Tema 7: Servicios de actualizacin de Windows Server (WSUS)

TEMA 7. SERVICIOS DE ACTUALIZACIN DE

WINDOWS SERVER (WSUS)
Antes de poner en funcionamiento los Servicios de Actualizacin de Windows Server
(WSUS), hemos de conocer cmo deben estar configurados los componentes cliente y servidor
en diferentes entornos. Sin una planificacin correcta, las actualizaciones pueden tardar
demasiado en distribuirse, gastar cantidades de ancho de banda de Internet y de la red de rea
amplia (WAN), o fallar al instalarse.

7.1.

Resumen de WSUS

Los Servicios de Actualizacin de Windows Server es una versin privada del servicio
Microsoft Update desde la cual los ordenadores Windows pueden descargar actualizaciones
automticamente. Debido a que podemos ejecutar WSUS en nuestra propia red interna y
utilizarlo para distribuir actualizaciones en nuestros ordenadores, podemos utilizar el ancho de
banda de forma ms eficiente y mantener un control total sobre las actualizaciones instaladas en
nuestros ordenadores clientes.
Cuando ejecutamos WSUS, se conecta al sitio Microsoft Update, descarga la
informacin sobre las actualizaciones disponibles y las agrega a una lista de actualizaciones que
requieren la aprobacin administrativa. Despus de que un administrador aprueba y le da
prioridad a estas actualizaciones, (un proceso que se puede automatizar por ejemplo), WSUS las
hace disponibles automticamente para los ordenadores Windows. Entonces, el cliente
Windows Update (cuando est configurado correctamente) comprueba el servidor WSUS y
descarga automticamente, y opcionalmente, instala las actualizaciones aprobadas. Podemos
distribuir WSUS a travs de varios servidores y ubicaciones para cumplir con las necesidades de
pequeas y grandes empresas.

7.2.

El cliente Windows Update

El cliente Windows Update es el componente de los clientes WSUS que reciben el

software desde el servidor WSUS, verifican la firma digital y el Algoritmo de Hash Seguro
(SHA1), notifica al usuario que la actualizacin est disponible e instala el software (si est
configurado para hacer esto). El cliente Windows Update instala las actualizaciones en un
momento programado y reinicia automticamente el ordenador si es necesario. Si el ordenador
se apaga en dicho momento, las actualizaciones se pueden instalar tan pronto como se encienda
el ordenador. Si el hardware del ordenador lo soporta, Windows Update puede sacar un
ordenador de suspensin e instalar las actualizaciones en un momento determinado.
Nota:
El cliente WSUS en versiones anteriores de Windows (XP y 2000) se llama cliente de
Actualizaciones Automticas.
Debido a que la configuracin de Windows Update debe aplicarse a todos los
ordenadores de nuestra organizacin, las directivas de grupo suele ser la mejor forma para
distribuir la configuracin. La configuracin de Windows Update se encuentra en:
Configuracin del equipo / Directivas / Plantillas Administrativas / Componentes de Windows /
Windows Update.

7.3.

Arquitectura WSUS

WSUS puede ajustarse a pequeas organizaciones o a empresas multinacionales. En

general, tendremos un solo servidor WSUS en cada sucursal con ms de 10 ordenadores y un

Pg. 113

Tema 7: Servicios de actualizacin de Windows Server (WSUS)

servidor WSUS independiente para cada departamento de IT que necesite control acerca de
cmo se aprueban las actualizaciones.
Normalmente, no se necesita repeticin en los servidores WSUS; sin embargo, debemos
hacer una copia de seguridad de la base de datos WSUS y prepararnos para reparar o reemplazar
el servidor en el plazo de una semana despus del fallo. Si falla un servidor WSUS, no hay un
impacto directo en los usuarios, y las actualizaciones no suelen ser tan crticas como para tener
ningn impacto si tardamos algunos das en restaurar un servidor WSUS. Los siguientes
apartados describen cmo disear arquitecturas WSUS para diferentes tipos de oficinas.

