Tracer la voie

certains fichiers et certains
paramètres de registres quand vous
appliquez le correctif. Microsoft présente
un correctif en différentes versions
pour Win2K et NT. Quand hotfix.
exe s’exécute, il détermine si le
pack de services qui est actuellement
sur le système est plus ancien que le
correctif que vous êtes en train d’appliquer
et si le langage est le même. Par
cette vérification, hotfix.exe peut déterminer
si quelqu’un a installé le
patch dans le cadre d’un pack de services
précédent.

Si votre serveur satisfait à  ces deux
vérifications, hotfix.exe installe la mise
à  jour. Si le pack de services est plus récent
que le correctif que vous appliquez,
le processus d’installation quitte.
Pendant la mise à  jour, hotfix.exe crée
une sous-clé de registre dans Win2K et
NT à  HKEY_LOCAL_MACHINE\SOFTWAREMicrosoft\Windows NT\Current-
Version\Hotfix\Qxxxxxx, où Qxxxxxx
fait référence à  l’article Microsoft associé
au patch. Dans Win2K, le hotfix
ajoute aussi la sous-clé HKEY_LOCAL_
MACHINE\SOFTWARE\MicrosoftUpdates\Windows 2000\SPx\Qxxxxxx,
où SPx représente la désignation du
pack de services.

En téléchargeant des patches, vous
verrez que les différents types de
patches utilisent des formats de noms
différents. Certains patches NT ont un
nom de 8 caractères qui ressemble au
nom de la vulnérabilité (tearfixi pour la
Teardrop Attack, par exemple).
D’autres noms de patches utilisent une
forme qui rappelle l’article de
Knowledge Base et la plate-forme matérielle
concernés (q123456i, par
exemple). Le schéma de nom qu’utilisent
les patches Win2K est le plus facile
à  comprendre et est très informatif. Les
noms de patches Win2K comprennent
le numéro de l’article, l’OS, le niveau
du pack de services qui intègrera le
patch, la plate-forme matérielle et le
langage (q294391_w2k_sp3_x86_
en.exe).

Même s’il est courant de déployer
les patches manuellement, il vaut
mieux scripter cette opération. Vous
scriptez les patches en utilisant le commutateur
-m d’hotfix.exe. La figure 1
montre les commutateurs hotfix.exe
Win2K ; les commutateurs pour NT
sont les mêmes. Vous pouvez aussi utiliser
le commutateur -x pour extraire
les fichiers et voir exactement ceux que
le correctif met à  jour.

L’application des correctifs présente
une contrainte : généralement, il
faut réinitialiser après l’application de
chaque correctif. Si certains serveurs
s’initialisent assez vite, d’autres prennent
du temps à  cause des vérifications
du BIOS. S’il est facile de réinitialiser
un serveur un petit nombre de fois,
quand on gère des centaines de serveurs,
la réinitialisation est un processus
épuisant qui s’accompagne d’une
longue immobilisation. Microsoft a
traité ce problème en 2001 avec l’annonce
de Qchain. Cet utilitaire vous
permet d’installer de multiples correctifs
sans réinitialiser entre les installations.
Pour plus d’informations sur la
manière d’utiliser Qchain dans un
script pour déployer de multiples correctifs,
voir l’encadré intitulé « Utiliser
Qchain ».