Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (Microsoft Intune, ConfigMgr, Microsoft Defender, Microsoft Purview, Microsoft Azure, Windows...)

Tags
Archives
Related
Recommended
Home » Blogueurs » Jean-Sébastien DUCHENE Blog's » Forefront EndPoint Protection 2010 : Gestion des mises à jour

4. Administration

 

 4.2 Gestion des mises à jour

La gestion des mises à jour de définitions est une étape importante dans la gestion des clients Forefront EndPoint Protection. Microsoft publie des mises à jour de définitions plusieurs fois par jour pour actualiser les nouvelles menaces qui se présentent.  Vous pouvez mettre à jour les clients de différentes façons :

  • Via Microsoft Updates : Le client se connecte aux serveurs de mise à jour de Microsoft.
  • Via un chemin réseau: Vous l’avez vu dans la gestion des stratégies ; il est possible de créer un répertoire faisant office de dépôt des mises à jour. Le client récupère alors manuellement les définitions à partir de ce dossier.
  • Via System Center Configuration Manager ou Windows Server Updates Services : L’administrateur déploie et approuve les mises à jour massivement.

Chacune de ces méthodes possèdent un avantage.  La mise à jour via Microsoft Updates peut permettre aux clients déconnectés du réseau de quand même bénéficier des mises à jour de définitions. L’utilisation d’un chemin réseau permet aux clients ne disposant pas d’un accès Internet ou d’une infrastructure de déploiement (points de distribution...) d’accéder aux mises à jour.  Enfin l’utilisation de SCCM ou WSUS permet à l’administrateur de mieux contrôler le déploiement des définitions.  Il est possible d’utiliser l’ensemble de ces méthodes conjointement.

Nous n’aborderons ici que les méthodes de déploiement massives à savoir la gestion des mises à jour par System Center Configuration Manager 2007 et Windows Server Updates Services. Il faut savoir que le système de gestion des mises à jour par SCCM ne se prête pas vraiment à la gestion des mises à jour de définitions. Néanmoins, nous verrons les différentes méthodes (officielles ou non) à savoir :

  • Gestion manuelle par SCCM
  • Gestion automatique par WSUS (méthode officielle)
  • Gestion automatique par SCCM (méthode Officielle via les outils du Rollup 1)
  • Gestion automatique par SCCM (méthode non officielle)

Notez que pour réaliser cette partie, vous devez disposer des connaissances nécessaires dans la gestion des mises à jour par WSUS et SCCM. Nous ne détaillerons pas l’installation et la configuration de l’infrastructure de déploiement de mises à jour.

 4.2.1 Gestion manuelle des mises à jour par SCCM

 

Comme expliqué plus haut, le processus de gestion des mises à jour via System Center Configuration Manager ne se prête pas à la mise à jour des définitions FEP. En effet, les mises à jour de définitions ont lieu plusieurs fois par jour. La gestion des mises à jour via SCCM nécessite des opérations manuelles. Ceci signifie que l’administrateur devra procéder aux opérations suivantes au moins une fois par jour s’il veut que son infrastructure soit à jour.

Commençons par revoir brièvement les paramétrages de l’infrastructure System Center Configuration Manager. Ouvrez la console d’administration, déroulez l’arborescence Site Database => Site Management => <SITECODE> - <SITENAME> => Site Settings => Client Agents. Ouvrez l’agent « Software Updates client Agent ». Vérifiez que celui-ci est activé et correctement configuré selon vos besoins :

 

Cliquez ensuite sur le nœud Component Configuration. Ouvrez l’onglet « Classifications » et cochez la case « Definition Updates » :

 

Cliquez ensuite sur l’onglet « Products » et cherchez le produit « Forefront EndPoint Protection 2010 ». Cochez la case pour activer la synchronisation du produit.

