IT Sec 2006 : Gestion des mises à jour de sécurité avec WSUS et SMS Accueil > Articles > Evènements
Auteurs  Nicolas MILBRAND LABORATOIRE SUPINFO DES TECHNOLOGIES MICROSOFT Ingénieur systèmes et réseaux  Tous les articles de cet auteur		4,1/5 Bien 62152 50/207

2. Présentation et installation des outils d'inventaire

2.1 Présentation des outils d'inventaire

Nous distinguons trois catégories d'outils:

1. Software Update Scanning Tools, un outil de gestion de correctif de sécurité basé sur la MBSA (Microsoft Baseline Security Analyzer)  et Office Security. C'est le première outil d'analyse utilisé par SMS 2.0 et SMS 2003. Privilégiez dès que possible l'outil Inventory Tool for Microsoft Update.

2. Inventory Tool for Microsoft Updates, nouvelle outil d'analyse directement issus de la technologie WSUS (Windows Server Update Services). Il offre un système de gestion fiable et flexible pour les mises à jour de sécurité, les correctifs et les Services Packs. Et permet la gestion de nombreux produits de Microsoft dont Windows, Office, SQL et Exchange. Attention: il ne peut s'installer et fonctionner correctement que sur un système SMS 2003 SP1 comprenant des clients avancés.

3. Outils d'inventaire tierces, ils permettent de gérer les mises à jour des firmwares et drivers de vos stations et serveurs DELL et IBM.

Grâce à l’inventaire logiciel et matériel réalisé par SMS, ces outils permettent de:

• Connaître les besoins des machines du parc au niveau des trous de sécurité, détectés à l'aide de remontées permanentes d'inventaire.
• Déterminer l’état d’avancement des différents correctifs déployés.
• Tester sur des machines ciblées les correctifs avant de les diffuser et ceci de manière discrète aux yeux des utilisateurs.

2.2 Téléchargement des outils d’analyse

Selon la volonté de Microsoft, SMS2003 est dépourvu de ces composants, c’est pourquoi il faut dans un premier temps les acquérir manuellement. Rendez-vous sur le site de Microsoft où ils sont disponible gratuitement et dans plusieurs langues [ici].

Une seconde possibilité vous est offerte, directement dans la console d’administration SMS effectuez un clic droit sur le nœud « Mises à jour logiciels »  et choisissez  « Toutes les tâches » puis « Télécharger les programme d’analyse d’inventaire ».

Vous serez redirigés sur une page de téléchargement qui présente les produits d'analyse supportés par SMS, à savoir:

• IBM Systems Update Tool for Microsoft SMS, pour manager les drivers et firmware de vos eServer IBM.

• SMS 2003 Inventory Tool for Dell Updates Version 3, pour manager les drivers et firmware de vos stations et serveurs DELL.

• SMS 2003 SP1 Scan Tools, Software Update Scanning Tools, actuellement dans sa version SP1 permet la gestion des correctifs sur des parc SMS anciens.

• SMS Extended Security Update Inventory Tool , A télécharger en complément de Software Update Scanning Tools pour bénéficier des derniers correctifs de sécurité.

• SMS 2003 Inventory Tool for Microsoft Updates, Le tout récent outil d'analyse de mises à jour directement issus de la technologie WSUS. Il est recommandé de l'utiliser.

2.3 Rappel des notions essentielles propres à SMS2003

Avant de commencer l’installation de ces composants, voici un bref rappel de notions sur la distribution logiciel de System Management Server, en effet ces outils sont entièrement basés sur ces mécanismes c’est pourquoi il est important de les comprendre et de connaitre le langage spécifique à SMS .

La clé de cette distribution repose sur l’utilisation de packages, ils sont composés ainsi :

• Un package (ayant plusieurs propriétés comme: un identifiant, sa source, des paramètres de distribution…).
• Les programmes  (mise a jours de sécurité, utilitaires…)
• Un serveur ayant le rôle de point de distribution qui l'hébergera.

