WSUS

Toutes les pages liées au WSUS

Installation du rôle WSUS et synchronisation

On fait comme pour les autres rôles, en choisissant Services WSUS (Windows Server Update Services) en laissant tout par défaut. 

Ensuite, depuis le menu Démarrer, on cherche "Windows Server Update Services" depuis "Outils d'administration Windows".

image-1610987188203.png

On clique sur "Suivant >" puis on choisit le serveur en amont. On choisit "Synchroniser depuis Windows Update". 

On choisit ensuite le serveur Proxy s'il y en a un.

On clique sur "Démarrer la connexion". Cela va récupérer les types de mises à jour disponibles, les produits pouvant être mis à jour et les langues disponibles.

On clique ensuite sur "Suivant", on sélectionne uniquement la langue Française.

Pour les produits, on choisit selon notre parc.

Les produits qui doivent être mis à jour sont Windows Server 2019 et Windows 10 1903 and later (On coche aussi Windows 10 s’il y a des machines plus vieilles) et « Gestionnaire de serveur Windows – Programme d’installation dynamique de Windows Server Update Services », Developer Tools, Runtimes, and Redistributables (Visual C++ Runtime libraries, etc).

 On coche tout sauf Pilote (Driver) et jeux de pilotes puis on clique sur "Suivant".

Pour la synchronisation, on choisit 4 fois par jour.

Ensuite, la console se lance. On choisit le noeud SRV-WSUS01 (nom du serveur) puis le noeud "Synchronisations" puis on clique sur "Synchroniser maintenant". C'est une étape très longue.

Avant d’approuver les mises à jour, les postes clients et les autres serveurs doivent être connectés aux serveurs WSUS.

Optimisation de WSUS

Tout d'abord, on va modifier les paramètres du pool d'application "WsusPool".

On se rend dans le "Gestionnaire des services Internet (IIS)".

Sous "Pools d'applications", on clique droit sur "WsusPool" puis "Paramètres avancés".

image-1640907795678.png

image-1640907817312.png

On clique droit sur "WsusPool" puis "Arrêter". On attend quelques secondes puis on le redémarre.

Ciblage des postes clients pour les mises à jour via le serveur WSUS

On lance la console "Windows Server Update Services".

On développe le nœud "Ordinateurs" et on clique droit sur "Tous les ordinateurs" puis on sélectionne "Ajouter un groupe d’ordinateurs".

On va ensuite ajouter 4 groupes : "Servers", "Workstations", "Test – Servers", "Test – Workstations".

On clique maintenant sur "Options" puis sur "Ordinateurs".

 

On coche Utiliser les paramètres de stratégie de groupe ou de Registre sur les ordinateurs puis cliquez sur OK.

Création de vues

Dans la console de Services WSUS, on clique droit sur "Mises à jour".

image-1610990186412.png

On clique sur "Nouvelle vue de mise à jour…". On coche la première option, on clique sur "Toutes les classifications" et on coche uniquement "Upgrade". On clique ensuite sur "OK".

image-1610990947998.png

On ajoute ensuite 2 vues pour les mises à jour approuvées pour un groupe précis, ici Test Servers et Test - Workstations

Test - Servers

image-1610991242538.png

Test - Workstations

image-1610991322529.png

On crée ensuite une vue pour toutes les mises à jour sauf les pilotes.

 

image-1610991349168.png

Ensuite, on clique droit sur une colonne et on rajoute différents éléments : 

image-1610991388212.png

On modifie l'Approbation et l'Etat.

image-1610991424315.png

On applique la même chose pour la vue "Test – Workstations".

Pour "All Updates Except Drivers", idem mais "Non Approuvées" et "Echec ou Nécessaires".

image-1610991508468.png

Pour "Upgrades", idem qu'avant sauf "Toutes les exceptions sauf celles refusées" et "Echec ou Nécessaire".

image-1611255996611.png

 

 

 

Création des GPO pour le ciblage WSUS et des groupes de tests des mises à jour


Présentation


Il faut ensuite créer des GPO pour que les postes de travails et serveurs du domaine puissent se mettre à jour via le WSUS et non par les serveurs de Microsoft.