 

Dans l’onglet « Languages », vérifiez que les langues des clients sont cochées pour pouvoir appliquer les mises à jour en fonction des langues locales de votre parc :

 

Initiez ensuite une synchronisation. Pour cela, dirigez-vous dans l’arborescence Site Database => Computer Management => Software Updates => Update Repository. Cliquez droit et sélectionnez « Run Synchronization » :

 

Validez le message pour procéder à la synchronisation :

 

Vous pouvez valider que la synchronisation a eu lieu avec succès en visionnant le fichier de journalisation « wsyncmgr.log » :

 

La mise à jour de définition apparaît ensuite dans la console dans l’arborescence : Site Database => Computer Management => Software Updates => Update Repository => Definition Updates => Microsoft => Forefront EndPoint Protection 2010 :

 

Cliquez droit sur la mise à jour et sélectionnez « Deploy Software Updates » :

 

Note : Il est recommandé d’utiliser des listes de mises à jour (Update List). Néanmoins nous n’utiliserons pas ce processus pour simplifier l’article.

L’assistant s’ouvre. Celui-ci permet de créer le déploiement qui ciblera les clients. Entrez le nom d’un déploiement :

 

Sur la page Deployment Template, vous pouvez choisir d’utiliser un modèle existant ou d’en créer un nouveau. Je vais pour ma part utiliser un modèle déjà créé pour les besoins d’une démonstration.

 

A l’étape Deployment Package, créez un nouveau package de déploiement qui identifiera les mises à jour de définition. Vous devez pour cela entrer un nom et un chemin UNC faisant référence au répertoire source du package :

 

Sélectionnez ensuite les points de distribution sur lesquels vous souhaitez déployer le package de mises à jour.
Sur l’écran Download Location, vérifiez que l’option « Download software updates from the Internet” est cochée et passez à l’étape suivante :

 

Sur la page Language Selection, cochez les langues que vous utilisez dans votre parc pour rendre disponible les mises à jour à l’ensemble des clients :

 

A l’étape Schedule, vous pouvez programmer le déploiement de la mise à jour. Ainsi vous devez choisir la date de mise à disposition mais aussi la date de fin. Cette date de fin permet de forcer l’installation automatique des mises à jour.

 

Validez l’écran de résumé pour procéder à la création du déploiement :

 

Ouvrez une session sur une machine cliente ; celle-ci doit afficher une bulle de notification informant de la disponibilité d’une mise à jour :

 

Cliquez sur cette bulle pour ouvrir la fenêtre de gestion des mises à jour logiciel. Cliquez sur Install pour procéder à l’installation. Notez que si la date de fin est égale à la date de mise à disposition ; l’utilisateur n’aura pas besoin de procéder à ces étapes et se verra forcer l’installation des mises à jour de définition.

 

Une fois lancé, le client procède au téléchargement des fichiers de mise à jour :

 

Enfin l’installation démarre :

 

Une fois terminée, la mise à jour a été correctement appliquée au client Forefront comme vous pouvez le voir dans l’onglet Updates  de son interface :

 

 4.2.2 Gestion automatique par WSUS (méthode officielle)

 

Nous avons vu comment gérer les mises à jour manuellement via System Center Configuration Manager 2007. La méthode qui suit permet de gérer automatiquement les mises à jour de définitions via Windows Server Updates Services en utilisant les règles d’approbation du produit. Cette méthode est la solution officielle fournie par Microsoft pour résoudre les lacunes de System Center Configuration Manager 2007. Celle-ci a ses avantages : Elle est officielle ! Mais elle dispose aussi de nombreux inconvénients :

Elle n’utilise pas System Center Configuration Manager et le déploiement via les points distribution. Les mises à jour sont déployées via le serveur WSUS. Ainsi la gestion des sites distants est rendue plus difficile.

L’administrateur ne dispose pas de l’ensemble des informations de Reporting (installation avec succès ou non…) de System Center Configuration Manager.

Ouvrez la console d’administration WSUS et dirigez-vous dans le nœud Options.

 

Sélectionnez « Automatic Approvals » pour ouvrir la fenêtre de configuration des règles d’approbation. Cliquez sur « New Rule… » pour créer une règle :

 

Sur la fenêtre Add Rule, cochez « When an update is in a specific classification” et “When an update is in a specific product”. Sélectionnez ensuite la classification Definition Updates et le produit Forefront EndPoint Protection 2010. Appliquez cette règle à l’ensemble des ordinateurs.

