Professional Documents
Culture Documents
Mon père, mes mères pour leur soutien financier et pour l’amour qu’ils me
portent
Mes frères, sœur, amis et tous mes proches de m’avoir moral et physique.
2
AVANT PROPOS
Ce présent mémoire est le couronnement d’un projet initié par PIGIER qui rentrait
dans le cadre des applications que nous avons eu à présenter lors du salon des
ingénieurs. Ce mémoire nous permettra de valider notre Diplôme d'ingénieur en
informatique dont nous avons obtenu l’admissibilité.
PIGIER Côte d'Ivoire, créé en 1956, réunit les filières suivantes :
BTS Informatique de Gestion
BTS Finances Comptabilité
BTS Communication et action publicitaire
BTS Gestion Commerciale
BTS Secrétariat Bilingue
BTS Secrétariat Bureautique.
Il existe des filières accessibles après le BTS telles que :
Diplôme Supérieur de Spécialité en Négociation et Communication
Diplôme Supérieur de Spécialité en Audit Comptabilité
Diplôme Supérieur de Spécialité en Génie Logiciel
Diplôme Supérieur de Spécialité en Assistance de Direction
Diplôme d'Etudes Supérieures Spécialisées en Finance et Comptabilité
Master en Marketing et Communication
Master en Administration des Entreprises
Master en Audit et Contrôle de Gestion.
Diplôme d'Ingénieur en Informatique
Le Diplôme d'ingénieur informatique dont la durée est de deux ans après le Diplôme
Supérieur de Spécialité en Génie Logiciel permet d’approfondir les enseignements
déjà reçus, en y ajoutant des thèmes d’opérations pratiques extraites de la réalité des
entreprises et utilisant les nouvelles technologies. Il s’obtient en deux (02) étapes :
3
La phase théorique sanctionnée par un examen écrit qui nous permet
d’obtenir une admissibilité au diplôme.
La phase pratique sanctionnée par la réalisation d’une application suivie
d’une soutenance dont l’appréciation accorde définitivement le diplôme.
4
ABSTRACT
At PIGIER it takes two (2) years to prepare for a computer science engineer
diploma, depending on whether a candidate holds a vocational training diploma. At the
end of the training program, an exam is taken. Successful student has to write a
dissertation on a given subject, after carrying out a work placement, and defends it in
front of a jury.
In this framework, we have chosen the following topic: « Deployment Solution
of Microsoft’s products updates in a Small and medium size Business ». We are
going first to justify this subject, and then explain the methodology resorted to and the
solutions we found.
Several thousand vulnerabilities (flaws) are discovered each year. They affect
most of the software or hardware components of computers, operating systems and
applications software too.
With the development of the Internet and the increase in the creation of
malicious codes, the security of any computing environment has become a major
factor for the survival of data traffic.
The solution will be to develop a strategy to update the various machines in
order to fight against possible attacks.
We studied the case of PIGIER Côte d'Ivoire, where updates are almost not
made. We have therefore decided to establish a policy to download updates and deploy
them in the network environment on different computers. This method will help solve
the problems of patches and updates brought about by malicious code.
The main objective of our project is to design a solution to centralize the
management of Microsoft Updates in order to prevent possible exploitation of
vulnerabilities discovered.
It is in this view that most of software publishers (especially Microsoft)
broadcast on the Internet patches and updates to correct any errors on software already
in use. These are to be downloaded and install on each workstation. This becomes a
5
tedious task for a director if the number of computers of the park becomes high. Our
solution Windows Server Update Services (WSUS) is a component of Microsoft.
In drafting our project, we tried to explain the operating principle of WSUS.
When installed and configured, WSUS can enable to download updates according to
Microsoft products installer on customers WSUS. The servers WSUS will then deploy
them on network clients on the basis of a planning.
The advantages of the solutions are:
• The use of patches management tools to manage a significant number of
computers security holes.
• The centralization of updates deployment on computers in a local area network.
• The optimization of the use of the internet level so that all users cannot use.
• To facilitate the tasks of the network administrator in order to avoid a peer-to-
peer installation of various patches and updates
At the end of our study, we can say that any computerized information system
must update the software to avoid problems with operation.
And Microsoft has implemented various technologies to correct security
vulnerabilities in these products.
We have to notice that WSUS is not antivirus software but a centralized
solution for Microsoft’s products updates management.
6
INTRODUCTION
Les entreprises évoluent dans un monde compétitif et concurrentiel. Les
ressources humaines restent importantes mais il ne faut non plus négliger les
informations qu’elles produisent dans le système d’information de toute d’entreprise.
Cependant les données, élément majeur du Système d’Information se doivent être
protégées. La protection des données se résument en trois (3) éléments :
Confidentialité – Intégrité – Disponibilité.
Dans le contexte actuel avec l’explosion d’Internet on assiste au développement des
codes malveillants d’où la nécessité de mettre en place des mesures de sécurité pour
protéger tout système d’information.
