Lire en anglais

Partager via

Processus de gestion des correctifs

  • Article

Introduction

Dernière mise à jour le 01 juin 2007

Sur cette page

Dans ce module
Objectifs
S'applique à
Comment utiliser ce module
Présentation de la gestion des mises à jour
Terminologie de la sécurité
Comment Microsoft corrige les logiciels après leur publication
Importance de la gestion proactive des mises à jour
Conditions requises pour une gestion réussie des mises à jour
Opérations efficaces
Outils et technologies
Processus de gestion de projet efficaces
Approche en quatre phases de la gestion des mises à jour
Ressources apparentées
Vos commentaires

Dans ce module

Ce module fournit une introduction à la gestion des mises à jour et explique en quoi ce processus est essentiel pour les systèmes d’entreprise. Il présente la terminologie de la sécurité et décrit les vulnérabilités courantes ainsi que les différents types de menace. Ce module explique également comment Microsoft développe et publie des mises à jour de logiciels et montre en quoi ces processus sont liés aux étapes que vous devez suivre pour gérer de façon proactive les mises à jour de sécurité. Enfin, ce module présente les quatre phases du processus de gestion des mises à jour préconisé par Microsoft, qui est expliqué plus en détail dans les modules suivants.

Ce module a pour objectif de présenter les principaux enjeux de la gestion des mises à jour dans un environnement basé sur le système d’exploitation Microsoft Windows et de décrire les principaux outils, technologies et processus recommandés par Microsoft pour mener à bien cette tâche.

Haut de page

Objectifs

Ce module vous permettra d'effectuer les opérations suivantes :

  • découvrir la gestion informatique sécurisée et les coûts d’une sécurité déficiente ;

  • comprendre le concept de « gestion des mises à jour », ainsi que les termes clés de la sécurité ;

  • analyser les principales vulnérabilités, ainsi que leurs correspondances avec les niveaux de gravité de Microsoft, les catégories de menaces et les types d’agents de menace qui existent actuellement ;

  • examiner comment Microsoft corrige les logiciels après leur publication, ainsi que la terminologie Microsoft relative aux mises à jour logicielles ;

  • étudier par des exemples l’importance de la gestion proactive des mises à jour de sécurité ;

  • identifier les outils et les technologies de gestion des mises à jour les plus appropriées en fonction de votre environnement ;

  • décrire les éléments de base du processus de gestion des mises à jour en quatre phases.

Haut de page

S'applique à

Ce module s’applique à l’ensemble des produits et technologies Microsoft.

Haut de page

Comment utiliser ce module

Ce module fournit une introduction à la gestion des mises à jour de sécurité. Il définit les principaux termes et concepts, présente les outils et technologies et offre un aperçu du processus en quatre phases préconisé pour la gestion des mises à jour. Il fournit des exemples d’anciennes attaques et explique comment elles auraient pu être évitées avec une gestion proactive adéquate des mises à jour de sécurité.

Afin de tirer le meilleur parti possible de ce module :

Haut de page

Présentation de la gestion des mises à jour

Le processus de gestion des mises à jour consiste à contrôler le déploiement et la maintenance des versions logicielles intermédiaires dans les environnements de production. Il vous aide à préserver l’efficacité de vos opérations, à éliminer les failles de sécurité et à assurer la stabilité de votre environnement de production.

Si votre entreprise n’est pas en mesure de déterminer et de maintenir un niveau de confiance connu au sein de ses systèmes d’exploitation et de ses logiciels, elle s’expose à plusieurs failles de sécurité qui, si elles étaient exploitées, pourraient se traduire par un manque à gagner et une perte de propriété intellectuelle. Afin de minimiser cette menace, vous devez configurer correctement vos systèmes, utiliser les dernières versions des logiciels et installer les mises à jour de logiciels recommandées.

Pensez aux aspects suivants lorsque vous déterminez l’impact financier potentiel d’une mauvaise gestion des mises à jour :

  • Durée d'inactivité :

    Combien vous coûterait l’arrêt des ordinateurs dans votre environnement ? Et si des systèmes d’entreprise stratégiques étaient interrompus ? Déterminez le coût éventuel d’une perte de productivité des utilisateurs finaux, de l’absence de transactions sur des systèmes stratégiques et d’un arrêt de l’activité durant un incident. La plupart des attaques entraînent une inactivité, que ce soit directement ou suite à la résolution nécessaire à la reprise. Certaines attaques ont déjà arrêté des ordinateurs pendant plusieurs jours.

