Vous avez acquis des ESU pour Windows Server 2012 R2 et vous vous demandez si IIS 8.5 est protégé ? Oui. Ce guide explique la couverture exacte, les prérequis SSU/LCU, l’activation de la clé ESU, la vérification côté IIS, et le déploiement via WSUS/Configuration Manager.
Couverture d’IIS 8.5 par les ESU de Windows Server 2012 R2
Internet Information Services (IIS) 8.5 est un composant natif de Windows Server 2012 R2. À ce titre, il est inclus dans le périmètre des Extended Security Updates (ESU) du système d’exploitation. Concrètement, tant que votre abonnement ESU est actif et correctement appliqué, les correctifs de sécurité continuent d’être publiés et proposés via Windows Update/WSUS pour les binaires IIS et leurs dépendances au niveau OS (par exemple iiscore.dll, w3wp.exe, http.sys et autres composants servis par la pile de maintenance).
Les ESU ne fournissent que des correctifs de sécurité. Aucune nouveauté fonctionnelle ni correctif non sécuritaire ne sont fournis pendant cette période.
Réponse courte et exploitable
- Couverture confirmée : IIS 8.5 bénéficie des mises à jour de sécurité tant que l’ESU de Windows Server 2012 R2 est actif sur l’hôte.
- Périmètre : ESU couvre les composants natifs de l’OS (IIS, .NET Framework présent sur l’OS, PowerShell, pile réseau, etc.).
- Prérequis :
- Installer la dernière Servicing Stack Update (SSU) disponible pour 2012 R2.
- Installer la dernière cumulative mensuelle (Security Monthly Quality Rollup) avant l’activation ESU.
- Installer la clé ESU (MAK) et activer la licence (
slmgr /ipkpuisslmgr /ato).
- Vérification : après la fin de support standard (10 octobre 2023), les « Security Monthly Quality Rollup for Windows Server 2012 R2 » restent proposés et incluent les correctifs IIS.
Calendrier et portée des ESU
La période ESU pour Windows Server 2012 R2 s’étend sur trois vagues annuelles consécutives. Avec les trois vagues achetées et appliquées, la couverture va jusqu’au 13 octobre 2026.
| Période | Statut | Impact sur IIS 8.5 |
|---|---|---|
| Jusqu’au 10 octobre 2023 | Support étendu standard | Correctifs de sécurité livrés dans le cycle normal |
| Après le 10 octobre 2023 | ESU Année 1, puis Année 2, puis Année 3 | Correctifs de sécurité livrés via ESU, incluant IIS 8.5 |
| Après le 13 octobre 2026 | Fin d’ESU | Plus de correctifs publiés (migration/modernisation requise) |
Ce que les ESU couvrent et ce qu’ils ne couvrent pas
| Inclus | Exclus |
|---|---|
| Composants natifs de Windows Server 2012 R2 : IIS 8.5, PowerShell, pile HTTP, SMB, etc. | Améliorations non sécuritaires, nouvelles fonctionnalités, changements de comportement hors sécurité |
| .NET Framework installé avec l’OS (mises à jour de sécurité pour les versions prises en charge) | Modules ou extensions IIS hors OS (ex. ARR, URL Rewrite, Web Deploy) à mettre à jour séparément |
| Rollups mensuels sécurité (Security Monthly Quality Rollup) et « Security Only » si vous suivez ce modèle | Logiciels tiers installés sur le serveur (antivirus, agents, APM, etc.) |
Prérequis techniques côté système
La réussite d’un programme ESU se joue souvent sur des fondamentaux simples : pile de maintenance à jour, cumulative de référence, activation correcte de la clé et visibilité côté WSUS/Windows Update.
Mettre à jour la pile de maintenance (SSU)
La SSU est la brique qui permet à Windows d’installer d’autres mises à jour. Sur un serveur fraîchement réinstallé, vous devez en priorité amener la SSU à son niveau le plus récent supporté pour 2012 R2. Sans SSU récente, l’activation ESU et l’installation des rollups échoueront souvent avec des codes d’erreur génériques.
Installer la cumulative mensuelle de référence
Installez la dernière « Security Monthly Quality Rollup » disponible avant d’ajouter la clé ESU. Cela réduit les écarts de build et assure que les composants IIS soient dans un état cohérent pour recevoir les suivantes.
Activer la licence ESU
Sur chaque serveur, saisissez la clé ESU MAK fournie, puis activez :
slmgr /ipk <VOTRE-CLÉ-ESU>
slmgr /ato
Un redémarrage peut être requis selon l’état du serveur. Pour vérifier l’état de la licence :
slmgr /dlv
Permettre la détection des mises à jour
Selon votre modèle, utilisez Windows Update, Windows Server Update Services (WSUS) ou Microsoft Endpoint Configuration Manager. Vérifiez notamment :
- Produit « Windows Server 2012 R2 » coché dans WSUS/ConfigMgr.
- Classifications « Security Updates », « Update Rollups » et « Updates » activées.
