NinjaOne Patching : Gestion des correctifs pour le système d'exploitation Windows

Sujet

Cet article décrit les fonctionnalités de gestion des correctifs du système d'exploitation (OS) disponibles pour les terminaux Windows gérés par NinjaOne. Il explique également comment activer, configurer et consulter l'activité de correction.

Environnement

NinjaOne Patching
Microsoft Windows

Description

La gestion des correctifs NinjaOne vous permet de créer des politiques de correctifs qui recherchent et appliquent automatiquement les nouveaux correctifs du système d'exploitation sur vos terminaux Windows.

Consultez d'autres tutoriels dans notre vidéothèque.

Sélectionnez un sujet pour continuer.

Considérations importantes
Activation de la gestion des correctifs Windows
Configuration des paramètres de mise à jour du système d'exploitation
Affichage des analyses de correctifs du système d'exploitation et des tentatives d'installation
Configuration d'un serveur WSUS à utiliser avec les correctifs Windows

Considérations importantes

Anciennes versions de Windows

Microsoft ayant supprimé un point de terminaison obsolète du service Windows Update, Windows Vista et de nombreuses versions de Windows 7 et Windows Server 2008 ne prennent pas en charge la gestion des correctifs NinjaOne.

Vous pouvez mettre à jour les appareils fonctionnant sous Windows 7 SP1, Windows Server 2008 R2 SP1 et Windows Server 2008 SP2 pour qu'ils fonctionnent avec NinjaOne Patch Management. Reportez-vous à l'article Microsoft suivant pour plus d'informations : Fin de prise en charge des points de terminaison Windows Update basés sur SHA-1 pour les anciens appareils Windows (lien externe)

Messages système et options de contrôle

Lorsque l'application des correctifs du système d'exploitation est activée, un message indiquant « Certains paramètres sont gérés par votre organisation » peut s'afficher localement dans le programme de mise à jour Windows de la machine.

Lorsque la mise à jour du système d'exploitation est activée, l'option « Me proposer les mises à jour pour d'autres produits Microsoft lorsque je mets à jour Windows » peut ne pas être disponible dans les paramètres de Windows Update sur les machines locales. Vous pouvez gérer les mises à jour des produits Microsoft via l'outil de mise à jour tiers. Consultez

Figure 1: Administration → Politiques ( cliquez pour agrandir)

La page de configuration de la politique s'ouvre. Cliquez sur l'option Correctifs du système d'exploitation , puis activez le bouton d'activation/désactivation. NinjaOne n'applique pas les modifications tant que vous n'avez pas enregistré la politique.

Figure 2: Activation des correctifs du système d'exploitation ( cliquez pour agrandir)

Configurez les paramètres de mise à jour du système d'exploitation, puis cliquez sur Enregistrer. Reportez-vous à la section Configuration des paramètres de mise à jour du système d'exploitation de cet article pour plus d'informations.
- Une fois l'enregistrement effectué, NinjaOne déploie un exécutable personnalisé nommé NinjaOrbit.exe sur tous les terminaux concernés par la politique, ce qui permet de contrôler la gestion des correctifs pour ces machines.
- Une fois que les terminaux ont installé le fichier exécutable personnalisé, ils effectuent une analyse silencieuse. NinjaOne ne génère pas d'entrées dans le flux d'activité pour cette analyse silencieuse initiale.

Configuration des paramètres de mise à jour du système d'exploitation

Les paramètres situés dans la partie supérieure de la page « OS Patching » (Mises à jour du système d'exploitation) comprennent des options de configuration pour l'analyse, l'application des correctifs et l'exécution d'automatisations avant et après les mises à jour. Une fois votre configuration terminée, cliquez sur « Save » (Enregistrer) pour appliquer les nouveaux paramètres. Le tableau suivant décrit chaque paramètre.

Figure 3: Paramètres de mise à jour du système d'exploitation ( cliquez pour agrandir)

Utilisez le tableau ci-dessous pour en savoir plus sur chaque paramètre.