Création des GPO


WSUS - Location


On se rend dans la console de Gestion de stratégie de groupe, on clique droit sur "Objets de stratégie de groupe" puis on crée une nouvelle GPO nommée "WSUS - Location".

image-1610992817492.png

On clique droit sur la nouvelle GPO puis "Modifier". On se rend dans Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows et Windows Update.

image-1610992970489.png

"Spécifier l'emplacement intranet du serveur de mise à jour..." On active et on définit l'url. (L'entrée DNS pour le serveur WSUS doit être présente)

image-1610993001269.png


WSUS - Workstations


On crée ensuite une nouvelle GPO pour les postes de travail nommée "WSUS - Workstations".

On la modifie et on se rend dans Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows, Optimisation de la distribution.

On active "Mode de téléchargement" sur "Réseau local".

image-1610993251453.png

On se rend ensuite dans Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows, Windows Update

image-1610997773666.png

image-1610997325009.png

image-1610997330959.png

EDIT : la GPO ci-dessous n'a pas le résultat escompté d'après Microsoft. (https://techcommunity.microsoft.com/t5/windows-it-pro-blog/why-you-shouldn-t-set-these-25-windows-policies/ba-p/3066178?WT.mc_id=AZ-MVP-5004580)

Il faut la remplacer. Voir la page suivante disponible dans ce chapitre :

image-1610997336347.png

On adapte ici les heures d'activités.

image-1610997341557.png

image-1610997358318.png

image-1610997363198.png


WSUS - Servers


On ne veut pas que les mises à jour s'installent automatiquement sur nos serveurs, sauf pour les mises à jour des définitions de l'antivirus. On va donc activer une option.

Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows, Windows Update.

image-1610998351645.png

image-1622302093406.png


Ensuite, pour les autres options : 

image-1610998372193.png

image-1610998392491.png

Si on a une farm de serveurs, il est préférable de créer plusieurs 'anneaux' de planifications et groupes, en choisissant l'option 4 : "Téléchargement automatique et planifier l'installation" et forcer le redémarrage lors de la maintenance des serveurs.

Pour conclure, ici les mises à jour seront téléchargées automatiquement sur les serveurs, mais ne seront pas installées automatiquement, à l'exception de Windows Defender.


WSUS - Workstations, Test - Workstations

C'est une GPO pour le groupe de ciblage.

Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows, Windows Update

image-1610999484956.png


WSUS - Servers, Test - Servers

C'est une GPO pour le groupe de ciblage.

Configuration de l'ordinateur, Stratégies, Modèles d'administration, Composants Windows, Windows Update


image-1610999526873.png

Lier les GPO aux bonnes OU

On applique la GPO de l'emplacement à toute l'OU.

image-1611000097878.png

image-1611000100885.png

On applique pour les postes de travails la GPO correspondante.

image-1611000118840.png

De même pour les serveurs.

image-1611000132028.png

On n'oublie pas les contrôleurs de domaine.

image-1611000431539.png


Création des groupes de tests

On va créer 4 groupes dans l'OU "Security Groups".

image-1611000730774.png

On fait la même chose pour les 3 autres groupes à créer.

image-1611000751108.png

Dans la console de Gestion de stratégie de groupe, on clique sur la GPO "WSUS - Workstations, Test - Workstations", dans la partie "Filtrage de sécurité", on supprime "Utilisateurs authentifiés".

image-1611000786350.png

On clique ensuite sur "Ajouter..." puis on ajoute le groupe "ACL_GPO.WSUS - Workstations & Test_Apply".

image-1611000843096.png

Dans l’onglet Délégation, on ajoute « Utilisateurs authentifiés » en lecture.

image-1611001098230.png

image-1611001104608.png

image-1611001113445.png


On clique sur Avancé et on ajoute ACL_GPO.WSUS – Workstations & Test_Deny avec les permissions refusées.

image-1611001124641.png

On fait la même chose pour l’autre GPO pour les tests sur serveurs (WSUS - Servers, Test - Servers) avec les deux groupes ACL.


Approbation des mises à jour


Présentation

Il est désormais nécessaire d'approuver les mises à jour manuellement. Il ne faut pas accepter toutes les mises à jour, automatiquement, sans se renseigner et les tester sur le parc informatique.


Approbation

Dans "All Updates Except Drivers", on choisit les mises à jour que l'on veut approuver puis on clique droit, et "Approuver". On sélectionne le groupe d'ordinateurs. Ici, serveurs.

