Publication automatique des mises à jour pour les CVE
Si vous préférez, vous pouvez importer manuellement des CVE et publier les mises à jour associées une seule fois, au lieu de le faire régulièrement.
Vue d'ensemble
La liste des CVE (Common Vulnerabilities and Exposures, Vulnérabilités et faiblesses courantes) constitue une référence publique qui répertorie toutes les vulnérabilités de cybersécurité connues. Cette liste, tenue à jour par le Groupe MITRE (mitre.org), change continuellement au fur et à mesure que de nouvelles vulnérabilités sont détectées. Si votre entreprise utilise la liste des CVE, il peut être difficile de déterminer exactement les mises à jour qu'il faut publier pour protéger vos machines des menaces identifiées dans la liste.
Heureusement, Patch for Configuration Manager simplifie le processus. Vous pouvez créer une tâche planifiée récurrente qui effectue automatiquement les opérations suivantes :
- Analyse d'un dossier contenant un ou plusieurs fichiers de CVE
- Reconnaissance des mises à jour relatives à chaque CVE
- Publication des mises à jour correspondant aux CVE
Il peut exister plusieurs tâches de CVE planifiées pour chaque console. Par exemple, vous pouvez souhaiter créer plusieurs tâches planifiées afin de définir des cadences différentes pour la publication des différents jeux de CVE. Ou bien, vous pouvez être amené à publier des mises à jour différentes pour chaque groupe de mises à jour logicielles. Il n'existe aucune limite théorique au nombre de tâches planifiées récurrentes qui existent simultanément, mais vous pouvez fixer une limite si c'est plus pratique pour votre site.
- Dans l'espace de travail Bibliothèque de logiciels de Configuration Manager, développez le dossier Mises à jour logicielles > Ivanti Patch et cliquez sur Planificateur d'automatisation.
- Le système affiche un calendrier contenant les tâches planifiées pour toutes les consoles. Vous pouvez réaliser les opérations suivantes :
- Modifier une tâche planifiée en double-cliquant dessus, en choisissant une option dans le menu contextuel, ou en la sélectionnant et en cliquant sur Modifier
- Afficher l'historique d'une tâche à l'aide du menu contextuel, ou en la sélectionnant et en cliquant sur Historique
- Supprimer une tâche à l'aide du menu contextuel, ou en la sélectionnant et en cliquant sur Supprimer
Astuce : Vous pouvez également gérer les tâches planifiées dans le Planificateur de tâches Microsoft.
- Dans l'onglet Accueil, cliquez sur Publier par CVE.
La boîte de dialogue Publier les mises à jour par CVE s'affiche. - Spécifiez un nom pour identifier le but de cette tâche de manière unique.
Ce nom apparaîtra également dans le calendrier Planificateur d'automatisation. - Spécifiez le chemin de votre dossier source des CVE.
Il s'agit du dossier où sont stockés vos fichiers de CVE. Tous les fichiers de ce dossier sont analysés pour déterminer s'ils contiennent des CVE. Ces fichiers peuvent être au format pris en charge de votre choix, notamment .txt, xml ou .csv. Les CVE en double sont ignorées.Le chemin complet entré dans ce champ doit être un chemin UNC.
Exemple : Votre équipe Sécurité peut utiliser un outil d'analyse des vulnérabilités tous les mois pour créer la liste à jour des CVE. Chaque mois, vous déplacez simplement le fichier de CVE nouvellement généré vers ce dossier, et laissez le processus automatisé se charger du reste.
- Spécifiez la date d'exécution de la tâche, ainsi que la ou les actions à réaliser.
- Planification : Indiquez la date et l'heure d'exécution de la tâche. L'une des options consiste à planifier une tâche associée à un événement mensuel récurrent, comme le Patch Tuesday de Microsoft. Par exemple, vous pouvez planifier une publication afin qu'elle s'exécute le jour qui suit le Patch Tuesday, en spécifiant Deuxième Mardi, puis en utilisant l'option Ajouter un délai (jours) pour retarder la tâche d'une journée.
Une tâche planifiée avec l'option Ajouter un délai (jours) s'exécute pendant 12 mois. Vous devez ensuite la replanifier. Lorsque la tâche atteint ses trois derniers mois d'exécution, une alerte est générée et vous êtes invité à entrer vos références d'authentification pour replanifier cette tâche. Si vous entrez vos références d'authentification, toutes les tâches planifiées avec l'option Ajouter un délai (jours) sont replanifiées pour les 12 mois suivants.
- Utilisateur connecté : Si vous activez cette option, le programme utilise les références d'authentification de l'utilisateur actuellement connecté pour ajouter la tâche de publication au Planificateur Microsoft. Le champ Utilisateur est rempli automatiquement, si bien qu'il vous suffit d'entrer le mot de passe du compte.
