Exporter (0) Imprimer
Développer tout

Processus de gestion des correctifs

Phase 1 - Analyse

Dernière mise à jour le 01 juin 2007

Sur cette page

Dans ce module
Objectifs
S'applique à
Comment utiliser ce module
Présentation
Inventaire des ressources informatiques existantes
Analyse des menaces et des failles de sécurité
Identification de la meilleure source d’informations sur les mises à jour de logiciels
Analyse de l’infrastructure de distribution de logiciels existante
Analyse de l’efficacité des opérations
Synthèse
Passage à la phase d’identification

Dans ce module

Ce module décrit la première des quatre phases du processus de gestion des mises à jour : l'analyse. La phase d’analyse consiste à auditer les logiciels présents dans votre environnement de production, à évaluer les menaces et les failles de sécurité potentielles et à analyser votre infrastructure de gestion des mises à jour.

Ce module a pour objectif de décrire les principes de la phase d’analyse du processus de gestion des mises à jour et de vous présenter les types de tâches qui vous permettront de mener à bien l’analyse avec Microsoft Windows Server Update Services (WSUS) et Microsoft Systems Management Server (SMS).

Remarque : Vous pouvez télécharger la version bêta 2 de la prochaine version de SMS, appelée System Center Configuration Manager 2007, à l'adresse http://www.microsoft.com/technet/sms/2007/evaluate/download.mspx. Grâce à des améliorations au niveau de la simplicité, de la configuration, du déploiement et de la sécurité, Configuration Manager 2007 simplifie considérablement le déploiement des systèmes, l'automatisation des tâches, la gestion des conformités et la gestion de la sécurité basée sur les stratégies, améliorant ainsi la souplesse de l'entreprise.

Une fois que vous aurez lu ce module, vous serez en mesure de planifier les tâches nécessaires pour déterminer :

  • ce dont vous disposez dans votre environnement de production ;

  • à quelles menaces et failles de sécurité vous êtes exposé ;

  • comment et quand votre entreprise peut se préparer à déployer les nouvelles mises à jour de logiciels.

À défaut d’un processus d’analyse continu, vous ne saurez pas de quelles ressources informatiques vous disposez, comment les protéger et comment vous assurer que votre architecture de distribution de logiciels est capable de prendre en charge la gestion des mises à jour.

Objectifs

Ce module vous permettra d'effectuer les opérations suivantes :

  • inventorier les ressources informatiques existantes ;

  • analyser les menaces et les failles de sécurité ;

  • identifier la meilleure source d’informations sur les nouvelles mises à jour de logiciels ;

  • analyser l’infrastructure de distribution de logiciels existante ;

  • analyser l’efficacité de vos opérations.


S'applique à

Ce module s'applique aux produits et technologies suivants :

  • tous les produits et technologies Microsoft.


Comment utiliser ce module

Ce module décrit l'une des quatre phases du processus de gestion des mises à jour : l'analyse. Il décrit les tâches élémentaires requises pour mener à bien une analyse à l’aide de Microsoft Windows Server Update Services (WSUS) et Microsoft Systems Management Server (SMS).

Pour tirer le meilleur parti de ce module :

  • Lisez la section Introduction du module « Processus de gestion des mises à jour ». Elle présente les quatre phases du processus de gestion des mises à jour et propose une introduction aux outils permettant la prise en charge de la gestion des mises à jour dans les environnements basés sur un système d’exploitation Microsoft Windows.

  • Vous trouverez des supports de référence détaillés dans les bibliothèques techniques WSUS et SMS. Ces bibliothèques sont disponibles aux adresses suivantes :


Présentation

La phase d’analyse constitue la première phase importante du processus de gestion des correctifs illustré dans la figure 1.

Figure 1 Processus de gestion des correctifs

Figure 1 Processus de gestion des correctifs

Dans l’idéal, vous devriez appliquer ce processus en continu afin de savoir en permanence de quelles ressources informatiques vous disposez, comment les protéger et comment vous assurer que votre architecture de distribution de logiciels est capable de prendre en charge la gestion des mises à jour.

La suite de cette section se concentre sur les principales conditions requises d’une analyse continue. Vous devez effectuer les opérations suivantes :

  • inventorier les ressources informatiques existantes ;

  • analyser les menaces et les failles de sécurité ;

  • identifier la meilleure source d’informations sur les nouvelles mises à jour de logiciels ;

  • analyser l’infrastructure de distribution de logiciels existante ;

  • analyser l’efficacité de vos opérations.


Inventaire des ressources informatiques existantes

Du point de vue de l’automatisation de la gestion des mises à jour, il existe deux types de cibles d’inventaire. Les systèmes gérés à l’aide d’un outil de gestion, tel que Microsoft Windows Server Update Services (WSUS) ou Systems Management Server (SMS), sont considérés comme des infrastructures gérées. Ceux qui n’ont pas d’agent SMS actif ou de client Mises à jour automatiques actif (utilisé avec WSUS), ou qui ont été délibérément exclus de la gestion automatisée sont considérés comme des infrastructures non gérées. Une infrastructure non gérée peut inclure des systèmes tels que :

  • des systèmes de sécurité, des hôtes externes et DMZ, et des systèmes connus dans des environnements spécifiques, tels que les environnements de test et de développement ;

  • des ordinateurs autonomes.

