’assistant nous permet de spécifier son emplacement d’installation (par défaut %ProgramFiles%\OfficePatch).

    L’étape suivante nous invite à télécharger les fichiers invcm.exe et invcif.exe, ces deux programmes permettent de connaître la liste des mises à jour actuellement disponible et qui sera utilisé par les clients sms pour vérifier l’état des mises à jours d’office installés.

    Une fois téléchargé, l’installation et la configuration du composant peut commencer. Cliquer sur suivant. Nous sommes invités à entrer les paramètres de distribution et de création du future package qui sera utilisé pour l’inventaire des clients. Je vous conseille de laisser la réalisation de ces tâches de création des regroupements, publications et d’affectation à l’assistant. Puis entrer un nom de package de votre choix.

    Ensuite l’assistant vous demandera le nom d’un client sms dans le but de créer une tâche planifiée de vérification afin de télécharger la liste des mises à jour la plus récente sur le site de Microsoft. Par défaut ce rôle est attribué au serveur de site SMS, mais vous pouvez le modifier ou ne pas spécifier d’hôte de synchronisation dans le cas ou vous désirez effectuer ce travail manuellement. Il est impératif que l’hôte de synchronisation dispose d’un accès à Internet et d’un compte possédant les droits nécessaires.

    La prochaine étape vous invite à rentrer le nom d’un client sms existant dans votre base de donnée SMS, il aura pour tâche de réaliser vos tests de pré-production, en lui distribuant les outils d’inventaire. Puis cliquez sur suivant.

    Enfin, vous serez mené à la dernière étape, où l’assistant va commencer la création et la configurationdespackages que vous utiliserez pour distribuer l’outil d’inventaire au client.

    La procédure d’installation du second composant nommé Security Inventory tool est la même à l’exception du chemin d’installation, et du fichier téléchargé mssecure.cab, c’est un listing contenant la liste des mises à jour de sécurité disponible, il est utilisé par l’outil d’inventaire pour déterminer les mises à jour de sécurité manquantes.

    Dans la console d’administration SMS, nous pouvons observer les tâches réalisées par l’assistant, en effet la création de packages,depublications et des regroupements (Hôte de synchronisation, pré-production) sont désormais visible.

    La liste des mises à jour contenu dans le référentiel couplé au résultat d’inventaire des clients SMS permet de déterminer qui a besoin de correctifs, ainsi nous pouvons planifier un déploiement précis. Pour visualiser ces résultats utilisez la console d’administration, en sélectionnant le nœud « Mise à jour de logiciel ».

      Nous visualisons:

      • Le nom des mises à jour demandé.

      • Le produit concerné.

      • La quantité de demande de mise à jour.

      • Sa disponibilité.

      • Un numéro de référence.

    2.5 Installation de Inventory Tool for Microsoft Updates (ITMU)

    Selon la volonté de Microsoft d’uniformiser et de regrouper ses différents portails de mises à jour (Windows Update, Office Update et Microsoft Update..) dans le but dans avoir un seul et unique de référence à savoir Microsoft Update. C’est ainsi que cet outil à vu le jour, cependant son utilisation engendre quelques petites contraintes.

    Le package SMS2003ITMU_XXX.exe téléchargé, contient:

    • HOTFIXES: Contient les mises à jour à installer avant d’exécuter l’installation d’ITMU.
    • WUA64: Programme d’installation de Windows Update Agent pour processeur 64bit.
    • Readme.htm: Notice d’utilisation de ITMU.
    • Smsitmu.msi: Programme d’installation à exécuter une fois les pré-requis validés.
    • Un guide de déploiement en français.
    • Un guide de pré-installation en français.