Paramètre	Description
Mode	NinjaOne propose deux modes pour la gestion des correctifs Windows : NinjaOne gère les correctifs du système d'exploitation: NinjaOne gère entièrement les calendriers d'analyse et de mise à jour des correctifs, les états d'approbation des catégories de correctifs et les dérogations aux correctifs. Nous recommandons ce mode pour garantir la conformité des correctifs sur tous les appareils concernés par la politique. Configurer les paramètres de Windows Update via NinjaOne: configurez NinjaOne pour qu'il applique les paramètres de Windows Update aux appareils via les paramètres du registre. Si vous sélectionnez ce paramètre, NinjaOne remplacera les autres options de configuration de mise à jour du système d'exploitation visibles par les options Windows Update suivantes : Télécharger les mises à jour recommandées, mais permettre à l'utilisateur de choisir quand les installer Télécharger les mises à jour recommandées et les installer selon un calendrier Informer l'utilisateur des mises à jour recommandées, mais ne pas les télécharger Désactiver Windows Update Si vous définissez votre stratégie sur « Configurer les paramètres de Windows Update via NinjaOne », NinjaOne ne peut pas installer les mises à jour de correctifs sur l'appareil.
Calendriers d'analyse et de mise à jour	Ces paramètres déterminent quand l'appareil recherchera les nouveaux correctifs disponibles et quand il appliquera ces mises à jour. Calendrier: utilisez le menu déroulant pour choisir la fréquence de l'analyse ou de la mise à jour. Jours: si votre intervalle de scan ou de mise à jour est supérieur à une fois par jour, sélectionnez les jours de la semaine où le système doit effectuer l'action. NinjaOne applique les correctifs aux appareils uniquement les jours choisis. Si vous ne sélectionnez aucun jour, le système affichera un message d'erreur. Heure et fuseau horaire: sélectionnez l'heure de la journée et le fuseau horaire approprié pour effectuer l'action. Par défaut, les analyses commencent à 8 h, heure locale de l'appareil, et les mises à jour commencent à 17 h, heure locale de l'appareil. Ces valeurs par défaut s'appliquent uniquement aux nouvelles politiques. Échelonnement : définissez un intervalle d'échelonnement pour répartir les heures d'installation des correctifs sur vos appareils et éviter les mises à jour simultanées. Pour plus d'informations, consultez NinjaOne Patch Management : Équilibrage de charge des installations de correctifs avec la fonctionnalité d'échelonnement. Durée: spécifiez la durée pendant laquelle les actions d'analyse ou de mise à jour s'exécuteront avant que NinjaOne ne les interrompe. Lancer l'analyse immédiatement en cas de manquement : sélectionnez cette option pour lancer immédiatement une analyse ou une mise à jour si le système manque une action planifiée. Réveil automatique du système: cette option met le système sous tension pour les cycles d'analyse et de mise à jour. Lorsqu'elle est activée, une fonction API Windows définit une heure de réveil pour les appareils en veille. Les minuteries de réveil doivent être activées sur le système pour que cette fonctionnalité fonctionne. Préparer les mises à jour avant le début prévu: cochez cette case pour que le système prépare et positionne les mises à jour avant l'heure prévue. Les mises à jour de pilotes ne prennent pas en charge la préparation préalable. Ignorer les connexions à débit limité: lorsqu'elle est activée, NinjaOne affiche une erreur dans le flux d'activité si un cycle de mise à jour est tenté sur un appareil utilisant une connexion à débit limité. Mode maintenance : Supprimer les notifications: cochez cette option pour empêcher NinjaOne d'envoyer des alertes provoquées par des actions survenant pendant la mise à jour (telles que les redémarrages d'appareils). Vous pouvez affiner ce paramètre en cochant les cases « Supprimer les alertes de condition » et « Supprimer les canaux de notification ». Reportez-vous à la section « Plateforme NinjaOne : Mode maintenance » pour plus d'informations.
Exécution pré-automatisation et post-automatisation	Ce paramètre vous permet d'ajouter des automatisations qui s'exécuteront avant (pré) ou après (post) l'installation du correctif. Utilisez des scripts de pré-application de correctifs pour valider les prérequis ou préparer le système avant le début de l'application des correctifs. Utilisez des scripts post-application pour effectuer des tâches de nettoyage ou de vérification par la suite. Cliquez sur Ajouter pour sélectionner des automatisations dans la bibliothèque d'automatisations. Reportez-vous à la section Politiques NinjaOne : Automatisations planifiées pour en savoir plus. Sélectionnez Annuler la mise à jour du correctif si le script pré-application renvoie un message d'échec pour annuler automatiquement la tâche de correction si le script pré-application échoue.
Notifications de mise à jour	Choisissez la manière dont NinjaOne informe les utilisateurs lorsqu'il doit mettre à jour un logiciel qu'il ne peut pas patcher en arrière-plan. Le paramètre actuel s'affiche sous forme de lien dans cette section. Cliquez sur le lien pour accéder aux options supplémentaires suivantes : Notifier l'utilisateur, puis fermer le logiciel et effectuer la mise à jour Fermer automatiquement le logiciel et effectuer la mise à jour Ne pas fermer les logiciels ouverts
Options de redémarrage : utilisateur connecté	Ces paramètres vous permettent de définir le comportement de redémarrage et les invites pour les utilisateurs connectés à un appareil récemment corrigé : Demander le redémarrage jusqu'à ce qu'il soit accepté: NinjaOne affichera un message à l'écran invitant l'utilisateur à redémarrer et à laisser la mise à jour se terminer. Utilisez les options de planification pour déterminer la fréquence des invites. Cochez la case « Forcer le redémarrage après » pour définir le nombre de messages d'invite avant que NinjaOne ne redémarre automatiquement l'appareil. Cochez la case « Boîte de dialogue de redémarrage personnalisée » pour remplacer le message par défaut par votre propre texte. Notifier l'utilisateur, puis redémarrer: choisissez cette option pour envoyer une notification à l'utilisateur, puis redémarrer automatiquement la machine et terminer la mise à jour. Reportez-vous à NinjaOne Endpoint Management : Canaux de notification et alertes pour plus d'informations. Utilisez les options de planification pour déterminer combien de temps NinjaOne doit attendre avant d'envoyer la notification et de déclencher le redémarrage. Redémarrer automatiquement: cette option indique à NinjaOne de redémarrer l'appareil une fois l'installation de la mise à jour terminée. Utilisez les options de planification pour déterminer combien de temps NinjaOne doit attendre avant de redémarrer l'appareil. Ne rien faire: NinjaOne n'effectuera aucune action de redémarrage automatique sur l'appareil. Période: si vous avez sélectionné Demander à l'utilisateur de redémarrer jusqu'à ce que le redémarrage soit accepté, utilisez ces champs pour spécifier la fréquence des invites. Cochez la case pour forcer un redémarrage après un nombre spécifique d'invites. Boîte de dialogue de redémarrage: cochez cette case pour ajouter un texte personnalisé à la demande de redémarrage. Si un utilisateur final interagit avec une invite de redémarrage, NinjaOne affichera une activité dans le flux d'activité. Reportez-vous à la section Flux de notifications d'activité des appareils et du système pour plus d'informations.
Options de redémarrage : Aucun utilisateur connecté	Ces paramètres vous permettent de définir le comportement de redémarrage et d'invite pour les appareils récemment mis à jour sur lesquels aucun utilisateur n'est connecté : Tenter de redémarrer jusqu'à ce que l'opération aboutisse: NinjaOne continuera à tenter de redémarrer l'appareil, même en cas d'échec, jusqu'à ce que l'action soit terminée. Utilisez les options de planification pour déterminer la fréquence des tentatives de redémarrage. Redémarrer immédiatement: NinjaOne redémarrera l'appareil lorsque la mise à jour sera prête. Ne rien faire: NinjaOne n'entreprendra aucune action pour redémarrer l'appareil.