Les ressources non gérées restent concernées par la gestion des mises à jour. Vous devez vérifier ces systèmes afin de vous assurer que les dernières mises à jour de logiciels ont été installées. Les vérifications manuelles ou l’utilisation de Microsoft Update peuvent constituer le moyen le plus efficace de déployer des mises à jour de logiciels sur ces systèmes.

Il est parfois difficile d’identifier les conditions requises pour la gestion des mises à jour des ordinateurs autonomes ou des ordinateurs qui ne sont pas membres d’un domaine sous votre contrôle. Si vous ne disposez pas de droits administratifs locaux sur ces clients non gérés, vous parviendrez difficilement à collecter d’autres informations système que le nom et l’adresse IP (Internet Protocol) de l’ordinateur. Ces informations élémentaires peuvent néanmoins servir à identifier les clients non gérés au sein de votre environnement.

Remarque : pour les systèmes sous Microsoft Windows, Microsoft Baseline Security Analyzer (MBSA) indique le nom et adresse IP des ordinateurs qu’il ne peut pas analyser, le compte utilisateur qui initie l’analyse n’ayant pas de droits administratifs sur les ordinateurs cibles.

Informations devant être collectées

Une gestion efficace des mises à jour requiert une connaissance précise et à jour du matériel et des logiciels déployés dans l’environnement de production. Sans ces informations, vous ne pouvez pas déterminer quels ordinateurs de votre environnement nécessitent une mise à jour de logiciel. Il est également important de déterminer de quelle façon les ordinateurs clients sont connectés au réseau. Si certains d’entre eux sont connectés via des liaisons lentes ou non fiables ou s'ils utilisent l’accès à distance, tel que l’accès par ligne commutée, le mode de distribution et d’installation d’une mise à jour de logiciel différera de celui utilisé pour les ordinateurs connectés à un réseau rapide et fiable.

Les sections ci-après indiquent quelles informations doivent être collectées auprès des ordinateurs déployés au sein de l’environnement de production afin de gérer efficacement les mises à jour.

Identification des versions et types de matériel

Le fait de savoir si un ordinateur est un ordinateur portable (client mobile), un ordinateur de bureau ou un serveur peut aider les administrateurs à déterminer comment installer une mise à jour de logiciel particulière. Si vous mettez à jour un serveur, par exemple, vous devez tenir compte des plages d’inactivité (heures spécifiques auxquelles les changements et les redémarrages des ordinateurs sont permis) ou vous assurer qu'une sauvegarde du serveur a été effectuée avant de déployer une mise à jour de logiciel.

SMS vous permet de créer des groupes de serveurs pouvant être mis à jour durant une plages d’inactivité spécifique. Vous avez ainsi l’assurance que les mises à jour de logiciels ne sont pas installées durant les heures ouvrées normales. Pour plus d’informations sur l’utilisation de SMS durant la phase d’analyse, reportez-vous à la bibliothèque technique pour Systems Management Server 2003.

Identification des types et versions des systèmes d’exploitation

Les administrateurs doivent connaître les types et les versions de tous les systèmes d’exploitation déployés dans l’environnement de production. MBSA génère un rapport sur les mises à jour de sécurité et les service packs manquants et identifie les vulnérabilités pour des installations sur les systèmes d’exploitation Microsoft Windows Server™ 2003, Windows Vista, Windows XP, Windows 2000 et Windows NT 4.0. MBSA indique également si la configuration de l’ordinateur est conforme aux meilleures pratiques de sécurité communes (tels que les mots de passe complexes).

Identification des applications et intergiciels

Outre la version du système d’exploitation et le service pack, les administrateurs doivent connaître toutes les applications logicielles et les versions déployées.

Si vous déployez WSUS, vous devez utiliser MBSA 2.0.1 afin d’identifier les mises à jour de sécurité manquantes. MBSA identifie également les paramètres de sécurité mal configurés de certaines applications (Microsoft Office, Internet Information Services (IIS), Internet Explorer et Microsoft SQL Server™, par exemple). Pour plus d’informations sur l’utilisation de WSUS durant la phase d’analyse, reportez-vous à la bibliothèque technique WSUS (Windows Server Update Services).

Si vous utilisez SMS 2003, vous pouvez utiliser l'Agent du client d'inventaire matériel pour collecter des informations sur l’ensemble des applications, service packs et mises à jour de logiciels installés et enregistrés dans le programme Ajouter/Supprimer des programmes de Windows. L'Agent du client d'inventaire logiciel de SMS 2003 permet d’obtenir des détails sur tous les fichiers exécutables (.exe) installés, notamment sur toutes les applications, même sur ceux qui ne sont pas enregistrés dans Ajouter/Supprimer des programmes. Pour plus d’informations sur l’utilisation de SMS durant la phase d’analyse, reportez-vous à la bibliothèque technique pour Systems Management Server 2003.