Les mises à jour que l'on souhaite approuver sont celles qui remplacent les anciennes, et celle qui n'ont pas été remplacées et qui n'en remplacent aucune (il n'y aura donc pas d'icône dans la colonne "Remplacement". 

Celles-ci par exemple :

image-1622214654736.png

Il est préférable d'avoir un groupe de test pour les grosses mises à jour (2004, 20H2, 21H1 par exemple) pour voir leur comportement sur les postes du parc.

image-1611257307104.png

image-1611257320346.png

 

 

Installation du runtime Microsoft Report Viewer


Présentation


Avant l'approbation d'une mise à jour, on peut voir quels ordinateurs ont besoin de cette mise à jour.

image-1622207536793.png

Cependant, s'il ont clique, il est nécessaire d'avoir "Microsoft Report Viewer 2012 runtime".

image-1622207677584.png


Installation

Attention : avant l'installation, il faut fermer la console WSUS.

Avant son installation, il faut installer "Microsoft System CLR Types for Microsoft SQL Server 2012".

Sur cette page, dans la partie "Install Instructions", on choisit "Microsoft® System CLR Types for Microsoft® SQL Server® 2012" et on télécharge la version x64 puis on l'installe.

On installe ensuite "Microsoft Report Viewer 2012 Runtime".


Conclusion

Désormais, en cliquant, la fenêtre de rapport s'ouvre.

image-1622207958724.png

On trouve bien les ordinateurs ayant besoin de cette mise à jour.

image-1622207987969.png

Approbation automatique des mises à jour de définition (Windows Defender)


Présentation

Il est important d'approuver automatiquement les mises à jour de définition de Windows Defender, dans le but d'avoir l'anti-virus à jour et donc protégé au mieux le parc.

En soit, déployer via WSUS les mises à jour de Defender n'est pas primordial. A chaque mise à jour, WSUS retélécharge tout (60-70mo en moyenne pour le moment), alors que de passer d'une mise à jour à une autre prend environ 1mo, selon la mise à jour des définitions.
Cela peut être utile en cas de déploiement massif d'appareils, pour éviter que tous les postes, lors du déploiement, téléchargent chacun les définitions.


Approbation automatique

Dans la console WSUS, on se rend dans Options, puis Approbations automatiques.

image-1622304449770.png

On crée une nouvelle règle.

image-1622304547275.png

On coche les deux premières cases, on choisit Microsoft Defender Antivirus, puis on donne un nom à la règle.

image-1622304850870.png


Conclusion

Ainsi, à chaque synchronisation et ajout d'une mise à jour de définition de Microsoft Defender Antivirus, elle sera automatiquement approuvée par le serveur WSUS. 

Mise en place du TLS/SSL pour WSUS


Présentation

Par défaut, WSUS ne chiffre pas les données. De nombreuses failles ont été découvertes, et pour les corriger, il faut activer le SSL. Pour cela, on aura besoin de modifier la GPO de l'emplacement du WSUS (remplacer http:// par https://) et d'ajouter un certificat.
Un exemple de l'importance du SSL : 

Vidéo YouTube faite par 2 intervenants au Black Hat

La mise en place du SSL demandera plus de performance sur le serveur, dû au chiffrement.

Pour la suite, il est nécessaire d'avoir de nombreux modules, comme "Scripts et outils de gestion IIS", GroupPolicy.

image-1622331584080.png


Activation du SSL sur WSUS

Dans mon cas, j'ai récupéré le certificat et la clé privée depuis mon serveur web (fullchain.pem et privkey.pem). J'ai converti en .pfx. Une page est disponible pour cela. De plus j'ai défini un mot de passe.

Import-Module ServerManager
Add-WindowsFeature Web-Scripting-Tools
Install-WindowsFeature GPMC
Install-Module -Name PowerShellGet -Force
Install-Module –Name IISAdministration
Import-Module WebAdministration
Import-Module IISAdministration
Import-Module GroupPolicy

