Vous êtes sur la page 1sur 21

Windows Server Update Services provee actualizaciones de seguridad para los sistemas

operativos Microsoft. Mediante Windows Server Update Services, los administradores


pueden manejar centralmente la distribución de parches a través de Actualizaciones
automáticas a todas las computadores de la red corporativa.

WSUS se desarrolló a partir de Software Update Services (SUS), el que solo podía
actualizar parches del sistema operativo. WSUS supera a SUS en que expande el rango de
aplicaciones que puede actualizar. La infraestructura de WSUS permite que desde un
servidor(es) central se descarguen automáticamente los parches y actualizaciones para los
clientes en la organización, en lugar de hacerlo del sitio web Microsoft Windows Update.
Esto ahorra ancho de banda, tiempo y espacio de almacenamiento debido a que las
computadoras no necesitan conectarse individualmente a servidores externos a la
organización, sino que se conectan a servidores locales.

Microsoft permite la descarga gratis de WSUS desde su sitio web. Microsoft planea incluir
WSUS con Windows Server "Longhorn".

Administración [editar]
Windows Server Update Services 2.0 esta conformado por un repositorio de paquetes de
actualización de Microsoft, una instancia de MSDE, un servicio que descarga las
actualizaciones de un servidor superior y un sitio virtual de IIS. Como muchos otros nuevos
productos de Microsoft, la administración de WSUS se realiza a través de una interface
web, que permite a los administradores aprobar o declinar las actualizaciones y obtener
amplios reportes sobre que actualizaciones necesita cada computadora. Los administradores
del sistema pueden también configurar que WSUS apruebe automáticamente ciertas clases
de actualizaciones (actualizaciones críticas, actualizaciones de seguridad, paquetes de
servicio, drivers). Se puede igualmente aprobar actualizaciones solo para "detección",
permitiendo que el administrador sepa que computadoras necesitas determinada
actualización sin necesidad de instalarlo.

Los administradores pueden usar WSUS junto con las políticas de grupo del Directorio
Activo para realizar la configuración del cliente de Actualizaciones Automáticas,
garantizando que los usuarios finales no puedan deshabilitar o evitar las políticas
corporativas de actualización. WSUS, sin embargo, no necesita del Directorio Activo.

Historial de Versiones [editar]


• 22 de marzo de 2005 - 2.0 Release Candidate
• 6 de junio de 2005 - 2.0 Release (build 2340)
• 31 de mayo de 2006 - 2.0 Service Pack 1 (adiciona soporte para
Windows Vista, idiomas adicionales, permite el uso de Microsoft SQL
Server 2005 como base de datos, y mejora el rendimiento de la interface
web)
• 14 de agosto de 2006 - 3.0 beta 2 (Interface basada en MMC y adición
de nuevas características.)
• junio de 2007 - 3.0

Aplicaciones soportadas [editar]


Hasta Agosto de 2006, Windows Software Update Services permitía actualizar los
siguientes sistemas operativos de Microsoft operating systems y aplicaciones:

• Windows 2000
• Windows XP (32-bit, IA-64 and x64 Editions)
• Windows Vista
• Windows Server 2003
• Windows Small Business Server 2003
• Exchange Server 2000
• Exchange Server 2003
• SQL Server
• SQL Server 2005
• Office XP
• Office 2003
• Microsoft ISA Server 2004
• Data Protection Manager 2006
• Windows Live Mail Desktop
• Windows Live Toolbar
• Forefront Client Utility

Esta lista no es completa, además, "Max" aparece en la interface como un nproducto que
WSUS soporta. Sin embargo, Microsoft anunció que esto es un error, y que no se ofrecen
actualizaciones para "Max". Microsoft ha dicho que WSUS fue diseñado para ser capaz de
brindar actualizaciones para aplicaciones no-Microsoft, esto no ha sido implementado
todavía.