Identification des rôles

Il est essentiel de déterminer le rôle d’un ordinateur, car les administrateurs ont besoin de cette information pour évaluer l’impact du redémarrage de l’ordinateur une fois qu’une mise à jour de logiciel a été déployée. Exemple :

  • Si l’ordinateur est un serveur qui exécute une application stratégique, vous devrez reporter l’installation de la mise à jour de logiciel à un moment où l’impact sur vos opérations sera minime. Il conviendra également de prendre les dispositions nécessaires pour assurer la continuité des opérations en faisant en sorte, par exemple, que les utilisateurs puissent continuer à utiliser l’application pendant le redémarrage du serveur.

  • Si l’ordinateur est un contrôleur de domaine détenant un ou plusieurs rôles maîtres sur les opérations, ou FSMO (Flexible Single Master Operation), vous devrez affecter ces rôles à d’autres contrôleurs de ce domaine durant la mise à jour de l’ordinateur. Réaffectez ensuite les rôles à l’ordinateur d’origine après son redémarrage.

Si vous utilisez SMS 2003, l'Agent du client d'inventaire matériel peut générer un rapport sur les services exécutés sur un ordinateur donné. Pour plus d’informations sur l’utilisation de SMS durant la phase d’analyse, reportez-vous à la bibliothèque technique pour Systems Management Server 2003.

Remarque : Comme nous l’avons déjà mentionné dans le module Introduction, vous pouvez télécharger la version bêta 2 de la prochaine version de SMS, appelée System Center Configuration Manager 2007, à l'adresse http://www.microsoft.com/technet/sms/2007/evaluate/download.mspx.

Compréhension de la connectivité

La compréhension de la disposition, des capacités, du niveau de sécurité et de la vitesse et de la disponibilité des liaisons de votre infrastructure de réseau est également importante pour une mise à jour efficace. La taille des mises à jour de logiciels étant variable, la connaissance des contraintes de votre infrastructure de réseau peut contribuer à réduire les retards dans la distribution des mises à jour de logiciels. Elle peut également influer sur le mode de déploiement des mises à jour de logiciels sur des ordinateurs clients particuliers.

La découverte de réseau SMS peut fournir des informations sur la topologie du réseau et sur les périphériques connectés au réseau. Pour plus d’informations sur l’utilisation de SMS durant la phase d’analyse, reportez-vous à la bibliothèque technique pour Systems Management Server 2003.

Identification des mises à jour de logiciels installées et manquantes

L’identification des mises à jour de logiciels installées ou non sur les ordinateurs est essentielle. Si vous utilisez WSUS, vous devez utiliser MBSA pour déterminer quelles mises à jour de logiciels sont requises sur les serveurs et stations de travail de votre entreprise, car WSUS n’inclut aucun outil d’audit spécifique. Cependant, MBSA ne peut pas détecter la présence ou l’absence des mises à jour de logiciels pour l’ensemble des systèmes d’exploitation et applications logicielles. Pour obtenir la liste complète de celles qu’il peut détecter, consultez l’article 895660 de la Base de connaissances de Microsoft intitulé « Microsoft Baseline Security Analyzer (MBSA) version 2.0 est disponible » à l'adresse http://support.microsoft.com/kb/895660. Si votre entreprise a besoin d’un audit matériel et logiciel complet, de mettre à jour des applications installées, telles que SQL Server 2000, et de déployer des mises à jour de logiciels non liées à la sécurité, optez pour le déploiement de SMS afin de prendre en charge la gestion des mises à jour. Pour plus d’informations sur l’utilisation de WSUS durant la phase d’analyse, reportez-vous à la bibliothèque technique WSUS (Windows Server Update Services).

Si vous utilisez SMS 2003, vous pouvez utiliser l'outil d'inventaire des mises à jour de sécurité et l'outil d'inventaire pour les mises à jour Microsoft (inclus avec la gestion des mises à jour de logiciels) pour étendre l’inventaire matériel SMS et générer des rapports sur les mises à jour de logiciels à installer sur un ensemble de clients. Les clients SMS 2003 comparent ce qui a été installé avec la liste de mises à jour de logiciels disponibles contenue dans le dernier catalogue de mises à jour de logiciels (Mssecure.cab) téléchargé du site Web Microsoft Update. Bien que cet outil ne génère pas de rapports sur les service packs manquants, vous pouvez utiliser les agents clients d’inventaire matériel et logiciel de SMS pour identifier le service pack actuellement installé. SMS 2003 inclut également l'outil d'inventaire des mises à jour Microsoft Office, qui fait partie de la gestion des mises à jour de logiciels. Cet outil étend l’inventaire matériel de SMS, ce qui lui permet de générer des rapports sur les mises à jour de logiciels Microsoft Office requises. Pour plus d’informations sur l’utilisation de SMS durant la phase d’analyse, reportez-vous à la bibliothèque technique pour Systems Management Server 2003.

