Touche-à-tout informatique : Correctifs pour les ordinateurs virtuels dormants
L'utilisation du Microsoft Offline Virtual Machine Servicing Tool pour appliquer des correctifs aux machines virtuelles dormantes est un bon moyen de s'assurer qu'elles sont prêtes pour une utilisation en ligne et par la même occasion d'éviter tous les problèmes de correctifs obsolètes.
Par Greg Shields
Vous détestez appliquer des correctifs ? Moi, oui. L'application de correctifs a toujours semblé être une tâche ingrate, rendue encore plus basse par le fait qu'aucune valeur métier n'est ajoutée lors de son accomplissement. Du moins, aucune valeur métier autre que le fait de savoir que vous allez probablement éviter quelque catastrophe imprévisible au cas où vous ne le feriez pas.
En effet, l'application de correctifs a longtemps été la partie la plus rébarbative du monde de l'informatique. L'une des principales causes de nuits blanches et d'heures sup', d'appels du style « Désolé, chérie, je ne serai pas rentré pour le dîner ce soir », etc. L'application des correctifs et leur gestion est l'activité que nous adorons tous détester.
Cependant, de nos jours, la gestion des correctifs n'est plus aussi pénible que par le passé. Il n'y a encore pas si longtemps, maintenir les correctifs à jour exigeait une feuille de calcul impressionnante, de relier chaque correctif à ses numéros « MS » et « q », et d'évaluer son degré d'importance Microsoft par rapport aux priorités de l'entreprise. Garder la trace des correctifs qui venaient en remplacer d'autres prenait au moins une demi-journée de travail par mois.
Mais tout cela a été bouleversé par la sortie de Windows Server Update Services (WSUS). Cet outil simple mais si efficace en matière de gain de temps a pris en charge presque tout le travail manuel que requerrait l'application des correctifs. En associant WSUS à un peu de script, vous pouvez même lui ordonner d'appliquer immédiatement des correctifs à un ordinateur sans avoir à attendre le prochain cycle planifié. (Je possède toujours ce script. Allez faire un tour sur concentratedtech.com si vous souhaitez une copie.)
La seule limitation de WSUS résidait dans ses mécanismes d'application de correctifs automatisée qui ne fonctionnaient que lorsque le serveur ou l'ordinateur auquel vous deviez appliquer des correctifs était sous tension. Les ordinateurs qui, pour une raison ou une autre, devaient être mis hors tension posaient donc un problème à WSUS. Cela nécessitait l'occurrence d'un cycle d'application de correctifs tout de suite après la mise sous tension de la machine le matin suivant, ou du travail supplémentaire de la part de l'administrateur qui devait trouver et mettre sous tension la machine la veille au soir.
Nous savons tous maintenant que cette limitation n'est pas si contraignante. Si des utilisateurs ont éteint leurs machines pendant un cycle d'application de correctifs nocturne, le matin suivant ils voient apparaître une jolie bulle d'avertissement dès la mise sous tension les prévenant de l'installation imminente des correctifs. Et même, aujourd'hui, les serveurs restent en général toujours sous tension. Cela veut dire qu'ils sont toujours prêts à recevoir des instructions d'application de correctifs en provenance de WSUS.
Modification du mélange
Cet environnement à la fois statique et plaisant se modifie une fois de plus tandis que nos serveurs passent à la virtualisation. Une fois virtualisés, il est toujours probable que nos serveurs restent sous tension en permanence. Toutefois, ces serveurs virtuels doivent venir de quelque part. Pour la grande majorité d'entre nous, ce « quelque part » se fait par le clonage d'un modèle de serveur.
Les modèles de serveur sont géniaux car ils nous aident à lancer un nouveau serveur rapidement et à le mettre en ligne avec un minimum d'efforts. Ils permettent également de garantir que chaque serveur débute sa vie avec la même configuration de base. Mais les modèles de serveur possèdent aussi une face cachée. Bien que ces ordinateurs soient parfaits pour mettre au monde un nouveau serveur, nos modèles en eux-mêmes ne sont pas prévus pour avoir de vie propre.
Un modèle de serveur existe en tant que fichier VHD sur un partage de fichiers quelque part. Hors tension, ce fichier est en réalité dans un état dormant. Il n'est ni plus ni moins qu'un très gros fichier Word ou Excel. Sous tension, ce fichier dormant devient une serveur tout à fait fonctionnel, pouvant traiter des charges de travail habituelles, ou les viles charges de travail des logiciels malveillants d'aujourd'hui et autres exploitations.
En bref, si ces modèles en état dormant ne reçoivent pas de correctifs, ils peuvent devenir la source d'une toute nouvelle attaque de logiciels malveillants, tout simplement parce qu'ils auront été mis sous tension.
Ça y est, j'ai toute votre attention ? C'est une bonne chose, car il s'agit du thème central du Microsoft Offline Virtual Machine Servicing Tool, qui en est actuellement à sa version 2.1. Cet accélérateur de solution gratuit installe un ensemble d'automatisations pour garder à jour à l'aide de WSUS vos modèles d'ordinateurs virtuels autrement dormants.
.png)
Figure 1 Les trois composants principaux de la maintenance des ordinateurs virtuels hors ligne.
