Windows Server 2003 Service Pack 1: herramienta de bloqueo temporario
|
Descripción
Mientras reconocen los beneficios de Windows Server 2003 Service Pack 1 (SP1) en materia de seguridad, algunas organizaciones han solicitado la posibilidad de desactivar temporariamente la entrega automática de esta actualización a través de Automatic Updates (AU) y Windows Update (WU).
La herramienta de bloqueo se encuentra disponible para las organizaciones con AU habilitadas en sus servidores. De esta manera, dichas empresas podrán asegurarse la entrega de actualizaciones críticas, pero tendrán la posibilidad de inhabilitar la actualización automática de Windows Server 2003 SP1 a través de las AU programadas a partir del 26 de julio de 2005. La herramienta de bloqueo también impedirá la oferta de Windows Server 2003 SP1 desde Windows Update y Microsoft Update.
Por favor tenga en cuenta que el mecanismo para desactivar temporariamente la entrega de Windows Server 2003 SP1 se encontrará disponible a partir del 30 de marzo de 2006. Al final de este período, Windows Server 2003 SP1 se distribuirá entre todos los servidores de Windows Server 2003.
La herramienta contiene tres componentes:
1. Un ejecutable Microsoft
2. Un script
3. Una plantilla ADM
1) El ejecutable crea la clave de registro y asigna el valor asociado al servidor sobre el que está corriendo para bloquear o desbloquear (según la opción de línea de comando utilizada) la entrega de Windows Server 2003 SP1 en ese servidor a partir de AU o WU. La clave utilizada es HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate.
Cuando se utiliza la opción de línea de comando /B, se crea el valor clave de nombre ‘DoNotAllowSP’y su valor se configura en ‘1’. Este valor bloquea la entrega de Windows Server 2003 SP1 al servidor a raíz de AU o WU.
Cuando se utiliza la opción de línea de comando /U se elimina el valor del registro previamente creado que bloqueó temporariamente la entrega de Windows Server 2003 SP1 al servidor a través de AU o WU. Si el valor no existe en el servidor desde donde corre, ninguna acción tiene lugar.
2) El script opera igual que el ejecutable, pero permite la especificación del nombre de la máquina sobre la que se realizará la acción. De esta manera, se puede especificar un sistema remoto sobre el cual bloquear o desbloquear la entrega de Windows Server 2003 SP1.
Tenga en cuenta que el ejecutable y el script han sido testeados solamente como una herramienta de línea de comando, y no en conjunto con otras herramientas de administración de sistema o mecanismos de ejecución remota.
3) La plantilla ADM permite que los administradores importen la configuración de la nueva política de grupo para bloquear o desbloquear la entrega de Windows Server 2003 SP1 en el entorno de su Política de Grupo y usar esta Política de Grupo para ejecutar de modo central la acción a través de sistemas de su entorno.
