Automatisation de la gestion des correctifs dans un environnement sans agent
L'objectif d'un groupe IT est de centraliser et d'automatiser les processus pour alléger la charge de travail nécessaire à la maintenance de votre environnement. Le but d'Ivanti est de fournir des outils et des solutions pour vous aider à mettre en place ce niveau d'automatisation. Cette section présente les méthodes permettant d'automatiser le processus de gestion des correctifs.
Automatisation de la découverte des machines
Le premier objectif de l'automatisation du processus de correctifs est de créer des groupes de machines de manière aussi dynamique que possible. Pour y parvenir, le plus facile consiste à utiliser Active Directory. Si vous regroupez les machines de votre environnement de la même façon que vous prévoyez de gérer l'application de correctifs à ces machines, vous pouvez utiliser la zone OU du groupe de machines. Chaque fois que vous utilisez le groupe de machines, il « parle » à Active Directory et récupère la liste actuelle des machines à partir des OU. Cela s'applique aussi lorsque vous utilisez la zone Domaine, mais l'opération peut alors inclure davantage que ce que vous voulez dans un processus automatisé. Une autre façon de créer facilement des groupes dynamiques consiste à utiliser des plages d'adresses IP. Toutes les nouvelles machines de ces plages sont capturées à chaque nouvelle analyse.
Modèle d'analyse
Lorsque l'on parle d'automatisation, il faut tenir compte des éléments distribués en mode Push. La plupart des entreprises ont des processus d'approbation des correctifs très peu stricts. Selon vos besoins, vous devez déterminer ce qui fonctionne le mieux dans votre situation. Si vous vous inquiétez de tous les correctifs de sécurité, quel que soit le produit, vous pouvez utiliser le modèle Analyse des correctifs de sécurité prédéfini intégré au produit. Toutes les nouvelles versions des fichiers de données XML incluent automatiquement les correctifs de sécurité de ce modèle d'analyse la prochaine fois que vous l'utilisez.
Cela peut convenir à votre environnement utilisateur final mais, pour l'automatisation des correctifs de serveur, il vaut mieux utiliser un groupe de correctifs. Le groupe de correctifs ou la liste des correctifs approuvés vous permettent de définir la liste des correctifs spécifiques que l'analyse doit rechercher. Vous pouvez lier ces informations au modèle d'analyse, puis planifier l'analyse avec un déploiement automatique pour automatiser le processus d'application de correctifs de bout en bout. Lors de la publication de nouveaux correctifs, vous pouvez les évaluer et déterminer les correctifs approuvés pour déploiement dans votre environnement, puis mettre à jour votre groupe de correctifs ou la liste des correctifs approuvés pour y inclure ces nouveaux correctifs. Une analyse planifiée permet de rendre ces changements effectifs en analysant la liste des correctifs et en déployant les correctifs manquants.
La capture d'écran suivante montre l'onglet Filtrage du modèle d'analyse. Vous pouvez utiliser le filtre Ligne de base ou exceptions pour spécifier une liste de correctifs approuvés (ou bien un ou plusieurs groupes de correctifs) représentant collectivement votre ensemble de correctifs de référence (ligne de base). La section suivante explique comment créer un groupe de correctifs ou une liste de correctifs.
Groupes de correctifs
Quand Security Controls utilise un groupe de correctifs pour rechercher les correctifs sélectionnés, l'analyse recherche toujours l'état de tous les niveaux de service et en fait un rapport. L'opération désactive aussi le remplacement des correctifs, si bien que les correctifs plus anciens qui ont été remplacés par de plus récents sont signalés comme manquants.
Pour créer un nouveau groupe de correctifs, sélectionnez dans le menu principal Nouveau > Correctif Windows > Groupe de correctifs. La boîte de dialogue Vue Correctif s'ouvre. Tous les groupes de correctifs existants s'affichent dans le volet inférieur. Utilisez les filtres de la vue Correctif pour affiner la liste de correctifs affichée dans le volet supérieur. Vous pouvez ensuite cliquer avec le bouton droit sur le ou les correctifs voulus, sélectionner Ajouter au groupe de correctifs, puis cliquer sur un nom de groupe de correctifs. Le groupe de correctifs est automatiquement enregistré.
