Gérer les mises à jour (MAJ) de sécurité avec WSUS dans un domaine AD

… parce qu’un peu de théorie avant la pratique n’a jamais fait de mal 🙂

Architecture :

  • Un serveur WSUS membre du domaine AD
  • Un accès internet pour le serveur WSUS
  • Configurer des GPOs pour cibler les ordinateurs qu’on souhaite patcher
  • Gérer les MAJ pour les ordinateurs non-membres du domaine
  • Mettre en place un planning de gestion des mises à jour (MAJ)

Petit rappel :

Windows Server Update Services (WSUS) permet aux administrateurs systèmes de déployer les dernières mises à jour de produits Microsoft sur les ordinateurs qui exécutent le système d’exploitation Windows. En utilisant WSUS, les administrateurs peuvent gérer entièrement la distribution des mises à jour publiées via Microsoft Update sur les ordinateurs de leur réseau. Pour plus d’information sur le produit, consulter le site dédié à WSUS.

Microsoft publie tous les deuxièmes mardis de chaque mois un bulletin de sécurité (Tuesday patch) pour ses applications et systèmes d’exploitation, consultable sur ici.

Gestion des MAJs en entreprise (retour d’expérience) :

Je vous propose dans cette rubrique, ce retour d’expérience sur la façon de gérer le patch management mensuel en environnement de production.

Semaines Plan de mise à jour
Semaine 1:

Ne pas déployer de mise à jour.

Les admins ont aussi droit à des journées tranquilles non? 🙂

En réalité, cette période doit servir à préparer le patch du mois en cours, s’assurer :

  • de l’état de santé du serveur WSUS
  • de ce que les ordinateurs à patcher communiquent bien avec le serveur WSUS
  • développer des scripts de reporting, reboot etc…
Semaine 2 :

Postes/Serveurs pilotes

  1. Sortie des mises à jour par Microsoft
  2. Appliquer les mises à jour de sécurité et les mises à jour critiques sur les postes/serveurs pilotes
  3. Redémarrer les postes/serveurs pilotes
  4. Surveiller les postes mis à jour
  5. Corriger les éventuels bugs/anomalies
Semaine 3 :

Postes/Serveurs de Production 1

  1. Appliquer sur un groupe de postes/serveurs en production
  2. Redémarrer les postes/serveurs de production
Semaine 4 :

Postes/Serveurs de Production 2

  1. Appliquer les mises à jour des serveurs critiques
  2. Redémarrer les serveurs critiques

NB: Pour les serveurs redondants c’est-à-dire en Load balancing ou en Cluster de basculement, éviter de patcher les deux dans la même vague de mises à jour.

Exemple: Mise à jour de serveurs Exchange membres d’un DAG à trois (03) noeuds. supposons qu’il y a des bases actives uniquement sur 2 noeuds (SRVEX01 et SRVEX02), le troisième (SRVEX03) étant dédié aux copies passives.

Dans le cadre d’un patch management, on pourra suivre l’ordre suivant:

  1. Mise à jour de SRVEX03 (semaine 2, dans le lot des serveurs pilotes)
  2. Ensuite, passer à la maj du serveur SRVEX01 (Semaine 3, dans la première vague de cette semaine)
  3. Terminer avec SRVEX02, toujours dans la semaine 3, vague 2 par exemple.

NB: les semaines étant composées de 5 jours ouvrés, je vous conseille les vagues horaires suivantes:

  1. Vague 1 : Nuit de Lundi à Mardi
  2. Vague 2 : Nuit de Mardi à Mercredi
  3. Vague 3 : Nuit de Mercredi à Jeudi

Attention !

Les journées de Jeudi et de vendredi peuvent être utiles à la résolution d’éventuels incidents liés au patch management. C’est pourquoi je vous conseille de ne surtout pas faire de maj durant cette période et aussi la veille des jours fériés au risque de les consacrer à la résolution d’incidents 🙂 …

…Dans une prochaine rubrique, je vous expliquerai comment installer WSUS pour la gestion des mises à jour.