7
8
PARTIE I : PRESENTATION DE LA STRUCTURE D’ACCUEIL
I. Origine
Créée en 1956, PIGIER Côte d'Ivoire, s'est adaptée sans faillir, sans ménager
ses efforts à toutes les évolutions et révolutions quelquefois pour offrir aux entreprises,
avec lesquelles elle est en étroite collaboration, des personnels compétents.
Nous avons ainsi, d'année en année, apporté des solutions aux préoccupations
des entreprises. En effet, face à la vitesse fulgurante de diffusion de nouvelles
technologies et à l'internationalisation de l'économie, les entreprises ont besoin de
personnels d'un niveau de qualification de plus en plus élevé, disposant d'un potentiel
d'adaptation accru pour participer efficacement à leur développement.
PIGIER Côte d'Ivoire, école déjà ouverte sur les entreprises et qui a célébré en
2006 ses cinquante années d'existence, a décidé de soumettre ses diplômes BAC +3 et
BAC +5 à la certification du CAMES en vue de :
• Faciliter la poursuite des études dans le cycle supérieur (2ème et 3ème cycle)
des universités africaines dans la mesure où l'on recense une vingtaine de nationalités
dans l'effectif des étudiants de l'école. En effet, l'école reçoit des étudiants boursiers ou
9
non de plusieurs pays africains : Gabon – Niger – Cameroun – Tchad – Centrafrique –
Mauritanie - Congo…
• Accroître l'intégration professionnelle des diplômés dans les secteurs
parapublics. Enfin, à travers cette certification, PIGIER Côte d'Ivoire entend se
rapprocher du monde des universités, creuset du savoir et de la recherche.
Aujourd'hui, tous les diplômes délivrés par PIGIER Côte d'Ivoire sont reconnus par le
CAMES :
• Diplôme Supérieur de Spécialité en Négociation et Communication Multimédia
• Diplôme Supérieur de Spécialité en Audit Comptabilité
• Diplôme Supérieur de Spécialité en Génie Logiciel
• Diplôme d'Etudes Supérieures Spécialisées en Finance et Comptabilité
• Diplôme Supérieur de Spécialité en Assistance de Direction
• Master en Marketing et Communication
• Master en Administration des Entreprises
• Master en Audit et Contrôle de Gestion.
• Diplôme d'Ingénieur en Informatique
II. Missions
• Formations diplômantes
• Séminaires de perfectionnement
10
• Placement
Depuis 1990 l'école s'est dotée d'un Cabinet de placement agréé par l'Agence d'Etude
et de Promotion pour l'Emploi.
III. Infrastructures
L’école est implantée en plein centre du quartier des affaires (Plateau) sur une
superficie d’environ 3 000 m2.
Elle dispose de :
• Un atelier audiovisuel
• Une infirmerie
11
IV. L’Administration
STRUCTURE ADMINISTRATIVE
12
STRUCTURE PEDAGOGIQUE
V. Partenariat
13
Finance comptabilité
Informatique
Communication
Négociation commerciale
Commerce international
Secrétariat.
14
SIMO : Entreprise spécialisée dans la commercialisation d’équipements informatiques
et de logiciels
PANAFCOM : Agence de communication et de publicité
Partenariat académique
Microsoft Campus est le contrat qui fournit les licences des postes clients
nécessaires à l’enseignement de l’informatique et de la bureautique dans toutes les
filières. Il couvre tous les postes clients de PIGIER Côte d’Ivoire. Il autorise le
déploiement de toutes les versions de Windows et Office de Microsoft simultanément
sur tous les postes. De ce fait, les membres du personnel administratif, les enseignants
et les étudiants bénéficient gratuitement des licences clients.
15
16
PARTIE II : PRESENTATION DU PROJET ET ETUDE DE L’EXISTANT
I. Contexte
L’objectif principal de notre projet est de mettre en place une solution permettant
de centraliser la gestion des mises à jour Microsoft pour prévenir une
exploitation éventuelle des failles découvertes.
17
1. L’Administration
i. Existant matériel
18
• Des applications propriétaires de PIGIER telles Gesco pour la gestion de la
scolarité des étudiants et GestAbsences pour gérer l’état d’absence des
étudiants.
2. Salles informatiques
i. Existant matériel
19
Les postes de travail des salles informatiques, pour des raisons de formation, ont un
système multi amorçage comprenant :
• Fedora Cora 6
• Microsoft Windows Server 2003 Edition
• Microsoft Windows XP Professionnel Service Pack 2 avec la suite logicielle
Microsoft Office 2003 et d’autres logiciels tels que les produits Adobe, Oracle...
Chaque salle informatique se trouve dans un domaine avec un réseau en étoile.