  • Durée de résolution :

    Combien vous coûterait la résolution d’un problème de grande envergure au sein de votre environnement ? Quel serait le coût de réinstallation d’un ordinateur ? Et si vous deviez réinstaller tous vos ordinateurs ? Certaines attaques requièrent une réinstallation complète afin d’éliminer définitivement les éventuels accès (qui pourraient être exploitées pour lancer de nouvelles attaques).

  • Intégrité des données douteuse :

    En cas d’attaque compromettant l’intégrité des données, combien coûterait la récupération de ces données à partir de la dernière sauvegarde correcte connue ou la confirmation aux clients et partenaires de la validité des données ?

  • Perte de crédibilité :

    Combien vous coûterait la perte de votre crédibilité auprès de vos clients ? Combien vous coûterait la perte d’un ou de plusieurs clients ?

  • Détérioration des relations publiques :

    Quel serait l’impact sur votre entreprise d’une dégradation des relations publiques ? De combien votre cote en bourse chuterait-elle si vous étiez considéré comme une entreprise trop peu fiable pour envisager de traiter avec elle ? Quel impact subiriez-vous si vous vous trouviez dans l’incapacité de protéger les informations personnelles de vos clients, telles que les numéros de carte de crédit ?

  • Moyens de défense légaux :

    Combien cela vous coûterait-il de défendre votre entreprise contre des tiers qui intenteraient une action en justice à la suite d’une attaque ? Les entreprises qui fournissent des services importants à des tiers mettent à l’épreuve leur processus de gestion des mises à jour (ou l’absence d’un tel processus).

  • Vol de propriété intellectuelle :

    Combien vous coûterait le vol ou la destruction de la propriété intellectuelle de votre entreprise ?

L’analyse et la préservation de l’intégrité des logiciels dans un environnement réseau au moyen d’un programme de gestion des mises à jour parfaitement défini constituent la première et la plus importante des étapes vers la sécurité de l’information, quelles que soient les restrictions de l’accès physique à un ordinateur.

Haut de page

Terminologie de la sécurité

Cette section présente la terminologie que vous devez comprendre pour prendre part au processus de gestion des mises à jour de sécurité. Le tableau 1 définit les termes clés de la sécurité qui sont employés dans ces modules.

Tableau 1 : Termes importants de la sécurité

Terme Définition
Vulnérabilité Logiciel, matériel, procédure, fonction ou configuration pouvant constituer un point faible exploitable durant une attaque. Également appelée exposition ou faille.
Menace Source de danger.
Agent de menace Personne ou processus attaquant un système via une vulnérabilité afin d’enfreindre votre stratégie de sécurité.
Attaque Agent de menace tentant de profiter de certaines vulnérabilités à des fins illégitimes.
Contre-mesures Configurations logicielles, matériel ou procédures réduisant les risques dans un environnement informatique. Également appelée minimisation ou atténuation.
#### Vulnérabilités Différents facteurs peuvent rendre un logiciel vulnérable à une attaque. Le tableau 2 répertorie plusieurs vulnérabilités logicielles courantes. **Tableau 2 : Vulnérabilités logicielles**

Terme Définition
Saturation de la mémoire tampon (dépassement) Tampon non vérifié dans un programme pouvant remplacer le code du programme par de nouvelles données. Le remplacement du code du programme par un nouveau code exécutable a pour effet de modifier le fonctionnement du programme selon la volonté du pirate.
Elévation des privilèges (escalade) Permet aux utilisateurs ou aux pirates d’obtenir des privilèges supérieurs dans certaines circonstances.
Erreur de validation (code source) Permet à des données incorrectes d’avoir des conséquences imprévues.
#### Niveaux de gravité des vulnérabilités MSRC Le MSRC (Microsoft Security Response Center) utilise des niveaux de gravité afin de vous aider à déterminer l’urgence des vulnérabilités et des mises à jour de logiciels associées. Le tableau 3 répertorie les niveaux utilisés par le MSRC pour classifier la gravité d’une vulnérabilité. **Tableau 3 : Niveaux de gravité des vulnérabilités**

Niveau Définition
Critique Vulnérabilité dont l’exploitation pourrait permettre de propager un ver Internet sans aucune action de l’utilisateur.
Important Vulnérabilité dont l’exploitation pourrait compromettre la confidentialité, l’intégrité ou la disponibilité des données des utilisateurs, ou l’intégrité ou la disponibilité des ressources de traitement.
Moyen Son exploitation est minimisée par des facteurs tels qu’une configuration par défaut, un audit ou une difficulté d’exploitation.
Faible Vulnérabilité extrêmement difficile à exploiter ou ayant un impact minime.
Pour plus d’informations sur les niveaux de vulnérabilité du MSRC, consultez le Microsoft Security Response Center Security Bulletin Severity Rating System à l’adresse :

