Administración de revisiones con SUS
En esta página
Objetivos
Utilice este módulo para:
| • | Implementar las cuatro fases del proceso de administración de revisiones con SUS y MBSA. |
Marco de aplicación
Este módulo se aplica a los siguientes productos y tecnologías:
| • | Microsoft® Software Update Services (SUS) 1.0 con Service Pack 1 |
| • | Microsoft Baseline Security Analyzer (MBSA) versión 1.1.1 |
Uso del módulo
Este módulo proporciona detalles sobre la forma en que se debe utilizar SUS y MBSA para implementar el proceso de administración de revisiones de cuatro fases.
Para obtener el máximo provecho de este módulo:
| • | Lea el módulo "El Proceso de administración de revisiones". Obtendrá una breve descripción de cada una de las cuatro fases del proceso de administración de revisiones así como una introducción a las herramientas disponibles que admiten la administración de revisiones en los entornos del sistema operativo Microsoft Windows®. | ||||||||
| • | Lea detalladamente los siguientes cuatro módulos que describen el proceso de administración de revisiones de cuatro fases:
| ||||||||
| • | Lea "Software Update Services Deployment White Paper", que se puede descargar en el sitio de SUS en http://www.microsoft.com/windowsserversystem/sus/default.mspx. | ||||||||
| • | Lea la introducción de "Microsoft Baseline Security Analyzer", la cual se encuentra en http://www.microsoft.com/mbsa. |
Resumen
Este módulo incluye el uso de SUS Y MBSA para proporcionar administración de revisiones de la empresa. La guía e información que se incluye en este módulo mostrará la forma en que se debe implementar el proceso de administración de cuatro fases que es recomendado por Microsoft.
Antes de comenzar
Antes de comenzar utilice este módulo, debe realizar los siguientes pasos de preparación:
| • | Descargue MBSA Descargue MBSA en la página principal de MBSA, la cual se encuentra en http://www.microsoft.com/technet/security/tools/mbsahome.mspx. |
| • | Descargue el archivo MBSA XML más reciente Si el equipo que utiliza tiene acceso a Internet, el archivo de seguridad XML más reciente se descargará automáticamente en caso de que sea necesario. Si su equipo no tiene acceso a Internet, no obstante, tiene que bajar el archivo XML más reciente mediante el archivo .cab firmado en la siguiente ubicación: http://download.microsoft.com/download/xml/security/1.0/NT5/EN-US/mssecure.cab. El archivo .cab está firmado para asegurar que no se ha modificado. Debe descomprimirlo y almacenarlo en la misma carpeta en donde está almacenado MBSA. Nota Para ver el archivo XML más reciente sin descargarlo, diríjase a la siguiente ubicación: http://www.microsoft.com/technet/security/search/mssecure.xml |
| • | Instale MBSA Puede instalar MBSA con Mbsasetup.msi. El directorio de instalación predeterminado es: \Archivos de programas\Microsoft Baseline Security Analyzer\. Nota Tiene que ejecutar comandos desde este directorio. MBSA no crea una variable de entorno para usted. |
| • | Descargue SUS 1.0 con SP1 Puede descargar SUS 1.0 con SP1 en http://www.microsoft.com/downloads/details.aspx?FamilyId=A7AA96E4-6E41-4F54-972C-AE66A4E4BF6C&displaylang=en |
| • | Instale SUS 1.0 con Service Pack 1 Instálelo a través de SUS10SP1.exe. |
Información que debe conocer
Antes de utilizar este módulo, debe tener en cuenta lo siguiente:
| • | Puede operar MBSA a través de GUI (Mbsa.exe) o desde la línea de comandos (Mbsacli.exe). | ||||||||
| • | MBSA utiliza los puertos 138 y 139 para realizar sus exploraciones. | ||||||||
| • | MBSA requiere privilegios de administrador en el equipo que explora. Las opciones /u (nombre de usuario) y /p (contraseña) se pueden utilizar para especificar el nombre de usuario para ejecutar la exploración. No almacena nombres de usuario ni contraseñas en archivos de texto, como archivos de comando o secuencia de comandos. | ||||||||
| • | MBSA requiere el siguiente software:
| ||||||||
| • | Para MBSA, se deben instalar o habilitar los siguientes servicios:
| ||||||||
| • | SUS únicamente funciona en el puerto 80; el componente Actualizaciones automáticas en un cliente únicamente es capaz de comunicarse con el servidor SUS en ese puerto. | ||||||||
| • | SUS 1.0 SP1 se ejecuta en Windows 2000 Server con Service Pack 2 o más reciente. IIS debe estar habilitado en el servidor. |
Fase de valoración: exploración de actualizaciones
Antes de comenzar a utilizar SUS, debe llevar a cabo una auditoría para implementar actualizaciones de software en su entorno de producción. Para obtener información de segundo plano, consulte la sección "Inventario y descubrimiento de activos informáticos existentes" en el módulo",Fase 1 de la administración de revisiones: valoración".