- Utilisateur différent : Si vous activez cette option, cela indique que vous souhaitez utiliser un autre compte d'utilisateur pour ajouter la tâche de publication au Planificateur Microsoft. Par exemple, vous pouvez spécifier un compte de service dont le mot de passe n'expire jamais.
Le compte doit :
- disposer de droits Ouvrir une session en tant que tâche ;
- être membre du groupe Administrateurs WSUS sur le serveur WSUS ;
- être membre du groupe local Administrateurs sur le serveur WSUS s'il s'agit d'un serveur distant.
Lorsque vous spécifiez un utilisateur différent, vous devez préciser si les références d'authentification correspondantes doivent s'authentifier auprès d'un serveur proxy.
- Authentification proxy requise - Utiliser ces références d'authentification : Si vous activez cette option, cela indique que des références d'authentification de serveur proxy sont nécessaires pour utiliser le compte d'utilisateur indiqué. Si vous choisissez ensuite Identique à ci-dessus, les références d'authentification du compte d'utilisateur sont utilisées comme références d'authentification de proxy. Si vous choisissez Références d'authentification ci-dessous, vous pouvez indiquer des références d'authentification de proxy entièrement différentes.
- Nom d'utilisateur : Entrez le nom d'utilisateur d'un compte sur le serveur proxy. Vous devez peut-être spécifier un domaine dans votre nom d'utilisateur (par exemple : mon-domaine\mon.nom).
- Mot de passe : Entrez le mot de passe associé au compte de serveur proxy.
- Exécuter la tâche planifiée hors ligne : Si vous activez cette option, la tâche de publication planifiée est exécutée en mode Hors ligne. Cela signifie que la console ne tente pas de télécharger les fichiers de mise à jour sélectionnés. Pour que la publication réussisse, la ou les mises à jour doivent déjà figurer dans le dossier source local.
Cette case est automatiquement cochée si vous avez activé l'option Exécuter hors ligne dans l'onglet Options Hors ligne.
- Accepter toutes les mises à jour de métadonnées dans le catalogue : Pour mettre à jour WSUS automatiquement avec toutes les révisions de métadonnées disponibles pour les mises à jour déjà publiées, cochez cette case.
- Synchroniser les mises à jour : Pour que Configuration Manager se synchronise automatiquement avec la base de données WSUS au cours de cette tâche, cochez cette case. Cela provoque une synchronisation incrémentielle. Si vous ne cochez pas cette case, les mises à jour publiées ne seront disponibles pour déploiement qu'après l'exécution de votre processus de synchronisation planifiée standard. Vous pouvez aussi démarrer la synchronisation en cliquant sur l'onglet Accueil, puis en sélectionnant Synchroniser les mises à jour logicielles.
- Publier les métadonnées uniquement : Si vous activez cette option, la logique de détection est publiée pour la mise à jour mais pas les fichiers binaires de mise à jour logicielle proprement dits. Vous pouvez procéder ainsi pour savoir si vos clients ont besoin d'une mise à jour tout en interdisant l'installation de cette mise à jour. Cela s'avère utile uniquement pour des scénarios et configurations serveur spécifiques.
Si vous modifiez une mise à jour publiée au format Métadonnées uniquement, la mise à jour d'origine est supprimée et la mise à jour modifiée est republiée au format Métadonnées uniquement. Ainsi, le numéro de révision de ces mises à jour est toujours 1. Il est impossible de resigner une mise à jour publiée au format Métadonnées uniquement, car il n'y a aucun contenu à signer. Toute tentative de nouvelle signature génère un message d'avertissement dans le fichier journal.
- Options de groupe de mises à jour logicielles : Configuration Manager permet d'utiliser des groupes de mises à jour logicielles pour mieux organiser et déployer vos mises à jour logicielles. Les mises à jour publiées avec Patch for Configuration Manager peuvent être automatiquement ajoutées à un groupe de mises à jour logicielles nouveau ou existant.
Vous pouvez choisir l'une des options suivantes :
- Ne pas ajouter les mises à jour à un groupe de mises à jour logicielles : Aucune des mises à jour spécifiées dans la tâche planifiée n'est ajoutée à un groupe de mises à jour logicielles.
- Ajouter toutes les mises à jour à un groupe de mises à jour logicielles : Toutes les mises à jour spécifiées dans la tâche planifiée sont ajoutées à un groupe de mises à jour logicielles.
- Ajouter uniquement les mises à jour nouvellement publiées à un groupe de mises à jour logicielles : Seules les mises à jour nouvellement publiées figurant dans la tâche planifiée sont ajoutées à un groupe de mises à jour logicielles.
