FLASH INFORMATIQUE FI



HFNetChkPro ou l’art du Patch Management




Christian RAEMY


Le patch management, outil de sécurité Nº 1

Un des moyens les plus efficaces pour se protéger des différentes menaces que constituent les virus, vers, attaques, prises de contrôle et autres mises en péril de vos données se nomme Patch Management. Dans tout programme se cache une certaine quantité d’erreurs. Certaines, selon leur type et leur emplacement, permettent de détourner des fonctions légitimes et ainsi de mettre en péril la stabilité de l’ordinateur, ou pire, d’obtenir des droits plus élevés d’où dérivent alors les menaces évoquées ci-dessus. Ces erreurs spécifiques sont appelées failles de sécurité.

Régulièrement, différents organismes détectent et inventorient ces failles, puis ils transmettent aux différents éditeurs de logiciels leurs découvertes pour que celles-ci soient corrigées. Ces derniers s’empressent donc de fournir aux utilisateurs des correctifs appelés patchs. Ces patchs corrigent donc des petites parties de programme pour qu’il ne soit plus possible d’utiliser ces failles à mauvais escient.

La mise à jour régulière de son système d’exploitation (OS, Operating System) et des différentes applications installées sur des ordinateurs personnels ou des serveurs est primordiale pour se prémunir efficacement des attaques diverses. La gestion des différents patchs sur un grand nombre d’ordinateurs de configurations différentes représente le patch management. Si cette tâche est assurée de manière stricte et efficace, alors une grande partie des problèmes et des conséquences pourront être évités !

HFNetChkPro, derrière ce nom barbare se cache un excellent outil vous permettant de contrôler tout le processus de patch d’un parc de machines Microsoft Windows.

Qui n’a jamais été confronté au douloureux problème de devoir patcher une grande quantité de machines Windows, de versions et langues mélangées, tout ceci agrémenté de dates d’installation différentes avec un soupçon de produits tiers ?

Certains ont peut-être mis en place un serveur Microsoft SUS facilitant un peu cette tâche, mais n’offrant pas toute la souplesse et l’étendue nécessaire à la complexité de notre école.

L’analyse de l’état du parc

De nombreux administrateurs de parc de machines seraient très surpris de constater l’état réel d’application des patchs sur les machines dont ils sont responsables. Les moyens actuels ne permettent pas de connaître précisément cet état de manière centralisée et rapide. Il faut, la plupart du temps, se connecter sur les différentes machines, une à une, pour lancer à distance ou, carrément sur place, des outils également différents selon les produits que l’on veut analyser (OS, Office, SQL, MDAC,...).


HFNetChkPro permet, depuis une console unique, basée sur un serveur ou même une simple station de travail, de lancer toutes sortes d’analyses sur différents groupes de machines Windows. Ces analyses sont toujours basées sur une liste de patchs globale, remise à jour par l’éditeur Shavlik sur la base des bulletins émis par Microsoft et mise à jour automatiquement via une connexion Internet, puis entièrement paramétrable suivant les besoins. Vous pouvez ainsi sauvegarder vos différents canevas d’analyse, portant par exemple sur un seul type de patch (ex. : security patch concernant Internet Explorer, Windows Media Player, MDAC et Visio) ou alors des groupes de patchs plus critiques pour les stations de travail ou les serveurs.

Ces différentes analyses sont ensuite applicables à un ou plusieurs groupes de machines. Ces groupes peuvent être créés selon une foule de différents critères : Liste texte, Domain Windows, OU Active Directory, plages d’adresses IP, imbrications d’autres groupes. Vous pouvez également appliquer des filtres sur ces groupes, ne demandant que les Workstation ou serveurs SQL, ... enfin, il est possible d’effectuer des exclusions à l’intérieur de ces groupes.


Une fois vos groupes définis, vous pouvez lancer vos différentes analyses précédemment configurées sur ces différents groupes. Vous avez alors la possibilité d’exécuter ces tâches immédiatement ou de manière planifié et/ou périodique. La tâche va s’exécuter sur les machines sélectionnées, contrôlée à distance et ceci sans aucune installation préalable de programme ou d’agent local . En effet, il suffit d’avoir des droits d’administrateurs locaux sur les machines pour que l’analyse s’effectue. Jusqu’à 64 machines peuvent être analysées simultanément. Une fois l’analyse terminée, HFNetChkPro récolte toutes les données et établit un rapport d’analyse. Ce rapport vous donne tout d’abord un résumé de l’analyse avec le top 10 des patchs manquants, les tops 10 des machines vulnérables, etc.


