new cap04 wsus [modo de compatibilidad]

7/24/2019 New Cap04 WSUS [Modo de Compatibilidad]

1/35

Copyright agosto de 2011 por TECSUP

Windows Server Update Services(WSUS)

1


2/35

Dentro de la administracin de servidores y estaciones unelemento importante es la gestin de las actualizaciones.

Se ha mencionado que peridicamente aparecen ServicePacks, Hot fix, etc., que corrigen ciertos errores que seidentifican en los sistemas operativos y en las

aplicaciones. En este unidad se detallaran las distintas formas que se

disponen para la distribucin de actualizaciones.

Introduccin

2


3/35

Identificar las herramientas para gestin deactualizaciones.

Implementar WSUS

Objetivos

3


4/35

Qu son las actualizaciones?

Cmo saber que actualizaciones se necesita? Modelo de Gestin de Actualizaciones WU y MU

Actualizaciones Automticas Herramientas para la Gestin de Actualizaciones Windows Server Update Services (WSUS)

ndice

4


5/35

Correcciones de seguridad, actualizaciones crticas ycontroladores importantes.

Solucionan puntos dbiles de seguridad conocidos yproblemas de estabilidad.

Qu son las actualizaciones?

5


6/35

Microsoft Baseline Security Analyzer (MBSA) Ayuda a identificar sistemas Windows vulnerables Trabaja con Windows 2000 y versiones superiores

Cmo saber que actualizaciones se necesita?

6


7/35

Windows Update es una ampliacin en lnea de Windows

Actualiza los sistemas operativos de Microsoft Windows, elsoftware y los controladores de dispositivos. El sitio se renueva con contenido frecuentemente Las notificaciones se envan directamente al escritorio

Modelo de Gestin de Actualizaciones

7


8/35

Windows Update http://update.microsoft.com/windowsupdate Solo actualiza (corrige) Windows.

Microsoft Update http://update.microsoft.com/microsoftupdate

Actualiza (corrige): Windows Office Exchange Otros productos de Microsoft

WU y MU

8


9/35

El software de cliente de actualizaciones automticaspuede descargar paquetes del sitio pblico de WindowsUpdate o de un servidor en el que se ejecute SoftwareUpdate Services

Actualizaciones Automticas

9


10/35

Cmo funciona?

Microsoft Update

Clientes Windows XP

Clientes Windows Server10


11/35

Herramientas para la Gestin de Actualizaciones Usuario Final y Pequea

Empresa:

Microsoft Update Pequea y Mediana Empresa:

Windows Software UpdateServices (WSUS)

Mediana Empresa yCorporaciones:System Management Server(SMS)

11


12/35

WSUS provee actualizaciones de seguridad para lossistemas operativos Microsoft Windows y otrasaplicaciones.

Permite que desde un servidor central se descarguenautomticamente los parches y actualizaciones para los

clientes en ves de hacerlo desde Microsoft WindowsUpdate. Se puede utilizar el conjunto con polticas de grupo del

ADS. WSUS se desarroll a partir de Software Update Services

(SUS), el que solo poda actualizar parches del sistemaoperativo.

Windows Server Update Services (WSUS)

12


13/35

Cmo funciona?

Servidor WSUS

El Administrador se suscribe a las categoras de actualizacionesEl servidor descarga las actualizaciones desde Microsoft UpdateLos clientes se registran en el servidorEl agente instala los parches aprobados por el administradorEl Administrador pone a los clientes en diferentes target groupsEl Administrador aprueba las actualizaciones

Microsoft Update

Clientes Windows XP

Target Group 1 Clientes Windows Server

Target Group 2

Administrador

13


14/35

Microsoft Update

Windows Server Update Services Web Site MSDE/SQL

Automatic Updates Client

Windows 2000 Server y Professional Windows XP Professional Windows Server 2003

Componentes

Microsoft Update

Servidor WSUS

Clientes14


15/35

Requisitos del Servidor: Windows 2003 SP1 o Windows 2000 SP4

Procesador: Mnimo 750 GHZ, recomendado mas de 1 Ghz Memoria RAM: Mnimo 512 MB, recomendado mas de 1 GB. Particiones en formato NFTS

Requisitos de Software: IIS 6.0 para Windows 2003 o IIS 5.0 Microsoft Background Intelligent Transfer Service (BITS) 2.0 Microsoft NET Framework 1.1 SP1

Software de base de Datos: WSUS en Windows Server 2003incluye Windows SQL Server 2000 Desktop Engine (WMSDE).

Requisitos de instalacin del servidor

15


16/35

Servidor nico Un solo servidor interacta

con Microsoft Update (MU) ydistribuye las actualizacionesa los clientes.

Para PYME o red simple.

Mltiples Servidores Un solo servidor interacta

con MU y sincroniza conotros servidores.

Estos servidores distribuyenlas actualizaciones.

til para balanceo de carga.

Para gran empresa o redcompleja.

Escenarios de Implementacin

16


17/35

La Base de datos de WSUS se utiliza para almacenarinformacin sobre la configuracin y las actualizaciones(metadata, etc).

17

Seleccin de la Base de Datos

Base de Datos recomendada por sistema Operativo

Sistema operativos RecomendacinWindows Server 2003 Si est instalando WSUS en Windows

2003 Server y no quiere utilizar SQLServer 2000, utilice WMSDE.

Windows 2000 Server Si est instalando WSUS en Windows2000 Server y no quiere utilizar SQLServer 2000, utilice MSDE.