20
21
PARTIE III : LES SOLUTIONS POSSIBLES
I. MICROSOFT® UPDATE
1. Présentation
3. Faiblesses
22
II. MICROSOFT® WINDOWS SERVER UPDATE SERVICES 3.0
23
III. MICROSOFT® BASELINE SECURITY ANALYZER (MBSA)
VERSION2.0
1. Présentation
Microsoft Baseline Security Analyzer 2.0 (MBSA) est un outil simple d'emploi
destiné à aider les petites et moyennes entreprises à évaluer leur sécurité d'après les
recommandations de sécurité de Microsoft. Cet outil analyse la mémoire centrale des
ordinateurs clients ayant un système d’exploitation Microsoft Windows pour y
rechercher des problèmes courants de configuration de la sécurité et génère des
rapports de sécurité individuels pour chaque ordinateur.
2. Forces
Détection et déploiement précis des mises à jour de sécurité pour toutes les mises à
jour de sécurité
Analyse possible à partir d’une interface de ligne de commandes des ordinateurs avec
l’outil mbsacli.exe.
Installation du service possible sous Microsoft Windows XP
3. Faiblesses
24
IV. MICROSOFT® SYSTEM CENTER ESSENTIALS 2007
1. Présentation
Microsoft System Center Essentials 2007 (Essentials 2007) est une solution
d’administration unifiée et préventive qui permet aux administrateurs systèmes des
PME d’être plus efficaces dans la sécurisation, la mise à jour, le contrôle et le
dépannage de leurs environnements informatiques.
Essentials 2007 propose les fonctionnalités suivantes :
Surveillance préventive, résolution des problèmes et suivi du parc
Solution unifiée qui permet de gérer serveurs, postes clients, matériels, logiciels et
services informatiques depuis une console unique.
Exécution efficace des tâches d'administration complexes, telles que la résolution des
problèmes rencontrés par les utilisateurs, la surveillance et le déploiement des logiciels
clients et serveurs.
2. Forces
Déploiement des mises à jour destinées aux applications logicielles non Microsoft
Page récapitulative unique de la console affiche un résumé des informations relatives
aux tâches courantes, aux alertes et aux rapports
Système de notification des problèmes par courrier électronique ou par messages SMS
3. Faiblesses
Logiciel payant
25
V. MICROSOFT® SYSTEMS MANAGEMENT SERVER (SMS) 2003
1. Présentation
2. Forces
Déploiement d'applications
26
La mobilité
Systems Management Server 2003 permet de répondre au défi de la gestion d'un parc
informatique mobile. Il inclut notamment :
La gestion de la bande passante afin de préserver la productivité de l'utilisateur en
ligne lors des inventaires ou des déploiements
La reprise du transfert des applications au point d'interruption lorsqu'une connexion est
défaillante
La prise en compte du lieu d'accès de l'utilisateur nomade afin d'optimiser les
téléchargements depuis la source la plus proche.
Le support de tout système mobile (assistant de poche, terminaux) fonctionnant avec
Windows Mobile ou Windows XP.
3. Faiblesses
Logiciel payant
27
28
PARTIE IV : LA SOLUTION PROPOSEE
Notre choix s’est porté sur Windows Server Update Services pour les raisons
suivantes :
• Vu le nombre de machines à prendre en compte, l’utilisation de Microsoft
Update devient fastidieuse
• L’administration de Microsoft Update est locale
• Systems Management Server n’est pas adapté par rapport à la taille de la
structure soumise à notre étude.
• Systems Management Server et System Center Essentials sont des solutions
payantes.
• Microsoft Baseline Security Analyzer 2.0 n’intègre pas la gestion de la mise à
jour des pilotes
1. Configuration du serveur
i. Configuration matérielle
29
NB : La partition système et celle utilisée pour le stockage des mises sur le
serveur doivent avoir un système de fichiers NTFS.
WSUS 3.0 vous permet maintenant d'installer la console d'administration WSUS sur
des systèmes distants du serveur WSUS.
• Microsoft Windows XP SP2, Microsoft Windows Vista,
Microsoft Windows Server 2003 ou Microsoft Windows Longhorn
• Microsoft Management Console 3.0
• Microsoft Report Viewer Redistributable 2005
30
III. Les types de déploiement
Dans notre cas on parle de déploiements quand des mises à jour stockées sur un
serveur WSUS sont distribuées aux clients.
WSUS peut se déployer de différentes façons :
1. WSUS simple
• Méthode la plus simple: un serveur derrière votre pare feu qui se met à jour
directement sur les serveurs de Microsoft Update
• Les mises à jour sont déployées par le biais du client de mises à jour
automatique: il faut leur renseigner l'adresse du site web sur lequel il pourra
récupérer les correctifs
• Création d'un site web par défaut ou alors sur un site personnalisé (port 8530)
• Deux catégories de serveurs : les serveurs amont et aval, un serveur aval se met
à jour sur un serveur amont
31
• Un serveur amont ne doit jamais se synchroniser sur un serveur aval, cela
créerait une boucle fermée qui n'est pas supportée par le protocole de
communication entre les serveurs.
