Microsoft IT a publié un article sur la gestion des mises à jour logicielles et la conformité associée avec System Center Configuration Manager. Le modèle décrit peut-être reporté pour d’autres entreprises afin d’assurer un bon niveau entre la sécurité et l’expérience utilisateur associée.
Microsoft IT gère plus de 360 000 postes de travail avec 250 000 utilisateurs sur une hiérarchie avec un CAS, 6 sites primaires et 13 sites secondaires. Microsoft utilise les règles de déploiement automatique (ADR) pour distribuer les mises à jour, en créant un groupe de mises à jour logicielles par mois.
Parmi les bonnes pratiques, on retrouve :
- Pour assurer la sécurité et la fiabilité de votre environnement, assurez-vous d'avoir un processus proactif bien défini pour le déploiement des mises à jour logicielles et fixez un objectif de conformité aux mises à jour logicielles.
- Établir un processus pour surveiller les machines non conformes et prendre les mesures nécessaires pour installer toutes les mises à jour requises régulièrement.
- Comme le déploiement de logiciels exige beaucoup d'efforts, essayez d'automatiser autant que possible pour réduire le temps de déploiement des mises à jour et des erreurs humaines.
- Passez en revue les notes de mise à jour du patch et assurez-vous de prendre toutes les actions supplémentaires nécessaires en plus d'installer la mise à jour de sécurité.
- Lorsque vous avez plus d'un Software Update Point sur un site primaire, utilisez la même base de données WSUS pour Software Update Point. Comme chaque changement de temps dans le serveur WSUS déclenchera l'analyse complète, essayez d'éviter de changer les urls du serveur WSUS et la base de données.
- Mieux vaut créer un nouveau groupe de mise à jour du logiciel pour chaque mois afin d'empêcher le déploiement de dépasser la limite des mises à jour logicielles par déploiement.
- En stockant vos mises à jour des années précédentes dans un groupe de mises à jour logicielles statique, ceci vous aidera à gérer les mises à jour plus facilement et à réduire la charge sur les serveurs et les clients.
- Effectuez le nettoyage de la base de données WSUS régulièrement et périodiquement en supprimant les mises à jour expirées et le contenu des déploiements pour maintenir une petite taille des métadonnées de mise à jour du logiciel afin d'augmenter les performances du serveur et réduire le temps d'analyse.
- Passez périodiquement en revue vos paramètres ADR et vos produits/catégories.
- Utilisez des groupes de validation pour vous assurer que les mises à jour de sécurité n'affectent pas négativement l'entreprise.
- Assurez-vous que les utilisateurs sont conscients de l'importance de sécuriser l'environnement, et communiquez chaque mois avec les utilisateurs au sujet de patch Tuesday.
- Créez des rapports appropriés pour confirmer le déploiement réussi des correctifs et vérifier qu'il n'y a pas d'impact négatif.
Outre ces aspects, on apprend que Microsoft possède trois modes de déploiement :
- Le service complet qui prend en compte l’application des mises à jour sans avoir énormément d’actions de la part de l’utilisateur
- La mise à jour à la demande (Manuel) où le groupe est responsable de mettre à jour lui-même la machine.
- La mise à jour via des fenêtres de maintenance.
Lors du processus, Microsoft commence par déployer les mises à jour de manière totalement silencieuse sans générer de redémarrage. Ceci permet d’améliorer l’expérience utilisateur. La date butoir est fixée deux heures après la date de mise à disponible. Microsoft se base entièrement sur le redémarrage naturel des utilisateurs ou les périodes de maintenance, ce qui représente pas moins de 70% des machines. Après 6 jours, Microsoft convertit le déploiement pour interagir avec l’utilisateur afin de générer des notifications. Le déploiement ne supprime plus le redémarrage et le force au bout de 2 jours. Dans le même temps, Microsoft approuve aussi les mises à jour directement dans WSUS pour que les machines puissent récupérer les patchs soit à partir de SCCM soit à partir de WSUS.
Pour les mises à jour hors cycle, Microsoft effectue une première phase d’une journée avec des interactions utilisateur. Au bout de la première journée, une date butoir est fixée dans les 24 heures. Ceci permet d’atteindre un taux de 97,29% dans les 10 jours qui suivent le démarrage du déploiement.
Je vous recommande vivement de lire l’article en détails : How we do it: Manage and exceed security update compliance