Terme Définition
Usurpation d’identité Obtention et utilisation par des moyens illicites des informations d’authentification d’une tierce personne, telles qu’un nom d’utilisateur ou un mot de passe.
Falsification de données Modification malveillante des données.
Répudiation Fait que des utilisateurs nient avoir exécuté une action, alors qu’il n’existe aucun moyen de prouver le contraire. (La non-répudiation fait référence à la capacité d’un système à contrer les menaces de répudiation et comprend des techniques telles que la signature d’un bordereau de réception d’un colis pouvant servir de preuve.)
Divulgation d'informations Exposition d’informations à des individus qui ne sont pas sensés y avoir accès, par exemple l’accès à des fichiers sans possession des droits appropriés.
Déni de service Tentative explicite visant à empêcher des utilisateurs légitimes d’utiliser un service ou un système.
Élévation des privilèges (escalade) Obtention de privilèges d’accès par un utilisateur n’en possédant pas, par exemple en trouvant un moyen d’être ajouté au groupe Administrateurs.
**Remarque :** Pour en savoir plus sur le modèle STRIDE et sur la façon dont Microsoft forme les développeurs à l’écriture de code sécurisé, consultez le manuel de Howard, Michael et David LeBlanc, [Writing Secure Code, Second Edition](http://www.microsoft.com/mspress/books/5957.asp), Redmond, WA : Microsoft Press, 2002. (

Terme Définition
Virus Programme intrusif qui infecte des fichiers informatiques par insertion de copies de code auto-répliquant et qui supprime des fichiers essentiels, effectue des modifications système ou réalise d’autres actions dans le but de corrompre les données résidant sur l’ordinateur ou l’ordinateur lui-même. Un virus se fixe à un programme hôte.
Ver Programme auto-répliquant, souvent aussi malveillant qu’un virus, pouvant se propager d’un ordinateur à l’autre sans infecter des fichiers au préalable.
Cheval de Troie Logiciel ou courrier électronique en apparence utile et inoffensif, mais qui a en fait un but destructeur ou permet à un pirate de s’introduire.
Arrosage réseau Courrier électronique malveillant envoyé à un destinataire non averti. Lorsque le destinataire ouvre le courrier électronique ou exécute le programme, une action malveillante se produit sur son ordinateur.
Pirate Personne ou entreprise qui mène une attaque.
Logiciel de publicité Logiciel ou programme dans lequel des bannières publicitaires s'affichent ou dont l'exécution s'accompagne de l'affichage de fenêtres publicitaires intempestives. Un logiciel de publicité est considéré comme un logiciel espion et est installé à l'insu de l'utilisateur.
Logiciel espion Logiciel recueillant des informations à l'insu de l'utilisateur via la connexion Internet ; ces logiciels sont souvent créés à des fins publicitaires. Les logiciels espions sont souvent intégrés comme composant masqué à des logiciels gratuits ou des partagiciels que vous pouvez télécharger sur Internet ; cependant, la majorité des partagiciels et des logiciels gratuits ne renferment pas de logiciels espions. Une fois qu'ils sont installés, les logiciels espions surveillent l'activité de l'utilisateur sur Internet et transmettent ces informations en arrière-plan. Les logiciels espions peuvent également recueillir des informations sur des adresses électroniques, voire des mots de passe et des numéros de carte de crédit. Les logiciels espions sont similaires à un cheval de Troie dans le sens où les utilisateurs installent ce produit sans le savoir lorsqu'ils en installent un autre. Les logiciels espions se propagent souvent via le téléchargement de certaines applications d'échange de fichiers.
**Remarque :** Bien que les menaces automatisées, telles que les virus, soient écrites pour profiter de certaines vulnérabilités, un pirate visant votre entreprise ne connaît pas de limites. Un pirate utilisera tous les moyens dont il dispose pour compromettre un environnement. Des attaques dirigées peuvent être menées localement ou à distance et inclure la recherche d’une ou de plusieurs vulnérabilités possibles, telles que des failles logicielles, des mots de passe faibles, une sécurité mal configurée, des stratégies de sécurité lacunaires ou une formation à la sécurité déficiente. [](#mainsection)[Haut de page](#mainsection) ### Comment Microsoft corrige les logiciels après leur publication Microsoft s’est engagé à protéger ses clients contre les failles de sécurité. Dans le cadre de cette initiative, Microsoft publie périodiquement des mises à jour de logiciels. Pour plus d’informations, consultez le livre blanc « Trustworthy Computing » à l'adresse