- Proxy/TLS autorise les connexions sortantes vers les services d’update.
Procédure pas à pas recommandée
- Inventoriez vos hôtes : identifiez les rôles IIS (Web-Server) actifs et les versions .NET associées aux sites.
- Mettez à jour la SSU : amenez la pile au niveau le plus récent supporté pour 2012 R2.
- Installez la cumulative mensuelle la plus récente disponible avant ESU.
- Installez et activez la clé ESU sur chaque hôte (
slmgr /ipk,slmgr /ato). - Forcer une détection des mises à jour :
wuauclt /detectnow wuauclt /reportnow - Approuvez et déployez les rollups ESU via WSUS/ConfigMgr ou installez via Windows Update si l’hôte est connecté.
- Redémarrez si nécessaire, puis vérifiez IIS (voir méthodes ci‑dessous).
Vérifier qu’IIS 8.5 reçoit bien les correctifs ESU
Plusieurs méthodes complémentaires permettent de confirmer que les binaires IIS sont à jour.
Vérifier la présence des rollups ESU
Dans « Programmes et fonctionnalités → Mises à jour installées », recherchez les « Security Monthly Quality Rollup » publiées après le 10 octobre 2023. En PowerShell :
Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 20
Contrôler les packages avec DISM
dism /online /get-packages /format:table | more
Cherchez les packages marqués « Security Update » et/ou « Monthly Quality Rollup » avec des dates postérieures à la fin de support standard. Cela atteste que la chaîne ESU fonctionne.
Comparer les versions de fichiers IIS clés
Contrôlez la version de quelques binaires sensibles :
%SystemRoot%\System32\inetsrv\iiscore.dll%SystemRoot%\System32\inetsrv\w3wp.exe%SystemRoot%\System32\drivers\http.sys
$paths = @(
"$env:SystemRoot\System32\inetsrv\iiscore.dll",
"$env:SystemRoot\System32\inetsrv\w3wp.exe",
"$env:SystemRoot\System32\drivers\http.sys"
)
$paths | ForEach-Object {
if (Test-Path $_) {
$v = (Get-Item $_).VersionInfo
'{0} {1}' -f $_, $v.FileVersion
}
else {
'{0} [introuvable]' -f $_
}
}
Les versions doivent évoluer au rythme des rollups. Conserver des versions anciennes alors que des rollups récents sont installés trahit un échec de déploiement.
Inspecter les journaux d’update
Sur 2012 R2, C:\Windows\WindowsUpdate.log reste pertinent. Cherchez les lignes relatives aux rollups sécurité postérieures au 10/10/2023 pour valider que le scan/installation s’est déroulé sans erreur.
Scénarios WSUS et Configuration Manager
Déploiements en environnement connecté
- Activez le produit « Windows Server 2012 R2 » et la classification « Security Updates ».
- Créez des groupes cibles (IIS production, pré‑prod, etc.) et appliquez des anneaux de déploiement.
- Surveillez le taux de conformité et corrigez les échecs (proxy, espace disque, service Windows Update, BITS).
Environnements hors ligne
Vous pouvez exporter les mises à jour depuis un WSUS connecté et les importer vers un WSUS isolé. Ensuite, approuvez les rollups ESU pour les groupes IIS. Configuration Manager peut également piloter un point de mise à jour logiciel offline avec packages hors connexion.
Bonnes pratiques de sécurité pour IIS 8.5 pendant ESU
- Réduire la surface : n’installez que les rôles/fonctionnalités Web nécessaires, désactivez les modules non utilisés.
- Chiffrement moderne : privilégiez TLS 1.2, désactivez SSLv3/TLS 1.0/1.1, durcissez les suites de chiffrement.
- Permissions minimales : identités d’application isolées, ACL strictes sur
inetsrvet répertoires d’applications. - Journalisation : activez les logs IIS et HTTP.sys, surveillez les codes 4xx/5xx et les pics anormaux.
- Chaîne applicative : mettez à jour .NET et bibliothèques, appliquez les correctifs applicatifs en parallèle des rollups OS.
Cas particuliers et FAQ
Les correctifs ESU incluent-ils .NET Framework ?
Oui, pour les versions de .NET prises en charge sur 2012 R2 et livrées via les canaux Windows Update/WSUS. Les mises à jour .NET sécurité continuent d’être publiées pendant ESU.
IIS Express est-il couvert ?
Non concerné : IIS Express est un composant développeur distinct. ESU vise l’OS serveur et IIS 8.5 en tant que rôle Windows.
Qu’en est-il des extensions IIS (ARR, URL Rewrite, Web Deploy) ?
Ces composants ne font pas partie du cœur de l’OS et suivent leurs propres cycles. Surveillez et mettez à jour ces éléments séparément, surtout s’ils sont exposés en frontal.
Serveurs dans le cloud
Sur les instances hébergées qui bénéficient d’un droit ESU inclus, assurez-vous que l’agent/l’activation côté plateforme est opérationnel et que la stratégie d’update applique bien les rollups pour 2012 R2.
