Commencez par vous assurer que votre serveur WSUS peut télécharger et distribuer KB5079391. Ouvrez la console d'administration WSUS et accédez aux paramètres de synchronisation.

# Ouvrir la console WSUS ou utiliser PowerShell
Get-WsusServer | Get-WsusSubscription | Start-WsusServerSynchronization

Accédez à Options > Produits et classifications. Assurez-vous que ceux-ci sont sélectionnés :

• Produits : Windows 11, version 24H2 et versions ultérieures
• Classifications : Mises à jour de sécurité, Mises à jour critiques, Regroupements de mises à jour

Forcez une synchronisation manuelle en allant dans Options > Planification de la synchronisation > Synchroniser maintenant. Ce processus prend généralement 15 à 30 minutes selon votre connexion.

Vérification : Une fois la synchronisation terminée, accédez à Mises à jour > Toutes les mises à jour et recherchez "KB5079391". Vous devriez voir la mise à jour répertoriée avec un statut de "Non approuvé".

Établissez des anneaux de déploiement pour contrôler le rythme de déploiement. Dans la console WSUS, accédez à Ordinateurs > Tous les ordinateurs et créez de nouveaux groupes d'ordinateurs.

Cliquez avec le bouton droit sur Tous les ordinateurs > Ajouter un groupe d'ordinateurs et créez ces groupes :

• Anneau pilote - 5-10% de votre environnement
• Adopteurs précoces - 25% des systèmes restants
• Déploiement large - Tous les systèmes de production restants

Configurez la stratégie de groupe pour attribuer automatiquement les ordinateurs à ces groupes. Créez un nouveau GPO appelé "Attribution de groupe d'ordinateurs WSUS" :

# Accédez à : Configuration de l'ordinateur > Préférences > Paramètres du panneau de configuration > Tâches planifiées
# Créez un script de démarrage qui exécute :
wuauclt /detectnow
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v TargetGroup /t REG_SZ /d "Anneau pilote" /f

Liez ce GPO à votre UO pilote contenant des machines de test. Créez des GPO similaires pour d'autres anneaux avec des valeurs TargetGroup appropriées.

Vérification : Exécutez gpupdate /force sur une machine de test, puis vérifiez la console WSUS après 10-15 minutes. L'ordinateur devrait apparaître dans le groupe correct.

Créez une stratégie de groupe complète pour contrôler comment les clients interagissent avec votre serveur WSUS. Ouvrez la gestion des stratégies de groupe et créez un nouveau GPO appelé "Windows Update - Configuration WSUS".

Accédez à Configuration de l'ordinateur > Modèles d'administration > Composants Windows > Windows Update et configurez ces paramètres :

Spécifier l'emplacement du service de mise à jour Microsoft intranet :
- Activé
- Service de mise à jour intranet : http://votre-serveur-wsus:8530
- Serveur de statistiques intranet : http://votre-serveur-wsus:8530

Configurer les mises à jour automatiques :
- Activé
- Configurer la mise à jour automatique : 4 - Téléchargement automatique et installation planifiée
- Jour d'installation planifiée : Tous les jours
- Heure d'installation planifiée : 03:00

Autoriser les mises à jour signées à partir d'un emplacement de service de mise à jour Microsoft intranet :
- Activé

Ne pas se connecter à des emplacements Internet de Windows Update :
- Activé

Pour le contrôle de l'anneau de déploiement, configurez ces paramètres supplémentaires :

Sélectionner quand les versions préliminaires et les mises à jour de fonctionnalités sont reçues :
- Activé
- Niveau de préparation de Windows : Canal semi-annuel
- Différer les mises à jour de fonctionnalités : 365 jours (pour les anneaux de production)

Sélectionner quand les mises à jour de qualité sont reçues :
- Activé
- Différer les mises à jour de qualité : 0 jours (Pilote), 7 jours (Précoce), 14 jours (Large)

Vérification : Sur un client de test, exécutez gpupdate /force puis gpresult /r pour confirmer l'application de la stratégie. Vérifiez que les paramètres de Windows Update affichent votre serveur WSUS.

Approuvez maintenant la mise à jour pour votre anneau pilote. Dans la console WSUS, accédez à Mises à jour > Toutes les mises à jour et localisez KB5079391. Vous pouvez filtrer par "Mises à jour de sécurité" et statut "Non approuvé" pour le trouver rapidement.

Cliquez avec le bouton droit sur KB5079391 et sélectionnez Approuver. Dans la boîte de dialogue d'approbation :

• Sélectionnez le groupe d'ordinateurs Anneau Pilote
• Choisissez Approuvé pour l'installation
• Définissez la date limite : 7 jours à partir de maintenant
• Laissez les autres groupes comme "Non approuvé"

# Alternative : Utiliser PowerShell pour l'approbation
$wsus = Get-WsusServer
$update = $wsus.GetUpdates() | Where-Object {$_.KnowledgebaseArticles -contains "5079391"}
$pilotGroup = $wsus.GetComputerTargetGroups() | Where-Object {$_.Name -eq "Pilot Ring"}
$update.Approve("Install", $pilotGroup)

Surveillez le processus d'approbation dans Services de mise à jour > Nom du serveur > Mises à jour > Résumé du statut des mises à jour. Vous devriez voir la mise à jour passer de "Non approuvé" à "Approuvé".