Si utiliza SUS para administrar revisiones, debe utilizar MBSA para realizar auditorías y exploraciones. MBSA informa sobre Service Packs y actualizaciones de seguridad que faltan, al igual que identifica vulnerabilidades para los siguientes sistemas operativos:
| • | Microsoft Windows Server™ 2003 |
| • | Windows XP |
| • | Windows 2000 |
| • | Windows NT 4.0 |
MBSA también informa sobre si la configuración del equipo sigue las mejores prácticas de seguridad comunes (como contraseñas seguras).
Además, MBSA informa sobre actualizaciones de seguridad que faltan para las siguientes aplicaciones:
| • | Microsoft Internet Information Server 4.0 |
| • | Servicios de Internet Information Server de Microsoft 5.0 y 6.0 |
| • | Microsoft SQL Server 7.0 y SQL Server 2000, incluso Microsoft SQL Server Desktop Engine (MSDE) 1.0 y MSDE 2000 |
| • | Microsoft Exchange Server 5.5 y Exchange Server 2000 (incluso Exchange administration tools) |
| • | Microsoft Internet Explorer 5.01 y posteriores |
| • | Reproductor de Microsoft Windows Media 6.4 y posteriores |
MBSA también identificará parámetros mal configurados para las siguientes aplicaciones:
| • | Internet Information Server 4.0 |
| • | Servicios de Internet Information Server 5.0 y 6.0 |
| • | Internet Explorer 5.01 y posteriores |
| • | SQL Server 7.0 y SQL Server 2000 (incluso MSDE 1.0 y MSDE 2000) |
| • | Office 2000 y Office XP |
| • | Para explorar actualizaciones con MBSA
|
Nota: MBSA únicamente detecta la presencia o ausencia de actualizaciones de software para sistemas operativos y aplicaciones de software que se enumeran en el artículo 306460 de Microsoft Knowledge Base, "Hfnetchk Returns Note Messages for Installed Patches", en http://support.microsoft.com/default.aspx?scid=kb;en-us;306460.
El resultado de MBSA identificará que las aplicaciones de software para las que se ha programado la exploración estén instaladas físicamente en su infraestructura de TI, así como las actualizaciones de seguridad que se tienen que aplicar para que esas aplicaciones estén seguras.
La Figura 2 muestra un ejemplo en el que IIS 5.0 ha sido instalado en un servidor miembro de Windows 2000.
Figura 2
Resultado de la exploración de MBSA
La versión GUI de MBSA explora información sobre la clave de registro y versión del archivo. Una exploración más completa del entorno de producción se puede realizar a través de la versión de la línea de comandos de MBSA (Mbsacli.exe) que verifica las versiones de suma de comprobación de archivos, versión del archivo e información de la clave de registro para cada actualización de seguridad explorada.
Hay dos opciones para utilizar la versión de la línea de comandos de MBSA:
| • | Con el conmutador/hf para realizar únicamente una exploración de actualización de seguridad |
| • | Sin /hf para realizar una exploración completa del equipo |
Por medio de Mbsacli.exe con el conmutador /hf crea resultados de exploración que se pueden ver en la línea de comandos o enviar a un archivo de salida, considerando que si utiliza Mbsacli.exe sin el conmutador /hf producirá un informe de exploración de XML que se puede ver posteriormente en MBSA GUI. La salida de Mbsacli.exe /hf se puede importar a Microsoft Excel o a un archivo de texto para realizar un análisis posterior.
Fase de valoración: determinación de la base de su entorno
Puede utilizar la salida de la utilidad de la línea de comandos de MBSA (Mbsacli.exe /hf) junto con la función Informe de PivotTable y PivotChart dentro de Microsoft Excel para identificar qué se ha implementado en el entorno de producción y para establecer una base apropiada. Para obtener información de segundo plano, consulte la sección "Inventario o descubrimiento de activos informáticos existentes" en el módulo", Fase 1 de la administración de revisiones: valoración".
