Post on 03-Feb-2015
transcript
Microsoft Microsoft Software Update ServicesSoftware Update Services
Mauricio de la RosaMauricio de la RosaConsultorConsultorMicrosoft PerMicrosoft Perúú
AgendaAgenda
Introducción a la Administración de Introducción a la Administración de ParchesParches
Introducción al Software Update Introducción al Software Update ServicesServices
Características / ComponentesCaracterísticas / Componentes ConfiguraciónConfiguración EscenariosEscenarios DemoDemo Registro del estado de los clientesRegistro del estado de los clientes Solución de ProblemasSolución de Problemas
Introducción a la Introducción a la Administración de Administración de ParchesParches
¿Porqué existen los ¿Porqué existen los parches?parches? Todo programa es propenso a tener Todo programa es propenso a tener
fallasfallas Anticipar tipos de ataques futuros es Anticipar tipos de ataques futuros es
imposibleimposible El número de atacantes es cada vez El número de atacantes es cada vez
mayormayor La variedad de vulnerabilidades La variedad de vulnerabilidades
también está creciendotambién está creciendo
Tipos de ParchesTipos de Parches
Service PacksService Packs Actualizan el productoActualizan el producto CumulativosCumulativos Varios cambios probados en conjuntoVarios cambios probados en conjunto
HotfixesHotfixes Muy específicosMuy específicos No se prueban tanto como los Service No se prueban tanto como los Service
PacksPacks Parches de SeguridadParches de Seguridad
Diseñado para eliminar Diseñado para eliminar vulnerabilidadesvulnerabilidades
Se recomienda implementarlos Se recomienda implementarlos rápidamenterápidamente
HerramientasHerramientas
Detección de ParchesDetección de Parches HfNetChkHfNetChk MBSAMBSA
Implementación de ParchesImplementación de Parches Software Update Services (SUS)Software Update Services (SUS) System Management Server (SMS)System Management Server (SMS)
Introducción al Introducción al Software Update Software Update ServicesServices
Retos a los que nos Retos a los que nos enfrentamos actualmenteenfrentamos actualmente Los departamentos de IT no desean Los departamentos de IT no desean
que los usuarios acceda al sitio que los usuarios acceda al sitio público de Windows Updatepúblico de Windows Update
Los departamentos de IT no desean Los departamentos de IT no desean que los usuarios instalen que los usuarios instalen actualizaciones que no han sido actualizaciones que no han sido probadasprobadas
Los administradores tienen que Los administradores tienen que monitorear constantemente la monitorear constantemente la aparición de nuevos parchesaparición de nuevos parches
La distribución y administración de La distribución y administración de parches puede hacerse complicadaparches puede hacerse complicada
Software Update ServicesSoftware Update ServicesObjetivosObjetivos
Hacer que los parches de seguridad Hacer que los parches de seguridad críticos sean fáciles de obtener e críticos sean fáciles de obtener e implementarimplementar
Darle el control al departamento de Darle el control al departamento de IT sobre qué parches se pueden IT sobre qué parches se pueden implementar y cuando hacerloimplementar y cuando hacerlo
No requerir una infraestructura No requerir una infraestructura compleja para implementar los compleja para implementar los parchesparches
Apuntar a las pequeñas y medianas Apuntar a las pequeñas y medianas empresas que no cuentan con una empresas que no cuentan con una solución de distribución de softwaresolución de distribución de software
Software Update ServicesSoftware Update ServicesDonde se ubicaDonde se ubica SUS está enfocado en solo actualizaciones SUS está enfocado en solo actualizaciones
críticascríticas SUS está hecho específicamente para SUS está hecho específicamente para
implementar lo siguiente:implementar lo siguiente: Actualizaciones Críticas de WindowsActualizaciones Críticas de Windows Actualizaciones Críticas de SeguridadActualizaciones Críticas de Seguridad Security Roll-up PackagesSecurity Roll-up Packages
Tecnología recomendadaTecnología recomendada
Usuario del HogarUsuario del Hogar Windows UpdateWindows UpdatePequeña EmpresaPequeña Empresa Windows Update, SUSWindows Update, SUSMediana EmpresaMediana Empresa Software Update ServicesSoftware Update Services
Gran EmpresaGran Empresa SMSSMS
SUSSUSCaracterísticas y Características y ComponentesComponentes
Escenario de Escenario de FuncionamientoFuncionamiento
WindowsUpdateWindowsUpdate
InternetInternet
IntranetIntranet
ServidorServidorSUSSUS
Windows: Actualizaciones Críticas, Windows: Actualizaciones Críticas, Security RollupsSecurity Rollups
Configurado a través de la Configurado a través de la herramienta de administraciónherramienta de administración
