6. Utiliser les WAPT Windows Update Agent (WAPTWUA) Fonctionnalité WAPT Enterprise uniquement

Indication

WAPT peut gérer les mises à jours Windows sur vos équipements et remplacer les mises à jour automatiques ou un serveur WSUS.

Note

WAPTWUA fonctionne avec l’API WUA de Windows.

Les fonctions internes de WAPTWUA sont basées sur l’API WUA. Pour plus d’informations : https://docs.microsoft.com/en-us/windows/win32/wua_sdk/using-the-windows-update-agent-api.

Attention

Le WAPTWUA ne peut pas fonctionner en même temps que le Microsoft Store.

6.1. Principe de fonctionnement

Vidéo de démonstration :

Each Patch Tuesday , the WAPT Server downloads an updated wsusscn2.cab file from official Microsoft servers.

Par défaut, le téléchargement se fait une fois par jour et aucun téléchargement ne se déclenche si le fichier wsusscn2.cab n’a pas changé depuis le dernier téléchargement.

Indication

Pour que WAPTWUA fonctionne, le Serveur WAPT doit avoir accès à :

  • windowsupdate.microsoft.com

  • ..windowsupdate.microsoft.com

  • ..update.microsoft.com

  • windowsupdate.com

  • download.windowsupdate.com

  • download.microsoft.com

  • download.windowsupdate.com

  • wustat.windows.com

  • ntservicepack.microsoft.com

  • go.microsoft.com

  • dl.delivery.mp.microsoft.com

Même si vous choisissez d’autres sources pour les mises à jour de Windows, les ports 443 et 80 doivent accepter le trafic entrant sur le Serveur WAPT.

Diagramme de flux des mises à jour Windows WAPT

Diagramme de flux des mises à jour Windows WAPT

Le fichier wsusscn2.cab est ensuite téléchargé par l’Agent WAPT à partir du dépôt du serveur WAPT, puis transmis à WUA l’utilitaire Windows pour décortiquer l’arbre de mise à jour pour l’hôte.

Régulièrement, l’hôte analysera les mises à jour disponibles en utilisant le fichier wsusscn2.cab. L’hôte enverra sa liste de mises à jour nécessaires au Serveur WAPT.

Si une mise à jour est en attente sur l’hôte et si cette mise à jour n’est pas présente sur le Serveur WAPT, le Serveur WAPT téléchargera la mise à jour nécessaire à partir des serveurs officiels de Microsoft.

Indication

Ce mode opératoire permet à WAPT de ne télécharger que les mises à jour nécessaires aux postes, gagnant ainsi de la bande passante, du temps de téléchargement et de l’espace disque.

Note

Sur le Serveur WAPT, les mises à jour téléchargées sont stockées :

  • sur les hôtes Linux dans /var/www/waptwua ;

  • sur les hôtes Windows dans C:\wapt\waptserver\repository\waptwua.

L’URL de téléchargement du dépôt de l’agent de mise à jour Windows WAPT est basée sur le paramètre repo_url de wapt-get.ini :

Note

  • En cas de dépôt répliqué, il est totalement possible de l’utiliser avec WAPT Windows Update afin de réduire l’utilisation de la bande passante.

Si un proxy est nécessaire pour accéder à Internet, veillez à définir le serveur proxy dans le fichier waptserver.ini.

6.2. Différences entre les mises à jour Windows WAPT et WSUS

WSUS va télécharger par défaut les mises à jours des catégories sélectionnées. Cela peut mener à une base de données vraiment conséquente et une forte utilisation de l’espace de stockage.

WAPT Windows Update ne va que télécharger ce dont il a besoin pour au moins un poste client. Cela aide à garder une base de données locale de petite taille (environ une 10aine de Gigaoctets) et il peut facilement se nettoyer si vous avez besoin de récupérer de l’espace.

6.3. Les mises à jours majeures d’OS

Les mises à jour majeures d’OS permettent de passer d’une version d’OS à une autre. Cela inclus par exemple, des mises à jours de Windows 7 vers Windows 10, ou bien de Windows 10 1903 vers Windows 10 20H2.

Les mises à jour de version majeures sont gérées de la même manière que les mises à jour d’OS mineures. Les mises à jour majeures sont gérées via le téléchargement du contenu de l’ISO de la nouvelle version (même contenu qu’une installation de base) puis lance le setup.exe avec les bons paramètres. Ce Processus est le même que pour WSUS, SCCM et les mises à jour WAPT Windows Updates.

