Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

WSUS - Windows Update hors ligne (offline)

WSUS - Windows Update hors ligne (offline) - téléchargez tous les correctifs et toutes les mises à jour, pour toutes les versions de Windows, puis appliquez-les sur des machines non connectées.

WSUS Offline Update (Windows Server Update Services), de Torsten Wittrock, est un logiciel en licence GPL (logiciel libre, gratuit et open source)

WSUS Offline Update permet de mettre à jour des machines qui ne sont pas connectées à l'Internet (machines critiques en zone démilitarisée...) et mettre aussi à jour une machine connectée alors que vous souhaitez que cette mise à jour se fasse hors ligne.

WSUS Offline Update, qui télécharge les patchs pour des utilisations multiples et hors ligne, ne doit pas être confondu avec un produit de même nom chez Microsoft (Windows Server Update Services (WSUS)) qui ne télécharge rien et est beaucoup plus limité.

WSUS Offline Update est génial, très bien écrit et très fiable.

WSUS Offline Update existe en deux versions :

  1. La version la plus récente (dernière version - recommandée)
  2. Une version ESR (Extended Support Release) stable sur une longue période pour les grands groupes et les grandes organisations qui ne peuvent changer de version de WSUS tout le temps compte tenu de l'importance (en nombre d'appareils) de leur parc informatique.

WSUS - Étape 1 - Téléchargez et décompressez WSUS Offline Update

  • Téléchargez WSUS Offline Update (Most recent version (dernière version) ou ESR version)).

    Dans les exemples suivants ;

    WSUS Offline Update, qui se présente sous la forme d'une archive multi-fichiers compressée, a été téléchargé à la racine de la partition C:

    Attention : le nom du répertoire d'accueil de WSUS décompressé (le chemin d'accès au script) ne doit pas dépasser 192 caractères de long et ne doit pas contenir les caractères !%&()^+,;=

  • Décompressez l'archive.

    Remarquez

    Vous remarquerez, dans cette décompression, un répertoire appelé « Client » contenant toute la mécanique de Microsoft Update.

    Dans l'un des sous-répertoires de « Client », WSUS Offline Update, une fois que vous l'aurez lancé, téléchargera toutes les mises à jour de la version de Windows et/ou de la version d'Office que vous allez désigner/choisir et c'est tout le répertoire « Client » que vous copierez ensuite sur une clé USB si vous devez promener WSUS Offline Update sur des machines hors connexion.

WSUS - Étape 2 - Sélectionnez la version de Windows et/ou d'Office à mettre à jour

Lancez UpdateGenerator.exe qui se trouve à la racine de la décompression.

Le logiciel est en anglais mais notre pas à pas, ci-après, est en français.

Une fenêtre de choix, avec de nombreuses cases à cocher, réparties sous deux onglets (Windows et Office), apparaît. La partie basse de la fenêtre, contenant des choix d'options, reste inchangée pour les deux onglets.

  • Onglet « Windows » :

    Choisissez pour quelle(s) version(s) de Windows vous voulez rapatrier les patchs (correctifs) et mises à jour.

    WSUS Offline Update prend en charge le téléchargement des mises à jour de :

    • Windows serveur 2008 (w60 et w60-x64) (x86 et x64),
    • Windows 7 (x86 et x64),
    • Windows serveur 2008 R2 (w61 et w61-x64) (x86 et x64),
    • Windows serveur 2012 (w62 x64) (x64),
    • Windows 8.1 (x86 et x64),
    • Windows serveur 2012 R2 (w63 et w63-x64) (x86 et x64),
    • Windows 10 (x86 et x64)
    • Windows serveur 2016 (w100 et w100-x64) (x86 et x64)
    • C++ runtime libraries
    • .Net Frameworks
    • Microsoft Security Essentials
    • Le/les services packs pour les versions de Windows sélectionnées
    • Windows Defender (définitions - base de signatures)

    D'autre part, l'une des options vous permet de ne télécharger que les patchs des correctifs de sécurité en ignorant les autres patchs (nouvelles fonctionalités, etc.).

