none
Windows 10 - GPO pour installation des MàJ appliqué mais non respectée RRS feed

  • Question

  • Bonjour,

    je suis administrateur dans une entreprise et un pc en particulier doit respecter une règle stricte concernant les mises à jour Windows. En effet, le pc ne doit absolument pas redémarrer de lui même, voici le résultat du GPRESULT, nous pouvons donc voir que les règles sont bien appliqué. Donc pour résumé les mises à jours doivent s'installer le jeudi à 20H et vérifier cela depuis notre WSUS.

    Le problème est que ce matin le pc a redémarré sans raison et foutu un vrai bordel. Je ne comprends.

    J'ai donc analysé les logs du pc et je constate que les mises à jours sont téléchargés le 16/02/18 (donc ce vendredi) a 4h12

    Qu'il les télécharge ne me dérange pas, cela est censé se faire toutes les 22H. Mais ensuite on peut voir qu'il les installe a 4H13

    Suivi d'une demande de redémarrage a 8H35 !!

    Je ne comprends pas, si on se réfère au GPRESULT plus haut, il ne respecte absolument rien !

    Le pc est un Windows 10 X64 en version 1709.

    Quelqu'un peut m'aider? Merci d'avance! 


    • Modifié Herken1986 vendredi 16 février 2018 09:08
    vendredi 16 février 2018 09:06

Réponses

  • En configuration l'option 4, tu as défini un téléchargement et une installation automatique des patchs. Tu as ensuite activé l'option "installer durant la plage de maintenance automatique", plage que tu as défini à 20h. Hors, dans ce cas, une fois qu'une session de patching est démarrée, le serveur rebootera à la fin du cycle si l'un des updates le requiert ; ce comportement ne peut pas être altéré.

    Tu peux utiliser l'option "ne pas redémarrer si un utilisateur est connecté", mais cela requiert de laisser une session ouverte en permanence sur le poste : en terme de sécurité, c'est une erreur stratégique - un hacker aurait alors accès à une ressource légitime pour réaliser ses opérations et cela sans que tu ne puisses le détecter (ou alors trop tard si tu as mis de l'analyse comportementale en place). D'autre part, cela ne te protège pas contre un utilisateur qui fermerai sa session... Laissant alors liberté à la campagne de patch de rebooter!

    La bonne approche serait l'option 3 : "télécharger les mises à jours et notifier l'installation". Dans ce cas, seul une personne connectée sur le poste pourrait redémarrer la machine. Tu peux ensuite restreindre l'installation des patchs uniquement aux administrateurs du poste, ce qui évitera qu'un lambda non-averti ne te reboot le poste inopinément.


    lundi 19 février 2018 12:04

Toutes les réponses

  • Bonjour,

    Dans votre GPO il faudrait activer l'option : "Pas de redémarrage automatique avec des utilisateurs connectés pour l'installation planifiées de mises à jour automatiques"

    Bien entendu ensuite sur le Pc en question ne fermez plus la session verrouillez la simplement.Quitte à faire une GPO pour interdire au User de fermer la session.


    vendredi 16 février 2018 13:18
  • J'ai effectivement changé ca on verra bien, ca me tue quand même que le pc redémarrage à sa guise malgré l'horaire fixée !
    vendredi 16 février 2018 14:18
  • Julian,

    Pour ce type de poste, il faut le configurer sur "installer les mises à jours manuellement" et organiser une intervention technique régulière : cela évite de mauvaise surprise sur des postes sensible.

    Tu as également configuré une plage de maintenance automatique : pour le système, c'est une plage de reboot autorisé, ce qui explique ton évenement.

    dimanche 18 février 2018 18:20
  • Salut,

    merci beaucoup pour ta réponse. Peux tu me préciser cela? Une plage de maintenance automatique?

    Merci !

    dimanche 18 février 2018 18:21
  • En configuration l'option 4, tu as défini un téléchargement et une installation automatique des patchs. Tu as ensuite activé l'option "installer durant la plage de maintenance automatique", plage que tu as défini à 20h. Hors, dans ce cas, une fois qu'une session de patching est démarrée, le serveur rebootera à la fin du cycle si l'un des updates le requiert ; ce comportement ne peut pas être altéré.

    Tu peux utiliser l'option "ne pas redémarrer si un utilisateur est connecté", mais cela requiert de laisser une session ouverte en permanence sur le poste : en terme de sécurité, c'est une erreur stratégique - un hacker aurait alors accès à une ressource légitime pour réaliser ses opérations et cela sans que tu ne puisses le détecter (ou alors trop tard si tu as mis de l'analyse comportementale en place). D'autre part, cela ne te protège pas contre un utilisateur qui fermerai sa session... Laissant alors liberté à la campagne de patch de rebooter!

    La bonne approche serait l'option 3 : "télécharger les mises à jours et notifier l'installation". Dans ce cas, seul une personne connectée sur le poste pourrait redémarrer la machine. Tu peux ensuite restreindre l'installation des patchs uniquement aux administrateurs du poste, ce qui évitera qu'un lambda non-averti ne te reboot le poste inopinément.


    lundi 19 février 2018 12:04