Nota: Los clientes SUS aplican automáticamente actualizaciones que se han puesto a su disposición (y que han sido aprobadas) en el servidor SUS. Por lo tanto, es posible que estas actualizaciones no se incluyan en las imágenes creadas pero se pueden aplicar cuando un nuevo equipo se une al dominio. Sin embargo, en la práctica, varias de las actualizaciones disponibles por medio de SUS son importantes para la operación correcta del equipo o reducen el riesgo de vulnerabilidades de seguridad. Esto significa que los administradores deben agregar nuevas actualizaciones de seguridad para la creación de la base, de manera que los equipos nuevos estén protegidos desde el momento en que se implementan en producción.
Fase de valoración: diseño de la infraestructura de SUS
La valoración de la infraestructura de distribución del software es otra parte principal de un proceso de administración de revisiones efectivo. Para obtener información de segundo plano, consulte la sección "Valorar la infraestructura de distribución de software existente" en el módulo, "Fase 1 de la administración de revisiones: valoración".
Únicamente un servidor principal SUS se debe configurar para descargar automáticamente actualizaciones de software de los servidores públicos de Windows Update de Microsoft, tal como se muestra en la Figura 3. Tenga en cuenta que únicamente se deben probar en el servidor principal las actualizaciones que han pasado la prueba y que han sido aprobadas para implementación.
Figura 3
Topología de SUS recomendada
Si utiliza una programación de sincronización preconfigurada, el servidor principal SUS descarga actualizaciones importantes y actualizaciones de seguridad diariamente de los servidores públicos de Microsoft Windows Update. Para esto es necesario que el puerto TCP 80 saliente esté abierto a través del servidor de seguridad.
El servidor de prueba SUS está configurado para descargar las actualizaciones del servidor principal SUS. Esto también ocurre diariamente con el tiempo de sincronización establecido a una hora después de que el servidor principal SUS se sincroniza con los servidores públicos de Microsoft Windows Update. (Una hora es el tiempo más cercano posible a la programación de sincronización del servidor principal). Esto se realiza para asegurarse de que los paquetes estén presentes en el servidor de prueba SUS tan pronto como sea posible y estén listos para ser sometidos a aprobación y prueba.
El equipo de prueba de SUS debe aprobar las nuevas actualizaciones en el servidor de prueba SUS. Después que han sido aprobadas, las actualizaciones estarán disponibles inmediatamente para todos los clientes de prueba SUS. Para evitar que todos los clientes de prueba SUS consulten el servidor de prueba SUS al mismo tiempo, ellos consultarán el servidor cada 22 horas, con hasta un 20 por ciento de reducción aleatoria. Después que se ha considerado satisfactoria la prueba para una actualización específica, el administrador SUS debe aprobar esa actualización en el servidor principal SUS.
Una vez se aprueba la actualización en el servidor principal SUS, los clientes SUS que informan a ese servidor comenzarán a descargarla dentro de 22 horas en forma predeterminada. La instalación comienza de acuerdo con la programación especificada o cuando la realiza el administrador local. Los equipos del cliente que informan a servidores secundarios SUS comenzarán a descargar la actualización dentro de 22 horas después del punto en el que la aprobación llega al servidor secundario.
Los servidores secundarios SUS están configurados para sincronizarse automáticamente con el servidor principal diariamente. Los servidores secundarios sincronizan y descargan todo el contenido, así como los elementos aprobados del servidor principal SUS. Después de que ocurre la sincronización, todas las actualizaciones aprobadas en el servidor principal SUS son reflejadas en los servidores secundarios SUS y están disponibles inmediatamente para los clientes de producción de SUS que están configurados para consultar actualizaciones de seguridad e importantes de dichos servidores secundarios SUS.
En el diseño de topología que se muestra en la Figura 3, los administradores deben aprobar únicamente una actualización en el servidor principal SUS para que ésta esté disponible para todos los clientes de producción de SUS. Siempre es posible iniciar una sincronización manual en todos los servidores SUS.
Microsoft algunas veces actualiza los criterios de detección (metadatos) para una actualización de software, lo cual ocasionará que una actualización de software aparezca con un estado "actualizado".Asimismo, es posible que haya ocasiones en que se haya vuelto a emitir una actualización de software y esto también ocasionará que un estado "actualizado" aparezca en la interfaz. Hay pocas situaciones de actualizaciones de software que se vuelven a liberar; sin embargo cuando hay una, la información acerca de esa aparece en el boletín de actualización de software. Si la versión original de la actualización ya ha sido aprobada en SUS GUI, el administrador de SUS puede configurar el servidor SUS ya sea para aprobación automática o para aprobación manual de la versión de la actualización que se volvió a liberar.
Para asegurarse de que las actualizaciones revisadas no se liberen automáticamente en producción sin antes probarse, el administrador debe seleccionar la opción Do not automatically approve new versions of approved updates. I will manually approve these updates later en el servidor SUS.
