Configurer Windows Update par GPO¶

Pourquoi controler Windows Update ?¶

Imaginez un robinet d'eau. Sans GPO, ce robinet est grand ouvert : Windows telecharge et installe les mises a jour quand Microsoft le decide, sans vous demander votre avis.

Ca peut sembler pratique a la maison. Mais en entreprise, c'est une catastrophe.

Le scenario cauchemar¶

Lundi matin, 9h30. La directrice financiere est en pleine cloture trimestrielle. Son PC affiche soudain : "Redemarrage dans 15 minutes pour terminer l'installation des mises a jour".

Elle n'a rien demande. Elle n'a rien valide. Et elle ne peut rien faire pour l'empecher.

Maintenant, imaginez la meme chose sur 200 postes en meme temps. Cloture trimestrielle, redemarrages en cascade, fichiers Excel non sauvegardes, reunion Teams coupee en plein milieu.

C'est exactement ce qui arrive quand Windows Update n'est pas controle par GPO.

Les trois risques concrets¶

L'analogie du robinet¶

Sans GPO, c'est un robinet sans vanne : l'eau coule quand le fournisseur le decide. Vous ne choisissez ni le debit, ni l'horaire.

Avec GPO, vous installez une vanne sur le robinet. L'eau (les mises a jour) arrive toujours, mais vous decidez :

• Quand elle coule (la nuit, le week-end)
• A quel debit (un petit groupe d'abord, puis tout le monde)
• Par quel tuyau elle passe (votre serveur local plutot qu'Internet)

Les deux approches : WSUS vs Windows Update for Business¶

Il existe deux strategies principales pour controler Windows Update par GPO. Chacune a ses forces et ses limites.

WSUS : le serveur local¶

WSUS (Windows Server Update Services) est un serveur que vous installez dans votre reseau. Il telecharge les mises a jour depuis Microsoft une seule fois, puis les redistribue a vos postes en local.

C'est comme une citerne d'eau dans votre immeuble. Le fournisseur remplit la citerne une fois, et chaque appartement se sert directement dedans. Pas besoin que chaque robinet aille chercher l'eau a la source.

WUfB : le cloud de Microsoft¶

WUfB (Windows Update for Business) est une approche plus recente. Pas de serveur a installer : vous configurez des regles de report directement par GPO, et les postes telechargent les mises a jour depuis Microsoft, mais selon votre calendrier.

C'est comme garder le robinet connecte au reseau public, mais en installant un programmateur horaire dessus.

Comparaison cote a cote¶

Le flux visuel des deux approches¶

flowchart TD
    MS["<b>Microsoft Update</b><br>Serveurs de mises a jour"]

    subgraph wsus["Approche WSUS"]
        direction TB
        W["<b>Serveur WSUS</b><br>Telecharge et stocke<br>les mises a jour"]
        C1["<b>Poste 1</b>"]
        C2["<b>Poste 2</b>"]
        C3["<b>Poste 3</b>"]
        W --> C1
        W --> C2
        W --> C3
    end

    subgraph wufb["Approche WUfB"]
        direction TB
        P1["<b>Poste A</b><br>Report : 0 jours"]
        P2["<b>Poste B</b><br>Report : 14 jours"]
        P3["<b>Poste C</b><br>Report : 30 jours"]
    end

    MS -->|"1 seul telechargement"| W
    MS -->|"Telechargement direct"| P1
    MS -->|"Telechargement direct"| P2
    MS -->|"Telechargement direct"| P3

    style MS fill:#4dabf7,color:#fff
    style W fill:#748ffc,color:#fff
    style C1 fill:#51cf66,color:#fff
    style C2 fill:#51cf66,color:#fff
    style C3 fill:#51cf66,color:#fff
    style P1 fill:#f59f00,color:#fff
    style P2 fill:#f59f00,color:#fff
    style P3 fill:#f59f00,color:#fff

A gauche, WSUS : Microsoft envoie les mises a jour une seule fois au serveur WSUS, qui les redistribue aux postes en local. A droite, WUfB : chaque poste telecharge directement depuis Microsoft, mais selon un calendrier de report different.