Vous pouvez créer un filtre intelligent pour identifier tous les correctifs de sécurité critiques du fournisseur actuel. Par la suite, pour chaque nouvelle publication de correctifs, vous utilisez simplement votre filtre intelligent et, dans la vue filtrée, vous sélectionnez tous les correctifs pour les ajouter au groupe de correctifs existant. Vous créez ainsi un processus facilement reproduisible dont la maintenance ne prend que quelques minutes.
Dans votre modèle d'analyse des correctifs, dans les zones Ligne de base ou Exceptions, cliquez sur le bouton Parcourir et sélectionnez le ou les groupes de correctifs à utiliser. Le modèle d'analyse est désormais configuré pour rechercher une liste de correctifs spécifique.
Si vous choisissez d'utiliser une liste de correctifs autorisés, il vous suffit de créer un fichier texte et d'y entrer les correctifs par numéro d'article KB, à raison d'un correctif par ligne. Dans les zones Ligne de base ou Exceptions de votre modèle d'analyse, cliquez sur le bouton Parcourir du champ Fichier et accédez à votre fichier texte. Il est facile de distribuer ce fichier à plusieurs consoles pour faciliter son utilisation et simplifier l'approbation des correctifs sur plusieurs consoles.
Exemple de liste de correctifs approuvés :
Q123456
Q234567
Q345678
Modèle de déploiement
Dans votre modèle de déploiement, vous allez configurer des options de redémarrage pour répondre aux besoins du groupe que vous prévoyez d'automatiser. Si vous travaillez dans un environnement utilisateur final, il est conseillé de définir des options de redémarrage plus flexibles, qui s'adapteront au cas où des gens travaillent tard. Par exemple, dans l'onglet Redémarrage après le déploiement, définissez dans la zone Planifier le redémarrage sur la valeur À la prochaine occurrence de l'heure spécifiée. Vous pouvez également cocher la case Étendre la temporisation.
Pour les environnements de serveur, l'option de redémarrage recommandée n'est pas aussi évidente.
- Il peut être utile de configurer les redémarrages pour qu'ils soient effectués immédiatement après l'installation. Pourquoi ? Parce que vous exécutez normalement l'analyse et le déploiement au cours d'une fenêtre de maintenance, et le redémarrage doit suivre immédiatement après. Vous pouvez également raccourcir le délai de temporisation du redémarrage pour accélérer le processus, car les personnes utilisant ces machines doivent être averties des fenêtres de maintenance à l'avance.
- D'autre part, vous pouvez choisir l'option Ne jamais redémarrer après le déploiement, bien que le redémarrage soit généralement nécessaire. C'est une bonne méthode lorsque la disponibilité des serveurs est extrêmement critique pour vos activités. Vous pouvez être amené à redémarrer manuellement vos serveurs pour toujours garder le contrôle en cas de problème au cours du processus de redémarrage.
Planification d'opérations automatisées
C'est lors de cette étape finale que tout prend forme. Une fois que vos groupes et vos modèles sont configurés, vous pouvez planifier vos tâches pour qu'elles s'exécutent à intervalle régulier. Pour planifier une tâche afin qu'elle s'exécute automatiquement, vous commencez par la page d'accueil ou le groupe de machines. Si vous commencez par un groupe de machines, cliquez sur Exécuter une opération. Une boîte de dialogue semblable à la suivante s'affiche :
Cette boîte de dialogue vous permet d'exécuter la tâche immédiatement, de la planifier pour une exécution unique à la date et l'heure indiquées, ou de la planifier pour une exécution récurrente. Vous pouvez également choisir de déployer immédiatement les correctifs après l'analyse. C'est l'option la plus importante dont traite cette section. Les groupes de machines, ainsi que les modèles d'analyse et de déploiement que vous avez créés précédemment ont permis d'affiner les éléments à analyser et à déployer pour votre environnement. Maintenant que vous connaissez les éléments qui vont être transmis en mode Push, vous pouvez planifier la tâche afin qu'elle s'exécute du début à la fin sans qu'il soit nécessaire de la gérer pour passer d'une étape à l'autre. La capture d'écran ci-dessus montre que nous avons défini une analyse récurrente avec déploiement immédiat, et qu'elle est planifiée pour s'exécuter le deuxième mercredi de chaque mois. C'est la journée qui suit le Patch Tuesday (Mardi des correctifs), où il y a presque toujours de nouveaux correctifs à installer en mode Push.