Intervalos de sincronización
El servidor principal debe estar configurado para extraer actualizaciones del servidor público Microsoft Windows Update en una programación de sincronización diaria, aunque los administradores pueden seleccionar manualmente la opción Synchronize now en la página de administración del servidor SUS.
Se debe configurar que la actualización se descargue en horas sin mucho movimiento de la red. Normalmente, una vez al día debe ser suficiente, tal como se muestra en la Figura 4.
Figura 4
Configuración de SUS para descargar actualizaciones
Tenga en cuenta que los servidores secundarios deben estar configurados para extraer automáticamente nuevas actualizaciones del servidor principal a intervalos programados. Este intervalo debe ocurrir por lo menos una hora después de que el servidor principal extraiga las actualizaciones de los servidores públicos de Microsoft Windows Update.
Si los administradores tienen en cuenta las actualizaciones que ocurren antes de la siguiente descarga programada, pueden utilizar la opción Synchronize now.
Fase de identificación: obtención de notificaciones
Cuando ya haya valorado su entorno, la siguiente fase comprende la identificación del problema y la obtención de información sobre las actualizaciones disponibles. Para obtener información de segundo plano, consulte la sección "Descubrimiento de una nueva actualización de software" en el módulo "Fase 2 de la administración de revisiones: identificación".
Microsoft Security Notification Service
La notificación por medio de correo electrónico no es la forma más común de notificación de actualizaciones de software. Una opción para notificación por medio de correo electrónico es suscribirse a Microsoft Security Notification Service en http://www.microsoft.com/technet/security/bulletin/notify.mspx.
Servicio de alerta de revisiones de SUS
Si se ha suscrito al servicio de alerta de revisiones de SUS, normalmente se le enviará un correo electrónico en el que se le informará acerca de nuevas actualizaciones que se pueden implementar con SUS, similar al que se muestra en la Figura 5. El mensaje de correo electrónico indica que hay nuevas actualizaciones disponibles en los servidores públicos de Windows Update pero no indica cuáles son esas actualizaciones.
Figura 5
Ejemplo de un mensaje de correo electrónico en el que se notifica a los administradores acerca de nuevas actualizaciones de software disponibles a través de Microsoft Software Update Services
Fase de identificación: procesamiento de notificaciones
Una vez ha recibido una notificación, debe identificar cuáles actualizaciones de software están disponibles. Para obtener información de segundo plano, consulte la sección "Descubrimiento de una nueva actualización de software" en el módulo "Fase 2 de la administración de revisiones: identificación".
En SUS, debe obligar la sincronización entre el servidor SUS y el servidor público de Windows Update cuando reciba una nueva notificación de actualización a través de correo electrónico. Esto se puede llevar a cabo a través de la opción Synchronize Now en la página de administración del servidor SUS, tal como se muestra en la Figura 6.
Figura 6
Forzar la sincronización del contenido del servidor SUS con los servidores de Microsoft Windows Update
Nota: únicamente las actualizaciones que aparecen en la página de administración del servidor SUS se pueden implementar con SUS.
Para determinar la relevancia de una sola actualización de software en los equipos dentro del entorno de producción, debe leer el boletín de seguridad asociado o el artículo de Knowledge Base. Podrá obtener acceso a esta documentación desde la página de administración del servidor SUS por medio del procedimiento que se describe a continuación.
| • | Para obtener detalles de una actualización de software
|
Nota: cuando los administradores seleccionan una actualización específica para aprobación a través de la página de SUS Server Administration, la actualización automáticamente les notifica a las dependencias de otras actualizaciones. Al aprobar la actualización específica automáticamente se aprueban todas las actualizaciones de las que depende la actualización específica. El cliente con Actualizaciones automáticas se asegurará de que estas actualizaciones se instalen en el orden correcto.
Fase de identificación: certeza de que las actualizaciones de seguridad son seguras
Como se mencionó anteriormente, todas las actualizaciones de seguridad que están disponibles en los servidores públicos de Windows Update de Microsoft están firmadas digitalmente. La firma de cada actualización nueva comprueba automáticamente cuando el servidor SUS descarga la actualización de seguridad. Para obtener información de segundo plano, consulte la sección "Determinar si las actualizaciones de software son relevantes" en el módulo "Fase 2 de la administración de revisiones: identificación".
El servidor principal SUS descarga nuevas actualizaciones y las almacena con extensiones de archivos temporales (.tmp). Únicamente después de que se haya comprobado correctamente la firma digital, se cambiará el nombre de los archivos con su extensión de archivo original (por ejemplo, .exe) y se colocarán en la carpeta \Content\Cabs, tal como se muestra en la Figura 9.