Dans le cas de WAPT Windows Updates, vous aurez besoin de créer un paquet de mise à jour d’OS en utilisant un modèle de paquet fournit sur https://store.wapt.fr.

6.4. Les mises à jours de pilotes

Les mises à jour de pilote via WSUS ne sont pas recommandés puisqu »il est difficile de gérer correctement les effets de bord. Dans le cas de WAPT WindowsUpdates, LES PILOTES NE SONT PAS TELECHARGES puisqu’ils ne sont pas référencés dans les fichiers wsusscn2.cab fournis par Microsoft.

Il est recommandé de pousser les mises à jour des pilotes via un paquet WAPT personnalisé. Si le correctif du pilote est empaqueté sous forme de .msu, vous pouvez l’empaqueter comme un paquet WAPT standard.

Il suffit de sélectionner le fichier .msu et de cliquer sur Générer un modèle de paquet ‣ Modèle de paquet ‣ Paquet Windows Update (.msu) dans la Console WAPT pour lancer l’assistant de création simplifiée de package.

Si la mise à jour du pilote est emballée sous forme de .zip contenant le fichier .exe, vous pouvez créer un paquet WAPT contenant les fichiers nécessaires et le binaire setup.exe avec le flag silencieux correct.

6.5. Les KB Out of band (Hors bande)

Parfois, Microsoft fournit des mises à jours OOB qui sont en dehors de l’index du wsusscn2.cab. Ces mises à jour ne sont pas inclus dans les mises à jour principales car elles peuvent corriger un problème très spécifique ou peuvent avoir des inconvénients.

Si vous souhaitez déployer une KB de mise à jour OOB, vous pouvez la télécharger depuis le catalogue Microsoft https://www.catalog.update.microsoft.com/Home.aspx.

Il suffit de sélectionner le fichier .msu et de cliquer sur Générer un modèle de paquet dans la Console WAPT pour lancer l’assistant de création simplifiée de package.

Pour ce faire, vous pouvez suivre cette documentation pour construire des fichiers .msu pour ces mises à jour Out-of-band (Hors bande).

Attention

Vous devez vous montrer prudent avec les mises à jour OOB car elles peuvent détruire votre système, assurez-vous de lire les pré-requis sur le rapport Microsoft correspondant à la mise à jour et de tester cette dernière méticuleusement.

6.6. Configurer WAPTWUA sur l’Agent WAPT

WAPTWUA se configure dans wapt-get.ini dans la section [waptwua].

Vous aurez alors plusieurs options :

Les options de configuration dans la section [waptwua] dans le wapt-get.ini

Options (Valeur par défaut)

Description

Exemple

enabled (défaut False)

Activer ou désactiver WAPTWUA sur cette machine.

enabled = True

direct_download (défaut False)

Définit si les mises à jour sont téléchargées directement à partir des Serveurs Microsoft.

direct_download = True

default_allow (défaut False)

Configuré si la mise à jour est autorisée ou pas par défaut.

default_allow = True

download_scheduling (défaut None)

Defines the Windows Update scan recurrence (Will not do anything if waptwua package rule or wsusscn2.cab file have not changed).For example 1d means that every 24 hours, if an update is pending, the computer will download it.

download_scheduling = 1d

install_scheduling (défaut None)

Defines the Windows Update install recurrence. For example 2h means that every 2 hours, if an update is pending, the computer will install it.

install_scheduling = 2h

install_at_shutdown (défaut False)

Définit si les mises à jour sont déclenchées lors de l’arrêt de l’hôte.

install_at_shutdown = True

install_delay (défaut None)

Defines a deferred installation delay before publication in the repository. the reference date of the KB is that of the wsus file.

install_delay = 15d

allowed_severities (défaut None)

Définit une liste de criticités qui sera automatiquement acceptée durant un scan WAPT Windows update. ex. : Important, Critical, Moderate.

allowed_severities = Important

waptexit_disable_skip_windows_updates (défaut False)

Définit si la case à cocher skip Microsoft Windows Update dans la fenêtre WaptExit est disponible (False) ou non (True).

waptexit_disable_skip_windows_updates = True

include_potentially_superseded_updates (défaut False)

Définit si l’agent de mise à jour de Windows affichera à la fois les dernières KB et les KB consolidées (True), ou seulement les dernières KB (False).

include_potentially_superseded_updates = True

Indication

Ces options peuvent être configurées lors de la génération de l’Agent WAPT.

