[RESOLU] windows 2000 server : service pack, srp

[tomtom]

Bonjour à tous.. Une fois n'est pas coutume, j'ai besoin d'infos sur les produits microsoft.

Contexte :
Je réalise une doc d'installation/hardenning de windows 2000 server, version anglaise...
Comme ca va heberger un serveur web (pas IIS rassurez vous !), j'ai besoin d'être en sp4.

Problème :
Je dois identifier avec surete les patches à appliquer sur le sp4. Je ne peux utiliser windows update sur le serveur final, mais j'ai identifié une liste de patches à ajouter sur le sp4 :

824141 -- MS03-049 - Buffer overrun in Workstation Windows2000-KB828749-x86-ENU.exe
824141 -- MS03-045 - Buffer overrun in ListBox and ComboBox Windows2000-KB824141-x86-ENU.exe
825119 -- MS03-044 - Buffer overrun in Help Center Windows2000-KB825119-x86-ENU.exe
828035 -- MS03-043 - Buffer overrun in Messenger Windows2000-KB828035-x86-ENU.exe
826232 -- MS03-042 - Buffer overrun in ActiveX control Windows2000-KB826232-x86-ENU.exe
823182 -- MS03-041 - Verification Error in ActiveX Windows2000-KB823182-x86-ENU.exe
824146 -- MS03-039 - Buffer overrun in RPC Windows2000-KB824146-x86-ENU.exe
824105 -- MS03-034 - Buffer overrun in NetBIOS Windows2000-KB824105-x86-ENU.exe
823559 -- MS03-023 - Buffer overrun in HTML Converter Windows2000-KB823559-x86-ENU.exe


Cette liste a quelques mois, il y en a quelques autres en plus...

Ma question principale :
Faut-il appliquer le SRP (printemps 2002 quand même !) sur le sp4, ou est-ce que celui-ci inclut les correctifs du srp ? Je ne parviens pas à trouver cette info chez microsoft... Le bon sens voudrait que les correctifs soient inclus, mais enfin... Si quelqun a ce retour, je suis preneur.

Question subsidiaire :
Y-a-t il un moyen fiable de savoir la liste des patches à appliquer sur le sp4, sachant que les services workstation et autres sont arretes ce qui empeche l'utilisation de softs comme HKNetChk par exemple.


merci pour votre attention et vos reponses !

Thomas

[korosv]

Salut Thomas,

Faut-il appliquer le SRP (printemps 2002 quand même !) sur le sp4, ou est-ce que celui-ci inclut les correctifs du srp ? Je ne parviens pas à trouver cette info chez microsoft... Le bon sens voudrait que les correctifs soient inclus, mais enfin...

Effectivement, les SP intègrent les précédentes mises à jour ...
et les SRP ne sont finalement qu'une compilation de plusieurs hotfix.

A noter la désignation des hotfix s'articule ainsi, par exemple pour MS03-049 :
03 pour l'année 2003 et 49 pour le 49ème
Post SP4, il y a pas mal de mise à jour qui sont sorties en 2003 sans compter celle de cette année (MS04-xxx)...

Y-a-t il un moyen fiable de savoir la liste des patches à appliquer sur le sp4 sachant que les services workstation et autres sont arretes

La dessus je ne saurais répondre ... à vrai dire j'ai toujours réflèchi dans l'autre sens, à savoir "est-ce que ce hotfix corrige des bugs qui me concerne, améliore-il des fonctionnalités utilisées ou est-il primodial pour la sécurité"

En espérant que cela puisse t'aider.

@ +

[edit]
J'avais pas le liens sous la main - "free guide to security update":
http://www.microsoft.com/technet/securi ... 51204.mspx

c'est des explications assez sommaire mais ca mérite d'être lu
[/edit]

[vanvan]

t'as regardé du côté de SUS ?

[tomtom]

Merci pour vos reponses...

Pour le SRP, effectivement ca a l'air de ne pas etre necessaire.. Tant mieux.