Une fois que vous avez configuré un package, il sera associé à un groupe contenant des objets (utilisateur, groupe d’utilisateur et ordinateur) regroupés par critère (système d’exploitation, quantité de mémoire physique…), on les appelle simplement regroupement.

Pour lancer l’installation d’un programme sur les membres d’un regroupement, il faut les avertir à l’aide d’une publication qui définit :

• Un package et un programme que vous voulez distribuer.
• Un destinataire, c'est le regroupement.
• Quand ?, ainsi que sa priorité (faible, moyenne et haute)

2.4  Installation de Software Update Scanning Tools

Voici la procédure d'installation du premier outil permettant de mettre à jours votre parc. Utilisez le uniquement si votre parc contient des serveurs SMS 2.0 ou 2003 dépourvu du SP1 et qui sont en gestion de clients hérités SMS.

Software Update Scanning Tools est composé de deux outils d’analyse appelés OfficePatch_XXX.exe et SecurityyPatch_XXX.exe où XXX représente le language de l'exécutable.

• Security Update Inventory Tool est l’équivalant de la MBSA, dont le rôle consiste à rechercher les mises à jour de sécurités manquantes puis en fonction du résultat, la génération de rapports. (Conformément au site Microsoft Update)
• Microsoft Office Inventory Tool for Updates, qui permet de déterminer si les produits de la gamme Office sont à jour (conformément au site Microsoft Office Update)

Nous commençons par installer l'outil d'analyse Office Inventory Tool. Il se présente sous la forme d'un assistant classique. Une fois l’assistant lancé et l’écran de bienvenue et de la licence accepter, l’assistant nous permet de spécifier son emplacement d’installation (par défaut %ProgramFiles%\OfficePatch).

L’étape suivante nous invite à télécharger les fichiers invcm.exe et invcif.exe, ces deux programmes permettent de connaître la liste des mises à jour actuellement disponible et qui sera utilisé par les clients sms pour vérifier l’état des mises à jours d’office installés.

Une fois téléchargé, l’installation et la configuration du composant peut commencer. Cliquer sur suivant.
Nous sommes invités à entrer les paramètres de distribution et de création du future package qui sera utilisé pour l'inventaire des clients. Je vous conseille de laisser la réalisation de ces tâches de création des regroupements, publications et d’affectation à l'assistant. Puis entrer un nom de package de votre choix.

Ensuite l’assistant vous demandera le nom d’un client sms dans le but de créer une tâche planifiée de vérification afin de télécharger la liste des mises à jour la plus récente sur le site de Microsoft. Par défaut ce rôle est attribué au serveur de site SMS, mais vous pouvez  le modifier ou ne pas spécifier d’hôte de synchronisation dans le cas ou vous désirez effectuer ce travail manuellement.  Il est impératif que l’hôte de synchronisation dispose d’un accès à Internet et d’un compte possédant les droits nécessaires.

La prochaine étape vous invite à rentrer le nom d’un client sms existant dans votre base de donnée SMS, il aura pour tâche de réaliser vos tests de pré-production, en lui distribuant les outils d’inventaire. Puis cliquez sur suivant.

Enfin, vous serez mené à  la dernière étape, où l'assistant va commencer la création et la configuration des packages que vous utiliserez pour distribuer l’outil d’inventaire au client.

La procédure d'installation du second composant nommé Security Inventory tool est la même à l’exception du chemin d’installation, et du fichier téléchargé mssecure.cab, c'est un listing contenant la liste des mises à jour de sécurité disponible, il est utilisé par l’outil d’inventaire pour déterminer les mises à jour de sécurité manquantes.

Dans la console d’administration SMS, nous pouvons observer les tâches réalisées par l’assistant, en effet la création de packages, de publications et des regroupements (Hôte de synchronisation, pré-production) sont désormais visible.