Exemple de section [waptwua] dans le fichier wapt-get.ini :

[waptwua]
enabled = True
default_allow = False
direct_download = False
download_scheduling = 7d
install_at_shutdown = True
install_scheduling = 12h
install_delay = 3d

Lorsque vous créez le waptagent.exe depuis votre Console WAPT, ces options correspondent à cela :

Options de menu pour l'agent de mise à jour Windows WAPT

Options de menu pour l’agent de mise à jour Windows WAPT

Exemple de code source pour un paquet qui modifie les paramètres [waptwua] :

def install():

  inifile_writestring(WAPT.config_filename,'waptwua','enabled','true')
  inifile_writestring(WAPT.config_filename,'waptwua','install_at_shutdown','true')
  inifile_writestring(WAPT.config_filename,'waptwua','download_scheduling','7d')
  inifile_writestring(WAPT.config_filename,'waptwua','allowed_severities','Critical,Important')

  print('Reload WAPT configuration')
  WAPT.reload_config_if_updated()

6.7. Utiliser WAPTWUA depuis la Console WAPT

Les WAPTWUA sont gérées avec deux onglets dans la Console WAPT.

Création de paquets de regroupement de profils dans la Console WAPT

Création de paquets de regroupement de profils dans la Console WAPT

L’onglet Paquet WAPTWUA vous permet de créer des paquet de règles waptwua.

  • Lorsque ce type de paquet est installé sur une machine, il indique à l’Agent WAPTWUA les KBs autorisées ou interdites.

  • Lorsque plusieurs paquets de règles waptwua sont installés sur la machine, les différentes règlesvont fusionner.

  • Lorsqu’une cab n’est ni mentionnée comme autorisée ni mentionnée comme interdite, les Agents WAPT vont alors prendre la valeur du default_allow dans wapt-get.ini.

Note

  • Si la configuration de l’agent WAPTWUA est définit à default_allow = True, alors il sera nécessaire de spécifier les cab interdites.

  • Si la configuration de l’Agent WAPTWUA est définit à default_allow = False , il sera nécessaire de spécifier les cab autorisées.

Indication

  • Pour tester les mises à jour sur un petit groupe de postes, vous pouvez configurer la valeur par défaut de WAPTWUA avec maturity = PREPROD.

  • Vous pouvez tester les mises à jour sur un petit groupe de postes et si tout se passe bien, vous pouvez lancer les mises à jour à votre flotte complète de postes.

Les mises à jour Windows en attente affichées dans la console WAPT

Les mises à jour Windows en attente affichées dans la console WAPT

L’onglet Liste Windows Update liste toutes les Mises à Jour Windows demandées.

Important

Le serveur WAPT ne scanne pas le wsussc2.cab lui-même, il laisse l’utilitaire Windows Update Agent présent sur tous les hôtes Windows le faire. Si une mise à jour semble manquer dans la liste, vous DEVEZ exécuter un scan sur l’un des hôtes présents dans la Console WAPT. Si vous exécutez un scan WUA WAPT sur un client Windows 10, les fichiers CAB et Windows 10 seront affichés dans l’onglet Windows Update.

Le panneau de gauche affiche les catégories des mises à jour, vous permettant de filtrer par :

  • criticité ;

  • produit ;

  • classification.

Dans le panneau de droite, si la colonne Téléchargée le est vide, cela signifie que les mises à jour n’ont pas encore été téléchargées par le Serveur WAPT et n’est pas présent sur le Serveur WAPT (Cette mise à jour n’est pas manquante sur les postes).

  • Vous pouvez forcer le téléchargement de la mise à jour en faisant clic-droit ‣ Télécharger les mises à jour sélectionnées.

  • Vous pouvez aussi forcer le téléchargement du fichier wsusscn2.cab avec le bouton Télécharger le cab WSUSScan depuis le site de Microsoft.

  • Vous pouvez voir le téléchargement des mises à jour Windows sur le serveur avec le bouton Afficher la tâche de téléchargement .

Les mises à jour Windows en attente affichées dans la Console WAPT

Les mises à jour Windows en attente affichées dans la Console WAPT

Indication

Toutes les 30 minutes, le Serveur WAPT va chercher les mises à jour qui ont été demandées au moins une fois par les client WAPT et qui n’ont pas été téléchargées en mises en cache. » Si une mise à jour est en attente, le Serveur WAPT var le télécharger depuis les sites officiels de Microsoft.

