A la découverte de WUDO (Windows Update Delivery Optimization)

Qu’est-ce que WUDO ?

Windows 10 a introduit en 2015 une nouvelle fonctionnalité appelée WUDO (Windows Update Delivery Optimization) améliorant la distribution des mises à jour de logiciels sur les postes de travail et serveurs. Elle permet de télécharger de manière distribuée des mises à jour en utilisant la bande passante des machines les ayant déjà installées en local.

Cette fonction est activée par défaut sur Windows 10 et utilise une partie de votre bande passante pour télécharger en pair à pair (P2P) des mises à jour de logiciels et les installer sur tous vos appareils connectés sur le même réseau (le réseau local).

Plutôt que de télécharger un fichier de mise à jour complet à partir d’une machine, l’optimisation de la livraison le divise en petits morceaux puis identifie la source de téléchargement la plus rapide et la plus fiable pour chaque partie du fichier.

L’optimisation de la livraison tient également compte de l’utilisation du disque local, de l’utilisation des réseaux cellulaires, de la durée de vie de la batterie et des autres activités du réseau. Cette fonctionnalité est intégrée à Windows et s’appuie sur les mesures de sécurité existantes dans Windows Update et Windows Store pour vérifier l’authenticité de chaque fichier téléchargé à partir d’autres PC. Il a notamment été conçu pour offrir une meilleure expérience de téléchargement des mises à jour, plus fiable et optimisée, en particulier pour les machines aux conditions de réseau difficiles à forte latence.

Suite à l’article du blog Windows Insider sur le build 14915 (« Announcing Windows 10 Insider Preview Build 14915 for PC and Mobile »), ils ont constaté une réduction de 30% à 50% de l’utilisation de la bande passante Internet requise pour maintenir à jour plusieurs PC sur le même réseau local avec les dernières versions et applications Insider Preview du Store.

Mais avec quelques inconvénients

Cependant, avec WUDO d’activé, Microsoft permet aux utilisateurs de récupérer des copies de mises à jour Windows 10 et 11 localisées dans le cache de n’importe quel PC relié à Internet. Lorsque cela arrive, le PC d’un utilisateur agit alors comme un serveur de substitution aux serveurs de Microsoft Update.

Cela peut impliquer une congestion du réseau entrainant une vitesse de téléchargement lente ou encore une latence élevée. En effet, tout utilisateur ayant cette fonctionnalité mal configurée peut se voir télécharger ses mises à jour depuis les 4 coins du monde ou bien fournir des mises à jour pour d’autres utilisateurs inconnus, n’importe où et n’importe quand.

Comment le désactiver ?

Ainsi, la fonctionnalité Wudo devient intéressante sur les réseaux d’entreprises à condition que celle-ci soit correctement configurée afin de ne récupérer les mises à jour que sur le réseau local et encore…

Il est donc conseillé de la désactiver sur les réseaux locaux contenant peu de machine comme les réseaux domestiques ou encore, par défaut, de la désactiver s’il n’y a pas la possibilité de configurer correctement cette fonctionnalité. En effet, dans les réseaux complexes, la configuration peut rapidement devenir laborieuse et prendre beaucoup de temps à réaliser correctement.

Sur un poste

Pour cela, pour désactiver la fonctionnalité Wudo sur un poste, cliquez sur le menu Démarrer > Paramètres > Mise à jour et sécurité > Windows Update > Options avancées (Si les options avancées ne sont pas disponibles, aller dans l’onglet « Optimisation de la distribution ». Dans celles-ci, dans « Choisir le mode de remise des mises à jour », allez dans « Choisir le mode de remise des mises à jour », puis faites glisser l’option sur « Désactivé ».

En image, réaliser la procédure comme suit :

Etape 1 : Aller dans le menu Démarrer de Windows puis cliquer sur Paramètres

Etape 3 : Aller dans l’onglet Optimisation de la distribution

Etape 4 : Désactiver l’autorisation de téléchargement des mises à jour à partir d’autres PC

Sur les machines membres d’un domaine Microsoft

Deux méthodes sont possibles afin de réaliser la désactivation. La première utilise la clé de registre directement. La seconde utilise un modèle de GPO.

Etape 1 : Aller dans le menu Démarrer de Windows Server et Cliquer sur Outils d’administration (Rechercher si non présent dans les raccourcis)

Etape 2 : Ouvrir l’application Gestion des stratégies de groupe

Etape 3 : Créer un nouvel objet de stratégie de groupe

Etape 4 : Cliquer droit sur la nouvelle GPO créée puis cliquer sur Modifier…

Une nouvelle fenêtre va alors s’ouvrir. A partir de là, deux méthodes s’offrent à vous. La première consiste à modifier directement la clé de registre tandis que la seconde va utiliser un modèle afin d’appliquer les modifications.

