Mon WSUS 2012 R2 est KO…

Auteur de l'article

Metsys

Partager l'article

Metsys
27 février 2015
Modern Work

Cliquez pour évaluer cet article !

0 avis

La classification au cœur de la protection des données

Metsys 1 septembre 2023

Après le Zero Trust https://blog.metsys.fr/zero-trust-from-zero-to-hero-de-la-strategie-a-la-tactique-episode-2/ et la protection de l’identité https://blog.metsys.fr/en-matiere-de-cybersecurite-tous-les-chemins-menent-a-lidentite-zero-trust-episode-4/, nous nous attaquons à

Comment améliorer la communication d’expiration de mot de passe utilisateur avec Powershell ?

Hervé CZUBAK 25 août 2023

Dans le cadre d’un projet chez un client, j’ai dû réfléchir à un process automatisé

Sauvegarder des BDD MS SQL sur des comptes de stockage Azure

Nassim CHEMLOUL 4 juillet 2023

Bonjour à tous, Je voulais, dans cet article, vous partager une solution que nous avons

Sommaire

Vous avez besoin de remettre en service un serveur dont les droits ont sauté un peu partout suite à un hardening un peu « poussé » ?

Suite à cette opération vous avez un beau message sur la console d’administration ?

Ce guide devrait vous aider à remettre le tout en ordre… Attention, nous fonctionnons avec une base de données interne Windows.

Les services

Comme tout bon rôle, celui s’appuie sur plusieurs services Windows pour assurer son bon fonctionnement. Ils doivent être configurés comme ci-dessous :

Base de données interne Windows
- Démarrage : automatique
- Ouverture de session : NT SERVICE\MSSQL$MICROSOFT##WID
Service WSUS
- Démarrage : automatique
- Ouverture de session : Service réseau
Service de publication World Wide Web
- Démarrage : automatique
- Ouverture de session : Système local
Service d’administration IIS
- Démarrage : automatique
- Ouverture de session : Système local
Editeur VSS de base de données interne Windows
- Démarrage : manuel
- Ouverture de session : Service local

Deux d’entre eux sont essentiels : la Base de Données Interne Windows qui contient toute la configuration et le Service WSUS qui permet la synchronisation avec le serveur central Microsoft (ou un serveur maître). Bien sûr, vous ne pouvez pas vous passer d’IIS, celui-ci étant le socle même du fonctionnement de WSUS. Si l’un de ces deux services est arrêté, vous obtiendrez le message d’erreur.

World Wide Web & WSUS

Les services Web de WSUS doivent être configurés comme ci-dessous :

ClientWebService
- Directory: %ProgramFiles%\Update Services\WebServices\ClientWebService
- Application Pool: WsusPool
- Security: Anonymous Access Enabled
- Execute Permissions: Scripts Only
Content
- Directory[the location of the WSUS content directory]
- Security: Anonymous Access Enabled
- Execute Permissions: None
DssAuthWebService
- Directory: %ProgramFiles%\Update Services\WebServices\DssAuthWebService
- Application Pool: WsusPool
- Security: Anonymous Access Enabled
- Execute Permissions: Scripts Only
Inventory
- Directory: %ProgramFiles%\Update Services\ Inventory
- Application Pool: WsusPool
- Security: Anonymous Access Enabled
- Execute Permissions: Scripts Only
ReportingWebService
- Directory: %ProgramFiles%\Update Services\WebServices\ReportingWebService
- Application Pool: WsusPool
- Security: Anonymous Access Enabled
- Execute Permissions: Scripts Only
ServerSyncWebService
- Directory: %ProgramFiles%\Update Services\WebServices\ServerSyncWebService
- Application Pool: WsusPool
- Security: Anonymous Access Enabled
- Execute Permissions: Scripts Only
SimpleAuthWebService
- Directory: %ProgramFiles%\Update Services\WebServicesSimpleAuthWebService
- Application Pool: WsusPool
- Security: Anonymous Access Enabled
- Execute Permissions: Scripts Only
ApiRemoting30
- Directory: %ProgramFiles%\Update Services\Administration
- Application Pool: WsusPool
- Security: Integrated Windows Authentication, Digest Authentication
- Execute Permissions: Scripts Only
SelfUpdate
- Directory: %ProgramFiles%\Update Services\SelfUpdate
- Security: Anonymous Access Enabled
- Execute Permissions: Scripts Only

Vous pouvez trouver plus d’informations ici : https://technet.microsoft.com/fr-fr/library/dd939903(v=ws.10).aspx (en anglais toutefois).

Le dossier Update Service

WSUS est déployé par défaut dans C:\Program Files\Update Services :

Iil faut veiller à ce que le service Web puisse utiliser correctement les ressources. Voici les permissions que vous devez avoir (WSUSInstallDir correspond au dossier d’installation de WSUS):

Dossiers web :
- WSUSInstallDir\WebServicesapiremoting30
- WSUSInstallDir\WebServicesclientwebservice
- WSUSInstallDir\WebServicesdssauthwebservice
- WSUSInstallDir\WebServicesreportingwebservice
- WSUSInstallDir\WebServicesserversyncwebservice
- WSUSInstallDir\WebServicessimpleauthwebservice
- WSUSInstallDir\Inventory

Permissions pour ces dossiers :
- Services Réseau (Lecture/Exécution), Utilisateurs (Lecture/Exécution), Utilisateurs authentifiés (Lecture/Exécution), Administrateurs (Contrôle total), Système (Contrôle total)