$myFQDN=(Get-WmiObject win32_computersystem).DNSHostName+"."+(Get-WmiObject win32_computersystem).Domain ; Write-Host $myFQDN
# 1. Create a self-signed certificate
$SelfSignedHT = @{
 DnsName = "$($env:COMPUTERNAME).$($env:USERDNSDOMAIN)".ToLower()
 CertStoreLocation = "Cert:\LocalMachine\My"
}
New-SelfSignedCertificate @SelfSignedHT
$cert = Get-ChildItem -Path Cert:\LocalMachine\My -SSLServerAuthentication
# 2. Export its public key
Export-Certificate -Cert $cert -Type CERT -FilePath ~/documents/cert.cer
# 3. Import the public key in the Trusted Root Certificate Authorities store
Import-Certificate -FilePath ~/documents/cert.cer -CertStoreLocation Cert:\LocalMachine\Root
# 4. Select this certificate in the SSL bindings
$cert | New-Item IIS:\SslBindings\0.0.0.0!8531
# MANUALLY require SSL IIS - voir plus bas
# 6. Switch WSUS to SSL
& 'C:\Program Files\Update Services\Tools\WsusUtil.exe' configuressl $("$myFQDN".ToLower())
# 7. Change your GPO to point to the new URL
$key = 'HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate'
$uri = 'https://{0}:8531' -f $("$myFQDN".ToLower())
Get-GPO -All | Foreach-Object { 
 if ($_ | Get-GPRegistryValue -Key $key -ValueName WUServer -EA 0) {
  $_ | Set-GPRegistryValue -Key $key -ValueName WUServer       -Value $uri -Type String
  $_ | Set-GPRegistryValue -Key $key -ValueName WUStatusServer -Value $uri -Type String
 }
}

 

Sur IIS, pour chaque page, on change les paramètres SSL.

image-1622335550206.png

image-1622335859699.png

On fait cela pour SimpleAuthWebService, DSSAuthWebService, ServerSyncWebService, APIRemoting30 et ClientWebService.


Publication du certificat

Dans la GPO "WSUS - Location", on importe le certificat.

image-1622336143374.png

On importe ~/documents/cert.cer.

image-1622336278780.png

image-1622340017771.png

 


Conclusion

Dans la console WSUS, on est bien en SSL.

image-1622340119158.png

On peut vérifier les logs de Windows Update d'un client via l'invité Powershell :

Get-Windowsupdatelog

Résoudre l'apparition de duplicatas de WSUS dans la console


Présentation

Après la mise en place du SSL, j'ai des duplicatas dans la console WSUS.

image-1622381839064.png


Résolution

On se rend dans %appdata%\Microsoft\MMC\ et on supprime tous les fichiers de ce dossier. On redémarre ensuite le serveur WSUS.

Il faudra sûrement recréer les vues précédemment créées.


Conclusion

On a désormais qu'un seul serveur dans la console.

image-1622382138085.png

Installation automatique des définitions de Microsoft Defender


Présentation

Par défaut, les définitions de Microsoft Defender sont mises à jour toutes les 24 heures, ou via Windows Update selon la fréquence de recherche de mises à jour. Cependant, selon les GPO mises en place précédemment, elles ne s'installent pas automatiquement (sauf à l'heure planifiée pour les Workstations). 

En soit, déployer les mises à jour de Defender n'est pas primordial. A chaque mise à jour, WSUS retélécharge tout (60-70mo en moyenne pour le moment), alors que de passer d'une mise à jour à une autre prend environ 1mo, selon la mise à jour des définitions.
Cela peut être utile en cas de déploiement massif d'appareils, pour éviter que tous les postes, lors du déploiement, téléchargent chacun les définitions.


Installation automatique des définitions

Pour résoudre ce problème, on va utiliser une GPO.

Dans WSUS - Servers et WSUS - Workstations, on se rend ici, et on définit la fréquence pour une heure. Pourquoi une heure ? Dans le but d'avoir des définitions toujours à jour.

image-1622461546084.png

image-1622461562045.png


Conclusion

Ainsi, les définitions seront mises à jour automatiquement.

Si le serveur WSUS n'a pas la mise à jour des définitions la plus récente, elle sera téléchargée depuis Microsoft. Il est donc nécessaire d'augmenter la fréquence de synchronisation du serveur WSUS

Il est possible que sur les serveurs, on retrouve tout de même la demande d'installation en manuel. La mise à jour est pourtant déjà installée.

Windows Server 2022 et WSUS

Pour avoir les mises à jour de Windows Server 2022 dans WSUS, il faut ajouter un produit nommé "Microsoft Server operating system-21H2".

image-1640910176339.png

En effet, Windows Server est basé sur Windows 10 21H2.