Sincronización de Sincronización de ActualizacionesActualizaciones
Baja e instala Baja e instala actualizaciones actualizaciones AprobadasAprobadas
Servidores corporativos, PCs Servidores corporativos, PCs y Laptops con el cliente de y Laptops con el cliente de actualización automáticaactualización automática
Configuración Configuración centralizada del centralizada del clientecliente
Cliente de ActualizaciónCliente de ActualizaciónCaracterísticasCaracterísticas Puede buscar las actualizaciones Puede buscar las actualizaciones
tanto en el sitio público como en el tanto en el sitio público como en el servidor SUS de la empresaservidor SUS de la empresa
Automáticamente descarga e instala Automáticamente descarga e instala las actualizacioneslas actualizaciones
Consolida múltiples reboots en uno Consolida múltiples reboots en uno solosolo
Notifica al administrador de la Notifica al administrador de la máquina de actualizaciones máquina de actualizaciones pendientespendientes
Notifica a los usuarios de reboots Notifica a los usuarios de reboots pendientespendientes
Cliente de ActualizaciónCliente de ActualizaciónCaracterísticas (Cont.)Características (Cont.) Las descargas son de forma Las descargas son de forma
desatendida e inteligentes de desatendida e inteligentes de acuerdo a la velocidad de conexiónacuerdo a la velocidad de conexión
Opciones de ConfiguraciónOpciones de Configuración Notificar antes de hacer la descarga e Notificar antes de hacer la descarga e
instalarinstalar Realizar la descarga automáticamente Realizar la descarga automáticamente
y notificar antes de instalary notificar antes de instalar Realizar la descarga automáticamente Realizar la descarga automáticamente
e instalar en una fecha programadae instalar en una fecha programada Soporte de políticas basadas en el Soporte de políticas basadas en el
RegistryRegistry
Cliente de ActualizaciónCliente de ActualizaciónCaracterísticasCaracterísticas (Cont.)(Cont.) Soportado en Windows 2000 y Soportado en Windows 2000 y
Windows XPWindows XP Disponible desde: Disponible desde:
Descarga de la página de SUSDescarga de la página de SUS Incluido en el SP3 de Windows 2000Incluido en el SP3 de Windows 2000 Incluido en Windows XP SP1Incluido en Windows XP SP1 Se actualiza a sí mismo desde el sitio Se actualiza a sí mismo desde el sitio
de Windows Updatede Windows Update Soporte a 24 lenguajesSoporte a 24 lenguajes
Servidor SUSServidor SUSRequerimientosRequerimientos Sistema Operativo MínimoSistema Operativo Mínimo
Windows 2000 SP2Windows 2000 SP2 Internet Information Server 5.0 e IE 5.5Internet Information Server 5.0 e IE 5.5
Hardware Mínimo:Hardware Mínimo: Pentium III – 733mhzPentium III – 733mhz 512 MB RAM512 MB RAM 6 GB HD6 GB HD
Con esto puede soportar a 15,000 Con esto puede soportar a 15,000 clientesclientes
Interfaz en Inglés o JaponésInterfaz en Inglés o Japonés No se puede instalar en Controladores de No se puede instalar en Controladores de
DominioDominio
Servidor SUSServidor SUSCaracterísticasCaracterísticas
Seguro por PredeterminaciónSeguro por Predeterminación Requiere NTFSRequiere NTFS Instala IIS Lockdown y URL ScanInstala IIS Lockdown y URL Scan
Las actualizaciones no se hacen disponibles a los Las actualizaciones no se hacen disponibles a los usuarios hasta que son aprobadas por el usuarios hasta que son aprobadas por el administradoradministrador
Administración basada en WebAdministración basada en Web Realizada usando IE 5.5 o superiorRealizada usando IE 5.5 o superior Soporta administración segura a través de SSLSoporta administración segura a través de SSL
SincronizaciónSincronización El contenido puede ser sincronizado manualmente o El contenido puede ser sincronizado manualmente o
agendada para realizarse automáticamenteagendada para realizarse automáticamente La sincronización se realiza usando HTTP, por lo que solo se La sincronización se realiza usando HTTP, por lo que solo se
requiere habilitar el puerto 80 de TCPrequiere habilitar el puerto 80 de TCP Puede autenticarse con los servidores proxyPuede autenticarse con los servidores proxy
Servidor SUSServidor SUSCaracterísticas (Cont.)Características (Cont.) Ubicación de las actualizacionesUbicación de las actualizaciones
Puede elegir guardar el contenido localmente en Puede elegir guardar el contenido localmente en el servidor SUS o hacer que los clientes se el servidor SUS o hacer que los clientes se descarguen las actualizaciones aprobadas desde descarguen las actualizaciones aprobadas desde el sitio públicoel sitio público
Bitácora de Sincronización XMLBitácora de Sincronización XML Qué fue sincronizado? Cuando? Qué fue sincronizado? Cuando?
Bitácora de AprobacionesBitácora de Aprobaciones Quién aprobó estos elementos? Cuando? Quién aprobó estos elementos? Cuando?
Estado del ClienteEstado del Cliente Estado de las descargas e instalaciones es Estado de las descargas e instalaciones es
enviada a un servidor para su análisisenviada a un servidor para su análisis
Servidor SUSServidor SUSCaracterísticas (Cont.)Características (Cont.)
Capacidad de CrecimientoCapacidad de Crecimiento Se puede crear una jerarquía de Se puede crear una jerarquía de
servidoresservidores Un servidor SUS puede sincronizar Un servidor SUS puede sincronizar
contenido con cualquiera de los contenido con cualquiera de los siguientes:siguientes:Sitio público de Windows UpdateSitio público de Windows UpdateUn servidor padre corriendo SUSUn servidor padre corriendo SUSUn punto de distribuciónUn punto de distribución
Un servidor SUS hijo puede sincronizar Un servidor SUS hijo puede sincronizar tanto contenido como la lista de tanto contenido como la lista de elementos aprobadoselementos aprobados
Soporta Balanceo de CargaSoporta Balanceo de Carga
Capacidad de CrecimientoCapacidad de Crecimiento
Windows UpdateWindows Update
InternetInternet IntranetIntranet
Content can be Content can be synchronized synchronized
from Windowsfrom Windows Update or a Update or a local serverlocal server
SUS / Servidor de SUS / Servidor de distribucióndistribución
SUSSUS
Contenido y Contenido y ActualizacioActualizaciones nes AprobadasAprobadas
SUSSUS
ConteniContenidodo
Clientes Win2k & Clientes Win2k & WinXPWinXP
Sitio BSitio B
HTTPHTTP
Clientes Win2k & Clientes Win2k & WinXPWinXP
Sitio ASitio A
Se puede hacer que Se puede hacer que los cliente bajen e los cliente bajen e instalen el contenido instalen el contenido directamente del directamente del servidor SUSservidor SUS
ProxyProxy
ProxyProxy
Se puede hacer que los Se puede hacer que los cliente bajen el cliente bajen el contenido de Inernet contenido de Inernet directamentedirectamente
Firewal
l
Firewal
l
Aspectos de SeguridadAspectos de Seguridad Respecto al contenidoRespecto al contenido
Todo el contenido es firmado por Todo el contenido es firmado por MicrosoftMicrosoft
Las firmas se verifican al descargar Las firmas se verifican al descargar contenido de Windows Update, un contenido de Windows Update, un servidor SUS padre o de un punto de servidor SUS padre o de un punto de distribución distribución
El contenido descargado por el cliente es El contenido descargado por el cliente es verificado de ser firmado por Microsoft.verificado de ser firmado por Microsoft.
Respecto a la configuración del Respecto a la configuración del servidor?servidor? SUS requiere NTFSSUS requiere NTFS Automáticamente instala y configura IIS Automáticamente instala y configura IIS
Lockdown y URL ScanLockdown y URL Scan La administración se puede hacer a La administración se puede hacer a
través de SSLtravés de SSL
ConfiguraciónConfiguración
ClienteCliente Centralizadamente a través de Centralizadamente a través de
Políticas de GrupoPolíticas de Grupo Archivo WUAU.admArchivo WUAU.adm
A través de entradas de RégistryA través de entradas de Régistry ServidorServidor
A través de la herramienta de A través de la herramienta de administración webadministración web
Escenarios Escenarios RecomendadosRecomendados PCsPCs
Descarga automática e instalación Descarga automática e instalación agendada (diaria)agendada (diaria)
Servidores No CríticosServidores No Críticos Descarga automática e instalación Descarga automática e instalación
agendada (semanal)agendada (semanal) Servidores CríticosServidores Críticos
Descarga automática y Notificar para Descarga automática y Notificar para instalarinstalar
Software Update Software Update ServicesServices
Registro del estado de los Registro del estado de los ClientesClientes 2 tipos de bitácoras2 tipos de bitácoras
Local, captura la interacción ente el cliente y Local, captura la interacción ente el cliente y el servidorel servidor
Estado enviado a un servidor IISEstado enviado a un servidor IIS Tipos de eventos registradosTipos de eventos registrados
Durante la actualización: actualización Durante la actualización: actualización pendientependiente
Luego de la actualización: falla/éxitoLuego de la actualización: falla/éxito Durante la detección: falla/éxitoDurante la detección: falla/éxito Luego de la Detección: falla/éxito de la Luego de la Detección: falla/éxito de la
detección detección Luego de la descarga: falla/éxito de la Luego de la descarga: falla/éxito de la
descargadescarga Luego de la Instalación: Luego de la Instalación:
falla/éxito/cancelación de la instalaciónfalla/éxito/cancelación de la instalación No hay una interfaz especializada hoy en No hay una interfaz especializada hoy en
día para ver esta informacióndía para ver esta información
Solución de ProblemasSolución de ProblemasClienteCliente Están llegando las actualizaciones? Están llegando las actualizaciones?