    WSUS - Windows Update hors ligne (Windows Update offline) - Onglet Windows

  • Onglet « Office » :

    Choisissez quelle version (2010, 2013, 2016) et quelle langue de Microsoft Office vous souhaitez mettre à jour

    WSUS - Windows Update hors ligne (Windows Update offline) - Onglet Office

  • Onglet « Legacy products » (n'existe plus sur les versions récentes de WSUS)

    Possibilité de sélectionner le téléchargement des patchs et mises à jour de produits Microsoft plus anciens :

    • Windows Vista (32 et 64 bits) - Microsoft cessera la maintenance de Vista le 04.1.2017
    • Windows serveur 2008 (w60 / w60-x64) - Microsoft cessera la maintenance de Windows serveur 2008 le 04.1.2017
    • Office 2007 (dans diverses langues) - Microsoft cessera la maintenance d'Office 2007 le 10.10.2017

    WSUS - Windows Update hors ligne (Windows Update offline) - Onglet Legacy products

  • Les options

    Choisissez quelques options (les valeurs par défaut sont passe-partout)

    • Cochez la case « Vérification des téléchargements ». Recommandé.
    • Cochez la case « Service Packs ». Recommandé. Cela accélèrera les mises à jour et diminuera le risque d'erreurs, en particulier à cause de la notion de « transaction » qui est optimisée dans les « Service Packs ». En termes simples, une modification du noyau de Windows, lorsque cette modification touche de nombreux fichiers simultanément et de manière obligatoirement coordonnée et simultanée, est appelée une " transaction ". Dans une " transaction ", l'ensemble des opérations qui la constitue doit être réussi. Si une seule des opérations échoue, c'est l'ensemble de la transaction qui échoue et doit être abandonnée. Le système doit retourner à l'état précédent.
    • Cochez la case « Microsoft Security Essentials » si vous souhaitez l'installer. Si vous êtes doté d'une suite de sécurité, « Microsoft Security Essentials » est inutile (il serait désactivé automatiquement).
    • Cochez la case « Windows Defender definitions » si vous utilisez « Windows Defender » et que vous souhaitez profiter de « WSUW- Windows update offline » pour mettre à jour la base de signature de « Windows Defender » sur votre machine non connectée à l'Internet.
    • .NET Framework et Visual C++ - Tous les runtimes en packages redistribuables peuvent également être téléchargés. Ils sont nécessaires, mais, normalement, déjà installés.

    Choisissez de préparer le travail pour graver un ISO (un DVD) ou un support USB (et désignez un répertoire de travail où les patchs seront téléchargés).

    WSUS - Windows Update hors ligne (Windows Update offline) - Options générales

    Si ce n'est pas la première fois que vous utilisez WSUS Offline Update, vous pouvez choisir :

    • de conserver le contenu de ce répertoire et gagner plusieurs heures de téléchargement la prochaine fois
    • de cochez la case « Clean up target directory » (en bas à droite) pour nettoyer ce répertoire (à utiliser plutôt si vous utilisez WSUS Offline Update pour différents travaux)

Étape 3 - Lancez le téléchargement (plusieurs heures)

Clic sur le bouton « Start », en bas à gauche de la fenêtre de WSUS Offline Update

Une fenêtre d'invite de commande s'ouvre et vous pouvez suivre le téléchargement des patchs et Service Packs depuis windowsupdate.com

Pour chaque fichier téléchargé, vous pouvez suivre la quantité d'octets téléchargés, la vitesse de téléchargement (en KO/sec) et le temps restant pour finir le téléchargement de ce fichier. En fin de téléchargement d'un fichier, c'est le temps total qu'il a fallu pour télécharger ce fichier qui s'affiche. Il y a plusieurs dizaines, voire centaines de fichiers à télécharger.

Après décompactage et vérification (la case « Vérification des téléchargements » qui a été cochée), le temps total de téléchargement est d'une à huit heures (selon la vitesse de votre processeur et la largeur de votre bande passante Internet).

WSUS - Windows Update hors ligne (Windows Update offline) - Téléchargements

Nota :