Réalisation d’un inventaire/audit

Un audit aide une entreprise à comprendre et à obtenir une vue précise de son environnement de production avant de déterminer les bases à l’aide des outils précédemment identifiés. Ajoutez également au référentiel central de votre entreprise les résultats de l’audit jusqu’à ce point afin de suivre les informations sur votre environnement de production. Grâce à ce double point de référence, vous aurez l'assurance que l’audit est correct et que vous avez mis à jour votre référentiel. Relevez les éventuelles différences entre le résultat de l’audit et l’enregistrement du référentiel et transmettez ces informations à votre équipe de gestion des problèmes afin qu’elle les analyse. Les membres de l’équipe de gestion des problèmes doivent tenter de déterminer le point de panne dans l’enregistrement des informations et, si nécessaire, développer un palliatif afin d’empêcher que cela ne se reproduise.

Étant donné qu’il est primordial de disposer d’informations précises et à jour sur ce qui est présent dans l’environnement pour gérer les mises à jour, les administrateurs doivent vérifier qu’un audit a été effectué avant de commencer à utiliser WSUS ou SMS pour déployer des mises à jour de logiciels dans l’environnement de production.

Si vous utilisez WSUS, vous devrez utiliser MBSA pour identifier les applications installées, ainsi que les mises à jour de sécurité devant être appliquées pour sécuriser ces applications. Pour plus d’informations sur l’utilisation de WSUS durant la phase d’analyse, reportez-vous à la bibliothèque technique WSUS (Windows Server Update Services).

Si vous utilisez SMS 2003, la première étape à suivre pour vérifier la réussite de l’audit consiste à confirmer que l'outil d'inventaire des mises à jour Microsoft Office et l'outil d'inventaire des mises à jour de sécurité ont été exécutés avec succès. Pour cela, lisez les messages d’état afin de déterminer si des pannes se sont produites. Vérifiez ensuite l’état de l’inventaire matériel et logiciel sur chaque client SMS en créant un rapport en ligne répertoriant les ordinateurs clients SMS sur lesquels les agents clients de l’inventaire matériel et logiciel n’ont pas pu s’installer ou ceux sur lesquels ils n’ont pas pu s’exécuter durant une période donnée. Pour plus d’informations sur l’utilisation de SMS durant la phase d’analyse, reportez-vous à la bibliothèque technique pour Systems Management Server 2003.

Analyse de l’exhaustivité des données d’inventaire

Une fois l’audit réalisé, les administrateurs doivent vérifier que les résultats sont complets et que les informations fournies par l’ensemble des ordinateurs gérés sont à jour. Les activités suivantes doivent être effectuées :

  • Les résultats de l’audit doivent être comparés avec ceux d’un audit précédent et toute augmentation ou diminution du nombre d’ordinateurs détecté doit être relevée. Un écart important par rapport aux audits précédents peut révéler une lacune.

  • Les résultats de l’audit doivent être également comparés avec les objets ordinateurs (comptes ordinateurs) dans les domaines de service de répertoire Microsoft Active Directory. Tant que les comptes obsolètes sont nettoyés, cela sera aussi utile qu’une comparaison avec des services de résolution de noms.

  • Les systèmes en cours d’utilisation enregistreront et utiliseront les services de résolution de noms Windows Internet Name Service (WINS) et Domain Name System (DNS) dans votre environnement. Des scripts offrant des références croisées avec l’infrastructure active, telles que ces services, peuvent fournir une vue globale de l’exhaustivité de l’inventaire pour la gestion des mises à jour. Assurez-vous d’activer le vidage ou le nettoyage des enregistrements obsolètes sur vos serveurs de résolution de noms afin d’obtenir des résultats plus précis.

Si l’analyse révèle une incohérence dans les informations renvoyées, efforcez-vous d’en trouver la cause et prenez les mesures nécessaires afin que les systèmes oubliés par l’audit soient inclus dans l’audit suivant.

Établissement de votre environnement en tant que base

Une base est un ensemble de configurations documentées d’un produit ou d’un système établi à un instant donné. Les bases définissent un standard auquel des systèmes d’une même classe et d’une même catégorie doivent correspondre. Les opérations informatiques efficaces utilisent des bases en tant que point de référence à partir duquel des systèmes sont bâtis et déployés. En général, la configuration définie par une base est rigoureusement testée et certifiée par le fournisseur.

Une application ou un logiciel de base fournit les informations requises pour restaurer un système à un état désiré. Il peut s’avérer nécessaire d’établir des bases pour différentes applications logicielles, fournisseurs de matériel ou types d’ordinateurs.

L’établissement d’une base suppose que vous réalisiez et mainteniez un inventaire précis des ordinateurs et services présents dans votre environnement. Souvenez-vous des points suivants lorsque vous établissez des bases pour votre environnement :

  • Toute infrastructure en dessous de la base doit être soumise à la gestion des problèmes. Vous devez mettre en conformité l’ensemble des ordinateurs identifiés comme étant en dessous de la base. Il se peut que ces ordinateurs aient eu des problèmes avec la distribution, les planifications ou les autorisations, ou qu’ils aient besoin d’une attention particulière via la gestion des exceptions.

