Microsoft a publié ses bulletins de sécurité pour le mois d’octobre, dont cinq sont critiques. Cette fois, Windows 10 ne sera pas le seul à recevoir une mise à jour cumulative : Windows 7, 8, Server 2008 et Server 2012 seront concernés pour la première fois.
Comme chaque deuxième mardi de chaque mois, les Windows et Office toujours supportés ont reçu des correctifs de sécurité. Cinq sont critiques et il est recommandé aux utilisateurs de les installer sans attendre. Mais cette diffusion mensuelle marque aujourd'hui une importante bascule dans la manière dont sont distribués les correctifs.
Un seul téléchargement, une seule installation
En temps normal, Windows 10 reçoit son habituelle mise à jour cumulative, contenant l’ensemble des correctifs adaptés à la machine et tous ceux que l’utilisateur aurait ratés précédemment. Les autres plateformes recevaient jusqu’ici un correctif séparé par faille, ce qui provoque pour certains PC « en retard » une très longue liste de téléchargements et d’installations, avec la perte de temps que l’on connait.
Mais, comme annoncé en août, Windows 7, 8, Server 2008 et Server 2012 (et leurs déclinaisons R2) appliquent désormais le même modèle que Windows 10. Les nouveaux correctifs vont donc se présenter sous la forme d’une mise à jour unique, dans laquelle ils sont tous agglutinés. Il n’y aura qu’un seul téléchargement à valider, et l’installation se fera nettement plus rapidement. Vista n'est pas compris dans le lot, sans doute parce que son support s'arrête le 11 avril 2017.
Les anciens correctifs seront ajoutés petit à petit
Notez que cette mise à jour ne concerne pour l’instant que les nouveaux correctifs. À compter du mois prochain, la nouvelle contiendra les bulletins de novembre et ceux d’octobre, et ainsi de suite. Si une machine n’est pas connectée à Internet pendant plusieurs mois, le téléchargement se fera sur un pack comprenant les correctifs ratés, toujours en un seul fichier.
Autre point important : cette première mise à jour cumulative ne contient pas les correctifs passés. Le cycle ne démarre réellement qu’à compter de ce mois-ci. À partir de février prochain cependant, Microsoft ajoutera petit à petit les vieux bulletins jusqu’à ce qu’ils soient tous inclus. L’idée est d’intégrer tous les correctifs sortis depuis la dernière évolution majeure, par exemple le Service Pack 1 pour Windows 7.
Un gain de temps, mais quid d'un souci sur un correctif précis ?
L’avantage se devine aisément. Si l’utilisateur réinstalle justement Windows 7 SP1 après formatage, Windows Update ne lui proposera qu’une unique mise à jour, dont le téléchargement et l’installation seront bien plus rapides. Actuellement, il doit passer par la récupération de presque une centaine de correctifs séparés, chacun étant analysé, validé et installé. Si la machine utilise un vieux disque, l’opération peut être très longue.
Pour Windows 7, 8, Server 2008 et Server 2012 et bien sûr Windows 10, il faudra donc se rendre dans Windows Update dans la soirée et lancer le téléchargement proposé. Signalons cependant que cette méthode, pourtant pratique, comporte un défaut potentiellement pénible : si l’un des correctifs inclus dans le « pack » pose problème, c’est toute la mise à jour cumulative qu’il faudra désinstaller.
Commentaires (73)
Bonjour,
Même en basculant sur la version “en-us” de la pagehttps://technet.microsoft.com/fr-fr/security/bulletins et en m’assurant que les résultats de recherche soient triés par date, du plus récent au plus ancien, je ne vois rien publié hier.
Suis-je le seul ? (Est-ce la faute du proxy du boulot ? ^^ )
La News a un jour d’avance
C’est le deuxième mardi du mois normalement
Pas un jour, puisque les correctifs seront publiés dans la soirée. Ils ne sont pas encore indiqués sur le site de Technet. J’ai modifié la news en conséquence, mais le cœur du sujet ne change pas. 
" />
On est le 2ème mardi du mois ^^
C’est une très mauvaise solution pour l’entreprise, ça m’est déjà arrivé de dégager un KB qui foutait le bordel sur les servers, et là, vu que tout devient cumulatif, si un KB du lot est fautif, faut virer l’ensemble du cumulative patch. Du grand n’importe quoi.
