La gestion des correctifs enfin facilitée

Avant de superviser les clients SMS pour voir s’ils respectent vos mises à jour logicielles (ligne de base et package) de configuration pour la distribution, il faut utiliser les Software Update Scanning Tools pour étendre SMS 2003. Vous trouverez ces outils à http://www.microsoft.com/smserver/downloads/2003/default.asp.

Vous pouvez aussi les obtenir en lançant la SMS Administrator Console à partir du groupe de programmes Systems Management Server, en étendant Site Database, en faisant un clic droit sur Software Updates et en sélectionnant All Tasks, Download Inventory Scanning Programs dans le menu contextuel. Sur la page de téléchargement, choisissez la langue qui vous convient dans la liste déroulante et cliquez sur Go. Vous serez alors invité à ouvrir ou à sauvegarder le package exécutable. Il contient deux outils de scanning : Security Update Inventory Tool et Office Inventory Tool for Updates. Vous allez installer et intégrer les outils dans SMS 2003 en exécutant les deux packages d’installation.

Le Security Update Inventory Tool est semblable à Microsoft Baseline Security Analyzer (MBSA) 1.2. Mais, en plus de rechercher les mises à jour de sécurité manquantes, de créer des rapports et de détecter les options de configuration qui présentent des risques potentiels de sécurité, le Security Update Inventory Tool distribue les mises à jour et configure les ordinateurs. Il supporte plusieurs platesformes et produits serveur, dont Windows Server 2003, Windows XP, Windows 2000, Microsoft Exchange Server 2003 et Microsoft BizTalk Server 2000. (Le site SMS Software Update Services Feature Pack Web – http://www.microsoft. com/smserver/downloads/20/featurepacks/suspack – contient la liste complète des produits pris en charge par le Security Update Inventory Tool.)

Le Office Inventory Tool for Updates utilise l’Office Update Database pour déterminer si les installations Windows 2003, Win2K et Windows Office 2003 sont à jour.
Les données résultantes sont incluses dans l’inventaire SMS. Lors de l’exécution du package transféré, le système vous demande le dossier dans lequel vous voulez mettre les packages d’installation des deux outils de scanning et la documentation connexe.

Comme les Software Update Scanning Tools utilisent la fonction de distribution logicielle SMS pour scruter et distribuer les correctifs, il est important de bien comprendre comment marche cette fonction. Les packages sont le socle de la distribution logicielle ; chacun contient trois composants primaires : les fichiers source (packages, dans notre cas), les programmes, et le point de distribution associé. Le point de distribution est un serveur qui hébergera les fichiers source.
Une fois que vous avez configuré un package, il a besoin d’une cible qui, en jargon SMS, est une collection. Une collection contient des objets utilisateur, groupe et ordinateur. Pour exécuter un programme sur les membres d’une collection, il faut créer une publicité qui définit le package et le programme que vous voulez distribuer ainsi que les collections qui recevront la distribution.

Le programme d’installation Security Update Inventory Tool est un wizard. Une fois que vous avez cliqué sur Next sur l’écran de bienvenue, accepté l’accord de licence, et cliqué sur Next, le wizard vous demande un emplacement de dossier.
Acceptez l’emplacement par défaut (%ProgramFiles%\ SecurityUpdate) ou entrez- en un nouveau et cliquez sur Next. Le wizard vous invite à transférer le fichier MSSecure. xml en format CAB (compressed cabinet). L’outil d’inventaire utilise ce fichier pour vérifier les mises à jour logicielles manquantes sur les systèmes client SMS.

Une fois que vous avez transféré le fichier et cliqué sur Next, le wizard vous invite à cliquer à nouveau sur Next pour installer les outils. Puis il vous guide dans deux opérations :
entrer les paramètres de distribution et créer le package qui scrutera les clients SMS. Dans un environnement de test, vous pouvez accepter sans danger les paramètres par défaut et entrer un nom de package, comme le montre la figure 1, ou bien modifier les options en fonction de votre environnement. Ensuite, le wizard vous demande le nom NetBIOS d’un client SMS puis crée sur ce client une tâche planifiée qui transférera le fichier MSSecure le plus récent. Par défaut, le wizard affiche le nom du serveur SMS, mais vous pouvez changer le nom ou le supprimer si vous ne voulez pas mettre en place une tâche planifiée. Le système que vous sélectionnez a besoin d’être connecté à Internet pour pouvoir transférer le fichier, et la tâche ne s’exécutera correctement qu’une fois qu’un utilisateur dûment privilégié se sera connecté. (En principe, les privilèges au niveau administrateur sont nécessaires, mais vous pouvez aussi configurer les comptes utilisateur.) Autre possibilité : transférer manuellement le fichier et le copier dans le dossier dans lequel vous avez installé le Security Update Inventory Tool. (Placez le fichier dans le sous-dossier de la langue appropriée – par exemple, sous-dossier 1033 pour l’anglais US). Si, dans une étape précédente, vous avez choisi de créer un package chargé de scruter les clients, le wizard vous invite à entrer le nom d’un client SMS à destination duquel vous pouvez distribuer les outils d’inventaire, puis les tester. Pour que l’installation suive son cours, vous devez entrer un nom de système qui existe dans la base de données SMS. Deux clics sur Next commencent l’installation et la configuration du package que vous utiliserez pour distribuer l’outil d’inventaire aux clients. C’est la dernière étape du wizard.

En ouvrant la SMS Administrator Console et en regardant sous les noeuds Packages, Advertisements et Collections, vous pouvez vous assurer que le package que vous avez spécifié – et une publicité et aussi les collections pour le distribuer – a été créé. L’outil crée deux collections : une collection de pré-production qui contient le nom du système de test que vous avez indiqué pendant l’installation, et une collection dans laquelle vous pouvez ajouter d’autres clients SMS et que vous utiliserez pour distribuer les outils d’inventaire.
Installer l’Office Inventory Tool for Updates et installer le Security Update Inventory Tool sont deux opérations semblables.
Seules différences : on installe l’Office Inventory Tool sur %ProgramFiles%\OfficePatch et on transfère le fichier invcm.exe, que les clients SMS utilisent pour vérifier que les mises à jour Office 2003 pertinentes ont été installées.
Une fois les outils d’inventaire installés, vérifiez leur bon fonctionnement en créant deux nouvelles publicités, une pour chaque outil. Pour créer les publicités, ouvrez la SMS Administrator Console, faites un clic droit sur Advertisements, cliquez sur New, puis cliquez sur Advertisement.

Créez un nom de publicité ; choisissez le package, le programme et la collection ; puis cliquez sur OK. Les publicités devraient exécuter les programmes qui sont marqués comme expédiés dans les packages des outils et ne faire la publicité des programmes qu’auprès des collections de préproduction des outils. Les programmes expédiés effectuent un inventaire sur les clients aussitôt après la fin du scanning, puis envoient l’inventaire au serveur SMS. Faire la publicité des programmes expédiés auprès de grandes collections peut affecter la performance du réseau, selon la taille de l’inventaire, le nombre de clients qui présentent leurs inventaires, et la bande passante entre les clients SMS et le serveur SMS. Pour vérifier que les systèmes de test se sont appropriés les publicités, vous pouvez lancer le Resource Explorer à partir de la SMS Administrator Console pour chaque système de test, étendre le noeud Hardware et vérifier le contenu du noeud Software Updates. Quand les outils d’inventaire s’appliquent à un client SMS, ils peuplent la classe Windows Management Instrumentation (WMI) Win32_Patchstate. C’est pourquoi Software Update apparaît sous le noeud Hardware.