Embed Size (px)
Citation preview
Windows Server Update Services provee actualizaciones de seguridad para los sistemas
operativos Microsoft. Mediante Windows Server Update Services, los administradores pueden manejar centralmente la distribución de parches a través de Actualizaciones automáticas a todas las computadores de la red corporativa.
WSUS se desarrolló a partir de Software Update Services (SUS), el que solo podía actualizar parches del sistema operativo. WSUS supera a SUS en que expande el rango de aplicaciones que puede actualizar. La infraestructura de WSUS permite que desde un servidor(es) central se descarguen automáticamente los parches y actualizaciones para los clientes en la organización, en lugar de hacerlo del sitio web Microsoft Windows Update. Esto ahorra ancho de banda, tiempo y espacio de almacenamiento debido a que las computadoras no necesitan conectarse individualmente a servidores externos a la organización, sino que se conectan a servidores locales.
Microsoft permite la descarga gratis de WSUS desde su sitio web. Microsoft planea incluir WSUS con Windows Server "Longhorn".
Administración [editar]
Windows Server Update Services 2.0 esta conformado por un repositorio de paquetes de actualización de Microsoft, una instancia de MSDE, un servicio que descarga las actualizaciones de un servidor superior y un sitio virtual de IIS. Como muchos otros nuevos productos de Microsoft, la administración de WSUS se realiza a través de una interface web, que permite a los administradores aprobar o declinar las actualizaciones y obtener amplios reportes sobre que actualizaciones necesita cada computadora. Los administradores del sistema pueden también configurar que WSUS apruebe automáticamente ciertas clases de actualizaciones (actualizaciones críticas, actualizaciones de seguridad, paquetes de servicio, drivers). Se puede igualmente aprobar actualizaciones solo para "detección", permitiendo que el administrador sepa que computadoras necesitas determinada actualización sin necesidad de instalarlo.
Los administradores pueden usar WSUS junto con las políticas de grupo del Directorio Activo para realizar la configuración del cliente de Actualizaciones Automáticas, garantizando que los usuarios finales no puedan deshabilitar o evitar las políticas corporativas de actualización. WSUS, sin embargo, no necesita del Directorio Activo.
Historial de Versiones [editar]
22 de marzo de 2005 - 2.0 Release Candidate 6 de junio de 2005 - 2.0 Release (build 2340)
31 de mayo de 2006 - 2.0 Service Pack 1 (adiciona soporte para Windows Vista, idiomas adicionales, permite el uso de Microsoft SQL Server 2005 como base de datos, y mejora el rendimiento de la interface web)
14 de agosto de 2006 - 3.0 beta 2 (Interface basada en MMC y adición de nuevas características.)
junio de 2007 - 3.0
Aplicaciones soportadas [editar]
Hasta Agosto de 2006, Windows Software Update Services permitía actualizar los siguientes sistemas operativos de Microsoft operating systems y aplicaciones:
Windows 2000 Windows XP (32-bit, IA-64 and x64 Editions)
Windows Vista
Windows Server 2003
Windows Small Business Server 2003
Exchange Server 2000
Exchange Server 2003
SQL Server
SQL Server 2005
Office XP
Office 2003
Microsoft ISA Server 2004
Data Protection Manager 2006
Windows Live Mail Desktop
Windows Live Toolbar
Forefront Client Utility
Esta lista no es completa, además, "Max" aparece en la interface como un nproducto que WSUS soporta. Sin embargo, Microsoft anunció que esto es un error, y que no se ofrecen actualizaciones para "Max". Microsoft ha dicho que WSUS fue diseñado para ser capaz de brindar actualizaciones para aplicaciones no-Microsoft, esto no ha sido implementado todavía.
Instalando WSUS 3.0 Paso a Paso [ Tutorial ]
Publicado el 16 April, 2008 | por Diego Cabai | Leído 11,691 veces
Si bien ya había escrito algunos artículos sobre WSUS, el unico Tutorial que había armado es implementarlo sobre plataforma Windows Server 2008 ya que es la novedad del SP1 de WSUS 3.0. Creo que serviría hacer un tutorial sobre la instalación de este producto, paso a paso en plataforma Windows Server 2003 como para complementar. Comentando los requisitos mínimos, instalación y configuración básica.
