Attention : le support de WAPT 1.8.2 a pris fin le 30 juin 2022.

Il y a plusieurs vulnérabilité présente dans la branche WAPT 1.8.2.7393. Merci de mettre à jour sur la version supportée la plus récente. Liste des CVEs (non exhaustive) :
  • * python engine : python 2.7 (CVE-2020-10735, CVE-2015-20107, CVE-2022-0391, CVE-2021-23336, CVE-2021-3177, CVE-2020-27619, CVE-2020-26116, CVE-2019-20907, CVE-2020-8492, etc.)
  • * cryptography : openssl : CVE-2022-2068, CVE-2022-1292, CVE-2022-0778, CVE-2021-4160, CVE-2021-3712, CVE-2021-23841, CVE-2021-23840, CVE-2021-23839, CVE-2020-1971, CVE-2020-1968, CVE-2019-1551
  • * python dependencies : cryptography (CVE-2020-36242, CVE-2020-25659), eventlet (CVE-2021-21419), jinja2 (CVE-2020-28493), psutil (CVE-2019-18874), waitress (CVE-2022-31015), lxml (CVE-2021-4381, CVE-2021-28957, CVE-2020-27783, CVE-2018-19787), ujson (CVE-2022-31117, CVE-2022-31116, CVE-2021-45958), python-ldap (CVE-2021-46823)

Nouveau dans la version 1.7: Enterprise

Utiliser l’agent de mise à jour Windows (WAPTWUA)

WAPT Enterprise feature only

Note

Depuis la version 1.7, WAPT est capable de gérer les mises à jour Windows sur vos terminaux.

Principe de fonctionnement

Régulièrement, le serveur WAPT télécharge un fichier wsusscn2.cab mis à jour à partir des serveurs Microsoft. Par défaut, les téléchargements ont lieu une fois par jour et aucun téléchargement n’est déclenché si le fichier wsusscn2.cab n’a pas été modifié depuis le dernier téléchargement.

WAPT Windows Update flow process

WAPT Windows Update flow process.

Note

Dans certains cas, vous souhaiterez peut-être diffuser de nouveaux KB avant la prochaine sortie du Patch Tuesday.

Pour cela, vous pouvez suivre cette documentation pour packager des fichiers .msu pour ces mise à jour ponctuelles.

Le fichier wsusscn2.cab est ensuite téléchargé par l’agent WAPT à partir de son dépôt le plus proche et ensuite transmis à l’utilitaire standard Windows Update Agent Windows qui traitera l’arbre des mises à jour.

Régulièrement, la machine analysera les mises à jour disponibles en utilisant le fichier wsusscn2.cab. La liste des mises à jour nécessaires déterminée par l’agent WUA est ensuite envoyée par l’hôte au serveur WAPT.

Si une mise à jour est en attente sur la machine et si cette dernière n’est pas présente sur le serveur WAPT, le serveur téléchargera la mise à jour nécessaire depuis les serveurs Microsoft.

Indication

This mode of operation allows WAPT to download only the necessary updates on the computers, thus saving bandwidth, download time and disk space.

Note

Les mises à jour téléchargées sont stockées :

  • sur des serveurs Linux dans /var/www/waptwua ;

  • sur des machines Windows dans C:waptwaptserverrepositorywaptwua ;

L’URL de téléchargement des mise à jour Windows depuis le dépôt WAPT est basée sur le paramètre repo_url du fichier wapt-get.ini :

  • la réplication des WAPT Windows Update fonctionne pour réduire l’usage de la bande passante ;

  • n’oubliez pas de synchroniser le dossier waptwua si vous répliquez vos paquets avec des dépôts distants ;

Note

Si dans votre organisation, un proxy est nécessaire pour sortir sur Internet, alors assurez-vous de définir le serveur proxy dans le fichier waptserver.ini.

Différence de fonctionnement des mises à jour Windows entre WAPT et WSUS

WSUS downloads by default the updates for selected categories. This can lead to a very large update database and lots of storage used.

WAPT Windows Update ne télécharge que les mises à jour qui ont été demandées par au moins une machine. Cela permet de conserver une petite base de données (quelques dizaines de gigaoctets) et elle peut être facilement nettoyée si vous voulez récupérer de l’espace.

Mises à jour majeures du système d’exploitation

Major OS upgrades are upgrades from one OS version to another. That includes, for example, upgrades from Windows 7 to Windows 10, or from Windows 10 1803 to Windows 10 1903.

Major version upgrades are not handled in the same way as minor OS upgrades. Major upgrades are handled via the download of the new install ISO content (same content as for a fresh install) and running the setup.exe with the correct parameters. This process is the same for WSUS, SCCM and WAPT Windows Updates.

Dans le cas des mises à jour Windows WAPT, vous devez créer un paquet de mise à jour du système d’exploitation en utilisant un paquet modèle fourni sur https://store.wapt.fr.

