Gestion du comportement de téléchargement, d'installation et de redémarrage du client WSUS Mise à jour automatique avec la stratégie de groupe : Astuce du mois - Mai 2006

Paru le 04 mai 2006

Par Bobbie Harder, Responsable de programme, Windows Server Update Services, Microsoft Corporation

Voir d'autres articles Astuce de sécurité du mois

Les clients WSUS (Windows Server Update Services) peuvent être configurés pour offrir le comportement d'installation des mises à jour et de redémarrage le plus adapté à votre environnement et à vos besoins métier. Vous pouvez utiliser la stratégie de groupe ou la stratégie de groupe locale pour modifier la configuration Mise à jour automatique sur vos clients WSUS afin de déterminer le comportement de notification, de téléchargement, d'installation et de redémarrage de vos clients gérés par WSUS lors des mises à jour. Bien que WSUS comporte des paramètres de stratégie qui contrôlent la configuration complémentaire, cet article traite des options de configuration qui définissent le comportement de notification, de téléchargement, d'installation et de redémarrage suite à l'installation des mises à jour.

Automatic Updates (AU) est le composant du client WSUS qui recherche, télécharge et déclenche les installations et redémarrages pour les mises à jour approuvées provenant de WSUS ou de Microsoft Update (MU). Avant d'étudier les options de configuration AU, nous allons clarifier quelques points importants. Le premier est qu'il est important de faire la différence entre téléchargement et installation. Lorsqu'un administrateur WSUS approuve l'installation d'une mise à jour pour un client ou un groupe de clients, la mise à jour doit être téléchargée à partir de la source correspondante (serveur WSUS local ou MU). Avant le téléchargement, le client doit se connecter au serveur WSUS et déterminer les mises à jour approuvées pour lui, ainsi que signaler son état de mise à jour actuel. Par défaut, un client se connecte au serveur WSUS toutes les 22 heures, ou la connexion peut être configurée pour avoir lieu toutes les heures.

Si une mise à jour est approuvée pour l'installation lorsque le client se connecte, le client est configuré par défaut pour commencer le téléchargement en arrière-plan. Le client AU peut être configuré pour informer l'utilisateur avant que le client ne commence le téléchargement mais, dans la plupart des cas, le téléchargement en arrière-plan d'une mise à jour est configuré pour avoir lieu sans notification de l'utilisateur, car il n'entraîne aucun impact pour l'utilisateur. Le téléchargement des mises à jour a lieu en arrière-plan, avec uniquement la bande passante disponible pas encore consommée par le client. Par exemple, si l'utilisateur effectue un téléchargement, navigue ou envoie un message électronique au premier plan, le téléchargement d'une mise à jour en arrière-plan n'a aucun impact. Une fois la mise à jour présente sur le client, en fonction des options AU configurées, l'installation a lieu avec l'utilisateur administratif approprié connecté, comme une action séparée et distincte. Par défaut, l'option AU est configurée pour télécharger automatiquement les mises à jour, puis informer l'utilisateur lorsque la mise à jour a été reçue et est prête à être installée. Le téléchargement ne fait que récupérer les fichiers de la source vers le client, tandis que l'installation est le processus qui installe ces fichiers sur le système. Les options AU et paramètres de stratégie étudiés dans cet article permettent aux administrateurs WSUS de personnaliser le comportement de notification, d'installation et de redémarrage de leurs clients gérés par WSUS.

Le deuxième point important est que même si le téléchargement et l'installation sont des activités distinctes, les actions d'installation et de redémarrage doivent être considérées comme une seule et même opération. Ces deux actions sont en effet interdépendantes pour les mises à jour qui nécessitent le redémarrage du système pour terminer l'installation. Une mise à jour de sécurité nécessitant le redémarrage du système n'est pas installée et ne peut donc pas protéger le système contre les vulnérabilités tant que le système n'a pas été redémarré. Il arrive souvent qu'un fichier du système ou d'une application ne puisse pas être mis à jour lorsque le fichier est en cours d'utilisation ou verrouillé. De plus, un état de redémarrage en attente ne constitue ni un état mis à jour, ni un état préalable à la mise à jour. Autrement dit, il est important de noter que pour les mises à jour nécessitant un redémarrage, la mise à jour n'est effectivement installée qu'une fois le système redémarré. De plus, le système reste vulnérable en attente du redémarrage, et le client ne peut plus détecter la nécessité des mises à jour ultérieures tant que le redémarrage n'a pas eu lieu.