  • Les infrastructures qui sont au-dessus de la base ne sont pas nécessairement avantagées. Les ordinateurs qui dépassent leur classe de base doivent être vérifiés afin de déterminer si des changements non autorisés ont eu lieu. Dans certains cas, il peut s’avérer nécessaire de restaurer un système à un niveau fiable ou de le contrôler en gelant les changements. Les systèmes au-dessus d’une base approuvée contiennent des versions d’applications ou des mises à jour de logiciels dont l’interopérabilité n’a pas été testée et formellement approuvée par les opérations et la sécurité informatiques.

  • Certaines circonstances particulières peuvent exempter des systèmes de la base de leur classe. Par exemple, une ancienne station de travail exécutant une application de paie héritée qui se connecte à une agence de traitement via un modem peut avoir besoin d’un niveau de système d’exploitation bien en dessous de la base établie. Il n’est pas nécessairement approprié de mettre ce système au niveau de la dernière base, car cela pourrait nuire à l’exécution de l’application héritée.


Analyse des menaces et des failles de sécurité

Une fois que vous avez compris quels systèmes et données informatiques ont été déployés dans l’environnement de production, procédez à une analyse continue de la sécurité afin de déterminer les étapes requises pour préserver la disponibilité, l’intégrité et la confidentialité de ces systèmes et données informatiques. L’analyse de la sécurité doit au moins permettre :

  • d’identifier les standards et les stratégies de sécurité ;

  • de déterminer comment appliquer les standards et les stratégies de sécurité ;

  • d’analyser les vulnérabilités du système.

Pour plus d’informations sur l’analyse de la sécurité, lisez le document (en anglais) « Security Risk Management Guide » à l'adresse http://www.microsoft.com/technet/security/topics/complianceandpolicies/secrisk/srsgch01.mspx.

Identification des standards et des stratégies de sécurité

Une stratégie de sécurité efficace doit identifier les standards de sécurité minimum pour les ordinateurs et contribuer à minimiser l’exposition à des failles de sécurité potentielles. Pour être efficace, la stratégie de sécurité d’une entreprise doit être revue chaque fois que des changements sont apportés aux systèmes informatiques et aux logiciels dans l’environnement de production et couvrir, au minimum, les aspects suivants :

  • les standards d’installation, qui décrivent les lieux et les méthodes d’installation pris en charge ;

  • les standards des réseaux et des domaines, qui indiquent comment les noms et les informations TCP/IP (Transmission Control Protocol/Internet Protocol) sont affectés et quels ordinateurs de domaine doivent en faire partie ;

  • les options de sécurité des systèmes d’exploitation et les paramètres de stratégie, y compris ceux permettant de diminuer le nombre de ports ouverts en fonction des services requis ;

  • tous les standards qui décrivent l’utilisation des systèmes de fichiers chiffrés ;

  • le service pack ou la mise à jour de logiciel minimum compatible, actualisé avec chaque version de la sécurité ;

  • le logiciel antivirus compatible ;

  • les paramètres de configuration de la sécurité des applications, tels que la protection des fichiers macros et les zones de sécurité ;

  • les standards des comptes administratifs, tels que le renommage ou la désactivation des comptes ou la configuration de comptes pièges ;

  • les standards de définition de mots de passe sûrs.

Une infraction de la stratégie de sécurité signifie qu’une vulnérabilité doit être éliminée de l’environnement. Il peut s’agir d’un ordinateur ne possédant pas certaines mises à jour de logiciels ou mal configuré, ou d’un utilisateur n’utilisant pas des mots de passe sûrs.

La stratégie de sécurité peut fournir des instructions pour chaque type d’infraction de la conformité à la stratégie, qui peuvent ensuite servir à déterminer la gravité d’une instance d’une vulnérabilité spécifique.

Remarque : MBSA recherche les mises à jour de sécurité et les défauts de configuration de la sécurité courants. Il n’analyse pas la conformité à l’ensemble des éléments de la stratégie de sécurité d’une entreprise.

Une fois que vous avez établi et activé une stratégie de sécurité qui définit les standards de sécurité informatique, appliquez les stratégies présentées dans la section ci-après afin de faire face aux éventuelles infractions ou vulnérabilités décelées au moyen d’une série d’escalades.

Identification du mode d’application des standards et des stratégies de sécurité

L’administration distribuée et la gestion décentralisée de ressources vulnérables peuvent compliquer l’application d’une stratégie de sécurité. Les personnes chargées de l’administration des ressources et de l’élimination des vulnérabilités peuvent être inconnues ou difficiles à localiser, se trouver dans un autre service de l’entreprise ou ne pas posséder les compétences requises pour éliminer eux-mêmes les vulnérabilités.

Plusieurs méthodes deviennent alors nécessaires et utiles pour appliquer une stratégie de sécurité :

  • Les stratégies de sécurité, les calendriers d’application et les approches doivent être soutenues par la direction à tous les niveaux de l’entreprise.

  • Les techniques et les outils utilisés pour établir la propriété et les informations administratives d’un ordinateur non géré doivent être mis à la disposition des techniciens du centre de service concerné.

  • Les techniciens du centre de service doivent être formés à l’atténuation de chacune des vulnérabilités qui enfreignent la stratégie de sécurité.

