pascals.blog : WSUS

Techdays 2009 : mes présentations

pascals — Fri, 13 Feb 2009 11:48:36 GMT

En attendant la publication des présentations et enregistrements vidéo sur le site des Techdays, j’ai déposé nos fichiers dans mon Skydrive, ici :

La famille Le Boulet remercie chaleureusement toutes les personnes présentes à leur présentation “Le virus est mort, vive le malware !” pour leur participation active… :)

Techdays 2009, J-15

pascals — Mon, 26 Jan 2009 12:14:39 GMT

Dans 15 jours démarrent les Techdays 2009 au Palais des Congrès Porte Maillot à Paris. Inscription et programme : http://www.microsoft.com/france/mstechdays/.

J’anime ou co-anime cette année 4 sessions et ateliers :

INT205 NAP et les systèmes non Windows (le 10/2 à 17:30)
Découvrez dans cette session l'interopérabilité du contrôle d'accès au réseau, NAP, avec les postes clients non Windows (Linux, Mac OS).
Cyril Voisin et moi-même.
SEC211 Le virus est mort, vive le malware !? (le 12/2 à 14h30)
Motivés par le profit, les criminels ne cessent de faire évoluer les logiciels malveillants et leurs vecteurs de propagation. Venez découvrir dans cette session riche en démonstrations et en bonne humeur le nouveau visage de ces menaces et les différents moyens d'atténuer les risques associés.
Coproduction Stanislas Quastana, Cyril Voisin, Mathieu Malaise, et moi-même.
DYN314 Virtualisation et sécurité (le 12/2 à 13:00)
Cette session aborde les nouveaux défis soulevés par l'omniprésence de la virtualisation en terme de sécurité. Nous nous concentrerons sur les caractéristiques d'Hyper-V et sur les aspects pratiques de la sécurité des serveurs et machines virtuelles Hyper-V.
Moi-même.
WKS215 Atelier dirigé : 60 minutes pour mettre en œuvre WSUS comme outil de gestion des mises à jour Microsoft (le 11/2 à 16:00 et le 12/2 à 16:00)
Dans cet atelier vous mettrez un œuvre un serveur WSUS pour gérer les mises à jour de sécurité des produits Microsoft.
Mathieu Malaise et moi-même, avec des machines et Hyper-V pour les manips.

Dès que mes présentations seront prêtes (c’est loin d’être le cas aujourd’hui…), je placerai les fichiers dans mon SkyDrive.

Venez nombreux !

WSUS : mises à jour du 28 octobre 2008

pascals — Wed, 29 Oct 2008 21:00:13 GMT

Ce matin en vérifiant l'état de mon WSUS de test je suis tombé sur ceci :

Mon premier réflexe est de penser à de nouvelles mises à jour non critiques non approuvées. En fait ce qui se passe aujourd'hui est un peu plus subtil.

Voici mon rapport de synchronisation de cette nuit :

Vous pouvez également consulter l'article suivant pour les mises à jour du 28 octobre 2008 :

Description of Software Update Services and Windows Server Update Services changes in content for 2008

Tout d'abord j'ai effectivement 3 mises à jour non approuvées et qui concernent 4 machines, ce qui explique la synthèse précédente.

Il suffit de les approuver et tout rentrera dans l'ordre au prochain cycle. Il s'agit ici d'une mise à jour de type reliability update : l'article KB957200, dès qu'il sera en ligne, expliquera les détails de la mise à jour.

Le reste du rapport de synchronisation est plus intéressant. Il concerne :

Une mise à jour de sécurité : KB953155 pour Windows Server 2008 Itanium, Windows Vista x86 et Windows Vista x64. Cette mise à jour correspond au bulletin MS08-062 du 14 octobre dernier (vulnérabilité dans le service Internet Printing). Sur ma maquette, les deux Windows Vista ont installé cette nouvelle version de la mise à jour et ont redémarré cette nuit.
Une mise à jour critique : KB947821 pour les systèmes Vista x86 et x64, et Windows Server 2008 x86, Itanium et x64. D'après l'article de la KB, il s'agit d'un outil corrigeant des problèmes rencontrés dans certains cas lors de l'installation de logiciels ou de mises à jour : This tool is offered automatically through Windows Update to computers that have a condition that the tool could resolve. A priori mes systèmes de test n'ont pas ce genre de problèmes car je n'ai pas de trace de l'installation de cet outil.
Une mise à jour du SP3 de Windows XP (KB936929). Dans mon cas j'ai refusé le SP3 au niveau de WSUS pour conserver un XP SP2 sur la maquette.

