Microsoft Microsoft Software Update ServicesSoftware Update Services

Mauricio de la RosaMauricio de la RosaConsultorConsultorMicrosoft PerMicrosoft Perúú

AgendaAgenda

Introducción a la Administración de Introducción a la Administración de ParchesParches

Introducción al Software Update Introducción al Software Update ServicesServices

Características / ComponentesCaracterísticas / Componentes ConfiguraciónConfiguración EscenariosEscenarios DemoDemo Registro del estado de los clientesRegistro del estado de los clientes Solución de ProblemasSolución de Problemas

Introducción a la Introducción a la Administración de Administración de ParchesParches

¿Porqué existen los ¿Porqué existen los parches?parches? Todo programa es propenso a tener Todo programa es propenso a tener

fallasfallas Anticipar tipos de ataques futuros es Anticipar tipos de ataques futuros es

imposibleimposible El número de atacantes es cada vez El número de atacantes es cada vez

mayormayor La variedad de vulnerabilidades La variedad de vulnerabilidades

también está creciendotambién está creciendo

Tipos de ParchesTipos de Parches

Service PacksService Packs Actualizan el productoActualizan el producto CumulativosCumulativos Varios cambios probados en conjuntoVarios cambios probados en conjunto

HotfixesHotfixes Muy específicosMuy específicos No se prueban tanto como los Service No se prueban tanto como los Service

PacksPacks Parches de SeguridadParches de Seguridad

Diseñado para eliminar Diseñado para eliminar vulnerabilidadesvulnerabilidades

Se recomienda implementarlos Se recomienda implementarlos rápidamenterápidamente

HerramientasHerramientas

Detección de ParchesDetección de Parches HfNetChkHfNetChk MBSAMBSA

Implementación de ParchesImplementación de Parches Software Update Services (SUS)Software Update Services (SUS) System Management Server (SMS)System Management Server (SMS)

Introducción al Introducción al Software Update Software Update ServicesServices

Retos a los que nos Retos a los que nos enfrentamos actualmenteenfrentamos actualmente Los departamentos de IT no desean Los departamentos de IT no desean

que los usuarios acceda al sitio que los usuarios acceda al sitio público de Windows Updatepúblico de Windows Update

Los departamentos de IT no desean Los departamentos de IT no desean que los usuarios instalen que los usuarios instalen actualizaciones que no han sido actualizaciones que no han sido probadasprobadas

Los administradores tienen que Los administradores tienen que monitorear constantemente la monitorear constantemente la aparición de nuevos parchesaparición de nuevos parches

La distribución y administración de La distribución y administración de parches puede hacerse complicadaparches puede hacerse complicada

Software Update ServicesSoftware Update ServicesObjetivosObjetivos

Hacer que los parches de seguridad Hacer que los parches de seguridad críticos sean fáciles de obtener e críticos sean fáciles de obtener e implementarimplementar

Darle el control al departamento de Darle el control al departamento de IT sobre qué parches se pueden IT sobre qué parches se pueden implementar y cuando hacerloimplementar y cuando hacerlo

No requerir una infraestructura No requerir una infraestructura compleja para implementar los compleja para implementar los parchesparches

Apuntar a las pequeñas y medianas Apuntar a las pequeñas y medianas empresas que no cuentan con una empresas que no cuentan con una solución de distribución de softwaresolución de distribución de software

Software Update ServicesSoftware Update ServicesDonde se ubicaDonde se ubica SUS está enfocado en solo actualizaciones SUS está enfocado en solo actualizaciones

críticascríticas SUS está hecho específicamente para SUS está hecho específicamente para

implementar lo siguiente:implementar lo siguiente: Actualizaciones Críticas de WindowsActualizaciones Críticas de Windows Actualizaciones Críticas de SeguridadActualizaciones Críticas de Seguridad Security Roll-up PackagesSecurity Roll-up Packages

Tecnología recomendadaTecnología recomendada

Usuario del HogarUsuario del Hogar Windows UpdateWindows UpdatePequeña EmpresaPequeña Empresa Windows Update, SUSWindows Update, SUSMediana EmpresaMediana Empresa Software Update ServicesSoftware Update Services

Gran EmpresaGran Empresa SMSSMS

SUSSUSCaracterísticas y Características y ComponentesComponentes

Escenario de Escenario de FuncionamientoFuncionamiento

WindowsUpdateWindowsUpdate

InternetInternet

IntranetIntranet

ServidorServidorSUSSUS

Windows: Actualizaciones Críticas, Windows: Actualizaciones Críticas, Security RollupsSecurity Rollups

Configurado a través de la Configurado a través de la herramienta de administraciónherramienta de administración