Para repasar los requisitos mínimos de implementación de WSUS en Windows Server 2003 los voy a listar a continuación:
Microsoft Internet Information Services (IIS) 6.0 Instalar el hotfix KB842773 (Update for Background Intelligent Transfer
Service (BITS) 2.0 and WinHTTP 5.1 Windows Server 2003)
Microsoft .NET Framework 2.0 [Bajar »]
Microsoft Report Viewer 2005 [Bajar »]
Microsoft Management Console (MMC) 3.0 para Win Server 2003 (KB907265)
En el caso de Windows Server 2008 ya los había comentado en el post anterior pero viene bien repasarlos:
Microsoft Internet Information Services (IIS) 7.0 o Windows Authentication
o ASP.NET
o 6.0 Management Compatibility
o IIS Metabase Compatibility
Microsoft Report Viewer 2005 [Bajar »]
Microsoft SQL Server 2005 Service Pack 1 [Bajar »]
Para mas detalles sobre la implementación de este servidor bajo Windows Server 2008 te invito a que revises los documentos ya realizados sobre WSUS en dicha categoría. Artículos sobre WSUS »
Ahora bien, si cumplimos con todos estos requisitos podemos pasar a la instalación del servicio. Obviamente habría que hacer un análisis previo de dónde conviene instalar el servidor en nuestro ambiente, cuántos Servidores WSUS van
a existir, anchos de banda, etc. Imaginemos que este análisis ya está realizado y vamos a instalar el primer servidor de WSUS.
Instalación
1. Hacemos doble click sobre el archivo de instalación, por lo general WSUSSetup.exe y hacemos click en Next cuando aparece la bienvenida. Seleccionamos "Full Installation" y luego aceptamos la licencia para poder comenzar. En mi caso el instalador es WSUS3.0SP11Setup.exe.
2. La primer pantalla que requiere de nuestra interacción es "Select Update Source" donde seleccionamos si queremos guardar los parches localmente en el servidor para luego ser distribuídos, en qué disco y en qué carpeta. Si decidimos guardarlos localmente debemos seleccionar un disco con al menos 6Gb y formateado como NTFS. Nuevamente, 6Gb mínimo. Si no los guardamos localmente los parches se bajarán cada vez que requiera ser
instalado.
3. Luego debemos configurar la base de datos que utilizará el servicio. Podemos tener instalado un SQL Server 2005 ya en el equipo y utilizarlo o bien tenerlo instalado en otro servidor y utilizarlo o bien dejar que WSUS instale el SQL Server Embedded Edition como paso de la implementación. Si elegimos el último caso debemos elegir nuevamente el disco y el directorio que utilizará para dicha instalación.
4. Como último paso de la instalación debemos seleccionar si va a utilizar el Sitio Web por defecto del IIS o bien queremos que genere uno nuevo. Recomiendo que utilicen el que viene por defecto y luego se le configura seguridad al mismo pero asumimos que el servidor será WSUS dedicado.
5. Luego de pasar esa selección debemos seguir con el Asistente hasta finalizar y que comience con la instalación del mismo para luego continuar con la configuración.
Configuración
Al finalizar la instalación va a aparecer un asistente para la configuración inicial. Sugiero que se haga en ese momento por mas que se pueda cancelar y abrir luego desde la consola, es preferible terminar de configurarlo en ese instante así ya queda casi en producción. Debemos garantizar que el equipo pueda conectarse a Internet (Microsoft Update Site) o bien al servidor WSUS de Updates superior para poder conseguir los parches. En caso de no poder comunicarse a Internet verificar mas abajo qué es necesario para la conexión a internet.
1. WSUS requiere acceso a ciertos sitios de Internet que deberían estar habilitados en el Firewall o en el Proxy server de tu compañía. Los sitios son los siguientes:
http://windowsupdate.microsoft.com http://*.windowsupdate.microsoft.com https://*.windowsupdate.microsoft.com http://*.update.microsoft.com https://*.update.microsoft.com http://*.windowsupdate.com http://download.windowsupdate.com http://download.microsoft.com http://*. download.windowsupdate.com http://wustat.windows.com http://ntservicepack.microsoft.com
Se debe garantizar el acceso a dichos links para que WSUS funcione correctamente. Este es un punto que se puede resolver previo a la instalación del servicio así no te encontras con problemas a la hora de bajar los parches.
