Microsoft
Software Update Services
Mauricio de la Rosa
Consultor
Microsoft Perú
Agenda








Introducción a la Administración de
Parches
Introducción al Software Update Services
Características / Componentes
Configuración
Escenarios
Demo
Registro del estado de los clientes
Solución de Problemas
Introducción a la
Administración de
Parches
¿Porqué existen los parches?




Todo programa es propenso a tener fallas
Anticipar tipos de ataques futuros es
imposible
El número de atacantes es cada vez mayor
La variedad de vulnerabilidades también
está creciendo
Tipos de Parches

Service Packs




Hotfixes



Actualizan el producto
Cumulativos
Varios cambios probados en conjunto
Muy específicos
No se prueban tanto como los Service Packs
Parches de Seguridad


Diseñado para eliminar vulnerabilidades
Se recomienda implementarlos rápidamente
Herramientas

Detección de Parches



HfNetChk
MBSA
Implementación de Parches


Software Update Services (SUS)
System Management Server (SMS)
Introducción al
Software Update
Services
Retos a los que nos enfrentamos
actualmente




Los departamentos de IT no desean que
los usuarios acceda al sitio público de
Windows Update
Los departamentos de IT no desean que
los usuarios instalen actualizaciones que
no han sido probadas
Los administradores tienen que
monitorear constantemente la aparición
de nuevos parches
La distribución y administración de
parches puede hacerse complicada
Software Update Services
Objetivos




Hacer que los parches de seguridad
críticos sean fáciles de obtener e
implementar
Darle el control al departamento de IT
sobre qué parches se pueden implementar
y cuando hacerlo
No requerir una infraestructura compleja
para implementar los parches
Apuntar a las pequeñas y medianas
empresas que no cuentan con una
solución de distribución de software
Software Update Services
Donde se ubica


SUS está enfocado en solo actualizaciones
críticas
SUS está hecho específicamente para
implementar lo siguiente:



Actualizaciones Críticas de Windows
Actualizaciones Críticas de Seguridad
Security Roll-up Packages
Usuario del Hogar
Pequeña Empresa
Mediana Empresa
Tecnología recomendada
Windows Update
Windows Update, SUS
Software Update Services
Gran Empresa
SMS
SUS
Características y
Componentes
Escenario de Funcionamiento
Windows: Actualizaciones Críticas,
Security Rollups
WindowsUpdate
Internet
Sincronización de
Actualizaciones
Configurado a través de la
herramienta de administración
Intranet
Configuración
centralizada del
cliente
Servidor
SUS
Baja e instala
actualizaciones
Aprobadas
Servidores corporativos, PCs
y Laptops con el cliente de
actualización automática
Cliente de Actualización
Características
 Puede buscar las actualizaciones tanto en
el sitio público como en el servidor SUS de
la empresa
 Automáticamente descarga e instala las
actualizaciones
 Consolida múltiples reboots en uno solo
 Notifica al administrador de la máquina de
actualizaciones pendientes
 Notifica a los usuarios de reboots
pendientes
Cliente de Actualización
Características (Cont.)
 Las descargas son de forma desatendida
e inteligentes de acuerdo a la velocidad
de conexión
 Opciones de Configuración
Notificar antes de hacer la descarga e instalar
 Realizar la descarga automáticamente y
notificar antes de instalar
 Realizar la descarga automáticamente e
instalar en una fecha programada

 Soporte
Registry
de políticas basadas en el
Cliente de Actualización
Características (Cont.)
 Soportado en Windows 2000 y Windows
XP
 Disponible desde:





Descarga de la página de SUS
Incluido en el SP3 de Windows 2000
Incluido en Windows XP SP1
Se actualiza a sí mismo desde el sitio de
Windows Update
Soporte a 24 lenguajes
Servidor SUS
Requerimientos

Sistema Operativo Mínimo



Hardware Mínimo:






Windows 2000 SP2
Internet Information Server 5.0 e IE 5.5
Pentium III – 733mhz
512 MB RAM
6 GB HD
Con esto puede soportar a 15,000 clientes
Interfaz en Inglés o Japonés
No se puede instalar en Controladores de
Dominio
Servidor SUS
Características

Seguro por Predeterminación




Las actualizaciones no se hacen disponibles a los usuarios
hasta que son aprobadas por el administrador
Administración basada en Web



Requiere NTFS
Instala IIS Lockdown y URL Scan
Realizada usando IE 5.5 o superior
Soporta administración segura a través de SSL
Sincronización



El contenido puede ser sincronizado manualmente o agendada para
realizarse automáticamente
La sincronización se realiza usando HTTP, por lo que solo se requiere
habilitar el puerto 80 de TCP
Puede autenticarse con los servidores proxy
Servidor SUS
Características (Cont.)