Mises à niveau des pilotes

Les mises à niveau des conducteurs via le WSUS ne sont pas recommandées car il est difficile de gérer correctement les effets secondaires. Dans le cas des mises à jour dans WAPT, les PILOTES NE SONT PAS TÉLÉCHARGÉS car ils ne sont pas référencés dans les fichiers wsusscn2.cab fournis par Microsoft.

Il est recommandé de pousser les mises à jour des pilotes via un paquet WAPT personnalisé. Si le correctif pour un pilote est packagé sous la forme d’un msu, vous pouvez le conditionner sous la forme d’un paquet WAPT standard.

Just select the msu file and click :menuselection: »create package » in the WAPT console to launch the wizard for simplified package creation.

Si la mise à jour du pilote est présentée sous la forme d’un paquet zip contenant le fichier exe, vous pouvez créer un paquet WAPT contenant les fichiers nécessaires et le binaire setup.exe avec les paramètres silencieux corrects.

KB hors bande

Microsoft sometimes provides OOB updates that are not contained in the wsusscn2.cab index. Those updates are not included in the main update because they may fix a very specific problem or may have drawbacks in some situations.

Si vous souhaitez déployer une mise à jour OOB KB, vous pouvez la télécharger à partir du catalogue microsoft https://www.catalog.update.microsoft.com/Home.aspx.

Just select the msu file and click Create package in the WAPT console to launch the wizard for simplified package creation.

Vous devez faire attention au fait que les mises à jour OOB peuvent casser votre système, assurez-vous de lire les conditions préalables sur le bulletin Microsoft correspondant à la mise à jour et de tester la mise à jour de manière approfondie.

Configurer WAPTWUA sur l’agent WAPT

WAPTWUA est configuré dans wapt-get.ini.

Ajouter une section [waptwua].

Vous avez alors plusieurs options :

Options de configuration dans la section [waptwua] du wapt-get.ini

Options

Valeur par défaut

Description

enabled

False

Activez ou désactivez WAPTWUA sur cette machine.

allow_direct_download

False

Autoriser le téléchargement direct des mises à jour à partir des serveurs Microsoft si le serveur WAPT n’est pas disponible

default_allow

False

Définir si la mise à jour manquante est autorisée ou non par défaut

filter

Type=”Software” ou Type=”Driver”

Définir le filtre à appliquer pour l’analyse des mises à jour Windows

download_scheduling

None

Définir la fréquence d’analyse des mises à jour Windows (Ne fera rien si la règle du paquet waptwua ou le fichier wsusscn2.cab n’ont pas changé) (ex : 2h)

install_scheduling

None

Définir la fréquence d’installation des mises à jour Windows (Ne fera rien si aucune mise à jour n’est en attente) (ex : 2h)

install_at_shutdown

False

Installe les mises à jour à l’extinction de la machine

install_delay

None

Définir un délai d’installation différé avant la publication dans le dépôt (ex : 7d)

allowed_severities

None

Définit une liste de niveaux de gravité qui sera automatiquement acceptée lors d’un scan de mise à jour Windows avec WAPT Windows Update. ex : Important, Critical, Moderate

Indication

Ces options peuvent être définies lors de la génération de l’agent.

Exemple de section [waptwua] dans le fichier wapt-get.ini :

[waptwua]
enabled =true
offline =true
default_allow =false
allow_direct_download=false
download_scheduling=12h
install_at_shutdown=true
install_scheduling=12h
install_delay=7d

The install_scheduling option will try every 12 hours to install updates on the client. It is not in graphical options due to a potential danger. Indeed, trying to install updates on your IT infrastructure while working hours can impact your production.

Lorsque vous créer waptagent.exe depuis la console, ces options sont équivalentes à celles-ci :

WAPT Windows Update agent options

Indication

si l’option default_allow est à True et que Wapt WUA est activé aussi,le client va contacter le serveur WAPT et va demander à télécharger les mises à jour manquantes. Le client installera ses mises à jour tout seul.

Exemple de code source d’un paquet pour modifier les paramètres [waptwua] :

def install():
 inifile_writestring(WAPT.config_filename,'waptwua','enabled','true')
 inifile_writestring(WAPT.config_filename,'waptwua','offline','true')
 inifile_writestring(WAPT.config_filename,'waptwua','filter',"Type='Software' or Type='Driver'")
 inifile_writestring(WAPT.config_filename,'waptwua','install_at_shutdown','true')
 inifile_writestring(WAPT.config_filename,'waptwua','download_scheduling','7d')
 inifile_writestring(WAPT.config_filename,'waptwua','allowed_severities','Critical,Important')

Utiliser de WAPTWUA depuis la console

L’onglet WAPT Windows Update Agent de la console WAPT est fourni avec deux sous-menus pour gérer WAPTWUA.

Paquet WAPTWUA

L’onglet WAPTWUA Package vous permet de créer des paquets de règles waptwua.