7.3.1. Organizaciones con una oficina

Si slo tenemos una ubicacin, podemos utilizar un solo servidor WSUS,
independientemente del nmero de ordenadores clientes. El cliente Windows Update est
diseado para compartir el ancho de banda y para esperar si nuestra red est ocupada, as que el
impacto en la red debe ser mnimo.

7.3.2. Organizaciones con varias oficinas

Si fusemos a utilizar un solo servidor WSUS para soportar clientes en varias oficinas,
cada ordenador cliente necesitara descargar actualizaciones a travs de su conexin WAN. Las
actualizaciones, especialmente los service packs, pueden tener un tamao de cientos de
megabytes. Debido a que las conexiones WAN tienden a tener un ancho de banda menor que las
conexiones LAN, descargar grandes actualizaciones a travs de WAN puede afectar al
rendimiento. Si nuestra WAN tiene un ancho de banda bajo o est muy ocupada, los clientes
pueden no ser capaces de conseguir las actualizaciones correctamente.
Para permitir que los clientes reciban las actualizaciones desde nuestra LAN,
configuramos un servidor WSUS en cada sucursal y configuramos los servidores WSUS para
recibir actualizaciones de forma jerrquica de nuestros servidores superiores. Para obtener
mejores resultados, utilizamos una jerarqua que refleje nuestra arquitectura WAN mientras que
minimizamos el nmero de niveles de la jerarqua. La figura siguiente muestra una arquitectura
WAN tpica y un diseo WSUS eficiente para esa arquitectura.

Pg. 114

Tema 7: Servicios de actualizacin de Windows Server (WSUS)

En esta arquitectura, slo el servidor WSUS de Boston descargar actualizaciones

directamente desde Microsoft. Toda la administracin de actualizaciones se realizar en el
servidor WSUS de Boston, y todos los dems servidores WSUS estarn configurados como
rplicas. Los servidores de descarga tomarn las actualizaciones de los servidores de subida; por
ejemplo, Los ngeles (el servidor de descarga) tomar actualizaciones de Boston (el servidor de
subida). De forma similar, Argentina se considerar un servidor de descarga para Costa Rica.
Para proporcionar actualizaciones a pequeas oficinas que no pueden soportar un
servidor WSUS, debemos configurar los ordenadores clientes para que descarguen
actualizaciones del servidor WSUS ms cercano. Si la oficina tiene una conexin a Internet
rpida, debemos considerar poner en funcionamiento una rplica WSUS que no almacene las
actualizaciones localmente y que, en vez de eso, dirija los ordenadores clientes para que tomen
las actualizaciones directamente desde Microsoft.

7.3.3. Organizacin con varios departamentos de IT

La arquitectura mostrada anteriormente muestra un ideal que no suele ser real: una
compaa multinacional administrada por un solo departamento de IT. La mayora de
organizaciones tienen departamentos de IT separados, con sus propios procesos y directrices, los
cuales insisten en controlar las actualizaciones que se ponen en funcionamiento en los
ordenadores clientes que administran.
En organizaciones con departamentos de IT distribuidos, podemos disear la
arquitectura WSUS exactamente igual que la descrita en el apartado anterior. La nica
diferencia es que en la configuracin, en vez de configurar cada servidor WSUS como una
rplica, configuramos los servidores WSUS como autnomos, lo cual permite las aprobaciones
y administracin en cada servidor.

7.4.

