Discussion :

[bill4134]

Bonjour,

Je suis ingénieur système dans une banque et je suis chargé de définir la politique d'installation des fixes de sécurité dans la banque.

Nous avons un parc de 250 serveurs windows et 2000 stations de travail.

Nous nous posons un certain nombre de questions à ce sujet :

- Quelle est la fréquence d'installation des fixes de sécurité optimale (chaque mois, tous les 3 mois,...) le mieux étant évidemment d'installer le fixe dés que la vulnérabilité est connue ?
- Quel outil utilisé (SMS,SUS,...) ?
- Quel est pour vous le coût en temps (nombre de jours homme/an)?
- Quel est la meilleure stratégie ?
- Test d'installation du fixe sur un serveur
- Création d'un package d'installation
- Tests sur des serveurs pilote
.....

- Quels sont les tests que vous effectuez pour vous assurer que l'application installée sur un serveur fonctionne encore parfaitement après installation du fixe ?

Merci d'avance pour votre aide

[portu]

Ba, y a pas trop de gens qui se dévoue donc, je me lance.

Bon, je ne sais pas si je vais etre d'une grande utilité ( Vu votre haut rang professionnel ) , mais bon, sait -on jamais...

Bon avec le réseau que vous avez , une mise a jour le plus rapidement possible est exigé. Pour cela, une serveur SUS me parait parfait.

- Quel est pour vous le coût en temps (nombre de jours homme/an)?

Dur de répondre avec un tel parc informatique a gérer....

Bon maintenant, ce qui vas etre chaud avec le SUS , c'est qui faut configurer tout les postes sur celui-ci. Un petit script de démarrage sera requis donc.

pour ce qui est de :

Quel est la meilleure stratégie ?

Je pas tres bien compris. pouvez vous préciser ?

- Quels sont les tests que vous effectuez pour vous assurer que l'application installée sur un serveur fonctionne encore parfaitement après installation du fixe ?

Il n'y a pas des tests spécials a faire. Suffit de continuer a les utiliser normalement et voir si il n'y a aucun probleme.

[Phenolphtaleine]

Idem je n ai pas le même niveau que vous, mais
Pourquoi ne pas utiliser la technologie CITRIX http://www.citrix.fr
En mettant en place des serveurs d'application?
Par contre le coût financier est élevé ( licence très cher)
Les mises à jour des logiciels se font sur les serveurs ( on peut prévoir 1 serveur pour 30 utilisateurs connectés sur celui ci)
et non plus sur les 2000 postes, qui peuvent être des terminaux si toutes les applis sont sur les serveurs.

AMitié

Philippe

[gangsoleil]

Passer sur les serveur et faire de chaque PC un terminal d'affichage semble le plus simple. De plus, cela permet de ne pas changer les postes pendant tres tres longtemps (on peut voir aujourd'hui des 386 DX2 à 20 Mhz avec Office XP et tout le toutim), et de répercuter tous les changements de facon quasi immédiate.

[Phenolphtaleine]

Par contre il faut les infrastructures réseau que vous avez
Car sur le réseau ne passe que de la vidéo ( images affichées à l'écran)
et les frappes de clavier et déplacement de souris.

Or la vidéo est gourmande en bande passante, il faudra peut être limitée les couleurs à 256, pour ne pas consommer trop de bande passante.

Amitié

[portu]

on peut voir aujourd'hui des 386 DX2 à 20 Mhz avec Office XP et tout le toutim

tu exagères là !


Personnellement, la méthode du SUS est la plus approprié je trouve, y a pratiquement rien a faire (Bien le configurer et configurer les clients)

[gangsoleil]

Nop, je l'ai vraiemnt vu.
Il faut savoir que dans ce cas, le PC ne sert vraiement qu'a gérer la carte réseau et la carte graphique. Il transfert toutes les commandes clavier/souris au serveur, qui lui répond quoi afficher (en gros). Donc tu pourrais faire tourner ca sur ce que tu veux.
par contre, le serveur derriere.... 4 proc, 2 Go de RAM, ... Plus le prix des licences

[Edit] Cette méthode de serveur est probablement à proscrire ici car elle demande de gros investissements (serveur + licence).
Je ne connasi pas les autres méthodes (SMS, SUS ?)