Méthode 1 : Création de la GPO via le registre

Création / Mise à jour d’une nouvelle propriété du registre et modifier la clé DODownloadMode présente à l’emplacement suivante : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DeliveryOptimization\Config

Méthode 2 : Création de la GPO via un modèle

Etape 1 : Aller dans le dossier « Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows » puis rechercher le modèle « Optimisation de la distribution ».

Si celui-ci n’existe pas, vous pouvez télécharger les modèles d’administration directement sur le site de Microsoft (« Administrative Templates (.admx) for Windows 10 (1607) and Windows Server 2016 »), puis après les avoir installés en local, copiez les dans le dossier « C:\Program Files (x86)\Microsoft Group Policy\Windows […]\… » sous « C:\Windows\SYSVOL\sysvol\[VotreDomaine]\Policies ».

Ainsi, pour désactiver WUDO, il ne manque plus à modifier le paramètre « Mode de téléchargement » à 0.

Etape 2 : Modifier le mode de téléchargement à http uniquement afin de contraindre la mise à jour directe.

Nouveauté Windows 10 & 11

Depuis la version 20H2 de Windows 10 et sur Windows 11, des nouveautés ont vus le jour :

• De nouvelles options de sélection d’homologue ont été ajoutées et ainsi, les options disponibles sont les suivantes :
  • 0 = NAT ;
  • 1 = Masque de sous-réseau ;
  • 2 = Découverte d’homologue local.

• Une nouvelle option de découverte d’homologues pour restreindre la sélection d’homologues a été ajouté. Cette option limite la découverte d’homologues locaux à l’aide du protocole DNS-SD. Lorsque vous définissez l’option 2, l’optimisation de la distribution limite la sélection d’homologues aux homologues qui sont découverts localement (à l’aide de DNS-SD).

Ainsi, il est tout à fait possible de configurer les machines d’un réseau afin qu’elles ne sortent pas sur Internet mais téléchargent leur mise à jour seulement entre elles.

Paramètres disponibles

Les paramètres d’optimisation de la distribution se trouvent dans Stratégie de groupe sous Configuration\Stratégies\Modèles d’administration\Composants Windows\Optimisation de la distribution. Voir Annexe 1.

Plusieurs modes de téléchargement des mises à jour sont disponibles : HTTP uniquement, LAN, Groupe, Internet, Simple et Contournement. (Pour plus d’information, se référer à l’annexe 2)

Le mode de téléchargement indique quelles sources les clients sont autorisés à utiliser pour télécharger des mises à jour Windows, en plus des serveurs Windows Update. Le tableau suivant présente les options disponibles pour le mode de téléchargement, ainsi que leur objectif.

Associé au Mode de téléchargement de groupe, l’ID de groupe, permet aux administrateurs de créer des groupes de périphériques personnalisés qui partagent le contenu entre les périphériques du groupe. Ainsi l’optimisation de la distribution utilise des mises à jour mises en cache localement. Si les appareils disposent d’un espace de stockage local suffisant et que vous souhaitez mettre en cache plus de contenu, ou si vous disposez d’un espace de stockage limité et que vous souhaitez réduire la quantité de contenu mis en cache, utilisez les paramètres suivants pour ajuster le cache d’optimisation de la distribution en fonction de votre scénario.

Selon les paramètres définis, il est possible de fixer la bande passante de téléchargement maximale au premier plan (En dehors de téléchargement via le LAN), la bande passante maximale de téléchargement en arrière-plan (En dehors de téléchargement via le LAN) – ceux-ci aussi définissable en pourcentage de bande passante -, ainsi que la bande passante maximale de chargement (En Ko/s)

Configuration de WUDO en réseau

Téléchargement local

Ce mode de fonctionnement par défaut (Mode de téléchargement égale à 1) permet le partage entre des pairs d’un même réseau. Le service cloud Optimisation de la distribution recherche les autres clients qui se connectent à Internet à l’aide de la même adresse IP publique que le client cible. Ces clients tentent ensuite de se connecter à d’autres homologues sur le même réseau à l’aide de leur adresse IP de sous-réseau privée.

L’inconvénient de ce mode est si la distance entre plusieurs machines du réseau local se trouvent à des endroits très éloignés physiquement. Il faudra alors privilégier plutôt un mode de fonctionnement par groupe.

Limitation grâce au téléchargement par groupe

Par défaut, le partage entre homologues sur les clients utilisant le mode de téléchargement de groupe est limité au même domaine dans Windows 10, version 1511 et au même domaine et au même site services de domaine Active Directory dans Windows 10, version 1607. À l’aide du paramètre ID de groupe, vous pouvez éventuellement créer un groupe personnalisé qui contient des appareils qui doivent participer à l’optimisation de la distribution, mais qui ne doivent pas se trouver dans ces limites de domaine ou de site des services de domaine Active Directory, y compris les appareils d’un autre domaine.