En rentrant plus en profondeur dans ce rapport, vous pouvez alors avoir :

  • soit une vision orientée patchs et servicepacks, vous donnant toutes les explications concernant chacun d’eux, les mises en garde, les bulletins de sécurité liés, les fichiers et clés de registres impliquées, les machines sur lesquelles il est manquant, etc.

  • soit par machines, avec pour chacune d’elles, tous les détails concernant les produits Microsoft et autres présents, les patchs et servicepack présents et surtout manquants, un historique graphique vous permettant de contrôler l’évolution de celle-ci dans le temps.

La tâche va alors s’exécuter sur les machines sélectionnées, contrôlée à distance et ceci sans aucune installation.

Ce rapport est ainsi complètement dynamique et vous pouvez le parcourir à votre guise dans tous les sens désirés. Finalement, il est également possible de l’envoyer par email à une liste de destinataires, manuellement ou automatiquement, en format PDF.

Bon, c’est bien, vous avez enfin une vision claire de votre parc de machine en termes d’état d’application des patchs et servicepacks... et maintenant me direz-vous, que faire... passer sur chacun des postes en question ? Heureusement non, HFNetChkPro est là pour le faire à votre place.

L’application des patchs manquants

Il suffit en effet, depuis le rapport d’analyse, de sélectionner soit un groupe de patchs soit un groupe de machines puis de choisir l’option apply missing patches pour ainsi débuter le processus d’envoi puis d’installation des patchs manquants. Comme pour l’analyse, cette tâche peut être lancée immédiatement ou planifiée à un instant donné. Plusieurs options de redémarrage sont disponibles avec entre autres : redémarrage après un temps défini, extension possible du temps par l’utilisateur avant reboot au moyen d’une fenêtre pop-up, redémarrage automatique lors du prochain logoff, installation des patchs lors du prochain redémarrage, ... toutes les combinaisons sont possibles et peuvent être sauvegardées dans un modèle de distribution des patchs.

Une fois définie, la tâche de déploiement va contrôler si les patchs sont déjà présents sur votre serveur de déploiement. Si ce n’est pas le cas, il va alors contacter le serveur Microsoft pour télécharger les patchs nécessaires. Ces patchs vont ensuite être communiqués aux machines à patcher puis les tâches vont être réparties. Les machines en questions vont alors appliquer à l’instant désiré la liste des patchs qui leur ont été transmis puis redémarrer selon la procédure choisie. Une fonction supplémentaire, appelée Patch Push Tracker vous permet ensuite de suivre l’état d’avancement des processus de patch sur chacune des machines.

Une fois tous les patchs installés sur vos machines et celles-ci redémarrées, il ne vous reste plus qu’à relancer simplement la même analyse avec la fonction rescan pour pouvoir ainsi constater que les patchs manquants sont installés et sont maintenant détectés comme présents par HFNetChkPro. Il se peut alors qu’il reste encore certains patchs à appliquer, ceux-ci colmatant des failles apparues après l’application des patchs ou servicepack précédents.

C’est pour qui ce truc-là ?

Si vous devez gérer un parc de minimum 10 machines Microsoft Windows alors ce produit vous est destiné. Les OS supportés sont Windows NT, 2000, XP et 2003. Ceci dans une grande quantité de langues comme par ex. : English, Français, Dutch, ...

En plus des applications Microsoft telles que Windows, Office, SQL, IIS, DirectX, Visio, ... de nouvelles applications d’éditeurs tierces ne cessent d’être ajoutées avec entre autres : Winzip et Apache. Au moment même de la rédaction de cet article, les produits suivants viennent d’être ajoutés : les produits Acrobat (Distiller, Element, Reader, ...), RealPlayer et aussi FireFox, la liste s’allongeant continuellement.

Pour un petit parc de quelques machines, l’installation peut se faire sur une simple station de travail et en utilisant la base de données incluse dans le produit.

Sitôt que vous avez un certain nombre de machines à manager et que vous voulez planifier des analyses et des distributions de patchs avec envois des rapports par email, il est conseillé de faire l’installation du produit sur un serveur avec une connexion à une base de données SQL plus efficace pour un grand parc que la base de données intégrée au produit.

Vous trouverez ce logiciel comme d’habitude sur Distrilog.epfl.ch. Des instructions et des conseils se trouvent également sur Winsec.epfl.ch. Finalement, une petite formation est donnée sur ce produit durant le cours de sécurité planification d’une base sécurisée de postes clients .

N’hésitez donc plus à installer puis utiliser ce produit qui ne vous demandera qu’une courte prise en main, mais vous déchargera de bien des tâches pénibles, rébarbatives et peu gratifiantes. Vous y gagnerez en termes de temps et de clarté.



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.