Aujourd’hui, je vous propose de voir comment déployer WSUS sur Windows Server 2019. Et vous allez voir qu’il n’y a aucune complexité ! 🙂
WSUS c’est l’acronyme pour Windows Server Update Services. Il s’agit d’un composant intégré à Windows Server qui vous permet de gérer l’ensemble des mises à jour de votre parc informatique Windows.
Lorsque vous achetez un PC portable pour grand public et qu’il n’est pas connecté à un réseau d’entreprise. Vous réalisez en général les mises à jour via Windows Update en allant chercher les mises à jour directement auprès des serveurs de Microsoft.
Cependant, dans le cadre d’une entreprise, il y a plusieurs raisons qui peuvent nécessiter l’emploi d’un outil spécifique pour les mises à jour comme WSUS :
C’est là que WSUS peut être utile. C’est un rôle intégré à Windows Server qui permet de faire le lien entre les serveurs de Microsoft et votre infrastructure. Vous choisissez les mises à jour à récupérer puis vous définissez comment déployer ces patchs au sein de votre parc.
Au niveau de l’installation, c’est très simple. Installez votre Windows Server puis cherchez et activez le rôle Windows Server Update Services.
Au moment de la sélection du rôle, cela va automatiquement sélectionner toutes les dépendances nécessaires (notamment le WebServer IIS), acceptez simplement. 🙂
Par défaut, votre serveur WSUS aura besoin d’une base de données. Dépendant de vos contraintes techniques et de la taille du parc à gérer vous pouvez partir sur :
Je connais des entreprises avec plus de 800 postes qui sont en WID et pour qui ça marche sans problème. Donc, réfléchissez bien sur la nécessité ou non d’avoir un SQL Server dédié (ou mutualisé).
Vous devrez ensuite choisir où seront stockées toutes les mises à jour prêtes à déployer au sein de votre parc informatique. Il peut s’agir d’un dossier local sur votre WSUS ou bien d’un chemin réseau.
Voilà, c’est à peu près tout pour l’installation du rôle WSUS. Nous allons passer à la configuration.
Une fois l’installation terminée. Vous pouvez exécuter l’assistant de configuration WSUS via la console Update Services (dispo dans les outils Administratifs depuis le menu Démarrer).
Si nécessaire, configurez votre firewall. Votre serveur WSUS doit pouvoir contacter les serveurs Microsoft sur les ports 80/TCP et 443/TCP. Si vous avez besoin de filtrer avec plus de précision, cliquez sur ce lien pour voir les prérequis.
Ci-dessus vous pouvez définir si ce serveur WSUS sera directement connecté au service sur Internet de Microsoft Update pour récupérer les mises à jour – ce qui est notre cas ici.
Sachez toutefois que pour les infrastructures plus complexes / grandes vous pouvez être amené à avoir plusieurs serveurs WSUS. Dans ce contexte, vous pouvez alors créer des serveurs WSUS que l’on appelle Replica ou Autonome.
C’est donc à ce moment de la configuration que vous pouvez associer un serveur WSUS à un autre serveur WSUS de votre infrastructure. 🙂
Si besoin, indiquez un proxy pour que votre serveur WSUS accède à Internet.
Testez la connexion.
Important : c’est à ce moment de la configuration que vous devrez choisir les langues et les produits pour lesquels vous souhaitez chercher et recevoir des mises à jour / correctifs. Ces choix de configuration vont directement influer sur ce qui sera télécharger et mis en cache sur votre serveur WSUS.
Prenez donc uniquement ce dont vous avez besoin pour éviter de stocker du contenu que vous n’utiliserez pas et remplir votre espace de stockage inutilement. Mais n’oubliez rien car sinon un OS ou un produit pourrait ne recevoir aucun patch et constituer une surface d’attaque !
Choisissez également le type de mises à jour que vous souhaitez avoir sur votre infrastructure. Personnellement, à ce niveau-là, je coche tout ! Libre à vous, cela ne signifie pas pour autant que tout va se déployer automatiquement sans contrôle – nous pourrons choisir de déployer ces mises à jour dans la configuration de la GPO – que nous allons voir un peu plus tard. 🙂
La synchronisation c’est l’action d’aller voir chez Microsoft ce qu’il y a de nouveau en termes de patchs et de correctifs. Une bonne façon de faire c’est de l’automatiser et de la planifier pour 1 recherche par jour afin de recevoir rapidement les nouvelles mises à jour qui seraient disponibles.
