Microsoft Software Update Services Mauricio de la Rosa Consultor Microsoft Perú

Agenda Introducción a la Administración de Parches Introducción al Software Update Services Características / Componentes Configuración Escenarios Demo Registro del estado de los clientes Solución de Problemas

Introducción a la Administración de Parches

¿Porqué existen los parches? Todo programa es propenso a tener fallas Anticipar tipos de ataques futuros es imposible El número de atacantes es cada vez mayor La variedad de vulnerabilidades también está creciendo App y OS complejos Millones Lineas Muchísimos programadores Probados fuertemente

Tipos de Parches Service Packs Hotfixes Parches de Seguridad Actualizan el producto Cumulativos Varios cambios probados en conjunto Hotfixes Muy específicos No se prueban tanto como los Service Packs Parches de Seguridad Diseñado para eliminar vulnerabilidades Se recomienda implementarlos rápidamente

Herramientas Detección de Parches Implementación de Parches HfNetChk MBSA Implementación de Parches Software Update Services (SUS) System Management Server (SMS)

Introducción al Software Update Services

Retos a los que nos enfrentamos actualmente Los departamentos de IT no desean que los usuarios acceda al sitio público de Windows Update Los departamentos de IT no desean que los usuarios instalen actualizaciones que no han sido probadas Los administradores tienen que monitorear constantemente la aparición de nuevos parches La distribución y administración de parches puede hacerse complicada 1. No acceso Internet, pueden bajar software

Software Update Services Objetivos Hacer que los parches de seguridad críticos sean fáciles de obtener e implementar Darle el control al departamento de IT sobre qué parches se pueden implementar y cuando hacerlo No requerir una infraestructura compleja para implementar los parches Apuntar a las pequeñas y medianas empresas que no cuentan con una solución de distribución de software 4. Aunque está preparado para escalar a grandes empresas

Software Update Services Donde se ubica SUS está enfocado en solo actualizaciones críticas SUS está hecho específicamente para implementar lo siguiente: Actualizaciones Críticas de Windows Actualizaciones Críticas de Seguridad Security Roll-up Packages Tecnología recomendada Usuario del Hogar Windows Update Pequeña Empresa Windows Update, SUS Mediana Empresa Software Update Services Gran Empresa SMS

SUS Características y Componentes

Escenario de Funcionamiento WindowsUpdate Windows: Actualizaciones Críticas, Security Rollups Internet Intranet Sincronización de Actualizaciones Configurado a través de la herramienta de administración Servidor SUS Configuración centralizada del cliente Baja e instala actualizaciones Aprobadas Servidores corporativos, PCs y Laptops con el cliente de actualización automática

Cliente de Actualización Características Puede buscar las actualizaciones tanto en el sitio público como en el servidor SUS de la empresa Automáticamente descarga e instala las actualizaciones Consolida múltiples reboots en uno solo Notifica al administrador de la máquina de actualizaciones pendientes Notifica a los usuarios de reboots pendientes

Cliente de Actualización Características (Cont.) Las descargas son de forma desatendida e inteligentes de acuerdo a la velocidad de conexión Opciones de Configuración Notificar antes de hacer la descarga e instalar Realizar la descarga automáticamente y notificar antes de instalar Realizar la descarga automáticamente e instalar en una fecha programada Soporte de políticas basadas en el Registry

Cliente de Actualización Características (Cont.) Soportado en Windows 2000 y Windows XP Disponible desde: Descarga de la página de SUS Incluido en el SP3 de Windows 2000 Incluido en Windows XP SP1 Se actualiza a sí mismo desde el sitio de Windows Update Soporte a 24 lenguajes

Servidor SUS Requerimientos Sistema Operativo Mínimo Windows 2000 SP2 Internet Information Server 5.0 e IE 5.5 Hardware Mínimo: Pentium III – 733mhz 512 MB RAM 6 GB HD Con esto puede soportar a 15,000 clientes Interfaz en Inglés o Japonés No se puede instalar en Controladores de Dominio

Servidor SUS Características Seguro por Predeterminación Requiere NTFS Instala IIS Lockdown y URL Scan Las actualizaciones no se hacen disponibles a los usuarios hasta que son aprobadas por el administrador Administración basada en Web Realizada usando IE 5.5 o superior Soporta administración segura a través de SSL Sincronización El contenido puede ser sincronizado manualmente o agendada para realizarse automáticamente La sincronización se realiza usando HTTP, por lo que solo se requiere habilitar el puerto 80 de TCP Puede autenticarse con los servidores proxy