Le point intéressant ici est la mise à jour de MS08-062 pour les systèmes Windows Server 2008 Itanium, Vista 32 bits et Vista x64. Je n'ai pas à l'intant où j'écris les raisons de nouvelle publication, ni pourquoi elle apparaît comme une nouvelle mise à jour alors qu'elle a déjà été publiée le 14 octobre dernier. Je ne manquerai pas de revenir sur ces raisons dès que j'en saurai plus.

Mise à jour 30/10/2008 - Le bulletin MS08-062 a été mis à jour. Mea culpa, il s'avère que la mise à jour en question n'était pas disponible sur Windows Update ni pour WSUS depuis le 14 octobre. J'aurais dû mieux regarder ma synchronisation du 14 octobre... Il s'agit donc bien d'une nouvelle mise à jour. Extrait :

Why was this Bulletin revised on October 29, 2008?

Microsoft revised this bulletin to notify customers that the update packages for Windows Server 2008 for Itanium-based Systems and all supported editions of Windows Vista have now been made available on Windows Update, Microsoft Update, Windows Software Update Services (WSUS), Systems Management Server, and System Center Configuration Manager. When this bulletin was first released, the updates for these platforms were only available on the Microsoft Download Center.

Patch Tuesday, épisode 6 : épilogue, ou comment résoudre le problème de Server Core

pascals — Thu, 16 Oct 2008 19:09:47 GMT

Après quelques recherches et questions aux bonnes personnes qui se reconnaîtront, voici la solution au problème de Windows Server 2008 en mode Server Core qui ne redémarre pas après l'installation automatique des mises à jour, et qui indique un code d'erreur 0x80240043 dans WindowsUpdate.log.

Le problème est résolu avec la dernière version du client Microsoft Update 3.0. Celle-ci n'étant pas encore distribuée par WSUS, il faut pour l'instant l'installer manuellement sur les serveurs concernés.

Description et téléchargement :

Information for network administrators about how to obtain the latest Windows Update Agent - http://support.microsoft.com/kb/946928

Ou téléchargement direct :

WindowsUpdateAgent30-x86.exe
WindowsUpdateAgent30-x64.exe

Pour l'installation, exécutez la commande suivante sur le Server Core (exemple pour x86) :

start /w WindowsUpdateAgent30-x86.exe /quiet /norestart /wuforce

Puis, redémarrer le système :

shutdown /r /t 0

Le fichier C:\Windows\System32\wuaueng.dll doit alors être en version 7.2.6001.784.

Je confirmerai le mois prochain (le 12 novembre) si tout fonctionne comme prévu.

Mise à jour 16/10/2008 - Ajouté le redémarrage après la mise à jour du client.

Patch Tuesday, épisode 5 : 100% à jour

pascals — Thu, 16 Oct 2008 14:03:46 GMT

Après la première installation dans la nuit de mardi à mercredi, les exceptions restant à régler étaient :

deux mises à jour non approuvées : elles ont été approuvées mercredi, et installées automatiquement sur les clients concernés la nuit dernière ;
une mise à jour non installée sur le client XP SP2 parce que ce dernier avait effectué sa détection trop tôt : cette mise à jour a été détectée après le redémarrage dans la nuit de mardi à mercredi et installée automatiquement la nuit dernière ;
deux mises à jour manquantes sur le serveur Core (Windows Server 2008 en mode Server Core) : le problème est réglé dans la pratique mais pas définitivement, ce que je vais détailler ci-dessous.