Configuration des paramètres d'approbation et de remplacement

Les paramètres situés dans la partie inférieure de la page « OS Patching » (Mises à jour du système d'exploitation) comprennent des options permettant de :

Définir des approbations automatiques pour les mises à jour de sécurité et les mises à jour générales.
Définir des états d'approbation avancés pour les pilotes de périphériques et les fonctionnalités Windows.
Activer les remplacements d'approbation de Patch Intelligence AI.
Ajouter des dérogations d'approbation à la stratégie de mise à jour.

Options de configuration des approbations

Chaque type de correctif dispose des options d'approbation suivantes : Approuver, Manuel et Refuser.

Approuver: cette option approuve automatiquement tous les correctifs de cette catégorie pour qu'ils soient installés lors du prochain cycle de mise à jour.
Manuel: lorsqu'ils sont détectés, les correctifs de cette catégorie apparaissent en attente, nécessitant une approbation ou un rejet manuel (soit pour l'appareil, soit pour l'ensemble de la politique).
Rejeter: cette option rejette automatiquement tous les correctifs de cette catégorie, de sorte que NinjaOne ne les installera pas sur l'appareil.

Figure 4: Paramètres de correctifs du système d'exploitation ( cliquez pour agrandir)

Utilisez le tableau ci-dessous pour en savoir plus sur chaque paramètre.