Sincronización de Sincronización de ActualizacionesActualizaciones

Baja e instala Baja e instala actualizaciones actualizaciones AprobadasAprobadas

Servidores corporativos, PCs Servidores corporativos, PCs y Laptops con el cliente de y Laptops con el cliente de actualización automáticaactualización automática

Configuración Configuración centralizada del centralizada del clientecliente

Cliente de ActualizaciónCliente de ActualizaciónCaracterísticasCaracterísticas Puede buscar las actualizaciones Puede buscar las actualizaciones

tanto en el sitio público como en el tanto en el sitio público como en el servidor SUS de la empresaservidor SUS de la empresa

Automáticamente descarga e instala Automáticamente descarga e instala las actualizacioneslas actualizaciones

Consolida múltiples reboots en uno Consolida múltiples reboots en uno solosolo

Notifica al administrador de la Notifica al administrador de la máquina de actualizaciones máquina de actualizaciones pendientespendientes

Notifica a los usuarios de reboots Notifica a los usuarios de reboots pendientespendientes

Cliente de ActualizaciónCliente de ActualizaciónCaracterísticas (Cont.)Características (Cont.) Las descargas son de forma Las descargas son de forma

desatendida e inteligentes de desatendida e inteligentes de acuerdo a la velocidad de conexiónacuerdo a la velocidad de conexión

Opciones de ConfiguraciónOpciones de Configuración Notificar antes de hacer la descarga e Notificar antes de hacer la descarga e

instalarinstalar Realizar la descarga automáticamente Realizar la descarga automáticamente

y notificar antes de instalary notificar antes de instalar Realizar la descarga automáticamente Realizar la descarga automáticamente

e instalar en una fecha programadae instalar en una fecha programada Soporte de políticas basadas en el Soporte de políticas basadas en el

RegistryRegistry

Cliente de ActualizaciónCliente de ActualizaciónCaracterísticasCaracterísticas (Cont.)(Cont.) Soportado en Windows 2000 y Soportado en Windows 2000 y

Windows XPWindows XP Disponible desde: Disponible desde:

Descarga de la página de SUSDescarga de la página de SUS Incluido en el SP3 de Windows 2000Incluido en el SP3 de Windows 2000 Incluido en Windows XP SP1Incluido en Windows XP SP1 Se actualiza a sí mismo desde el sitio Se actualiza a sí mismo desde el sitio

de Windows Updatede Windows Update Soporte a 24 lenguajesSoporte a 24 lenguajes

Servidor SUSServidor SUSRequerimientosRequerimientos Sistema Operativo MínimoSistema Operativo Mínimo

Windows 2000 SP2Windows 2000 SP2 Internet Information Server 5.0 e IE 5.5Internet Information Server 5.0 e IE 5.5

Hardware Mínimo:Hardware Mínimo: Pentium III – 733mhzPentium III – 733mhz 512 MB RAM512 MB RAM 6 GB HD6 GB HD

Con esto puede soportar a 15,000 Con esto puede soportar a 15,000 clientesclientes

Interfaz en Inglés o JaponésInterfaz en Inglés o Japonés No se puede instalar en Controladores de No se puede instalar en Controladores de

DominioDominio

Servidor SUSServidor SUSCaracterísticasCaracterísticas

Seguro por PredeterminaciónSeguro por Predeterminación Requiere NTFSRequiere NTFS Instala IIS Lockdown y URL ScanInstala IIS Lockdown y URL Scan

Las actualizaciones no se hacen disponibles a los Las actualizaciones no se hacen disponibles a los usuarios hasta que son aprobadas por el usuarios hasta que son aprobadas por el administradoradministrador

Administración basada en WebAdministración basada en Web Realizada usando IE 5.5 o superiorRealizada usando IE 5.5 o superior Soporta administración segura a través de SSLSoporta administración segura a través de SSL

SincronizaciónSincronización El contenido puede ser sincronizado manualmente o El contenido puede ser sincronizado manualmente o

agendada para realizarse automáticamenteagendada para realizarse automáticamente La sincronización se realiza usando HTTP, por lo que solo se La sincronización se realiza usando HTTP, por lo que solo se

requiere habilitar el puerto 80 de TCPrequiere habilitar el puerto 80 de TCP Puede autenticarse con los servidores proxyPuede autenticarse con los servidores proxy

Servidor SUSServidor SUSCaracterísticas (Cont.)Características (Cont.) Ubicación de las actualizacionesUbicación de las actualizaciones

Puede elegir guardar el contenido localmente en Puede elegir guardar el contenido localmente en el servidor SUS o hacer que los clientes se el servidor SUS o hacer que los clientes se descarguen las actualizaciones aprobadas desde descarguen las actualizaciones aprobadas desde el sitio públicoel sitio público

Bitácora de Sincronización XMLBitácora de Sincronización XML Qué fue sincronizado? Cuando? Qué fue sincronizado? Cuando?

Bitácora de AprobacionesBitácora de Aprobaciones Quién aprobó estos elementos? Cuando? Quién aprobó estos elementos? Cuando?

Estado del ClienteEstado del Cliente Estado de las descargas e instalaciones es Estado de las descargas e instalaciones es

enviada a un servidor para su análisisenviada a un servidor para su análisis

Servidor SUSServidor SUSCaracterísticas (Cont.)Características (Cont.)

Capacidad de CrecimientoCapacidad de Crecimiento Se puede crear una jerarquía de Se puede crear una jerarquía de

servidoresservidores Un servidor SUS puede sincronizar Un servidor SUS puede sincronizar

contenido con cualquiera de los contenido con cualquiera de los siguientes:siguientes:Sitio público de Windows UpdateSitio público de Windows UpdateUn servidor padre corriendo SUSUn servidor padre corriendo SUSUn punto de distribuciónUn punto de distribución

Un servidor SUS hijo puede sincronizar Un servidor SUS hijo puede sincronizar tanto contenido como la lista de tanto contenido como la lista de elementos aprobadoselementos aprobados

Soporta Balanceo de CargaSoporta Balanceo de Carga

Capacidad de CrecimientoCapacidad de Crecimiento

Windows UpdateWindows Update

InternetInternet IntranetIntranet

Content can be Content can be synchronized synchronized

from Windowsfrom Windows Update or a Update or a local serverlocal server

SUS / Servidor de SUS / Servidor de distribucióndistribución

SUSSUS

Contenido y Contenido y ActualizacioActualizaciones nes AprobadasAprobadas

SUSSUS

ConteniContenidodo

Clientes Win2k & Clientes Win2k & WinXPWinXP

Sitio BSitio B

HTTPHTTP

Clientes Win2k & Clientes Win2k & WinXPWinXP

Sitio ASitio A

Se puede hacer que Se puede hacer que los cliente bajen e los cliente bajen e instalen el contenido instalen el contenido directamente del directamente del servidor SUSservidor SUS

ProxyProxy

ProxyProxy

Se puede hacer que los Se puede hacer que los cliente bajen el cliente bajen el contenido de Inernet contenido de Inernet directamentedirectamente

Firewal

l

Firewal

l

Aspectos de SeguridadAspectos de Seguridad Respecto al contenidoRespecto al contenido

Todo el contenido es firmado por Todo el contenido es firmado por MicrosoftMicrosoft

Las firmas se verifican al descargar Las firmas se verifican al descargar contenido de Windows Update, un contenido de Windows Update, un servidor SUS padre o de un punto de servidor SUS padre o de un punto de distribución distribución

El contenido descargado por el cliente es El contenido descargado por el cliente es verificado de ser firmado por Microsoft.verificado de ser firmado por Microsoft.

Respecto a la configuración del Respecto a la configuración del servidor?servidor? SUS requiere NTFSSUS requiere NTFS Automáticamente instala y configura IIS Automáticamente instala y configura IIS

Lockdown y URL ScanLockdown y URL Scan La administración se puede hacer a La administración se puede hacer a

través de SSLtravés de SSL

ConfiguraciónConfiguración

ClienteCliente Centralizadamente a través de Centralizadamente a través de

Políticas de GrupoPolíticas de Grupo Archivo WUAU.admArchivo WUAU.adm

A través de entradas de RégistryA través de entradas de Régistry ServidorServidor

A través de la herramienta de A través de la herramienta de administración webadministración web

Escenarios Escenarios RecomendadosRecomendados PCsPCs

Descarga automática e instalación Descarga automática e instalación agendada (diaria)agendada (diaria)

Servidores No CríticosServidores No Críticos Descarga automática e instalación Descarga automática e instalación

agendada (semanal)agendada (semanal) Servidores CríticosServidores Críticos

Descarga automática y Notificar para Descarga automática y Notificar para instalarinstalar

Software Update Software Update ServicesServices

Registro del estado de los Registro del estado de los ClientesClientes 2 tipos de bitácoras2 tipos de bitácoras

Local, captura la interacción ente el cliente y Local, captura la interacción ente el cliente y el servidorel servidor

Estado enviado a un servidor IISEstado enviado a un servidor IIS Tipos de eventos registradosTipos de eventos registrados

Durante la actualización: actualización Durante la actualización: actualización pendientependiente

Luego de la actualización: falla/éxitoLuego de la actualización: falla/éxito Durante la detección: falla/éxitoDurante la detección: falla/éxito Luego de la Detección: falla/éxito de la Luego de la Detección: falla/éxito de la

detección detección Luego de la descarga:  falla/éxito de la Luego de la descarga:  falla/éxito de la

descargadescarga Luego de la Instalación: Luego de la Instalación:

falla/éxito/cancelación de la instalaciónfalla/éxito/cancelación de la instalación No hay una interfaz especializada hoy en No hay una interfaz especializada hoy en

día para ver esta informacióndía para ver esta información

Solución de ProblemasSolución de ProblemasClienteCliente Están llegando las actualizaciones? Están llegando las actualizaciones?

