Télécharger WindowsServer2003‑KB923845‑x86‑ENU.exe (BITS 2.5) pour MECM sur Windows Server 2003

Vous devez déployer un client MECM sur un ancien Windows Server 2003 SP2 (x86) ? Ce guide explique comment récupérer et installer en toute sécurité le correctif KB923845 (BITS 2.5), vérifier son authenticité, appliquer les mises à jour complémentaires et éviter les écueils courants.

Mise à disposition de WindowsServer2003‑KB923845‑x86‑ENU.exe

Problématique

• Vous devez installer le client MECM sur un serveur Windows Server 2003 SP2 (x86).
• Ce client exige BITS 2.5, fourni par la mise à jour KB923845.
• Le fichier d’installation (WindowsServer2003‑KB923845‑x86‑ENU.exe) n’est plus proposé dans le Microsoft Update Catalog ni sur le centre de téléchargement de Microsoft.

Solutions appliquées ou recommandées

Étape	Détails pratiques
1. Recherche d’une source fiable	Les dépôts Microsoft officiels ne sont plus accessibles. Il faut donc : • consulter des instantanés Wayback Machine du centre de téléchargement Microsoft ; • explorer des miroirs d’anciens correctifs (ex. catalogues « legacyupdate » ou bibliothèques techniques universitaires) ; • vérifier la signature numérique et le hachage SHA‑1/MD5 du fichier avant exécution.
2. Installation	Exécuter WindowsServer2003‑KB923845‑x86‑ENU.exe sur le serveur, redémarrer, puis confirmer que le service Background Intelligent Transfer Service s’exécute en version 2.5 (fichiers BITS tels que qmgr.dll / bits.dll en version 6.6.x).
3. Correctifs complémentaires	Après KB923845, appliquer les derniers correctifs cumulés sortis avant le 14 juillet 2015 (par ex. le Update Rollup KB2894844) pour limiter les vulnérabilités résiduelles.
4. Vérification côté MECM	Les éditions récentes de Microsoft Endpoint Configuration Manager ne prennent plus en charge Windows Server 2003. Seul un ancien SCCM 2007/2012 (encore trouvable sur un support MSDN ou VLSC d’époque) acceptera un agent 2003.

Contexte et objectifs

De très nombreux environnements industriels et applicatifs hérités restent dépendants de serveurs Windows Server 2003 pour des raisons de compatibilité applicative. Pour y orchestrer des déploiements (inventaires, distribution de packages, conformité), le client MECM/SCCM nécessite BITS 2.5 afin de bénéficier du téléchargement différé, de la reprise et du contrôle de bande passante. L’objectif de ce guide est d’aider à retrouver le binaire WindowsServer2003‑KB923845‑x86‑ENU.exe, de l’installer proprement, puis de sécuriser au mieux une plateforme EoL.

Avant de commencer : prérequis, garde‑fous et périmètre

• État de support : Windows Server 2003 est hors support depuis le 14 juillet 2015. Toute mise en production doit être strictement encadrée (isolement réseau, supervision, sauvegardes, tests de restauration).
• Périmètre : ce guide vise Windows Server 2003 SP2 (x86). Les éditions Itanium/x64 et les SP inférieurs ne sont pas couvertes.
• Pré‑requis logiciels probables (selon vos packages MECM/société) : Windows Installer 3.1, WMI opérationnel, MSXML 6.0. Vérifiez vos normes internes.
• Accès administrateur local requis
• Fenêtre de maintenance : un redémarrage est généralement nécessaire après l’application du KB.

Retrouver le binaire KB923845 en toute sécurité

Sources raisonnables (sans lien direct)

• Instantanés d’archives du centre de téléchargement Microsoft (via Wayback Machine) : ciblez la page d’origine de KB923845 et récupérez le binaire WindowsServer2003‑KB923845‑x86‑ENU.exe.
• Miroirs techniques « legacy » : certains catalogues « legacyupdate » ou bibliothèques universitaires conservent des collections de patchs historiques.
• Supports internes : ISOs, partages d’équipe, dépôts WSUS/SUS obsolètes, images de référence, ou archives de projet peuvent déjà contenir le fichier authentique.