Revisar enRevisar en %programfiles%\WindowsUpdate\V4\%programfiles%\WindowsUpdate\V4\IUHist.xmlIUHist.xml
Muestra instalaciónes exitosas y fallidasMuestra instalaciónes exitosas y fallidas Si no se usan políticas, en el panel de Si no se usan políticas, en el panel de
controlcontrol:: Deshabilitar y re-habilitar la actualización, Deshabilitar y re-habilitar la actualización,
esto provoca que en unos pocos minutos esto provoca que en unos pocos minutos se haga una revisión de nuevas se haga una revisión de nuevas actualizacionesactualizaciones
Revisar el Event ViewerRevisar el Event Viewer No se puede conectar (escrito cada 48hrs)No se puede conectar (escrito cada 48hrs) Instalación listaInstalación lista Instalación completaInstalación completa
Solución de ProblemasSolución de ProblemasCliente (Cont.)Cliente (Cont.) Revisar enRevisar en %windir%\Windows Update.log%windir%\Windows Update.log
Reporta interacciones entre el cliente y Reporta interacciones entre el cliente y el servidorel servidor
Los mensajes “Querying software update Los mensajes “Querying software update catalog” reportan el servidor del cual se catalog” reportan el servidor del cual se están obteniendo las actualizacionesestán obteniendo las actualizaciones
Solo 3 llamadas a Solo 3 llamadas a autoupdate/getmanifest.asp indica que la autoupdate/getmanifest.asp indica que la actualización no aplicó a esa PCactualización no aplicó a esa PC
Una cuarta llamada a Una cuarta llamada a autoupdate/getmanifest.asp indica que se autoupdate/getmanifest.asp indica que se encontraron actualizaciones que aplican a encontraron actualizaciones que aplican a esa PCesa PC
Números de error pueden ser encontrados en Números de error pueden ser encontrados en la Guía de Implementaciónla Guía de Implementación
Solución de ProblemasSolución de ProblemasServidorServidor Por qué fallan las sincronizaciones?Por qué fallan las sincronizaciones?
Verificar que se tiene acceso a la Verificar que se tiene acceso a la siguiente dirección desde el servidor siguiente dirección desde el servidor SUS:SUS:http://www.msus.windowsupdate.com/msus/v1/http://www.msus.windowsupdate.com/msus/v1/
aucatalog.cabaucatalog.cab
Buscar cualquier error en la bitácora Buscar cualquier error en la bitácora de sincronizaciónde sincronización Usualmente una mala configuración Usualmente una mala configuración
del proxydel proxy
Solución de ProblemasSolución de Problemas Servidor (Cont.)Servidor (Cont.) Ninguna actualización se muestra en la Ninguna actualización se muestra en la
página de Aprobación?página de Aprobación? Probablemente la metadata falló en cargarseProbablemente la metadata falló en cargarse Ir a la página Monitor y pulsar “Refresh”Ir a la página Monitor y pulsar “Refresh”
El sitio web no funciona correctamente?El sitio web no funciona correctamente? Cuando se pide una sincronización manual o Cuando se pide una sincronización manual o
automática, ésta no ocurreautomática, ésta no ocurre O cuando se cambia una opción en la página O cuando se cambia una opción en la página
de Options el cambio no ocurrede Options el cambio no ocurre Reiniciar el servicio de SUS Reiniciar el servicio de SUS
SynchronizationSynchronization El sitio de administración no se puede El sitio de administración no se puede
acceder o los clientes no pueden acceder acceder o los clientes no pueden acceder al servidoral servidor Revisar que el IIS funciona correctamenteRevisar que el IIS funciona correctamente Reiniciar el IISReiniciar el IIS
Recursos AdicionalesRecursos Adicionales
Página Web de Software Update Página Web de Software Update Services Services http://www.microsoft.com/windows2000/windowsupdate/shttp://www.microsoft.com/windows2000/windowsupdate/susus
En este sitio encontrarán: En este sitio encontrarán: Una demo FlashUna demo Flash Un WhitePaper de visión general Un WhitePaper de visión general Una guía de implementaciónUna guía de implementación Preguntas FrecuentesPreguntas Frecuentes Los instaladoresLos instaladores
© 2002 Microsoft Corporation. All rights reserved.© 2002 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.in this summary.