• Si un segment de votre réseau n'est pas connecté à Internet, pour quelle que
raison que ce soit, vous pouvez exporter le contenu de votre base de mises à
jour, sur un media physique, afin de les importer sur le serveur WSUS isolé.
• Cette solution peut aussi être envisageable pour les entreprises ayant des
liaisons coûteuses ou une bande passante faible vers Internet
32
IV. Installation
33
• Dans la fenêtre «Contrat de licence», lire les termes de la licence puis, cocher
l’option «J’accepte les termes du contrat de licence» et cliquez sur
«Suivant»
34
• Dans la fenêtre «Option de base de données», choisir l’option de base de
données qui convient le mieux au système en place. WSUS a la possibilité :
en option 1, d’installer sa base de données sur le serveur WSUS
d’utiliser un serveur de base de données existant sur le serveur WSUS en
option 2,
en option 3, utiliser un serveur de base de données sur un ordinateur
distant.
Nous sélectionnons l’option 1 car nous souhaitons utiliser la base interne à WSUS.
Une fois le choix fait, cliquer sur « Suivant »
35
• Dans la fenêtre «Sélection du site Web», spécifier le site web que WSUS 3.0
doit utiliser.
Deux options nous sont proposées :
soit utiliser le site web IIS par défaut
soit créer un autre site pour WSUS sur le port 8530 si le port 80 est utilisé par
un autre site Web.
Nous choisissons l’option 1 vu que notre serveur est dédié à la gestion des mises à
jour.
Cliquer sur « Suivant ».
36
• Dans la fenêtre «Prêt pour l’installation de Windows Server Update
Services 3.0», voir le récapitulatif des choix effectués, puis cliquez sur
«Suivant» pour démarrer l’installation
37
2. Configuration du serveur WSUS
38
Etape 2 : Fenêtre «S’inscrire au programme d’amélioration de Microsoft Update»
Cocher « Oui je souhaite participer au programme » puis cliquer sur «Suivant»
39
Etape 3 : Fenêtre «Choisir le serveur en amont»
• Choisir l’option par défaut si nous souhaitons faire la synchronisation à partir
du site de Microsoft ou si nous ne disposons pas d’autres serveurs WSUS.
• Choisir la seconde option si nous disposons déjà d’un serveur WSUS dans notre
environnement. Dans ce cas il faudrait spécifier le nom du serveur.
Nous ne disposons pas de serveur en amont, nous sommes à l’installation de notre
premier serveur, nous optons donc pour l’option par défaut.
Cliquer sur «Suivant»
40
Etape 4 : Fenêtre «Définir le serveur Proxy»
Si nous disposons d’un serveur proxy dans notre environnement, cocher l’option
« Utiliser un serveur proxy lors de la synchronisation », spécifier le nom du serveur
proxy et le port utilisé.
Indiquer si nécessaire les informations d’identification de l’utilisateur pour se
connecter au serveur.
Dans notre réseau, nous n’utilisons pas de serveur Proxy pour la gestion de la
connexion Internet. Cliquer sur «Suivant»
41
Etape 5 : Fenêtre «Se connecter au serveur en amont»
Cliquer sur « Démarrer la connexion » dans la fenêtre pour enregistrer et télécharger
les informations relatives au serveur en amont et au serveur proxy.
Cliquer sur «Suivant»
42
Etape 6 : Fenêtre «Choix des langues»
Choisir les langues pour lesquelles le serveur téléchargera les mises à jour, dans notre
cas ce sera que le Français puis cliquer sur «Suivant»
43
Etape 7 : Fenêtre «Choisir les produits»
Définir les produits Microsoft pour lesquels le serveur téléchargera les mises à jour
puis cliquer sur « Suivant »
Ces produits sont choisis en fonction de notre environnement logiciel
44
Etape 8 : Fenêtre « Choisir les classifications»
Choisir les classes de mises à jour et cliquer sur « Suivant »
45
Etape 9 : Fenêtre « Définir la planification de la synchronisation»
Définir le type de synchronisation pour les mises à jour.
Nous optons pour la synchronisation manuelle. Cliquer sur « Suivant »
46
Etape 11 : Fenêtre « Et maintenant »
Cliquer sur « Terminer »
La fenêtre d’administration s’ouvre et la synchronisation initiale se lance.
47
3. Présentation de la console d’administration de WSUS 3.0
48
1 [Nom du serveur] : Conteneur de tous les composants WSUS gérés par
le serveur sélectionné. Lorsqu’on sélectionne un serveur WSUS dans
l'arborescence Update Services, une page d'état détaillé apparaît pour le serveur
avec :
49
• Volet Résultats (dans le cadre ) : fournit des informations d'état sur l'élément
sélectionné dans l'arborescence Update Services. Si on clique sur le nœud principale
de l'arborescence, les serveurs WSUS sont présentés dans le volet Résultats.
Si vous ne possédez pas de domaine Active Directory, il est possible de configurer les
clients via la base de registre avec toutes les options disponibles dans les stratégies de
groupes mais la configuration des machines sera très contraignante.