Contrôles d’authenticité indispensables

Avant exécution, isolez le fichier, scannez‑le, puis effectuez ces vérifications sur une machine de confiance (de préférence hors Internet) :

1) Vérifier la signature numérique (Authenticode)

1. Clic droit sur le fichier → Propriétés → onglet Signatures numériques.
2. Confirmez l’éditeur Microsoft Corporation et que la signature est valide.
3. Affichez le certificat et vérifiez la chaîne jusqu’à une AC Microsoft connue (racine de confiance).

2) Calculer l’empreinte SHA‑1/MD5

Sur une machine disposant des outils appropriés, exécutez :

certutil -hashfile WindowsServer2003-KB923845-x86-ENU.exe SHA1
certutil -hashfile WindowsServer2003-KB923845-x86-ENU.exe MD5

Comparez les empreintes avec vos références internes (notes d’archives, CMDB, tickets anciens, ou capture d’écran de la page d’origine). À défaut, calculez les hachages sur plusieurs postes distincts et consignez‑les pour traçabilité.

3) Taille et horodatage

Un décalage notable (fichier trop petit/énorme) est un indicateur de risque. L’onglet Détails doit exposer des versions cohérentes (fichiers internes signés par Microsoft, dates antérieures au 14/07/2015).

4) Extraction à blanc (facultatif)

Sans installer, vous pouvez extraire le contenu pour inspection :

WindowsServer2003-KB923845-x86-ENU.exe /extract:C:\Temp\KB923845</code></pre>
  <p>Examinez les DLL et fichiers <em>spuninst</em>; vérifiez les signatures et versions internes.</p>

  <div>
    <h4>Encadré – Bonnes pratiques d’archivage</h4>
    <ul>
      <li>Conservez le binaire <em>et</em> un fichier texte <code>.hash</code> avec SHA‑1/MD5.</li>
      <li>Ajoutez une capture d’écran de l’onglet de signature numérique.</li>
      <li>Rangez le tout dans un coffre documentaire (lecture seule) avec un numéro de ticket de changement.</li>
    </ul>
  </div>
</section>

<section>
  <h2>Procédure d’installation contrôlée</h2>

  <h3>Checklist pré‑installation</h3>
  <ul>
    <li>Sauvegarde système ou snapshot de VM effectué.</li>
    <li>Aucun job critique planifié pendant la fenêtre.</li>
    <li>Antivirus en mode compatible (surveillance active OK, mais évitez un sur‑blocage des EXE signés Microsoft).</li>
    <li>Services de base OK : <em>RPC</em>, <em>COM+ Event System</em>, <em>System Event Notification</em>.</li>
  </ul>

  <h3>Installation silencieuse (recommandée pour scripts)</h3>
  <pre><code>WindowsServer2003-KB923845-x86-ENU.exe /quiet /norestart /o
REM Codes attendus&nbsp;: 0 (succès), 3010 (succès + redémarrage requis)
</code></pre>

  <h3>Installation interactive</h3>
  <ol>
    <li>Exécutez le binaire en <em>Administrateur</em>.</li>
    <li>L’assistant « Update » s’ouvre ; poursuivez jusqu’à la fin.</li>
    <li>Redémarrez lorsqu’il est demandé (ou planifiez un redémarrage ultérieur en production).</li>
  </ol>

  <h3>Vérifications post‑installation</h3>
  <p>Après redémarrage :</p>
  <ul>
    <li>Service :<br>
      <pre><code>sc query BITS
sc qc BITS

L’état doit être RUNNING (ou Stopped si démarrage manuel) et le type de démarrage typiquement Auto ou Manual. Version BITS (exemples) :

bitsadmin /info /allusers /verbose
wmic datafile where name="C:\\Windows\\System32\\qmgr.dll" get Version
wmic datafile where name="C:\\Windows\\System32\\bits.dll" get Version

Objectif : obtenir des composants en 6.6.x correspondant à BITS 2.5. Journal d’installation (si échec) : consultez le dossier %windir%\$NtUninstallKB923845$\spuninst et les fichiers setupapi*.

Retour arrière (rollback) si nécessaire

%windir%\$NtUninstallKB923845$\spuninst\spuninst.exe /quiet /norestart

Validez ensuite l’état BITS et vos applications critiques.

