Journal Pourquoi Windows n'est pas prêt pour le serveur.

Posté par (page perso) . Licence CC by-sa
Tags : aucun
23
18
mar.
2012

Ok je suis un peu cynique, mais faire redémarrer (voire pire) une machine en lui envoyant simplement qq octets c'est heu… comment dire… quoi ? Pas la première fois ?
Bon, pour ceux qui ne sont pas encore au courant, Microsoft a publié mardi dernier un patch pour son protocole RDP.
D'après le bulletin de sécurité, la majorité des clients ont activé la mise à jour automatique (sur un serveur j'aimerais voir ça !) et n'ont donc pas de souci à se faire…
En tous cas de nombreux PoC circulent déjà de-ci, de-là et même ailleurs.
Bref, on parle, on s'agite et les chinois du fbi lancent même des fakes, tandis que de nouvelles PoC apparaissent sans arrêt.

Je ne sais pas si on va voir une pluie de BSOD ces jours-ci, mais si j'étais admin de machines windows, je mettrais vite à jour ou je stopperais le service RDP.
Bref, quand certains esprits échauffés prétendent que Linux n'est pas prêt pour le bureau, je souris doucement en pensant que l'herbe est toujours plus verte ailleurs.

note : je cherche simplement à vous informer et je déconseille absolument d'utiliser les scripts mentionnés dans ce journal vers d'autres machines que celles qui vous appartiennent.

  • # Tests dans une virtualbox

    Posté par (page perso) . Évalué à 9. Dernière modification le 18/03/12 à 16:23.

    J'ai testé les scripts avec une VirtualBox de Windows XP + S3, en prenant bien soin de faire un snapshot juste avant.

    • Les scripts 1 et 3 mettent le CPU de Windows à 100% pendant quelques dizaines de secondes
    • Le script 2 ne semble pas faire grand chose
    • Par contre, en utilisant les scripts 1 ou 3, puis le script 2, le Windows s'arrête immédiatement. Effet collatéral regrettable, il ne veut pas redémarrer, sauf en mode sans échec… ;)
    • Une fois le patch MS appliqué, le précédent test est sans effet, et le "eventvwr" affiche une trace de ta tentative d'intrusion.

    La restauration du snapshot permet de revenir à l'état normal.

    Conclusion : Il vaut mieux désactiver le remote desktop, voire mieux, ne pas avoir de Windows du tout ! ;)

  • # Si tu n'as pas de WSUS, tu es un mauvais admin Windows.

    Posté par (page perso) . Évalué à 5.

    Grace à WSUS, tous les serveurs Windows de l'entreprise se sont automatiquement mis à jour et j'ai un beau rapport l'expliquant.
    Non, au contraire, Windows est pret pour l'entreprise: il y a un generateur de blabla integré pour l'administrateur.

    RedHat et Novell l'ont bien compris, ils commencent à inclure le même système dans RHEL et SLES.

    • [^] # Re: Si tu n'as pas de WSUS, tu es un mauvais admin Windows.

      Posté par (page perso) . Évalué à 10.

      RedHat et Novell l'ont bien compris, ils commencent à inclure le même système dans RHEL et SLES.

      Concernant RedHat, le satellite server est disponible depuis au moins 2004 iirc et le Red_Hat_Network depuis fin 2000 : ils permettent la gestion de parc et gestion des mises à jour.
      Puis, bon, ce n'est pas comme si faire des miroirs des dépôts n'était pas possible avant…

      Windows Server Update Services lui n'existe que depuis 2005 (bon yavait SUS auparavant, jamais vu déployé…).

      Autre « petite » différence : par défaut les dépôts des distributions GNU/Linux gèrent l'intégralité des paquets (OS + applications) ; avec WSUS, par défaut, il n'y a que les produits Microsoft (et encore au tout début il n'y avait que l'OS).

    • [^] # Re: Si tu n'as pas de WSUS, tu es un mauvais admin Windows.