Note : Vous pouvez choisir de cibler un unique groupe de machines.

Entrez ensuite le nom de la règle et cliquez sur Ok.

 

Une fois ajoutée, vérifiez que la règle est cochée dans l’écran Automatic Approvals et cliquez sur OK

 

Toujours dans les options de la console d’administration WSUS, sélectionnez Synchronization Schedule. Choisissez ensuite de procéder à la synchronisation automatique. Vous pouvez choisir la première synchronisation et la fréquence. Quatre fois par jour permettent de maintenir l’infrastructure à jour mais vous pouvez aussi accélérer la fréquence en passant à 24 fois par jour à partir de minuit.

 

Une fois synchronisé, on peut observer à l’aide de filtre que les mises à jour de définition ont été correctement approuvées :

 

Connectez-vous sur une machine cliente et ouvrez le client Forefront EndPoint Protection. Ouvrez l’onglet Update et procédez à la mise à jour du client. Le client consulte le serveur WSUS, télécharge et installe les mises à jour qui lui sont proposées :

 

Le client est ensuite à jour :

 

Vous pouvez configurer les paramètres de mise à jour du client via stratégie pour que celui-ci se mette à jour avant les analyses ou via stratégie de groupe pour forcer la consultation des mises à jour.

 

4.2.3 Gestion automatique par SCCM (méthode Officielle)

 

Microsoft a publié le correctif cumulatif 1 (Rollup 1) de Forefront EndPoint Protection (FEP) 2010 apportant son lot de correction et nouveautés (Voir http://microsofttouch.fr/blogs/js/archive/2011/06/28/forefront-endpoint-protection-fep-2010-correctif-cumulatif-1.aspx). Je souhaite aujourd’hui aborder l’utilisation du nouvel outil permettant de télécharger les mises à jour de définitions FEP automatiquement. Cet outil est Officiellement supporté par Microsoft.

Notez que vous devez disposer des prérequis suivants :

  • SCCM 2007
  • WSUS 3.0
  • Un Software Update Point (SUP)

Vous devez aussi configurer le Software Update Point ; créer un package contenant les mises à jour de définitions et publier les mises à jour à vos clients. Pour cela, je vous invite à consulter la partie 4.2.1 Gestion manuelle des mises à jour par SCCM de mon article sur FEP 2010. Retenez le nom du package et du Deployment Management (=Publication) que vous donnez.

Commencez par télécharger l’outil : « fepsuasetup.cab » sur Microsoft Forefront Endpoint Protection (FEP) 2010 Update Rollup 1 Tools.

Ouvrez le package « fepsuasetup.cab » et copiez l’outil « SoftwareUpdateAutomation.exe » dans c:\Program Files\Microsoft Configuration Manager\AdminUI\bin.

 

 Notez que l'outil propose les paramétres suivants :

  • /Help: Get program usage

  • /SiteServer: Site server computer name

  • /UpdateFilter: Filter for selecting software updates that are used for the destination packages

  • /AssignmentName: Name of destination software update assignment

  • /PackageName: Name of destination software update packages

  • /PreDownloadFolder: Destination folder holding downloaded update files

  • /UpdateLanguages: List of language IDs for requested software updates

  • /RefreshDP: Request automatic propagation of updated package to Distribution Points (true by default)

Certaines options (siteservername) peuvent être nécessaires dans votre infrastructure en fonction de vos contraintes (topologie, langue...). Ces considérations ne seront pas détaillées dans l'article suivant.

Deux solutions s’offrent ensuite à vous :

  • Créer une tâche planifiée Windows
  • Créer une règle de filtre d’état (Status Filter Rule) dans SCCM

Cet article détaillera les deux solutions.

Méthode 1 : La tâche planifiée Windows

Commençons par la tâche planifiée Windows, ouvrez l’outil correspondant et cliquez sur Create Task. Donnez un nom à la tâche et vérifiez que l’option « Run whether user is logged on or not » est cochée afin que la tâche s’exécute dans chacun des cas.

