Présentation des services SUS

&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp De nos jours, la sécurité et la stabilité sont très importantes pour les entreprises. Microsoft met donc à disposition des utilisateurs des patchs de sécurité ainsi que des patchs de mises a jour pour les programmes tels qu’Office, Outlook, Internet Explorer,… &nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp Dans le cas d’un réseau de grande taille, il est très difficile de vérifier sur chaque machine si les mises à jour sont effectuées et surtout si elles ne vont pas entrainer des problèmes de fonctionnement.

&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp Les services SUS (Software Update Services), qui sont disponibles depuis Windows 2000, ont pour rôle de consulter Windows Update régulièrement (via des planifications par exemple), et de télécharger des mises à jour. Ces mises à jour sont ensuite stockées en interne et sont disponibles pour tous les serveurs et clients Windows du réseau (Windows 2000 Professional, Server, Advanced Server avec le SP2 ainsi que Windows XP Professional et Home Edition). Il s’agit en quelque sorte d’un proxy pour les mises à jour. L’administrateur devra ensuite configurer les clients pour planifier leurs connexions vers le(s) serveur(s) SUS afin d’effectuer les mises à jour. Cette configuration peut être effectuée en utilisant une GPO si son intégration fait partie d’un domaine. L’intêret principal des services SUS est de pouvoir tester une mise à jour sur un nombre restreint de machines, puis de publier ces mises à jour si les tests se sont déroulés correctement sur les machines concernées.

&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp Nous verrons donc dans un premier temps comment installer les services SUS, ensuite nous aborderons les fonctionnalités, pour finir par l’intégration au sein d’un domaine Active directory.

1.1. Installation

Les prérequis

Pour permettre aux utilisateur du réseau de récupérer et installer les mises à jour que vous aurez approuver, il vous faut un serveur où sera installée la version serveur de SUS. Ce serveur doit avoir les caractéristiques matérielles suivantes:

  • P III 733Mhz ou supérieur
  • 512Mo de RAM
  • 6Go d’espace disque disponible

La configuration logicielle minimale est la suivante:

  • Windows 2000 SP2 ou supérieur, ou Windows 2003 Server
  • IIS 5.0 ou version ultérieure
  • IE 6.0 ou supérieur

D’après Microsoft, cette configuration devrait permettre de supporter jusqu’à 15.000 ordinateurs clients. Il faut néanmoins noter que cette configuration est le strict minimum. En effet, en fonction du nombre de logiciels utilisés bénéficiant du support Windows Update, un disque dur de 6Go sera vite rempli. De plus, si les ordinateurs clients doivent se connecter simultanément au serveur pour récupérer les mises à jour, il faudra un disque dur avec une vitesse de rotation importante (préférer un disque dur SCSI).Pourquoi Internet Explorer sur le serveur ? Le serveur nécessite Internet Explorer non pas pour les mises à jour (puisque la mise en ligne des patchs de sécurité critique est notifiée dans la barre des tâches) mais pour l’administration du serveur SUS. C’est à partir de cette fenêtre IE que vous pourrez choisir les mises à jour à approuver, etc…

Installation coté serveur

Tout d’abord il faut vous assurez que les services IIS sont bien installés sur le serveur: aller dans Démarrer,Panneau de configuration, Ajout/suppression de programmes, Ajouter ou supprimer des composants Windows, Serveurs d’applications, cliquez sur Détails, puis sélectionnez les services IIS. Ensuite,il vous faut télécharger le programme d’installation de SUS car ce service n’est pas disponible sur le CD-ROM de Windows 2000 ou 2003 Server. Pour ce faire il faut se rendre à l’adresse suivante: https://www.microsoft.com/windows2000/windowsupdate/sus/default.asp. Après avoir téléchargé le fichier, il vous faut l’éxécuter pour lancer l’installation: une fenêtre DOS ainsi qu’une boite de dialogue s’ouvrent:Cliquez sur « Next ».Dans cette fenêtre, il vous faut accepter le contrat de license puis cliquer sur « Next ».Ici, vous devez choisir quel type d’installation vous souhaitez effectuer: Typique ou Personnalisée.