Configurer un serveur WSUS via GPO¶

Si votre entreprise dispose d'un serveur WSUS, voici comment rediriger les postes vers ce serveur par GPO. On ne couvre pas l'installation du serveur WSUS lui-meme (c'est un sujet a part entiere), mais uniquement la configuration cote client.

Le chemin dans l'editeur de GPO¶

Tous les parametres Windows Update se trouvent au meme endroit :

Configuration ordinateur > Strategies > Modeles d'administration > Composants Windows > Windows Update

C'est un dossier assez fourni. Ne vous laissez pas impressionner par le nombre de parametres : on va se concentrer sur les essentiels.

Les parametres WSUS essentiels¶

Les options de la mise a jour automatique¶

Le parametre Configuration du service Mises a jour automatiques propose quatre comportements :

Tableau recapitulatif des parametres WSUS¶

Reporter les mises a jour de fonctionnalites¶

Si vous avez choisi l'approche WUfB (sans serveur WSUS), c'est ici que ca se passe. On commence par les mises a jour de fonctionnalites -- les grosses mises a jour annuelles comme 23H2, 24H2, etc.

Pourquoi reporter ?¶

Les mises a jour de fonctionnalites sont des mises a jour majeures. Elles changent des elements de l'interface, ajoutent de nouvelles fonctionnalites, et peuvent modifier le comportement de certains logiciels.

Le probleme : ces mises a jour ne sont pas toujours stables le jour de leur sortie. Des bugs, des incompatibilites avec certains pilotes ou logiciels, des problemes d'impression... Les premieres semaines apres la sortie d'une mise a jour majeure sont souvent mouvementees.

C'est comme un nouveau modele de voiture. Vous ne voulez pas etre le premier acheteur -- vous preferez attendre quelques mois pour que les rappels constructeur soient passes et que les premiers bugs soient corriges.

Configurer le report¶

La strategie des anneaux de deploiement¶

Ne deployez jamais une mise a jour majeure sur tous les postes en meme temps. Utilisez une strategie par anneaux (rings) :

Implementer les anneaux par GPO¶

Creez trois GPO distinctes, une par anneau :

1. CFG-Postes-WUfB-Ring0-IT : report de 0 jours, liee a l'OU des postes IT
2. CFG-Postes-WUfB-Ring1-Pilote : report de 14 jours, liee a l'OU des postes pilotes
3. CFG-Postes-WUfB-Ring2-Production : report de 30 jours (ou plus), liee a l'OU de production

Chaque GPO contient le meme parametre, avec une valeur de report differente. Simple, clair, efficace.

Reporter les mises a jour qualite¶

Les mises a jour de qualite sont les correctifs de securite mensuels. Elles sont plus petites, plus frequentes, et generalement moins risquees que les mises a jour de fonctionnalites.

Mais "moins risquees" ne veut pas dire "sans risque". Certains Patch Tuesday ont cause des ecrans bleus, des problemes d'impression, ou des lenteurs sur certains modeles de PC.

Configurer le report¶

Recommandations de report¶

Empecher le redemarrage automatique¶

C'est le parametre le plus demande par les utilisateurs. Et on les comprend : rien de pire qu'un PC qui redemarre tout seul en plein milieu d'un travail important.

Windows a tendance a etre insistant. Apres l'installation d'une mise a jour, il veut redemarrer. Et si vous ne le faites pas, il finit par le faire a votre place.

Les GPO permettent de civiliser ce comportement.

Les heures d'activite¶

Le premier reflexe : definir les heures d'activite (Active Hours). Pendant ces heures, Windows s'interdit de redemarrer automatiquement.

