WSUS - Configuración Clientes
Anuncio
Fundamentos de Seguridad Servidor de Actualizaciones (WSUS): Configuración de clientes y aprobación de actualizaciones Si nuestros pc cliente forman parte de un dominio su configuración es realmente fácil, tan solo tenemos que crear una directiva (GPO), ir a Configuración del equipo > Plantillas administrativas > Componentes de Windows > Windows Update. Una vez ahí solo tenemos que habilitar la directiva Especificar la ubicación del servicio Windows Update en la Intranet Veamos Comencemos con ingresar a la administración de las directivas de grupo Cuando estemos acá. Presionamos clic derecho DomainControllersPolicy y seleccionamos la opción Editar. sobre Seguimos la ruta de la gráfica y nos ubicamos en Windows Update. Default Fundamentos de Seguridad Hacemos doble clic para editarla, como vemos solamente tendremos que indicarle la dirección del servidor de actualizaciones, en mi caso http://ws2008R2. Presionamos clic en Aceptar y listo, ya tenemos configurada la directiva para que nuestros pc cliente accedan a nuestro servidor WSUS. Fundamentos de Seguridad Ahora solo tenemos que esperar que se reinicien los PC para que carguen la nueva configuración, o bien podemos forzar que carguen las nuevas directivas usando el comando gpupdate desde cada equipo cliente. Otras configuraciones "No mostrar la opción 'Instalar actualizaciones y Apagar' en el cuadro de diálogo Apagar": Esta configuración de directiva le permite determinar si la opción 'Instalar actualizaciones y Apagar' se muestra en el cuadro de diálogo Salir de Windows. Si habilita esta directiva, 'Instalar actualizaciones y Apagar' no aparecerá como una opción en el cuadro de diálogo Salir de Windows, incluso si hubiera actualizaciones disponibles para instalar cuando el usuario selecciona la opción Apagar en el menú Inicio. Si deshabilita o no configura esta directiva, la opción 'Instalar actualizaciones y Apagar' aparecerá en el cuadro de diálogo Salir de Windows si hubiera actualizaciones disponibles cuando el usuario selecciona la opción Apagar en el menú Inicio. Fundamentos de Seguridad "No ajustar la opción predeterminada a 'Instalar actualizaciones y Apagar' en el cuadro de dialogo Apagar": Esta configuración de directiva le permite determinar si la opción 'Instalar actualizaciones y Apagar' se muestra como la opción predeterminada en el diálogo Salir de Windows. Si habilita esta directiva, la última opción de cierre del usuario (Hibernar, Reiniciar, etc.) será la opción predeterminada en el cuadro de diálogo Salir de Windows, independientemente de si la opción 'Instalar actualizaciones y Apagar' está disponible en la lista '¿Qué desea que haga el equipo?'. Si deshabilita o no configura esta directiva, la opción 'Instalar actualizaciones y Apagar' será la opción predeterminada en el cuadro de diálogo Salir de Windows si hubiera actualizaciones disponibles para ser instaladas cuando el usuario selecciona la opción Apagar en el menú Inicio. Tenga en cuenta que esta configuración no tendrá ningún efecto si está habilitada la opción Configuración del equipo\Plantillas administrativas\Componentes de Windows\Actualización de Windows\No mostrar 'Instalar actualizaciones y Apagar' en la configuración de directiva de la casilla de diálogo Salir de Windows. Fundamentos de Seguridad "Configurar actualizaciones automáticas": Especifica si este equipo recibirá actualizaciones de seguridad y otras descargas importantes a través del servicio de actualización automática de Windows. Esta opción permite especificar si las actualizaciones automáticas están habilitadas en este equipo. Si el servicio está habilitado, debe seleccionar una de las cuatro opciones disponibles para Directiva de grupo: 2 = Notificar antes de descargar las actualizaciones y notificar de nuevo antes de instalarlas. Cuando Windows busca actualizaciones aplicables al equipo, aparece un icono en el área de estado con un mensaje que indica que ya se pueden descargar las actualizaciones. Haga clic en el icono o mensaje para tener acceso a la opción que permite seleccionar las actualizaciones específicas que se van a descargar. A continuación, Windows descarga las actualizaciones seleccionadas en segundo plano. Una vez finalizada la descarga, aparece nuevamente el icono en el área de estado y se notifica que las actualizaciones ya se pueden instalar. Haga clic en el icono o mensaje para tener acceso a la opción que permite seleccionar las actualizaciones que se van a instalar. 3 = (Valor predeterminado) Descargar las actualizaciones automáticamente y enviar una notificación cuando se puedan instalar. Windows busca actualizaciones aplicables al equipo y las descarga en segundo plano (el usuario no recibe ninguna notificación o interrupción durante este proceso). Una vez finalizada la descarga, aparece el icono en el área de estado y se notifica que las actualizaciones ya se pueden instalar. Haga clic en el icono o mensaje para tener acceso a la opción que permite seleccionar las actualizaciones que se van a instalar. 4 = Descargar las actualizaciones automáticamente e instalarlas en la programación especificada a continuación. Fundamentos de Seguridad Especifique la programación con las opciones de Directiva de grupo. Si no especifica ninguna programación, la configuración predeterminada para todas las instalaciones será diariamente a las 3:00 a.m. Si alguna de las actualizaciones requiere que se reinicie el equipo para completar la instalación, Windows lo hará automáticamente. (Si un usuario inicia una sesión en el equipo cuando Windows está a punto de reiniciarse, el usuario recibirá una notificación y podrá retardar el reinicio del sistema.) 5 = Permitir que los administradores locales seleccionen el modo de configuración en que Actualizaciones automáticas notifica e instala actualizaciones. Con esta opción, los administradores locales podrán usar el panel de control de Actualizaciones automáticas para seleccionar la opción de configuración de su elección. Por ejemplo, pueden elegir su propia hora programada de instalación. Los administradores locales no podrán deshabilitar la configuración de Actualizaciones automáticas. Para usar esta configuración, haga clic en Habilitado y seleccione una de las opciones (2, 3, 4 o 5). Si selecciona la opción 4, podrá establecer una programación recurrente (si no especifica ninguna programación, todas las instalaciones tendrán lugar diariamente a las 3:00 a.m.). Si el estado se establece en Habilitado, Windows reconocerá si el equipo está en línea y usará la conexión a Internet para buscar en el sitio Web de Windows Update todas las actualizaciones aplicables a este equipo. Si el estado se establece en Deshabilitado, las actualizaciones que haya disponibles en el sitio Web de Windows Update se tendrán que descargar e instalar manualmente desde http://windowsupdate.microsoft.com. Si el estado se establece en No Configurado, el uso de actualizaciones automáticas no estará especificado para Directiva de grupo. Sin embargo, un administrado puede aún configurar actualizaciones automáticas desde el Panel de control. Fundamentos de Seguridad "Especificar la ubicación del servicio Microsoft Update en la intranet": Indica a un servidor de la intranet que aloje actualizaciones del sitio Web de Microsoft Update. Puede usar este servicio de actualización para actualizar automáticamente equipos de la red. Esta opción permite especificar un servidor de la red para que funcione como un servicio de actualización interno. El cliente de actualizaciones automáticas buscará en este servicio actualizaciones que sean aplicables a los equipos de su red. Para usar esta opción, tiene que establecer dos valores de nombre de servidor: el servidor desde donde el cliente de actualizaciones automáticas detecta y descarga las actualizaciones y el servidor en el que las estaciones de trabajo actualizadas cargan las estadísticas. Puede establecer ambos valores en el mismo servidor. Si el estado se estable en Habilitado, el cliente de actualizaciones automáticas se conecta al servicio Microsoft Update de la intranet especificado, en lugar de hacerlo a Windows Update, para buscar y descargar actualizaciones. Al habilitar esta opción, los usuarios finales de su organización no tendrán que usar un servidor de seguridad para obtener actualizaciones y, además, tendrá la posibilidad de probar las actualizaciones antes de distribuirlas. Si el estado se establece en Deshabilitado o No configurado y, además, las actualizaciones automáticas no están deshabilitadas por las directivas o las preferencias del usuario, el cliente de actualizaciones automáticas se conecta directamente al sitio Web de Windows Update en Internet. Fundamentos de Seguridad "Habilitar que el cliente pueda ser un destino": Fundamentos de Seguridad Especifica el nombre o nombres de grupos de destino que deben usarse para recibir actualizaciones procedentes de un servicio Microsoft Update de la intranet. Si el estado se establece en Habilitado, la información del grupo de destino especificado se envía al servicio Microsoft Update de la intranet, que la usa para determinar qué actualizaciones se deben implementar en este equipo. Si el servicio Microsoft Update de la intranet admite varios grupos de destino, esta directiva puede especificar varios nombres de grupo separados por puntos y comas. En caso contrario, hay que especificar un solo grupo. Si el estado se establece en Deshabilitado o No configurado, no se enviará información del grupo de destino al servicio Microsoft Update de la intranet. "Volver a programar la instalación programada de actualizaciones automáticas": Especifica la cantidad de tiempo que Actualizaciones automáticas debe esperar después de que un sistema se inicie, antes de proceder con una instalación programada que no se pudo realizar con anterioridad. Si el estado se establece en Habilitado, las instalaciones programadas que no se hayan realizado se efectuarán después del número especificado de minutos posteriores al siguiente inicio del equipo. Si el estado se establece en Deshabilitado, las instalaciones programadas que no se hayan realizado se efectuarán en la siguiente instalación programada. Si el estado se establece en No configurado, las instalaciones programadas que no se hayan realizado se efectuarán un minuto después del siguiente inicio del equipo. Fundamentos de Seguridad "No reiniciar automáticamente en instalaciones de Actualizaciones automáticas": Fundamentos de Seguridad Especifica que, para finalizar una instalación programada, Actualizaciones automáticas debe esperar a que cualquier usuario con sesión iniciada reinicie el equipo, en vez de reiniciar el equipo automáticamente. Si el estado se establece en Habilitado, Actualizaciones automáticas no reiniciará el equipo automáticamente durante una instalación programada si un usuario tiene una sesión iniciada en el equipo. En cambio, Actualizaciones automáticas notificará al usuario que debe reiniciar el equipo para que las actualizaciones surtan efecto. Tenga en cuenta que el equipo debe reiniciarse para que las actualizaciones surtan efecto. Si el estado se establece en Deshabilitado o No configurado, Actualizaciones Automáticas notificará al usuario que el equipo se reiniciará automáticamente en 5 minutos para finalizar la instalación. "Frecuencia de detección de Actualizaciones automáticas": Especifica las horas que Windows usará para determinar cuánto debe esperar antes de comprobar si existen actualizaciones disponibles. El tiempo de espera exacto se determina sustrayendo del total de horas aquí especificadas un 0-20% de las mismas. Por ejemplo, si esta directiva se usa para especificar una frecuencia de detección de 20 horas, todos los clientes a los que se les aplica esta directiva comprobarán si existen actualizaciones cada intervalo de 16 a 20 horas. Si el estado se establece en Habilitado, Windows comprobara si existen actualizaciones disponibles en el intervalo especificado. Si el estado se establece en Deshabilitado o No configurado, Windows comprobará si existen actualizaciones disponibles en el intervalo predeterminado de 22 horas. Fundamentos de Seguridad "Permitir la instalación inmediata de Actualizaciones automáticas": Específica si Actualizaciones automáticas debe instalar automáticamente algunas actualizaciones que no interrumpen los servicios de Windows ni lo reinician. Si el estado se establece en Habilitado, Actualizaciones automáticas instalará automáticamente estas actualizaciones una vez que se descarguen y estén listas para instalarse. Si el estado se establece en Deshabilitado, dichas actualizaciones no se instalarán automáticamente. Fundamentos de Seguridad "Retrasar el reinicio para las instalaciones programadas": Especifica la cantidad de tiempo que Actualizaciones automáticas debe esperar antes de proceder con un reinicio programado. Si el estado se establece en Habilitado, se producirá un reinicio programado en el número especificado de minutos después de que finalice la instalación. Si el estado se establece en Deshabilitado o No configurado, el tiempo de espera predeterminado será de 5 minutos. Fundamentos de Seguridad "Volver a pedir la intervención del usuario para reiniciar con instalaciones programadas": Especifica la cantidad de tiempo que Actualizaciones automáticas debe esperar antes de volver a pedir la intervención del usuario con un reinicio programado. Si el estado se establece en Habilitado, se producirá un reinicio programado después del número especificado de minutos posteriores a la anterior petición de intervención de usuario pospuesta. Si el estado se establece en Deshabilitado o No configurado, el intervalo predeterminado será de 10 minutos. Fundamentos de Seguridad "Permitir que los usuarios que no sean administradores reciban notificaciones de actualización": Especifica si los usuarios que no son administradores, al tener una sesión iniciada, recibirán notificaciones de actualización basadas en los parámetros de configuración de Actualizaciones automáticas. Si Actualizaciones automáticas se configura (por medio de directiva o localmente) para notificar al usuario antes de la descarga o únicamente antes de la instalación, dichas notificaciones se ofrecerán a cualquier usuario que no sea administrador cuando inicie una sesión en el equipo. Si el estado se establece en Habilitado, Actualizaciones automáticas incluirá a usuarios que no sean administradores cuando determine qué usuarios con sesión iniciada deben recibir notificaciones. Si el estado se establece en Deshabilitado o No configurado, Actualizaciones automáticas sólo notificará a los administradores con sesión iniciada. Fundamentos de Seguridad "Activar actualizaciones recomendadas a través de Actualizaciones automáticas: Especifica si Actualizaciones automáticas suministrará tanto