18/35

Las actualizaciones en si no se guardan en la metadata. Dos opciones:

Local: Sistema de archivos local Remoto: Microsoft Update (slo almacenamos la informacin

acerca de las actualizaciones)

Depende de dnde estn los clientes en relacin al WSUS Clientes en red local Local file system Clientes fuera Microsoft Update

Ubicacin de las Actualizaciones

18


19/35

La instalacin consta de: Configuracin del Firewall.

Preparacin de discos y particiones. Instalacin del software requerido. Instalacin de IIS.

Ejecutar WSUS Server Setup. Utilizar WMSDE Actualizaciones almacenadas localmente Utilizar sitio Web predeterminado (puerto 80)

Instalacin de WSUS

19


20/35

Servidor Interfaz Web de WSUS

Sincronizacin de updates Metadata Archivos de instalacin

Creacin de grupos de computadores Aprobacin de updates para cada grupo

Cliente Modificacin de registro a travs de:

GPOs Local o GPOs de Active Directory Logon Script u otro mtodo

Administracin

20


21/35

WSUS, proporciona una interfase Web, para administrar elservicio.

Interfase WSUS

21


22/35

El servidor WSUS baja actualizaciones basado en: Productos o Familia de productos (por ejemplo Windows 2003)

Clasificaciones o Tipo de Actualizacin (por ejemplo CriticalUpdate o Security Update)

La sincronizacin puede ser:

Manual Automtica

Sincronizacin de WSUS

ServidorWSUS

Microsoft Update

Internet

LAN

Sincronizacin automtica

Sincronizacin manual22


23/35

Productos y Familia de Productos Windows 2000 Family SP3 >

Windows XP Family Windows Server 2003 Family Exchange Server 2000/2003 SQL Server 2000

Office 2002(Xp)/2003

Clasificaciones Services Packs Security Updates Critical Updates Drivers Tools Rollups Feature Packs

Productos y Clasificaciones

23


24/35

Instalacin estndar: Descarga y reemplaza el ficherocompleto.

Ms costoso para el cliente y la red local.

Instalacin Express: Descarga e instala solo deltas(diferencias)

Ms costoso para el servidor WSUS y el enlace WAN

Mtodo de actualizacin

24


25/35

Permiten dirigir las actualizaciones a equipos especficos Dos grupos predeterminados: Todos los equipos y

Equipos sin asignar. Comprende:

Especificar como se realizar la asignacin

Crear los grupos. Trasladar las computadoras a los grupos.

Se pueden crear grupos para probar las actualizaciones.

Grupos de Equipos

Grupo Prueba Grupo Contabilidad

Todos los equipos

25


26/35

La aprobacin define la accin que se debe realizar conlas actualizaciones.

Estados Slo detectar (Detect only) Instalar (Install)

Remover (Remove) Declinar (Decline Update)

Si no se aprueba una actualizacin, el estado figura comoNo aprobado (Not Approved)

Se puede configurar una aprobacin por defecto. Excepcin: Critical Update y Security Update, son

automticamente aprobadas para deteccin.

Aprobacin de Actualizaciones (updates)

26


27/35

Aprobacin de Actualizaciones (updates)

27


28/35

Las opciones disponible dependen del entorno. Active Directory

Polticas de Grupo: GPOs en el Directorio Activo.

Sin Active Directory Polticas de Grupo Local: Manualmente utilizando gpedit.msc.

Editando el Registry:HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate

Configuracin de Clientes

28


29/35

Configuracin de Clientes

29


30/35

Informacin de los clientes

30


31/35

Configurar un servidor de pruebas en el que se ejecuteSoftware Update Services.

Conectar un equipo cliente de pruebas que cumpla laconfiguracin de la lnea de base de los escritorios de laorganizacin.

Instalar la actualizacin y probar todas las aplicaciones dela organizacin. Aprobar Software Update Services para distribuir las

actualizaciones a los clientes.

Reglas para la Gestin de Parches con WSUS

31


32/35

Tiempo de instalacin de actualizaciones ya descargadasdespus de reiniciar.

Frecuencia de actualizacin en el cliente. No reiniciar automticamente tras la instalacin. Demorar el reinicio.

Comportamiento de la descarga y la instalacin. Frecuencia de los recordatorios para reiniciar tras la

instalacin.

Instalar actualizaciones al Apagar. Apariencia del botn de Apagar. Usuarios no administradores pueden aprobar descargas e

instalaciones.

Opciones de configuracin

32


33/35

WSUS siempre detrs de un firewall. Sobre el sistema operativo securizado. Utilizar siempre SSL.

Los clientes deben validarse con su certificado de mquina pararecibir las actualizaciones.

Usar una CA pblica si no se tiene la opcin de distribuir una CAraz corporativa (nada ms sencillo con Directorio Activo).

Consideraciones de Seguridad

33


34/35

Technet WSUS http://technet.microsoft.com/en-us/wsus/default.aspx

Wiki http://www.wsuswiki.com/

Enlaces

34


35/35

Website de Technet http://www.microsoft.com/technet

Website de WSUS http://www.microsoft.com/spain/technet/seguridad/herramientas/ws

us.mspx

Bibliografa

35

new cap04 wsus [modo de compatibilidad]

Documents