La liste des mises à jour contenu dans le référentiel couplé au résultat d'inventaire des clients SMS permet de déterminer qui a besoin de correctifs, ainsi nous pouvons planifier un déploiement précis. Pour visualiser ces résultats utilisez la console d’administration, en sélectionnant le nœud « Mise à jour de logiciel ». Nous visualisons: Le nom des mises à jour demandé. Le produit concerné. La quantité de demande de mise à jour. Sa disponibilité. Un numéro de référence.

Voici un aperçu des analyses réaliser sur les clients SMS  grâce aux composants MBSA et Microsoft Office.

2.5 Installation de Inventory Tool for Microsoft Updates (ITMU)

Selon la volonté de Microsoft d'uniformiser et de regrouper ses différents portails de mises à jour (Windows Update, Office Update et Microsoft Update..) dans le but dans avoir un seul et unique de référence à savoir Microsoft Update. C'est ainsi que cet outil à vu le jour, cependant son utilisation engendre quelques petites contraintes.

Le package SMS2003ITMU_XXX.exe téléchargé, contient: HOTFIXES: Contient les mises à jour à installer avant d'exécuter l'installation d'ITMU. WUA64: Programme d'installation de Windows Update Agent pour processeur 64bit. Readme.htm: Notice d'utilisation de ITMU. Smsitmu.msi: Programme d'installation à exécuter une fois les pré-requis validés. Un guide de déploiement en français. Un guide de pré-installation en français.

Avant de commencer l'installation de cet outil d'inventaire, il est impératif de valider les points suivant:

La configuration logiciel des composants de votre infrastructure SMS :

• SMS 2003 SP1 ou plus installé sur une partition NTFS.
• Windows 2000 SP3 ou ultérieur sur vos serveurs de site et clients avancés SMS
• Windows Installer 3.1 sur vos clients avancés.
• Les correctifs suivant sans lesquels ITMU ne fonctionnera pas correctement tant qu'elles ne seront pas installés:

• Installez la mise à jour KB 900257 sur les serveurs de site et les ordinateurs clients qui disposent d'une console d'administration SMS à distance, à partir de laquelle vous pourrez exécuter l'Assistant Distribution de mises à jour logicielles.
• Exécutez le script SQL du correctif KB 900401 sur toutes les bases de données SMS qui renvoient des informations de conformité à partir de requêtes ou dans des rapports.
• Téléchargez la version actuelle de Microsoft Windows Installer et installez-la sur les clients avancés SMS.

La mise à jour KB 901034 comprend une version récente du client avancé SMS 2003 SP1. Si le déploiement d'un nouveau client dans votre environnement implique la réalisation de tests poussés susceptibles de retarder le déploiement, vous pouvez installer les mises à jour KB 899512 et KB 892044 comme solution de remplacement à l'installation de KB 901034.

• Installez la mise à jour KB 901034 sur les serveurs de sites principaux.
• Le cas échéant, installez cette mise à jour KB 901034 sur les serveurs de sites secondaires s'ils sont dotés de points de gestion de proxy.
• Distribuez le nouveau client avancé SMS extrait de la mise à jour KB 901034.

Une fois ces mises à jour requises installées, vous êtes enfin prêt à installer et configurer l'Outil d'inventaire SMS 2003 pour les mises à jour Microsoft.

Exécutez le programme d'installation Smsitmu.msi puis un assistant vous guidera durant les étapes clés. Une fois l'accord de licence accepté et le répertoire d'installation du binaire choisit (par défaut %ProgramFiles%\Microsoft Update Inventory Tool), la première étape consistera à sélectionner l'ordinateur désigné en tant qu'hôte de synchronisation.

Quelques conditions sont requises, l'ordinateur doit être un client avancé SMS et posséder une connection internet afin de télécharger de manière périodique le catalogue Windows Update. Dans le cas où il ne posséderai pas de connectivité vers le Web il est possible d'indiquer un dossier où ce dernier vérifiera la présence du catalogue (Wsuscan.cab) téléchargé manuellement à partir de l'adresse suivante [ici].