Le troisième point est que l'acte d'installation, qu'il s'agisse d'une mise à jour, d'un pilote ou d'une application logicielle complète, nécessite dans la plupart des environnements des droits d'administration locaux sur le système. Dans la mesure où Automatic Updates contrôle l'installation des mises à jour, l'installation et le redémarrage pour l'administrateur non local et l'administrateur local peuvent varier d'un caractère opaque et contrôlé à un caractère plus transparent et flexible. Il est important, lors de l'application de ces stratégies, de noter l'impact et l'environnement pour les deux types d'utilisateur.

La méthode pour configurer les options AU dans un environnement WSUS varie selon que vous êtes dans un environnement Active Directory ou non. Dans un environnement non Active Directory, vous pouvez utiliser la stratégie de groupe locale ou modifier le registre directement. Dans un environnement Active Directory, vous pouvez utiliser la stratégie de groupe. Il est important de noter que les paramètres de stratégie de groupe définis par l'administrateur (qu'ils soient définis localement, dans le registre ou avec la stratégie de groupe) remplacent toujours les options définies par l'ordinateur ou par l'utilisateur sur le client.

Cet article se concentre sur le comportement de téléchargement, d'installation et de redémarrage du client AU WSUS et suppose que le mappage du client avec les serveurs WSUS a été effectué. Qu'il utilise la stratégie de groupe ou la stratégie de groupe locale, le fichier de modèle administratif WSUS doit être chargé sur le système utilisé pour administrer la stratégie de groupe. Ce fichier de modèle est nommé Wuau.adm et est installé par défaut sur les clients Windows XP Service Pack 2. En outre, si un ordinateur client quelconque est compatible WSUS (ce qui signifie qu'il est mis à jour automatiquement avec la dernière version du client), il comporte également le fichier Wuau.adm le plus récent dans le répertoire %windir%\Inf.

Pour modifier la configuration AU via la stratégie de groupe locale, l'ajout de l'éditeur d'objet de stratégie de groupe local peut être effectué via la procédure suivante :

  1. Dans la barre des tâches, cliquez sur Démarrer, sur Exécuter, tapez MMC, puis cliquez sur OK.

  2. Dans la console 1, dans le menu Fichier, cliquez sur Ajouter/supprimer un composant logiciel enfichable, puis cliquez sur Ajouter.

  3. Dans la boîte de dialogue Ajouter un composant logiciel enfichable autonome, cliquez sur Éditeur d'objet de stratégie de groupe, puis cliquez sur Ajouter.

    Figure 1. Boîte de dialogue Ajouter un composant logiciel enfichable autonome

    Figure 1. Boîte de dialogue Ajouter un composant logiciel enfichable autonome

  4. Dans l'Assistant Stratégie de groupe, acceptez Ordinateur local, puis cliquez sur Terminer.
    -ou-
    Dans le menu Démarrer => Exécuter, tapez gpedit.msc ; dans Stratégie de groupe, sous Configuration utilisateur, cliquez avec le bouton droit sur Modèles administratifs, cliquez sur Ajouter/supprimer des modèles, cliquez sur wuau, cliquez sur Ajouter, cliquez sur wuau.adm dans la boîte de dialogue Modèles de stratégie, puis cliquez sur Ouvrir.

  5. Pour afficher toutes les options de stratégie de configuration AU dans l'Éditeur d'objet de stratégie de groupe, développez Configuration de l'ordinateur, développez Modèles administratifs, développez Composants Windows, puis cliquez sur Windows Update. Affichez le volet de la console et la description de chaque stratégie associée, comme illustré figure 2.

    Figure 2. Éditeur d'objet de stratégie de groupe pour la stratégie de groupe locale

    Figure 2. Éditeur d'objet de stratégie de groupe pour la stratégie de groupe locale

    Vous pouvez voir que les options de stratégie de groupe de WSUS incluent également des stratégies qui configurent le serveur WSUS vers lequel les clients doivent pointer (Spécifier l'emplacement du service Microsoft Update sur l'intranet), autorisent la jointure automatique d'un client avec un groupe cible préexistant sur le serveur WSUS (ce qui fait que les approbations pour ce groupe cible s'appliquent également au client spécifié lorsqu'il est activé), et offrent la possibilité de configurer la fréquence selon laquelle un client se connecte à un serveur WSUS (fréquence de détection Automatic Update).