Vérification : Vérifiez que les machines pilotes reçoivent la mise à jour en exécutant wuauclt /detectnow sur un système pilote, puis en vérifiant l'historique de Windows Update.

Surveillez de près le déploiement pilote pendant les premières 48-72 heures. Utilisez les rapports WSUS et PowerShell pour suivre la progression de l'installation et identifier les problèmes.

Générez des rapports d'installation dans la console WSUS :

1. Accédez à Rapports > Rapports de mise à jour > Résumé de l'état de la mise à jour
2. Sélectionnez KB5079391 et le groupe d'ordinateurs Pilot Ring
3. Exécutez le rapport pour voir la répartition de l'état de l'installation

Utilisez PowerShell pour vérifier l'état de l'installation sur les machines pilotes :

# Vérifiez l'état de l'installation de la mise à jour sur les machines distantes
$pilotComputers = @("PC001", "PC002", "PC003")  # Remplacez par les noms d'hôte réels
foreach ($computer in $pilotComputers) {
    try {
        $hotfix = Invoke-Command -ComputerName $computer -ScriptBlock {
            Get-HotFix | Where-Object {$_.HotFixID -eq "KB5079391"}
        }
        if ($hotfix) {
            Write-Host "$computer: KB5079391 installé le $($hotfix.InstalledOn)" -ForegroundColor Green
        } else {
            Write-Host "$computer: KB5079391 non installé" -ForegroundColor Yellow
        }
    } catch {
        Write-Host "$computer: Échec de la connexion - $($_.Exception.Message)" -ForegroundColor Red
    }
}

Surveillez les problèmes courants tels que les gels du système ou les problèmes de compatibilité des applications. Créez un processus de collecte de feedback en utilisant :

• Journaux de l'Observateur d'événements (Système et Application)
• Problèmes signalés par les utilisateurs via des tickets d'assistance
• Vérifications de santé automatisées via des scripts PowerShell

Vérification : Confirmez la réussite de l'installation en vérifiant que les systèmes pilotes affichent la mise à jour dans Paramètres > Windows Update > Historique des mises à jour et que la stabilité du système reste normale après 72 heures.

Après avoir confirmé le succès du pilote (généralement 5-7 jours), étendez le déploiement à votre anneau des Premiers Adopteurs, puis au Déploiement Large. Retournez à la Console WSUS et modifiez l'approbation pour KB5079391.

Cliquez avec le bouton droit sur KB5079391 et sélectionnez Approuver. Mettez à jour les paramètres d'approbation :

• Premiers Adopteurs : Approuvé pour installation avec un délai de 5 jours
• Conservez l'anneau Pilote comme approuvé
• Laissez le Déploiement Large comme "Non Approuvé" pour l'instant

Utilisez PowerShell pour automatiser le déploiement par phases :

# Approuver pour l'anneau des Premiers Adopteurs
$wsus = Get-WsusServer
$update = $wsus.GetUpdates() | Where-Object {$_.KnowledgebaseArticles -contains "5079391"}
$earlyGroup = $wsus.GetComputerTargetGroups() | Where-Object {$_.Name -eq "Early Adopters"}
$update.Approve("Install", $earlyGroup)

# Définir la date limite (optionnel)
$deadline = (Get-Date).AddDays(5)
$update.Approve("Install", $earlyGroup, $deadline)

Surveillez le déploiement des Premiers Adopteurs pendant 3-5 jours, puis passez au Déploiement Large si aucun problème ne survient. Pour la phase finale :

# Approbation finale pour le Déploiement Large
$broadGroup = $wsus.GetComputerTargetGroups() | Where-Object {$_.Name -eq "Broad Deployment"}
$update.Approve("Install", $broadGroup)

Suivez la progression globale du déploiement à l'aide des rapports WSUS. Générez des rapports d'état hebdomadaires montrant les pourcentages d'installation dans tous les anneaux.

Vérification : Utilisez le rapport de Résumé de l'état de la mise à jour pour confirmer que le déploiement atteint les pourcentages cibles : 100% Pilote, 95%+ Premiers Adopteurs, et 90%+ Déploiement Large dans vos délais définis.

Préparez des capacités de retour en arrière automatisées avant un déploiement à grande échelle. Créez des scripts PowerShell et des configurations de stratégie de groupe pour supprimer rapidement KB5079391 si des problèmes critiques surviennent.