2. El primer paso de configuración es definir si el servidor va a bajar los parches desde Microsoft Update o los va a sincronizar de otro servidor de WSUS. Este punto va a depender de la implementación que tengamos. En este caso va a bajarlos desde Internet, pero podría ser un servidor de un site remoto que sincronice contra el del site central. Para ese caso podríamos configurar el modo SSL e incluso podríamos definir en este paso si el servidor es una réplica del central.
3. Al siguiente paso debemos definir si va a utilizar un servidor Proxy para el acceso a internet o bien se conecta directamente. Esta configuración depende de cada organización. Una vez configurado el acceso a internet el servidor ya intentará conectarse para poder bajar la lista de productos actualizada, lenguajes disponibles y tipos de parches.
4. Si la conexión fue exitosa podremos configurar el lenguaje que deseamos contenga nuestra plataforma, los productos de los cuales queremos que chequee los parches y además baje parches disponibles y por último la clasificación de los parches que deseamos, ya sean Updates, Security Updates, Critial Updates, Service Packs, etc. Luego de seleccionar estos tres parámetros debemos
configurar el calendario de sincronización de cuándo queremos que se conecte a internet a bajar dichos parches.
5. Como último paso nos va a preguntar si queremos abrir la consola administrativa al finalizar la configuración y si queremos que inicie la sincronización inicial. Estos pasos son optativos, es mas podemos obviar la sincronización si queremos y dejarla programada para la noche para no saturar el acceso a Internet.
El servidor ya está listo para operar y entregar parches a las PCs y Servidores que configuremos. Igualmente quedan un par de puntos para configurar.
1. Dentro de la Consola de Administración » Options » Automatic Approvals. En esta ventana podemos definir reglas de parches que deseemos que automáticamente sean aprovados para instalar, por ejemplo, Definiciones de Windows Defender. Es algo que seguro aprovaremos para todos los equipos así que conviene dejarlo en automático, pero igualmente depende de cada organización. En la segunda solapa de esa ventana "Advanced" vamos a configurar cómo WSUS va a tratar los parches para él mismo y para la plataforma de WSUS.
2. Otro issue importante son las notificaciones por correo que también las configuramos desde Options » E-Mail Notifications. Podemos configurar diferentes alertas para que lleguen a nuestra casilla de correo y obviamente requiere configurar el servidor de correo.
Qué falta para terminar de configurarlo y que entregue parches ? Unicamente crear los grupos de PCs (optativo) y configurar las PCs y Servidores con los parámetros del WSUS Server. Este punto lo voy a comentar en detalle luego, tanto para hacerlo manualmente, a través de Registry o bien a través de GPO (política) de dominio.
Comprobamos que la sincronización se está efectuando en el apartado Synchronizations.
Mientras está sincronizando vamos a configurar la estructura de las actualizaciones.
Por ejemplo en el caso que queramos separar las actualizaciones por empresas para tener un report claro de como estamos a nivel de parches en cada empresa crearemos un grupo por empresa.
En caso que queramos hacerlo por departamentos pues crearemos tantos departamentos como queramos.
En nuestro caso como ya hemos dicho antes únicamente vamos a actualizar los servidores así que primeramente crearemos un grupo llamado BeforeDeploy para poder albergar una
serie de servidores donde descargaremos e instalaremos los parches y chequearemos su estado, para más tarde por ejemplo una o 2 semanas distribuir estos mismos parches a todos los demás servidores de la empresa. (Esta es una buena práctica ya que en caso q uno de los parches instalados provoque un mal funcionamiento del servidor únicamente nos afectará a un grupo reducido. El grupo BeforeDeploy os recomiendo que en este grupo tengáis un servidor de cada tipo, por ejemplo un Domain Controller, un Exchange, un Sql, etc… para poder testear los parches con las diferentes funcionalidades de cada servidor.
Para ello tras situarnos sobre Computers pulsamos con el botón derecho del ratón sobre All computers y pulsamos sobre Add Computer Group.
Escribimos el nombre del grupo y pulsamos sobre Add.
Nosotros creamos otro grupo llamado AllServers para albergar todos los demás servidores.
NOTA: Para poder ubicar los servidores en cada grupo disponemos de 2 opciones. O bien hacerlo mediante directivas de grupo o bien moviendo manualmente cada servidor dentro de WSUS a su grupo.
