jeudi 25 avril 2019
 

 

Le patch automatique avec SHAVLIK

par La rédaction - Test publié dans le magazine L'Informaticien le 01/04/2009 Article Rating
C'est après avoir travaillé de nombreuses années dans l'équipe de développement de Microsoft que Mark Shavlik fonde en 1993 Shavlik Technologies, société de conseil et éditeur de logiciels dans le domaine de la sécurité. Aujourd'hui, Shavlik se positionne en tant que leader du marché de la gestion de correctifs.

Face au nombre croissant de correctifs publiés quotidiennement et aux nombreux logiciels ayant des mises à jour constantes, il est de plus en plus difficile de maintenir son parc informatique à jour. Les systèmes d'information s'exposent alors, en permanence, à de nombreux risques de sécurité. C'est dans l'optique d'une gestion globale de la sécurité que Shavlik NetChk Protect est né. Offrant à la fois une interface claire, simple et intuitive, ce logiciel vous permet de surveiller et patcher l'ensemble de vos machines Microsoft (postes de travail et serveurs), qu'elles soient sur le réseau ou déconnectées temporairement comme les portables.

L’automatisation concerne trois process :
identifier : c'est le scan des machines révélant les faiblesses qui détermine les correctifs à mettre en place grâce à la base de données Shavlik, constamment mise à jour ;
informer : c'est le rapport automatiquement généré vous informant de l'importance des menaces et du degré d'urgence dans l'application des patches ;
déployer : c'est l'étape clé consistant à télécharger puis installer de façon sécurisée les correctifs et enfi n vérifier le bon déroulement de l'installation.

Installation
L'installation est relativement simple et bien documentée, bien que ce soit en anglais. Nous avons testé ce produit sur un serveur fonctionnant sous Windows 2003 Server. Tout au long du processus, un assistant vous guide dans une procédure pas à pas. Lors du lancement, le programme va même jusqu'à vérifier si les prérequis nécessaires au bon fonctionnement sont présents ou non sur votre machine. Le cas échéant, il vous proposera de les installer lui-même. Enfin, un redémarrage est nécessaire, mais l'installation n'a rien de bien compliqué.

Une architecture sans agent
L'un des avantages de la solution Shavlik est qu'elle ne nécessite pas l'installation d'un logiciel sur les machines clientes. Ainsi, les procédures de patchs s'en trouvent facilitées et les délais de mise en oeuvre réduits. Alors que les autres applications restent tributaires du modèle client/ serveur, vous n'avez pas à vous soucier des machines où l'installation du client aurait été oubliée. Un simple scan suffit à découvrir la totalité des machines Windows présentes sur le réseau. De plus, Shavlik est entièrement compatible avec Active Directory ce qui signifie que la topographie de votre réseau sera reconnue dynamiquement avant chaque scan ou cycle de déploiement.

A noter !!!
Il est préférable que les machines fassent partie d'un domaine ou d'un workgroup (avec l'utilisation d'un compte commun). L'installation de correctifs nécessite des droits d'administrateur local ou de domaine.

main-board

Une utilisation souple
Le logiciel de Shavlik a la particularité d'être modulable et configurable selon les envies et les besoins. Afin d'identifier de potentielles menaces, il est par exemple possible de scanner vos machines, que ce soit par domaine, unité d'organisation, nom de machine, adresse IP ou encore plage d'IP. Les rapports générés par NetChk Protect sont d'une grande clarté. Facilement exploitables et paramétrables à souhait (via une interface très simple), il est ensuite possible de les exporter au format désiré, puis de les envoyer par mail. Pour les services informatiques qui souhaitent gérer l'administration à plusieurs degrés d'implication, Shavlik fournit un système de gestion de profils d'administration basé sur les comptes utilisateurs.
Ainsi, un administrateur aura la possibilité de paramétrer et planifier des déploiements de correctifs, tandis qu'un technicien sera limité aux strictes fonctions d'audit et de création de rapports. Enfin, point essentiel, la planification où vous avez la possibilité de choisir lorsqu’un scan ou un patch doit être exécuté sur une machine distante.
Le déploiement peut être planifié pour une date spécifique, immédiatement ou au prochain redémarrage par exemple. De plus, il est proposé de fins réglages comme l'arrêt des bases SQL, ou bien de services, pour les machines dont les configurations sont les plus sensibles.

Le déploiement
Planifié ou non, configuré selon divers paramètres, le déploiement est une étape aussi simple que le scan. Il suffi t de sélectionner soit les machines sur lesquelles on souhaite effectuer la maintenance, soit les correctifs que l'on désire mettre en place sur le réseau. NetChk Protect lance alors la procédure de téléchargement des patchs, vérifie leur intégrité puis les installe.
Pour les machines nomades, rarement connectées au réseau de votre entreprise, Shavlik met à disposition son agent. Une fois installé et autorisé par la console centrale, il permet un déploiement autonome des correctifs afin de permettre aux machines nomades d'être également à jour. Son fonctionnement est exactement l'opposé de l'agentless dans le sens où c'est l'agent qui envoie une requête au serveur afi n d'effectuer un scan ou un déploiement, tandis que sans agent, le serveur impose son autorité aux machines clientes et décide du lancement des opérations. Bien sûr, ces deux architectures peuvent cohabiter au sein du même réseau.
Et pour les réseaux de grande ampleur, Shavlik a mis en place des serveurs de déploiement. Ayant pour but d'alléger les charges réseau et éviter d'encombrer la bande passante, ils stockent les patches afin de les redistribuer, évitant ainsi à chaque machine de télécharger les patches à travers Internet.

Shavlik et WSUS...
Outre les fonctions citées, la solution Shavlik offre également d'autres avantages que son homologue Microsoft n'est pas en mesure de proposer :
- Le support de VMware. En plus de scanner les machines virtuelles, ce qui reste classique, NetChk Protect a la particularité de pouvoir scanner et déployer des correctifs sur des images qui ne sont pas lancées. Il arrive que quelques machines n'aient pas été sous-tension pendant un certain temps, ou bien qu'elles aient été mises en quarantaine. Opérer sur des images hors-tension se pose alors en solution puisque l'on évite toute infection du réseau due à une machine contenant bon nombre de failles de sécurité.
- Vous avez également la possibilité de déployer vos propres correctifs, adaptés à vos applications internes par exemple. Shavlik a mis en place un processus guidé pour vous aider dans la création d'un fi chier XML personnalisé qui se joindra à celui déjà existant (le XML offi ciel de Shavlik) lors de vos prochains déploiements.
-NetChk Protect couvre un nombre plus important de logiciels que WSUS. Entre autres, vous constaterez le support de bien plus d'applications Microsoft, mais également le support d'applications tierces telles que Firefox, Adobe Acrobat, Skype, Adobe Flash et bien d'autres. Shavlik est avant tout une solution destinée à des réseaux composés de plus d'une cinquantaine de machines. Tout son intérêt est basé sur la gestion centralisée d'importants systèmes d'information. Avoir une vue claire de l'état du système, un reporting des actions entreprises, une planification des tâches et, bien entendu, pouvoir déployer les correctifs pour être à jour constituent l'essentiel des fonctions de ce produit. Utiliser cette solution vous garantira un système sain, sécurisé et vous apportera un gain de temps non négligeable !

avantages_inconvenients

Pour en savoir plus
L’Informaticien et le Competence Center, de Non Stop Systems, sont
partenaires pour la réalisation de tests de logiciels, de matériels ou de
services du marché. Si vous souhaitez obtenir davantage d’informations
sur ces tests, n’hésitez pas à contacter Non Stop Systems à cette adresse :
ZI de la Madeleine, 27, rue de la Maison-Rouge, 77185 LOGNES
Tél. : +33 (0)1 60 95 08 80
Fax : +33 (0)1 60 95 08 81
ou sur le site www.nonstop.fr


/// Actuellement à la Une...
L’ambition de Slack est grande en développant l’idée de changer la manière de travailler pour qu’elle soit plus agréable, plus simple et plus productive. L’outil collaboratif ajoute de nouvelles fonctions dans ce but. 

Wing, une filiale d’Alphabet spécialisée dans les drones, a reçu de la Federal Aviation Administration la certification de transporteur aérien. C’est la première fois qu’un opérateur de drones obtient cette autorisation lui permettant d’opérer des services commerciaux.

Face à l’hémorragie de ses cadres, Facebook va chercher de nouvelles recrues à l’extérieur. Et force est de constater que l’entreprise de Mark Zuckerberg fait le grand écart, entre un responsable de la politique de confidentialité issu d’une association de défense du droit à la vie privée, et une responsable juridique rédactrice du Patriot Act.

Theresa May donne le feu vert à l’équipementier chinois, qui pourra vendre ses solutions réseaux aux opérateurs britanniques… mais pas sur les infrastructures essentielles.

Le dock du Sud-Coréen, transformant un smartphone Galaxy en PC, propose d’utiliser Ubuntu depuis un an pour les Galaxy Note 9 et Tab S4. Linux on DeX s’ouvre désormais aux S9, S10 et TabS5e.

Redmond fait l’acquisition du fournisseur de ThreadX, un des RTOS (système d'exploitation temps réel) les plus déployés, afin de le proposer en option à Azure Sphere dans les terminaux fortement contraints.

Afin de fédérer ses initiatives Big Data, BNP Paribas Personal Finance s’est doté d’un datalab en 2017. Une cellule qui a fait le choix de développer sa propre plate-forme de data science en misant sur une approche 100% Python. Article paru dans le dossier Big Data de L'Informaticien n°175.

Prévue pour le 26 avril, la commercialisation du smartphone pliable de Samsung est repoussée de plusieurs semaines. La faute aux tests effectués, qui ont démontré certaines faiblesses de l’écran. Des problèmes d’entretien et d’utilisation, signale le constructeur, qui promet de mieux informer les utilisateurs.

Contrairement au premier comptage, ce sont des millions de mots de passe Instagram qui sont stockés en clair dans les serveurs de Facebook.

Pour s’inscrire sur le réseau social, il arrive depuis trois ans que Facebook demande l’adresse mail, mais aussi le mot de passe du compte mail de l’utilisateur. Et qu’il en profite pour collecter les adresses des contacts. Mais cela était purement « involontaire » plaide l’entreprise.

Toutes les News