  • KB signifie Knowledge Base (Base de connaissances), et le nombre qui suit est le numéro de l'article (patch ou tout autre chose) dans la base de connaissances de Microsoft.
  • Dans C:\wsusofflinennn\wsusoffline\client\w61-x64, « nnn » est la version de WSUS Offline Update, par exemple C:\wsusoffline108\wsusoffline\client\w61-x64 indique que l'on utilise la version 1.08 de WSUS Offline Update.
  • Si vous observez le titre de la fenêtre d'invite de commande, tout en haut à gauche, vous vous apercevrez que c'est le programme Wget qui est utilisé pour rapatrier les fichiers depuis les serveurs de Microsoft. Ceci doit mettre en confiance car Wget est un projet libre (licence GPLv3 - soutenu par la FFF (Free Software Foundation)), gratuit et open source, de client HTTP, HTTPS et FTP développé et maintenu depuis janvier 1996. Wget est non interactif, donc il se lance et s'exécute en arrière plan, sans aucun besoin d'intervention de l'utilisateur qui peut continuer à utiliser sa machine pour d'autres travaux. Wget fonctionne sous pratiquement tous les systèmes d'exploitation (GNU/Linux, FreeBSD, NetBSD, OpenBSD, GNU, Haiku, HP-UX, Tru64, Solaris, OS X, Windows).
  • Les fichiers sont téléchargés dans plusieurs sous-répertoire (dont le sous-répertoire /glb pour les patchs Windows et d'autres sous-répertoires éventuels, par exemple pour Silverlight, etc. ...) d'un sous-répertoire dont le nom identifie le système d'exploitation cible. Par exemple :
    C:\wsusofflinennn\wsusoffline\client\w61-x64 pour Windows 7 64 bits
    C:\wsusofflinennn\wsusoffline\client\w100-x64 pour Windows 10 64 bits
    Etc. ...

Deux tests de vitesse de téléchargement :

  • Test 1 :
    Dans ce test, je choisi de télécharger les mises à jour d'une machine sous Windows 7 x64 qui n'est jamais connectée à l'Internet (les KB et le mécanisme de mises à jour seront transportés sur une clé USB).

    Tous les patchs pour Windows 7 (numérotés KBnnnnnnn-xnn, par exemple KB3185319-x64) se trouvent désormais dans le répertoire C:\wsusofflinennn\wsusoffline\client\w61-x64 qui pesait 0 octets et pèse maintenant, dans cet exemple (au 20.10.1026), 2,01 Go (2 163 657 063 octets).
    Le répertoire Client, qu'il va falloir recopier intégralement sur une clé USB pour le porter sur une machine cible, pèse au total 2,84 Go (3 055 830 923 octets)

    Avec une vitesse moyenne de téléchargement de 500 KO/sec et un processeur 2 Ghz (i7 8 cœurs), le temps total de téléchargement et vérification a été de 1h 50').

  • Test 2 :
    Dans ce second test, je choisi de télécharger les mises à jour d'une machine sous Windows 10 x64 qui est connectée à l'Internet (le mécanisme de mises à jour sera utilisé sur la machine même où à lieu le téléchargement).

    Tous les patchs pour Windows 10 64 bits (numérotés KBnnnnnnn-xnn, par exemple KB3185319-x64) se trouvent désormais dans le répertoire C:\wsusofflinennn\wsusoffline\client\w100-x64 qui pesait 0 octets et pèse maintenant, dans cet exemple (au 20.10.1026), 3,60 Go (3 872 369 411 octets).
    Le répertoire Client, qu'il va falloir recopier intégralement sur une clé USB s'il faut le porter sur une machine cible, pèse au total 10,3 Go (11 074 501 560 octets)

    Avec une vitesse moyenne de téléchargement de 300 KO/sec et un processeur 2 Ghz (i7 8 cœurs), le temps total de téléchargement et vérification a été de 5h 10').


Une message apparaît vous disant que tout est terminé et vous suggérant de consulter le journal de Wget.

WSUS - Windows Update hors ligne (Windows Update offline) - Fin du téléchargement

Vous pouvez le regarder, par simple curiosité (c'est un fichier texte qui s'ouvre dans le bloc-notes de Windows (notepad).

  • Cliquez (mettez le « point d’insertion ») tout à fait en haut à gauche de la première ligne (sinon, la fonction de recherche sera vaine)
  • Cliquez, dans le menu, sur « Édition » puis « Rechercher » (ou utilisez le raccourci clavier « ctrl/f »), et recherchez le mot « failed » (sans les guillemets). S'il y a eu des erreurs ou des échecs, Wget a recommencé ou repris l'opération de téléchargement jusqu'à réussite.