Voici les différentes entrées de la base de registre pour la configuration des clients:
Entrée Description
Valeur possible: 0 ou 1
0: Seuls les administrateurs peuvent refuser ou accepter
ElevateNonAdmins les mises à jour
1: Tout le monde peut refuser ou accepter les mises à
jour
Permet de spécifier le groupe de mise à jour auquel
TargetGroup
l'ordinateur appartient (ciblage coté client)
Valeur possible: 0 ou 1
TargetGroupEnabled 0: Désactiver la fonctionnalité de ciblage coté client
1: Activer la fonctionnalité de ciblage coté client
Permet de spécifier l'emplacement du serveur WSUS
WUServer (exemple: http://PIGS003/). Doit être identique à
l'entrée WUStatusServer
50
Permet de spécifier l'emplacement du serveur WSUS
WUStatusServer (exemple: http:// PIGS003/ Doit être identique à
l'entrée WUServer
51
à 0%) pour la durée entre chaque vérification de
mise à jour
NoAutoRebootWithLoggedOnUsers Valeur possible: 0 ou 1
0: l'ordinateur redémarre la machine dans les 5
minutes qui suivent la mise à jour de la machine
1: l'utilisateur a le choix de redémarrer ou non la
machine
NoAutoUpdate Valeur possible: 0 ou 1
0: Mise à jour automatique désactivée
1: Mise à jour automatique activée
RebootRelaunchTimeout Valeur possible: de 1 à 1440
Durée en minute entre chaque demande de
redémarrage à l'utilisateur de l'ordinateur
RebootRelaunchTimeoutEnabled Valeur possible: 0 ou 1
0: Le temps entre chaque demande de
redémarrage à l'utilisateur est celle par défaut (10
minutes)
1: Le temps entre chaque demande de
redémarrage à l'utilisateur est le même renseigné
par la valeur DWORD RebootRelaunchTimeout
RebootWarningTimeout Valeur possible: de 1 à 30
Durée en minutes du compteur avant redémarrage
de la machine pour les mises à jour planifiées ou
obligatoires
RebootWarningTimeoutEnabled Valeur possible: 0 ou 1
0: Le temps initial en minute du compteur avant
redémarrage pour les mises à jour planifiées ou
obligatoires est le même par défaut (5 minutes)
1: Le temps initial en minute du compteur avant
redémarrage pour les mises à jour planifiées ou
obligatoires est le même renseigné par la valeur
DWORD RebootRelaunchTimeout
RescheduleWaitTime Valeur possible: entre 1 et 60
Temps en minute pour l'attente depuis le
démarrage de la machine avant installation des
mises à jour planifiées échouées.
Cette politique ne s'applique pas aux mises à jour
qui ont une échéance spécifique. Si l'échéance
d'une mise à jour est dépassée alors celle-ci est
installée de suite.
52
RescheduleWaitTimeEnabled Valeur possible: 0 ou 1
0: Les mises à jour planifiées échouées seront
reportées lors de la prochaine planification
1: Les mises à jour planifiées ratées seront
installés après le laps de temps spécifié par la
valeur DWORD RebootRelaunchTimeout
ScheduledInstallDay Valeur possible: entre 0 et 7
0: Mise à jour planifié tous les jours
de 1 à 7: jour de la semaine de dimanche (1) à
samedi (7)
Cette option ne marche seulement que si l'entrée
AUOption est configurée à la valeur 4 c'est-à-dire
mises à jour planifiées automatiques
ScheduledInstallTime Valeur possible: entre 0 et 23
Heure de la journée pour les mises à jour planifié
Cette option ne marche seulement si l'entrée
AUOption est configurée à la valeur 4
UseWUServer Valeur possible: de 0 à 1
0: Utilise Windows Update
1: Utilise votre serveur WSUS
Voici la méthode pour déployer la politique de déploiement des mises à jour sur le
réseau. Comme pré requis, il sera nécessaire d'avoir un domaine Active Directory.
53
• Dans l'éditeur de Stratégie de groupe, cliquer sur le nœud « Modèle
d'administration ».
• Dans le menu Action, cliquez sur « Ajout/Suppression de modèles... »
• Dans la fenêtre « Ajout/Suppression de modèle », cliquez sur « Ajouter... »
• Dans la fenêtre de « Sélection de modèle », sélectionnez "Wuau.adm" et
cliquez sur « Ouvrir... »
• Fermer la fenêtre « Ajout/Suppression de modèle ».
Dès lors que ce modèle stratégie de groupe sera importé, les ordinateurs clients
utiliseront le service WSUS disponible sur votre réseau pour la mise à jour
automatique.
Procédure pour activer l'utilisation de votre serveur WSUS par les ordinateurs clients
pour la mise à jour automatique:
Une fois cette stratégie de groupe enregistrée et liée à un domaine ou à une unité
d'organisation, les ordinateurs utiliseront le serveur WSUS pour mettre à jour le
54
système (après actualisation de la stratégie de groupe sur les clients) grâce à la
fonctionnalité de mise à jour automatique.
