Comment déployer des mises à jour logicielles tierces à l’aide de WSUS

Configurer WSUS (Windows Server Update Services) pour diffuser les mises à jour d’applications tierces n’est pas une mince affaire. Généralement, WSUS est dédié aux produits Microsoft : Windows et Office. Mais pouvoir gérer de manière centralisée des applications comme 7-Zip, Adobe Reader ou même les mises à jour de Chrome ? Voilà qui change la donne. Le problème, c’est que WSUS ne prend pas en charge nativement les mises à jour de logiciels tiers. Par conséquent, si vous souhaitez diffuser des mises à jour ou installer des éléments comme Java ou des pilotes spécifiques, vous devrez effectuer quelques manipulations supplémentaires. C’est là qu’interviennent des outils comme WSUS Package Publisher. Ce logiciel libre vous permet de créer, publier et suivre des packages de mise à jour tiers comme s’il s’agissait de mises à jour WSUS standard.

Ce processus peut paraître un peu intimidant au premier abord, surtout si vous n’avez jamais déployé d’applications non-Microsoft via WSUS. Mais une fois configuré, il est très pratique, notamment grâce à l’automatisation. Voici ce dont vous aurez besoin : WSUS installé, .NET Framework (version 3.5 ou ultérieure) et des GPO configurées pour que les clients utilisent le serveur WSUS. Ensuite, utilisez l’outil Package Publisher pour signer vos packages personnalisés, les publier, les approuver, puis laissez WSUS gérer le reste. N’oubliez pas de préparer vos machines clientes en leur faisant confiance pour les certificats auto-signés afin qu’elles puissent accepter les mises à jour signées sans problème. Ce n’est pas forcément intuitif, mais une fois le principe assimilé, la gestion des applications tierces devient bien plus simple qu’une installation manuelle.

Comment installer et configurer WSUS Package Publisher

Avantages de WSUS Package Publisher

  • Intégration WSUS : tout est centralisé, plus besoin de jongler avec des outils de déploiement distincts ;
  • Vous pouvez créer des packages de mise à jour à partir de fichiers MSI, MSP ou même de fichiers EXE (si vous les convertissez avec des outils comme MSI Wrapper) ;
  • Permet de suivre l’état de l’installation, afin de savoir si le logiciel a été déployé avec succès.

Si votre serveur de mise à jour WSUS est déjà opérationnel, avec des clients correctement configurés (via GPO) et que le. NET Framework est prêt à l’emploi, il ne vous reste que quelques étapes avant de déployer des mises à jour tierces.

  1. Commencez par télécharger l’ archive binaire de WSUS Package Publisher. Extrayez-la sur votre serveur WSUS, par exemple dans le répertoire `/etc/WSUS /packages / wsus C:\WSUSPublisherWsusPackagePublisher.exe
  2. Ensuite, lancez l’outil en double-cliquant dessus WsusPackagePublisher.exe. Il se peut qu’un avertissement concernant l’exécution de code non signé s’affiche ; soyez prêt à autoriser l’opération si nécessaire. Connectez-vous à votre serveur WSUS local ; la détection est généralement automatique, mais vous pouvez le configurer manuellement si besoin.
  3. Lors du premier lancement de l’application, il vous sera demandé de générer un certificat de signature. Cette étape est cruciale, car vos mises à jour doivent être signées pour que vos clients leur fassent confiance. Accédez à OutilsCertificats. Si vous disposez d’une infrastructure à clés publiques (PKI) interne, utilisez-la ; sinon, l’application peut générer un certificat de signature de code auto-signé (PowerShell peut également le faire New-SelfSignedCertificate).Enregistrez le certificat au format .CER.
  4. Installez le certificat sur chaque poste client qui recevra ces mises à jour. La méthode la plus simple consiste à utiliser la stratégie de groupe : ouvrez gpmc.msc, recherchez votre objet de stratégie de groupe (GPO), puis accédez à Configuration ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Stratégies de clé publique. Cliquez avec le bouton droit sur Autorités de certification racines de confiance et importez le certificat. Procédez de même pour les éditeurs de confiance afin d’éviter tout problème de confiance.
  5. Pour autoriser les clients à accepter le contenu signé provenant de votre serveur WSUS, accédez à Configuration ordinateur → Stratégies → Modèles d’administration → Composants Windows → Windows Update. Activez l’option « Autoriser le contenu signé provenant de l’emplacement du service de mise à jour Microsoft intranet ». Pour les machines appartenant à un groupe de travail ou hors domaine, une modification du registre peut être nécessaire (par exemple, une modification de la clé de registre reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate /f /v AcceptTrustedPublisherCerts /t REG_DWORD /d 1), mais nous y reviendrons ultérieurement.