Instalando WSUS 3.0 Paso a Paso [ Tutorial ]

Publicado el 16 April, 2008 | por Diego Cabai | Leído 11,691 veces

Si bien ya había escrito algunos artículos sobre WSUS, el unico Tutorial que había
armado es implementarlo sobre plataforma Windows Server 2008 ya que es la
novedad del SP1 de WSUS 3.0. Creo que serviría hacer un tutorial sobre la
instalación de este producto, paso a paso en plataforma Windows Server 2003
como para complementar. Comentando los requisitos mínimos, instalación y
configuración básica.
Para repasar los requisitos mínimos de implementación de WSUS en Windows
Server 2003 los voy a listar a continuación:

• Microsoft Internet Information Services (IIS) 6.0


• Instalar el hotfix KB842773 (Update for Background Intelligent Transfer
Service (BITS) 2.0 and WinHTTP 5.1 Windows Server 2003)
• Microsoft .NET Framework 2.0 [Bajar »]
• Microsoft Report Viewer 2005 [Bajar »]
• Microsoft Management Console (MMC) 3.0 para Win Server 2003
(KB907265)

En el caso de Windows Server 2008 ya los había comentado en el post anterior


pero viene bien repasarlos:

• Microsoft Internet Information Services (IIS) 7.0


o Windows Authentication
o ASP.NET
o 6.0 Management Compatibility
o IIS Metabase Compatibility
• Microsoft Report Viewer 2005 [Bajar »]
• Microsoft SQL Server 2005 Service Pack 1 [Bajar »]

Para mas detalles sobre la implementación de este servidor bajo Windows Server
2008 te invito a que revises los documentos ya realizados sobre WSUS en dicha
categoría. Artículos sobre WSUS »

Ahora bien, si cumplimos con todos estos requisitos podemos pasar a la


instalación del servicio. Obviamente habría que hacer un análisis previo de dónde
conviene instalar el servidor en nuestro ambiente, cuántos Servidores WSUS van
a existir, anchos de banda, etc. Imaginemos que este análisis ya está realizado y
vamos a instalar el primer servidor de WSUS.

Instalación

1. Hacemos doble click sobre el archivo de instalación, por lo general


WSUSSetup.exe y hacemos click en Next cuando aparece la bienvenida.
Seleccionamos "Full Installation" y luego aceptamos la licencia para poder
comenzar. En mi caso el instalador es WSUS3.0SP11Setup.exe.

2. La primer pantalla que requiere de nuestra


interacción es "Select Update Source" donde
seleccionamos si queremos guardar los parches
localmente en el servidor para luego ser
distribuídos, en qué disco y en qué carpeta. Si
decidimos guardarlos localmente debemos
seleccionar un disco con al menos 6Gb y formateado como NTFS. Nuevamente,
6Gb mínimo. Si no los guardamos localmente los parches se bajarán cada vez que
requiera ser instalado.

3. Luego debemos configurar la base de datos


que utilizará el servicio. Podemos tener
instalado un SQL Server 2005 ya en el equipo y
utilizarlo o bien tenerlo instalado en otro servidor
y utilizarlo o bien dejar que WSUS instale el
SQL Server Embedded Edition como paso de la
implementación. Si elegimos el último caso
debemos elegir nuevamente el disco y el
directorio que utilizará para dicha instalación.

4. Como último paso de la instalación debemos


seleccionar si va a utilizar el Sitio Web por
defecto del IIS o bien queremos que genere uno
nuevo. Recomiendo que utilicen el que viene
por defecto y luego se le configura seguridad al
mismo pero asumimos que el servidor será
WSUS dedicado.

5. Luego de pasar esa selección debemos seguir con el Asistente hasta finalizar y
que comience con la instalación del mismo para luego continuar con la
configuración.

Configuración

Al finalizar la instalación va a aparecer un asistente para la configuración inicial.


Sugiero que se haga en ese momento por mas que se pueda cancelar y abrir
luego desde la consola, es preferible terminar de configurarlo en ese instante así
ya queda casi en producción.
Debemos garantizar que el equipo pueda conectarse a Internet (Microsoft Update
Site) o bien al servidor WSUS de Updates superior para poder conseguir los
parches. En caso de no poder comunicarse a Internet verificar mas abajo qué es
necesario para la conexión a internet.

1. WSUS requiere acceso a ciertos sitios de Internet que deberían estar


habilitados en el Firewall o en el Proxy server de tu compañía. Los sitios son los
siguientes:
http://windowsupdate.microsoft.com
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com
http://download.windowsupdate.com
http://download.microsoft.com
http://*. download.windowsupdate.com
http://wustat.windows.com
http://ntservicepack.microsoft.com

Se debe garantizar el acceso a dichos links para que WSUS funcione


correctamente. Este es un punto que se puede resolver previo a la instalación del
servicio así no te encontras con problemas a la hora de bajar los parches.
2. El primer paso de configuración es definir si el servidor va a bajar los parches
desde Microsoft Update o los va a sincronizar de otro servidor de WSUS. Este
punto va a depender de la implementación que tengamos. En este caso va a
bajarlos desde Internet, pero podría ser un servidor de un site remoto que
sincronice contra el del site central. Para ese caso podríamos configurar el modo
SSL e incluso podríamos definir en este paso si el servidor es una réplica del
central.