Grâce aux différentes options, vous pourrez changer l'interaction entre les clients, leur
machine et le serveur WSUS.
Vous trouverez ces options de stratégie de groupe dans le nœud « Configuration
Ordinateur\Modèle d'administration\Composants Windows\Windows Update »
Stratégie Description
Autoriser le ciblage coté client Vous pouvez créer des groupes dans la console
d’administration WSUS. L'objectif de cette stratégie
est de spécifier le nom de groupe que les ordinateurs
doivent utiliser pour télécharger les mises à jour.
Choix : Non configuré
Autoriser les non Cette stratégie va permettre d'autoriser les utilisateurs
administrateurs à recevoir les non administrateurs de recevoir les notifications de
notifications de mises à jour mises à jour. L'utilisateur pourra ou non confirmer
l'installation des mises à jour.
Choix : Non configuré
Autoriser l'installation Si la mise à jour ne nécessite pas de redémarrage de
immédiate des mises à jour Windows ou de services Windows alors, si la stratégie
automatique est active, l'installation des mises à jour s'effectue
automatiquement.
Choix : Activé
Configuration du service des Cette stratégie va permettre d'activer le service "Mise
mises à jours automatiques à jour automatique" et ensuite le fonctionnement de
celle-ci (Notification, téléchargement, planification)
Fonctionnement des mises à jour possible:
2: Notification avant téléchargement et notification
avant installation des mises à jour
3: Téléchargement automatique des mises à jour et
55
notification avant installation des mises à jour
4: L'installation des mises à jour est automatique et
planifié en fonction des valeurs ScheduledInstallDay
et ScheduledInstallTime
5: La planification des mises à jour est configuré mais
l'utilisateur final peut le configurer
Choix : Activé - 4 - Tous les jours- 10H00
Fréquence de détection des Elle permet de configurer la durée entre chaque
mises à jour automatiques vérification de mise à jour (de -20% à 0%) sur le
serveur WSUS (par défaut: 22 heures, donc
vérification après une durée de 18h24 et 22h)
Choix : Activé (22 Heures)
Ne pas afficher l'option Si cette stratégie est active, l'option d'installation des
'Installer les mises à jour et mises à jour avant extinction ne sera pas disponible
éteindre' aux utilisateurs.
Choix : Activé
Ne pas modifier l'option par Si cette stratégie est active, alors la fonction arrêt de la
défaut 'Installer les mises à jour machine par défaut sera celle avec l'installation des
et éteindre' mises à jour
Choix : Activé
Pas de redémarrage planifié des Ne permet pas à la fonction Mise à jour automatique
installations planifiés des mises de redémarrer la machine si celle-ci est planifiée. Seul
à jour automatiques l'utilisateur le fera manuellement
Choix : Activé
Redemander un redémarrage Permet de spécifier une demande de redémarrage
avec les installations planifiées après un laps de temps, si la précédente a été refusée
Choix : Non configuré
Replanifier les installations Si l'installation planifiée précédente a été manquée,
planifiées des mises à jour alors on renseigne le temps depuis le démarrage de la
automatiques machine avant une nouvelle planification.
Choix : Non configuré
56
Vous trouverez d'autres stratégies de groupe lié au service Windows Update dans le
nœud « Configuration utilisateur\Modèle d'administration\Composants
Windows\Windows Update ».
Stratégie Description
Supprimer l'accès à l'utilisation Permet de désactiver toutes les interactions avec
de toutes les fonctionnalités de Windows Update. Il est fortement conseillé de l'activer
Windows Update pour éviter de faire doublon avec le service WSUS
Choix : Non configuré
Ne pas afficher l'option Si cette option est active, alors l'option d'installation
'Installer les mises à jour et des mises à jour avant extinction ne sera pas disponible
éteindre' aux utilisateurs.
Choix : Activé
Ne pas modifier l'option par Si cette option est active, alors la fonction arrêt de la
défaut 'Installer les mises à jour machine par défaut sera celle avec l'installation des
et éteindre' mises à jours
Choix : Activé
57
ii. Détection manuelle du serveur WSUS
58
• Cliquez sur Démarrer puis sur Exécuter...
• Tapez dans le champ Ouvrir: wuauclt.exe /resetauthorization /detectnow
• Cliquez sur OK
Les points suivant traiteront des paramètres à activer pour la sécurisation du serveur
WSUS.
1. Stratégies d’audit
59
d’approbation.
Auditer l’utilisation des Réussite, Echec Audit chaque instance d’un
privilèges utilisateur exerçant un droit
d’utilisateur.
Auditer les événements Réussite, Echec Audit tout événement affectant la
système sécurité du système ou le journal
de sécurité.
2. Options de sécurité
60
aux audits de sécurité journal de sécurité. Ce paramètre
de sécurité détermine si le
système s’arrête s’il n’est pas
capable de consigner des
événements de sécurité.
