sccmlogo

Comme Microsoft l’avait annoncé, les mises à jour pour Windows 7 et 8.1 sont maintenant de type cumulative. Cette nouveauté a un impact significatif sur vos méthodes de déploiement et votre stratégie doit être réévaluée.


Dans un Billet en anglais, Michael Niehaus (ICI) explique les différentes stratégies à utiliser, mais quand est-il pour ConfigMgr ?
La team Configuration Manager donne des recommandations et nous allons voir lesquels.
Depuis le 11 octobre, seulement deux mises à jour de sécurité seront publiées pour le mois. Ci-dessous une comparaison entre toutes les mises à jour publiées pour le mois.

Mise à jour mensuelleCanal de publicationClassificationdate de sortieContenuTaille
Windows Update (WU)Windows Server Update Service (WSUS)Catalogue Windows Update
Security Only Quality UpdateNonOuiOuiMises à jour de sécurité2eme mardi du moisLes corrections de sécurité pour le moisRelativement petit
Security Monthly Quality RollupOuiOuiOuiMises à jour de sécurité2eme mardi du moisTous les nouveaux correctifs de sécurité du mois ainsi que le cumul des corrections de tous les mois précédentsCommence relativement petit en Octobre et se développe de mois en mois
Preview of Monthly Quality rollupOuiOuiOuiMises à jour3eme mardi du moisMises à jour non-sécurité pour le mois et rollups précédentsCommence relativement petit en Octobre et se développe de mois en mois

La taille de la mise à jour se développe de mois en mois et cela peut devenir un problème pour les entreprises disposant d’une bande passante limitée ou ayant des préoccupations d’espace disque.
Si ni la bande passante, ni l’espace disque ne sont une préoccupation pour votre environnement vous pouvez choisir d’approuver au moins l’une des deux mises à jour de sécurité publiées pour le mois. Au minimum, vous devez approuver la « Security Only Quality Update » pour le mois pour garder votre environnement sécurisé.
Si vous utilisez ConfigMgr 2012 ou CB et que vous avez une règle de déploiement automatique (ADR) configuré sur la base du modèle “Patch Tuesday”, la règle va continuer à fonctionner dans votre environnement.
Concernant la conformité si vous avez approuvé les deux mises à jour, il n’y aura pas de problème. En effet :

  • Si la Security Monthly Quality Rollup s’installe en premier :
      • La mise à jour Security Only Quality Update se retrouve non applicable à l’ordinateur, puisque la totalité du contenu de cette mise à jour est déjà installé.
      • La Security Only Quality Update apparait alors comme non requise
      • La Security Monthly Quality Rollup apparait elle comme conforme
  • Si le Security Only Quality s’installe d’abord, la Security Monthly Quality Rollup sera installée à côté.
    • Les deux mises à jour apparaissent donc comme conformes.

Si la bande passante et\ou l’espace disque sont une préoccupation
Pour réduire au minimum la bande passante et de l’impact sur l’espace disque client lors du Patch Tuesday, Microsoft recommande de ne déployer que la Security Only Quality Update qui dispose d’une petite taille de contenu.
Si vous utilisez ConfigMgr 2007, ne déployez que les mises à jour contenant le texte « Security Only » Voir ICI pour plus d’information
Si vous utilisez ConfigMgr 2012 ou supérieur et que vous n’utilisez pas d’un ADR, ne déployez que les mises à jour contenant le texte « Security Only »
Si vous utilisez ConfigMgr 2012 ou supérieur et que vous utilisez un ADR basé sur le Patch Tuesday, il vous faudra en modifier le comportement en exécutant l’une des actions suivantes :

  • Modifier la règle de l’ ADR existant pour y ajouter une clause en filtrant sur le titre : “Security Only” (le texte doit être ajusté en fonction de la langue. Pour éviter tout problème, il est recommandé de créer l’ADR en exécutant la console SCCM localement ou dans la même langue que le serveur de site. Si la langue de la console est différente que celle du serveur de site cela ne fonctionnera pas)
  • L’alternative est de désactiver la règle de l’ADR et de déployer manuellement la mise à jour qui contient la chaîne «Security Only Quality Update » Cette solution est intéressante si vous avez des problème de filtrage ou si vous disposez de plusieurs langues sur votre serveur de site. L’inconvénient est le processus devient manuel.

Concernant la conformité, comme vous ne validez que les Security Only, celle-ci ne posera pas de problème.