Une fois installé, SUS exécute le IIS Lockdown Wizard en mode automatique — une délicate attention de la part de Microsoft, bien que je préfèrerais que le wizard demande avant d'ajuster le serveur Web du système. Le contrôle de SUS s'effectue au moyen des pages Web administratives SUS.
Votre première
tâche consiste à laisser
SUS sortir du site Web Windows
Update et télécharger quelques tonnes
de correctifs juste pour rattraper le retard.
Cette tâche ne doit être exécutée
qu’une fois : vous pouvez configurer
les serveurs SUS de telle sorte qu’ils
obtiennent leurs mises à jour directement
à partir de Microsoft ou d’un
autre serveur SUS. Vous pouvez laisser
n’importe lequel des serveurs suivants
saisir les 100+Mo initiaux de correctifs
à partir d’un serveur SUS local. Après la
première synchronisation, vous pourrez
configurer le auquel votre serveur
SUS doit prendre connaissance des
mises à jour et s’il distribue automatiquement
les nouveaux correctifs éventuels
ou s’il attend votre approbation.
Ensuite, il faut installer le composant
client SUS sur vos systèmes XP et
Win2K. Le programme client est une
modification de la fonction Automatic
Updates de XP. Le client est packagé
comme un fichier .msi, donc vous pouvez
déployer le programme avec une
Group Policy dans un site AD, en utilisant
msiexec à partir d’une ligne de commande, ou par votre méthode habituelle
de distribution de logiciel.
Le client demande périodiquement
au serveur SUS s’il y a de nouvelles
mises à jour et, selon la manière
dont vous avez configuré le client, celui-
ci peut télécharger et installer les
mises à jour et se réinitialiser si nécessaire,
sans intervention de l’utilisateur.
Si l’ordinateur client est en train d‘effectuer
une mise à jour automatique
pendant que quelqu’un est connecté à
cet ordinateur, l’utilisateur recevra un
avertissement 5 minutes avant l’installation
et un autre 5 minutes après la réinitialisation.
Bien que l’installation du composant
client SUS place une applet
Automatic Updates dans le Control
Panel, l’applet n’a pas de GUI pour établir
des fonctions comme le fonctionnement
automatique ou pour dire au
client quel serveur SUS lui fournira les
mises à jour. Il faut utiliser le registre
ou Group Policies pour configurer le
client SUS. (Comme toujours, vous
pouvez utiliser une system policy de
style NT 4.0 pour contrôler à distance ces paramètres de registre, si vous
n’avez pas d’AD sur laquelle vous puissiez
utiliser la Group Policy.) Le fait que
vous deviez configurer le client soit en
entrant dans les entrailles du registre,
soit en jouant avec une Group Policy
ou une system policy n’est pas rédhibitoire
— qui est prêt à configurer à la
main 1 000 stations de travail — mais il
complique quelque peu l’expérimentation
initiale.
Passé le stade de l’installation initiale,
SUS semble être un outil utile qui
vaut bien son prix. Mais n’oubliez pas
qu’avant d’installer SUS, vous devez
trouver un serveur Win2K SP2 qui soit
un serveur membre et sur lequel IIS et
IE 5.5 ou ultérieur soit installé. De plus,
préparez-vous à mettre en place un
peu de réglementation ou de scripting
de registre pour que le client fonctionne.
SUS est obtenu gratuitement
sur la page de téléchargements de
Microsoft (http://www.microsoft.
com/windows 2000/windowsupdate/
sus/default.asp). Essayez-le !
L'évolution du paysage des menaces et les conséquences sur votre infrastructure, vos outils de contrôles de sécurité IT existants. EPP, XDR, EDR, IA, découvrez la synthèse des conseils et recommandations à appliquer dans votre organisation.