Pourquoi est-ce qu’aucune mise à jour n’apparaît après activation ?
- SSU ou cumulative de base manquante ;
- Clé ESU mal saisie ou activation échouée ;
- WSUS sans la bonne classification/produit ;
- Proxy/TLS bloquant la détection ;
- Service Windows Update ou BITS arrêté/défaillant.
Contrôles rapides à intégrer à vos checklists
| Contrôle | Commande/Action | Résultat attendu |
|---|---|---|
| Rôle IIS installé | Get-WindowsFeature -Name Web-Server | Installed |
| Activation ESU | slmgr /dlv | Licence ESU affichée, activation OK |
| Packages sécurité post‑EOSS | dism /online /get-packages | Rollups sécurité datés > 10/10/2023 |
| Version binaires IIS | Script PowerShell ci‑dessus | File versions alignées avec le mois courant |
Script d’audit minimal IIS + ESU
Ce script PowerShell vous donne un instantané rapide : rôle IIS, état licence ESU (via slmgr), derniers hotfixes et versions de fichiers clés.
# Vérifier le rôle IIS
$web = Get-WindowsFeature -Name Web-Server -ErrorAction SilentlyContinue
"`n[IIS] Rôle Web-Server : {0}" -f ($(if($web -and $web.Installed) {'Installé'} else {'Non installé'}))
# Afficher un extrait d'information de licence ESU
"`n[ESU] État (extrait slmgr) :"
try { cscript.exe //nologo c:\windows\system32\slmgr.vbs /dlv | Select-Object -First 40 } catch {}
# Derniers correctifs installés
"`n[HotFix] 10 derniers correctifs :"
Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 10 | Format-Table -AutoSize
# Versions de binaires IIS clés
"`n[Files] Versions binaires IIS :"
$targets = @(
"$env:SystemRoot\System32\inetsrv\iiscore.dll",
"$env:SystemRoot\System32\inetsrv\w3wp.exe",
"$env:SystemRoot\System32\drivers\http.sys"
)
foreach ($p in $targets) {
if (Test-Path $p) {
$vi = (Get-Item $p).VersionInfo
"{0}`t{1}" -f $p, $vi.FileVersion
} else {
"{0}`t[introuvable]" -f $p
}
} Gestion opérationnelle et hygiène de patching
- Anneaux de déploiement : pré‑production → pilote → production, avec délais échelonnés.
- Fenêtres de maintenance : cadrez les redémarrages et les bascules de pools applicatifs IIS.
- Surveillance : alertez sur l’absence de rollup N‑1/N‑2, pas plus loin.
- Restauration : plan de rollback (snapshot VM, sauvegarde bare‑metal, export appHost.config).
- Documentation : journalisez les KB appliquées et l’impact sur vos SLAs.
Capacités et limites à connaître
Les ESU assurent la livraison de correctifs critiques/important pour le cœur système, dont IIS. En revanche, elles ne changent pas l’obsolescence globale de la plateforme. Les faiblesses structurelles (anciens modules, frameworks non supportés, protocoles dépréciés) restent des risques. Il est donc recommandé de profiter des ESU comme d’un délai contrôlé pour planifier une modernisation vers des versions de Windows Server en support et/ou vers IIS 10.x.
Parcours de modernisation conseillé
- Audit applicatif : cartographiez sites, versions .NET, dépendances ISAPI/CGI, modules natifs.
- Compatibilité : validez l’exécution sur Windows Server 2019/2022 et IIS 10.x en pré‑prod.
- Automatisation : script d’install
Web-Server, modules, bindings, certificats, règles ARR/URL Rewrite. - Observabilité : modernisez la télémétrie (ETW, logs structurés, APM) avant bascule.
- Fenêtre de migration : planifiez avant la fin d’ESU (13/10/2026) pour éviter un gel sécurité.
Check-list de fin
- SSU et cumulative de base appliquées sur tous les hôtes 2012 R2.
- Clé ESU installée/activée, détection OK via Windows Update/WSUS.
- Rollup sécurité récent appliqué, redémarrage effectué si requis.
- Vérifications ciblées IIS : versions des binaires, logs sans erreurs, tests de charge/sondes applicatives OK.
- Plan de modernisation défini et daté < 13/10/2026.
Conclusion
Oui, IIS 8.5 sur Windows Server 2012 R2 est couvert par les ESU tant que l’abonnement est actif et les prérequis respectés. En pratique, les « Security Monthly Quality Rollup » continuent d’inclure les correctifs IIS après le 10 octobre 2023. Le succès dépend d’une pile de maintenance à jour, d’une activation ESU valide, d’un pipeline de déploiement maîtrisé (WSUS/ConfigMgr) et d’une hygiène de sécurité solide. Utilisez cette fenêtre jusqu’au 13 octobre 2026 pour sécuriser vos workloads et préparer la transition vers une plateforme supportée.