Configuration du comportement général de téléchargement et d'installation AU
Configurer Automatic Updates est la stratégie globale qui gère le comportement fondamental de téléchargement et d'installation d'AU. À partir de cette stratégie, d'autres stratégies peuvent être appliquées afin d'ajouter un niveau de détail au comportement, mais il s'agit de la stratégie de base via laquelle l'une de ses options de configuration détermine comment AU télécharge et installe. Voir figure 3.

Figure 3. Options de configuration globales d'Automatic Update

Figure 3. Options de configuration globales d'Automatic Update

Les options sont les suivantes :

2 – Notification pour le téléchargement et pour l'installation
Cette option offre aux utilisateurs Admin des clients WSUS le contrôle maximal leur permettant de décider à quel moment lancer le téléchargement et l'installation des mises à jour. Cette option de configuration est utile dans les environnements où les périodes de maintenance varient et où la demande sur les clients (serveurs ou postes de travail) est difficile à prévoir, ou lorsque les exigences de conformité imposent un contrôle optimal sur les logiciels transférés, installés ou supprimés. Cette option permet également à l'utilisateur Admin du client de sélectionner tout ou partie des mises à jour approuvées, pour le téléchargement et/ou l'installation sur un système client. Cette option entraîne l'affichage d'une icône dans la zone de notification, à l'extrême droite de la barre des tâches, à la fois lorsque les mises à jour sont prêtes pour le téléchargement et lorsque les téléchargements sont terminés et prêts à être installés. En cliquant sur l'icône, les utilisateurs Admin peuvent sélectionner à la fois les mises à jour approuvées à télécharger et celles à installer.

3 – Téléchargement automatique et notification pour l'installation – option par défaut
Cette option AU est particulièrement utile pour garantir l'installation d'une mise à jour au moment le plus opportun pour l'utilisateur administratif local par rapport à ses impératifs de travail, aux périodes de maintenance et aux arrêts planifiés ou de fin de journée. Cette option permet le téléchargement automatique en arrière-plan, mais permet à l'utilisateur administratif du client de sélectionner les mises à jour téléchargées à installer, et quand les installer. Une fois le téléchargement automatique terminé, une icône apparaît dans la zone de notification. Lorsque l'utilisateur clique sur l'icône, il peut voir les mises à jour qui ont été téléchargées et sélectionner tout ou partie pour l'installation.

4 – Téléchargement automatique et planification de l'installation
Cette option de stratégie fonctionne très bien dans les environnements dans lesquels les heures de travail et les périodes de maintenance sont relativement stables et prévisibles. Pour les systèmes dans un environnement avec des plannings d'utilisation prévisibles, le téléchargement en arrière-plan et la configuration de l'installation à des heures spécifiques après les heures de travail fonctionnent bien dans les environnements avec des systèmes statiques qui restent sous tension ou dans un mode d'économie d'énergie. Si cette stratégie est activée, l'heure par défaut pour l'installation planifiée est 03:00 chaque jour. Si une mise à jour nécessite un redémarrage dans le cadre de l'installation, le client redémarre automatiquement. Si un utilisateur administratif est connecté à ce moment-là, il voit une notification de redémarrage et peut différer ce redémarrage. Les utilisateurs non administratifs voient également la notification, ce qui leur permet d'enregistrer leur travail. Ils ne peuvent pas différer le redémarrage, mais peuvent en revanche le provoquer.

Il est important de noter que cette stratégie fonctionne en combinaison avec cinq autres stratégies pouvant être appliquées afin de spécifier le comportement de redémarrage des clients lorsque des mises à jour ont été installées selon un planning défini. Ces stratégies supplémentaires sont les suivantes :

  • a. Pas de redémarrage automatique pour les installations Automatic Update planifiées

  • b. Différer le redémarrage pour les installations planifiées

  • c. Réinviter au redémarrage avec les installations planifiées

  • d. Replanifier les installations Automatic Updates planifiées

  • e. Autoriser les non-administrateurs à recevoir des notifications de mise à jour

Le tableau ci-dessous explique le comportement et les options, ainsi que le résultat lors de l'activation de ces stratégies en combinaison avec l'option numéro 4 du paramètre Configurer Automatic Updates, pour l'utilisateur administratif et l'utilisateur non administratif.