Dossier SelfUpdate :
- WSUSInstallDir\Selfupdate

Permissions SelfUpdate :
- Utilisateurs (Lecture/Exécution), Administrateurs (Contrôle total), Système (Contrôle total)

Base de registre

La base de registre doit également avoir les droits positionnés comme ci-dessous (à minima) :

HKLM\Software\Microsoft\Update Services\ServerWSUS Reporters (accès en lecture)Utilisateurs (accès en lecture)HKLM\Software\Microsoft\Update Services\Server\Setup

Service Réseau (Contrôle total)WSUS administrators (Contrôle total)

Administrateurs (Contrôle total)

Système (Contrôle total)

La base de données interne Windows

Enfin, la base de données interne est située ici : C:\Windows\WID

Le dossier DATA contient les fichiers de la base de données : il faut impérativement que NT SERVICE\MSSQL$MICROSOFT##WID puisse y accéder en lecture/écriture !

Si vous étiez donc face à un problème de sécurité, ce devrait maintenant être résolu.

Un article signé

Metsys

Partager l'article

Notez cet article

Vous avez aimé cet article ?

Rendez-le plus visible auprès des internautes en lui mettant une bonne note.

Cliquez pour évaluer cet article !

0 avis

Cookie	Durée	Description
__cfruid	Session	Cookie généré par Cloudflare pour identifier un traffic web sécurisé.
cookielawinfo-checbox-analytics	11 mois	Cookie généré par le plugin GDPR Cookie Consent pour stocker l'information sur le consentement ou non de l'utilisateur concernant l'utilisation des cookies dits "Analytiques".
cookielawinfo-checbox-functional	11 mois	Cookie généré par le plugin GDPR Cookie Consent pour stocker l'information sur le consentement ou non de l'utilisateur concernant l'utilisation des cookies dits "Fonctionnels".
cookielawinfo-checbox-others	11 mois	Cookie généré par le plugin GDPR Cookie Consent pour stocker l'information sur le consentement ou non de l'utilisateur concernant l'utilisation des cookies dits "Autres".
cookielawinfo-checkbox-advertisement	1 an	Cookie généré par le plugin "GDPR cookie consent" afin de récupérer les informations de consentement de l'utilisateur concernant la catégorie "Publicitaire".
cookielawinfo-checkbox-necessary	11 mois	Cookie généré par le plugin GDPR Cookie Consent pour stocker l'information sur le consentement ou non de l'utilisateur concernant l'utilisation des cookies dits "Essentiels".
cookielawinfo-checkbox-performance	11 mois	Cookie généré par le plugin GDPR Cookie Consent pour stocker l'information sur le consentement ou non de l'utilisateur concernant l'utilisation des cookies dits de "Performance".
CookieLawInfoConsent	1 an	Cookie généré par le plugin "CookieYes" afin d'enregistrer l'état choisi par l'utilisateur via le bouton de préférence des cookies.
elementor	Aucune	Cookie généré par le site web. Il permet de réaliser des changements sur le site en temps réel.
PHPSESSID	Session	Cookie généré par les applications natives PHP. Il permet de stocker et identifier un identifiant unique de session d'un utilisateur afin de gérer la session sur le site. Ce cookie sera supprimé une fois la page du navigateur fermé.
viewed_cookie_policy	11 mois	Cookie généré par le plugin GDPR Cookie Consent pour stocker l'information sur le consentement ou non de l'utilisateur concernant l'utilisation des cookies. Aucune donnée personnelle n'est stockée par le plugin.

Cookie	Durée	Description
_ga	1 an 1 mois et 4 jours	Cookie installé par Google Analytics pour récupérer des données sur le visiteur, sa session, les campagnes de données mais aussi analyser le parcours de l'utilisateur afin de générer des graphiques sur l'interface administrateur. Ces cookies emmagasinent les informations de manière anonyme et attribuent un chiffre au hasard pour identifier chaque visiteur unique.
_ga_*	1 an 1 mois et 4 jours	Cookie généré par Google Analytics afin de stocker et compter les vues sur les pages du site.
_jsuid	1 an	Cookie généré par Clicky afin de recenser la première visite d'un utilisateur sur le site.
cluid	9 heures	Coookie servant à identifier un utilisateur unique sur plusieurs domaines.
CONSENT	2 ans	Cookie généré par Youtube pour pister les informations remontées par les vidéos Youtube affichées sur le site récupérant de façon anonyme des informations statistiques.

Cookie	Durée	Description
eqy_sessionid	Session	Cookie généré par la solution Get Quanty permettant l'analyse de l'utilisateur sur le site.
eqy_siteid	Aucune	Cookie généré par la solution Get Quanty permettant d'identifier le site sur lequel il est placé pour pouvoir l'analyser.

Mon WSUS 2012 R2 est KO…

Auteur de l'article

Metsys

Partager l'article

Thème sombre/clair

Catégories

Rechercher

Nous suivre

La classification au cœur de la protection des données

Comment améliorer la communication d’expiration de mot de passe utilisateur avec Powershell ?

Sauvegarder des BDD MS SQL sur des comptes de stockage Azure

Les services

World Wide Web & WSUS

Le dossier Update Service

Base de registre

La base de données interne Windows

Un article signé

Metsys

Partager l'article

Notez cet article

Articles pouvant vous intéresser

La classification au cœur de la protection des données

Comment améliorer la communication d’expiration de mot de passe utilisateur avec Powershell ?

Sauvegarder des BDD MS SQL sur des comptes de stockage Azure