Nosotros para hacerlo más difícil y también más manejable lo haremos mediante directivas de grupo. Primero debemos configurar WSUS para que acepte este tipo de instrucción pero deberemos esperar a que termine de sincronizar para poder modificar estas opciones.
Mientras tanto iremos creando la estructura de Active Directory para poder vincular las directivas de grupo de una forma más sencilla.
Nos situamos en el controlador de dominio más cercano y entramos en la consola de Usuarios y Equipos de Active Directory. Inicio –> Herramientas administrativas –> Usuarios y equipos de Active Directory.
Creamos las unidades organizativas como queráis. Nosotros vamos a crear una unidad organizativa que llamaremos BeforeDeploy y otra que llamaremos AllServers. (No hace falta que se llamen igual que los grupos de WSUS pero ya que estamos los vamos a distribuir de la misma forma).
Para hacerlo ya sabéis: Botón derecho sobre la unidad organizativa o parte del árbol del directorio activo donde queráis ubicar estos servidores y nuevo –> Unidad organizativa.
Ahora deberemos mover los servidores a estas unidades organizativas.
ATENCIÓN: Los Domain Controllers no os recomiendo que los mováis de OU (Unidad organizativa) ya que en caso de moverlos dejarán de aplicarse-les directivas de grupo específicas de controladores de dominio.
Ya aplicaremos una directiva de grupo sobre la unidad organizativa de Domain controllers para que también se les actualicen los parches del sistema. (No os preocupéis por ello).
En caso de que por error los hayáis movido volvedlos a mover a su unidad organizativa, no pasa nada se les volverán a aplicar las directivas y listo.
Bueno ahora que ya tenemos la estructura de OU’s creada y los servidores movidos a ellas, únicamente nos faltará crear las directivas de grupo para que sepan que servidor de actualizaciones usar para descargar los parches, en que momento, etc..
Ahora en el domain controller ejecutamos la herramienta Group Policy Management console. Inicio –> ejecutar –> gpmc.msc. En windows server 2008 ya está incluida pero en windows server 2003 y anteriores no.
En caso de no disponer de la herramienta nos la descargaremos del siguiente enlace: http://www.microsoft.com/DOWNLOADS/details.aspx?familyid=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en
Instalamos la aplicación pulsando doble click sobre el fichero descargado.
Tras instalar la aplicación pulsamos sobre Inicio –> ejecutar –> gpmc.msc
Nos situamos sobre Bosque: vuestro bosque –> Dominios –> vuestro dominio.
Pulsamos con el botón derecho del ratón sobre Objetos de directivas de grupo –> Nuevo
Escribimos un nombre y pulsamos sobre Aceptar.
Ahora pulsamos con el botón derecho sobre la directiva y editar.
Nos desplazamos por Configuración del equipo –> Plantillas administrativas –> Windows Update.
Únicamente os voy a comentar la configuración simple para que los equipos aparezcan en vuestro WSUS, vosotros podéis leer todas las opciones posibles de la directiva respecto a cuando instalar los parches, cuando sincronizar, etc…
Primero pulsamos doble click sobre Especificar la ubicación del servicio Microsoft Update en la intranet.
Marcamos Habilitada y en los dos campos posibles escribimos la dirección que nos dio el servidor WSUS cuando lo instalamos (http://<nombre del servidor>) y pulsamos sobre Aceptar.
Ahora pulsamos doble click sobre Habilitar que el cliente pueda ser un destino.
Marcamos Habilitada y ponemos el nombre del grupo que hemos creado en WSUS que es donde se ubicarán los equipos y pulsamos sobre Aceptar.
Ahora pulsamos doble click sobre Configurar actualizaciones automáticas.
Marcamos Habilitada y la configuramos como queramos, de momento pondremos la opción 3 que descargará las actualizaciones desde WSUS y notificará para la instalación.
Como únicamente necesitamos estos 3 valores para que el servidor WSUS vea a los equipos como clientes cerramos la edición de la GPO. Vosotros seguid configurando las opciones posibles para adaptarlo correctamente.
Lo que vamos a hacer ahora es hacer una copia de la directiva ya que únicamente le vamos a cambiar el valor del nombre de grupo de destino para este equipo por AllServers.
Ahora vamos a vincular estas GPO a sus Unidades organizativas correspondientes.
Nos situamos en la Unidad organizativa donde vamos a vincular la GPO y pulsamos con el botón derecho sobre ella y sobre Vincular una GPO existente.