Correctifs complémentaires conseillés

KB923845 n’est qu’une étape. Pour réduire la surface d’attaque d’un OS hors support, appliquez vos derniers rollups approuvés avant 14/07/2015, par exemple KB2894844 (selon vos normes). Ajoutez, si pertinent :

• Windows Installer 3.1 (si absent ou corrompu).
• MSXML 6.0 et correctifs associés encore disponibles.
• Dernier agent Windows Update compatible 2003 (si vous opérez un WSUS interne legacy).

Important : consignez chaque patch (version, hash, source, date) et testez vos applications métier après chaque étape.

Intégration MECM/SCCM sur Windows Server 2003

Support produit

Les branches actuelles de MECM n’acceptent pas Windows Server 2003 comme client. Orientez‑vous vers un SCCM 2007 (SP2 recommandé) ou certaines éditions SCCM 2012 d’époque, en environnement isolé et figé. Évitez les cohabitations hasardeuses avec des rôles récents (MP/DP modernes exigent TLS 1.2, fonctionnalités indisponibles sur 2003).

Paramètres côté client

• Activez la throttling BITS pour maîtriser la bande passante (fenêtres horaires, limites Kbps).
• Vérifiez les logs client :
  %WINDIR%\ccmsetup\Logs\ccmsetup.log, client.msi.log, puis %WINDIR%\System32\CCM\Logs\CAS.log, DataTransferService.log, LocationServices.log, CCMExec.log.
• Réseau : ouvrez les ports nécessaires (RPC, SMB, HTTP/HTTPS de vos points de distribution). Restez en HTTP/NTLM si votre infra 2003 ne peut pas du tout négocier TLS 1.2, et isolez strictement.

Commande utile pour diagnostiquer BITS

bitsadmin /list /allusers /verbose
bitsadmin /reset /allusers

Dépannage ciblé

Symptôme	Cause probable	Remède
« The update is not applicable to your system »	SP manquant, édition non x86, build incohérente ou KB déjà installé.	Confirmez Windows Server 2003 SP2 (x86), vérifiez winver et la présence d’un dossier $NtUninstallKB923845$.
Code retour 3010	Succès avec redémarrage requis.	Planifiez un redémarrage contrôlé puis relancez vos vérifications.
BITS ne démarre pas (0x80070422)	Service désactivé ou dépendance (COM+ / Event System) indisponible.	sc config BITS start= demand, démarrez COM+ Event System et RPC, puis net start BITS.
Téléchargements MECM figés	Quota BITS trop bas, proxy ou filtrage SSL, authentification obsolète.	Ajustez la throttling, testez en HTTP interne, vérifiez les DataTransferService.log.
Échec signature numérique	Binaire altéré ou source non fiable.	Reprenez depuis une source sûre ; comparez empreintes SHA‑1/MD5 documentées en interne.

Scripts d’aide (CMD)

Contrôler rapidement l’état BITS et versions de DLL :

@echo off
echo === Etat du service BITS ===
sc query BITS
echo.
echo === Version des composants BITS (qmgr.dll / bits.dll) ===
for %%F in ("C:\Windows\System32\qmgr.dll" "C:\Windows\System32\bits.dll") do (
  if exist "%%~F" (
    wmic datafile where name="%%~fF" get version
  ) else (
    echo %%~nxF introuvable
  )
)
echo.
echo === Taches BITS (tous utilisateurs) ===
bitsadmin /list /allusers /verbose

Sécurité : ce qu’il faut absolument faire

• Segmentez le serveur 2003 sur un VLAN dédié ou un réseau à part. N’autorisez que les flux strictement requis.
• Coupez Internet pour ce serveur autant que possible. Pas de navigation, pas d’email.
• Renforcez SMB (SMBv1 est risqué) en limitant les partages et en forçant des ACL strictes.
• Journalisez : activez des logs centralisés (événements système, firewall, tentatives d’authentification).
• Contrôlez les comptes : pas d’admin de domaine connecté en permanence, MDP forts, pas de comptes dérogatoires inutiles.
• Plan de migration : définissez une trajectoire vers Windows Server 2016+ (ou vers des conteneurs/VM modernes) dès que possible.