Pg. 115

Requisitos WSUS

Tema 7: Servicios de actualizacin de Windows Server (WSUS)

Cuando planifiquemos la puesta en funcionamiento de WSUS, debemos tener en cuenta

los siguientes requisitos:
El servidor WSUS debe establecer conexiones HTTP con Internet (especficamente,
con el sitio Web Microsoft Update). Si las conexiones utilizan un servidor proxy,
debemos proporcionar credenciales (si fuese necesario).
Los servidores WSUS de descarga deben establecer conexiones con los servidores
WSUS de subida utilizando HTTP (y el puerto 80 TCP) o, si tenemos instalado un
certificado SSL, HTTPS (y el puerto 443 TCP).
Los ordenadores clientes deben conectarse desde su intranet utilizando HTTP o
HTTPS.
El sistema operativo del ordenador cliente debe ser uno de los siguientes:
o

Windows 2000 con Service Pack 3 o Service Pack 4.

Windows XP Proffesional.

Windows Vista.

Windows 7 ?.

Windows Server 2003.

Windows Server 2008.

Si los ordenadores clientes se desconectan de su red durante un periodo de tiempo

prolongado (por ejemplo, si un empleado trabaja en su casa durante meses y no se
conecta a la red virtual privada VPN), el cliente no podr descargar las
actualizaciones. Debemos considerar configurar el ordenador para que instale
automticamente las actualizaciones desde Microsoft o, utilizando NAP, requerir que
los ordenadores tengan las actualizaciones antes de conectarse a la intranet.

7.5.

Planificar la instalacin de WSUS

Durante el proceso de instalacin de WSUS debemos tomar varias decisiones

importantes:
Fuente de actualizacin: WSUS puede conseguir las actualizaciones directamente
desde Microsoft Update o desde otro servidor WSUS de nuestra propia red.
Normalmente, debemos elegir el mtodo con el ancho de banda ms eficiente. Si hay
conectados dos servidores WSUS con una conexin de rea local muy rpida,
podemos tener uno de los servidores descargando directamente desde Microsoft y
otro descargando las actualizaciones del primero. Si tenemos servidores WSUS en
tres oficinas remotas vinculadas utilizando VPN a travs de Internet, podemos ser
ms eficientes para cada una descargar las actualizaciones directamente desde
Microsoft, debido a que las actualizaciones pueden necesitar cruzar las conexiones
individuales a internet. Nuestra arquitectura WSUS define la configuracin exacta,
con servidores de descarga configurados para tomar las actualizaciones desde
servidores de subida.
Aprobacin y configuracin de la replicacin: Si tenemos varios servidores WSUS y
los configuramos para recibir actualizaciones de uno de nuestros servidores WSUS,
podemos elegir entre sincronizar las aprobaciones, configuraciones, ordenadores y
grupos en el servidor WSUS principal. Esencialmente, esto hace que el servidor
WSUS secundario sea una rplica perfecta. Si configuramos un servidor como
autnomo, debemos aprobar manualmente las actualizaciones en los servidores
WSUS, lo cual es til para darle control independiente a varios departamentos de IT.

Pg. 116

Tema 7: Servicios de actualizacin de Windows Server (WSUS)

Almacenar las actualizaciones: WSUS puede copiar las actualizaciones desde

Microsoft y almacenarlas localmente o dirigir los ordenadores clientes para que
descarguen las actualizaciones desde Microsoft. Si seleccionamos almacenar las
actualizaciones localmente, el servidor WSUS necesitar al menos 6GB de espacio
libre en el disco duro (aunque la cantidad actual puede ser mucho mayor,
dependiendo de cuntas actualizaciones lance Microsoft y cuntos idiomas
necesitemos). Almacenar las actualizaciones localmente puede reducir el ancho de
banda de Internet necesario para las actualizaciones permitiendo a los clientes
descargar las actualizaciones a travs de LAN.
Base de datos: De forma predeterminada, WSUS almacenar la lista de
actualizaciones (incluyendo las actualizaciones que deseamos poner en
funcionamiento y otras opciones) en una base de datos interna de Windows. El
proceso de configuracin de WSUS necesita al menos 3GB de espacio libre en el
disco duro para almacenar la base de datos interna, aunque el tamao actual suele ser
de 1GB aproximadamente. La base de datos interna de Windows funciona en la
mayora de casos, pero tambin podemos utilizar un servidor de base de datos externo
en el ordenador local o en un ordenador remoto.
Nota:
De forma predeterminada, la base de
C:\WSUS\UddateServicesDbFiles\SUSDB.mdf.