Paramètre	Description
Approbations des mises à jour de sécurité	Configurez les paramètres d'approbation pour les vulnérabilités liées à la sécurité spécifiques à un produit. Microsoft classe les vulnérabilités de sécurité dans son bulletin de sécurité en quatre catégories : Critique, Important, Modéré ou Faible. Nous vous recommandons d'appliquer immédiatement les correctifs de niveau Critique et Important. Pour les correctifs de niveau Modéré, nous vous conseillons de lire l'article de la base de connaissances correspondant avant d'appliquer le correctif. Cliquez sur Modifier pour configurer NinjaOne afin qu'il approuve, rejette ou exige automatiquement une approbation manuelle des correctifs.
Approbations générales	Configurez les paramètres d'approbation pour les bogues non liés à la sécurité selon la catégorie désignée par Microsoft. Reportez-vous à l'article de Microsoft sur la terminologie des mises à jour logicielles (lien externe) pour plus d'informations. Cliquez sur Modifier pour définir les paramètres suivants : Correctifs/mises à jour importants: définissez chaque catégorie sur Approuver, Rejeter, Manuel ou Approuver après un délai spécifié, en jours. Nous vous recommandons de définir les mises à jour importantes sur Approuver, ce qui permet à NinjaOne d'appliquer automatiquement tous les correctifs. Correctifs/mises à jour facultatifs: définissez chaque catégorie sur Approuver, Rejeter ou Manuel. Nous vous recommandons de définir les correctifs et mises à jour facultatifs sur Rejeter. De nombreux correctifs facultatifs nécessitent une intervention de l'utilisateur, ce qui entraînera l'échec de l'installation s'ils sont exécutés à partir de la gestion des correctifs Web. Ces correctifs restent disponibles sur des machines spécifiques si vous souhaitez les appliquer.
Approbations avancées	Activez et définissez le statut d'approbation pour les pilotes de périphériques et les mises à jour des fonctionnalités Windows. Cliquez sur Modifier dans cette section pour activer ou désactiver les approbations avancées. Activer les pilotes : définissez une action par défaut pour les mises à jour approuvées par le fabricant concernant les pilotes de périphériques installés. Activer les mises à niveau de fonctionnalités: les mises à jour de fonctionnalités désignent des ajouts et des modifications importants, qui peuvent inclure des mises à niveau complètes de la version de Windows. Nous recommandons les paramètres suivants, sauf si votre cas d'utilisation nécessite une configuration différente : Correctifs importants: définissez sur « Approuver », ce qui permet à NinjaOne d'appliquer automatiquement tous les correctifs. Correctifs facultatifs: définissez sur Rejeter. De nombreux correctifs facultatifs nécessitent une intervention de l'utilisateur, ce qui entraînera l'échec de l'installation si celle-ci est effectuée via la gestion automatisée des correctifs. Comme méthode alternative pour déployer les mises à jour de fonctionnalités, vous pouvez installer le script personnalisé suivant : Script personnalisé : Mise à niveau de la version de Windows 10.
Remplacement des approbations de Patch Intelligence AI	Activez les modifications de statut d'approbation pour les correctifs que l'IA Patch Intelligence considère comme des problèmes connus, ou pour les correctifs ayant un statut « Attention ». Reportez-vous à NinjaOne Patching : Patch Intelligence AI pour en savoir plus.
Remplacements d'approbation	Configurez NinjaOne pour qu'il passe outre votre politique de correctifs pour des correctifs spécifiques. Cliquez sur Ajouter pour ouvrir la fenêtre Modifier les dérogations d'approbation , puis recherchez le nom du correctif. Utilisez le deuxième menu déroulant pour choisir d'approuver ou de rejeter le correctif. Exemples de scénarios dans lesquels des correctifs apparaîtraient dans la section Remplacements: Si l'approbation de la catégorie est définie sur Manuel, et que vous approuvez ou rejetez ensuite le correctif pour la politique. Si l'approbation de catégorie est définie sur Approuver, et que vous rejetez ensuite manuellement le correctif pour la politique. Si l'approbation de catégorie est définie sur Rejeter, et que vous approuvez ensuite manuellement le correctif pour la politique. Les correctifs dont vous choisissez de remplacer le statut apparaissent dans la section Remplacements. Cliquez sur Ajouter dans le champ Remplacements pour ajouter ou supprimer des remplacements selon vos besoins. Faites preuve de prudence lorsque vous consultez la page Remplacements de la politique de correctifs avec des filtres activés. Si vous utilisez un filtre puis cliquez sur le bouton Tout effacer, cette action effacera tous les remplacements (rejetés et approuvés), et pas seulement ceux qui sont filtrés.

Affichage des analyses de correctifs du système d'exploitation et des tentatives d'installation

Vous pouvez afficher les correctifs détectés et les correctifs installés dans Tableau de bord → Correctifs → Correctifs du système d'exploitation. Utilisez le menu déroulant pour filtrer par statut de correctif (En attente, Approuvé, Rejeté, Installé ou Échec).