Sélectionner la source des ID de groupe

À l’aide de l’ID de groupe, vous pouvez limiter davantage le groupe par défaut (par exemple, vous pouvez créer un sous-groupe représentant un immeuble de bureaux) ou étendre le groupe au-delà du domaine, ce qui permet aux appareils de plusieurs domaines de votre organisation d’être des homologues. Ce paramètre nécessite la spécification du groupe personnalisé sous la forme d’un GUID sur chaque appareil appartenant à ce groupe.

À compter Windows 10 version 1803, définissez cette stratégie pour restreindre la sélection d’homologues à une source spécifique. Les options sont les suivantes :

• 0 = Non définie
• 1 = Site AD
• 2 = SID de domaine authentifié
• 3 = ID d’option DHCP (avec cette option, le client interrogera l’ID d’option DHCP 234 et utilisera la valeur GUID renvoyée comme ID de groupe)
• 4 = suffixe DNS
• 5 = À partir de Windows 10 version 1903, vous pouvez utiliser l’ID de locataire Azure Active Directory (AAD) comme moyen de définir des groupes. Pour ce faire, définissez la valeur de DOGroupIdSource sur sa nouvelle valeur maximale de 5.

Lorsqu’il est défini, l’ID de groupe est attribué automatiquement à partir de la source sélectionnée. Si vous définissez cette stratégie, la stratégie GroupID est ignorée. L’option définie dans cette stratégie s’applique uniquement au mode de téléchargement Groupe (2). Si Groupe (2) n’est pas définie en mode de téléchargement, cette stratégie est ignorée. Si vous définissez une valeur autre que 0-5, la stratégie est ignorée.

La solution Update Compliance

La solution Update Compliance permet de réaliser un état de l’optimisation de la distribution ainsi que des aides pour réaliser toutes les configurations. Cette solution fait partie de la suite Azure et il est nécessaire d’y souscrire pour un avoir accès.

Conseils et exemple de configuration de WUDO

Suivant les recommandations de Microsoft, pour un réseau de plus de 30 machines, il est conseillé de fixer à 10Mo la taille minimale de fichier à mettre en cache tout en ayant modifié le mode de téléchargement à 2. De plus, vous pouvez définir l’âge maximum du cache sur 604 800 (sur 7 jours) ou 30 jours selon les besoins.

Voici un exemple de configuration d’un groupe de sécurité pour effectuer les mises à jour. Il est conseillé que les machines membres partagent une même zone graphique.

Etape 1 : Aller dans l’outil Utilisateurs et ordinateur Active Directory puis créer un groupe d’ordinateurs.

Etape 2 : Dans le menu Affichage, activer les Fonctionnalités avancées

Etape 3 : Aller dans les propriétés du groupe que vous venez de créer et récupérer le GUID de celui-ci. Il sera utile afin de configurer l’ID de Groupe de la GPO.

Etape 4 : Modifier la GPO afin de configurer l’Optimisation de la distribution afin d’obtenir une GPO ressemblante au rapport suivant (Attention, ce rapport n’est qu’à titre informatif et peut ne pas être adapté à votre réseau) :

Pour conclure…

WUDO ou Windows Update Delivery Optimization reste une fonctionnalité très controversée car méconnue et assez peu documentée. On peut voir des machines se connecter à l’autre bout du monde afin de recevoir une mise à jour seulement à cause d’une mauvaise configuration au sein d’un réseau d’entreprise ou bien d’un réseau domestique. Même si Microsoft affirme que l’intégrité et l’authenticité sont assurées, il est difficile à dire si une personne malveillante peut l’exploitée. Il est alors conseillé de la désactiver faute d’information supplémentaire et pertinente.

Cependant, si cette fonctionnalité est correctement configurée et maîtrisée, il est possible de bénéficier d’une économie de bande passante non négligeable au sein d’un réseau tout en prévenant les connections non souhaitées à l’extérieur du système d’information.

Il y a cependant des limitations car chaque machine possède des caractéristiques différentes et cette fonctionnalité a tendance à consommer relativement beaucoup d’espace disques par exemple. Selon le disque installé, il pourrait y avoir de nombreuses latences et donc une dégradation des performances de la machine hôte.

Il est donc nécessaire de bien étudier WUDO avant d’approuver son utilisation ou non au sein d’un réseau d’entreprise afin de ne pas générer d’effets de bord indésirables telle qu’une utilisation anormale de lien à faible débit ou une dégradation des performances des machines. Ce d’autant, que l’analyse des incidents peut s’avérer complexe pour en trouver la cause.