Ouverture de session Désactivé Permet d’empêcher les
interactive : ne pas programmes malveillants tels
demander la combinaison que les chevaux de Troie se
de touches faisant passer pour une
Ctrl+Alt+Suppr connexion Windows de se
connecter afin d’extraire les mots
de passe et autres informations
3. Journaux d’évènements
Configurer les paramètres de journal des événements pour aider à assurer un niveau
adéquat de suivi des activités
61
Taille maximale du journal Définir la taille à Un grand journal des événements
système 100489 kilo-octets permet aux administrateurs de
stocker et de recherche de
problématiques et événements
suspects
Seuls les services nécessaires au serveur WSUS ont été démarrés. Dans le tableau sont
listés que les services démarrés automatiquement.
Services Description
Update Services Active le téléchargement à partir de Microsoft Updates
62
vers le serveur WSUS
Explorateur d’ordinateurs Tient à jour la liste des ordinateurs présents sur le réseau
Client DHCP Inscrit et met à jour les adresses IP et les enregistrements
DNS
Client DNS Résout et remet dans le cache les noms DNS
Journal des évènements Active les messages d’évènements émis par les
programmes fonctionnant sous Windows et les composants
devant être affichés dans l’observateur d’évènements
Service d’administration Active le serveur pour administrer les services FTP et Web
IIS
Service IPSEC Fournit une sécurité de part et d’autre des liaisons entre les
clients et les serveurs sur le réseau
Gestionnaire de disque Détecte et analyse de nouveaux lecteurs de disques durs et
logique envoie les informations de volume de disque au
gestionnaire administratif de disque logique pour la
configuration.
Ouverture de session Maintient un canal sécurisé entre ce serveur et les
réseau ordinateurs pour authentifier les utilisateurs et les services
Plug-and-Play Permet à l’ordinateur de reconnaître et d’adapter les
modifications matérielles avec peu ou pas l’intervention de
l’utilisateur
Appel de procédure Sert de mappeur de point de terminaison et de gestionnaire
distante (RPC) de contrôle de services. Nécessaire pour les
communications RPC.
Emplacement protégé Protège le stockage d’informations sensible, telles que les
clés privées et interdit l’accès aux services, aux processus
ou aux utilisateurs non autorisés
Gestionnaire de comptes Signale à d’autres services que le gestionnaire de comptes
de sécurité de sécurité (SAM) est prêt à accepter des demandes.
Serveur Prend en charge le partage de fichiers, d’impression et des
canaux nommés via le réseau
Notification d’évènement Surveille les évènements du système et en avertit les
système souscripteurs du système d’évènement COM+
Assistance TCP/IP Nécessaire pour les ordinateurs exécutant un système
NetBIOS d’exploitation antérieur à Microsoft Windows Server 2003
Horloge Windows Conserve la conservation de la date et de l’heure sur tous
63
les clients et les serveurs du réseau
Station de travail Crée et maintien des connexions de réseau client à des
serveurs distants
64
5. Durcissement TCP/IP
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect
Valeur de la clé Description
REG_DWORD = 1 Cette valeur de Registre force le
protocole TCP à ajuster la
retransmission de SYN-ACKS
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxPortsExhaust
ed
Valeur de la clé Description
REG_DWORD = 1 Aide à la protection contre les SYN-
ACKS
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen
Valeur de la clé Description
REG_DWORD = 500 Aide à la protection contre les SYN-
ACKS
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpenRet
ried
Valeur de la clé Description
REG_DWORD = 400 Aide à la protection contre les SYN-
ACKS
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\
EnableICMPredirect
Valeur de la clé Description
REG_DWORD = 0 Protège la machine d’une attaque via le
protocole ICMP
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\
EnableDeadGWDetect
Valeur de la clé Description
REG_DWORD = 0 Empêche la redirection forcée vers une
passerelle non désirée
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\
DisableIPSourceRouting
65
Valeur de la clé Description
REG_DWORD = 1 Désactive le routage des paquets
transférés depuis la source
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\
IPEnableRouter
Valeur de la clé Description
REG_DWORD = 0 Désactive le suivi des paquets entre les
deux interfaces
6. Service IIS
La configuration des paramètres suivants du serveur web IIS pour nous aider à
sécuriser le serveur WSUS.
Par défaut IIS envoie des messages d’erreurs détaillés aux clients. Il est recommandé
d’envoyer des messages moins détaillés ce qui pourrait empêcher un utilisateur non
autorisé d’avoir accès au serveur par l’exploitation des messages d’erreurs.
Procédure :
3. Faire un clic droit sur le nœud « Sites web » ensuite cliquer sur « Propriétés »
66
dans la zone de texte prévue "Une erreur s'est produite sur le serveur lors du
traitement de l'URL. Contactez l'administrateur système."