3. Al siguiente paso debemos definir si va a utilizar un servidor Proxy para el


acceso a internet o bien se conecta directamente. Esta configuración depende de
cada organización. Una vez configurado el acceso a internet el servidor ya
intentará conectarse para poder bajar la lista de productos actualizada, lenguajes
disponibles y tipos de parches.

4. Si la conexión fue exitosa podremos configurar el lenguaje que deseamos


contenga nuestra plataforma, los productos de los cuales queremos que chequee
los parches y además baje parches disponibles y por último la clasificación de los
parches que deseamos, ya sean Updates, Security Updates, Critial Updates,
Service Packs, etc. Luego de seleccionar estos tres parámetros debemos
configurar el calendario de sincronización de cuándo queremos que se conecte a
internet a bajar dichos parches.

5. Como último paso nos va a preguntar si queremos abrir la consola


administrativa al finalizar la configuración y si queremos que inicie la
sincronización inicial. Estos pasos son optativos, es mas podemos obviar la
sincronización si queremos y dejarla programada para la noche para no saturar el
acceso a Internet.

El servidor ya está listo para operar y entregar parches a las PCs y Servidores que
configuremos. Igualmente quedan un par de puntos para configurar.

1. Dentro de la Consola de Administración » Options » Automatic Approvals. En


esta ventana podemos definir reglas de parches que deseemos que
automáticamente sean aprovados para instalar, por ejemplo, Definiciones de
Windows Defender. Es algo que seguro aprovaremos para todos los equipos así
que conviene dejarlo en automático, pero igualmente depende de cada
organización. En la segunda solapa de esa ventana "Advanced" vamos a
configurar cómo WSUS va a tratar los parches para él mismo y para la plataforma
de WSUS.
2. Otro issue importante son las notificaciones por correo que también las
configuramos desde Options » E-Mail Notifications. Podemos configurar diferentes
alertas para que lleguen a nuestra casilla de correo y obviamente requiere
configurar el servidor de correo.

Qué falta para terminar de configurarlo y que entregue parches ?


Unicamente crear los grupos de PCs (optativo) y configurar las PCs y Servidores
con los parámetros del WSUS Server. Este punto lo voy a comentar en detalle
luego, tanto para hacerlo manualmente, a través de Registry o bien a través de
GPO (política) de dominio.

Comprobamos que la sincronización se está efectuando en el apartado Synchronizations.

Mientras está sincronizando vamos a configurar la estructura de las actualizaciones.

Por ejemplo en el caso que queramos separar las actualizaciones por empresas para tener un
report claro de como estamos a nivel de parches en cada empresa crearemos un grupo por
empresa.

En caso que queramos hacerlo por departamentos pues crearemos tantos departamentos
como queramos.

En nuestro caso como ya hemos dicho antes únicamente vamos a actualizar los servidores
así que primeramente crearemos un grupo llamado BeforeDeploy para poder albergar una
serie de servidores donde descargaremos e instalaremos los parches y chequearemos su
estado, para más tarde por ejemplo una o 2 semanas distribuir estos mismos parches a todos
los demás servidores de la empresa. (Esta es una buena práctica ya que en caso q uno de los
parches instalados provoque un mal funcionamiento del servidor únicamente nos afectará a
un grupo reducido. El grupo BeforeDeploy os recomiendo que en este grupo tengáis un
servidor de cada tipo, por ejemplo un Domain Controller, un Exchange, un Sql, etc… para
poder testear los parches con las diferentes funcionalidades de cada servidor.

Para ello tras situarnos sobre Computers pulsamos con el botón derecho del ratón sobre
All computers y pulsamos sobre Add Computer Group.

Escribimos el nombre del grupo y pulsamos sobre Add.

Nosotros creamos otro grupo llamado AllServers para albergar todos los demás servidores.

NOTA: Para poder ubicar los servidores en cada grupo disponemos de 2 opciones. O bien
hacerlo mediante directivas de grupo o bien moviendo manualmente cada servidor dentro
de WSUS a su grupo.