    Avant de commencer l’installation de cet outil d’inventaire, il est impératif de valider les points suivant:

    La configuration logiciel des composants de votre infrastructure SMS :

    • SMS 2003 SP1 ou plus installé sur une partition NTFS.
    • Windows 2000 SP3 ou ultérieur sur vos serveurs de site et clients avancés SMS
    • Windows Installer 3.1 sur vos clients avancés.
    • Les correctifs suivant sans lesquels ITMU ne fonctionnera pas correctement tant qu’elles ne seront pas installés:

    Le programme d’installation de l’Outil d’inventaire SMS 2003 pour les mises à jour Microsoft n’est pas en mesure de détecter si les mises à jour nécessaires sont déjà présentes sur le système, vous devez donc procéder vous-même à cette vérification et aux installations requises. Ces mises à jour sont contenus dans le répertoire HOTFIXES.

    L’ordre d’installation de ces mises à jour est le suivant :

    • Appliquez KB 900257 et KB 900401.
    • Appliquez soit KB 901034, soit KB 899512 et KB 892044.
    • Installez la mise à jour KB 900257 sur les serveurs de site et les ordinateurs clients qui disposent d’une console d’administration SMS à distance, à partir de laquelle vous pourrez exécuter l’Assistant Distribution de mises à jour logicielles.
    • Exécutez le script SQL du correctif KB 900401 sur toutes les bases de données SMS qui renvoient des informations de conformité à partir de requêtes ou dans des rapports.
    • Téléchargez la version actuelle de Microsoft Windows Installer et installez-la sur les clients avancés SMS.

    La mise à jour KB 901034 comprend une version récente du client avancé SMS 2003 SP1. Si le déploiement d’un nouveau client dans votre environnement implique la réalisation de tests poussés susceptibles de retarder le déploiement, vous pouvez installer les mises à jour KB 899512 et KB 892044 comme solution de remplacement à l’installation de KB 901034.

    • Installez la mise à jour KB 901034 sur les serveurs de sites principaux.
    • Le cas échéant, installez cette mise à jour KB 901034 sur les serveurs de sites secondaires s’ils sont dotés de points de gestion de proxy.
    • Distribuez le nouveau client avancé SMS extrait de la mise à jour KB 901034.
    Pour plus d’informations consultez:

    Une fois ces mises à jour requises installées, vous êtes enfin prêt à installer et configurer l’Outil d’inventaire SMS 2003 pour les mises à jour Microsoft.

    Exécutez le programme d’installation

    Smsitmu.msi puis

    un assistant vous guidera durant les étapes clés. Une fois l’accord de licence accepté et le répertoire d’installation du binaire choisit

    (par défaut %ProgramFiles%\Microsoft Update Inventory Tool),

    la première étape consistera à sélectionner l’ordinateur désigné en tant qu’hôte de synchronisation.

    Quelques conditions sont requises, l’ordinateur doit être un client avancé SMS et posséder une connection internet afin de télécharger de manière périodique le catalogue Windows Update. Dans le cas où il ne posséderai pas de connectivité vers le Web il est possible d’indiquer un dossier où ce dernier vérifiera la présence du catalogue (Wsuscan.cab) téléchargé manuellement à partir de l’adresse suivante [ici].

    Ensuite l’assistant vous demandera un nom pour les les packages, programmes, regroupement et publication qui seront crées, ils sont nécessaire au bon fonctionnement (par défaut Outil pour mises à jour Microsoft). Ensuite, renseignez le nom d’un client avancéqui servira de test, ce dernier sera placé dans le regroupement spécialement dédié nommé pré-production, quand à l’

    hôte de synchronisation il sera placé dans le regroupement

    Sync.

    L’option « Copier le package outils d’inventaire sur tous les points de distribution » permet au programme de copier l’ensemble de ces objets SMS sur tous les points de distribution présent dans votre infrastructure SMS.

    Ensuite, les paramètres permettant la distribution du nouvelle agent Windows Update

    version 5.8.0.2469 nécessaire à la détection et au déploiement sont configurable. Laissez ces paramètres par défaut. Cependant si vous êtes certain que tous vos clients disposent de l’Agent Windows Update, il n’est pas nécessaire de procéder à une nouvelle installation de cet agent. Attention si vous tentez d’exécuter l’Outil d’inventaire SMS 2003 sur un client ne disposant d’aucune version prise en charge de cet agent la publication Outil pour mises à jour Microsoft échouera.