Type d'utilisateur Scénario Choix de l'utilisateur
Grande et moyenne entreprise L'entreprise souhaite une solution de gestion des mises à jour unique et souple, avec un niveau important de contrôle qui permet de mettre à jour (et de distribuer) toutes les applications et tous les systèmes d'exploitation Windows et inclut également une solution intégrée de gestion des ressources. SMS 2003
Grande et moyenne entreprise L'entreprise souhaite uniquement une solution de gestion des mises à jour pour les mises à jour simples des logiciels Microsoft, prenant en charge au début Windows 2000 et prenant ensuite en charge Office 2003, Office XP, Exchange Server 2000 et ultérieur, SQL Server 2000 et ultérieur. WSUS1
Petite entreprise L'entreprise compte au moins un serveur Windows et un administrateur informatique. WSUS1
Petite entreprise Tous les autres scénarios Microsoft Update ou Windows Update2
Utilisateur Tous les autres scénarios Microsoft Update ou Windows Update2
1 Les utilisateurs peuvent utiliser un autre outil de mise à jour ou un processus manuel de mise à jour pour les applications et les versions des système d'exploitations qui ne sont pas pris en charge par WSUS ou Microsoft Update. 2 Microsoft Update est le nouveau service de mise à jour sur le Web qui propose les mises à jour pour les autres logiciels Microsoft. Microsoft Update sera disponible en conjonction avec la version de WSUS. Windows Update continuera à exister. #### Terminologie de la mise à jour de logiciel Le tableau 7 répertorie les termes Microsoft standard employés pour les mises à jour de logiciels depuis le 30 juin 2003. Notez que le terme correctif n’est plus utilisé par Microsoft pour décrire une mise à jour de logiciel, sauf dans l’acception correctif de sécurité ou pour décrire le processus de gestion des mises à jour (qui est une terminologie couramment employée dans l’industrie logicielle). **Tableau 7 : Terminologie Microsoft des mises à jour de logiciels**

Terme Définition
Mise à jour de sécurité Correction largement diffusée pour un produit spécifique afin d’éliminer une faille de sécurité. Une mise à jour de sécurité est souvent associé à une gravité, qui correspond en fait au niveau de gravité MSRC de la vulnérabilité que cette mise à jour de sécurité élimine.
Mise à jour critique Correction d’un problème spécifique largement diffusée afin d’éliminer un bogue important non lié à la sécurité.
Mise à jour Correction d’un problème spécifique largement diffusée afin d’éliminer un bogue bénin non lié à la sécurité.
Correctif logiciel Package simple constitué d’un ou de plusieurs fichiers servant à résoudre un problème affectant un produit. Les correctifs logiciels correspondent à une situation spécifique du client, sont uniquement disponibles dans le cadre d’une relation de support avec Microsoft et ne doivent pas être distribués en dehors de l’entreprise sans l’autorisation écrite de Microsoft. Les termes mise à jour QFE (Quick Fix Engineering), correctif et mise à jour étaient auparavant utilisés comme des synonymes de correctif logiciel.
Correctif cumulatif Ensemble de mises à jour de sécurité, de mises à jour critiques, de mises à jour et de correctifs logiciels publié sous forme d’offre cumulative ou ciblant un seul composant du produit, tels que Microsoft Internet Information Services (IIS) ou Microsoft Internet Explorer. Facilite le déploiement de plusieurs mises à jour de logiciels.
Service Pack Ensemble cumulatif de correctifs logiciels, de mises à jour de sécurité, de mises à jour critiques et de mises à jour développé depuis la publication du produit, y compris les résolutions de plusieurs problèmes non diffusées par le biais d’autres mises à jour de logiciels. Les Service Packs peuvent également contenir quelques modifications de conception ou fonctions demandées par les clients. Les Service Packs sont largement distribués et sont plus testés par Microsoft qu’aucune autre mise à jour de logiciel.
Service Pack intégré Combinaison d’un produit et d’un Service Pack dans un même package.
Feature Pack Diffusion d’une nouvelle fonction qui étend la fonctionnalité d’un produit. Généralement intégré au produit dans sa version suivante.
**Remarque :** Ces définitions étant nouvelles, plusieurs ressources et outils actuels n’emploient pas ces termes avec l’acception définie dans le tableau ci-dessus. [](#mainsection)[Haut de page](#mainsection) ### Importance de la gestion proactive des mises à jour Plusieurs attaques et vulnérabilités liées à des logiciels Microsoft ont fait grand bruit. Beaucoup d’entreprises qui avaient mis en place une gestion proactive des mises à jour n’ont pas été affectées par ces attaques, car elles ont exploité les informations publiées par Microsoft avant leur déclenchement. Le tableau 8 répertorie plusieurs anciennes attaques ainsi que la date à laquelle elles ont été déclenchées. À chaque fois, un bulletin du MSRC avait été diffusé afin d’identifier la vulnérabilité et d’expliquer comment empêcher sa résurgence (par des mises à jour de logiciels et d’autres contre-mesures). La dernière colonne du tableau, Jours de disponibilité avant l’attaque, indique le nombre de jours pendant lesquels les entreprises pouvaient suivre les recommandations du MSRC afin d’éviter l’attaque future. **Tableau 8 : Exemples d’anciennes attaques et bulletins du MSRC correspondants**

