Si vous souhaitez lire la deuxième partie de cette série d’articles, veuillez vous rendre sur Clés de registre pour le réglage de Windows Update (partie 2).
Bien que Windows Update et WSUS soient tous deux généralement assez simples à configurer, vous pouvez parfois obtenir un niveau de contrôle plus élevé sur eux en apportant quelques modifications mineures au registre de Windows. Dans cet article, je vais vous montrer certaines clés de registre associées à Windows Update. Ce faisant, je vous montrerai les différents paramètres que vous pouvez attribuer à ces clés de registre.
Avant de commencer
Avant de commencer, je dois contenter les avocats en vous disant que la modification du registre de Windows peut être dangereuse. Une modification incorrecte du registre peut détruire Windows et / ou vos applications. Je vous recommande donc fortement d’effectuer une sauvegarde complète du système avant d’essayer l’une des techniques que je suis sur le point de vous montrer.
Maintenant que je me suis débarrassé de l’avertissement standard, il y a une autre chose que je dois vous dire avant de commencer. Les modifications du registre que je vais vous montrer sont destinées aux machines fonctionnant sous Windows XP. Vous pouvez appliquer les modifications à des machines individuelles directement, ou vous pouvez appliquer des modifications dans le cadre d’un script de connexion. De plus, certaines des clés dont je vais vous parler peuvent ne pas exister par défaut. Si vous souhaitez utiliser une clé qui n’existe pas, vous devrez la créer. Vous devez également garder à l’esprit que le comportement de Windows Update peut être contrôlé par une stratégie de groupe, et que si une stratégie de groupe est en vigueur, elle peut entraîner l’écrasement de portions du registre après que vous ayez effectué des modifications.
Élévation de privilèges
L’un des problèmes de la réception de mises à jour à partir d’un serveur WSUS est que les utilisateurs ne sont pas autorisés à approuver ou à désapprouver les mises à jour, à moins qu’ils ne soient membres du groupe des administrateurs locaux. Cependant, vous pouvez utiliser le registre pour donner aux utilisateurs une élévation de privilèges qui leur permettra d’approuver ou de désapprouver les mises à jour, qu’ils soient ou non un administrateur local. À l’inverse, vous pouvez également refuser aux utilisateurs finaux la possibilité d’approuver les mises à jour, réservant ce droit aux administrateurs.
La clé de registre qui contrôle ce comportement est : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ElevateNonAdmins
La clé ElevateNonAdmins a deux valeurs possibles. La valeur par défaut de 1 permet aux non administrateurs d’approuver ou de refuser les mises à jour. Si vous changez cette valeur à 0, alors seuls les administrateurs seront autorisés à approuver ou à refuser les mises à jour.
Groupes cibles
L’une des choses intéressantes de WSUS est qu’il vous permet d’utiliser le ciblage côté client. L’idée derrière le ciblage côté client est que vous pouvez configurer différents groupes d’ordinateurs, et vous pouvez déployer des mises à jour sur une base de groupe. Le ciblage côté client n’est pas utilisé par défaut, mais si vous décidez de l’utiliser, vous devrez créer deux clés de registre différentes. L’une de ces clés active le ciblage côté client, tandis que l’autre spécifie le nom du groupe cible auquel l’ordinateur appartient. Ces deux clés de registre doivent être créées dans : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\
La première clé est une clé DWORD nommée TargetGroupEnabled. Vous pouvez attribuer à cette clé une valeur de 0, qui désactive le ciblage côté client, ou de 1, qui active le ciblage côté client.
L’autre clé que vous devrez créer est une valeur de type chaîne nommée TargetGroup. La valeur que vous attribuerez à cette clé est le nom du groupe cible auquel l’ordinateur doit être affecté.
Assignation d’un serveur WSUS
Si vous avez été impliqué dans les réseaux pendant un certain temps, alors vous savez probablement que les conceptions de réseau ont tendance à changer au fil du temps. Des choses comme la croissance de l’entreprise, les nouvelles exigences de sécurité et les restructurations d’entreprise obligent souvent le réseau sous-jacent à changer. Quel est donc le rapport avec Windows Update ? Eh bien, WSUS est évolutif et peut être déployé de manière hiérarchique. Cela signifie qu’une organisation peut avoir une multitude de serveurs WSUS déployés. Si un PC est déplacé dans une autre partie de l’entreprise, le serveur WSUS pour lequel il a été initialement configuré peut ne plus être adapté à son nouvel emplacement. Heureusement, quelques modifications simples du registre peuvent être utilisées pour changer le serveur WSUS à partir duquel le PC reçoit ses mises à jour.