Ensuite l'assistant vous demandera un nom pour les  les packages, programmes, regroupement et publication qui seront crées, ils sont nécessaire au bon fonctionnement (par défaut Outil pour mises à jour Microsoft). Ensuite, renseignez le nom d'un client avancé qui servira de test, ce dernier sera placé dans le regroupement spécialement dédié nommé pré-production, quand à l'hôte de synchronisation il  sera placé dans le regroupement Sync.

L'option "Copier le package outils d'inventaire sur tous les points de distribution" permet au programme de copier l'ensemble de ces objets SMS sur tous les points de distribution présent dans votre infrastructure SMS.

Ensuite, les paramètres permettant la distribution du nouvelle agent Windows Update version 5.8.0.2469 nécessaire à la détection et au déploiement sont configurable. Laissez ces paramètres par défaut. Cependant si vous êtes certain que tous vos clients disposent  de l’Agent Windows Update, il n’est pas nécessaire de procéder à une nouvelle installation de cet agent. Attention si vous tentez d’exécuter l’Outil d’inventaire SMS 2003 sur un client ne disposant d’aucune version prise en charge de cet agent  la publication Outil pour mises à jour Microsoft échouera.

Finalement l'installation de l'outils d'analyse ITMU s'effectuera grâce aux différents paramètres renseignés dans l'assistant. Cela prendra quelques minute, en effet le téléchargement du catalogue WSUS est relativement long et assez consommateur en ressources.

Voila l'installation ce clos accompagnée d'un message de rappel rappelant l'importance que vos clients SMS possèdent la version 3.1 de Windows Installer disponible [ici].

En résumé par défaut l'assistant créera:

• Deux packages. L’un pour l’outil d’inventaire Outil pour mises à jour Microsoft et l’autre pour l’Agent Windows Update

• Trois programmes, un programme utilisé uniquement par l'hôte de synchronisation (Syncxml.exe), le second pour l'outil des mises à jour d'inventaire (ScanWapper.exe), et le dernier pour l'installation de l'agent Windows Update (WindowsUpdateAgent.exe).

• Trois regroupements, un pour l’hôte de synchronisation, un autre de pré-production qui contient seulement l’ordinateur de test indiqué lors de la procédure d’installation ainsi que celui de production.

• Deux publications, la première version dite Sync qui envoie le programme de synchronisation (ScanWapper.exe) au regroupement de synchronisation, la seconde envoie la version non expédiée de l’outil d’inventaire au regroupement de production. Attention: Il n’existe pas de publication pour le programme de l’Agent Windows Update puisqu’il s’exécute avant le programme de l’outil d’inventaire comme programme dépendant.

Finalement voici la liste des mises à jour contenu dans le catalogue Wsuscan.cab couplé au résultat d'inventaire des clients SMS. Ceci permet de déterminer qui à besoin de quoi. Pour visualiser ces résultats utilisez la console d’administration et sélectionnez le nœud « Mise à jour de logiciel ».

Introduction

1. Cycle de diffusion des correctifs de sécurité
      1.1 Fonctionnement du processus étape par étape
      1.2 Recommandations diverses

2. Présentation et installation des outils d'inventaire
      2.1 Présentation des outils d'inventaire
      2.2 Téléchargement des outils d’analyse
      2.3 Rappel des notions essentielles propres à SMS2003
      2.4 Installation de Software Update Scanning Tools
      2.5 Installation de Inventory Tool for Microsoft Updates (ITMU)

3. Déclenchement de l’installation des mises à jour
      3.1 Utilisation et configuration de l'assistant de Distribution

4. Processus d’Installation des mises à jour et Reporting
      4.1 Coté client : Téléchargement et installation des mises à jour
      4.2 Fonctionnement de la distribution des correctifs sur des clients itinérants
      4.3 Analyses et Reporting

5. Conclusion

En Savoir Plus

Evaluez cet article  0 1 2 3 4 5 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft