Articles

Nettoyer les correctifs obsolètes de la BD WSUS

Résumé

L’article décrit les étapes nécessaires pour supprimer les anciens paquets tiers créés par le Software Vulnerability Manager de votre serveur WSUS local. Bien que cette référence soit utile est conçue pour vous aider dans votre installation de SVM, vous devriez rediriger toute question sur WSUS vers les forums de Microsoft.

Synopsis

Avec l’utilisation du SVM2018 au fil du temps, le nombre de paquets créés commence à s’empiler et à prendre un espace disque précieux sur le serveur qui facilite le rôle WSUS.

Malheureusement, le simple fait de décliner et de supprimer les paquets ne supprime pas les paquets du dossier \UpdateServicePackages où résident les paquets SVM.

Discussion

Méthode 1

Nettoyer tous les paquets anciens ou non pertinents de l’interface web de SVM sous le menu Patching >Disponible.

  1. Passer en revue les paquets créés et déterminer ceux qui ne sont plus pertinents.
    1. 1 Chaque paquet inférieur à la dernière « version patchée » est maintenant vulnérable et doit disparaître.
  2. Déclinez puis supprimez les entrées de paquet anciennes ou non pertinentes que vous voyez répertoriées dans le menu Disponible.

Si vous utilisez SCUP, il peut être nécessaire d’exécuter l’assistant de nettoyage pour SCUP en plus de ces étapes initiales :

  1. Nettoyer votre base de données WSUS des anciennes informations de métadonnées de paquet.
  2. Ouvrir la console WSUS à partir du gestionnaire de serveur et naviguer dans la zone Options.
  3. Sélectionner l’assistant de nettoyage de serveur.
  4. Exécuter l’assistant de nettoyage de serveur.

Exécuter WsusUtil avec le paramètre listunreferencedpackagefolders et pipe le résultat vers un fichier.

  1. Ouvrir CMD en tant qu’administrateurcd « C:\Program Files\Update Services\Tools »
  2. WsusUtil.exe listunreferencedpackagefolders > c:\test\deletefolders.txt
  3. Ouvrir ‘C:\test\deletefolders.txt’ et voir les paquets déclinés et supprimés de SVM.
  4. Supprimez les premières lignes du fichier qui se lisent :
    1. « Les dossiers suivants ne sont référencés par aucune des mises à jour de votre serveur WSUS. »
  5. Avant chaque entrée, ajoutez ce qui suit : Rmdir/q/s
    1. e.g : Rmdir /q/s C:\Sources\WSUS\UpdateServicesPackages\598ecbc7-2208-401b-9f0c-8eb57488aee
  6. Une fois que toutes les entrées ont Rmdir /q/s devant elles, enregistrez le fichier avec une extension .cmd.
  7. Double-cliquez sur le fichier deletefolders.cmd pour l’exécuter.

Méthode 2

Recherchez le script PowerShell joint, qui supprimera tous les paquets tiers de votre WSUS. Veuillez vous connecter à votre serveur WSUS et exécuter le PowerShell en tant qu’administrateur. Vous pouvez simplement exécuter le script dans le PowerShell, qui supprimera tous les paquets tiers de votre WSUS.

Workaround

Les paquets que vous avez jusqu’à présent supprimés étaient des patches que vous avez supprimés de votre interface SVM2018, des patches qui ne sont pas utilisés par WSUS et des patches qui sont étiquetés avec le statut Declined.
Parfois, cela ne sera pas parfaitement suffisant cependant.

  • Dans le cas où, vous avez installé un nouveau WSUS par-dessus votre ancien et vous avez configuré de nouveaux certificats pour votre nouvelle installation, vous pouvez finir par ‘laisser derrière vous’ des mises à jour qui sont encore actives.
    • Depuis que les paquets de mise à jour sont signés avec des certificats, les patchs publiés précédemment ayant été signés avec un certificat plus ancien (actuellement inutilisé) :
      • Ils peuvent ne pas être visibles dans SVM2018
      • Ces mêmes patchs ne seront pas non plus visibles dans la console du serveur WSUS.
      • Ces paquets sont physiquement présents à \UpdateServicesPackages et ils peuvent rester Approuvés.
      • Ils peuvent aussi bien être distribués par WSUS aux Clients (ou synchronisés avec les serveurs en aval) tant que les Clients sont adaptés à ces mises à jour et le demandent.
    • Ces correctifs ont été signés avec un certificat qui n’est plus utilisé.
      • Par conséquent, vous ne pouvez pas réutiliser les correctifs. Vous ne pouvez pas non plus les décliner. Vous ne pouvez même pas les voir dans SVM2018. Ils sont devenus inutilisables (et bientôt il y aura de nouvelles versions de toute façon.
        • Vous devez forcer la suppression de tous les patchs en allant physiquement dans C:\Program Files\Update Services\UpdateServicesPackages\ et en supprimant ceux-ci.
          • Si vous avez un doute sur les patchs (assis dans des dossiers avec de longs noms d’ID numériques) qui doivent être supprimés, alors:
            • Entrez dans l’un des dossiers GUID
            • Recherchez le .CAB qui a le même nom que le GUID
            • Cliquez avec le bouton droit de la souris et sélectionnez propriétés
            • Ouvrez l’onglet ‘Signatures numériques’
            • Double-cliquez sur le certificat dans la fenêtre du milieu
            • Sélectionnez ‘Afficher le certificat’ dans la nouvelle fenêtre
            • Sélectionnez ‘Détails’ dans la nouvelle (troisième) fenêtre et trouvez le champ de la clé de série.
          • La ‘clé de série’ est unique et elle vous montrera si le certificat qui a signé le code de ce paquet est celui que vous utilisez activement dans votre domaine.
            • Vous pouvez ouvrir MMC >Fichier >Ajouter ou supprimer le Snap-In >Certificats >Ordinateur local sur le WSUS.
            • Entrez dans le dossier ‘WSUS’ et vérifiez la clé de série du certificat qui s’y trouve. Il s’agit du certificat que vous utilisez actuellement.
          • Ne supprimez aucun patch signé avec votre certificat actuel – supprimez les patchs signés avec un certificat qui n’est pas dans le magasin de certificats WSUS.

.