Je travaille à l’amélioration de mon WSUS et on m’a demandé de trouver comment approuver automatiquement les mises à jour qui sont « importantes ». Actuellement, nous approuvons automatiquement les mises à jour qui sont des mises à jour critiques, des mises à jour de définitions ou des mises à jour de sécurité.
Je me demande s’il existe un moyen d’approuver automatiquement les mises à jour que le site Web Microsoft classe comme importantes. Toute aide serait appréciée.
Mon conseil est de ne configurer des règles d’approbation automatique que pour un ensemble limité de mises à jour Windows, généralement tout ce qui est classé comme mise à jour de sécurité, et uniquement pour un ensemble limité de vos serveurs et postes de travail.
Vous pouvez ensuite approuver manuellement ces mises à jour pour un ensemble plus large de vos serveurs et postes de travail après une période de test.
En aparté, sachez qu’il y a une distinction entre les classifications et la sévérité. Microsoft a utilement réutilisé le terme « critique » pour désigner à la fois une classification de Windows Update et un niveau de sévérité. Vous avez donc des mises à jour critiques qui corrigent un problème spécifique traitant un bug critique non lié à la sécurité (classification) et vous avez des mises à jour de sécurité qui ont un niveau de sévérité critique. Vous remarquerez que la même chose s’applique aux mises à jour avec un niveau de sévérité « important ».
Mon objectif avec Windows Update est principalement de m’assurer que les vulnérabilités de sécurité sont corrigées, c’est pourquoi je n’ai vraiment des règles d’approbation automatique que pour les mises à jour classées comme mises à jour de sécurité, indépendamment de leur sévérité. Si je trouve une mise à jour critique qui doit être déployée, c’est généralement un cas ponctuel pour notre organisation. Je ne m’occupe pas des autres.
Sachez également que les Service Packs et les cumuls de fonctionnalités contiennent des mises à jour de sécurité ainsi qu’un tas d’autres choses. Vous devez réfléchir très, très attentivement à la façon dont vous voulez gérer ces classifications de mises à jour en raison de tout ce qu’elles incluent en plus. Encore une fois, l’objectif de mon organisation est centré sur les vulnérabilités de sécurité, donc nous n’approuvons pas les Service Packs ou les cumuls de mises à jour de manière automatique ou généralisée, sauf si nous avons un besoin spécifique de le faire.
Je vous conseillerais de n’approuver automatiquement que les mises à jour de sécurité et d’être plus sélectif avec les mises à jour critiques, mais c’est vraiment ce qui fonctionne le mieux dans votre organisation.