Bref, je sens que dans WSUS et SCCM on va dl les KBs un par un et faire du déploiement sélectif. Si c’est encore possible.
En plus, si j’ai bien compris, le cumulative patch de Novembre, contiendra donc novembre et octobre, et ainsi de suite.
Donc, si t’as le malheur en Octobre d’avoir un KB fautif dans le lot, en gros, tu patchs plus jamais tes machines.
/facepalm
Je me sers d’une vieillerie de chez Microsoft pour chopper des KB à l’unité : http://catalog.update.microsoft.com/v7/site/Home.aspx (IE only
" />)
Je me souviens que sur Windows 7 deux MAJ posaient problème systématiquement et je devais les désinstaller. Ce nouveau principe d’update risque de créer plus de problème qu’autre chose.
Un truc que je pige pas: si le pack est cumulatif ça signifie que l’on re-telecharge et re-applique les maj des mois précédents?
A mon avis c’est une mauvaise idée cette histoire, la récupération pourrait se faire d’une traite mais l’installation aurait du restée par maj séparées.
C’était peut être pas faisable, mais à choisir, vaut mieux prendre plus de temps et pouvoir enlever ce qui va potentiellement bugger.
Sinon, ils peuvent aussi passer au p2p
" /> Plus sérieusement, malgré le soucis du correctif isolé qui risque de faire foirer toute la mise à jour, ça fait du bien pour les connexions légères 
" />
Non, comme tous les cumulative updates, il fera un delta avec ce qui est déjà installé, et n’installera que ce qui manque.
tu les retélécharges probablement tous, oui (vu que c’est un pack) mais si c’est pas trop mal foutu (** croise les doigts **) il devrait y avoir un contrôle que ne réinstalle que les KB manquantes.
(je suppose… ça serait un peu idiot sinon)
Bonne nouvelle, enfin si pas de problème avec certaines MAJ…
Sur une de mes machines (7SP1 - 64), ça fait des mois que WU cherche les mises à jour en boucle… Et quand il en trouve (+ de 150), impossible de les installer. :s
Les mecs dans les labs n’ont jamais vu une prod .. c’est la vie
" />
Sera-t-il toujours possible de télécharger et installer les KB individuellement, à condition de le faire manuellement (via le catalogue Windows Update, ou un outil dédié) ?
Si oui cela semble être un bon compromis, les mises à jour cumulatives remplacent l’option “installation rapide” pour la plupart des usagers, mais les entreprises (ou les utilisateurs avancés) peuvent toujours gérer les updates à la main, et éviter celles qui poseraient problème.
Ça éviterait à un bon nombre de petits utilisateurs de penser que leur ordinateur est obsolète parce que Windows Update fait tout ramer à chaque fois qu’ils allument leur machine.
Non, à un instant T, tu ne récupères que les mises à jour qui te manquent.
Il fallait simplement proposer des packs de mises à jour en téléchargement.
Des “combos update” comme le propose Apple. C’est tellement pratique.
OK mais, sous réserve que je comprenne bien la news, vous semblez dire qu’il n’y aura plus de publication de nouveaux correctifs individuels pour Windows 7 (et ce avant même que les correctifs mensuels, cumulatifs ou non, ne soient publiés) ?
Est-on vraiment certains qu’il n’y aura désormais pas d’autre choix que les mises à jour cumulatives ?
Arret du service WU
Suppression du dossier “C:\Windows\SoftwareDistribution”
Relance du service ou reboot.
Au redémarrage suivant, tu relances la recherche, enjoy !
Ils partent en sucette avec leur système de Maj.
Pour ca Windows 10 cest une horreur et impossible de les modifier comme on veut sans parler de l’écran qui apparaît par dessus toute application (y compris en jeu !!! ca m’enerve ca) qui nous prévient que de smaj sont dispos.
J’ose pas imaginer le bordel que ca va etre en entreprise. J’ai pas encore eu l’occasion de bosser sur du WSUS W2K12 .
Jusqu’en sept 2016 –> Maj unitaires
A partir d’aujourd’hui –> Cumulatives, les anciennes (avant aujourd’hui, restent dispo jusqu’à leur intégration dans les cumulatives à partir du 02/2017).