L'état final de WSUS est donc 100% à jour :

En ce qui concerne le serveur Core, voici où mes investigations m'ont mené jusqu'à présent, en consultant le registre, le journal d'événements et le fichier C:\Windows\WindowsUpdate.log :

La stratégie de groupe est correctement appliquée.
Les mises à jour ont été détectées et téléchargées depuis le serveur WSUS dans la soirée de mardi.
Les mises à jour ont été installées mercredi matin vers 4h00 comme prévu.
Le problème semble lié au redémarrage automatique :

Extrait de WindowsUpdate.log sur le serveur Core, après l'installation des mises à jour :

AU Install complete for all calls, reboot needed AU Setting AU scheduled install time to 2008-10-16 02:00:00 AU WARNING: Failed to launch reboot warning UI, error = 0x80240043 AU WARNING: Fail to launch client for reboot warning, error = 0x80240043 AU Triggering Offline detection (non-interactive)

Extrait de WindowsUpdate.log sur le serveur 2008 complet qui a correctement redémarré au même moment :

AU Install complete for all calls, reboot needed AU Setting AU scheduled install time to 2008-10-16 02:00:00 AU AU setting pending client directive to 'Reboot Warning' AU WARNING: Initiating reboot since no user logged on AU AU invoking RebootSystem (OnRebootNow) Report REPORT EVENT: {A39CC2D0-78D4-4590-AEE4-3FC7F843EBEA} 2008-10-15 04:09:44:295+0200 1 194 102 {00000000-0000-0000-0000-000000000000} 0 0 AutomaticUpdates Success Content Install Restart Required: To complete the installation of the following updates, the computer will be restarted within 5 minutes: - Security Update for Windows Server 2008 x64 Edition (KB957095) - Security Update for Windows Server 2008 x64 Edition (KB956841) - Windows Malicious Software Removal Tool x64 - October 2008 (KB890830) - Security Update for Windows Server 2008 x64 Edition (KB954211) - Cumulative Security Update for Internet Explorer 7 in Windows Server 2008 x64 Edition (KB956390) - Cumulative Security Update for ActiveX Killbits for Windows Server 2008 x64 Edition (KB956391) Misc WARNING: SUS Client is rebooting system. AU AU invoking RebootSystem (OnRebootRetry) AU AU rebooting machine since no user is logged on and reboot is required. AU Triggering Offline detection (non-interactive)

Le problème semble donc lié au redémarrage automatique sur le serveur Core. C'est encore à vérifier, je reviendrai sur le sujet dès que j'aurai du nouveau. En attendant, un logoff sur le serveur a provoqué un redémarrage et tout est rentré dans l'ordre, comme on le voit sur le serveur WSUS :

Patch Tuesday, épisode 4 : Bilan de la nuit

pascals — Wed, 15 Oct 2008 15:31:59 GMT

Mercredi, 13h15.

Il est grand temps de jeter un œil sur l'état de la maquette WSUS après la nuit des patches de sécurité du mois (voir les articles précédents).

Un premier coup d'œil sur la console Hyper-V indique que toutes les machines ont redémarré automatiquement dans la nuit, comme prévu, à l'exception de la machine sous Windows Server 2008 en mode Server Core (voir la colonne Uptime --la machine floppyfw n'est pas concernée par la démonstration) :

Comme paramétré dans les GPO du domaine, les serveurs ont redémarré peu après 4h00, et les clients peu après 3h00.

Dans la console de WSUS, voici le résumé de l'état avant et après la nuit dernière :

Il est clair que tout n'est pas parfait, puisque 4 ordinateurs ne sont pas à jour, et 5 mises à jour n'ont pas été installées sur toutes les machines. Si l'on va voir le détail des mises à jour restant à installer (dans Updates, All Updates) :

Pour les 2 premières mises à jour, le diagnostic est simple : elles n'ont simplement pas été approuvées, puisqu'aucune règle d'approbation automatique ne traite les mises à jour de classification "Updates". Il reste simplement à les approuver manuellement, et elles seront installées la nuit prochaine.