datos

est

ubicada

en:

Seleccin del sitio Web: WSUS necesita IIS debido a que los ordenadores clientes
toman las actualizaciones utilizando HTTP o HTTPS. Si no utilizamos IIS para otras
tareas en el servidor WSUS, podemos utilizar el sitio Web predeterminado de IIS. De
otra forma, podemos crear un nuevo sitio Web especialmente para WSUS.
Idiomas: Muchas actualizaciones tienen idiomas especficos. Para minimizar el uso
del espacio del disco duro, debemos elegir descargar nicamente los idiomas
necesarios por los ordenadores clientes que accedern al servidor WSUS. Debemos
evitar seleccionar todos los idiomas, debido a que el espacio de almacenamiento total
y el ancho de banda necesario sern muy elevados.
Productos: Microsoft Update puede proporcionar actualizaciones para una gran
variedad de productos diferentes del ncleo de los sistemas operativos Windows. Por
ejemplo, Microsoft Update distribuye actualizaciones para Exchange Server, ISA
Server, SQL Server y Office. Debemos seleccionar nicamente las aplicaciones y
sistemas operativos utilizados en nuestra organizacin para minimizar el espacio
necesario en disco.

7.6.

Auditar actualizaciones

Despus de poner en funcionamiento WSUS, algunos ordenadores clientes pueden

seguir perdiendo actualizaciones debido a un fallo en la instalacin de stas, a que el ordenador
cliente est mal configurado (o que no es parte de nuestro dominio Active Directory), o a que el
ordenador cliente se ha desconectado de nuestra red durante un periodo de tiempo prolongado.
Podemos utilizar varias tcnicas para identificar los ordenadores que han perdido
actualizaciones:
La consola de Windows Update: Podemos utilizar el nodo Equipos e informes para
identificar los clientes WSUS que no han instalado las actualizaciones aprobadas.
Microsoft System Center Configuration Manager 2007 (Configuration Manager
2007): Es la ltima version de Microsoft System Management Server (SMS).
Configuration Manager 2007, al igual que SMS, puede proporcionar informacin
detallada acerca de las actualizaciones y aplicaciones instaladas en los ordenadores

Pg. 117

Tema 7: Servicios de actualizacin de Windows Server (WSUS)

administrados. Configuration Manager 2007 se ajusta mejor a las empresas con un

dominio Active Directory. (www.microsoft.com/smserver/).
Microsoft Baseline Security Analyzer (MBSA): MBSA es una herramienta de
auditora de seguridad automatizada que identifica las actualizaciones perdidas y las
configuraciones que pueden desembocar en vulnerabilidades de seguridad. MBSA
puede escanear redes completas, permitindonos identificar ordenadores no
administrados en nuestra red. Esto proporciona una ventaja significativa sobre la
consola Windows Update, la cual slo informa de los clientes configurados para
utilizar el servidor WSUS. (www.microsoft.com/mbsa/). para ver problemas de actualizaciones
Proteccin de acceso a redes (NAP): NAP, cuando se combina con el Validador de
mantenimiento del sistema de Windows, puede verificar los ordenadores que tienen
instaladas las ltimas actualizaciones cada vez que se conectan a la red. En modo
monitorizar solamente, NAP agrega un evento al registro de eventos que podemos
monitorizar, permitindonos identificar ordenadores desactualizados. Si activamos la
aplicacin NAP, los ordenadores clientes que no cumplen con los requisitos de
mantenimiento se podrn conectar a una red de solucin, donde deben aplicar las
actualizaciones necesarias antes de tener acceso a la red privada.
vpn desde casa etc. monitoreo

Pg. 118