Ouvrez l’onglet Actions et ajoutez-en une nouvelle. Choisissez l’action « Start a program ». Spécifiez le chemin vers l’outil de mise à jour automatique en utilisant les variables d’environnement :

  • Pour un système 32 bits : %ProgramFiles%\Microsoft Configuration Manager\AdminUI\bin\SoftwareUpdateAutomation.exe
  • Pour un système 64 bits : %ProgramFiles(x86)%\Microsoft Configuration Manager\AdminUI\bin\SoftwareUpdateAutomation.exe

Dans la partie arguments, spécifiez « /AssignementName <Nom de votre DeployementManagement> /PackageName <Nom de votre Package> ». J’entends par nom ; le nom qui s’affiche dans la console d’administration SCCM et que vous avez entrez dans l’assistant lors de la création de chacune des entitées.

Ouvrez ensuite l’onglet Triggers, et cliquez sur New. Vous pouvez déclencher cette tâche dans deux modes de fonctionnement :

  • De manière programmée (On a schedule). Vous programmez l’action pour avoir lieu tous les jours de manière répétée toutes les heures. C’est la méthode présentée par Microsoft.
  • A la suite d’un événement (On an event). Cette méthode permet de déclencher l’exécution du programme après que l’événement de synchronisation avec succès de WSUS ait été remonté. Je préfère cette méthode car le programme s’exécutera en accord avec ma politique de programmation de la synchronisation WSUS.

Nous allons détailler les deux méthodes. Commençons par la programmation récurrente, sélectionnez Daily (journalier). Vérifiez que la récurrence a lieu tous les jours et répétez l’opération toutes les heures pour une durée indéterminée.

Passons au déclenchement à la suite de l’événement de synchronisation avec succès de WSUS. Pour cela, il faut identifier le numéro d’événement qui peut être remonté au travers des journaux d’événements du serveur :

Choisissez le type de déclenchement sur un événement. Entrez ensuite les informations suivantes :

  • Log : Application
  • Source : SMS Server
  • EventID : 6702

Vérifiez ensuite que la tâche est activée.

Méthode 2 : Les règles de filtre d’état

Nous allons maintenant décrire la deuxième option qui s’offre à vous : Créer une règle de filtrage d’état. Ouvrez la console d’administration et déroulez l’arborescence Site Database => Site Management => <SITECODE> - <SITENAME> => Site Settings => Status Filter Rules. Cliquez droit sur le nœud « Status Filter Rules » et sélectionnez « New Status FIlter Rules ».
L’assistant s’ouvre. Entrez le nom de la règle (par exemple : « AutoDeploy FEP Updates ») et entrez les informations suivantes :

  • Source : ConfigMgr Server
  • Component : SMS_WSUS_SYNC_MANAGER
  • Message ID : 6702

Sur la page Action, cochez Run a program et entrez l’adresse du programme et les arguments nécessaires :

  • Pour un système 32 bits : « %ProgramFiles%\Microsoft Configuration Manager\AdminUI\bin\SoftwareUpdateAutomation.exe » /AssignementName <Nom de votre DeployementManagement> /PackageName <Nom de votre Package>
  • Pour un système 64 bits : « %ProgramFiles(x86)%\Microsoft Configuration Manager\AdminUI\bin\SoftwareUpdateAutomation.exe » /AssignementName <Nom de votre DeployementManagement> /PackageName <Nom de votre Package>

Terminez l’assistant pour procéder à la création.

Après exécution d’une synchronisation l’outil de Microsoft procède aux opérations suivantes :

  • Téléchargement des mises à jour de définitions FEP
  • Ajout des mises à jour au package spécifié
  • Mise à jour du package sur les points de distribution déjà ciblé par l’administration
  • Ajout des mises à jour au DeploymentManagement spécifié

Le fichier de journalisation est stocké dans %ProgramData%\SoftwareUpdateAutomation.log

 

 

 4.2.4 Gestion automatique par SCCM (méthode non officielle)

 

Cette méthode de gestion automatique des mises à jour de définitions est proposée par Kim Oppalfens. Sa solution se rapproche des règles de déploiement automatique (ADR) de System Center Configuration Manager 2012.