Pour la mise à jour d'IE7 pour Windows XP (correspondant à MS08-058), l'analyse montre rapidement qu'il s'agit de la machine Windows XP SP2. Sur celle-ci, la consultation du journal d'événements montre que les mises à jour ont été téléchargées vers 1h20, et que la mise à jour d'IE7 n'en fait pas partie :

Event Type:	Information
Event Source:	Windows Update Agent
Event Category:	Installation 
Event ID:	18
Date:		10/15/2008
Time:		1:19:53 AM
User:		N/A
Computer:	XPSP2
Description:
Installation Ready: The following updates are downloaded and ready
for installation. This computer is currently scheduled to install
these updates on Wednesday, October 15, 2008 at 3:00 AM: 
- Windows Malicious Software Removal Tool - October 2008 (KB890830)
- Security Update for Windows XP (KB956841)
- Security Update for Windows XP (KB954211)
- Security Update for Windows XP (KB957095)
- Cumulative Security Update for ActiveX Killbits for Windows XP
(KB956391)
- Security Update for Windows XP (KB956803)

La raison est probablement que le téléchargement des mises à jours n'était pas terminée à cette heure-là sur le serveur WSUS. Il s'avère que, après l'installation de ces mises à jour et le redémarrage vers 3h00, la mise à jour d'IE7 est téléchargée et prête à être installée la nuit prochaine :

Event Type:	Information
Event Source:	Windows Update Agent
Event Category:	Installation 
Event ID:	18
Date:		10/15/2008
Time:		3:18:39 AM
User:		N/A
Computer:	XPSP2
Description:
Installation Ready: The following updates are downloaded and ready
for installation. This computer is currently scheduled to install
these updates on Thursday, October 16, 2008 at 3:00 AM: 
- Cumulative Security Update for Internet Explorer 7 for Windows XP
(KB956390)

Pour les 2 dernières mises à jour non installées, il s'agit du serveur Windows Server 2008 en mode Server Core qui n'installe pas ses mises à jour automatiquement. Je n'ai pas encore résolu ce problème, qui reste donc "à suivre..."

Pour résumer, les mises à jour ont bien été installées et les machines redémarrées, à l'exception de :

deux mises à jour à approuver pour qu'elles soient installées la nuit prochaine,
une mise à jour déjà programmée pour la nuit prochaine sur un client,
deux mises à jour sur un Sever 2008 en mode Server Core, à élucider.

Après approbations des deux premières, il ne restera plus qu'un problème demain, celui des mises à jour de Windows Server 2008 en mode Server Core. J'y reviendrai ici dès que possible...

[Juste pour information sur l'état de mon Server Core aujourd'hui : j'avais déjà constaté ce problème, sans jamais chercher à le résoudre proprement : la commande "SCregEdit.wsf /AU 4" donne une erreur 0x80240037 (WU_E_NOT_SUPPORTED) et j'en étais arrivé à exécuter manuellement le script WUA_SearchDownloadInstall.vbs pour installer les mises à jour depuis WSUS. Je suppose qu'il va falloir chercher un peu plus !]

Patch Tuesday, épisode 3 : Il n'y a pas que les bulletins de sécurité

pascals — Wed, 15 Oct 2008 00:48:51 GMT

En dehors de l'expérimentation WSUS, il y a des machines autonomes sur lesquelles on peut voir quelles mises à jour sont disponibles ce soir. Prenons par exemple un Windows Vista Ultimate SP1 avec Office 2007 SP1, configuré pour se mettre à jour directement sur Microsoft Update. Il suffit de déclencher une recherche des mises à jour pour voir immédiatement ceci :

11 mises à jour sont proposées, que nous allons détailler ici. Ce sont les libellés anglais des mises à jour, et j'ai placé les liens sur les articles de la KB pour simplifier les recherches d'informations :

Cumulative Security Update for ActiveX Killbits for Windows Vista (KB956391) - De temps en temps des avis de sécurité (security advisories) sont publiées afin de placer des Killbits et de désactiver des contrôles ActiveX. C'est le cas ce mois-ci avec l'avis 956391.
Cumulative Security Update for Internet Explorer 7 in Windows Vista (KB956390) - Il s'agit du bulletin MS08-058.
Security Update for Windows Vista (KB954211) - Il s'agit du bulletin MS08-061.
Security Update for Windows Vista (KB956841) - Il s'agit du bulletin MS08-064.
Security Update for Windows Vista (KB957095) - Il s'agit du bulletin MS08-063.
Windows Malicious Software Removal Tool - October 2008 (KB890830) - Il s'agit de la mise à jour mensuelle de MSRT, l'outil de suppression des logiciels malveillants. A noter qu'il est exécuté lors de son installation.
Cumulative Update for Media Center for Windows Vista (KB955519) - Mise à jour de type correction de bugs pour le composant Media Center. Cette mise à jour n'est pas indiquée comme "importante", mais simplement "recommandée".
Update for Windows Mail Junk E-mail Filter [October 2008] (KB905866) - il s'agit de la mise à jour régulière du filtre anti-spam de Windows Mail. Cette mise à jour n'est pas indiquée comme "importante", mais simplement "recommandée".
Update for Microsoft Office Outlook 2007 Junk Email Filter (KB957258) - Mise à jour du filtre anti-spam d'Outlook 2007.
Security Update for 2007 Microsoft Office System (KB955936) - Il s'agit du bulletin MS08-057 pour Office 2007.
Security Update for Microsoft Office Excel 2007 (KB955470) - Il s'agit du bulletin MS08-057 pour Excel 2007.