Lorsqu'un correctif tente de s'installer au cours d'un cycle de mise à jour, le système l'enregistre dans l'onglet Correctifs du système d'exploitation du tableau de bord comme « Installé » ou « Échec ».

Figure 5: Tableau de bord → Mises à jour → Correctifs du système d'exploitation ( cliquez pour agrandir)

Affichage des appareils concernés par un correctif

Au niveau du tableau de bord Système ou Organisation , vous pouvez cliquer sur le nombre dans la colonne Appareils pour générer une liste des appareils auxquels s'applique le statut du correctif. Par exemple, cliquer sur le nombre correspondant à un correctif dans l'onglet Approuvé affiche les appareils pour lesquels NinjaOne l'a approuvé, mais ne l'a pas encore installé.

Figure 6: La liste des correctifs dans le tableau de bord (cliquez pour agrandir)

Configuration d'un serveur WSUS à utiliser avec les correctifs Windows

Un serveur WSUS (Windows Server Update Services) peut contribuer à réduire le trafic réseau lié à l'application des correctifs.

Assurez-vous que les objets de stratégie de groupe (GPO) WSUS sont désactivés lorsque vous utilisez les stratégies NinjaOne. Sinon, NinjaOne s'en remettra aux paramètres GPO. Assurez-vous également que l'application des correctifs est activée au niveau de la stratégie.

Dans NinjaOne, cliquez surAdministration→Organisations, puis choisissez une organisation dans la liste.

Figure 7: Administration → Organisations (cliquez pour agrandir)

Cliquez sur l'onglet Configuration des correctifs, puis sur Modifier.

Figure 8: Application de correctifs → Paramètres WSUS ( cliquez pour agrandir)

La fenêtre Paramètres WSUS s'ouvre. Cliquez sur Utiliser le serveur WSUS suivant, puis utilisez le champ Adresse IP/Nom DNS pour cibler le serveur. Cette action réinitialise les clés de registre actuelles dans Windows Update et configure le serveur WSUS.
- Si l'agent NinjaOne est installé sur le serveur WSUS: cliquez sur Sélectionner, puis choisissez le serveur WSUS dans la liste.
- Si l'agent NinjaOne n'est pas installé sur le serveur WSUS: saisissez son adresse IP ou son nom DNS.

Configurez votre protocole et votre port, puis indiquez si vous souhaitez utiliser le serveur de mise à jour par défaut de Microsoft si WSUS n'est pas accessible pour l'application des correctifs. Une fois terminé, cliquez sur Enregistrer. Vos nouveaux paramètres WSUS s'afficheront dans l'interface utilisateur.

Figure 9: Fenêtre Paramètres WSUS ( cliquez pour agrandir)

Activation du serveur WSUS par emplacement

Vous pouvez configurer des serveurs WSUS à différents emplacements afin d'optimiser la bande passante et la vitesse de fourniture des services.

Dans l'éditeur d'organisation, cliquez sur l'onglet Emplacements, puis sur Ajouter un emplacement.

Figure 10: Emplacements → Ajouter un emplacement ( cliquez pour agrandir)

Dans la fenêtre Ajouter un emplacement, sélectionnez WSUS, puis cliquez sur Utiliser les paramètres au niveau de l'organisation. Le serveur utilisera les paramètres WSUS que vous avez précédemment configurés.

Figure 11: La fenêtre Ajouter un emplacement ( cliquez pour agrandir)

Utilisation d'autres paramètres de serveur WSUS basés sur l'emplacement

Vous pouvez définir des paramètres spécifiques à un appareil pour un serveur WSUS situé à un autre emplacement.

Utiliser le serveur de mise à jour Microsoft par défaut: cliquez sur cette option pour utiliser le serveur de mise à jour Microsoft par défaut. Si vous choisissez cette option, NinjaOne réinitialisera les paramètres existants et s'assurera que l'appareil utilise le cloud pour l'application des correctifs. NinjaOne n'appliquera pas de correctifs aux appareils via un serveur WSUS.
Utiliser le serveur WSUS suivant: sélectionnez cette option pour configurer ces paramètres pour l'emplacement. Une fois sélectionnée, des paramètres supplémentaires s'affichent dans la fenêtre Ajouter un emplacement. Configurez l'adresse IP/le nom DNS, le protocole et le port. Cochez la case Utiliser le serveur de mise à jour par défaut si WSUS n'est pas disponible pour recevoir les mises à jour directement de Microsoft si le système ne parvient pas à atteindre votre serveur WSUS.

Figure 12: Configuration WSUS spécifique à l'emplacement ( cliquez pour agrandir)

NinjaOne Patching : Gestion des correctifs pour le système d’exploitation Windows