    Finalement l’installation de l’outils d’analyse ITMU s’effectuera grâce aux différents paramètres renseignés dans l’assistant. Cela prendra quelques minute, en effet le téléchargement du catalogue WSUS est relativement long et assez consommateur en ressources.

    Voila l’installation ce clos accompagnée d’un message de rappel rappelant l’importance que vos clients SMS possèdent la version 3.1 de Windows Installer disponible [ici].

    En résumé par défaut l’assistant créera:

    • Deux packages. L’un pour l’outil d’inventaire Outil pour mises à jour Microsoft et l’autre pour l’Agent Windows Update
    • Trois programmes, un programme utilisé uniquement par l’hôte de synchronisation (Syncxml.exe), le second pour l’outil des mises à jour d’inventaire (ScanWapper.exe), et le dernier pour l’installation de l’agent Windows Update (WindowsUpdateAgent.exe).
    • Trois regroupements, un pour l’hôte de synchronisation, un autre de pré-production qui contient seulement l’ordinateur de test indiqué lors de la procédure d’installation ainsi que celui de production.
    • Deux publications, la première version dite Sync qui envoie le programme de synchronisation (ScanWapper.exe) au regroupement de synchronisation, la seconde envoie la version non expédiée de l’outil d’inventaire au regroupement de production. Attention: Il n’existe pas de publication pour le programme de l’Agent Windows Update puisqu’il s’exécute avant le programme de l’outil d’inventaire comme programme dépendant.

    Finalement voici la liste des mises à jour contenu dans le catalogue Wsuscan.cab couplé au résultat d’inventaire des clients SMS. Ceci permet de déterminer qui à besoin de quoi. Pour visualiser ces résultats utilisez la console d’administration et sélectionnez le nœud «Mise à jour de logiciel ».

    Ici nous observons les mises à jours disponible sur Microsoft Update actualisé par l’hôte de synchronisation.

    Pour tout complément d’information ou problèmes, consultez le Guide de déploiement de l’Outil d’inventaire Microsoft Systems Management Server 2003 pour les mises à jour Microsoft.

    Déclenchement de l’installation des mises à jour

    3.1 Utilisation et configuration de l’assistant de Distribution

    Pour distribuer une mise à jour il est impératif d’utiliser l’assistant de Distribution de mises à jour logicielles. Attention une nouvelle version de cet assistant est disponible suite à l’installation de ITMU, en conséquence quelques modifications sont à noter.

    Son exécution se fait à partir de la console d’administration, sur le nœud « Mise a jour de logiciels« , clic droit, « Toutes les tâches » puis « distribution de mises à jour logicielles« , ceci provoquera l’exécution de l’assistant.

    La première étape se résume à la demande du type de mises à jour que vous souhaitez créer, conformément aux outils d’inventaire installés, vous avez le choix entre MBSA et Office ou bien Microsoft Update (ITMU) selon votre configuration. Cliquez sur suivant.

    Ici il sera possible de créer un nouveau package ou de modifier un package existant. Nous allons en créer un nouveau afin de vous détailler chaque étape de création, sélectionner Nouveau puis suivant.

    Vous êtes invités à renseigner le nom de ce nouveau package et du programme, cliquez sur suivant.

    Voici l’étape de personnalisation du package, où il est possible de renseigner :

    • Le responsable

    • Une notice ou bien un message de l’administrateur au format .RTF accompagnant la mise à jour.(paramètre optionnel) Ceci permet d’avertir les utilisateurs.

    L’assistant nous invites à sélectionner l’outil d’analyse d’inventaire et le nom du programme, je vous conseil de laisser les paramètres par défaut. Cliquez sur suivant.