Les options suivantes s'appliquent uniquement si vous choisissez d'ajouter les mises à jour à un groupe de mises à jour logicielles :
- Nom : Pour que la mise à jour publiée soit ajoutée à un groupe de mises à jour logicielles existant, sélectionnez le nom de ce groupe dans la liste déroulante. Vous pouvez également taper les lettres du début de ce nom, jusqu'à ce que le système affiche le groupe correct. Pour spécifier un nouveau groupe, sélectionnez Nouveau dans la liste déroulante et fournissez un nom unique et une description pour le groupe.
- Description : Ce champ décrit l'objectif du groupe de mises à jour logicielles spécifié. La description est définie lors de la création du groupe et vous ne pouvez pas la modifier à cet endroit.
Les mises à jour sont ajoutées au groupe de mises à jour logicielles après la fin du processus de publication, après que vous avez exécuté une synchronisation.
- Créer un nouveau groupe de mises à jour logicielles chaque fois que cette tâche publie des mises à jour : Le système crée un groupe de mises à jour logicielles spécifique pour chaque publication. Le groupe est nommé d'après le nom de la tâche et la date/heure de la publication.
- Options de déploiement : Cette zone vous permet de demander à Patch for Configuration Manager de déployer rapidement les mises à jour publiées vers vos postes client. Les mises à jour sont immédiatement disponibles sur les postes client, dès le déploiement. Pour en savoir plus sur les déploiements, reportez-vous à « Déploiement fluide des mises à jour tierces ».
- Déployer les mises à jour après la publication : Si vous souhaitez définir des options de déploiement, cochez cette case. Pour que cette case à cocher puisse être utilisée, accédez à la section Options de publication, activez l'option Synchroniser les mises à jour et sélectionnez l'option d'ajout des mises à jour à un groupe de mises à jour logicielles.
- Profil de déploiement : Profil de déploiement qui sera utilisé pour le déploiement des mises à jour sélectionnées.
- Paquet de déploiement : Indique l'endroit où les déploiements seront préparés pour la distribution. Configuration Manager (Gestionnaire de configuration) utilise un paquet de déploiement pour déplacer le contenu vers un point de distribution, avant la distribution en mode Push aux postes client.
- Date limite de déploiement après publication : Permet de spécifier la date/heure spécifique à laquelle le processus de déploiement doit commencer.
- Retarder l'application de la date limite en fonction des préférences de l'utilisateur : Si vous activez cette option, le système respecte les heures de travail définies par l'utilisateur et le processus de déploiement démarre seulement à un horaire hors de ces heures de travail.
- Exécuter le cycle d'évaluation du déploiement des mises à jour si la mise à jour exige un redémarrage système : Si vous activez cette option, après tout déploiement d'une mise à jour nécessitant un redémarrage, le client effectue une nouvelle évaluation pour trouver les mises à jour manquantes, après le redémarrage.
- Publier uniquement les mises à jour qui : Permet de spécifier les mises à jour de CVE à publier de façon récurrente. Vous pouvez choisir l'une des options suivantes ou les deux :
- Appliquer aux produits installés sur mes postes client : Si vous activez cette option, seules les mises à jour applicables aux produits actuellement installés sur vos machines client sont publiées.
- Appliquer ce filtre : Vous pouvez choisir le filtre prédéfini (nommé *Non publié le plus récent) ou l'un de vos filtres personnalisés.
Exemple 1 : Pour publier toutes les mises à jour non publiées précédemment et non remplacées, sélectionnez le filtre *Non publié le plus récent. C'est un moyen facile de publier automatiquement les nouvelles mises à jour de façon récurrente.
Exemple 2 : Supposons que vous ayez précédemment créé un filtre personnalisé qui identifie toutes les mises à jour critiques non publiées pour les produits utilisés dans votre entreprise. Il vous suffit de sélectionner ce filtre pour publier uniquement ces mises à jour spécifiques, à intervalle régulier.
Si une mise à jour contient des paquets différents pour les différentes langues, seules les versions traduites spécifiées dans l'onglet Langues sont publiées.
- Planification : Indiquez la date et l'heure d'exécution de la tâche. L'une des options consiste à planifier une tâche associée à un événement mensuel récurrent, comme le Patch Tuesday de Microsoft. Par exemple, vous pouvez planifier une publication afin qu'elle s'exécute le jour qui suit le Patch Tuesday, en spécifiant Deuxième Mardi, puis en utilisant l'option Ajouter un délai (jours) pour retarder la tâche d'une journée.
- Cliquez sur Ajouter une tâche.
- Passez en revue le calendrier Planificateur d'automatisation pour vérifier que la tâche est planifiée aux dates et heures correctes.
- (Facultatif) Utilisez l'outil Journal de suivi de Configuration Manager pour ouvrir le fichier AutoPublish.log et surveiller le processus de publication.
Le fichier AutoPublish.log est écrit par toutes les tâches planifiées (récurrentes ou à exécution unique) qui publient des données dans WSUS. Le journal se trouve dans le répertoire suivant : \Users\<user name>\Ivanti\Patch.