  • Installation Typique:

Si vous choisisez ce type d’installation, vous accéderez directement à cette fenêtre:Il ne vous reste plus qu’à cliquer sur « Install » pour démarrer le processus d’installation. Lorsque l’installation est terminée vous arriverez à cette fenêtre:En cliquant sur « Finish », une fenêtre Internet Explorer va alors s’ouvrir. Vous aurez la possiblité de choisir les options pour votre serveur SUS, de planifier les synchronisations, etc…

  • Installation Personnalisée:

Si vous choisissez ce type d’installation, vous aurez plusieurs options à paramétrer.Ici vous allez pouvoir sélectionnez le dossier où seront stockées les mises à jour que vous aurez télécharger lors des synchronisations. Après avoir sélectionné le dossier, cliquez sur « Next ». Vous arrivez alors au choix des langues pour les correctifs : vous pouvez choisir seulement l’Anglais, toutes les langues, ou bien sélectionner les langues parmis une liste des plus courantes.Cliquez sur « Next ». Ensuite vous arrivez au mode d’approbation des nouvelles versions de correctifs déjà approuvés. Sélectionnez le mode qui vous convient puis cliquez sur « Next ».Il ne vous reste plus qu’à cliquer sur « Install » pour lancer l’installation de votre serveur SUS.Cliquez ensuite sur « Finish » pour accéder à la configuration de votre serveur SUS.

Installation coté client

La méthode d’installation côté client dépend du Service Pack installé sur le client. Dans le cas où le client serait sous Windows XP sans SP1 ou Windows 2000 avec le SP2 ou inférieur alors il vous faudra télécharger le client SUS à cette adresse : https://www.microsoft.com/windows2000/windowsupdate/sus/default.asp. Ensuite il vous faudra suivre les instructions pour installer le client et definir votre serveur SUS.

Si vous utilisez Windows XP SP1 ou 2000 avec SP3 ou supérieur alors le module client est déjà présent. Vous aurez alors la possibilité de définir une stratégie de groupe pour les clients (voir Partie III).

1.2 Fonctionnalités

Grâce à Internet Explorer vous allez pouvoir administrer votre serveur SUS. Les fonctionnalités sont décrites ci-après:

« Welcome »

Dans ce menu, vous aurez accès à deux manuels: overview et deplyguide qui vous aideront lors de l’installation de votre serveur SUS. Ces deux manuels peuvent être directement téléchargés (disponibles au même endroit que le programme d’installation).

« Synchronize server »

Ici, vous pourrez voir quand la dernière synchronisation a été effectuée, la date de la prochaine synchronisation (lorsqu’elle est planifiée). Vous pourrez également lancer une synchronisation manuellement en cliquant sur « Synchronize Now » ou bien planifier celle-ci en cliquant sur « Synchronization Schedule ». Une fenêtre s’ouvre alors en vous proposant plusieurs options pour la planification:Vous pouvez choisir l’heure à laquelle la synchronisation doit avoir lieu, la fréquence (quotidienne ou hebdomadaire) et le nombre d’essais en cas d’échec. Lorsque la synchronisation a bien été lancée, le menu se présente ainsi:

« Approve updates »

C’est d’ici que vient tout l’intêret du service SUS : vous allez pouvoir définir les mises à jour auxquelles les clients vont avoir accès. Vous pouvez voir les mises à jour approuvées, ainsi que des propriétés sur les mises à jour (nécessite un redémarrage de l’ordinateur, les systèmes d’exploitation sur lesquels vous pouvez utiliser ces patchs, …): Pour approuver une ou plusieurs mises à jour, sélectionnez-les en cliquant dans les cases correspondantes puis cliquez sur « Approve ». Ensuite cliquez sur « Oui » puis « Accept ». Les mises à jour approuvées vont alors changer d’état : Une boite de dialogue s’ouvre vous indiquant que les mises à jour ont bien été approuvées et qu’elle sont disponibles pour la distribution aux clients. Cliquez sur « Oui ». Les mises à jour approuvées changent alors de statut : elles passent de « Not approved » à « Approved« . Lorsque vous revenez dans ce menu, les mises à jour approuvées sont automatiquement cochées. Si vous les décochez et que vous en sélectionnez d’autres, celles que vous aurez décochées deviendront « non approuvées ». En effet, seules les mises à jour que l’on aura cochées avant de cliquer sur « Approve » seront approuvées, les autres resteront non approuvées ou le deviendront. En dessous de la description des correctifs vous pourrez voir deux informations:

  • Installation requires a reboot

    : Cela signifie que lorsque ce correctif est installé, il faudra redemarrer l’ordinateur client.

  • Applies to

    : Cela permet de voir rapidement a quel(s) OS ou logiciel(s) ce patch va s’appliquer.