Seleccionamos la GPO y pulsamos sobre Aceptar.
Hacemos el mismo procedimiento para las demás unidades organizativas y también para la de Domain Controllers. Quedando el árbol de la siguiente forma:
En nuestro caso hemos creado 2 directivas una para Before Deploy y la otra para Todos los servidores restantes.
Recordad que deberéis crear una directiva por cada grupo que hayáis creado en WSUS ya que en esta directiva se configurará el grupo al que se le aplicarán los parches.
NOTA: En caso de no necesitar saber los parches instalados por departamento o por empresa os recomiendo crear los 2 grupos mencionados el BeforeDeploy y el restante. Pero vosotros sois los que sabéis como queréis implementar los parches.
Podéis hacerlo por servidores y workstations por ejemplo. Bueno.. vosotros sabréis.
Ahora vamos a forzar la aplicación de estas directivas a los servidores.
Nos situamos en cualquier servidor y o bien lo reiniciamos o bien Inicio – > Ejecutar –> gpupdate /force esto provoca una solicitud de actualización de su GPO al domain controller.
Ahora que el sistema ya es capaz de encontrar su servidor de actualizaciones y de saber en que grupo de WSUS ubicarse vamos a forzar el envío de datos desde el cliente hacia el servidor WSUS. para ello Inicio –> Ejecutar –> wuauclt /detectnow.
Volvemos a comprobar si el servidor WSUS ha terminado de sincronizar el catálogo.
Si es el caso nos situamos sobre Options –> Computers del menú de Windows Server Update Services(WSUS).
Marcamos la opción Use Group Policy or registry settings on computers y pulsamos sobre OK.
Eso habilita la funcionalidad de catalogar los equipos mediante las directivas de grupo que hemos configurado en Active Directory.
Después de aplicar este cambio y de que los equipos hayan actualizado sus directivas de grupo vamos a comprobar si existen servidores catalogados en WSUS.
Pues en efecto, en los 2 servidores que le hemos realizado el gpupdate /force aparecen y en el grupo correcto.
En el caso que no veáis información sobre ellos o bien nos esperamos las 22 horas por defecto o forzamos a que envíen y actualicen sus datos. Desde los clientes ejecutamos los comandos wuauclt /detectnow y wuauclt /updatenow.
Bueno pues ya tenemos información de uno de ellos. Vemos que tiene un 96% de parches instalados. Podemos ver mas columnas pulsando con el botón derecho sobre las actuales columnas y marcando las opciones que deseemos. Needed count nos mostrará los parches que le faltan por instalar a los equipos.
Pues puedo comprobar que el servidor firstdomain.megacrack.es le faltan 62 parches.
Ahora vamos a aprovar los parches para su descarga y posterior instalación en el equipo cliente.
Desde WSUS pulsamos sobre Updates –> All updates.
Como vemos en el campo Approval dejamos marcado Unapproved y en el campo Status dejamos marcado Failed or Needed con esto conseguimos ver únicamente los parches que necesitan todos los equipos ubicados en WSUS.
Para descargar los parches para que puedan ser aplicados a los equipos hemos de aprovarlos.
Seleccionamos todos los parches y con el botón derecho del ratón pulsamos sobre Approve.
Ahora pulsamos sobre BeforeDeploy pulsamos sobre Approve for Install.
La idea sería que al cabo de 2 semanas por ejemplo tras haber probado estos parches se podrían aprobar también para la categoría AllServers.
Pulsamos sobre OK.
Los parches se aprobarán y pulsamos sobre Close.
Ahora los parche se irán descargando y según la política de grupo que hemos creado anteriormente en los equipos del grupo BeforeInstall les aparecerá un icono indicando que tiene parches para instalar.
Pues bien para aprobarlos para los demás grupos deberemos seleccionar en Updates –> All updates en el campo Approval dejamos marcado Approved y en el campo Status dejamos marcado Failed or Needed con esto conseguimos ver únicamente los parches que necesitan todos los equipos ubicados en WSUS y podremos aprobarlos para AllServers.
Pues creo que esto es todo.
Si tenéis cualquier duda, ya sabéis un comentario y os responderé cuando tenga algo de tiempo.
Espero que os sea de utilidad.
Saludos y hasta pronto MegaCracks.