[Phenolphtaleine]

on peut voir aujourd'hui des 386 DX2 à 20 Mhz avec Office XP et tout le toutim

tu exagères là !


Personnellement, la méthode du SUS est la plus approprié je trouve, y a pratiquement rien a faire (Bien le configurer et configurer les clients)

Presque pas
Tout ce qu il faut c est un terminal
Il n y a rien d executer sur le terminal
tout est executé sur le serveur
AMitié

[portu]

ok ok , mais je ne vois pas trop le rapport avec le mise à jour. Peux tu m'éclairer.

[Phenolphtaleine]

[Edit] Cette méthode de serveur est probablement à proscrire ici car elle demande de gros investissements (serveur + licence).
Je ne connasi pas les autres méthodes (SMS, SUS ?)

Oui mais apparamment c'est une grosse banque
donc ils ont surement les fonds nécessaire
AMitié

[portu]

La méthode SUS est toute bete.
Comme vous l'avez surement déja remarqué , windows update peut etre configuré automatiquement (2000 et xp+ serveur).
Donc, il suffit d'aller modifier deux trois ptits truc de la base de registre (chemin du serveur SUS, les heures de mise a jour (la nuits c mieux) ).
Le serveur sus aura une connection internet pour aller downloader toutes les mises a jour.
L'avantage de ce truc là, moins de charge réseau vers internet et c automatique.

En plus avec le BaseLine Analyser de Microsoft, il permet de voir si les mises à jour ont été faites sur les machines du réseau et permet de forcer la mise à jour (MAJ qui a foiré sur un poste par exemple).

Enfin, ca peut etre tres pratique une fois bien installé et configuré.

Pour SMS , je connais pas

[Phenolphtaleine]

les heures de mise a jour (la nuits c mieux)

par contre, les mises à jours doivent se faire dans la journée
sinon il faut que les postes client restent allumés toutes la nuit, non?
Si les Mises à jours se font la nuit, cela ne risque t il pas poser des problèmes de trafic avec les backups et les réplications de bases (s'il y a des sites distants)?
Amitié

[gangsoleil]

SUS est donc un système actif (connexion explicite de la part de chaque poste). Je n'avais envisagé que des systèmes passifs (un admin sys qui met à jour le système avec le patch qu'il vient de recevoir par exemple).

Pb des sys actifs : les postes doivent rester allumés, il faut vérifier que les MAJ ont été prises en comptes (reboot du PC ???)
Pb des syst passifs : nécessitent une bonne archi réseau pour que l'admin n'ait qu'une seule manipulation à faire pour que tous les serveurs prennent en compte la modif.
ce ne sont bien sur pas les seuls soucis

[Bidouille]

on peut voir aujourd'hui des 386 DX2 à 20 Mhz avec Office XP et tout le toutim

tu exagères là !

Presque pas
Tout ce qu il faut c est un terminal
Il n y a rien d executer sur le terminal
tout est executé sur le serveur

Exact, il existe un client TSE 16 bits. Donc à priori, tu peux faire tourner une émulation de Windows 32 bits sur une antique version 3.1x
Reste qu'il faut un serveur TRES musclé pour faire touner les clients.

[portu]

Bon en effet , faire les mises à jour la nuit peut poser probleme dans certain cas. Mais bon, c'etait a titre d'exemple, ne pas le faire en heure pleine en gros.

Rien n'empeche de le faire apres journée (ou la nuit) et d'executer un script a une certaine heure pour l'instinction des postes.
Pour ce qui est des backup, bein faut les faire bien entendu lorsque les mise a jour sont faites. Faut aussi ce dire que pour un réseau de +2000 machines, faut pas qu'ils aient faire tous leur mise a jour au meme moment (ou alors du Gigabit s'impose).