Le parametre anti-redemarrage force¶

Le parametre le plus direct pour empecher les redemarrages en presence d'un utilisateur connecte :

Tableau complet des parametres de redemarrage¶

Configurer les notifications¶

Les notifications de mises a jour sont ce que l'utilisateur voit a l'ecran. Trop de notifications, c'est agacant. Pas assez, et l'utilisateur ne sait pas que son PC a besoin d'un redemarrage depuis 3 semaines.

Les differents types de notification¶

Windows peut notifier l'utilisateur a quatre moments differents :

Configurer les notifications de redemarrage¶

Verifier l'etat des mises a jour sur un poste¶

Vous avez configure vos GPO. Maintenant, comment savoir si un poste a bien recu les parametres et applique les mises a jour ?

Verifier la configuration WSUS dans le registre¶

Les parametres de Windows Update sont stockes dans le registre. Voici comment les consulter avec PowerShell :

# Check the WSUS configuration applied by GPO
Get-ItemProperty "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" |
    Select-Object WUServer, WUStatusServer, DoNotConnectToWindowsUpdateInternetLocations

WUServer                                    : http://wsus.labo.local:8530
WUStatusServer                              : http://wsus.labo.local:8530
DoNotConnectToWindowsUpdateInternetLocations : 1

Si les valeurs correspondent a ce que vous avez configure dans la GPO, c'est bon. Si le chemin de registre n'existe pas, la GPO n'a pas ete appliquee.

Verifier les parametres de mise a jour automatique¶

# Check the automatic update configuration
Get-ItemProperty "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" |
    Select-Object NoAutoUpdate, AUOptions, ScheduledInstallDay, ScheduledInstallTime, NoAutoRebootWithLoggedOnUsers

NoAutoUpdate                  : 0
AUOptions                     : 3
ScheduledInstallDay           : 0
ScheduledInstallTime          : 3
NoAutoRebootWithLoggedOnUsers : 1

Verifier les reports WUfB¶

# Check WUfB deferral settings
Get-ItemProperty "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" |
    Select-Object DeferFeatureUpdates, DeferFeatureUpdatesPeriodInDays,
                  DeferQualityUpdates, DeferQualityUpdatesPeriodInDays

DeferFeatureUpdates             : 1
DeferFeatureUpdatesPeriodInDays : 30
DeferQualityUpdates             : 1
DeferQualityUpdatesPeriodInDays : 7

Verifier les GPO appliquees¶

La commande classique pour voir quelles GPO sont en vigueur :

gpresult /r /scope:computer

Cherchez votre GPO Windows Update dans la section Objets de strategie de groupe appliques. Si elle n'y est pas, verifiez le lien dans la GPMC.

Lire le journal Windows Update¶

Pour un diagnostic plus detaille, consultez le journal Windows Update :

# Generate the Windows Update log (Windows 10/11)
Get-WindowsUpdateLog

Cette commande genere un fichier WindowsUpdate.log sur le bureau. Ouvrez-le dans un editeur de texte et cherchez les mots-cles WSUS, Deferral, ou Error pour comprendre ce qui se passe.

Scenario complet : deployer une politique Windows Update¶

On va maintenant tout assembler dans un exercice de bout en bout. L'objectif : creer et deployer une GPO Windows Update complete, de la creation a la verification.

L'objectif¶

Creer une GPO nommee CFG-Postes-WindowsUpdate qui :

• Redirige les postes vers un serveur WSUS (ou configure un report WUfB)
• Definit les heures d'activite de 8h00 a 18h00
• Empeche le redemarrage automatique avec un utilisateur connecte
• Configure les notifications de redemarrage
• Fixe une date limite de redemarrage a 7 jours

Etape par etape¶

gpupdate /force

# Verify the WSUS or WUfB configuration
Get-ItemProperty "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" |
    Format-List

# Verify the automatic update behavior
Get-ItemProperty "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" |
    Format-List

gpresult /r /scope:computer

RESULTAT ORDINATEUR
-------------------

    Objets de strategie de groupe appliques
    ----------------------------------------
        CFG-Postes-WindowsUpdate
        Default Domain Policy

Erreurs courantes¶

Meme avec un bon guide, certaines erreurs reviennent regulierement. Les voici, avec la solution pour chacune.