Pour le reste :
Je suis d'accord, la methode consistant à verifier les patches un par un est de loin la meilleure.
Mais...
Le contexte est peu favorable :
Je dois intervenir la semaine prochaine, dans un environnement que je ne connais pas, pou securiser 3 ou 4 serveurs, aux fonctionalités différentes. Ces serveurs sont dans une DMz, en stand alone, pas de domaine (et donc difficile pour SUS), avec certaines choses deja faites, d'autres non. Pour couronner le tout, ces serveurs sont en prod, et je ne peux bien sur pas y acceder avant d'y etre...
Malgre ces handicaps, je dois rediger une doc de securisation pour le client, et l'appliquer sur place.

Voila pourquoi je ne peux utiliser les methodes standard (windows update, SUS) et je dois determiner les patches applicables et essayer de deviner si je dois les passer. En plus, comme j'ai un gros poil dans la main, je fais des scripts (strategies de securité, scripts de passages de scripts etc..), et j'aimerais avoir le moins de choses possible à retoucher sur place...

Voila, ajoutez à ça le fait que j'adore travailler sur des windows, que je ne connais pas la version exacte du serveur web (un sun Iplanet...), et qu'en plus c'ets au fin fond de l'europe de l'est, imaginez ma joie

Merci en tout cas ham pour les eclaircissements, et vanvan pour le soutien !

ciao !

t.

[korosv]

Merci en tout cas ham pour les eclaircissements

ben on dirais que tu as déjà la tête la-bàs ...

[Yann31]

Sur le lien suivant, tu trouveras un "WinUpdate offline" en quelques sortes.

http://v4.windowsupdate.microsoft.com/fr/default.asp?corporate=true

A+
Yann

[vanvan]

il me semble qu'il est possible d'utiliser SUS sans avoir active directory d'activé. Donc si t'as un cpd et un csd de dispo avec un domaine tout simple, il y a moyen de mettre en place SUS.
Par contre c franchement galère car pour l'avoir essayé, on a abandonné ici le temps de passer la structure sous active directory.
Mais j'ai eu des échos pendant une réunion que s'était possible quand même ( sans preuve en tout cas ).

par contre c chaud ton truc car faire des manips sur un parc avec la moitié des infos avant, et bien je te souhaite bonne chance.

Sinon si tu trouves une solution autre que SUS ça m'intéresse de la connaître.

[korosv]

Merci Yann,

C'est vraiment pratique pour tous downloader en une seule fois.

[tomtom]

@ korosv -> tu m'etonnes ! En plus, je rate le rdv ixus de jeudi, et j'ai encore 2 jours de boulot de preparation alors qu'il ne me reste qu'un jour ! bouh !

@ Vanvan -> oui mais non ! Non seulement je n'ai pas AD, mais en plus je n'ai pas de PDC car pas de domaine, je suis en standalone, pas de services microsoft, pas de netbios, quasi tous les services sont coupes, en particulier workstation, server etc... Donc je pesne franchement que SUS n'est pas jouable. De toute façon, j'ai pas le temps d'installer unu sus
Sinon, oui, j'ai trouvé une solution : Parcourir la liste des bulletins, trouver ceux qui me concernent et les telecharger, preparer un repertoire et un script avec qchain pour installer tout ca en une fois sans rebooter à chaque patch. Sympa, non ?

@ Yann ->Je suis vert ! Ton truc m'aurait fait gagner 2 heures cet apres-midi ! Je bookmarke pour la prochaine fois

re @ Vanvan -> Tu vois, avec le lien fourni par Yann, un p'tit script bien pensé avec wget, on doit pouvoir se faire un truc qui va bien.

Sinon, il est possible d'utiliser un outil bien sympa, HFNetChk, trouvable facilement sur google. Verifie tous les patches à passer en une fois. Pas utilisable dans momn cas car necessite le service workstation et probablement d'autres, et qu'en plus je n'ai pas la main sur le serveur, mais peut permettre de faire un truc genre windows update au cas par cas...


Merci à tous pour vos aides precieuses !

t.