14/11/2024

Qu’est-ce qu’un serveur WSUS ?

Windows Server intègre de nombreux rôles, dont certains que vous connaissez peut-être déjà comme l'Active Directory, le DHCP, le DNS, ou encore Hyper-V pour la virtualisation. Concernant la gestion et la distribution des mises à jour de façon centralisée, il y a aussi un rôle : WSUS.

WSUS signifie Windows Server Update Service et il s’agit du rôle intégré à Windows Server qui a une mission bien précise, mais pas évidente : la distribution des mises à jour des produits Microsoft sur les postes de travail et serveurs de votre entreprise.

C’est une solution gratuite, si ce n’est qu’il faut payer la licence Windows Server, qui s’adresse directement aux administrateurs d’infrastructure sous Windows Server et de parc informatique sous Windows.

I. Quel est l’intérêt de WSUS ?

Vous n’êtes pas sans savoir que Windows intègre un service nommé Windows Update qui a pour objectif de rechercher les mises à jour auprès des serveurs Microsoft, puis de les installer. C’est d’ailleurs ce qu’il se passe chaque mois sur chaque machine lorsque Microsoft publie de nouvelles mises à jour.

Puisque les machines sont « autonomes » dans la rechercher et l’installation des mises à jour, vous allez me dire « quel est l’intérêt de mettre en place un serveur WSUS ? ».

Par défaut, une machine Windows va gérer automatiquement les mises à jour, et redémarrer un peu comme bon lui semble pour finaliser l’installation. Que ce soit sur un serveur ou un poste de travail, c’est gênant, car le redémarrage d’une machine peut-être synonyme d’un arrêt de production (selon les rôles assumés par la machine).

En entreprise, on ne peut pas se permettre de ne pas contrôler les mises à jour. Autrement dit, on ne peut pas se permettre de laisser chaque machine (voire même chaque utilisateur) gérer les mises à jour comme elle le souhaite. Vous l’aurez compris, on ne peut pas non plus accepter qu’une machine redémarre quand elle en a envie : si l’ordinateur du grand patron redémarre en pleine réunion de direction, je ne suis pas sûr qu’il apprécie.

Grâce à un serveur WSUS, nous allons répondre à cette problématique et avoir plus de contrôle sur l’installation des mises à jour. En fait, on va pouvoir choisir les mises à jour que l’on veut installer, mais aussi à quel moment on souhaite les installer.

D’un point de vue la sécurité et de la protection contre les attaques et vulnérabilités, il est indispensable d’avoir des ordinateurs et des serveurs avec un système d’exploitation à jour.

II. Les fonctionnalités de WSUS

La gestion des mises à jour est indispensable en entreprise, que ce soit avec WSUS ou une alternative, car oui il y a des alternatives. Concernant WSUS, voici les fonctionnalités principales :

  • Synchroniser les mises à jour à partir des serveurs Microsoft
  • Approuver et refuser les mises à jour pour toutes les machines ou certains groupes
  • Télécharger une seule fois les mises à jour et les distribuer aux machines, cela évite que chaque machine se connecte sur Internet (auprès des serveurs de Microsoft) pour télécharger les mises à jour
  • Gérer les mises à jour de l’ensemble des produits Microsoft (Windows 10, Windows 11, les différentes versions de Windows Server, la suite Office, Exchange Server, Microsoft Edge, etc.)
  • Suivre l’état d’installation des mises à jour sur chaque machine gérée par WSUS
  • Contrôler le moment où les machines installent les mises à jour

Il faut savoir que WSUS peut distribuer des mises à jour à des machines intégrées au domaine Active Directory, mais également en mode « Groupe de travail » comme nous le verrons.

J’insiste sur l’importance de gérer les mises à jour en entreprise, surtout qu’il y a des vulnérabilités corrigées tous les mois, aussi bien sur Windows que d’autres produits Microsoft. Cela ne veut pas dire qu’il faut installer les mises à jour dès qu’elles sortent, car il peut y avoir des effets de bord : on l’a constaté à plusieurs reprises ces derniers mois. Certains vont attendre quelques jours ou semaines avant d’installer les mises à jour, tandis que d’autres vont réaliser l’installation immédiatement : les avis sont partagés sur la question.

WSUS joue un rôle important dans la gestion de la bande passante Internet : il n’y a que le serveur WSUS qui récupère les mises à jour depuis les serveurs de Microsoft. Sans WSUS (ou solution équivalente), chaque machine se connecte sur Internet afin de télécharger les données. Sans un serveur WSUS, la consommation de bande passante Internet pour les flux liés aux mises à jour est beaucoup plus importante !

Il suffit de schématiser une infrastructure sans serveur WSUS et de la comparer avec une infrastructure où il y a un serveur WSUS.

Sans serveur WSUS (ou système de gestion centralisé des mises à jour équivalent), tous les flux liés aux mises à jour partent vers Internet, à destination des serveurs Microsoft.

Schéma infrastructure sans WSUS

À l’inverse, lorsque l’on met en place le serveur WSUS, ces flux sont redirigés vers le serveur WSUS de l’entreprise. Le schéma ci-dessous va vous permettre de bien comprendre la différence.

Schéma infrastructure avec WSUS

Pour vous convaincre définitivement de l’intérêt de WSUS, notamment dans la gestion de la bande passante, prenons cet exemple.