Nom de l’attaque Date de découverte Gravité MSRC Bulletin du MSRC Date de diffusion du bulletin du MSRC Jours de disponibilité avant l’attaque
Zotob 14 août 2005 Critique MS05-039 9 août 2005 5
Trojan.Kaht 5 mai 2003 Critique MS03-007 17 mars 2003 49
SQL Slammer 24 janvier 2003 Critique MS02-039 24 juillet 2002 184
Sasser 1er mai 2004 * MS04-011 15 mai 2004 14
Blaster 12 août 2003 * MS03-026 27 août 2003 25
Klez-E 17 janvier 2002 * MS01-020 29 mars 2001 294
Nimda 18 septembre 2001 * MS00-078 17 octobre 2000 336
Code Red 16 juillet 2001 * MS01-033 18 janvier 2001 28
\*Bulletins diffusés avant l’indication du niveau de gravité par le MSRC. Ces modules ont pour but de vous aider à éviter que des attaques similaires à celles-ci ne se reproduisent en mettant l’accent sur la colonne Jours de disponibilité avant l’attaque du tableau. **Remarque :** La gestion proactive des mises à jour constitue un moyen efficace de limiter les attaques ciblant des vulnérabilités connues des logiciels. Le tableau ci-dessus ne répertorie pas les attaques dirigées, menées intentionnellement par des personnes à l’intérieur ou à l’extérieur de l’entreprise ciblée qui recherchent et exploitent des failles de sécurité à des fins délictueuses. Afin de vous aider à comprendre la relation entre les bulletins du MSRC et les opportunités qu’ils offrent aux entreprises souhaitant bénéficier d’un environnement sécurisé, les sections suivantes décrivent succinctement deux anciennes attaques : - Code Red - SQL Slammer #### Comment éviter des attaques, exemple 1 : Code Red Code Red est un ver qui s’est propagé très rapidement et dont l’impact potentiel était considérable. Le 16 juillet 2001, le ver Code Red original a contaminé 250 000 ordinateurs en seulement neuf heures. Les diverses conséquences de ce ver étaient, entre autres, un ralentissement des débits Internet, le blocage ou l’altération des pages Web, ainsi que l’interruption des applications professionnelles et personnelles, telles que la messagerie électronique et le commerce électronique. Code Red exploitait une vulnérabilité d’IIS en saturant la mémoire tampon afin d’exécuter du code sur des serveurs Web. IIS, qui est installé par défaut avec Microsoft Windows Server 2000, est utilisé par de nombreuses applications. Certaines entreprises ont échappé à Code Red en suivant les instructions du bulletin de sécurité MS01-033 publié le 18 juin 2001 par le MSRC, soit 28 jours avant que Code Red ne sévisse. Pour plus d’informations sur ce bulletin de sécurité, y compris sur les aspects techniques et les contre-mesures, reportez-vous à l’adresse : [http://www.microsoft.com/technet/security/bulletin/ms01-033.mspx.](http://www.microsoft.com/technet/security/bulletin/ms01-033.mspx) #### Comment éviter des attaques, exemple 2 : SQL Slammer SQL Slammer (ou Sapphire) est un ver qui cible les systèmes Microsoft SQL Server™ 2000 et Microsoft Data Engine (MSDE) 2000. Il génère un important volume de trafic réseau sur Internet et les réseaux internes privés, ce qui provoque (fortuitement, diront certains) une véritable attaque par déni de service. Le vendredi 24 janvier 2003, vers 9 h 30, heure du Pacifique, SQL Slammer a provoqué une augmentation considérable du trafic réseau dans le monde entier. Une analyse du ver SQL Slammer a permis d’établir les faits suivants : - Il n’a fallu qu’une dizaine de minutes au ver pour se propager dans le monde entier, ce qui en fait de loin le ver le plus rapide jamais conçu. - Aux premiers stades de la propagation, le nombre d’hôtes infectés doublait toutes les 8,5 secondes. - À son apogée (environ trois minutes après son lancement), il balayait Internet à plus de 55 millions d’adresses IP (Internet Protocol) par seconde. - Il a infecté au moins 75 000 serveurs (probablement bien plus). SQL Slammer saturait la mémoire tampon, une vulnérabilité qui a d’abord été identifiée par Microsoft dans le bulletin de sécurité MS02-039 (juillet 2002), soit 184 jours avant l’attaque, puis à nouveau dans le bulletin de sécurité MS02-061. Avec chaque bulletin, une mise à jour de sécurité était proposée, ainsi que des contre-mesures appropriées. Pour plus d’informations sur ce bulletin de sécurité, y compris sur les aspects techniques et les contre-mesures, reportez-vous à l’adresse : [http://www.microsoft.com/technet/security/bulletin/ms02-039.mspx.](http://www.microsoft.com/technet/security/bulletin/ms02-039.mspx) **Enseignements retirés de SQL Slammer** L’une des difficultés rencontrées par les entreprises qui ont voulu se protéger contre SQL Slammer résidait dans l’omniprésence de MSDE et de SQL Server, qui sont utilisés par plusieurs autres produits. L’attaque SQL Slammer a permis de retirer trois enseignements importants sur la nature des failles de sécurité : - La connaissance précise de l’ensemble des ordinateurs, produits et technologies présents dans votre environnement constitue un préalable important à une gestion réussie des mises à jour. - Une attaque efficace n’exploite pas nécessairement les vulnérabilités des ressources de grande valeur. SQL Slammer a réussi à interrompre des opérations stratégiques via des ordinateurs vulnérables de faible valeur sur le même réseau. - Un seul déploiement d’une mise à jour de sécurité peut ne pas suffire à éliminer une vulnérabilité. Il est également important d’effectuer une analyse régulière afin d’identifier la résurgence des vulnérabilités et de gérer les incidents. [](#mainsection)[Haut de page](#mainsection) ### Conditions requises pour une gestion réussie des mises à jour La gestion des mises à jour étant conçue pour permettre à une entreprise de contrôler les mises à jour de logiciels qu’elle déploie, toute entreprise qui projette de mettre à jour son environnement d’exploitation doit s’assurer que : - ses opérations sont efficaces et que ses employés comprennent leurs rôles et leurs responsabilités ; - elle possède des outils et des technologies permettant de gérer efficacement les mises à jour ; - ses processus de gestion de projet sont efficaces. [](#mainsection)[Haut de page](#mainsection) ### Opérations efficaces MOF, le modèle de processus MOF, les fonctions de gestion des services (SMF, Service Management Function) MOF et le modèle d'équipe MOF fournissent des conseils pour gérer efficacement les opérations informatiques. Trois des SMF (Change Management, Configuration Management et Release Management) revêtent une importance cruciale dans la gestion des mises à jour. [](#mainsection)[Haut de page](#mainsection) ### Outils et technologies Cette section examine les outils automatisés que les entreprises de toute taille peuvent utiliser pour gérer et contrôler l’installation des mises à jour de logiciels. Trois technologies Microsoft principales sont mises à la disposition des entreprises pour gérer la mise à jour des systèmes sur Windows. - Windows Server Update Services - Systems Management Server 2003 #### Windows Server Update Services (WSUS) WSUS est un outil gratuit qui vous permet d’installer un service afin de télécharger l’ensemble des mises à jour critiques, mises à jour de sécurité et Service Packs dès leur publication sur le site Web Microsoft Update à l’adresse :