Erreur 1 : URL WSUS incorrecte¶

Symptome : les postes ne trouvent pas le serveur WSUS. Les mises a jour ne se telechargent pas.

Causes possibles :

• Faute de frappe dans l'URL (htpp:// au lieu de http://)
• Mauvais port (8530 vs 80)
• Le nom du serveur n'est pas resolvable par DNS

Solution : verifiez l'URL dans le registre du poste client, puis testez la connexion :

# Test the WSUS server connectivity
Test-NetConnection -ComputerName wsus.labo.local -Port 8530

ComputerName     : wsus.labo.local
RemotePort       : 8530
TcpTestSucceeded : True

Si TcpTestSucceeded est False, le poste ne peut pas joindre le serveur WSUS. Verifiez le DNS, le pare-feu et le port.

Erreur 2 : parametre non active¶

Symptome : la GPO est liee, mais les postes continuent de telecharger depuis Microsoft.

Cause : le parametre Specifier l'emplacement intranet du service de mise a jour Microsoft est configure mais reste en etat "Non configure". L'administrateur a renseigne l'URL sans cliquer sur le bouton Active.

Solution : rouvrez le parametre dans l'editeur de GPO et verifiez que le bouton Active est bien selectionne.

Erreur 3 : heures d'activite trop etroites¶

Symptome : les postes redemarrent a 18h01, alors que certains employes travaillent jusqu'a 19h00.

Cause : les heures d'activite sont definies de 8h00 a 18h00, mais certains employes ont des horaires decales.

Solution : elargissez la plage a 7h00 - 20h00 (13 heures) ou combinez avec le parametre Pas de redemarrage automatique avec des utilisateurs connectes pour une protection supplementaire.

Erreur 4 : reports non testes¶

Symptome : une mise a jour de fonctionnalites se deploie sur tous les postes alors que des reports sont configures.

Cause : les reports WUfB sont configures dans la GPO, mais la GPO est liee a la mauvaise OU, ou une autre GPO plus prioritaire ecrase les parametres.

Solution : utilisez gpresult /h C:\diag.html pour voir quelle GPO "gagne" pour les parametres Windows Update. Verifiez l'ordre de priorite des GPO liees a l'OU.

Erreur 5 : conflit entre WSUS et WUfB¶

Symptome : comportement imprevisible des mises a jour. Certains postes utilisent WSUS, d'autres telechargent depuis Microsoft.

Cause : deux GPO differentes s'appliquent au meme poste : l'une configure WSUS, l'autre configure WUfB. Les parametres entrent en conflit.

Solution : choisissez une seule approche par groupe de postes. Si vous utilisez WSUS, ne configurez pas de reports WUfB sur les memes postes, et inversement.

Recapitulatif du chapitre¶

Voici un tableau recapitulatif de tous les parametres Windows Update couverts dans ce chapitre :

Et maintenant ?¶

Vos postes sont maintenant proteges contre les redemarrages sauvages et les mises a jour non controlees. Mais Windows Update n'est qu'un des nombreux parametres que vous pouvez configurer par GPO.

Dans le prochain chapitre, on va decouvrir un outil meconnu mais extremement puissant : les preferences de strategie de groupe. Contrairement aux parametres classiques (qui imposent des regles), les preferences permettent de deployer des valeurs de registre, des raccourcis, des lecteurs reseau et bien plus encore -- avec une flexibilite que les parametres classiques n'offrent pas.

Chapitre suivant : Les preferences de registre par GPO -- Deployer des valeurs de registre, des raccourcis et des fichiers avec les preferences de strategie de groupe.