  • Des outils et des techniques automatisés, tels que la stratégie de groupe, doivent être utilisés afin de s’assurer que les systèmes informatiques restent constamment en conformité avec la stratégie et les standards de sécurité de l’entreprise.

La nature d’une faille de sécurité, par exemple le risque d’exploitation et le coût de la reprise, doit permettre de déterminer la fermeté de la réaction à un système non conforme. Si des tentatives de résolution de la vulnérabilité dans le délai imparti s’avèrent infructueuses, vous pouvez recourir à des méthodes plus coercitives, notamment en :

  • faisant remonter le problème à l’entreprise de la personne en infraction ;

  • désactivant le compte principal utilisé pour accéder à l’ordinateur ;

  • retirant l’ordinateur du réseau en le déconnectant physiquement ou en configurant le matériel réseau pour qu’il retire automatiquement le périphérique du réseau en désactivant les ports, par exemple.

Ces deux dernières méthodes supposent généralement d’appeler le centre de service afin de discuter de la vulnérabilité non éliminée et de déterminer une solution acceptable. Assurez-vous d’avoir le soutien de la direction pour la stratégie de sécurité avant de faire remonter les infractions de la sécurité et de recourir à ces techniques.

Analyse des vulnérabilités du système

L’analyse et la génération de rapports sur la sécurité en continu sont essentiels afin d’identifier et d’éliminer les failles de sécurité potentielles.

Au minimum, les entreprises doivent effectuer les opérations suivantes :

  • Effectuer des vérifications sur les ordinateurs déployés dans l’environnement de production et vérifier le système d’exploitation ainsi que d’autres composants installés, tels que Microsoft Internet Information Services (IIS) et Microsoft SQL Server™, afin d’identifier les configurations susceptibles de compromettre la sécurité. Vous pouvez utiliser MBSA pour identifier divers défauts de configuration de la sécurité. Consultez également le site Web centralisé de la sécurité Microsoft pour plus d’informations sur le renforcement et la sécurité des ordinateurs. Ce site est accessible à l’adresse http://www.microsoft.com/france/securite.

  • Effectuer des analyses régulières afin d’identifier les ordinateurs susceptibles d’avoir été infectés par un virus. Vous pouvez générer ces rapports à l’aide des outils antivirus choisis par votre entreprise.

  • Passer en revue les informations renvoyées par les outils de surveillance du réseau, les journaux d’événements et d’autres outils de surveillance, ainsi que la sortie des systèmes de détection des intrusions afin de déterminer si des attaques sont menées contre les systèmes informatiques dans l’environnement de production.

  • Créer et maintenir des images (bases) de système d’exploitation applicables à une plate-forme matérielle donnée afin de restaurer rapidement un système d’exploitation correct sur un système infecté.

  • Vérifier que tous les utilisateurs et administrateurs connaissent la marche à suivre en cas d’attaque des systèmes informatiques dans l’environnement de production.

  • Dresser la liste de toutes les informations et ressources clés à protéger en priorité en cas d’attaque.

  • Vérifier les journaux et les configurations de vos routeurs et pare-feu afin de vous assurer qu’ils sont cohérents avec les standards de votre entreprise pour ces périphériques.

  • Passer en revue les stratégies de sécurité du contrôleur de domaine.

La recherche des failles de sécurité potentielles sur les systèmes doit être aussi automatisée et régulière que possible (quotidiennement pour la plupart des systèmes). La fréquence dépend du niveau d’automatisation de chacun des domaines, de la disponibilité et des compétences du personnel en charge de la sécurité informatique de l’entreprise et du niveau d’engagement à établir un environnement sécurisé.

Si vous découvrez qu’une faille de sécurité a été exploitée, déclenchez un processus de réaction d’urgence afin d’en minimiser l’impact.

Identification de la meilleure source d’informations sur les mises à jour de logiciels

Une fois que vous savez ce que vous avez déployé dans votre environnement de production et que vous avez analysé les menaces et les failles de sécurité, il vous reste à identifier la meilleure source d’informations sur les nouvelles mises à jour de logiciels. Ces informations vous serviront à identifier les nouvelles mises à jour de logiciels dans la phase suivante. Les sources d’informations sur les mises à jour de logiciels peuvent être :

  • des notifications par courrier électronique ;

  • des sites Web ;

  • des représentants techniques de Microsoft.

Il est essentiel de souscrire aux méthodes de notification adaptées afin de maintenir et de mettre à jour vos bases de fonctionnement établies et de mettre en œuvre un processus de gestion des mises à jour efficace.

Le Microsoft Security Response Center (MSRC) analyse les problèmes signalés directement à Microsoft, ainsi que ceux abordés dans certains forums de discussion sur la sécurité. Les bulletins de sécurité publiés par Microsoft contiennent des informations générales sur les vulnérabilités et les produits qu’elles affectent. Ces bulletins fournissent également des informations techniques détaillées sur les vulnérabilités, les mises à jour et les palliatifs, ainsi que des considérations relatives au déploiement et des instructions sur le téléchargement des mises à jour disponibles.