Ici, il s’agit de fonctionnalités optionnelles que nous verrons ultérieurement.
Dans cette étape, nous allons voir un peu la logique d’utilisation de WSUS.
Le principe est le suivant : dans les premières options à gauche, vous voyez les différentes mises à jour qui sont disponibles auprès de Microsoft. Ces dernières peuvent être classées suivant plusieurs catégories : Critical Updates, Security Updates, WSUS Updates (vous pouvez même créer vos propres catégories).
En cliquant du bouton droit sur les mises à jour (une à une ou par lot) vous pourrez Approuver ou Refuser les mises à jour. Si vous approuvez une mise à jour, celle-ci sera téléchargée et mis en cache sur votre serveur WSUS local. Elle sera alors disponible pour déploiement auprès de votre parc informatique.
Concernant les options sur la gauche, vous pouvez :
Notre serveur WSUS est à présent configuré. Nous avons approuvé des mises à jour qui seront donc disponibles pour nos serveurs et postes clients. Il nous reste maintenant à définir comment nous souhaitons patcher nos serveurs/postes clients. 😉
Pour choisir comment déployer les mises à jour au sein de votre parc informatique, nous allons configurer une GPO WSUS. Toute la configuration se passe dans la section suivante :
Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update
Tous les réglages dont vous avez besoin se trouvent dans cette GPO. Vous verrez que tout n’est pas nécessairement utile mais voici le minimum à mettre en place :
Encore une fois, vous n’avez pas nécessairement besoin d’utiliser tous les réglages possibles pour votre GPO. Mais vous utiliserez sans aucun doute à minima les 2 réglages en gras ci-dessus.
Ce premier réglage vous permet de définir quelle stratégie de déploiement de patchs vous souhaitez pour votre infrastructure : souhaitez-vous que vos PC/Serveurs téléchargement ET installent automatiquement toutes les updates ou bien préférez-vous que tout soit téléchargé mais que le clic d’un administrateur soit nécessaire pour procéder à l’installation.
Cette partie de la configuration est cruciale pour vous assurer de la stratégie que vous visez pour votre parc informatique. Vous devez adapter ce réglage si vous souhaitez éviter que vos périphériques ne redémarrent tout seul – et que vos applicatifs métiers s’arrêtent. 🙂
Enfin, le réglage ci-dessus vous permet de définir le serveur qui porte le rôle WSUS au sein de votre infrastructure.
Je vous laisse le soin de découvrir les autres réglages qui vous permettront d’optimiser encore le comportement de vos serveurs/postes de travail vis-à-vis de votre serveur WSUS. Et n’oubliez pas que vous pouvez créer plusieurs GPO.
Du coup, il est tout à fait possible de créer une GPO qui va mettre à jour automatiquement (téléchargement + installation + restart) les postes clients – mais à l’inverse, qui empêche le redémarrage automatique pour les serveurs (ce n’est qu’un exemple). 🙂
Normalement, avec tout ce que nous avons vu jusqu’à présent vous pouvez faire fonctionner votre infrastructure WSUS. Il existe toutefois quelques options avancées.
Je le disais précédemment mais un serveur WSUS dont vous ne n’approuvez ou refusez pas régulièrement les updates n’a aucun intérêt. Il est donc essentiel de statuer régulièrement sur les updates après que WSUS a effectué sa synchronisation avec Microsoft Update.
Cette tâche peut être assez rébarbative. C’est pourquoi vous pouvez utiliser des règles d’auto-approbation. Vous pourrez alors définir certaines règles permettant par exemple d’approuver automatiquement les mises à jour de type Sécurité / Critiques ou bien en fonction du type de périphériques.
Pour le reste, je vous invite à consulter la documentation officielle sur le site de Microsoft en cliquant sur ce lien. 🙂
Focus Cell : Nouvelle fonctionnalité dans Microsoft Excel pour améliorer votre productivité Nouvelle fonctionnalité «…
OpenAI envisage de lancer son propre navigateur, une menace pour Google ou Microsoft ? OpenAI,…
Microsoft annonce les mises à jour à chaud « Hotpatch » pour Windows 11 24H2 ! Microsoft…
Mise en situation du produit Windows 365 Link par microsoft Microsoft s’apprête à révolutionner le…
Google est au cœur d’une bataille juridique antitrust majeure avec le ministère américain de la…
Microsoft 365 : l'abonnement mensuel pour les entreprises va augmenter (encore) Microsoft vient d'annoncer une…