Nosotros para hacerlo más difícil y también más manejable lo haremos mediante directivas
de grupo. Primero debemos configurar WSUS para que acepte este tipo de instrucción pero
deberemos esperar a que termine de sincronizar para poder modificar estas opciones.

Mientras tanto iremos creando la estructura de Active Directory para poder vincular las
directivas de grupo de una forma más sencilla.

Nos situamos en el controlador de dominio más cercano y entramos en la consola de


Usuarios y Equipos de Active Directory. Inicio –> Herramientas administrativas –>
Usuarios y equipos de Active Directory.

Creamos las unidades organizativas como queráis. Nosotros vamos a crear una unidad
organizativa que llamaremos BeforeDeploy y otra que llamaremos AllServers. (No hace
falta que se llamen igual que los grupos de WSUS pero ya que estamos los vamos a
distribuir de la misma forma).
Para hacerlo ya sabéis: Botón derecho sobre la unidad organizativa o parte del árbol del
directorio activo donde queráis ubicar estos servidores y nuevo –> Unidad organizativa.

Ahora deberemos mover los servidores a estas unidades organizativas.

ATENCIÓN: Los Domain Controllers no os recomiendo que los mováis de OU (Unidad


organizativa) ya que en caso de moverlos dejarán de aplicarse-les directivas de grupo
específicas de controladores de dominio.

Ya aplicaremos una directiva de grupo sobre la unidad organizativa de Domain controllers


para que también se les actualicen los parches del sistema. (No os preocupéis por ello).

En caso de que por error los hayáis movido volvedlos a mover a su unidad organizativa, no
pasa nada se les volverán a aplicar las directivas y listo.

Bueno ahora que ya tenemos la estructura de OU’s creada y los servidores movidos a ellas,
únicamente nos faltará crear las directivas de grupo para que sepan que servidor de
actualizaciones usar para descargar los parches, en que momento, etc..

Ahora en el domain controller ejecutamos la herramienta Group Policy Management


console. Inicio –> ejecutar –> gpmc.msc. En windows server 2008 ya está incluida pero
en windows server 2003 y anteriores no.

En caso de no disponer de la herramienta nos la descargaremos del siguiente enlace:


http://www.microsoft.com/DOWNLOADS/details.aspx?familyid=0A6D4C24-8CBD-
4B35-9272-DD3CBFC81887&displaylang=en

Instalamos la aplicación pulsando doble click sobre el fichero descargado.

Tras instalar la aplicación pulsamos sobre Inicio –> ejecutar –> gpmc.msc

Nos situamos sobre Bosque: vuestro bosque –> Dominios –> vuestro dominio.
Pulsamos con el botón derecho del ratón sobre Objetos de directivas de grupo –> Nuevo

Escribimos un nombre y pulsamos sobre Aceptar.

Ahora pulsamos con el botón derecho sobre la directiva y editar.


Nos desplazamos por Configuración del equipo –> Plantillas administrativas –>
Windows Update.

Únicamente os voy a comentar la configuración simple para que los equipos aparezcan en
vuestro WSUS, vosotros podéis leer todas las opciones posibles de la directiva respecto a
cuando instalar los parches, cuando sincronizar, etc…

Primero pulsamos doble click sobre Especificar la ubicación del servicio Microsoft
Update en la intranet.
Marcamos Habilitada y en los dos campos posibles escribimos la dirección que nos dio el
servidor WSUS cuando lo instalamos (http://<nombre del servidor>) y pulsamos sobre
Aceptar.

Ahora pulsamos doble click sobre Habilitar que el cliente pueda ser un destino.
Marcamos Habilitada y ponemos el nombre del grupo que hemos creado en WSUS que es
donde se ubicarán los equipos y pulsamos sobre Aceptar.

Ahora pulsamos doble click sobre Configurar actualizaciones automáticas.

Marcamos Habilitada y la configuramos como queramos, de momento pondremos la


opción 3 que descargará las actualizaciones desde WSUS y notificará para la instalación.

Como únicamente necesitamos estos 3 valores para que el servidor WSUS vea a los
equipos como clientes cerramos la edición de la GPO. Vosotros seguid configurando las
opciones posibles para adaptarlo correctamente.

Lo que vamos a hacer ahora es hacer una copia de la directiva ya que únicamente le vamos
a cambiar el valor del nombre de grupo de destino para este equipo por AllServers.

Ahora vamos a vincular estas GPO a sus Unidades organizativas correspondientes.


Nos situamos en la Unidad organizativa donde vamos a vincular la GPO y pulsamos con el
botón derecho sobre ella y sobre Vincular una GPO existente.