    WSUS - Windows Update hors ligne (Windows Update offline) - Journal des téléchargements

Étape 4 - Mettez à jour le système cible (installez les mises à jour)

Notes :
  • Fermez toutes les applications ouvertes (sauvegardez tous les travaux en cours)
  • Vous devez voir les extensions de fichiers car il y a plusieurs fichiers appelés UpdateInstaller. Pourquoi et comment toujours voir les extensions de tous les fichiers :
    Explorateur Windows - Options d'affichage des fichiers et dossiers
  • Vous pouvez observer, à la racine du répertoire « Client », un fichier appelé Autorun.inf
    Celui-ci devrait servir à lancer automatiquement UpdateInstaller.exe dès l'insertion du média (de la clé USB). Toutefois, si vous avez bien préparé (sécurisé) votre machine, le comportement d'Autorun.inf doit être totalement bloqué. Pourquoi et comment :
    Exécution automatique : Comportement par défaut de Windows (déployez le menu, à droite, pour accéder à toutes les pages du sujet)

Rendez-vous dans le répertoire « Client » que vous avez transporté en totalité sur une clé USB vers la machine cible (ou que vous utilisez directement pour la machine où a eu lieu le téléchargement) :
A la racine de ce répertoire « Client », localisez le programme UpdateInstaller.exe
Lancez l'exécution de UpdateInstaller.exe
Acceptez la demande d'élévation de privilèges
Une fenêtre s'affiche.

WSUS - Windows Update hors ligne (Windows Update offline) - Le répertoire « client »

  • Dans sa partie haute il vous est demandé de préciser quelles mises à jour optionnelles vous souhaitez installer. Il peut y avoir plusieurs onglets en fonction des options choisies.
    • Sous les systèmes d'exploitation antérieurs à Windows 10, Internet Explorer 11 sera systématiquement installé (à partir de Windows 10, c'est le navigateur Edge qui remplace Internet Explorer)
    • Si SilverLight n'est pas installé, il peut l'être. Toutefois, Silverlight, que Microsoft avait développé pour tenter d'entrer en concurrence avec Flash (de la société Adobe), est abandonné (comme Flash, grâce aux spécifications d'HTML 5). Microsoft a annoncé cet abandon en 2012 - Silverlight sera uniquement maintenu (correctifs et failles de sécurité, mais aucune amélioration ni ajout de fonctionnalité) jusqu'à octobre 2021 puis disparaîtra. Il n'est pas utile d'installer Silverlight.

      WSUS - Windows Update hors ligne (Windows Update offline) - Options d'installation

    • Les options grisées ne sont pas disponibles pour la version ciblée de Windows.
  • Dans sa partie basse, il vous est demandé de préciser le comportement de l'installeur.
    • Décochez la case « Verify installation packages » (Wget a fait les vérifications lors de la phase de téléchargement et la copie de « Client » sur un support externe (clé USB), ne devrait pas corrompre les fichiers.)
    • Décochez la case « Shut down on completion » (Éteindre l'ordinateur à la fin) (ou cochez-la si vous lancez les mises à jour avant d'aller vous coucher)
    • Cochez la case « Automatic reboot and recall » qui va autoriser les redémarrages successifs dont les mises à jour du système ont besoin. Ceci crée un compte utilisateur spécial, nommé « WOUTempAdmin » et désactive temporairement le « Contrôle de compte utilisateur (UAC) » afin que vous n'ayez pas besoin de rester planté devant la machine. Qu'est-ce que le « Contrôle de compte utilisateur (UAC) » :
      Contrôle de compte utilisateur (UAC)

      WSUS - Windows Update hors ligne (Windows Update offline) - Redémarrage durant les mises à jour

Clic sur « Start ».

Votre ordinateur va probablement redémarrer plusieurs fois.

C'est terminé (un peu... beaucoup plus tard). Votre système est à jour.

Important :

Dans de très rares cas, lorsque les mises à jour se passent mal, en particulier avec les notions de « transaction durant un Windows Update », l'ordinateur peut se mettre à redémarrer indéfiniment ou à demander à l'utilisateur « WOUTempAdmin » de s’authentifier, ce qui est impossible. Dans ce cas :