Les bulletins de sécurité et les mises à jour de sécurité associées sont publiés les deuxièmes mardis de chaque mois entre 10 h 00 et 11 h 00, heure du Pacifique, à moins que Microsoft ne choisisse une autre heure afin de mieux répondre aux besoins de ses clients. Cette stratégie a été établie en réponse aux commentaires exprimés par les clients internationaux afin de les aider à planifier des plans de gestion des mises à jour.

Vous pouvez passer en revue l’ensemble des bulletins de sécurité et d’autres informations sur la sécurité des produits Microsoft à l’adresse http://www.microsoft.com/france/technet/security/default.mspx. Toutes les mises à jour de sécurité contenues dans les deux derniers service packs pour l’ensemble des produits actuellement pris en charge peuvent être téléchargés depuis cette adresse.

Vous pouvez être informé des nouvelles mises à jour de logiciels Microsoft par courrier électronique. Le niveau de détail dont vous avez besoin dépend de la taille de votre entreprise et du niveau de technicité des informations dont vous avez besoin :

  • Pour les clients qui possèdent des compétences étendues dans les technologies mises en œuvre dans les mises à jour de sécurité ou qui manifestent un certain intérêt pour celles-ci, Microsoft TechNet propose le service Microsoft Security Notification Service. Ce service gratuit de notification par courrier électronique est destiné aux professionnels de l’informatique. Les courriers électroniques contiennent des informations techniques approfondies. Pour plus d’informations ou pour vous abonner au service Microsoft Security Notification Service, reportez-vous à l’adresse https://profile.microsoft.com/RegSysProfileCenter/SubCntDefault.aspx?lcid=1036.

  • Microsoft propose désormais un service gratuit de mises à jour de sécurité qui permet aux petites entreprises de recevoir des alertes par courrier électronique et de rester plus facilement informées des dernières mises à jour de sécurité. Chaque fois que Microsoft publie une mise à jour, les abonnés reçoivent un courrier électronique expliquant dans des termes simples pourquoi Microsoft diffuse cette mise à jour. Le message indique également quels sont les produits concernés et fournit un lien vers l’annonce complète sur le site Web centralisé sur la sécurité. Afin de recevoir les notifications de sécurité technique de Microsoft, inscrivez-vous à l'adresse http://signup.alerts.msn.com/alerts/login.do?PINID=3274&returnURL=http://www.microsoft.com/france/securite.

  • Vous pouvez également recevoir une notification pour les nouveaux articles de la Base de connaissances en cliquant sur le lien « Register for the Free TechNet Flash Newsletter » à l’adresse http://technet.microsoft.com/fr-fr/bb291016. Ces articles contiennent fréquemment des informations sur les mises à jour de logiciels que vous devez déployer pour résoudre des problèmes dans votre environnement de production.


Analyse de l’infrastructure de distribution de logiciels existante

L’analyse de l’infrastructure de distribution des logiciels constitue une autre partie importante d’un processus efficace de gestion des mises à jour. L’analyse doit permettre de répondre à des questions telles que :

  • Y a-t-il une infrastructure de distribution des logiciels en place ?

  • Peut-elle servir à distribuer les mises à jour des logiciels ?

  • Dessert-elle tous les ordinateurs de votre environnement ? Est-elle conçue pour gérer la mise à jour des ordinateurs stratégiques ?

  • La maintenance de votre mise en œuvre de l’infrastructure SUS ou SMS, d’Active Directory et de Group Policy est-elle adaptée ?

Si vous utilisez WSUS, configurez un seul serveur parent WSUS afin qu’il télécharge automatiquement les mises à jour de logiciels depuis les serveurs Windows Update publics de Microsoft. Ces mises à jour doivent avoir lieu quotidiennement en utilisant un programme de synchronisation préconfiguré. Une fois approuvées, les mises à jour sont immédiatement mises à la disposition de tous les clients WSUS. Le téléchargement doit être configuré pour avoir lieu à des heures de faible activité du réseau. Pour plus d’informations sur l’utilisation de WSUS durant la phase d’analyse, reportez-vous à la bibliothèque technique WSUS (Windows Server Update Services).

Si vous utilisez SMS, notez que les serveurs du site doivent se trouver là où existe une importante base de clients ou bien là où la bande passante du réseau doit être gérée ou contrôlée. Sur certains sites, vous aurez besoin de deux serveurs de site SMS : un pour prendre en charge les stations de travail clientes et un pour prendre en charge les ordinateurs stratégiques.

Plus d'informations

Pour plus d’informations sur l’utilisation de WSUS durant la phase d’analyse, reportez-vous à la bibliothèque technique WSUS (Windows Server Update Services).

Pour plus d’informations sur l’utilisation de SMS et de SMS 2003 durant la phase d’analyse, reportez-vous à la bibliothèque technique pour Systems Management Server 2003.

Analyse de l’efficacité des opérations

L’efficacité des opérations informatiques constitue sans doute la condition la plus importante pour une gestion efficace des mises à jour. La structure Microsoft Operations Framework (MOF), basée sur l’ITIL (IT Infrastructure Library), décrit 20 fonctions de gestion des services (SMF, Service Management Function). Pour plus d’informations sur les SMF ayant un impact direct sur la gestion des mises à jour, notamment sur Change Management, Configuration Management et Release Management, lisez les conseils TechNet, « Microsoft Solutions for Management on TechNet », à l'adresse http://www.microsoft.com/technet/itsolutions/cits/mo/default.mspx.