Pour vous faire une idée globale de son mode de fonctionnement, reportez-vous à la figure 1. Vous voyez comment le serveur qui héberge System Center Virtual Machine Manager (VMM) interagit avec l'un de ses partages de bibliothèque, un hôte Hyper-V et votre serveur de gestion de mise à jour logicielle. Ce serveur de gestion de mise à jour peut être un serveur WSUS ou un serveur System Center Configuration Manager (SCCM) disponible. Que ce soit pour l'un ou pour l'autre, les processus sont presque identiques.
Offline VM Servicing Tool utilise ce qu'on appelle des travaux de maintenance pour gérer le déploiement des mises à jour sur les ordinateurs virtuels de la bibliothèque VMM. Ces travaux de maintenance sont pour la plupart des tâches prises en charge par le Planificateur de tâches Windows qui se lancent selon des périodicités prédéterminées.
Lorsqu'un travail de maintenance est prêt à être activé, il commence d'abord par « réveiller » l'ordinateur virtuel et le sortir de son emplacement de modèle. Le processus de réveil implique le déploiement de l'ordinateur virtuel vers un hôte Hyper-V et sa mise sous tension. Une fois l'ordinateur virtuel sous tension, l'Agent de mise à jour automatique Windows Update (WUA) configuré en interne de l'ordinateur virtuel reçoit l'ordre de commencer un cycle de mise à jour logicielle.
La configuration du WUA de l'ordinateur virtuel est définie de la même manière que pour tous vos autres ordinateurs, comme vous en avez l'habitude. Vous pouvez le faire via une application de stratégie de groupe ou en définissant manuellement la configuration dans l'ordinateur virtuel. Vous devez définir toutes les configurations type de WSUS pour que ce processus fonctionne, comme l'emplacement du service de mise à jour, tous les groupes d'ordinateurs WSUS, ainsi que toutes les autres caractéristiques spécifiques définies par votre stratégie de sécurité.
Une fois que vous avez correctement procédé à la mise à jour de l'ordinateur virtuel, le travail de maintenance le met hors tension et le renvoie dans la bibliothèque. Ce processus automatisé permet de garantir la mise à jour de vos ordinateurs virtuels et du reste de votre infrastructure avec les bons correctifs. Offline VM Servicing Tool n'ajoute aucune de ses propres configurations de gestion des mises à jour, car au lieu de cela il se repose sur les paramètres existants que vous avez déjà configurés pour WSUS ou SCCM.
En fait, l'installation de l'Offline VM Servicing Tool requiert quelques étapes qui ne sautent pas tout de suite aux yeux si vous n'avez pas lu le guide Solution Accelerator qui lui est associé. Bien qu'il en soit à sa version 2.1, cet outil donne l'impression d'être encore dans l'une de ses toutes premières versions. Son installation demande un téléchargement de console à partir du site Web de Microsoft. Le lancement de son exécution demande une étape supplémentaire, celle de télécharger et de copier les binaires de PSExec, psexec.exe et pdh.dll dans le dossier bin de l'outil, que vous trouverez dans C:\Program Files\Microsoft Offline Virtual Machine Servicing Tool\bin. Cela demande aussi que la stratégie d'exécution de Windows PowerShell soit configurée pour RemoteSigned.
.png)
Figure 2 Console d'Offline VM Servicing Tool.
Une fois installée, sa console (illustrée à la figure 2) ne fait qu'identifier les groupes d'ordinateurs virtuels pour déterminer quelles sont les machines qui reçoivent des correctifs, et à quel moment. Elle identifie aussi les travaux de maintenance qui contiennent les caractéristiques de vos tâches de mise à jour. L'outil de maintenance ne fonctionne également qu'avec les ordinateurs virtuels contenus dans votre bibliothèque VMM. Cela veut dire que tout ordinateur virtuel mis hors tension qui aura déjà été déployé vers un hôte Hyper-V ne fonctionnera pas avec l'outil.
Il fonctionnera avec les ordinateurs virtuels qui ne sont pas spécifiquement des modèles, comme tout ordinateur virtuel de rechange que vous tenez prêt à mettre en ligne pour pallier à une défaillance ou lorsque vous avez besoin de serveurs supplémentaires. Dans ces cas de figure, l'outil suggère d'utiliser un NIC secondaire sur les serveurs de rechange en parallèle d'un déploiement vers un réseau isolé. Cela permet de contribuer à garantir que le serveur de rechange ne devienne opérationnel par accident alors que vous voulez seulement lui appliquer les derniers correctifs.
Microsoft Offline Virtual Machine Servicing Tool n'apporte peut-être pas une solution complète à tous vos besoins d'application de correctifs hors ligne, mais son prix dérisoire et ses capacités limitées vous apporteront néanmoins un soutien précieux lorsque vous souhaitez seulement maintenir à jour quelques ordinateurs virtuels dormants. En considérant la somme de travail que cela représenterait de le faire manuellement, ainsi que les effets potentiellement dévastateurs d'un correctif que vous auriez oublié d'appliquer par inadvertance, vous vous rendez vite compte de l'importance de garder un œil sur vos ordinateurs virtuels dormants, car ils peuvent se montrer potentiellement dangereux.
.jpg)
Greg Shields*, MVP, est l'un des partenaires de Concentrated Technology. Pour lire d'autres conseils et astuces de sa rubrique Touche-à-tout, rendez-vous sur ConcentratedTech.com.*