  • lorsque ce type de paquet est installé sur une machine, il indique à l’agent WAPTWUA les KBs autorisés ou interdits ;

  • lorsque plusieurs paquets waptwua sont installés sur une machine, les différentes règles seront fusionnées ;

  • lorsqu’un cab n’est ni mentionné comme autorisé, ni mentionné comme interdit, les agents WAPT prendront alors la valeur default_allow dans le fichier wapt-get.ini ;

Si une mise à jour Windows n’a pas encore été téléchargée sur le serveur WAPT, l’agent WAPT marquera la mise à jour comme MISSING.

Note

  • si la configuration de l’agent WAPTWUA est définie avec default_allow = True, alors il sera nécessaire de spécifier la cabine interdite ;

  • si la configuration de l’agent WAPTWUA est définie avec default_allow = False, alors il sera nécessaire de spécifier le cab autorisé ;

Indication

  • pour tester les mises à jour sur un petit nombre d’ordinateurs, vous pouvez définir la valeur par défaut de WAPTWUA avec default_allow = False ;

  • vous pouvez tester les mises à jour sur un petit échantillon de machines et si tout va bien, vous pouvez diffuser les mises à jour sur l’ensemble de la base des ordinateurs ;

Creating a *waptwua* Package

Créer un paquet waptwua

Onglet Liste des mises à jour de Windows

L’onglet Windows Update List liste toutes les mises à jour Windows nécessaires.

Important

Le serveur ne scanne pas le fichier wsussc2.cab lui-même, il laisse les agents WAPT le faire. Si une mise à jour vous semble manquer dans la liste, vous devez lancer un scan sur l’une des machines présentes dans la console. Si vous lancez un scan WUA sur un agent Windows 7, les fichiers CAB et Windows 7 seront affichés sur l’onglet Liste des mises à jour de Windows.

Le volet de gauche affiche les catégories de mises à jour, vous permettant de filtrer par :

  • la criticité ;

  • le produit ;

  • la classification ;

Dans la grille de droite, si la colonne Downloaded on est vide, cela signifie que la mise à jour n’a pas encore été téléchargée par le serveur WAPT et n’est pas présente sur le serveur WAPT (Cette mise à jour ne manque sur aucun hôte).

  • you can force the download of an update by right-clicking ‣ Download;

  • vous pouvez également forcer le téléchargement du fichier wsusscn2.cab avec le bouton Download WSUSScan cab from Microsoft Web Site ;

  • vous pouvez voir le téléchargement des mises à jour Windows sur le serveur avec le bouton Montrer les téléchargements ;

Indication

Pour nettoyer votre dossier WAPTWUA, vous pouvez supprimer les mises à jour Windows qui ne sont plus nécessaires. Le serveur WAPT ne re-téléchargera les mises à jour supprimées que si l’un des hôtes équipés de WAPT le demande ;

List Windows Update

Lancer WAPT WUA sur le client

Vous avez alors trois options.

List of wua button on console

Le bouton Rechercher des mises ç jour Windows lance l’analyse sur le client WAPT et liste toutes les mises à jour signalées pour le système d’exploitation. Vous pouvez scanner le client depuis la console comme cela ou en utilisant la commande wapt-get waptwua-scan depuis la ligne de commande.

Indication

Toutes les 30 minutes, le serveur WAPT recherche les mises à jour qui ont été demandées au moins une fois par les clients WAPT et qui n’ont pas encore été téléchargées et mises en cache. Si une mise à jour est en attente, le serveur WAPT la téléchargera à partir des serveurs officiels de Microsoft.

Toutes les 30 minutes, le serveur va scanner tous les clients afin devérifier si une mise à jour en attente. Si elle n’est pas présente dans ses dépôts,le serveur wapt va la télécharger depuis les serveurs de Microsoft. Vous pouvezforcer ce scan avec le bouton Télécharger l’index et les cabs manquant depuis le site de MS dans l’onglet Windows Updates ‣ Liste des mises à jour Windows

WUA pending example

Si vous voulez télécharger depuis la console, cliquez sur le bouton Lancer le téléchargement des Mises à jour Windows en attente.

The command-line for downloading kb’s from the client is wapt-get waptwua-download, it will scan the current status of Windows against current rules, download missing kb’s and send the result to the server.

Si vous voulez installer la ou les mise(s) à jour en attente, utilisez wapt-get waptwua-install à partir de l’invite de ligne de commande.

Si vous voulez télécharger depuis la console, cliquez sur le bouton Lancer le téléchargement des Mises à jour Windows en attente.

Indication

Lorsque vous souhaitez installer les mises à jour en attente stockées dans le cache, le service WAPT déclenche le service WUA.

Le service WAPT activera et démarrera temporairement le service WUA pour installer les mises à jour. Lorsque les mises à jour seront installées, le service WAPT arrêtera et désactivera le service WUA jusqu’au prochain cycle.

Vidéo de démonstration