[bill4134]

Merci à tous pour vos réponses.

Nous possédons déjà des serveurs Citrix (une trentaine). Vu le grand nombre d'applications bancaires, nous ne pouvons pas installer chaque application sours Citrix. D'autre part, certaines applications ne sont pas supportées sous Citrix. Dès lors, nous devons travailler avec des stations XP PRO. Dans un premier temps, nous appliquerons des fixes de sécurité uniquement sur les serveurs.

La stratégie à laquelle nous pensons pour le déploiement des fixes est la suivante :

- Test du fixe sur un serveur pilote.
- Création d'un package d'installation du fixe.
- Création d'une procédure de Roll-back.
- Installation sur un premier serveur pilote et tests du fonctionnement des applications fonctionnant sur ce serveur.
- Installation sur 3 serveurs pilotes et tests du fonctionnement des applications fonctionnant sur ces serveurs.
- Généralisation du fixe.

Que pensez-vous de cette stratégie ?

Nous possédons un certain nombre d'applications critiques et nous ne pouvons nous permettre un non fonctionnement de ces applications.
Nous avons déjà appliqué des fixes de sécurité qui bloquait ensuite le fonctionnement d'une application. De plus, nous savons que parfois un fixe de sécurité peut créer de nouveaux problèmes ou contenir un bug.

La question est : Comment installer ces fixes de sécurité en étant certain que les applications contenues sur les serveurs continueront de fonctionner ?

[portu]

Comment installer ces fixes de sécurité en étant certain que les applications contenues sur les serveurs continueront de fonctionner ?

Houlala, je pense qu'il n'y a pas moyen de savoir avant d'essayer.
Mais , ilest possible, lors de l'install d'un fix, d'archiver les anciens fichiers. Donc si apres l'install d'un fix, une appli foire, il y aura tj moyen de faire une restauration des anciens fichiers. Mais bon, faut sen appercevoir assez vite.

[gangsoleil]

La question est : Comment installer ces fixes de sécurité en étant certain que les applications contenues sur les serveurs continueront de fonctionner ?

Pour être certain : vérification formelle (càd vérification avant installation que le logiciel fait bien ce qu'on lui demande et uniquement ca). Pour windows, compter qqs dizaines d'années au minimum pour le vérifier de cette facon là (et encore, je me trouve bien optimiste).

La moins mauvaise solution est effectivement de faire une image d'un système opérationnel, et d'avoir une procédure de test la plus rigoureuse possible.
Ensuite, installer sur un serveur, et passer la procédure de test. En cas de succès, passer sur d'autres serveurs parait une bonne idée, à condition de repasser la procédure de test.
Ensuite, bah euh, installer le fixe sur les postes, et prier pour que ca fonctionne...

[portu]

La question est : Comment installer ces fixes de sécurité en étant certain que les applications contenues sur les serveurs continueront de fonctionner ?

Pour être certain : vérification formelle (càd vérification avant installation que le logiciel fait bien ce qu'on lui demande et uniquement ca). Pour windows, compter qqs dizaines d'années au minimum pour le vérifier de cette facon là (et encore, je me trouve bien optimiste).

La moins mauvaise solution est effectivement de faire une image d'un système opérationnel, et d'avoir une procédure de test la plus rigoureuse possible.
Ensuite, installer sur un serveur, et passer la procédure de test. En cas de succès, passer sur d'autres serveurs parait une bonne idée, à condition de repasser la procédure de test.
Ensuite, bah euh, installer le fixe sur les postes, et prier pour que ca fonctionne...

En gros il faut 1 mois de test par Fix

[gangsoleil]

En gros il faut 1 mois de test par Fix

A toi de voir quel est le risque que tu prends à ne pas (ou peu) tester.
Si le risque est nul (comme sur un PC personnel où tu peux reformater sans autres conséquences que ton agacement), alors vas-y, installe.
Si le risque est critique (ce qui a l'air d'être le cas ici), alors ca vaut peut etre le coup de faire des tests non ?