Revisar enRevisar en %programfiles%\WindowsUpdate\V4\%programfiles%\WindowsUpdate\V4\IUHist.xmlIUHist.xml

Muestra instalaciónes exitosas y fallidasMuestra instalaciónes exitosas y fallidas Si no se usan políticas, en el panel de Si no se usan políticas, en el panel de

controlcontrol:: Deshabilitar y re-habilitar la actualización, Deshabilitar y re-habilitar la actualización,

esto provoca que en unos pocos minutos esto provoca que en unos pocos minutos se haga una revisión de nuevas se haga una revisión de nuevas actualizacionesactualizaciones

Revisar el Event ViewerRevisar el Event Viewer No se puede conectar (escrito cada 48hrs)No se puede conectar (escrito cada 48hrs) Instalación listaInstalación lista Instalación completaInstalación completa

Solución de ProblemasSolución de ProblemasCliente (Cont.)Cliente (Cont.) Revisar enRevisar en %windir%\Windows Update.log%windir%\Windows Update.log

Reporta interacciones entre el cliente y Reporta interacciones entre el cliente y el servidorel servidor

Los mensajes “Querying software update Los mensajes “Querying software update catalog” reportan el servidor del cual se catalog” reportan el servidor del cual se están obteniendo las actualizacionesestán obteniendo las actualizaciones

Solo 3 llamadas a Solo 3 llamadas a autoupdate/getmanifest.asp indica que la autoupdate/getmanifest.asp indica que la actualización no aplicó a esa PCactualización no aplicó a esa PC

Una cuarta llamada a Una cuarta llamada a autoupdate/getmanifest.asp indica que se autoupdate/getmanifest.asp indica que se encontraron actualizaciones que aplican a encontraron actualizaciones que aplican a esa PCesa PC

Números de error pueden ser encontrados en Números de error pueden ser encontrados en la Guía de Implementaciónla Guía de Implementación

Solución de ProblemasSolución de ProblemasServidorServidor Por qué fallan las sincronizaciones?Por qué fallan las sincronizaciones?

Verificar que se tiene acceso a la Verificar que se tiene acceso a la siguiente dirección desde el servidor siguiente dirección desde el servidor SUS:SUS:http://www.msus.windowsupdate.com/msus/v1/http://www.msus.windowsupdate.com/msus/v1/

aucatalog.cabaucatalog.cab

Buscar cualquier error en la bitácora Buscar cualquier error en la bitácora de sincronizaciónde sincronización Usualmente una mala configuración Usualmente una mala configuración

del proxydel proxy

Solución de ProblemasSolución de Problemas Servidor (Cont.)Servidor (Cont.) Ninguna actualización se muestra en la Ninguna actualización se muestra en la

página de Aprobación?página de Aprobación? Probablemente la metadata falló en cargarseProbablemente la metadata falló en cargarse Ir a la página Monitor y pulsar “Refresh”Ir a la página Monitor y pulsar “Refresh”

El sitio web no funciona correctamente?El sitio web no funciona correctamente? Cuando se pide una sincronización manual o Cuando se pide una sincronización manual o

automática, ésta no ocurreautomática, ésta no ocurre O cuando se cambia una opción en la página O cuando se cambia una opción en la página

de Options el cambio no ocurrede Options el cambio no ocurre Reiniciar el servicio de SUS Reiniciar el servicio de SUS

SynchronizationSynchronization El sitio de administración no se puede El sitio de administración no se puede

acceder o los clientes no pueden acceder acceder o los clientes no pueden acceder al servidoral servidor Revisar que el IIS funciona correctamenteRevisar que el IIS funciona correctamente Reiniciar el IISReiniciar el IIS

Recursos AdicionalesRecursos Adicionales

Página Web de Software Update Página Web de Software Update Services Services http://www.microsoft.com/windows2000/windowsupdate/shttp://www.microsoft.com/windows2000/windowsupdate/susus

En este sitio encontrarán: En este sitio encontrarán: Una demo FlashUna demo Flash Un WhitePaper de visión general Un WhitePaper de visión general Una guía de implementaciónUna guía de implementación Preguntas FrecuentesPreguntas Frecuentes Los instaladoresLos instaladores

© 2002 Microsoft Corporation. All rights reserved.© 2002 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.in this summary.