Fonctionnalités côté serveur Fonctionnalités côté client
Mises à jour pour Windows, Office, Exchange Server et SQL Server, avec à terme la prise en charge d'autres produits Gestion puissante et extensible du service de mises à jour automatiques
Possibilité de spécifier les mises à jour qui doivent être automatiquement téléchargées Mise à jour automatique des ordinateurs clients
Actions automatisées pour les mises à jour déterminées par approbation de l'administrateur Détection automatique des mises à jour appropriées
Possibilité de déterminer si les mises à jour sont appropriées avant leur installation  
Ciblage  
Synchronisation du réplica  
Production de rapports  
Extensibilité  
WSUS permet aux administrateurs informatiques de déployer les dernières mises à jour des produits Microsoft sur des systèmes Microsoft Windows Server™ 2003 et Windows 2000, ainsi que sur des postes de travail qui exécutent Windows XP Professionnel et Windows Vista. Grâce à WSUS, vous contrôlez totalement la gestion de la distribution des mises à jour publiées via Microsoft Update sur les ordinateurs de votre réseau. Le composant serveur WSUS est installé sur un ordinateur exécutant un système d'exploitation Microsoft Windows 2000 Server avec Service Pack 4 (SP4) ou Windows Server 2003 à l'intérieur d'un pare-feu d'entreprise. Le serveur WSUS offre les fonctionnalités dont ont besoin les administrateurs pour gérer et distribuer les mises à jour via un outil Web pour WSUS 2.0, accessible via Internet Explorer sur tous les ordinateurs Windows du réseau de l'entreprise ou via MMC pour WSUS 3.0, accessible depuis le composant logiciel enfichable MMC sur tous les ordinateurs Windows du réseau de l'entreprise. Notez que WSUS 3.0 nécessite MMC 3.0. De plus, un serveur Windows Server Update Services peut être la source des mises à jour pour d'autres serveurs Windows Server Update Services. Le composant de l'ordinateur client WSUS s’exécute sur les systèmes d'exploitation Windows Vista, Windows XP, Windows 2000 avec SP3 et Windows Server 2003. Avec les mises à jour automatiques, les ordinateurs serveur et client peuvent recevoir les mises à jour de Microsoft Update ou d'un serveur exécutant WSUS. Comme WSUS ne fournit pas de fonctionnalité d’analyse et d’audit, une solution de gestion des mises à jour basée sur WSUS requiert également l’outil Microsoft Baseline Security Analyzer 2.0. **Remarque**: Cette page propose une présentation résumée de WSUS. Pour accéder à la présentation complète de WSUS 2.0, cliquez [ici](http://www.microsoft.com/downloads/details.aspx?familyid=2478d594-a29c-483c-9dc1-9740bf3081a5&displaylang=en), et pour WSUS 3.0, cliquez [ici](http://www.microsoft.com/france/technet/windowsserver/librairie/default.mspx). ##### Liens connexes - [Fiche technique](http://www.microsoft.com/windowsserversystem/updateservices/evaluation/datasheet.mspx) - [WSUS 2.0](http://technet.microsoft.com/en-us/wsus/bb466195.aspx) - [WSUS 3.0](http://download.microsoft.com/download/3/0/3/30317c10-006f-4a45-b16a-9e62eac322ec/wsusdatasheet.doc) - Guides pas à pas - [WSUS 2.0](http://technet2.microsoft.com/windowsserver/en/library/c86e95dc-381f-47a2-b761-1fe0f13ad3f41033.mspx) - [WSUS 3.0](http://www.microsoft.com/downloads/details.aspx?familyid=c8fa2fd1-72f6-4f19-a1b0-f689dae14be6&displaylang=fr) - Guide de déploiement - [WSUS 2.0](http://technet2.microsoft.com/windowsserver/en/library/d446d310-413f-4844-8aad-c557712397401033.mspx?mfr=true) - [WSUS 