Seleccionamos la GPO y pulsamos sobre Aceptar.


Hacemos el mismo procedimiento para las demás unidades organizativas y también para la
de Domain Controllers. Quedando el árbol de la siguiente forma:

En nuestro caso hemos creado 2 directivas una para Before Deploy y la otra para Todos los
servidores restantes.

Recordad que deberéis crear una directiva por cada grupo que hayáis creado en WSUS ya
que en esta directiva se configurará el grupo al que se le aplicarán los parches.

NOTA: En caso de no necesitar saber los parches instalados por departamento o por
empresa os recomiendo crear los 2 grupos mencionados el BeforeDeploy y el restante. Pero
vosotros sois los que sabéis como queréis implementar los parches.

Podéis hacerlo por servidores y workstations por ejemplo. Bueno.. vosotros sabréis.

Ahora vamos a forzar la aplicación de estas directivas a los servidores.

Nos situamos en cualquier servidor y o bien lo reiniciamos o bien Inicio – > Ejecutar –>
gpupdate /force esto provoca una solicitud de actualización de su GPO al domain
controller.

Ahora que el sistema ya es capaz de encontrar su servidor de actualizaciones y de saber en


que grupo de WSUS ubicarse vamos a forzar el envío de datos desde el cliente hacia el
servidor WSUS. para ello Inicio –> Ejecutar –> wuauclt /detectnow.

Volvemos a comprobar si el servidor WSUS ha terminado de sincronizar el catálogo.


Si es el caso nos situamos sobre Options –> Computers del menú de Windows Server
Update Services(WSUS).

Marcamos la opción Use Group Policy or registry settings on computers y pulsamos


sobre OK.

Eso habilita la funcionalidad de catalogar los equipos mediante las directivas de grupo que
hemos configurado en Active Directory.

Después de aplicar este cambio y de que los equipos hayan actualizado sus directivas de
grupo vamos a comprobar si existen servidores catalogados en WSUS.
Pues en efecto, en los 2 servidores que le hemos realizado el gpupdate /force aparecen y
en el grupo correcto.

En el caso que no veáis información sobre ellos o bien nos esperamos las 22 horas por
defecto o forzamos a que envíen y actualicen sus datos. Desde los clientes ejecutamos los
comandos wuauclt /detectnow y wuauclt /updatenow.

Bueno pues ya tenemos información de uno de ellos. Vemos que tiene un 96% de parches
instalados. Podemos ver mas columnas pulsando con el botón derecho sobre las actuales
columnas y marcando las opciones que deseemos. Needed count nos mostrará los parches
que le faltan por instalar a los equipos.
Pues puedo comprobar que el servidor firstdomain.megacrack.es le faltan 62 parches.

Ahora vamos a aprovar los parches para su descarga y posterior instalación en el equipo
cliente.

Desde WSUS pulsamos sobre Updates –> All updates.

Como vemos en el campo Approval dejamos marcado Unapproved y en el campo Status


dejamos marcado Failed or Needed con esto conseguimos ver únicamente los parches que
necesitan todos los equipos ubicados en WSUS.

Para descargar los parches para que puedan ser aplicados a los equipos hemos de
aprovarlos.

Seleccionamos todos los parches y con el botón derecho del ratón pulsamos sobre
Approve.
Ahora pulsamos sobre BeforeDeploy pulsamos sobre Approve for Install.

La idea sería que al cabo de 2 semanas por ejemplo tras haber probado estos parches se
podrían aprobar también para la categoría AllServers.

Pulsamos sobre OK.


Los parches se aprobarán y pulsamos sobre Close.

Ahora los parche se irán descargando y según la política de grupo que hemos creado
anteriormente en los equipos del grupo BeforeInstall les aparecerá un icono indicando que
tiene parches para instalar.

Pues bien para aprobarlos para los demás grupos deberemos seleccionar en Updates –> All
updates en el campo Approval dejamos marcado Approved y en el campo Status
dejamos marcado Failed or Needed con esto conseguimos ver únicamente los parches que
necesitan todos los equipos ubicados en WSUS y podremos aprobarlos para AllServers.

Pues creo que esto es todo.

Si tenéis cualquier duda, ya sabéis un comentario y os responderé cuando tenga algo de


tiempo.

Espero que os sea de utilidad.

Saludos y hasta pronto MegaCracks.

Vous aimerez peut-être aussi