    Ici, vous apercevez la liste des mises à jour disponibles,sélectionnez ceux qui corresponde à vos besoins, évitez de mélanger les mises à jour qui ne sont pas complémentaires. Il est conseillé de créer un package par type. Je vous recommande fortement d’utiliser les différents filtres de sélection afin de choisir le Produit, Nom, Langue etc.. désiré. Pour information, ces filtres ne sont pas disponible dans une version de SMS 2003 dépourvu du SP1 et ITMU.

    A cette étape, vous avez la possibilité de modifier le répertoire source du package avant que celui-ci soit copié sur le point de distribution de votre site SMS. Nous pouvons également modifier sa priorité d’envoi (faible, moyen et élevé). Puis le type de transfert de la mise à jour sélectionnée sera demander, soit directement du site de Microsoft ou bien manuellement. Cliquez sur suivant.

    Téléchargement du correctif

    Une fois terminé, l’étape nous affiche le statut des mises à jour téléchargées. Nous pouvons voir si la mise à jour est prête ou non à la distribution. Si ce n’est pas le cas comme ici, soit elle n’a pas été téléchargée et il faudra retenter le transfert, soit il faudra spécifier une syntaxe de paramètre grâce au bouton propriétés.

    La liste des syntaxes de paramètres est disponible[ici] ,une fois le paramètre renseigné, le statut de la mise à jour est actualisé pour être prête à la livraison. A signaler une grande nouveauté de l’outil ITMU: la syntaxe des paramètres est enfin automatiquement préconfigurée.

    Propriétés de la mise à jour sélectionnée

    Nous devons ensuite l’assigner aux points de distribution de notre choix.

    Cette étape permet de spécifier la configuration des paramètres de l’agent d’installation. Ainsi vous aurez la possibilité de collecter l’inventaire client directement après la mise à jour et dans le cas où elle nécessite un redémarrage, vous pouvez différer le redémarrage du système, avec la possibilité de le forcer grâce à l’option « Fermer les programmes en cours d’exécution et ignorer les donnés non enregistrer ».

    Cliquez sur suivant, la suite des paramètres de l’agent permet de spécifier le type d’installation à savoir avec ou sans assistance, ainsi que le comportement de redémarrage passé un laps de temps défini.

    Cette fenêtre permet d’avertir les utilisateurs de la mise à disposition de nouvelle mise à jour. D’autoriser ou non son report.

    L’étape suivant permet la configuration et lacréationde la publication associée, en vous demandant à quel regroupement la diffuser et les cycles de rediffusions. Dans cette exemple il s’agit d’une mise à jour à destination SQL serveur, nous allons l’appliquer au regroupement contenant les ordinateurs exécutant ce produit. Il est donc conseillé de créer ces propres regroupements en fonction de son architecture informatique.

    Le package ainsi que la publication associée sont crées par l’assistant.

    Félicitation, le correctif de sécurité est désormais prêt à être distribuer et installé sur vos clients.

    Tips: Pensez à utiliser le composant Etat du système situé dans la console d’administration SMS afin de visualiser l’état des publications et packages.

    Processus d’Installation des mises à jour et Reporting

    4.1 Coté client : Téléchargement et installation des mises à jour

    Les clients SMS des regroupements affectés par une publication de mises à jour devront se connecter à leur point de distribution attitré afin de lancer le téléchargement du package définit. Ce dernier sera stocké en cache. Puis exécuté en fonction de sa planification.

    Il est possible de forcer la synchronisation grâce à l’utilitaire System Management Serveur disponible dans le panneau de configuration du client , puis rendez-vous dans l’onglet Action afin d’initier une action de synchronisation.

    4.2. Fonctionnement de la distribution des correctifs sur des clients itinérants

    La distribution de logiciel repose sur la technologie BITS (Background Intelligent Transfert Service) qui permet :

    • La détection automatique de la capacité de la connexion réseau
    • L’ajustement efficace des vitesses de transfert

    Pour profiter de cette technologie, installez le composant BITS sur vos points de distributions en passant par le panneau de configuration puis configurez son utilisation via la console d’administration SMS dans les propriétés du serveur ayant ce rôle.

