Su consultor TI

Conozca su infraestructura, mejore lo que necesite

Actualización de productos Microsoft de forma racional con WSUS

Para los que trabajamos en entornos con muchos equipos que funcionen bajo sistemas operativos de Microsoft, ya sean servidores o equipos de puesto, se puede convertir en un problema el mantener actualizados dichos sistemas operativos y aplicaciones. Hay cuatro aproximaciones al problema que, yo pienso, se llevan el 99% de los casos que se presentan en las empresas:

  1. El equipo no se actualiza desde que se instaló. Como mucho, en ese momento se aplicó el Service Pack más actual y poco más.
  2. Los equipos se actualizan manualmente cuando salen Service Packs completos o alertas muy sonoras sobre agujeros de seguridad. Y además… poco a poco, sin estresarse.
  3. Los equipos se ponen en modo de actualización automática y que sea lo que Dios quiera.
  4. Se usa un servidor WSUS (Windows Server Update Services) para la distribución de actualizaciones.

Los que se identifiquen con los apartados 1 y 2, tienen un grave problema de seguridad (sobre todo los del 1), puesto que troyanos, virus, hackers y demás fauna informática hacen uso extensivo de vulnerabilidades del sistema operativo para llevar a cabo sus actuaciones. Aparte de este evidente peligro, es común que salgan actualizaciones importantes ante fallos de funcionamiento de programas o servicios de Microsoft, desde Office a SharePoint, pasando por actualizaciones de certificados, etc, que en muchos casos solucionan problemas importantes de las aplicaciones, aunque no se refieran a problemas de seguridad.

Para quienes dejen las actualizaciones al sistema automático que viene con cualquier ordenador que funcione bajo Windows, a partir del XP, y asumiendo que dicho SO incorpora una licencia legal, este sistema es mejor indudablemente que los anteriores, pero aun así, al ser un método pensado únicamente para mantener ordenadores individuales, tiene bastantes problemas de cara a una empresa, algunos de los cuales os comento:

  • Si se automatiza totalmente la instalación, es posible que al usuario se le reinicie el equipo en cualquier momento, dejándolo con un palmo de narices y, probablemente, si tenemos en cuenta la omnipresente ley de Murphy, en el peor de los momentos.
  • Si, por el contrario, somos prudentes y dejamos a la elección de los usuarios el momento de la instalación de las actualizaciones, ya os digo yo, por propia experiencia, que casi nadie las instalará, a no ser que una parte proporcional de su sueldo dependa del número de actualizaciones aplicadas.
  • Al no controlar que actualizaciones se descargan, es posible que se instalen algunas que no deseemos y otras que nos interesarían mucho, no lo hagan, como por ejemplo los filtros de correo no deseado de Outlook o actualizaciones críticas de aplicaciones, entre otras muchas.
  • Las actualizaciones se suelen descargar siempre a la misma hora y cada ordenador descarga las suyas individualmente desde un servidor de Microsoft en Internet, por lo que podéis haceros una idea de lo que se saturará la conexión en esos momentos, sin considerar que sea necesario descargar un Service Pack de 200Mbytes o más.
  • Por último, nunca sabremos cual es la salud de nuestros ordenadores, que parches tienen o si hay alguno que nunca ha sido parcheado, a no ser, claro está, que vayamos equipo por equipo revisándolos, ya sea in-situ o remotamente.

Por el contrario, si instalamos un servidor con WSUS que, dicho sea de paso, es un servicio gratuito proporcionado por Microsoft, obtendremos multitud de ventajas:

  • Podremos seleccionar que tipo de actualizaciones descargar:
    • Por clasificación: críticas, de seguridad, service packs, genéricas…
    • Por producto, es decir, igual me interesa tener actualizado Office 2010, pero no Office 2003 o Lync 2010. Todos los productos y versiones están listados.
  • Especificaremos a que horas se descargarán en el servidor, normalmente, de madrugada.
  • Al descargarse de internet solo una vez en el servidor y distribuirse luego por la red local (o intranet), se ahorra un gran ancho de banda y se instalan de forma mucho más rápida, sea cual sea el número de equipos, de decenas a cientos.
  • Podemos tener varios servidores en cascada si tenemos muchas sedes, aunque no es necesario.
  • Podemos especificar muy detalladamente la forma en que se instalarán en los equipos, desde la hora en que se buscarán nuevas actualizaciones, si se reiniciarán automáticamente o si preguntarán al usuario.
  • Se integra perfectamente en Active Directory, pudiéndose controlar todos los detalles del proceso mediante políticas de grupo.
  • Con un poco de imaginación, pueden actualizarse incluso equipos que no estén en red local o que sean itinerantes, como portátiles de comerciales, todos integrados en el mismo WSUS.
  • Pueden crearse distintas configuraciones de actualizaciones y asignar cada una a grupos de equipos. Por ejemplo, no es lo mismo actualizar los equipos de puesto de administrativos que los servidores del ERP o de ficheros.
  • Cada vez que hayan nuevas actualizaciones, será notificado al administrador y este decidirá que actualizaciones aprobar, cuales descartar y a que grupo de equipos aplicar cada una si procediera.
  • Podemos tomarnos un tiempo prudencial para instalar en un grupo de prueba las actualizaciones y si todo va bien, activarlas para el resto de equipos.
  • Tendremos en todo momento una información absolutamente detallada de cuantos equipos controlamos, en nivel de actualización de cada uno o los posibles problemas de conexión que puedan existir. Todo esto puede extraerse mediante informes si fuese necesario.
  • Si surgiera un problema con alguna actualización y debiera desinstalarse, simplemente habría que indicarlo en el servidor y se haría de forma automática en todos los equipos.
  • Muchas más ventajas que no me vienen ahora a la mente…

Como podéis comprobar, recomiendo encarecidamente tener este sistema en la empresa, sobre todo si lo instalamos en un servidor virtual que no nos obligará a gastar HW dedicado.

Puede parecer algo problemático de configurar al principio, sobre todo por problemas de conexión o de actualización de políticas de AD, pero una vez en funcionamiento, os aseguro que rara vez tendréis que preocuparos por él y las ventajas que se obtienen son muchas.

Aquí os dejo un enlace a un manual detallado para desplegar WSUS, leedlo si tenéis un rato.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *


*

Su consultor TI © 2014 Frontier Theme