Nous savons que Microsoft publie les mises à jour de tous les systèmes en même temps, à savoir le deuxième mardi de chaque mois, avec le Patch Tuesday.

De ce fait, il y a des chances pour que toutes les machines se connectent sur les serveurs de Microsoft Update à peu près en même temps pour télécharger les mises à jour. D’un point de vue de votre réseau, il y aura un pic de consommation de la bande passante Internet pendant cette période.

Généralement, ce n’est pas anodin et selon la bande passante Internet dont vous disposez et le nombre d’ordinateurs qui effectuent le téléchargement, cela peut perturber l’activité de votre entreprise. Croyez-moi, j’ai déjà rencontré ce cas de figure. WSUS répond à cette problématique car il est le seul à se connecter à Internet pour récupérer les packages de mises à jour !

III. Historique des versions de WSUS

La première version de WSUS portait un autre nom : « SUS » pour « Software Update Services ». Sortie en juin 2005, cette première version avait pour objectif de distribuer les mises à jour du système d’exploitation mais uniquement pour les correctifs. Le support de SUS a pris fin le 10 juillet 2007.

Ensuite, SUS a laissé sa place à WSUS qui a repris les grands principes en ajoutant la distribution des mises à jour de différents types, notamment les Service Packs, les pilotes et les mises à jour de fonctionnalités, et en étant compatible avec un plus grand nombre de systèmes et logiciels Microsoft (notamment Microsoft Office).

A chaque nouvelle version de Windows Server, le rôle WSUS a évolué. En effet, la mise à jour de WSUS s’effectue lorsque l’on passe sur une nouvelle version du système d’exploitation Windows Server. Voici quelques versions marquantes :

  • WSUS 3.0 SP2 – 25 août 2009 – Windows Server 2008 R2
  • WSUS 4.0 – 26 octobre 2012 – Windows Server 2012 et 2012 R2
  • WSUS 5.0 – 26 septembre 2016 – Windows Server 2016
  • WSUS 10.0.17763 – 2019 – Windows Server 2019
  • WSUS 10.0.20348.1 – 2021 - Windows Server 2022

IV. L'importance des mises à jour

Lorsqu’un système d’exploitation ou un logiciel reçoit une mise à jour, celle-ci peut ajouter une nouvelle fonctionnalité, corriger un bug fonctionnel qui impacte la stabilité ou corriger un bug lié à la sécurité.

Les mises à jour de sécurité sont particulièrement importantes, car chaque vulnérabilité (ou faille de sécurité) représente une brèche plus ou moins importante, plus ou moins critique. Certaines vulnérabilités s’exploitent à distance, via le réseau, tandis que d’autres s’exploitent en local. Chaque vulnérabilité à des propriétés qui lui sont propres (vecteur d’attaque, niveau d’accès nécessaire pour l’exploitation, version impactée, etc.).

Lorsqu’un ordinateur est à jour, c’est-à-dire que toutes les mises à jour publiées par l’éditeur, en l’occurrence ici Microsoft, sont installées, il est protégé contre les vulnérabilités connues. A contrario, les ordinateurs où les mises à jour ne sont pas installées sont vulnérables : un logiciel malveillant peut en tirer profit pour compromettre cet ordinateur. Ceci est bien entendu valable pour les serveurs et tous les autres équipements (pare-feu, commutateurs, smartphones, etc.).

Intérêt des mises à jour Windows

Suite à une compromission, les conséquences seront différentes en fonction du type d’appareils compromis et de son rôle dans le système d’information : s’agit-il d’un simple ordinateur en groupe de travail ? Un ordinateur intégré au domaine Active Directory ? Le serveur de fichiers de l’entreprise ? Ou pire encore, un contrôleur de domaine Active Directory ? Si un attaquant compromet l’Active Directory de l’entreprise, il peut prendre le contrôle total de votre infrastructure.

Afin de bénéficier des mises à jour, vous devez utiliser des systèmes d’exploitation Windows pris en charge par Microsoft. Il en va de même pour les logiciels et produits Microsoft que vous utilisez. Si l’on prend l’exemple de Windows XP et de Windows 7, ils ne sont plus pris en charge par Microsoft depuis plusieurs années, cela signifie que Microsoft ne corrige pas les nouvelles failles de sécurité découvertes : vous ne pouvez plus assurer un niveau de sécurité suffisant sur les appareils équipés de ces systèmes d’exploitation. De ce fait, il convient de migrer vers un système d’exploitation plus récent (même si dans certains cas les contraintes sont trop fortes et ce n’est pas si évident).

En matière de sécurité informatique, la gestion des mises à jour représente un enjeu majeur pour se protéger et réduire les risques de compromission. Elle est étroitement liée à la gestion du cycle de vie des systèmes d’exploitation et des logiciels : un produit maintenu par l’éditeur recevra des mises à jour de sécurité.

Maintenant que les présentations sont faites, nous pouvons passer à la mise en pratique où la première étape va consister en l’installation du rôle WSUS sur notre serveur.

eBook WSUS sur Windows Server 2022

Chapitre Précédent
Retour au Module
Chapitre Suivant
author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Installation de WSUS sur Windows Server 2012

Florian BURNEL 13

Sécurité : Mettez à jour php5

Florian BURNEL 0
Ransomware Bl00Dy - Lockbit

Le ransomware Bl00Dy s’appuie sur le builder de LockBit 3.0, qui a fuité il y a quelques jours

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.