    • Voici un exemple de distribution sur un client mobile

    Dans un premier temps le client mobile détecte son point de gestion. Ce dernier lui permet de localiser les différents points de distribution, afin de recevoir les publications des packages d’applications ou de mises à jour disponibles. Les utilisateurs mobiles ont désormais la capacité de recevoir les différents fichiers, et ce sans se soucier de la vitesse du réseau. De plus, La vitesse de téléchargement s’adapte automatiquement afin de reléguer le trafic System management Serveur 2003 à l’arrière plan dans le cas ou d’autres services utilisent la liaison partagée.

    2

    ème

    temps : Le programme est envoyé au client, est stocké dans un cache dans le cas où le transfère se coupe, pour une raison de déconnexion ou bien de déplacement de l’utilisateur, et ce même si l’utilisateur ferme sa session. Ce dernier sera repris dès la reconnexion et ce même s’il se trouve dans un site enfant, en se reconnectant au point de distribution le plus proche.

    3

    ème

    temps : Le programme téléchargé complètement sera exécuté selon la date de sa planification, si celle-ci est définie par l’Administrateur.

    En résumé, ceci permet une réduction du trafic sur des réseaux étendus coûteux et la prise en charge des ordinateurs en fréquent déplacement d’un site à un autre.

    4.3 Analyses et Reporting

    Les résultats des analyses de sécurité sont stockés dans la base de données centrale, et donc exploitable à des fins de Reporting, nous pouvons ainsi contrôler chaque phase du déploiement de chaque mise à jour ainsi que leurs états.

    Exemple de rapport

    De plus il est possible de visualiser dans la console d’administration, le nombre de clients qui ont demandé l’installation de telles mises à jours ainsi que le statut correspondant

    A distance également, sur un client en particulier grâce à l’explorateur de ressources de SMS, vous pouvez vérifier tous les paramètres remontés par les inventaires logiciel et matériel. Dans la console d’administration faites un clic droit sur le client SMS désiré puis « Toutes les tâches » et « démarrez l’explorateur de ressources ».Une fois connecté au client, rendez-vous dans le nœud Matériel puis Ajout/Suppression de programmes.

    Ici nous visualisons les différents correctifs installés sur le client SMS

    Conclusion

    System Management Server 2003 remplit à merveille sa tâche, et c’est sans doute grâce à ses capacités de :

    • Connaître l’état du parc informatique, grâce aux remontés constante d’information sous forme d’inventaire matériel et logiciel, ainsi il est possible de recenser et de déterminer quels sont les dispositifs de sécurité à appliquer et à quelle échelle.

    • Cibler au mieux les besoins de l’entreprise et d’effectuer une planification de la distribution des correctifs demandés, tous en ayant un contrôle total sur ces tâches.

    • Reporting permettant une visualisation de la progression du déploiement (les échecs, les réussites)

    Nul doute, il est le compagnon idéal des administrateurs de grand réseaux informatique en les soulageant grandement, notamment grâce à la centralisation et le contrôle parfait des ressources informatique.

    Il est important de souligner que depuis l’arrivé du Service Pack 1 de SMS couplé au composant ITMU la gestion et le déploiement des correctifs de sécurité ont fait un grand pas en avant. A coté d’une solution basé sur SMS, WSUS résout avec brio cette problématique et ceci d’une facilité déconcertante en s’appuyant notamment sur le service d’annuaire d’Active Directory.

    Pour conclure WSUS ou SMS sont l’un des piliers fondamentales d’une infrastructure informatique sécurisée, c’est finalement un élément à ne négliger sous aucun prétexte lors de la conception (ou consolidation) de la sécurité de votre parc.

    Voici quelques liens complémentaires: