Introducción
• Dentro de la administración de servidores y estaciones un
elemento importante es la gestión de las actualizaciones.
• Se ha mencionado que periódicamente aparecen Service
Packs, Hot fix, etc., que corrigen ciertos errores que se
identifican en los sistemas operativos y en las
aplicaciones.
• En este unidad se detallaran las distintas formas que se
disponen para la distribución de actualizaciones.
2
Objetivos
• Identificar las herramientas para gestión de
actualizaciones.
• Implementar WSUS
3
Índice
•
•
•
•
•
•
•
¿Qué son las actualizaciones?
¿Cómo saber que actualizaciones se necesita?
Modelo de Gestión de Actualizaciones
WU y MU
Actualizaciones Automáticas
Herramientas para la Gestión de Actualizaciones
Windows Server Update Services (WSUS)
4
¿Qué son las actualizaciones?
• Correcciones de seguridad, actualizaciones críticas y
controladores importantes.
• Solucionan puntos débiles de seguridad conocidos y
problemas de estabilidad.
5
¿Cómo saber que actualizaciones se necesita?
• Microsoft Baseline Security Analyzer (MBSA)
• Ayuda a identificar sistemas Windows vulnerables
• Trabaja con Windows 2000 y versiones superiores
6
Modelo de Gestión de Actualizaciones
• Windows Update es una ampliación en línea de Windows
• Actualiza los sistemas operativos de Microsoft Windows, el
software y los controladores de dispositivos.
• El sitio se renueva con contenido frecuentemente
• Las notificaciones se envían directamente al escritorio
7
WU y MU
• Windows Update
• http://update.microsoft.com/windowsupdate
• Solo actualiza (corrige) Windows.
• Microsoft Update
• http://update.microsoft.com/microsoftupdate
• Actualiza (corrige):
• Windows
• Office
• Exchange
• Otros productos de Microsoft
8
Actualizaciones Automáticas
• El software de cliente de actualizaciones automáticas
puede descargar paquetes del sitio público de Windows
Update o de un servidor en el que se ejecute Software
Update Services
9
¿Cómo funciona?
Microsoft Update
Clientes Windows XP
Clientes Windows Server
10
Herramientas para la Gestión de Actualizaciones
• Usuario Final y Pequeña
Empresa:
Microsoft Update
• Pequeña y Mediana Empresa:
Windows Software Update
Services (WSUS)
• Mediana Empresa y
Corporaciones:
System Management Server
(SMS)
11
Windows Server Update Services (WSUS)
• WSUS provee actualizaciones de seguridad para los
sistemas operativos Microsoft Windows y otras
aplicaciones.
• Permite que desde un servidor central se descarguen
automáticamente los parches y actualizaciones para los
clientes en ves de hacerlo desde Microsoft Windows
Update.
• Se puede utilizar el conjunto con políticas de grupo del
ADS.
• WSUS se desarrolló a partir de Software Update Services
(SUS), el que solo podía actualizar parches del sistema
operativo.
12
¿Cómo funciona?
Microsoft Update
Servidor WSUS
Administrador
Clientes Windows XP
Target Group 1
Clientes Windows Server
Target Group 2
El
Administrador
instala
los
aprueba
parches
lasel
aprobados
actualizaciones
por
elde
administrador
Los
El agente
Administrador
servidor
clientes
descarga
se registran
pone
se suscribe
las
a los
actualizaciones
en
clientes
aservidor
las categorías
en diferentes
desde
Microsoft
actualizaciones
target groups
Update
13
Componentes
• Microsoft Update
• Windows Server Update Services
• Web Site
• MSDE/SQL
• Automatic Updates Client
Microsoft Update
• Windows 2000 Server y Professional
• Windows XP Professional
• Windows Server 2003
Servidor WSUS
Clientes
14
Requisitos de instalación del servidor
• Requisitos del Servidor:
•
•
•
•
Windows 2003 SP1 o Windows 2000 SP4
Procesador: Mínimo 750 GHZ, recomendado mas de 1 Ghz
Memoria RAM: Mínimo 512 MB, recomendado mas de 1 GB.
Particiones en formato NFTS
• Requisitos de Software:
•
•
•
•
IIS 6.0 para Windows 2003 o IIS 5.0
Microsoft Background Intelligent Transfer Service (BITS) 2.0
Microsoft NET Framework 1.1 SP1
Software de base de Datos: WSUS en Windows Server 2003
incluye Windows SQL Server™ 2000 Desktop Engine (WMSDE).
15
Escenarios de Implementación
• Servidor Único
• Un solo servidor interactúa
con Microsoft Update (MU) y
distribuye las actualizaciones
a los clientes.
• Para PYME o red simple.
• Múltiples Servidores
• Un solo servidor interactúa
con MU y sincroniza con
otros servidores.
• Estos servidores distribuyen
las actualizaciones.
• Útil para balanceo de carga.
• Para gran empresa o red
compleja.
16
Selección de la Base de Datos
• La Base de datos de WSUS se utiliza para almacenar
información sobre la configuración y las actualizaciones
(metadata, etc).
Base de Datos recomendada por sistema Operativo
Sistema operativos
Recomendación
Windows Server 2003
Si está instalando WSUS en Windows
2003 Server y no quiere utilizar SQL
Server 2000, utilice WMSDE.
Windows 2000 Server
Si está instalando WSUS en Windows
2000 Server y no quiere utilizar SQL
Server 2000, utilice MSDE.
17
Ubicación de las Actualizaciones
• Las actualizaciones en si no se guardan en la metadata.
• Dos opciones:
• Local: Sistema de archivos local
• Remoto: Microsoft Update (sólo almacenamos la información
acerca de las actualizaciones)
• Depende de dónde estén los clientes en relación al WSUS
• Clientes en “red local” – Local file system
• Clientes “fuera” – Microsoft Update
18
Instalación de WSUS
• La instalación consta de:
•
•
•
•
•
Configuración del Firewall.
Preparación de discos y particiones.
Instalación del software requerido.
Instalación de IIS.
Ejecutar WSUS Server Setup.
• Utilizar WMSDE
• Actualizaciones almacenadas localmente
• Utilizar sitio Web predeterminado (puerto 80)
19
Administración
• Servidor
• Interfaz Web de WSUS
• Sincronización de updates
• Metadata
• Archivos de instalación
• Creación de grupos de computadores
• Aprobación de updates para cada grupo
• Cliente
• Modificación de registro a través de:
• GPOs Local o GPOs de Active Directory
• Logon Script u otro método
20
Interfase WSUS
• WSUS, proporciona una interfase Web, para administrar el
servicio.
21
Sincronización de WSUS
• El servidor WSUS baja actualizaciones basado en:
• Productos o Familia de productos (por ejemplo Windows 2003)
• Clasificaciones o Tipo de Actualización (por ejemplo Critical
Update o Security Update)
• La sincronización puede ser:
• Manual
• Automática
Sincronización automática
Internet
Microsoft Update
LAN
Servidor
WSUS
Sincronización manual
22
Productos y Clasificaciones
• Productos y Familia de Productos
•
•
•
•
•
•
Windows 2000 Family SP3 >
Windows XP Family
Windows Server 2003 Family
Exchange Server 2000/2003
SQL Server 2000
Office 2002(Xp)/2003
Método de actualización
• Instalación estándar: Descarga y reemplaza el fichero
completo.
• Más costoso para el cliente y la red local.
• Instalación Express: Descarga e instala solo “deltas”
(diferencias)
• Más costoso para el servidor WSUS y el enlace WAN
24
Grupos de Equipos
• Permiten dirigir las actualizaciones a equipos específicos
• Dos grupos predeterminados: Todos los equipos y
Equipos sin asignar.
• Comprende:
• Especificar como se realizará la asignación
• Crear los grupos.
• Trasladar las computadoras a los grupos.
• Se pueden crear grupos para probar las actualizaciones.
Todos los equipos
Grupo Prueba
Grupo Contabilidad
25
Aprobación de Actualizaciones (updates)
• La aprobación define la acción que se debe realizar con
las actualizaciones.
• Estados
•
•
•
•
• Si no se aprueba una actualización, el estado figura como
“No aprobado” (Not Approved)
• Se puede configurar una aprobación por defecto.
• Excepción: Critical Update y Security Update, son
automáticamente aprobadas para detección.
26
Aprobación de Actualizaciones (updates)
27
Configuración de Clientes
• Las opciones disponible dependen del entorno.
• Active Directory
• Políticas de Grupo: GPOs en el Directorio Activo.
• Sin Active Directory
• Políticas de Grupo Local: Manualmente utilizando gpedit.msc.
• Editando el Registry:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Wi
ndowsUpdate
28
Configuración de Clientes
29
Información de los clientes
30
Reglas para la Gestión de Parches con WSUS
• Configurar un servidor de pruebas en el que se ejecute
Software Update Services.
• Conectar un equipo cliente de pruebas que cumpla la
configuración de la línea de base de los escritorios de la
organización.
• Instalar la actualización y probar todas las aplicaciones de
la organización.
• Aprobar Software Update Services para distribuir las
actualizaciones a los clientes.
31
Opciones de configuración
• Tiempo de instalación de actualizaciones ya descargadas
después de reiniciar.
• Frecuencia de actualización en el cliente.
• No reiniciar automáticamente tras la instalación.
• Demorar el reinicio.
• Comportamiento de la descarga y la instalación.
• Frecuencia de los recordatorios para reiniciar tras la
instalación.
• Instalar actualizaciones al Apagar.
• Apariencia del botón de Apagar.
• Usuarios no administradores pueden aprobar descargas e
instalaciones.
32
Consideraciones de Seguridad
• WSUS siempre detrás de un firewall.
• Sobre el sistema operativo securizado.
• Utilizar siempre SSL.
• Los clientes deben validarse con su certificado de máquina para
recibir las actualizaciones.
• Usar una CA pública si no se tiene la opción de distribuir una CA
raíz corporativa (nada más sencillo con Directorio Activo).
33
Enlaces
• Technet WSUS
• http://technet.microsoft.com/en-us/wsus/default.aspx
• Wiki
• http://www.wsuswiki.com/
34
Bibliografía
• Website de Technet
• http://www.microsoft.com/technet
• Website de WSUS
• http://www.microsoft.com/spain/technet/seguridad/herramientas/ws
us.mspx