Le présent document présente comment déployer en urgence un correctif Microsoft.
Ce déploiement concerne un patch si urgent qu’il doit être fait en dehors du planning prévu par le WSUS de votre Entreprise.
Dans le reste de la documentation, j’utilise un répertoire dédié sur le serveur WSUS pour le stockage du fichier .msu.
Nous utiliserons le fichier .msu « kb3186568 ».
Plan du LAB :
Présentation du groupe contenant les postes clients :
Présentation du Partage :
Les fichiers de mises pouvant parfois être volumineux et le réseau n’étant pas toujours stable, il convient de vérifier que le fichier n’a pas été altérer lors du téléversement vers le serveur cible.
Une fois le téléversement effectué dans le répertoire, il ne reste plus qu’à vérifier que la somme est identique entre le téléchargement sur votre poste et celui du client via la commande Powershell : Get-FileHash -Algorithm SHA256 Fichier
Avantages :
Inconvénients :
Pourquoi ne pas forcer la descente via gpupdate ? Parce que si vos 300 postes viennent en même temps taper le même fichier vous risquez le goulet d’étranglement, sans compter qu’il vous faudra activer WinRM et ajouter l’autorisation dans vos pare-feu.
On ne créer jamais une GPO dans l’OU où on l’affectera ultérieurement. A sa création, elle a aprt défaut le groupe « authenticated users » ce qui veux dire qu’elle aura une OU et tout les membres de l’OU pour l’affectation.
C pour Computer, Le reste permettant de comprendre rapidement le rôle de la GPO.
Cette GPO sera réutilisable, en ajoutant a chaque déploiement ces informations nous pouvons avoir un historique de l’utilisation, consulter les tickets pour voir les problèmes rencontrés précédemment, etc.
Dans le lab, j’utilise le compte Administrator, mais n’importe quel compte avec les droits administrateur local et lecture/éxécution dans le repertoire partagé suffit.
Avantage :
Inconvénient :
Executer Group Policy Management
C pour Computer, Le reste permettant de comprendre rapidement le rôle de la GPO.
cette GPO sera réutilisable, en ajoutant a chaque déploiement ces informations nous pouvons avoir un historique de l’utilisation, consulter les tickets pour voir les problèmes rencontrés précédemment, etc.
Dans le cas où le client dispose d’un SIEM il faut chercher l’eventID 2 du log « Installations ».
Une fois le déploiement fini, désactiver la GPO, supprimer le lien avec l’OU et le groupe de postes.
En cas d’oubli, le lancement de l’installation se fera à intervalles réguliers, générant du bruit dans les logs.
Retrouver la doc sur Github : https://github.com/Blue-Atom-10101/-HOW-TO-Windows-Emergency-update-out-of-WSUS-schedule
Get-FileHash : https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.utility/get-filehash?view=powershell-7.2
WUSA.exe : https://ss64.com/nt/wusa.html
Invoke-Command : https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.core/invoke-command?view=powershell-7.2