Figura 9
Ubicación de actualizaciones que se han firmado digitalmente en el servidor SUS
Si una actualización pasa la comprobación de firma digital, se escribe un error en el registro de sucesos, en el servidor de descargas SUS y el registro de sincronización indica un error para descargar la actualización debido a errores de comprobación de firma, tal como se muestra en la Figura 10.
Figura 10
Error en la validación de la firma digital
Los administradores de SUS deben comprobar el registro de sincronización para ver si hay errores de descarga diariamente. Los clientes SUS realizan el mismo proceso, si descargan actualizaciones desde los servidores públicos de Windows Update o desde un servidor SUS.
Debido a que el servidor principal SUS es la fuente de actualizaciones para clientes y servidores SUS dentro de la organización, los administradores de SUS deben asegurarse de que un explorador de virus esté instalado como un servicio en este equipo y que esté configurado para explorar todos los archivos entrantes y salientes.
Comprobación de los procedimientos de instalación de las actualizaciones de software
Es importante probar que la desinstalación funciona. Después de desinstalar, debe comprobar que el servidor continúe ejecutándose como se espera y continúe con la revisión del Registro de sucesos y los contadores del Monitor del sistema.
SUS no puede desinstalar automáticamente las actualizaciones de software, así que usted debe eliminarlas manualmente con la opción Agregar o quitar programas en el Panel de control. Si resultan afectados varios equipos, puede ser mejor desarrollar una secuencia de comandos que realice esta tarea.
Fase de evaluación y planificación: programación de actualizaciones
Si tiene equipos empresariales importantes, que tienen horarios específicos en los que se permiten cambios y reinicios del equipo (lapsos de interrupción), la implementación de una actualización de software y cualquier reinicio del sistema que sea necesario se tendrá que programar dentro de esos lapsos de interrupción. Para obtener información de segundo plano, consulte "Planificar la liberación" en el módulo "Fase 3 de la administración de revisiones: evaluación y planificación".
| • | Para programar actualizaciones en un entorno SUS
|
Si programa la instalación de nuevas actualizaciones (y posibles reinicios del equipo) en estaciones de trabajo fuera del horario normal es esencial que utilice el parámetro de GPO Reprogramar instalaciones programadas de Actualizaciones automáticas para permitir que los equipos que no han realizado una instalación programada vuelvan a programar la instalación para que ésta ocurra cuando se inicie el servicio de Actualizaciones automáticas.
Nota: si no se utiliza este parámetro GPO, entonces cuando se omita una instalación programada (porque el equipo del cliente estaba apagado), la instalación no ocurrirá después de este momento, incluso cuando se reinicie el equipo. En su lugar, el software del cliente SUS esperará hasta la siguiente hora de inicio programada para intentar instalarla de nuevo. Esto conlleva un problema potencial: a menos que el equipo esté conectado a la hora de instalación programada, las actualizaciones nunca se aplicarán.
En forma predeterminada al instalar una actualización que requiere un reinicio, los usuarios con derechos de administrador local tendrán únicamente cinco minutos para guardar o asegurar su trabajo antes de que el equipo realice un reinicio obligado.
| • | Para evitar reinicios obligados
|
Nota: si el producto que se va a revisar se implementó con Windows Installer, el instalador puede solicitar acceso a archivos de instalación originales. Si está realizando una instalación desatendida de la actualización del software, estos archivos tienen que estar en la misma ubicación que estaban cuando el producto se instaló originalmente. Si el producto se instaló desde un medio físico, como una unidad de CD, por ejemplo, Windows Installer intentará encontrar los archivos originales en el CD que está insertado actualmente.
Fase de evaluación y planificación: implementación de solicitudes de cambio de emergencia
Las solicitudes de cambio de emergencia requieren procedimientos y consideraciones específicas. Para obtener información de segundo plano, consulte "Planificar la liberación" en el módulo "Fase 3 de la administración de revisiones: evaluación y planificación".
Si la solicitud de cambio indica que la actualización de software se considera importante a nivel empresarial, usted debe:
| • | Utilizar la directiva de grupo para obligar a que los clientes instalen la actualización de software antes de su lapso de mantenimiento programado regularmente. |
| • | Anular la programación normal de sincronización, por medio de la cual los servidores secundarios SUS se actualizan en horas sin mucho movimiento de la red, obligando la replicación entre el servidor SUS que descargó las actualizaciones y cualquier servidor secundario con la opción Synchronize now en la página de administración del servidor SUS. |
Fase de evaluación y planificación: creación de la liberación
Antes de que se implementen las actualizaciones, es posible que tenga que preparar las distribuciones y los ejecutables de la actualización. Para obtener información de segundo plano, consulte la sección "Creación de la liberación" en el módulo "Fase 3 de la administración de revisiones: evaluación y planificación".