Il existe en fait deux clés de registre qui sont utilisées lors de la spécification d’un serveur WSUS. Ces deux clés sont situées à : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\. La première clé s’appelle WUServer. Cette clé de registre contient une valeur de chaîne qui doit être saisie comme l’URL du serveur WSUS (exemple : http://servername).
L’autre clé que vous devrez modifier est une valeur de chaîne nommée WUStatusServer. L’idée derrière cette clé est que le PC doit signaler son état à un serveur WSUS afin que ce dernier sache quelles mises à jour ont été appliquées au PC. La clé WUStatusServer contient normalement exactement la même valeur que la clé WUServer (exemple : http://servername).
L’agent de mise à jour automatique
Jusqu’à présent, j’ai parlé de la manière de connecter le PC à un serveur WSUS spécifique ou à un groupe cible spécifique, mais ce n’est que la moitié du processus. Windows Update utilise un agent de mise à jour qui installe réellement les mises à jour. Il existe un certain nombre de clés de registre situées dans HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU qui contrôlent l’agent de mise à jour automatique.
La première de ces clés est la clé AUOptions. Cette valeur DWORD peut se voir attribuer une valeur de 2, 3, 4 ou 5. Une valeur de 2 indique que l’agent doit avertir l’utilisateur avant de télécharger les mises à jour. Une valeur de 3 indique que les mises à jour seront automatiquement téléchargées et que l’utilisateur sera informé de leur installation. Une valeur de 4 indique que les mises à jour doivent être automatiquement téléchargées et installées selon un calendrier. Pour que cette option fonctionne, les clés ScheduledInstallDay et ScheduledInstallTime doivent également être définies. Je parlerai davantage de ces clés plus tard. Enfin, une valeur de 5 indique que les mises à jour automatiques sont nécessaires, mais qu’elles peuvent être configurées par les utilisateurs finaux.
La prochaine clé dont je veux parler est la clé AutoInstallMinorUpdates. Cette clé peut être définie sur une valeur de 0 ou 1. Si la clé est définie à 0, alors les mises à jour mineures sont traitées comme n’importe quelle autre mise à jour. Si la valeur de la clé est fixée à 1, alors les mises à jour mineures sont installées silencieusement en arrière-plan.
Une autre clé liée à l’agent de mise à jour automatique est la clé DetectionFrequency. Cette clé vous permet de spécifier la fréquence à laquelle l’agent recherche les mises à jour. La valeur de la clé doit être un nombre entier compris entre 1 et 22, et indique le nombre d’heures entre chaque tentative de détection.
Une clé de registre connexe est la clé DetectionFrequencyEnabled. Comme son nom l’indique, cette clé active ou désactive la fonction de fréquence de détection. La définition de cette clé à une valeur de 0 fait que la clé DetectionFrequency est ignorée, tandis que la définition d’une valeur de 1 fait que l’agent utilise la valeur DetectionFrequency.
La clé suivante dont je veux parler est la clé NoAutoUpdate. Si la valeur de cette clé est fixée à 0, alors les mises à jour automatiques sont activées. Si la valeur de la clé est définie sur 1, alors les mises à jour automatiques sont désactivées.
La dernière clé de registre dont je veux parler est la clé NoAutoRebootWithLoggedOnUsers. Comme vous le savez probablement, certaines mises à jour ne peuvent tout simplement pas être appliquées sans redémarrer le système. Si un utilisateur est connecté, un redémarrage imposé par le système peut être très perturbant. Cela est particulièrement vrai si l’utilisateur a quitté son bureau sans sauvegarder son travail. C’est là que la clé NoAutoRebootWithLoggedOnUsers entre en jeu. La valeur 0 ou 1 peut être attribuée à cette clé. Si la valeur est 0, les utilisateurs recevront un avertissement de cinq minutes, puis le système redémarrera automatiquement. Si la valeur est définie à 1, alors les utilisateurs recevront simplement un message leur demandant de redémarrer leur système, mais ils peuvent redémarrer à leur guise.
Conclusion
Il y a un tas d’autres clés de registre liées à la mise à jour de Windows. J’aborderai le reste d’entre elles dans la deuxième partie de cette série d’articles.
Si vous souhaitez lire la deuxième partie de cette série d’articles, veuillez vous rendre sur Clés de registre pour le réglage de la mise à jour de Windows (partie 2).