Patch Tuesday, épisode 4 : Bilan de la nuit

Mercredi, 13h15.

Il est grand temps de jeter un œil sur l'état de la maquette WSUS après la nuit des patches de sécurité du mois (voir les articles précédents).

Un premier coup d'œil sur la console Hyper-V indique que toutes les machines ont redémarré automatiquement dans la nuit, comme prévu, à l'exception de la machine sous Windows Server 2008 en mode Server Core (voir la colonne Uptime --la machine floppyfw n'est pas concernée par la démonstration) :

Comme paramétré dans les GPO du domaine, les serveurs ont redémarré peu après 4h00, et les clients peu après 3h00.

Dans la console de WSUS, voici le résumé de l'état avant et après la nuit dernière :

 

Il est clair que tout n'est pas parfait, puisque 4 ordinateurs ne sont pas à jour, et 5 mises à jour n'ont pas été installées sur toutes les machines. Si l'on va voir le détail des mises à jour restant à installer (dans Updates, All Updates) :

Pour les 2 premières mises à jour, le diagnostic est simple : elles n'ont simplement pas été approuvées, puisqu'aucune règle d'approbation automatique ne traite les mises à jour de classification "Updates". Il reste simplement à les approuver manuellement, et elles seront installées la nuit prochaine.

Pour la mise à jour d'IE7 pour Windows XP (correspondant à MS08-058), l'analyse montre rapidement qu'il s'agit de la machine Windows XP SP2. Sur celle-ci, la consultation du journal d'événements montre que les mises à jour ont été téléchargées vers 1h20, et que la mise à jour d'IE7 n'en fait pas partie :

 Event Type:  Information
Event Source:    Windows Update Agent
Event Category: Installation 
Event ID:  18
Date:     10/15/2008
Time:     1:19:53 AM
User:     N/A
Computer:    XPSP2
Description:
Installation Ready: The following updates are downloaded and ready
for installation. This computer is currently scheduled to install
these updates on Wednesday, October 15, 2008 at 3:00 AM: 
- Windows Malicious Software Removal Tool - October 2008 (KB890830)
- Security Update for Windows XP (KB956841)
- Security Update for Windows XP (KB954211)
- Security Update for Windows XP (KB957095)
- Cumulative Security Update for ActiveX Killbits for Windows XP
(KB956391)
- Security Update for Windows XP (KB956803)

La raison est probablement que le téléchargement des mises à jours n'était pas terminée à cette heure-là sur le serveur WSUS. Il s'avère que, après l'installation de ces mises à jour et le redémarrage vers 3h00, la mise à jour d'IE7 est téléchargée et prête à être installée la nuit prochaine :

 Event Type:   Information
Event Source:    Windows Update Agent
Event Category: Installation 
Event ID:  18
Date:     10/15/2008
Time:     3:18:39 AM
User:     N/A
Computer:    XPSP2
Description:
Installation Ready: The following updates are downloaded and ready
for installation. This computer is currently scheduled to install
these updates on Thursday, October 16, 2008 at 3:00 AM: 
- Cumulative Security Update for Internet Explorer 7 for Windows XP
(KB956390)

Pour les 2 dernières mises à jour non installées, il s'agit du serveur Windows Server 2008 en mode Server Core qui n'installe pas ses mises à jour automatiquement. Je n'ai pas encore résolu ce problème, qui reste donc "à suivre..."

Pour résumer, les mises à jour ont bien été installées et les machines redémarrées, à l'exception de :

  • deux mises à jour à approuver pour qu'elles soient installées la nuit prochaine,
  • une mise à jour déjà programmée pour la nuit prochaine sur un client,
  • deux mises à jour sur un Sever 2008 en mode Server Core, à élucider.

Après approbations des deux premières, il ne restera plus qu'un problème demain, celui des mises à jour de Windows Server 2008 en mode Server Core. J'y reviendrai ici dès que possible...

[Juste pour information sur l'état de mon Server Core aujourd'hui : j'avais déjà constaté ce problème, sans jamais chercher à le résoudre proprement : la commande "SCregEdit.wsf /AU 4" donne une erreur 0x80240037 (WU_E_NOT_SUPPORTED) et j'en étais arrivé à exécuter manuellement le script WUA_SearchDownloadInstall.vbs pour installer les mises à jour depuis WSUS. Je suppose qu'il va falloir chercher un peu plus !]