Ubicación de las actualizaciones


Bitácora de Sincronización XML


Qué fue sincronizado? Cuando?
Bitácora de Aprobaciones


Puede elegir guardar el contenido localmente en el
servidor SUS o hacer que los clientes se descarguen las
actualizaciones aprobadas desde el sitio público
Quién aprobó estos elementos? Cuando?
Estado del Cliente

Estado de las descargas e instalaciones es enviada a un
servidor para su análisis
Servidor SUS
Características (Cont.)
 Capacidad
de Crecimiento
Se puede crear una jerarquía de servidores
 Un servidor SUS puede sincronizar contenido con
cualquiera de los siguientes:
 Sitio público de Windows Update
 Un servidor padre corriendo SUS
 Un punto de distribución
 Un servidor SUS hijo puede sincronizar tanto
contenido como la lista de elementos aprobados
 Soporta Balanceo de Carga

Capacidad de Crecimiento
Internet
Intranet
SUS / Servidor de
distribución
Proxy
Contenido y
Actualizacio
nes
Aprobadas
Windows Update
Conteni
do
Proxy
Se puede hacer que los
cliente bajen el
contenido de Inernet
directamente
Content can be
synchronized
from Windows
Update or a
local server
Se puede hacer que
los cliente bajen e
instalen el contenido
directamente del
servidor SUS
SUS
SUS
HTTP
Clientes Win2k &
WinXP
Clientes Win2k &
WinXP
Sitio A
Sitio B
Aspectos de Seguridad

Respecto al contenido




Todo el contenido es firmado por Microsoft
Las firmas se verifican al descargar contenido
de Windows Update, un servidor SUS padre o de
un punto de distribución
El contenido descargado por el cliente es
verificado de ser firmado por Microsoft.
Respecto a la configuración del servidor?



SUS requiere NTFS
Automáticamente instala y configura IIS
Lockdown y URL Scan
La administración se puede hacer a través de
SSL
Configuración

Cliente



Centralizadamente a través de Políticas de
Grupo
 Archivo WUAU.adm
A través de entradas de Régistry
Servidor

A través de la herramienta de administración
web
Escenarios Recomendados

PCs


Servidores No Críticos


Descarga automática e instalación agendada
(diaria)
Descarga automática e instalación agendada
(semanal)
Servidores Críticos

Descarga automática y Notificar para instalar
Software Update
Services
Registro del estado de los Clientes

2 tipos de bitácoras



Tipos de eventos registrados







Local, captura la interacción ente el cliente y el
servidor
Estado enviado a un servidor IIS
Durante la actualización: actualización pendiente
Luego de la actualización: falla/éxito
Durante la detección: falla/éxito
Luego de la Detección: falla/éxito de la detección
Luego de la descarga: falla/éxito de la descarga
Luego de la Instalación: falla/éxito/cancelación de la
instalación
No hay una interfaz especializada hoy en día
para ver esta información
Solución de Problemas
Cliente

Están llegando las actualizaciones?
 Revisar en %programfiles%\WindowsUpdate\V4\IUHist.xml


Si no se usan políticas, en el panel de control:


Muestra instalaciónes exitosas y fallidas
Deshabilitar y re-habilitar la actualización, esto
provoca que en unos pocos minutos se haga una
revisión de nuevas actualizaciones
Revisar el Event Viewer



No se puede conectar (escrito cada 48hrs)
Instalación lista
Instalación completa
Solución de Problemas
Cliente (Cont.)

Revisar en %windir%\Windows Update.log

Reporta interacciones entre el cliente y el
servidor

Los mensajes “Querying software update catalog”
reportan el servidor del cual se están obteniendo las
actualizaciones
Solo 3 llamadas a autoupdate/getmanifest.asp
indica que la actualización no aplicó a esa PC
Una cuarta llamada a autoupdate/getmanifest.asp
indica que se encontraron actualizaciones que
aplican a esa PC
Números de error pueden ser encontrados en la Guía
de Implementación



Solución de Problemas
Servidor

Por qué fallan las sincronizaciones?

Verificar que se tiene acceso a la siguiente
dirección desde el servidor SUS:
http://www.msus.windowsupdate.com/msus/v1/aucatalog.cab

Buscar cualquier error en la bitácora de
sincronización
 Usualmente una mala configuración del
proxy
Solución de Problemas
Servidor (Cont.)

Ninguna actualización se muestra en la página
de Aprobación?



El sitio web no funciona correctamente?



Probablemente la metadata falló en cargarse
Ir a la página Monitor y pulsar “Refresh”
Cuando se pide una sincronización manual o
automática, ésta no ocurre
O cuando se cambia una opción en la página de
Options el cambio no ocurre
 Reiniciar el servicio de SUS Synchronization
El sitio de administración no se puede acceder o
los clientes no pueden acceder al servidor


Revisar que el IIS funciona correctamente
Reiniciar el IIS
Recursos Adicionales

Página Web de Software Update Services
http://www.microsoft.com/windows2000/windowsupdate/sus

En este sitio encontrarán:
 Una demo Flash
 Un WhitePaper de visión general
 Una guía de implementación
 Preguntas Frecuentes
 Los instaladores
© 2002 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.