Créez un package de mise à jour tiers personnalisé à déployer via WSUS

Méthode pour créer une mise à jour tierce déployable

Supposons que vous souhaitiez mettre à jour une ancienne version de 7-Zip sur les ordinateurs de votre domaine. Commencez par télécharger le programme d’installation MSI le plus récent depuis le site officiel. Une fois téléchargé, indiquez son chemin d’accès dans WSUS Package Publisher. Si vous possédez des programmes d’installation EXE, aucun problème : l’utilisation d’un wrapper MSI (comme MSI Wrapper ) permet de les convertir en packages MSI compatibles avec WSUS.

  1. Dans l’éditeur, cliquez sur Mises à jourCréer une nouvelle mise à jour. Nommez votre mise à jour (par exemple « 7-Zip v23.01 ») et ajoutez une description pour vous en souvenir plus tard.
  2. Indiquez le chemin d’accès au programme d’installation MSI ou EXE. Pour les fichiers MSI, indiquez simplement l’emplacement du fichier téléchargé. Pour les fichiers EXE, vous devrez peut-être les convertir ou les encapsuler au format MSI au préalable.
  3. Définissez les critères d’installation. Par exemple, vérifiez si HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\7-Zipla version est DisplayVersion23.01 . Cela garantit que la mise à jour ne s’installera que si la version correcte n’est pas déjà présente.
  4. Créez des règles permettant de détecter si le logiciel est installé ou non (clés de registre, fichiers ou numéros de version).Sur la machine de test, vous pouvez effectuer une simple requête de registre comme :
    5. <bar:RegSz Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\7-Zip" Value="DisplayVersion" Comparison="EqualTo" Data="23.01"/>

    De même, vérifiez que l’architecture correspond ( <bar:Processor Architecture="9"/>pour x64).

  5. Définissez la logique d’installation : une règle inverse peut s’avérer utile si vous souhaitez déployer le logiciel uniquement lorsqu’il n’est pas encore installé. Concrètement, vous indiquez à WSUS de l’installer si le registre ne contient pas la version requise.
  6. Terminez en publiant le package. Il est maintenant prêt à être déployé !

Important : ces packages tiers n’apparaissent pas dans la console WSUS standard. Vous devrez donc les gérer via l’interface de l’éditeur de packages. Pour les déployer, sélectionnez votre package et approuvez-le pour les groupes souhaités.

  1. Choisissez votre groupe cible dans WSUS, cliquez avec le bouton droit et sélectionnez ApprouverApprouver pour l’installation.
  2. Lancez une vérification manuelle des mises à jour sur les machines clientes (par exemple wuauclt /detectnow, via une tâche planifiée).Les appareils téléchargeront et installeront les mises à jour en arrière-plan une fois les stratégies appliquées.
  3. Vérifiez sur les PC clients si le logiciel est correctement installé — vous pouvez le faire avec [outil/méthode] Get-WindowsUpdateou même simplement en vérifiant rapidement le dossier de l’application.

Le suivi du déploiement est simple : utilisez l’ onglet Rapport de WSUS Package Publisher pour voir quels appareils ont installé la mise à jour avec succès. Ce système de retour d’information est très utile si vous déployez plusieurs applications ou mises à jour.

Au final, déployer des applications tierces via WSUS avec Package Publisher n’est pas aussi simple qu’un clic, mais c’est nettement plus rapide que les mises à jour manuelles ou les installations ponctuelles automatisées. C’est une solution de contournement un peu bricolée (car, bien sûr, Windows complique inutilement les choses), mais elle fonctionne.

Résumé

  • Installez WSUS Package Publisher et générez un certificat de signature.
  • Signez vos packages de mise à jour personnalisés avec le certificat et déployez ce dernier sur les PC clients.
  • Créez des packages de mise à jour avec des fichiers MSI/EXE, définissez des règles de détection et publiez-les.
  • Approuver et surveiller les déploiements via WSUS.

Conclure

L’obtention de mises à jour tierces via WSUS n’est pas instantanée, mais une fois configurée, c’est une solution fiable pour maintenir la plupart des logiciels à jour sans complications. Attention cependant : il vous faudra peut-être ajuster certains paramètres, comme la confiance accordée aux certificats ou les règles de détection, en fonction de votre environnement. Néanmoins, pour la gestion de logiciels à grande échelle, cette méthode représente un compromis acceptable. Espérons que cela permettra à certains de gagner du temps et d’éviter bien des soucis.

Comment corriger un profil réseau incorrect sur Windows Server après un redémarrage
Comment approuver et déployer efficacement les mises à jour dans WSUS