Vous pouvez forcer ce scan avec le bouton Télécharger le cab WSUSScan depuis le site de Microsoft ; dans l’onglet Mises à jour Windows ‣ Liste Windows Updates

6.7.1. Nettoyer des vieilles Windows Update

Vous pouvez exécuter le nettoyage manuellement ou automatiquement.

Si la KB n’est pas installée sur la machine, elle est automatiquement supprimée sur le Serveur WAPT entre 2h30 et 3h30 du matin chaque jour. Il est possible de désactiver la suppression automatique des KB avec l’option cleanup_kbs dans le fichier waptserver.ini de configuration du Serveur WAPT.

Ajouter le paramètre dans le fichier de configuration du serveur :

cleanup_kbs = False

6.7.2. Lancer WUA sur les clients

Depuis la Console WAPT vous avez trois options.

Boutons d'action de Windows Update disponibles dans la Console WAPT

Boutons d’action de Windows Update disponibles dans la Console WAPT

  • Le bouton Lancer la recherche de mises à jour va lancer le scan sur le client et va lister toutes les mises à jour marquées pour l’OS.

  • Le bouton Lancer le téléchargement des Mises à jour Windows en attente va lancer le téléchargement des mises à jour en attente sur le client.

  • Le bouton Lancer l’installation des mises à jour Windows en attente va lancer l’installation des mise à jour téléchargées sur le client.

Indication

Lorsque des mises à jour en attente sont stockées en cache pour être installer, l’Agent WAPT va déclencher le service WUA.

L’Agent WAPT va activer et démarrer le service WUA temporairement pour installer les mises à jour. Lorsque les mises à jour sont installées, waptservice va couper et désactiver le service WUA jusqu’au prochain cycle.

6.7.3. État des mises à jour sur l’hôte

Les mises à jour Windows peuvent avoir 4 états sur un poste.

Statuts

Description

OK

Une mise à jour Windows qui s’est correctement installé.

MISSING

Une mise à jour Windows qui n’a pas encore été téléchargé sur le Serveur WAPT.

PENDING

Le Serveur WAPT sait qu’il doit télécharger une mise à jour depuis les serveurs officiels de Microsoft.

DISCARDED

Une mise à jour Windows interdites par des règles.

Les mises à jour Windows en attente affichées dans la Console WAPT

Les mises à jour Windows en attente affichées dans la Console WAPT

6.7.4. Notion d’UpdateID

Dans WAPT nous n’utilisons pas les kbids mais les updateids.

Cela permet d’être plus fin dans la gestion des mises à jour.

Liste montrant les KB en double dans la Console WAPT

Liste montrant les KB en double dans la Console WAPT

Dans cet exemple, la KB4537759 apparaît de multiples fois car il y a 3 différents updateids :

  • win10 1803 ;

  • win10 1903 ;

  • win10 1909 ;

Vous devriez également autoriser une mise à jour et non pas une kb ids.

6.8. WAPT ne force pas Windows à désinstaller une Windows Update

Attention

La désinstallation d’une mise à jour de Windows peut être dangereuse pour l’hôte.

Désinstaller une mise à jour Windows peut être dangereux pour la machine. Quand une mise à jour est détectée comme interdite par WAPT, sa désinstallation ne sera PAS forcée.

Si vous souhaitez vraiment désinstaller une mise à jour, vous devez conditionner la KB que vous souhaitez désinstaller en tant que paquet WAPT standard.

Voici un exemple :

from setuphelpers import *

uninstallkey = []

def install():
  with EnsureWUAServRunning():
    run('wusa /uninstall /KB:4023057')

6.9. WUA offline from the Console

Due to specific constraints, your WAPT server is not directly accessible from the Internet, but you still want to take advantage of Windows Update (WUA) for your agents. We have a solution adapted to this situation.

The process consists of using a WAPT agent machine to download the missing KBs using a file containing curl links to wsusscn2.cab and PENDING updates on workstations that are not present on the WAPT server. The agent will then download the necessary files (such as .cab, .msu files, etc.). These files can then be imported directly onto the WAPT server. Once the files are available on the server, they will automatically be offered to other agents who need these updates.

Action buttons for Pending updates

Action buttons for Pending updates

  • The Show pending updates button ; Allows you to view direct links, the file names of pending KBs and their associated hashes (sha1). At the bottom are the Import WUA CAB file and Export as curl buttons

  • The Import WUA CAB file button ; Opening a Windows Explorer on your workstation, to upload update files directly to the WAPT server.

  • The Export as curl button ; A file is generated containing the curl links for the missing Windows updates. You can then run a command to initiate the download of the specified KB updates into a desired directory.