3.0](http://www.microsoft.com/downloads/details.aspx?familyid=208e93d1-e1cd-4f38-ad1e-d993e05657c9&displaylang=en&tm) - Guide d'exploitation - [WSUS 2.0](http://technet2.microsoft.com/windowsserver/en/library/d446d310-413f-4844-8aad-c557712397401033.mspx?mfr=true) - [WSUS 3.0](http://www.microsoft.com/downloads/details.aspx?familyid=66d250fa-670f-4a49-95ec-2ffda7691f55&displaylang=en) Des informations récapitulatives sur l’utilisation de WSUS et de MBSA pour prendre en charge la gestion des mises à jour sont disponibles dans les modules suivants : - [Gestion des mises à jour : Phase 1 - Analyse](http://www.microsoft.com/france/technet/security/guidance/patchmanagement/secmod194.mspx) - [Gestion des mises à jour : Phase 2 - Identification](http://www.microsoft.com/france/technet/security/guidance/patchmanagement/secmod195.mspx) - [Gestion des mises à jour : Phase 3 - Évaluation et planification](http://www.microsoft.com/france/technet/security/guidance/patchmanagement/secmod196.mspx) - [Gestion des mises à jour : Phase 4 - Déploiement](http://www.microsoft.com/france/technet/security/guidance/patchmanagement/secmod197.mspx) Pour plus d’informations sur l’utilisation de WSUS et de MBSA afin de prendre en charge la gestion des mises à jour, reportez-vous à la [bibliothèque technique WSUS (Windows Server Update Services)](http://technet2.microsoft.com/windowsserver/fr/library/cc85141e-be74-4d98-ad88-0cb77948736f1036.mspx?mfr=true). #### Microsoft Baseline Security Analyzer (MBSA) 2.0.1 Microsoft Baseline Security Analyzer (MBSA) 2.0.1 est un outil facile à utiliser qui aide les petites et moyennes entreprises à évaluer leur sécurité en fonction des recommandations de sécurité de Microsoft. Cet article traite de la disponibilité de MBSA 2.0.1. MBSA 2.0.1 détecte les produits actuellement pris en charge par Microsoft Update, le catalogue centralisé des mises à jour des produits Microsoft. Microsoft Update remplace Windows Update. Windows Update met uniquement à jour les systèmes d'exploitation Microsoft Windows. Microsoft Update héberge la logique de détection pour MBSA 2.0.1 et d'autres outils. MBSA 2.0.1 recherche les mises à jour de sécurité manquantes sur un ordinateur, puis indique s’il respecte les méthodes recommandées de sécurité standard (par exemple, des mots de passe forts) et identifie les options de configuration susceptibles d’exposer l’ordinateur à des failles de sécurité potentielles. Il est également possible de configurer MBSA pour qu’il signale les mises à jour qui ont déjà été approuvées sur un serveur WSUS, mais qui n’ont pas encore été installées. MBSA 2.0.1 effectue des analyses en vue d'identifier les vulnérabilités administratives sous Microsoft Windows Vista, Windows 2000, Windows XP, Windows Server 2003, Microsoft Internet Information Services (IIS) 5.0, 5.1 et 6.0, Microsoft Internet Explorer 5.01, 5.5 et 6.0 (y compris Internet Explorer 6.0 pour Windows XP SP2 et Internet Explorer 6.0 pour Windows Server 2003), Microsoft SQL Server 7.0 et SQL Server 2000 et Microsoft Office 2000, Office XP et Office 2003. Notez que MBSA 2.0.1 prend uniquement en charge les analyses à distance sous Windows Vista. La prochaine version de MBSA (2.1) prendra en charge les analyses locales sous Windows Vista. MBSA 2.0.1 fait l'objet de nombreuses améliorations et de nouvelles fonctionnalités par rapport à la version 1.2.1. Nous recommandons à la plupart de nos clients d'utiliser MBSA 2.0. Pour télécharger MBSA, visitez la page d'accueil de MBSA sur le site Web Microsoft suivant :