Vous devez vous poser plusieurs questions lorsque vous analysez l’efficacité de vos opérations dans le contexte de ces SMF :

  • Y a-t-il suffisamment de personnes qualifiées pour gérer les mises à jour ?

  • Les utilisateurs sont-ils conscients de la nécessité de gérer les mises à jour ?

  • Les responsables comprennent-ils les paramètres de sécurité, les vulnérabilités courantes des ordinateurs, les techniques de distribution de logiciels, l’administration à distance et le processus de gestion des mises à jour ?

  • Existe-t-il des processus opérationnels standard en place ou les opérations journalières sont-elles sous-estimées et vagues ?

  • Existe-t-il des processus de gestion des changements et des versions, même informels ? La protection d’un environnement contre les attaques ne doit pas être laissée au hasard.

  • Y a-t-il un processus d’urgence pour déployer des mises à jour de logiciels ?

  • Les processus sont-ils constamment évalués et testés ?

La gestion des mises à jour est l’un des nombreux domaines des opérations informatiques. Les entreprises consacrent un pourcentage considérable de leur budget informatique dans les opérations, car l’excellence opérationnelle réduit les dépenses tout en améliorant la fiabilité, la disponibilité, la prise en charge et la gestion des services stratégiques.

L’analyse des opérations permet au personnel de réaliser des bénéfices tangibles sur les opérations existantes ou proposées, quelle que soit la taille ou la maturité de l’entreprise.

Pour analyser rapidement l’excellence opérationnelle de votre entreprise, utilisez le MOF Self-Assessment Tool, disponible à l’adresse http://www.microsoft.com/technet/itsolutions/cits/mo/mof/moftool.mspx.

Pour en savoir plus sur l’analyse des opérations et trouver des services de conseil capables d’analyser les opérations, consultez le MOF Operations Assessment Service Offering à l’adresse http://www.microsoft.com/services/microsoftservices/srv_mgmt_ops.mspx.

Modèle d’administration

Une entreprise doit également passer en revue le modèle d’administration actuel de son environnement informatique et déterminer s’il prend correctement en charge la gestion des mises à jour. Voici quelques-unes des questions que vous devez vous poser :

  • Quelle est la taille de l’infrastructure par rapport au nombre d’utilisateurs ? Quel est le ratio administrateur/système ?

  • Quel est le modèle de prise en charge actuel : centralisé, décentralisé ou partagé ?

  • Quelles sont les heures ouvrées du personnel de support ? Le nombre de fenêtres de changement allouées à la maintenance et l’administration est-il suffisant ?

  • Les rôles sont-ils clairement définis et communiqués aux membres de l’équipe ?

  • Les processus de gestion des services ont-ils été formalisés et sont-ils suivis ?

  • Les individus disposent-ils de suffisamment d’outils pour remplir efficacement leurs rôles ?

Ensembles de compétences

Les questions suivantes peuvent vous aider à déterminer l’ensemble de compétences requis pour gérer efficacement les mises à jour.

  • Les individus ont-ils suffisamment d’expérience pour gérer la taille et la complexité de l’infrastructure ?

  • Le personnel a-t-il été correctement formé sur les technologies appropriées ?

  • Les individus travaillent-ils en synergie, comme une équipe ?

  • Les individus ont-ils l’expérience ou la formation appropriée pour comprendre les disciplines et les méthodologies opérationnelles clés ?

  • Les individus ont-ils des compétences dans l’écriture de scripts ?

  • Les individus comprennent-ils les autorisations et les contextes utilisateur et système ?

  • Les individus comprennent-ils les structures et les interdépendances des mises à jour de logiciels ?


Synthèse

Voici les principaux points de la phase d’analyse du processus de gestion des mises à jour dont vous devez vous souvenir :

  • Vous devez déterminer les menaces pesant sur votre environnement de production ainsi que ses vulnérabilités.

  • Vous devez savoir quelles sont vos ressources stratégiques.

  • Vous devez savoir ce que vous avez déployé dans votre environnement de production, ainsi que ce qui est géré (par des outils de gestion) et ce qui ne l’est pas.

  • Vous devez vous assurer que vos outils de distribution de logiciels sont configurés, maintenus et capables de prendre en charge la gestion normale et d’urgence des mises à jour.

  • Vous devez vous assurer que des rôles et des responsabilités ont été attribués à votre personnel et qu’il sait comment réagir en cas d’urgence, c’est-à-dire comment gérer les mises à jour de logiciels et limiter leur impact.


Passage à la phase d’identification

L’élément déclencheur du passage à la phase d’identification du processus de gestion des mises à jour est la notification qu’une nouvelle mise à jour de logiciel existe. Pour plus d’informations sur la phase d’identification, lisez le module « Gestion des mises à jour : Phase 2 - Identification ».


Télécharger la solution complète

Gestion des correctifs avec SMS 2003 (en anglais)


Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Afficher:
© 2015 Microsoft