  • Méthode 1
    Pour « nettoyer » votre système d'exploitation, procédez comme suit :
    Annuler l'exécution des scripts de mise à jour en utilisant la combinaison simultanée des touches ctrl + c
    Exécuter le script « CleanupRecall.cmd » qui se trouve dans le sous-répertoire « cmd » du répertoire « Client »
    Redémarrez
  • Méthode 2
    Si la méthode 1 ne corrige pas le problème :
    Quittez le compte « WOUTempAdmin ». Tout en faisant cela, maintenez la touche « Maj » enfoncée pour empêcher la reconnexion automatique et obliger le système à montrer l'écran habituel (normal) d'ouverture de session à la place.
    Ouvrez une session avec le compte « Administrateur » (ou un compte ayant des droits d'administratifs).
    Rechercher l'existence d'un fichier nommé « %SystemRoot%\wsusbak-winlogon.reg ».
    • Méthode 2a :
      Si ce fichier existe, démarrez l'éditeur de registre (Démarrer - Exécuter - regedit) ( RegEdit - Mode d'emploi ) et supprimez la clé « HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ».
      Exécuter alors le fichier « %SystemRoot%\wsusbak-winlogon.reg » (double clic dessus). Les fichiers .reg sont des fichiers exécutables contenant des instructions qui vont s’appliquer au « Registre Windows » local (la base de registre). Ce sont de bêtes fichiers « texte ». On peut les créer ou les ouvrir avec le bloc note de Windows (NotePad), ou n'importe quel éditeur de texte, en faisant, sur leurs noms, dans l'explorateur de Windows, clic droit > ouvrir ou clic droit > modifier.
      Une fois le fichier exécuté, supprimez le.
    • Méthode 2b :
      Si le fichier « %SystemRoot%\wsusbak-winlogon.reg » n'existe pas, lancez l'éditeur de registre (Démarrer – Exécuter- regedit) ( RegEdit - Mode d'emploi ) afin de modifier certaines valeurs de la clé « HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon » comme suit:
      DefaultUserName : Administrateur (ou un autre compte d'utilisateur de votre choix)
      DefaultPassword : Supprimer la valeur
      AutoAdminLogon : Supprimer la valeur
      ForceAutoLogon : Supprimer la valeur
      Supprimer le compte « WOUTempAdmin » en utilisant Panneau de configuration > Comptes d’utilisateurs > Comptes d’utilisateurs > Gérer les comptes.
      Supprimer les fichiers du profil utilisateur « WOUTempAdmin » si ils existent encore (sous Windows XP : C:\Documents and Settings, sous Windows Vista et suivants : C:\Users (C:\Utilisateurs)).
      Redémarrer.

Appel à donnation de Torsten Wittrock

Sur la page de télécharhement, il y a un bouton permettant de faire une donnation à Torsten Wittrock en utilisant le service Paypal. Je vous invite vivement à le soutenir, car si son travail est une petite merveille, c'est avant tout une somme de travail.

Merci pour lui.

WSUS -
Dossier : Windows Update
Dossier : Windows Update

Windows Update (Microsoft Update)
Windows Update - Patch Tuesday
Windows Update - Hack Wednesday

Windows Update offline - tous systèmes
WSUS - Windows Update hors ligne

Sauvegarde pour récupération système
Créer un CD / DVD de récupération système

Procédure de réparation de Windows Update
Réparation erreurs Windows Update
Réparation erreurs Windows Update - Etape 1
Réparation erreurs Windows Update - Etape 2
Réparation erreurs Windows Update - Etape 3

Outils de réparation Windows et Windows Update
Windows Repair (All in One)
Microsot Fix It - Réparation Windows
Microsoft .NET framework - Tous
ChkDsk - Réparation disque et fichiers
SFC - Vérifie intégrité de Windows
MS Visual Studio .Net Log Collection Tool (Collect)

Erreurs rencontrées avec Windows Updates
Erreur de Windows Update
Windows Update redémarre le PC sans cesse
hresult: 0x8007054F (erreur Windows Update)
Windows Update - Erreur 0x643 (.NET)
Windows Update - Erreur 0x80070005
Windows Update - Erreur 0x8007000B
Windows Update - Erreur 0x80070422
Windows Update - Erreur 0x80070490
Windows Update - Erreur 0x8007054
Windows Update - Erreur 0x8007054F
Windows Update - Erreur 0x80070643 (.NET)
Windows Update - Erreur 0x8007064C
Windows Update - Erreur 0x80071A91
Windows Update - Erreur 0x80072F8F
Windows Update - Erreur 0x80073712
Windows Update - Erreur 0x800B0100
Windows Update - Erreur 0x80244019
Windows Update - Erreur 0x80246002
Windows Update - Erreur 0x80246008
Windows Update - Erreur 0x80248015
Windows Update - Erreur 0x8DDD0018
Réparer Windows Update

Erreurs de Windows
Windows erreur 0x81000202 81000202

MS - Conformité des mises à jour
MS - System Update Readiness Tool

WSUS - Références
WSUS - WSUS - Windows Update hors ligne (offline)