Lorsque vous planifiez des tâches, n'oubliez pas où réside la tâche planifiée. Une tâche planifiée avec déploiement immédiat réside sur la console jusqu'à la fin de l'analyse. Une fois l'analyse terminée, les correctifs sont distribués en mode Push aux machines et s'exécutent immédiatement. Le redémarrage est planifié en fonction des paramètres du modèle de déploiement et de l'heure locale de la machine cible.
Déploiements préparés
Au lieu d'effectuer les opérations de préparation et de déploiement immédiatement après l'analyse, vous pouvez choisir qu'il est plus pertinent de planifier ces étapes à des moments plus pertinents pour votre entreprise. Par exemple, la stratégie de sécurité de votre entreprise peut spécifier une période de déploiement de correctifs qui commence à 22h le samedi. Dans ce cas, il est conseillé de planifier le processus de déploiement préparé pour qu'il commence plus tôt ce jour-là, par exemple à 8h du matin. Ainsi, Security Controls a toute la journée du samedi pour créer les paquets de déploiement et les copier vers vos machines cible. Vous pouvez alors planifier l'exécution réelle du paquet de déploiement pour qu'elle ait lieu au début de votre période de déploiement. À 22h. À 22h, tout est en place et les déploiements sont effectués sans retard sur vos machines cible.
Favoris
Un favori combine un groupe de machines et un modèle d'analyse. La console s'y réfère lorsqu'elle exécute une tâche. Vous pouvez réutiliser les favoris pour créer plusieurs tâches qui s'exécuteront à des horaires différents. Dans votre favori, vous pouvez cliquer sur Exécuter une opération, puis planifier des tâches supplémentaires à exécution unique ou récurrente, selon vos besoins, sans avoir besoin de recréer des favoris supplémentaires.
Rapports automatisés par e-mail
Dans votre groupe de machines, votre modèle d'analyse et votre modèle de déploiement, vous pouvez configurer des rapports, qui seront générés automatiquement et envoyés par e-mail aux destinataires indiqués. Lorsque vous automatisez la gestion des correctifs dans un environnement, c'est un outil facile et efficace pour tenir tout le personnel nécessaire au courant de l'état de cet environnement. Vous pouvez faire votre choix parmi différents rapports, qui présentent des données différentes à différents publics pour répondre à différents besoins. Vous pouvez être amené à en tester plusieurs pour trouver celui qui répond le mieux à vos besoins en matière de rapports.
Pour utiliser la fonction d'envoi automatisé d'e-mails, vous devez configurer vos références d'authentification d'e-mail. Pour ce faire, vous sélectionnez Outils > Options > E-mail, puis vous entrez l'adresse du serveur d'e-mail et les informations d'authentification.
Rubriques connexes
- Recommandations concernant le matériel et les logiciels de la console
- Exigences concernant les ports et configuration du pare-feu
- Gestion d'un environnement distribué
- Gestion sans agent des correctifs
- Meilleure approche pour l'application de correctifs dans un environnement sans agent
- Gestion des correctifs avec un agent
- Options de déploiement des agents
- Installation et prise en charge des agents sur des machines Internet
- Processus de déploiement avec agent des niveaux de produit et des correctifs
- Guide pour survivre au Patch Tuesday (Mardi des correctifs)
- Maintenance de la base de données Microsoft SQL Server
- Application des correctifs dans un environnement hors connexion