Las actualizaciones que implementa con SUS se descargan directamente de los servidores públicos de Windows Update y ya están empacadas en el formato de archivo .exe, por lo que no es necesario ningún trabajo adicional para volver a empacarlas para la implementación.
Ejecución piloto con SUS
Para obtener información de segundo plano, consulte la sección "Prueba de aceptación" en el módulo "Fase 3 de la administración de revisiones: evaluación y planificación".
| • | Para realizar una ejecución piloto
|
Si el piloto es incorrecto, será necesario "desaprobarlo" en el servidor piloto de SUS y desinstalarlo de los clientes que ya lo instalaron. Los administradores tendrán que hacer esto manualmente, con la opción Agregar o quitar programas en el Panel de control siempre que sea posible. Para actualizaciones que no se pueden desinstalar manualmente, utilice la utilidad Restaurar sistema para Windows XP, las herramientas de copia de seguridad y recuperación para Windows Server 2003 y Windows 2000 (u otras tecnologías de recuperación en uso) para integrar de nuevo al cliente al último estado aceptable antes de la instalación de la actualización.
Fase de implementación: comunicación del programa de ejecución
Antes de que las actualizaciones se implementen en forma segura y correcta, sus usuarios tienen que estar informados, ya que es posible que haya acciones específicas que tengan que realizarse para ayudar en el proceso de instalación de la actualización. Para obtener información de segundo plano, consulte la sección "Preparación de la implementación" en el módulo "Fase 4 de la administración de revisiones: implementación".
| • | Para comunicar con claridad la programación de la ejecución
|
Fase de implementación: almacenamiento de actualizaciones en servidores SUS
Para que los clientes instalen una nueva actualización, ésta debe estar presente en su servidor local SUS. Para obtener información de segundo plano, consulte la sección "Preparación para la implementación" en el módulo "Fase 4 de la administración de revisiones: implementación". Para evitar que afecten las operaciones laborales habituales, debe programar sus sitios secundarios SUS para sincronizar las actualizaciones (y la lista de actualizaciones aprobadas) en horas sin mucho movimiento de la red. Debe comprobar el registro de sincronización en cada servidor secundario para comprobar si la actualización específica está disponible en ese servidor. La Figura 11 ilustra este proceso.
Figura 11
Comprobación de que las actualizaciones estén disponibles en servidores secundarios
Si la actualización aún no está presente en un servidor secundario SUS, debe ejecutar una sincronización manual para descargar la actualización y a continuación, comprobar el registro de sincronización para confirmar que se haya recibido la actualización.
Nota: si hay servidores SUS ubicados en redes perimetrales, el contenido relacionado de SUS del servidor de descarga SUS se debe copiar a medios sin conexión, transportar a la red perimetral y luego copiarlo a un servidor desde el que los servidores locales SUS estén configurados para obtener archivos fuente.
| • | Para liberar una actualización a través de una ejecución por fases
|
Fase de implementación: aviso de la actualización de software a los equipos cliente
El primer paso necesario para implementar una actualización de software en producción es avisar sobre la actualización de software a los equipos cliente. Las ejecuciones se pueden realizar por fases o todos los clientes pueden recibir la actualización dentro del mismo período de implementación. Para obtener información de segundo plano, consulte la sección "Implementación de la actualización de software en equipos destino" en el módulo "Fase 4 de la administración de revisiones: implementación".
Ejecución abierta
Si no es necesaria una ejecución por fases, debe realizar el siguiente proceso.
| • | Para implementar una ejecución abierta
|
Los clientes SUS consultan el servidor SUS cada 17 ó 22 horas en busca de nuevas actualizaciones. Si asumimos que se ha aprobado una nueva actualización y que está disponible en el servidor SUS local, ésta se descarga automáticamente y se emite una notificación al usuario que inició sesión (si ese usuario tiene derechos de administrador local) informándole que hay una nueva actualización disponible. Cuando se completa la descarga, la instalación ocurrirá de acuerdo con las opciones de instalación seleccionadas para el cliente de Actualizaciones automáticas.
Nota: si se seleccionó la opción de notificación de descarga y de instalación, la actualización no se descargará automáticamente. Un administrador local que inicia sesión debe solicitar la descarga para que ésta ocurra.