Chemin de migration conseillé

La seule voie pérenne consiste à migrer vos charges de travail hors de Windows Server 2003. Les bénéfices clés : TLS 1.2+, déduplication, Defender avancé, mises à jour régulières, intégration MECM moderne, nouvelles stratégies de sécurité et capacités de monitoring. Si une réécriture applicative n’est pas envisageable à court terme, envisagez :

• Encapsuler l’application dans une VM isolée, avec snapshot et restauration automatisés.
• Proxifier les échanges via des relais sécurisés (reverse proxy, passerelle applicative).
• Virtualiser les dépendances (base de données, partages) sur des OS supportés, avec conversions de protocoles (SMB moderne, TLS).

FAQ – Questions fréquentes

Le KB923845 est‑il indispensable pour MECM ?

Pour un client SCCM/MECM sur Windows Server 2003, BITS 2.5 est requis. KB923845 est la voie standard pour fournir cette version sur 2003 SP2 (x86). Comment prouver l’authenticité du fichier ?

Vérifiez la signature numérique Microsoft et comparez les empreintes SHA‑1/MD5 aux références internes (archives, CMDB). À défaut, ne déployez pas. Des alternatives ?

Il n’existe pas d’alternative sûre à BITS 2.5 pour ce scénario. Vous pouvez toutefois pré‑stager les contenus MECM par partage réseau, mais sans BITS vous perdez reprise/économie de bande passante. Peut‑on rester durablement sur 2003 ?

Non. Même patché, l’OS reste exposé (SSL 3.0, SMBv1, absence de SHA‑256 dans le noyau, etc.). Considérez ce guide comme une mesure transitoire, en attendant la migration.

Récapitulatif opérationnel

Action	Commande / Contrôle	Résultat attendu
Vérifier la signature	Propriétés → Signatures numériques	Signature Microsoft valide
Calculer les hachages	certutil -hashfile ... SHA1	Empreintes documentées et stables
Installer KB923845	... /quiet /norestart	Code 0 ou 3010
Redémarrer	Planifié pendant la fenêtre	Système stable
Valider BITS 2.5	wmic ... qmgr.dll get Version	Version 6.6.x
Éprouver MECM	Vérifier les logs CCM	Téléchargements et inventaires OK
Sécuriser	Segmentation, ACL, journaux	Surface d’attaque réduite

Information additionnelle utile

• Fin de support : Windows Server 2003 n’a plus reçu de mises à jour de sécurité ni de support officiel depuis le 14 juillet 2015.
• Risque : même correctement patché, l’OS présente de graves failles non corrigeables (SSL 3.0, SMBv1, absence de SHA‑256 dans le noyau, etc.).
• Voie pérenne : migrer les charges de travail vers au moins Windows Server 2016 (ou vers des conteneurs/VM modernes) reste la seule approche sécurisée à long terme. Cela permet également de déployer un agent MECM actuel, de bénéficier de TLS 1.2, de la déduplication et de fonctionnalités de sécurité renforcées.

Annexe : modèle de procédure interne

1. Collecte : récupérer le binaire depuis une source archivistique connue. Documenter le chemin d’accès et l’horodatage.
2. Contrôle : signature Microsoft valide, empreintes SHA‑1/MD5 consignées.
3. Validation : extraction à blanc, inspection des DLL, antivirus OK.
4. Test : installation sur une VM de préproduction clonée du serveur cible + tests applicatifs.
5. Changement : CAB de changement approuvé, fenêtre de maintenance, point de restauration/snapshot, plan de retour arrière.
6. Déploiement : installation silencieuse, redémarrage, vérifications BITS et MECM.
7. Clôture : rapport post‑changement, artefacts d’authenticité (hash, captures), mise à jour CMDB.

Conclusion

Le correctif KB923845 demeure la pierre angulaire pour activer BITS 2.5 sur Windows Server 2003 SP2 (x86) et permettre l’installation d’un client MECM/SCCM hérité. Même si ce guide vous donne une marche à suivre précise, considérez‑le comme un pont vers la migration : l’exploitation durable d’un OS hors support doit rester l’exception absolue, strictement confinée et pilotée par un plan de retrait.