Donc cet unique paquet contient toutes les mises à jour sorties depuis lors ? Ou alors uniquement ceux dans la période concernée ?
Parce que si c’est le cas, ça doit être un sacré bordel à gérer chez Microsoft : un paquet pour les mises à jour de janvier à octobre 2016, un autre pour les MÀJ de mars à octobre, etc.
Tout est écrit dans l’actu : les màj cumulatives commencent ce mois-ci. Elles ne contiennent que les correctifs d’octobre. Celles de novembre contiendront octobre+novembre. Celles de décembre contiendront octobre+novembre+décembre. Et ainsi de suite.
A partir de février, MS introduira également chaque mois une partie des patchs plus anciens, donc sortis avant octobre. Y en a un sacré paquet de sortis entre le SP1 et le premier cumul.
Ah, au temps pour moi, j’avais mal compris. Donc on peut s’attendre à ce que le paquet devienne de plus en plus gros.
Les gens vous êtes trop chiant sérieux ! Vous râlez parce que lorsqu’une nouvelle installation est faite il faut télécharger xx mise à jours et dès que MS propose une solution à ce problème ça râle encore !
" />
Il faut aussi penser aux pros de l’informatique, qui vont devoir serrer les fesses à chaque “patch” et prier pour qu’une MAJ au milieu ne vienne mettre le bazar dans telle ou telle appli / fonction.
Aujourd’hui pouvoir sélectionner les correctifs à installer / désinstaller peut s’avérer vraiment utile.
Certes on gagnera en nombre / temps de téléchargement mais si c’est pour devoir passer des heures à fix / attendre un nouveau correctif par MS, aïe aïe aïe…
Par contre je n’ai pas bien compris l’histoire des correctifs de sécurité disponibles uniquement au mois via WSUS : comment cela se passera t’il si on ne télécharge / déploie pas le monthly rollup (qui contient entre autres les patchs de sécu) et qu’on loupe 1-2 mois de security update ?
Bon, à priori ça ne change rien… je vais attendre quelques heures…
" />
Merci quand même
Donc plus question de se passer des KB indésirables si je comprend bien ?
LA solution est ici :http://blogmotion.fr/systeme/mise-jour-windows-7-14841
La KB3172605 sert justement à changer le mode de mise à jour !
@coket Tu as quel version du Windows update agent ?
en powershell :
(Get-ChildItem ‘c:\windows\System32\wuauclt.exe’).versioninfo.productversion
Tu devrais avoir ça : 7.6.7601.23453
Pour y arriver tu as besoin de cette KB3020369 puis ça KB3172605
Edit : Grillé par @serpolet :P
Gros +1
" />
" /> 
" /> 
" />
Y’aura plus qu’à espérer que les Hotfix spécifiques aux problématiques rencontrées soient identifiés et publiés rapidos après le Cumulative Update qui fait tout (re)foirer…
Sur le WSUS au taf, j’ai dû “Approuver pour suppression” les KB3159398 et KB3170455 qui font foirer nos GPO de shortcuts et montages automatiques d’imprimantes…
Question bête,certes c’est cumulatif mais je pourrais savoir dans ce pack qu’elle kb va t’il installer en détail ?
Parce que bon j’ai masqué 2⁄3 kb lié à la télémétrie sur 7 sp1.j’aimerai pas qu’elle soit refourgué dedans.
Merci d’avance.
Euh je m’excuse mais tu as meilleur temps de corriger tes GPOs… It’s going to come back and bite you in the *ss….
De plus c’est relativement simple à corriger et adapter les GPOs.
Voir tous les commentaires élogieux sur la page du blog (à part quelques échecs) !
Microsoft pourrait faire une effort pour informer ses clients, je dis bien clients…
Je suis resté en rade plus d’un mois, après avoir essayé sans succès tous les “fixit” de la Terre, et puis je suis tombé par hasard sur ce blog !
Parfois j’ai l’impression que Microsoft se venge des utilisateurs qui ne sont pas passés à Windows 10 en leur pourrissant leur système actuel. Pas une bonne stratégie pour faire migrer à mon avis.