Las opciones de instalación de Actualizaciones automáticas incluyen:
| • | Instalación programada: |
| • | Notificación para instalación: |
Si la actualización que se va a instalar requiere un reinicio, los administradores locales tienen la opción de retardar el reinicio hasta una hora más apropiada. Ellos deben saber que no se descargarán ni se instalarán actualizaciones adicionales hasta que se reinicie el sistema.
Con la opción de instalación programada y el parámetro GPO No reiniciar automáticamente para instalaciones de actualizaciones automáticas habilitado, a los usuarios que tienen privilegios de reinicio de equipo, así como a los usuarios con derechos de administrador local se les solicitará que reinicien el sistema después de la instalación. El reinicio se puede realizar únicamente siempre y cuando no haya otros usuarios que hayan iniciado sesión en forma interactiva en el equipo con las herramientas del equipo de escritorio remoto que utiliza, por ejemplo, a través de Terminal Services.
Los servidores secundarios SUS sincronizarán la aprobación de la actualización en el siguiente intervalo de sincronización y pondrán la actualización a disponibilidad de sus clientes en la forma en que se describió anteriormente.
A los usuarios que tienen derechos de administrador local se les notifica acerca de cualquier actualización que esté esperando la hora programada de instalación a través del icono de la barra de tareas que se muestra en la Figura 13. Ellos tienen la capacidad de forzar la instalación inmediatamente (mientras inicia sesión) o esperar que la instalación automática ocurra en la hora programada de instalación.
Figura 13
Notificación acerca de las nuevas actualizaciones al usuario que inicia sesión
Para usuarios sin estos derechos, el único mensaje de notificación será uno que indique que la actualización ha sido instalada y que ellos tienen que reiniciar sus equipos, tal como se muestra en la Figura 14, asumiendo que el parámetro de la directiva No reiniciar automáticamente para instalaciones de actualizaciones automáticas se ha habilitado.
Figura 14
No reiniciar automáticamente el cliente SUS
Si no es éste el caso, el cliente con Actualizaciones automáticas informará al usuario que el sistema se cerrará dentro de cinco minutos y se reiniciará automáticamente después de que finalice este período.
Ejecución por fases
Si desea liberar la actualización a través de una ejecución por fases, debe realizar el siguiente proceso.
| • | Para implementar una ejecución por fases
|
Por ejemplo, si una actualización que afecta a todos los clientes de Windows XP va a liberarse primero a clientes de Seattle y después de que se complete esta implementación a clientes en Cambridge, el administrador SUS primero aprobará una actualización en el servidor SUS de Seattle y los clientes comenzarán a descargarla e instalarla. Cuando se haya completado la implementación en Seattle, el administrador SUS habilitará la sincronización de la lista de aprobaciones en el servidor SUS de Cambridge que se deshabilitó durante la fase de preparación de la ejecución. Después que la lista de aprobaciones se haya sincronizado correctamente, las actualizaciones aprobadas en el servidor de Seattle se pondrán a disponibilidad de clientes admitidos por el servidor de Cambridge.
Solicitud de cambio de emergencia
En algunos casos, podría tener que evitar atraso entre la obtención de la aprobación de una actualización en la página de SUS Server Administration y la implementación de la actualización en un servidor destino. Una actualización designada para evitar una infracción de seguridad inminente en un servidor con servicios empresariales importantes tendrá que implementarse tan pronto como sea posible y no esperar a la siguiente hora programada de instalación.
El siguiente proceso muestra los pasos que tiene que seguir para distribuir la actualización de software y obligar a que se instale en los servidores empresariales importantes. Asimismo, se podría realizar un proceso similar para las actualizaciones de software que se aplican a estaciones de trabajo.
Nota: este proceso únicamente se puede realizar correctamente en ubicaciones empresariales donde hay suficiente ancho de banda de red disponible para permitir que los archivos de actualización de software y la lista de aprobaciones actualizadas se pongan a disponibilidad de los servidores SUS.
| • | Para implementar rápidamente una actualización con SUS y la directiva de grupo
|
Nota: este procedimiento se debe considerar únicamente cuando se estima que una actualización es importante para la operación de la empresa. En circunstancias normales, los administradores deben esperar la programación de la instalación SUS estándar.
Fase de implementación: control e informe sobre el progreso de la implementación
Debido a que los equipos pueden encontrar error al instalar una actualización por diversas razones, es importante poder controlar el progreso de la implementación. Para obtener información de segundo plano, consulte la sección "Implementación de la actualización de software en equipos destino" en el módulo "Fase 4 de la administración de revisiones: implementación".
