Metsys Blog

Mon WSUS 2012 R2 est KO…

Cliquez pour évaluer cet article !
0 avis

Vous avez besoin de remettre en service un serveur dont les droits ont sauté un peu partout suite à un hardening un peu « poussé » ?

Suite à cette opération vous avez un beau message sur la console d’administration ?

Ce guide devrait vous aider à remettre le tout en ordre… Attention, nous fonctionnons avec une base de données interne Windows.

Les services

Comme tout bon rôle, celui s’appuie sur plusieurs services Windows pour assurer son bon fonctionnement. Ils doivent être configurés comme ci-dessous :

  • Base de données interne Windows
    • Démarrage : automatique
    • Ouverture de session : NT SERVICE\MSSQL$MICROSOFT##WID
  • Service WSUS
    • Démarrage : automatique
    • Ouverture de session : Service réseau
  • Service de publication World Wide Web
    • Démarrage : automatique
    • Ouverture de session : Système local
  • Service d’administration IIS
    • Démarrage : automatique
    • Ouverture de session : Système local
  • Editeur VSS de base de données interne Windows
    • Démarrage : manuel
    • Ouverture de session : Service local

Deux d’entre eux sont essentiels : la Base de Données Interne Windows qui contient toute la configuration et le Service WSUS qui permet la synchronisation avec le serveur central Microsoft (ou un serveur maître). Bien sûr, vous ne pouvez pas vous passer d’IIS, celui-ci étant le socle même du fonctionnement de WSUS. Si l’un de ces deux services est arrêté, vous obtiendrez le message d’erreur.

World Wide Web & WSUS

Les services Web de WSUS doivent être configurés comme ci-dessous :

  • ClientWebService
    • Directory: %ProgramFiles%\Update Services\WebServices\ClientWebService
    • Application Pool: WsusPool
    • Security: Anonymous Access Enabled
    • Execute Permissions: Scripts Only
  • Content
    • Directory[the location of the WSUS content directory]
    • Security: Anonymous Access Enabled
    • Execute Permissions: None
  • DssAuthWebService
    • Directory: %ProgramFiles%\Update Services\WebServices\DssAuthWebService
    • Application Pool: WsusPool
    • Security: Anonymous Access Enabled
    • Execute Permissions: Scripts Only
  • Inventory
    • Directory: %ProgramFiles%\Update Services\ Inventory
    • Application Pool: WsusPool
    • Security: Anonymous Access Enabled
    • Execute Permissions: Scripts Only
  • ReportingWebService
    • Directory: %ProgramFiles%\Update Services\WebServices\ReportingWebService
    • Application Pool: WsusPool
    • Security: Anonymous Access Enabled
    • Execute Permissions: Scripts Only
  • ServerSyncWebService
    • Directory: %ProgramFiles%\Update Services\WebServices\ServerSyncWebService
    • Application Pool: WsusPool
    • Security: Anonymous Access Enabled
    • Execute Permissions: Scripts Only
  • SimpleAuthWebService
    • Directory: %ProgramFiles%\Update Services\WebServicesSimpleAuthWebService
    • Application Pool: WsusPool
    • Security: Anonymous Access Enabled
    • Execute Permissions: Scripts Only
  • ApiRemoting30
    • Directory: %ProgramFiles%\Update Services\Administration
    • Application Pool: WsusPool
    • Security: Integrated Windows Authentication, Digest Authentication
    • Execute Permissions: Scripts Only
  • SelfUpdate
    • Directory: %ProgramFiles%\Update Services\SelfUpdate
    • Security: Anonymous Access Enabled
    • Execute Permissions: Scripts Only

Vous pouvez trouver plus d’informations ici : https://technet.microsoft.com/fr-fr/library/dd939903(v=ws.10).aspx (en anglais toutefois).

Le dossier Update Service

WSUS est déployé par défaut dans C:\Program Files\Update Services :

Iil faut veiller à ce que le service Web puisse utiliser correctement les ressources. Voici les permissions que vous devez avoir (WSUSInstallDir correspond au dossier d’installation de WSUS):

  •  Dossiers web :
    • WSUSInstallDir\WebServicesapiremoting30
    • WSUSInstallDir\WebServicesclientwebservice
    • WSUSInstallDir\WebServicesdssauthwebservice
    • WSUSInstallDir\WebServicesreportingwebservice
    • WSUSInstallDir\WebServicesserversyncwebservice
    • WSUSInstallDir\WebServicessimpleauthwebservice
    • WSUSInstallDir\Inventory
  • Permissions pour ces dossiers :
    • Services Réseau  (Lecture/Exécution), Utilisateurs (Lecture/Exécution), Utilisateurs authentifiés (Lecture/Exécution), Administrateurs (Contrôle total), Système (Contrôle total)
  • Dossier SelfUpdate :
    • WSUSInstallDir\Selfupdate
  • Permissions SelfUpdate :
    • Utilisateurs (Lecture/Exécution), Administrateurs (Contrôle total), Système (Contrôle total)

Base de registre

La base de registre doit également avoir les droits positionnés comme ci-dessous (à minima) :

HKLM\Software\Microsoft\Update Services\ServerWSUS Reporters (accès en lecture)Utilisateurs (accès en lecture)HKLM\Software\Microsoft\Update Services\Server\Setup

Service Réseau (Contrôle total)WSUS administrators (Contrôle total)

Administrateurs (Contrôle total)

Système (Contrôle total)

La base de données interne Windows

Enfin, la base de données interne est située ici : C:\Windows\WID

Le dossier DATA contient les fichiers de la base de données : il faut impérativement que NT SERVICE\MSSQL$MICROSOFT##WID puisse y accéder en lecture/écriture !

Si vous étiez donc face à un problème de sécurité, ce devrait maintenant être résolu.

Notez cet article

Vous avez aimé cet article ?

Rendez-le plus visible auprès des internautes en lui mettant une bonne note.

Cliquez pour évaluer cet article !
0 avis

Articles pouvant vous intéresser

Resource Guard 

Mise en place du Resource Guard Azure Resource Guard est un concept qui fait référence