Sur les 11 mises à jour suggérées, 6 sont des mises à jour de sécurité correspondant à des bulletins publiés aujourd'hui. Les 5 autres font partie des autres mises à jour régulières comme le MSRT, les Killbits ou les filtres anti-spam. Chaque cas sera particulier, en fonction du système et des applications installées, mais il y aura quasiment toujours des mises à jour en plus des bulletins de sécurité.

À demain pour la suite de la série avec WSUS !

Patch Tuesday, épisode 2 : Publication des bulletins de sécurité

pascals — Tue, 14 Oct 2008 20:05:30 GMT

Deuxième mardi du mois, Patch Tuesday, 19h. Les bulletins de sécurité viennent d'être publiés : 11 bulletins ce mois-ci, dont 4 critiques, 6 importants et 1 modéré.

Bulletin	Description	Gravité
MS08-056	Une vulnérabilité dans Microsoft Office pourrait permettre la divulgation d'informations (957699)	Modéré
MS08-057	Des vulnérabilités dans Microsoft Excel pourraient permettre l'exécution de code à distance (956416)	Critique
MS08-058	Mise à jour de sécurité cumulative pour Internet Explorer (956390)	Critique
MS08-059	Une vulnérabilité dans le service RPC de Host Integration Server pourrait permettre l'exécution de code à distance (956695)	Critique
MS08-060	Une vulnérabilité dans Active Directory pourrait permettre l'exécution de code à distance (957280)	Critique
MS08-061	Des vulnérabilités dans le noyau Windows pourraient permettre une élévation de privilèges (954211)	Important
MS08-062	Une vulnérabilité dans le service d'impression Internet de Windows pourrait permettre l'exécution de code à distance (953155)	Important
MS08-063	Une vulnérabilité dans SMB pourrait permettre l’exécution de code à distance (957095)	Important
MS08-064	Une vulnérabilité dans la manipulation du descripteur d'adresses virtuelles pourrait permettre une élévation de privilèges (956841)	Important
MS08-065	Une vulnérabilité dans Message Queuing pourrait permettre l'exécution de code à distance (951071)	Important
MS08-066	Une vulnérabilité dans le Pilote de fonction connexe Microsoft pourrait permettre une élévation de privilèges (956803)	Important

Intéressons-nous particulièrement à la page de synthèse en français, disponible ici :

http://www.microsoft.com/france/technet/security/bulletin/ms08-oct.mspx

Tout d'abord la page de synthèse est le moyen idéal de constater très rapidement par quels bulletins sont concernés les systèmes à patcher. Par exemple, dans la partie Logiciels concernés et adresses de téléchargement, Composants et systèmes d'exploitation Windows, on constate que Windows Vista SP1 est concerné par MS08-058 (critique), MS08-061, MS08-062, MS08-063, et MS08-064. Cela aidera l'analyse et la détermination du niveau d'urgence de chaque mise à jour pour chaque type de système. L'agent AutoUpdate des clients se chargera alors automatiquement de sélectionner, parmi les mises à jour aprouvées sur WSUS, celles qui s'appliquent.