Para controlar la liberación correcta de la actualización implementada en un entorno SUS, debe ejecutar la herramienta MBSA y controlar si la actualización de software específica ya no aparece como que falta en el informe que produce la lista de resultados de MBSA.
MBSA también puede identificar actualizaciones instaladas, así como actualizaciones aprobadas en el servidor SUS pero que aún no se han instalado.
| • | Para explorar varios equipos
|
A medida que avanza la implementación, es posible que haya varias razones por las que algunos equipos fallan al instalar la actualización de software entre las que incluyen las siguientes:
| • | Los equipos están desconectados por varias razones, como por ejemplo, los usuarios no están trabajando, los usuarios tienen que marcar un número, los usuarios son móviles o los equipos están en mantenimiento. |
| • | Los equipos se van a reconstruir o restaurar. |
| • | Los equipos con clientes de Actualizaciones automáticas no están comunicándose con el servidor SUS. |
| • | Se ha suspendido el servicio del cliente Actualizaciones automáticas, ya sea por parte del usuario o como parte de mantenimiento. |
| • | Los equipos tienen poco espacio en el disco. |
Si ninguna de estas razones ocasiona que algunos de los equipos de sus clientes no se revisen dentro de SLA que se proporciona, será necesario determinar qué pasos debe tomar para mejorar su cumplimiento. Aunque es posible que no pueda revisar todos los equipos, debe asegurarse de que comprende plenamente las razones por las que esos equipos no se pueden o no se deben revisar.
Las siguientes instrucciones le ayudarán a resolver la falla de la actualización de software para instalar y mejorar el cumplimiento de más equipos:
| • | Siempre explore de nuevo su entorno después de la primera fase de la implementación para identificar el equipo que no se revisó durante esa primera fase. |
| • | Controle constantemente e informe el progreso de la implementación. La nueva exploración y el control darán como resultado las subsiguientes fases de reimplementación para los equipos que se informaron como excepciones. |
| • | Siempre clasifique para encontrar la causa principal del error de una implementación. |
| • | Para equipos que no están conectados o que se reconstruyen, la actualización de software se descargará e instalará cuando los equipos estén en línea, siempre y cuando el servicio del cliente con Actualizaciones automáticas esté en buenas condiciones. |
| • | Consulte las instrucciones que aparecen en esta sección para aumentar la posibilidad de que la implementación se realice correctamente. |
| • | En caso de una implementación incorrecta
|
Si el cliente con Actualizaciones automáticas no está descargando las actualizaciones, tiene que verificar el estado del cliente con Actualizaciones automáticas en el registro.
| • | Para verificar el estado del cliente con Actualizaciones automáticas
|
Fase de implementación: administración de implementaciones con error
Si decide que una implementación ha fallado y debe detenerla y comenzar de nuevo, debe detener la ejecución, desinstalar las actualizaciones con error y reimplementarlas. Para obtener información de segundo plano, consulte la sección "Implementación de la actualización de software en equipos destino" en el módulo "Fase 4 de la administración de revisiones: implementación".
Interrupción de la implementación de una actualización aprobada
Si una implementación tiene errores y tiene que impedir instalaciones adicionales, debe cancelar la aprobación de la actualización en el servidor SUS. En los clientes que ya han descargado la actualización, pero que aún no la han instalado, los administradores locales pueden quitarla manualmente de la lista de actualizaciones que se deben instalar.
En la Figura 16, el administrador ha elegido no instalar la actualización Q318138.
Figura 16
Si elige no instalar una actualización
Nota: si el administrador local elige no instalar una actualización específica tal como se muestra en la Figura 16, ésta no se instalará incluso si el administrador vuelve a aprobar esa actualización en la página de administración del servidor SUS. En este caso, el administrador local del equipo puede instalarla si presiona el botón Actualizaciones rechazadas en Actualizaciones automáticas en el Panel de control de ese cliente.
Si un equipo ha instalado una actualización automática, la actualización se puede eliminar únicamente al seleccionar Agregar o quitar programas en el Panel de control. No todas las actualizaciones se pueden eliminar; en tales casos, los equipos con Windows XP pueden deshacer los cambios por medio de la utilidad Restaurar sistema. Los sistemas de Windows 2000 y Windows Server 2003 tendrán que confiar en su tecnología de copia de seguridad y recuperación para restituir de nuevo al cliente al último estado aceptable. Esta información se debe haber investigado y establecido cuando se realizó el filtrado y prueba de una actualización específica; siempre debe hacer una copia de seguridad antes de implementar una actualización que no se pueda desinstalar.
(Este artículo contiene referencias a guías de otros productos y vínculos a sitios Web que sólo están disponibles en inglés.)