« View synchronization log »

Ici vous pouvez voir, la dernière date de synchronisation, le mode de synchronisation (manuelle ou planifiée), les patchs ajoutés, les patchs supprimés et les erreurs en cas d’échec lors d’une synchronisation. Vous avez également la possibilité d’effacer tout le contenu (en cliquant sur « Clear log ») ou bien de l’imprimer (en cliquant sur « Print log… »). Ce log est intéressant dans la mesure où certaines synchronisations planifiées peuvent échouer et donc vous pourrez voir de quand date la dernière synchronisation réussie (et éventuellement en lancer une nouvelle manuellement ou en planifier une autre).

« View approval log »

Cette fonctionnalité permet de connaître l’état des mises à jour (approuvées ou non), la personne qui a effectué cette approbation (dans le cas de délégation de pouvoir) ainsi que la date où les changements ont été effectués. Comme précedement vous avez la possibilité d’effacer le contenu de ce log (« Clear log ») ou encore de l’imprimer (« Print log… »).

« Set options »

Ce menu est plus général, en effet il vous permet:

  • De spécifier un serveur proxy si vous en utilisez un
  • De spécifier le nom du serveur pour que les clients accèdent à celui-ci
  • De sélectionner le serveur auquel votre serveur va se connecter pour la synchronisation (directement le serveur de Microsoft Windows Update ou bien en passant pas un serveur SUS local)
  • De décider ce que vous souhaitez faire lorsque vous téléchargez une nouvelle version d’une mise à jour approuvée auparavant
  • De choisir les langues dans lesquelles vous souhaitez synchroniser les patchs.

« See also »

Cette partie est principalement constituée de liens vers des sites Microsoft. Ces sites vous apportent de l’aide dans l’installation et la configuration de votre serveur SUS.

1.3 Intégration Active Directory

Pour installer les services SUS au niveau des clients, il vous faut créer une stratégie de groupe. Pour cela, dans votre éditeur de GPO, déroulez Configuration ordinateur puis Composants Windows puis cliquez sur le dossier Windows UpdateVous pouvez définir les jours et heures où les clients vont contacter le serveur à la recherche de nouvelles mises à jour dans l’objet Configuration du service Mises à jour automatique. Il est également possible de définir quelle sera la méthode d’installation sur le client :

  • Notification de téléchargement et demande d’installation
  • Téléchargement automatique et notification d’installation
  • Téléchargement automatique et planification de l’installation

Double-cliquez ensuite sur Spécifier l’emplacement intranet du service de mises à jour Microsoft. C’est ici que vous devrez spécifier le nom de votre serveur pour que les clients s’y connectent et téléchargent les mises à jours disponibles (c’est à dire les mises à jour que vous avez approuvées).Appliquez enfin ces GPO au(x) groupe(s) désiré(s). Les utilisateur contacteront donc le serveur que vous aurez spécifier et non pas le site de Windows Update.

Présentation de MBSA

Après l’apparition de Windows Update, Microsoft publia dernièrement un outil baptisé Microsoft Baseline Security Analyser (MBSA). Cet outil de 2,5 Mo doit être installé sur un PC équipé de Windows XP, 2000 ou 2003. Depuis le 4 juin 2003, la version 1.1.1 est disponible sur https://www.microsoft.com/technet/security/tools/tools/MBSAhome.asp et https://www.microsoft.com/france/technet/themes/secur/info/mbsa.html. Cet outil va nous permettre de scanner une machine afin d’en déceler les éventuels problèmes concernant leur sécurité. Voici alors ce à quoi va s’intéresser MBSA:

  • Windows NT4.0, Windows 2000, Windows XP, Windows Server 2003
  • IIS 4.0, 5.0, 6.0
  • SQL 7.0 & SQL 2000 (y compris MSDE)
  • Internet Explorer 5.01 et ultérieur
  • Windows Media Player
  • Exchange 5.5, Exchange 2000 et 2003
  • Office 2000, XP et 2003
  • Outlook

Le programme ne fonctionne pas avec les versions 95, 98 ou Me du système d’exploitation.

Nous allons donc étudier dans les chapitres suivants, l’installation et le mode d’utilisation de cet outil.

2.1. Installation

    • Télécharger MBSAMBSA_Setup.msi. (Jusque là il n’existe que la version anglaise).

– Pour les utilisateurs préférant l’installer à l’aide d’un assistant, lancez Mbsa.exe à partir du dossier où le produit a été téléchargé.