Créez un script de retour en arrière qui peut être déployé via des scripts de démarrage de stratégie de groupe :

# Enregistrez sous Remove-KB5079391.ps1
param(
    [switch]$Force,
    [switch]$NoRestart
)

# Vérifiez si la mise à jour est installée
$update = Get-HotFix | Where-Object {$_.HotFixID -eq "KB5079391"}
if (-not $update) {
    Write-Host "KB5079391 non trouvé sur ce système" -ForegroundColor Yellow
    exit 0
}

try {
    Write-Host "Suppression de KB5079391..." -ForegroundColor Yellow
    
    # Méthode 1 : Utilisation de wusa.exe
    $process = Start-Process -FilePath "wusa.exe" -ArgumentList "/uninstall /kb:5079391 /quiet $(if($NoRestart){'/norestart'})" -Wait -PassThru
    
    if ($process.ExitCode -eq 0) {
        Write-Host "KB5079391 supprimé avec succès" -ForegroundColor Green
        
        # Enregistrez la suppression
        $logEntry = "$(Get-Date): KB5079391 supprimé de $env:COMPUTERNAME"
        Add-Content -Path "C:\Windows\Temp\KB5079391_Removal.log" -Value $logEntry
        
        if (-not $NoRestart) {
            Write-Host "Le système redémarrera dans 60 secondes..." -ForegroundColor Yellow
            shutdown /r /t 60 /c "La suppression de KB5079391 nécessite un redémarrage"
        }
    } else {
        throw "wusa.exe a échoué avec le code de sortie $($process.ExitCode)"
    }
} catch {
    Write-Error "Échec de la suppression de KB5079391 : $($_.Exception.Message)"
    exit 1
}

Déployez le script de retour en arrière via la stratégie de groupe si nécessaire :

1. Copiez le script dans SYSVOL : \domain.com\SYSVOL\domain.com\scripts\
2. Créez un nouveau GPO appelé "Retour en arrière d'urgence KB5079391"
3. Accédez à Configuration de l'ordinateur > Paramètres Windows > Scripts > Démarrage
4. Ajoutez le script PowerShell avec les paramètres appropriés

Pour un retour en arrière immédiat sur plusieurs systèmes, utilisez la télécommande PowerShell :

# Retour en arrière d'urgence de la flotte
$computers = Get-ADComputer -Filter "OperatingSystem -like '*Windows 11*'" | Select-Object -ExpandProperty Name
Invoke-Command -ComputerName $computers -ScriptBlock {
    wusa.exe /uninstall /kb:5079391 /quiet /norestart
} -ThrottleLimit 10

Vérification : Testez les procédures de retour en arrière sur des systèmes pilotes d'abord. Confirmez que la mise à jour est supprimée en vérifiant la sortie de Get-HotFix et l'historique de Windows Update.

Établir une surveillance et un rapport complets pour l'ensemble du cycle de vie du déploiement. Créer des rapports automatisés qui suivent la progression de l'installation, les échecs et la santé du système après le déploiement.

Configurer des rapports WSUS automatisés à l'aide de PowerShell :

# Créer un rapport quotidien sur l'état du déploiement
$wsus = Get-WsusServer
$update = $wsus.GetUpdates() | Where-Object {$_.KnowledgebaseArticles -contains "5079391"}

# Obtenir les statistiques d'installation
$groups = $wsus.GetComputerTargetGroups()
$report = @()

foreach ($group in $groups) {
    if ($group.Name -in @("Pilot Ring", "Early Adopters", "Broad Deployment")) {
        $computers = $group.GetComputerTargets()
        $total = $computers.Count
        
        $installed = 0
        $failed = 0
        $pending = 0
        
        foreach ($computer in $computers) {
            $status = $computer.GetUpdateInstallationInfoPerUpdate($update)
            switch ($status.UpdateInstallationState) {
                "Installed" { $installed++ }
                "Failed" { $failed++ }
                "NotInstalled" { $pending++ }
            }
        }
        
        $report += [PSCustomObject]@{
            Group = $group.Name
            Total = $total
            Installed = $installed
            Failed = $failed
            Pending = $pending
            SuccessRate = if($total -gt 0) { [math]::Round(($installed / $total) * 100, 2) } else { 0 }
        }
    }
}

# Générer un rapport HTML
$html = $report | ConvertTo-Html -Title "KB5079391 Deployment Status" -PreContent "
Rapport de déploiement KB5079391 - $(Get-Date)
"
$html | Out-File "C:\Reports\KB5079391_Status_$(Get-Date -Format 'yyyyMMdd').html"

Créer un tableau de bord de surveillance qui suit :

• Taux de réussite des installations par anneau de déploiement
• Installations échouées avec codes d'erreur
• Métriques de stabilité du système après installation
• Volume de tickets du service d'assistance liés à la mise à jour

Configurer des alertes par e-mail pour les seuils critiques :

# Alerte si le taux d'échec dépasse 5%
foreach ($ring in $report) {
    $failureRate = if($ring.Total -gt 0) { ($ring.Failed / $ring.Total) * 100 } else { 0 }
    
    if ($failureRate -gt 5) {
        $subject = "ALERTE : Taux d'échec élevé KB5079391 dans $($ring.Group)"
        $body = "Taux d'échec : $failureRate% ($($ring.Failed)/$($ring.Total) systèmes)"
        Send-MailMessage -To "admin@company.com" -Subject $subject -Body $body -SmtpServer "mail.company.com"
    }
}

Vérification : Confirmer que la surveillance fonctionne en vérifiant que les rapports sont générés correctement et que les seuils d'alerte déclenchent les notifications appropriées lors des scénarios de test.