las actualizaciones importantes como las recomendadas por el servicio de actualización de Windows Update. Cuando esta directiva esté habilitada, Actualizaciones automáticas instalará las actualizaciones recomendadas, así como las actualizaciones importantes desde el servicio de actualización de Windows Update. Cuando esté deshabilitada o no configurada, Actualizaciones automáticas seguirá suministrando actualizaciones importantes si ya está configurada para hacerlo. Fundamentos de Seguridad "Habilitar la administración de energía a Windows Update para que despierte automáticamente al sistema": Especifica si Actualizaciones automáticas utilizará las características de administración de energía de Windows para despertar automáticamente al sistema de su hibernación, si hay actualizaciones programadas para su instalación. Windows Update sólo despertará automáticamente al sistema si Windows Update está configurado para instalar actualizaciones automáticamente. Si el sistema está en hibernación cuando llegue la hora de instalación programada y hay actualizaciones que deban aplicarse, Windows Update utilizará las características de administración de energía de Windows para despertar automáticamente al sistema e instalar las actualizaciones. Windows Update también despertará al sistema e instalará una actualización si se alcanza una fecha límite para instalar. El sistema no se despertará a menos que haya actualizaciones para instalar. Si el sistema se ejecuta con batería cuando Windows Update se despierte, no se instalarán las actualizaciones y el sistema volverá automáticamente al estado de hibernación transcurridos 2 minutos. Fundamentos de Seguridad "Permitir el contenido firmado procedente de la ubicación del servicio Microsoft Update de la intranet": Especifica si Actualizaciones automáticas debe aceptar actualizaciones firmadas por otras entidades distintas de Microsoft cuando la actualización procede de una ubicación de los servicios de Microsoft Update en la intranet. Si el estado se establece en Habilitado, Actualizaciones automáticas aceptará las actualizaciones recibidas desde una ubicación de los servicios de Microsoft Update en la intranet si están firmadas por un certificado existente en el almacén de certificados "Editores de confianza" del equipo local. Si el estado se establece en Deshabilitado, las actualizaciones procedentes de una ubicación de los servicios de Microsoft Update en la intranet deben estar firmadas por Microsoft. Las actualizaciones procedentes de un servicio distinto del de Microsoft Update de la intranet tienen que estar siempre firmadas por Microsoft independientemente de si esta directiva está Habilitada o Deshabilitada. Bien, una vez configuradas las directivas cerramos la consola y ejecutamos gpupdate desde el controlador de dominio para que se apliquen inmediatamente las directivas que acabamos de configurar. Fundamentos de Seguridad Hemos visto cómo hacer que las máquinas que forman nuestro dominio/red accedan a nuestro servidor de actualizaciones, a continuación vamos a ver qué pasa en el servidor cuando "detecta" dichas máquinas, y como configurar que actualización(es) se deben instalar en que equipo(s). En nuestro servidor abrimos la consola de administración UpdateServices (en Herramientas del Sistema), vamos a la sección de equipos y vemos cuantos equipos acceden a nuestro servicio de actualizaciones. Puede haber varios o ninguno, todo depende del estado de sincronismo entre los equipos y el servidor En caso de tener alguno, si hacemos doble clic sobre el equipo se nos abrirá un informe con todas las actualizaciones que necesita, pudiendo ir aprobando una a una todas las que necesite o las que consideremos nosotros necesarias. Sin embargo la opción más fácil, es ir al servidor de actualizaciones a la sección Actualizaciones, seleccionar una o varias a la vez, clicar con el botón derecho sobre una y pulsar sobre Aprobar. Por ejemplo seleccionar una actualización del .NET Frameworks 3.5.Acto seguido nos aparecerá una ventana preguntándonos para que estaciones de trabajo queremos aprobar las actualizaciones,se aprueba la actualización y se indica que es para todos. Una vez aprobada(s) y aceptada(s) la instalación(es) nos debe de aparecer una ventana como la siguiente. Nota: El servidor únicamente descargara desde Microsoft las actualizaciones que estén previamente aprobadas, es decir, para que nuestro servidor empiece a descargar una actualización hay que aprobarla primero. Ahora cuando las máquinas cliente se sincronicen con nuestro servidor WSUS, recibirán las notificaciones de actualización únicamente de las que hayamos aprobado en el servidor. En mi caso voy a mi equipo y en Windows Update selecciono Buscar Actualizaciones, y como se puede ver en la imagen solamente aparece la única que he aprobado. Presionamos clic en Aceptar y comenzará el proceso de actualización. Como veremos la actualización se realizará mucho más rápido.