Oui…
" />
Mon avis est pas mal résumé par le commentaire précédent; ou pour forcer les utilisateurs à passer sur 10.
J’ai laissé un petit mot sur le blog aussi, et je me suis permis de citer les personnes qui m’ont mis sur la bonne piste
Je pousse toutes les MAJ sur les serveurs depuis longtemps. Je n’ai eu que peu de problèmes.
Je ne me vois pas étudier toutes les différentes kb, pas le temps.
Noter qu’il y a une MàJ facultative pour framework .NET selon le même principe de « Monthly Rollup » : la KB3179930.
Bon, c’est parti (sur W7 premium 64) : un cumulatif de 119,4 Mo + trois MàJ isolées (dont une pour mettre fin à GWX + outil de suppression), et un “roll up” pour framework. Total : 152 Mo
Il n’y a pas que des KBs foireux, il y en a des legit sans bugs, mais que tu peux pas passer dans un environnement donné.
J’ai qq exemples précis:
Bref, avec les monthly patches, suffira que dans le lot, une dans le style ci dessus soit incompatible avec ton environnement, et ben t’es baisé tu peux rien passer, super.
ArsTechnica a publié une news un peu plus complète sur le nouveau système de mise à jour pour Les Windows concernés (7, 8.1 et de 2008 à 2012 R2).
Apparemment il y aurait 3 types de mises à jours cumulatives :
Apparemment l’option 1 et 3 seraient dispo via Windows Update, WSUS et le Catalogue tandis que l’option 2 ne sera pas dispo via Windows Update mais uniquement via WSUS et le Catalogue.
Source :http://arstechnica.com/information-technology/2016/10/windows-patches-start-gett…
Avec un peu de chances, la cumulative centrée uniquement sur les mises à jours de sécurité aura été plus testée chez MS avant déploiement que celles contenant de simples mises à jour. Ce qui pourrait répondre à la problématique des entreprises de ne pas avoir une maj dans le lot qui casse tout.
Merci
" />
Ca devra forcément se résoudre avec une application de hotfix, qui sortiront après coup, laissant donc tout le temps aux plateformes de bien être en carafe de fonctionnalités…
Bon, visiblement les KB de sécurité restent tout de même disponibles de manière individuelle.
Cf. par exemplehttps://technet.microsoft.com/library/security/MS16-120 qui mentionne, pour 7, 2008 serveur et plus récents, à chaque fois un KB “security only” et le “monthly rollup”
.
Merci pour vos retours positifs ! J’avais moi aussi épuisé tous les forums et fixit de la planète que j’ai écrit ce billet :)
Bref… soit je ne fais plus de mise à jour, soit j’installe le cumulatif (et donc les patchs de télémétrie).
Pile je perds, face ils gagnent.
Petite erreur dans l’article, Windows Server 2008 n’est pas inclus dans ce modèle. Cela commence à 7 et 2008R2
sur W10 x86 c’est pas guère mieux, la mise à jour cumulative KB3194798 m’a pris plus de 2h, pour 421 Mo (donc en théorie 25 mn de dl chez moi), avec un comportement farfelu, quand le modem télécharge le % ne bouge pas, et qd il n’y a plus d’activité réseau Windows dit qu’il est en train de dl la KB 
" /> (je ne parle pas de l’installation qui se fait après)
Pour les GPOs il faut utiliser l’item level targeting ou alors donner l’accès en lecture à l’object computer.
En entreprise je confirme que c’est pas une nouvelle accueillie dans la joie pour l’instant. On se pose aussi la question du temps de reboot du serveur qui risque d’augmenter et la taille des fix à stocker localement sur les serveurs.
Effectivement
" /> 
" /> 
" />
" />
" />
“Déplacer” le groupe de filtrage de la sécurité de la GPO vers le ciblage côté préférence fonctionne, en remettant bien “Utilisateurs authentifiés”, comme préconisé par MS après l’application du KB3159398.
Mais faut avouer que c’est capillotracté…
L’autre effet Kiss Cool du ciblage côté préférence avec des groupes de sécurité, c’est que ça ne gère pas les groupes membres de groupes…
Dans mon cas précis, c’est gérable, mais c’est pour cette raison que j’avais abandonné ce type de filtrage…