Mise à jour automatique de Windows

Pourquoi des mises à jour automatiques pour Windows ?

Les PC possèdent un système d’exploitation qui doit être continuellement mis à jour.

Pourquoi mettre à jour ?

La découverte de trou de sécurité entraîne le cycle suivant :

  • dépistage du trou,
  • mise à disposition de la rustine (patch),
  • utilisation du trou pour infiltrer l’ordinateur non mis à jour.

La mise à jour manuelle est fastidieuse.
L’idéal serait de profiter d’une solution automatisée.
La recette est simple :
– inscrire son ordinateur PC Windows dans INTRANET
– ou utiliser l’installation automatique Install-OS

Le comportement obtenu par défaut est:
– update chaque jour à 12 h et pas de redémarrage automatique, les machines concernées doivent être redémarrées manuellement 1 fois par semaines.
– si la machine est éteinte à cette heure, le travail sera effectuée 5 minutes après la mise en route de l’ordinateur.

Pour obtenir un comportement différent, il faut me contacter.

Pour les responsables informatiques

Avec la délégation Active Directory, voici l’explication détaillée.

    • Disposer d’une délégation Active Directory et d’un compte ADsciper activer.
    • Installer et activer les outils d’administration de Microsoft (minimum Windows 7 SP1)
      http://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=7887
    • Créer un dossier OU (Organizational Unit) avec le nom adéquat avec le comportement en préfixant par l’unité avec l’outil “Active Directory Users and Computer” :
        • Par exemple, pour l’unité “STI-IT”, le nom de l’OU est “STI-IT-Instruments-noreboot”.
          • Lié une GPO existante sur cette OU avec l’outil “Group Policy Management”.
          • Déplacer les objets ordinateurs concernés dans cette OU.
          • Redémarrer les ordinateurs concernés !

      La dernière opération est obligatoire

        • , la nouvelle configuration de la hiérarchie des GPO se charge au démarrage de l’ordinateur !

Les GPO existantes sont explicites.

  • correspond a l’ancien comportement par défaut
    • sti-all-update-sus-push-12h
    • mise à jour chaque jour à 12 h et redémarrage automatique si nécessaire.
    • si la machine est éteinte à cette heure, la mise à jour sera effectuée 5 minutes après le redémarrage.
  • Par analogie, ces GPO font le même travail à 3h, 7h, et 23h
    • sti-all-update-sus-push-03h
    • sti-all-update-sus-push-07h
    • sti-all-update-sus-push-23h
  • Ces deux GPO sont à utiliser avec précaution, car la machine ne redémarre pas, à utiliser uniquement sur des serveurs avec un contrôle régulier par un administrateur.
    • sti-all-update-sus-pushsrv-12h-noreboot
    • sti-all-update-sus-pushsrv-05h-noreboot
    • Au minimum, les machines concernées doivent être redémarrées manuellement 1 fois par mois.
  • Cette GPO est à utiliser avec précaution, car elle est en test.
    Elle pose la question pendant 180 minutes avant de redémarrer

    • sti-all-update-sus-push-12h-ask180