Par défaut, IIS affiche dans son journal un certain nombre d’options. Il est
recommandé d’ajouter des options supplémentaires
Procédure :
3. Faire un clic droit sur le nœud « Sites web » ensuite cliquer sur « Propriétés »
• Nom du serveur
• Durée
• Hôte
• Cookie
Par défaut, IIS active l’envoi des entêtes http au navigateur du client. Il est
recommandé de supprimer tout entête http existant.
Procédure :
67
1. Dans le menu « Démarrer » pointer sur « Programmes » puis sur « Outils
d’administration » et ensuite cliquer sur « Gestionnaire des services
Internet ».
3. Faire un clic droit sur le nœud « Sites web » ensuite cliquer sur « Propriétés »
68
CONCLUSION
C’est pour cette raison que Microsoft a mis en œuvre des technologies
permettant de gérer des ordinateurs pour la mise à jour des ses différentes
produits.
Dans notre exposé, nous avons énuméré toutes les technologies possibles.
Cependant notre choix s’est porté sur Microsoft Windows Server Update
Services (WSUS) pas parce qu’il est mieux que les autres mais mieux adapté à
notre environnement d’étude (infrastructure réseau).
Aussi nous allons préciser que WSUS 3.0 n’a jamais été un antivirus
mais une solution de gestion centralisée de mises à jour de produits Microsoft
dans le but de permettre une homogénéité des postes et des serveurs en terme de
configuration et de niveau de sécurité.
69
GLOSSAIRE
Audit : Evaluation des risques des activités informatiques, dans le but d'apporter une
diminution de ceux-ci et d'améliorer la maîtrise des systèmes d'information.
Contrôleur de domaine : Serveur sur lequel est installé Active Directory et qui
s’occupe de l’authentification des utilisateurs dans un domaine.
Cookie : Fichier stocké sur l’ordinateur client permettant d’identifier le parcours d’un
utilisateur sur un site web.
70
DHCP : Dynamic Host Configuration Protocol terme anglais désignant un protocole
réseau dont le rôle est d'assurer la configuration automatique des paramètres IP d'une
station, notamment en lui assignant automatiquement une adresse IP et un masque de
sous-réseau.
DNS : Domain Name System en français système de noms de domaine, est un système
permettant d'établir une correspondance entre une adresse IP et un nom de domaine et,
plus généralement, de trouver une information à partir d'un nom de domaine.
GPO : Group Policy Object, stratégies de groupe en français sont des fonctions de
gestion centralisée de la famille Windows. Elles permettent la gestion des ordinateurs
et des utilisateurs dans un environnement Active Directory.
ICMP : Internet Control Message Protocol est un protocole qui permet de gérer les
informations relatives aux erreurs des machines connectées. Etant donné le peu de
contrôles que le protocole IP réalise, il permet non pas de corriger ces erreurs mais de
faire part de ces erreurs aux protocoles des couches voisines. Ainsi, le protocole ICMP
est utilisé par tous les routeurs, qui l'utilisent pour signaler une erreur (appelé Delivery
Problem).
71
avancés une interface flexible à travers laquelle ils peuvent configurer leur système et
en surveiller le fonctionnement
MSDE :) Microsoft Data Engine, Microsoft Desktop Engine ou Microsoft SQL Server
Desktop Engine est une édition limitée mais gratuite de Microsoft SQL Server.
NTFS : Système de fichiers conçu pour Windows NT (et ses successeurs chez
Microsoft) pour stocker des données sur disque dur. Il s’inspire d’HPFS, le système de
fichiers conçu pour OS/2. Le sigle NTFS désigne en anglais NT File System
(littéralement système de fichiers de la génération NT). Ce système est arrivé avec la
première version de Windows NT, en 1993.
Pare feu : Elément du réseau informatique, logiciel et/ou matériel, qui a pour fonction
de faire respecter la politique de sécurité du réseau, celle-ci définissant quels sont les
types de communication autorisés ou interdits.
72
Port : Point d'entrée à un service sur un équipement (pc, serveur,...) connecté à un
réseau. C’est aussi composant du réseau TCP/IP qui permet de diviser les types de
communication que l'on veut avoir entre les ordinateurs.
Routage désigne le mécanisme par lequel les données d'un équipement expéditeur
sont acheminées jusqu'à leur destinataire en examinant les informations situées au
niveau 3 du modèle OSI (IP par exemple), même si aucun des deux ne connaît le
chemin complet que les données devront suivre.
RPC : Remote Procedure Call est un protocole permettant de faire des appels de
procédures sur un ordinateur distant à l'aide d'un serveur d'application. Ce protocole
est utilisé dans le modèle client-serveur et permet de gérer les différents messages
entre ces entités.
73
Script : Liste de commandes écrites dans un langage destinée à être interprétée pour
effectuer une certaine tâche.
74
BIBLIOGRAPHIE
OUVRAGES
SITES WEB
www.supinfo.com
www.microsoft.com
www.laboratoire-microsoft.org
www.google.fr
www.ybet.be
75