      Posté par (page perso) . Évalué à 7.

      Oui j'avoue avoir été pour le moins sarcastique dans le titre de journal (en référence au Linux/Desktop qu'on peut lire tous jours).
      Par contre j'aimerai bien savoir comment ça se passe pour des mises à jour nécessitant un redémarrage sur un serveur de prod qu'on ne peut pas se permettre d'arrêter. Et vu que dans les annonces de Microsoft la consigne est souvent aussi évasive que 'vous pourriez être amené à redémarrer la machine' je me demande comment on fait avec WSUS et ses 'policy' ?
      Notes bien que je ne suis absolument pas sysadmin c'est par simple curiosité.

      • [^] # Re: Si tu n'as pas de WSUS, tu es un mauvais admin Windows.

        Posté par . Évalué à 6.

        Dans mon cas de figure,(Info de gestion) tu ne fais jamais de mises a jour automatique sur un serveur en production. que tu sois sous windows ou sous Unix.

        imagine qu'une MAJ "plante" un serveur ou doivent travailler 400 personnes, 1 heure d'arrêt coute … cher.

        Tu peu faire les mises a jours sur les environnements de tests et après validation
        tu appliques sur l'environnement de prod.

        Dans certain cas de figure il y a même une étape supplémentaire avec un environnement de pré production
        L'environnement de test peu ne pas contenir le même données en volume que l'environnement de production.
        L'environnement de pré production est en général un copie récente de l'environnement de production.
        Donc tu appliques des MAJ sur le TEST, puis la pré prod, et si tout a bien fonctionné
        sur l'environnement de production avec eventuellement arrêt d'exploitation, planifié et tout et tout.

        Parfois les "campagnes de mises a jour" ne se font qu'une fois par an et on en profite pour mettre a jour la totale … firmware, releases bdd etc … coté matériel et logiciel.

        Cependant ces serveurs la ne sont pas directement exposés sur le WWW et bien protégés derrière un pare feu.

        A+

        chris

        • [^] # Re: Si tu n'as pas de WSUS, tu es un mauvais admin Windows.

          Posté par (page perso) . Évalué à 3.

          Merci de ta réponse qui confirme ce que je peux voir autour de moi.

        • [^] # Re: Si tu n'as pas de WSUS, tu es un mauvais admin Windows.

          Posté par . Évalué à 4.

          Cependant ces serveurs la ne sont pas directement exposés sur le WWW et bien protégés derrière un pare feu.

          Gargl, "WWW" utilisé comme synonyme d'Internet..

          THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

          • [^] # Re: Si tu n'as pas de WSUS, tu es un mauvais admin Windows.

            Posté par . Évalué à -1.

            Pourquoi je préfères cette appellation World Wide Web à internet (ou le 'net') elle à un coté village mondial moins techno et plus humain.
            Mais bon je reconnais qu'il s'agit d'une facon personnelle de voir les choses.

            éh papy même avec un smartphone android rooté tu restes un dinosaure de l'informatique, je te rappelle que tu as commencé au siècle dernier à mettre en réseau des serveurs en RS232
            tu peu plus passer pour un geek même sur un forum

            • [^] # Re: Si tu n'as pas de WSUS, tu es un mauvais admin Windows.

              Posté par . Évalué à 5.

              Pourquoi je préfères cette appellation World Wide Web à internet (ou le 'net') elle à un coté village mondial moins techno et plus humain.
              Mais bon je reconnais qu'il s'agit d'une facon personnelle de voir les choses.

              C'est surtout pas du tout la même chose. Le WWW est un réseau par dessus Internet (une surcouche si tu préfères).

              http://fr.wikipedia.org/wiki/World_Wide_Web

              J'ai pas compris la blague avec le papy et les dinosaures. Je suis un petit jeune (j'ai commencé l'informatique après l'invention du Web), mais ça n'empêche pas d'avoir un peu de culture technique :)

              THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.