Servidor SUS Características (Cont.) Ubicación de las actualizaciones Puede elegir guardar el contenido localmente en el servidor SUS o hacer que los clientes se descarguen las actualizaciones aprobadas desde el sitio público Bitácora de Sincronización XML Qué fue sincronizado? Cuando? Bitácora de Aprobaciones Quién aprobó estos elementos? Cuando? Estado del Cliente Estado de las descargas e instalaciones es enviada a un servidor para su análisis

Servidor SUS Características (Cont.) Capacidad de Crecimiento Se puede crear una jerarquía de servidores Un servidor SUS puede sincronizar contenido con cualquiera de los siguientes: Sitio público de Windows Update Un servidor padre corriendo SUS Un punto de distribución Un servidor SUS hijo puede sincronizar tanto contenido como la lista de elementos aprobados Soporta Balanceo de Carga

Capacidad de Crecimiento Internet Intranet SUS / Servidor de distribución Proxy SUS Contenido y Actualizaciones Aprobadas SUS Contenido Windows Update Firewall Se puede hacer que los cliente bajen el contenido de Inernet directamente Proxy Clientes Win2k & WinXP Sitio B HTTP Sitio A Se puede hacer que los cliente bajen e instalen el contenido directamente del servidor SUS Content can be synchronized from Windows Update or a local server

Aspectos de Seguridad Respecto al contenido Todo el contenido es firmado por Microsoft Las firmas se verifican al descargar contenido de Windows Update, un servidor SUS padre o de un punto de distribución El contenido descargado por el cliente es verificado de ser firmado por Microsoft. Respecto a la configuración del servidor? SUS requiere NTFS Automáticamente instala y configura IIS Lockdown y URL Scan La administración se puede hacer a través de SSL

Configuración Cliente Servidor Centralizadamente a través de Políticas de Grupo Archivo WUAU.adm A través de entradas de Régistry Servidor A través de la herramienta de administración web 1.2 Que puede ser realizada cuando no hay AD por un script de logon

Escenarios Recomendados PCs Descarga automática e instalación agendada (diaria) Servidores No Críticos Descarga automática e instalación agendada (semanal) Servidores Críticos Descarga automática y Notificar para instalar

Software Update Services

Registro del estado de los Clientes 2 tipos de bitácoras Local, captura la interacción ente el cliente y el servidor Estado enviado a un servidor IIS Tipos de eventos registrados Durante la actualización: actualización pendiente Luego de la actualización: falla/éxito Durante la detección: falla/éxito Luego de la Detección: falla/éxito de la detección Luego de la descarga:  falla/éxito de la descarga Luego de la Instalación: falla/éxito/cancelación de la instalación No hay una interfaz especializada hoy en día para ver esta información

Solución de Problemas Cliente Están llegando las actualizaciones? Revisar en %programfiles%\WindowsUpdate\V4\IUHist.xml Muestra instalaciónes exitosas y fallidas Si no se usan políticas, en el panel de control: Deshabilitar y re-habilitar la actualización, esto provoca que en unos pocos minutos se haga una revisión de nuevas actualizaciones Revisar el Event Viewer No se puede conectar (escrito cada 48hrs) Instalación lista Instalación completa

Solución de Problemas Cliente (Cont.) Revisar en %windir%\Windows Update.log Reporta interacciones entre el cliente y el servidor Los mensajes “Querying software update catalog” reportan el servidor del cual se están obteniendo las actualizaciones Solo 3 llamadas a autoupdate/getmanifest.asp indica que la actualización no aplicó a esa PC Una cuarta llamada a autoupdate/getmanifest.asp indica que se encontraron actualizaciones que aplican a esa PC Números de error pueden ser encontrados en la Guía de Implementación

Solución de Problemas Servidor Por qué fallan las sincronizaciones? Verificar que se tiene acceso a la siguiente dirección desde el servidor SUS: http://www.msus.windowsupdate.com/msus/v1/aucatalog.cab Buscar cualquier error en la bitácora de sincronización Usualmente una mala configuración del proxy

Solución de Problemas Servidor (Cont.) Ninguna actualización se muestra en la página de Aprobación? Probablemente la metadata falló en cargarse Ir a la página Monitor y pulsar “Refresh” El sitio web no funciona correctamente? Cuando se pide una sincronización manual o automática, ésta no ocurre O cuando se cambia una opción en la página de Options el cambio no ocurre Reiniciar el servicio de SUS Synchronization El sitio de administración no se puede acceder o los clientes no pueden acceder al servidor Revisar que el IIS funciona correctamente Reiniciar el IIS

Recursos Adicionales Página Web de Software Update Services http://www.microsoft.com/windows2000/windowsupdate/sus En este sitio encontrarán: Una demo Flash Un WhitePaper de visión general Una guía de implementación Preguntas Frecuentes Los instaladores

© 2002 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.