– Une interface en lignes de commande a également été prévue pour le déploiement: mbsacli.exe

    • Bien lire le contrat de licence, cocher : «I accept the licence agreement » puis cliquer sur next :
    • Entrer les informations vous concernant puis cliquer sur next.
    • Choisissez un emplacement de destination pour votre programme de scan en cliquant sur browser, puis next :

    • Choisissez les options d’installation puis cliquez sur next.
    • Dans la fenêtre suivante vous remarquez que vous n’avez pas le choix du mode d’installation, le programme sera installé entièrement sur le disque dur, cliquez sur

next.

  • Cliquez encore sur next pour commencer l’installation, ainsi vous pouvez la suivre d’après la fenetre qui suit :

Si vous avez Norton activé, vous verrez cette fenêtre suivante apparaitre, il suffit d’autoriser le script :

Enfin, MBSA est installé.

2.2. Utilisation

2.2.1. En local

    • Après l’installation, lancez MBSA, vous verrez ainsi une fenêtre vous affirmant le succès de l’installation, cliquez sur next pour aboutir a la fenêtre suivante:
    •  Dans ce cas, supposons que notre ordinateur n’est pas en réseau (on verra dans le chapitre qui suit comment procéder dans le cas contraire). Cliquez sur scan a computer pour lancer le scan de votre ordinateur.
    • La fenêtre qui suit vous invite à entrer le nom de votre ordinateur, celui-ci vous le trouverez dans :

poste de travail clic droit sur propriétés > dans l’onglet  nom de l’ordinateur .

Note:Dans le champ nom de l’ordinateur, vous devez entrer celui-ci précedé du nom du groupe auquel appartient votre ordinateur, par defaut : c’est workgroup (vous pouvez le changer si besoin).

    • vous pouvez maintenant lancer le scan pour votre ordinateur en cliquant sur scan a computer

2.2.2. En Reseau

Note :

Avant de procéder au scan, vérifiez si le service « serveur » est activé, sinon vous ne pourriez pas continuer le scan. Pour ce faire, allez dans : Demarrer > outils d’administration > services > dans la liste, double-cliquez sur : serveur et mettez le type de démarrage en automatique.

  • lancez MBSA, et cliquez cette fois sur : scan more than a computer, puis sur : next
  • dans la fenêtre suivante, entrez le nom du domaine ou l’intervalle des adresses IPs qui identifient l’ensemble des ordinateurs à scanner sur le reseau.

Et le scan se fait juste après.

3.3.3. Les rapports de sécurité

Les résultats sont ensuite présentés sous la forme d’un tableau central avec un rapport détaillé pour chaque machine.

Voici un resultat de scan d’une machine plus ou moins mise a jour:

– Des croix rouges ou jaunes indiquent des points de système plus ou moins mal sécurisés. – Des signaux verts montrent les points sécurisés.

Vous pouvez voir ce qui a été scanné pour chaque point en cliquant sur :What was scaned :

Vous pouvez aussi voir les resultats en details en cliquant sur : result details:

Le rapport MBSA précise pour chaque point litigieux la solution à adopter, qu’il s’agisse de rectifier des paramétrages ou de télécharger une mise à jour. Pour voir ces solutions, cliquez sur how to correct this :

Enfin, les rapports générés au format XML peuvent donc être facilement exploités par des applications tierces.

Conclusion

&nbsp&nbsp&nbsp&nbsp On s’apercoit bien ici que l’installation des services SUS a une importance au niveau de la sécurité du fait de la mise en ligne régulière des patchs de sécurité. Cela permet d’être sûr que tous les postes clients installent régulièrement les mises à jour. Au sein d’un domaine Active Directory, il est très aisé d’intégrer ces services ce qui en fait un outil très simple et complet dans une logique de sécurité informatique. De même, l’utilisation de MBSA permet de rapidement relever les failles de sécurité et les défauts à réparer d’urgence. Cet utilitaire prend toute son ampleur sur des serveurs de production, et plus particulièrement sur des serveurs de publication de ressources externes.

Introduction

A travers cet article, nous allons nous intéresser à la sécurité et à la mise à jour des systèmes d’exploitation Microsoft. Pour cela, nous allons développer 2 technologies différentes:

  • Les services SUS (Software Update Services): ces services vont permettre la centralisation des téléchargements des mises à jour sur un serveur, et ce dans des objectifs de tests avant déploiement à grande échelle

  • MBSA (Microsoft Baseline Security Analyser): cet outil va nous permettre de générer des rapports de sécurité de machines, et ce plus particulièrement sur des serveurs. Cela permettra de trouver les solutions adaptées pour la sécurisation et le bon fonctionnement de serveurs au sein d’une entreprise.