Comme annoncé au Black Hat cet été, ce mois-ci est la première fois que la page de synthèse contient l'indice d'exploitabilité (exploitability index, ou xi) de chaque vulnérabilité. Les explications sur ce nouvel indice sont disponibles à cette adresse : Microsoft Exploitability Index (ici en français). Trois niveau d'exploitabilité sont possibles :

Possibilité de code d’exploitation fonctionnel
Possibilité de code d’exploitation peu fonctionnel
Faible possibilité de code d’exploitation fonctionnel

La page de synthèse contient par ailleurs des notes intéressantes concernant WSUS :

Les modifications du contenu Windows pour WSUS sont consultables dans l'article de la base de connaissances :
Description of Software Update Services and Windows Server Update Services changes in content for 2008
Pour les mises à jour concernant les produits autres que Windows :
New, Revised, and Rereleased Updates for Microsoft Products Other Than Microsoft Windows

Dans le cas de la maquette, je vais laisser faire le processus automatique :

Vers minuit, le serveur WSUS effectue sa synchronisation. Les règles d'approbation automatiques sont les suivantes :
- Règle par défaut : approuve automatiquement les mises à jour critiques et les mises à jour de sécurité, pour tous les ordinateurs.
- Règle ajoutée : approuve automatiquement les mises à jour de définitions et les ensembles de mises à jour.
Toutes les heures, les clients font une détection en se connectant au serveur WSUS.
Vers 3h00, les clients installent les mises à jour qui leurs sont destinées et redémarrent automatiquement.

Nous verrons donc demain matin comment s'est déroulé ce processus automatique.

Patchez-vous bien !

Patch Tuesday, épisode 1 : d'abord on fait le ménage

pascals — Tue, 14 Oct 2008 12:20:16 GMT

Deuxième mardi du mois, H-8.

Dans 8 heures, vers 19h, les bulletins de sécurité seront publiés à cette adresse, et avec eux les mises à jour (patches) de sécurité.

Comme évoqué jeudi soir, j'essaie cette semaine de suivre pas à pas comment se passe la semaine du Patch Tuesday avec WSUS. Autrement dit, je vais livrer ici sans artifice comment ma maquette de test va réagir au fur et à mesure des événements.

L'épisode 0 (le pilote ? :-)) de cette série était la publication, jeudi soir, du préavis des bulletins de sécurité. Nous savons donc depuis jeudi soir que ce soir seront publiés 11 bulletins de sécurité et qu'a priori je serai au plus concerné par 8 d'entre eux.

Pour info, la maquette représente un domaine simplifié, avec un contrôleur de domaine (+ DNS, DHCP, WINS, Certificate Services, IIS) et un serveur WSUS, tous les deux Windows Server 2003 SP2, deux serveurs Windows Server 2008 (un complet et un core), deux Windows Vista (un Business et un Ultimate), un Windows XP SP2 et un Windows XP SP3.

Dans ce deuxième épisode, on voit que le processus démarre avec un nettoyage de la base de mises à jour. En effet, hier soir lors de la synchronisation quotidienne de mon serveur WSUS, plusieurs mises à jour ont expiré : il s'agit des versions de juin 2008 de MSRT, et des versions d'août 2008 du filtre anti-spam de Windows Mail :

Chaque mois ces deux composants sont mis à jour par Windows Update, et il est donc logique de se débarrasser régulièrement des anciennes mises à jour. Il faut donc aussi prendre en compte la mise à jour de ces composants dans le processus de patch mensuel.

MSRT (Malicious Software Removal Tool) est l'outil de suppression des logiciels malveillants. Dans WSUS, il s'applique à Windows 2000, XP, 2003, Vista et 2008 et fait partie de la classification "Update Rollups" ("Ensembles de mises à jour"). Lorsqu'il est déployé sur un système, il est également exécuté de façon à détecter et supprimer les principaux logiciels malveillants connus.

La mise à jour du filtre anti-spam de Windows Mail (Update for Windows Mail Junk E-mail Filter) est également mensuelle, selon le même principe que MSRT. Elle s'applique à Windows Vista et fait partie de la catégorie "Updates".

Si comme moi vous avez configuré WSUS de sorte qu'il vous envoie un mail à chaque nouvelle mise à jour synchronisée, vous avez reçu un mail qui ressemble à ceci :

Malheureusement, ce mail ne fait pas la distinction entre les mises à jour nouvelles, révisées ou ayant expiré... Ce qui prête à confusion dans un cas comme aujourd'hui. Le rapport de synchronisation du serveur WSUS est donc plus pertinent.

À ce soir 19h pour la suite des événements !