Fonction WSUS SMS 2003
Plates-formes prises en charge pour le contenu Windows 2000, Windows Server 2003, Windows XP Windows NT 4.0, Windows 2000, Windows Server 2003, Windows XP, Windows 98
Types de contenu pris en charge Windows 2000+, Exchange 2000+, SQL Server 2000+, Office XP+ avec prise en charge en expansion Tous les Service Packs, les mises à jour de sécurité et les mises à jour pour les plates-formes ci-dessus. Prend également en charge les installations de mises à jour de sécurité, de mises à jour et d’applications pour Microsoft et d’autres applications.
Ciblage du contenu en fonction des systèmes Oui, pour le contenu Microsoft Oui
Optimisation de la bande passante réseau Oui, pour le déploiement des mises à jour Oui, pour le déploiement des mises à jour et la synchronisation des serveurs
Contrôle de la distribution des correctifs Simple Avancé
Installation de correctifs et programmation souple Contrôlé par l’administrateur (automatique) ou l’utilisateur (manuel) Contrôlé par l’administrateur avec des fonctions de programmation granulaires
Génération de rapports d’état sur l’installation des correctifs Oui, pour le contenu Microsoft Complète : détails sur l’état, le résultat et la conformité de l’installation
Planification du déploiement Non applicable Oui
Gestion d’inventaire Non applicable Oui
Vérification de la conformité Oui Oui
[](#mainsection)[Haut de page](#mainsection) ### Processus de gestion de projet efficaces Afin d’obtenir les meilleurs résultats, utilisez le processus de gestion des mises à jour décrit dans ce module comme s’il s’agissait d’un projet, c’est-à-dire en utilisant un processus de gestion de projet efficace. Beaucoup d’entreprises possèdent leurs propres méthodologies, qui doivent toutes être compatibles avec les conseils fournis dans ce module. Microsoft vous recommande de suivre les conseils de Microsoft Solutions Framework (MSF) sur la gestion de projet. Pour plus d’informations sur MSF, reportez-vous à