Pour faire simple, il faut configurer le Software update Point pour procéder à une synchronisation toutes les heures. Il faut ensuite créer une règle de filtrage d’état qui lors de la remontée de l’event id 6702 (synchronisation du serveur WSUS avec succès), lance un exécutable créé par Kim Oppalfens.

Cette exécutable:

  • Télécharge les mises à jour spécifiées
  • Place les mises à jour dans un package
  • Distribue le package sur tous les points de distribution
  • Déploie ces mises à jour à une collection

Avertissement : Cette solution est à implémenter à vos risques et périls mais elle a le mérite d’apporter une solution viable à un problème quotidien auquel font face les administrateurs SCCM/FCS/FEP.

Commencez par télécharger les binaires de la solution proposée par Kim : http://www.myitforum.com/absolutenm/templates/Articles.aspx?articleid=20071&zoneid=89  Disposez-les dans un répertoire accessible par le serveur de site. Vous allez peut être devoir éditer les sources pour changer les références vers le SDK. Pour cela, lisez le README.

Créez ensuite une règle de filtrage d’état. Ouvrez la console d’administration et déroulez l’arborescence Site Database => Site Management => <SITECODE> - <SITENAME> => Site Settings => Status Filter Rules. Cliquez droit sur le nœud « Status Filter Rules » et sélectionnez « New Status FIlter Rules ».
L’assistant s’ouvre. Entrez le nom de la règle (par exemple : « AutoDeploy FEP Updates ») et entrez les informations suivantes :

  • Source : ConfigMgr Server
  • Component : SMS_WSUS_SYNC_MANAGER
  • Message ID : 6702

 

Sur la page Actions, cochez la case « Run a program » puis entrez la ligne de commande : « "<chemin vers les sources de la solution>\SUM_E2E_Deployment.exe" <NOMDUPROVIDER> <ID_DE_LA_COLLECTION_CIBLE_DU_DEPLOIEMENT>.
On retrouve par exemple dans mon cas : « "<chemin vers les sources de la solution>\SUM_E2E_Deployment.exe" WTVN-SCCMSS LYN00027

 

Passez à l’écran suivant et validez le résumé pour procéder à la création. Fermez ensuite l’écran de confirmation.

 

Note : Vous devez reconfigurer votre Software Update Point pour qu’il procède à des synchronisations toutes les heures.

Une fois la synchronisation effectuée ; le processus créé un package « Latest Forefront Definition Updates Package » déployé sur tous les points de distribution et comprenant les dernières mises à jour de définitions :

 

Dans le même temps, un déploiement « Forefront Auto-Approved updates » a été créé. Celui-ci cible la collection LYN00027 et comporte les mises à jour de définitions :

 

Ce déploiement ne dispose pas de date de fin forçant le déploiement. Vous pouvez ainsi aisément le modifier pour correspondre à votre politique de mise à jour :

 

Connectez-vous ensuite sur un client faisant parti de la collection cible du déploiement. Ce client doit recevoir un déploiement optionnel de mise à jour des définitions antivirales Forefront EndPoint Protection :

 

Une fois installée, la mise à jour est correctement appliquée au client Forefront :

 

Vous avez vu dans cette partie, différentes méthodes de gestion des mises à jour de définitions afin de déployer massivement sur le parc informatique. Chacune dispose des avantages et des  inconvénients. Il ne fait aucun doute que la gestion manuelle des mises à jour par System Center Configuration Manager rallonge considérablement le temps quotidien passé à l’administration du produit. La solution officielle de Microsoft est un bon compromis. Néanmoins, elle n’utilise pas les avantages des points de distribution souvent utilisés pour distribuer les packages au sein d’infrastructure riche en sites distants.

 

Revenir au plan : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx

 

Facebook Like
2024 - MicrosoftTouch
Site indépendant de passionnés
La communauté fournit le site et le contenu "tels quels" et ne donne aucune garantie quant au site et à ses contenus.
Le contenu est l'entière propriété de l'auteur. Son plagiat vous expose à des poursuites.
Powered by VERINT