5. Autoriser l'administrateur local à choisir le paramètre
Avec cette option de configuration AU finale, les utilisateurs administratifs locaux sont autorisés à utiliser l'application Automatic Updates du Panneau de configuration pour sélectionner une option de configuration pour AU. Par exemple, ils peuvent choisir leur propre heure d'installation planifiée. Les administrateurs locaux ne sont pas autorisés à désactiver la configuration Automatic Updates, mais uniquement à utiliser l'application AU du Panneau de configuration du client pour définir leur propre comportement de notification, d'installation et de redémarrage. Cette stratégie ne s'applique pas à l'utilisateur non administratif.

Dd379334.policysetting_toprop(fr-fr,TechNet.10).gif

Autres stratégies de mise à jour AU qui affectent la détection, le téléchargement, l'installation ou le redémarrage

Autoriser l'installation immédiate Automatic Updates
Cette stratégie est applicable uniquement lorsque les options de configuration AU 3 et 4 sont appliquées et que cette stratégie est activée. Cette stratégie autorise uniquement l'installation immédiate des mises à jour mineures. Ce paramètre de stratégie spécifie si Automatic Updates doit automatiquement installer certaines mises à jour qui n'interrompent pas les services Windows et ne redémarrent pas Windows. Si cette stratégie est activée, AU installe immédiatement ces mises à jour lorsqu'elles ont été téléchargées. Lorsqu'elle est activée, cette stratégie remplace la configuration de notification d'installation ou d'installation planifiée pour ces types de mise à jour. Si cette stratégie n'est pas configurée et que l'option de configuration AU est définie sur 4, la mise à jour mineure est quand même installée immédiatement. En revanche, si vous désactivez cette stratégie après l'activation lorsque les options AU sont définies sur 4, la mise à jour mineure n'est plus installée immédiatement.

Ne pas ajuster l'option par défaut sur « Installer les mises à jour et arrêter » dans la boîte de dialogue Arrêter Windows
Cette stratégie permet aux administrateurs de déterminer si l'option Installer les mises à jour et arrêter peut être le choix par défaut dans la boîte de dialogue Arrêter Windows.

Si vous activez ce paramètre de stratégie, le dernier choix d'arrêt de l'utilisateur (Mettre en veille, Redémarrer, etc.) est l'option par défaut de la boîte de dialogue Arrêter Windows, peu importe que l'option Installer les mises à jour et arrêter soit disponible ou non dans la liste Que doit faire l'ordinateur ?.

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, l'option Installer les mises à jour et arrêter est sélectionnée par défaut dans la boîte de dialogue Arrêter Windows si des mises à jour sont disponibles pour l'installation lorsque l'utilisateur clique sur Arrêter dans le menu Démarrer.

Notez que ce paramètre de stratégie n'a aucun impact si le paramètre de stratégie Configuration de l'ordinateur\Modèles administratifs\Composants Windows\Windows Update\Ne pas afficher "Installer les mises à jour et arrêter" dans la boîte de dialogue Arrêter Windows est activé. L'utilisateur administratif et l'utilisateur non administratif voient la même chose si les non-administrateurs ont des droits d'arrêt.

Ne pas afficher « Installer les mises à jour et arrêter » dans la boîte de dialogue Arrêter Windows
Cette stratégie permet aux administrateurs de déterminer si l'option Installer les mises à jour et arrêter est affichée dans la boîte de dialogue Arrêter Windows.

Si vous activez ce paramètre de stratégie, l'option Installer les mises à jour et arrêter n'apparaît pas dans la boîte de dialogue Arrêter Windows, même si des mises à jour sont disponibles pour l'installation lorsque l'utilisateur clique sur Arrêter dans le menu Démarrer.

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, l'option Installer les mises à jour et arrêter est disponible dans la boîte de dialogue Arrêter Windows si des mises à jour sont disponibles pour l'installation lorsque l'utilisateur clique sur Arrêter dans le menu Démarrer. L'utilisateur administratif et l'utilisateur non administratif voient la même chose.

Vous trouverez d'autres astuces WSUS dans les articles à venir.