Bonnes pratiques pour les mises à jour logicielles dans Configuration Manager
S’applique à : Gestionnaire de Configuration (branche actuelle)
Cet article inclut les meilleures pratiques pour les mises à jour logicielles dans Configuration Manager. Les informations sont triées en bonnes pratiques pour l’installation initiale et les opérations en cours.
Meilleures pratiques d’installation
Utilisez les meilleures pratiques suivantes lorsque vous installez des mises à jour logicielles dans Configuration Manager.
Utiliser une base de données WSUS partagée pour les points de mise à jour logicielle
Lorsque vous installez plusieurs points de mise à jour logicielle sur un site principal, utilisez la même base de données WSUS pour chaque point de mise à jour logicielle dans la même forêt Active Directory. Si vous partagez la même base de données, cela atténue considérablement, mais n’élimine pas complètement, le client et l’impact sur les performances réseau que vous pouvez rencontrer lorsque les clients basculent vers un nouveau point de mise à jour logicielle. Une analyse différentielle se produit quand un client bascule vers un nouveau point de mise à jour logicielle qui partage une base de données avec l’ancien point de mise à jour logicielle, mais l’analyse est beaucoup plus petite que si le serveur WSUS a sa propre base de données. Pour plus d’informations sur le basculement de point de mise à jour logicielle, consultez Basculement de point de mise à jour logicielle.
Importante
Partagez également les dossiers de contenu WSUS locaux lorsque vous utilisez une base de données WSUS partagée pour les points de mise à jour logicielle.
Pour plus d’informations sur le partage de la base de données WSUS, consultez les billets de blog suivants :
Quand Configuration Manager et WSUS utilisent la même SQL Server, configurez l’une pour utiliser une instance nommée et l’autre pour utiliser l’instance par défaut
Lorsque les bases de données Configuration Manager et WSUS partagent la même instance de SQL Server, vous ne pouvez pas facilement déterminer l’utilisation des ressources entre les deux applications. Utilisez différentes instances de SQL Server pour Configuration Manager et WSUS. Cette configuration facilite la résolution et le diagnostic des problèmes d’utilisation des ressources qui peuvent se produire pour chaque application.
Spécifier le paramètre « Stocker les mises à jour localement »
Lorsque vous installez WSUS, sélectionnez le paramètre Stocker les mises à jour localement. Ce paramètre oblige WSUS à télécharger les termes du contrat de licence associés aux mises à jour logicielles. Il télécharge les termes pendant le processus de synchronisation et les stocke sur le disque dur local du serveur WSUS. Si vous ne sélectionnez pas ce paramètre, les ordinateurs clients risquent d’échouer aux analyses de conformité pour les mises à jour logicielles qui ont des termes du contrat de licence. Le composant Gestionnaire de synchronisation WSUS du point de mise à jour logicielle vérifie que ce paramètre est activé toutes les 60 minutes, par défaut.
Configurer vos points de mise à jour logicielle pour utiliser TLS/SSL
La configuration de serveurs Windows Server Update Services (WSUS) et de leurs points de mise à jour logicielle correspondants pour utiliser TLS/SSL peut réduire la capacité d’un attaquant potentiel à compromettre à distance un client et élever des privilèges. Pour vous assurer que les meilleurs protocoles de sécurité sont en place, nous vous recommandons vivement d’utiliser le protocole TLS/SSL pour sécuriser votre infrastructure de mise à jour logicielle. Pour plus d’informations, consultez le tutoriel Configurer un point de mise à jour logicielle pour utiliser TLS/SSL avec un certificat PKI.
Meilleures pratiques opérationnelles
Utilisez les meilleures pratiques suivantes lorsque vous utilisez des mises à jour logicielles :
Limiter les mises à jour logicielles à 1 000 dans un déploiement de mise à jour logicielle unique
Limitez le nombre de mises à jour logicielles à 1 000 dans chaque déploiement de mises à jour logicielles. Lorsque vous créez une règle de déploiement automatique, vérifiez que les critères spécifiés n’entraînent pas plus de 1 000 mises à jour logicielles. Si vous déployez manuellement des mises à jour logicielles, ne sélectionnez pas plus de 1 000 mises à jour.
Créer un groupe de mises à jour logicielles chaque fois qu’un adr s’exécute pour « Patch Tuesday » et pour les déploiements généraux
Il existe une limite de 1 000 mises à jour logicielles dans un déploiement. Lorsque vous créez une règle de déploiement automatique (ADR), vous spécifiez s’il faut utiliser un groupe de mises à jour existant ou en créer un à chaque exécution de la règle. Si vous spécifiez des critères dans une adr qui entraîne plusieurs mises à jour logicielles et que la règle s’exécute selon une planification périodique, créez un groupe de mises à jour logicielles à chaque exécution de la règle. Ce comportement empêche le déploiement de dépasser la limite de 1 000 mises à jour logicielles par déploiement.
Utiliser un groupe de mises à jour logicielles existant pour les ADR pour les mises à jour de définition Endpoint Protection
Lorsque vous utilisez une adr pour déployer fréquemment des mises à jour de définition Endpoint Protection, utilisez toujours un groupe de mises à jour logicielles existant. Sinon, l’ADR peut créer des centaines de groupes de mises à jour logicielles au fil du temps. Les éditeurs de mise à jour de définition définissent généralement les mises à jour de définition pour qu’elles expirent lorsqu’elles sont remplacées par quatre mises à jour plus récentes. Par conséquent, le groupe de mises à jour logicielles créé par l’ADR ne contient jamais plus de quatre mises à jour de définition pour l’éditeur : une active et trois remplacées.