Windows Server Update Services (WSUS) David Cervigón Luna Microsoft IT Pro Evangelist
[email protected] http://blogs.technet.com/davidcervigon
Webcasts Grabados sobre Actualizaciones de Seguridad
Opciones disponibles para la gestión de Actualizaciones
de Software
http://msevents-eu.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=118763910&E
Microsoft Update y Actualizaciones Automáticas
http://msevents-eu.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=118766087&E
Otros Webcasts grabados:
http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.asp
¿Qué es WSUS? Un “Feature Pack” RTW (Release to Web) de Microsoft
Windows Server
Gratuito: http://www.microsoft.com/windowsserversystem/updateservices/evaluation/ sysreqs.mspx
No necesita ningún tipo de CAL adicional
Una solución funcional: Automatiza el proceso de gestión
de parches y actualizaciones todo lo posible
Gestiona parches de otros productos además de Windows Incluye las funcionalidades que le demandabais SUS 1.0 Mejora y facilita las tareas del administrador Componente clave de las actuales y futuras soluciones de gestión de Parches y Actualizaciones de Microsoft Aprovechado por otras herramientas (i.e., SMS & MBSA) Expone un rico conjunto de API para facilitar la personalización y extensibilidad Escalabilidad hacia (Microsoft Update)
Arquitectura
Piezas de la solución
Windows Server Update Services
Automatic Updates client agent
Microsoft Update
Group Policy y Active Directory
Piezas del servidor
IIS / IE6 SP1 BITS y WinHTTP (KB842773)
MSI 3.1
Microsoft SQL Server
•
WMSDE/MSDE
.NET Framework 1.1 SP1
Scripting vía SDK
Contenido y Productos Soportados Contenido Microsoft Windows, Microsoft Office, Microsoft SQL Server, Microsoft
Exchange Server Se agregarán productos adicionales (i.e. ISA Server 2004)
Sistemas Operativos Cliente/agente • • • •
Windows 2000 SP3 y posterior, Windows XP y posterior (Tb. versiones y x64) Windows 2003 (solo 32-bit), Windows 2003 SP1 (x64 y ia64)
Servidor • •
Windows 2000 SP4 y posterior Windows 2003 y posterior (solo 32-bit)
Soporte Internacional 25 Windows client locales 17 Windows Server locales
Cómo funciona
Microsoft Update
Servidor WSUS
Administrador Windows WindowsUpdate UpdateServices Services
<
Finish Finish
Cancel Cancel
Clientes Windows XP Target Group 1
Clientes Windows Server
El agente instala los parches aprobados porTarget elde Group 2 El aprueba las actualizaciones El El Administrador Administrador Administrador pone se suscribe a en los clientes aservidor las categorías en diferentes Los clientes se registran el El servidor descarga las actualizaciones desde administrador target actualizaciones groups Microsoft Update
DEMO Instalación de WSUS
Arquitectura del Servidor Interfaz de administración Web. Motor de sincronización para descargar las
actualizaciones de Microsoft Update. Base de datos SQL que mantiene el resto de los datos que no son actualizaciones. Permite una estructura de servidores jerárquica Usa BITS (Background Intelligent Transfer Service) para un uso eficiente del ancho de banda Escalable
Arquitectura del Servidor (cont.) Clientes Estación Servidores WSUS/MU del Administra dor Server/Server Web service Reporting Client/Server Admin UI Catalog Content Web serviceWeb service sync sync Server API
Metadata Store MSDE/SQL
File Store (NTFS)
Arquitectura del cliente El agente (Win32 Service) implementa la mayor
parte de la funcionalidad Extensibilidad basada en manejadores de tipo Update Manejadores para MSI, update.exe, drivers etc. Se auto-actualiza automáticamente a nuevas versiones ofrecidas por el servidor. Controlable via GPO Seguro
Arquitectura del cliente WU o WSUS
IE (WU Site)
WU Cliente Update handlers
BITS
Scripts a medida
API Cliente WU Update manager
Automatic updates
Almacén de contenido Metadata DB
¿Que Base de datos voy a usar? SQL: Instalación local de WMSDE / MSDE. SQL Server ya existente (local o remoto).
El principal factor es la infraestructura existente. WMSDE/MSDE valdrá en la mayoría de los casos. Utilizar SQL solamente si ya está instalado y tiene capacidad de aguantar más carga No modificar nunca directamente los datos en SQL. Usar WSUSUtil.exe para backup
Jerarquías y Réplicas Autónomo = padre/hijo Solo los elementos comunes suponen ancho de banda El almacén del padre es el común múltiplo de todos las aprobaciones de
los hijos.
Replica = Configuración espejo. Solamente la pertenencia a grupos es única.
Puede repartir parcialmente las tareas de administración. Útil para distribuir la sobrecarga de red. Se configura durante la instalación y no puede cambiarse
luego. El despliegue puede consistir en múltiples capas de servidores WSUS
Servidor único
Microsoft Update
Firewall
WSUS Server
Configuration Script
Policy
WSUS Clients
Servidores de réplica
Microsoft Update
Firewall
WSUS Server
Replica WSUS Servers Policy Policy
Servers
Client Computers
Delegaciones
Corporate WSUS Servers
Firewall
Branch Office WSUS Server
Site Policy
Branch Office WSUS Clients
Configuration Script
Redes desconectadas
Microsoft Update
WSUS Server
WSUS Server
Desktop Clients
¿Qué método vamos a usar para instalar las actualizaciones? Instalación Express vs. estándar Instalación estándar: Descarga y reemplaza el fichero
completo.
Más costoso para el cliente y la red local
Instalación Express: Descarga e instala solo “deltas”
(diferencias)
Más costoso para el servidor WSUS y el enlace WAN
¿Donde voy a almacenar las actualizaciones? Opciones de almacenamiento Dos opciones: Sistema de archivos local Microsoft Update (solo almacenamos la información acerca de las
actualizaciones)
Depende de dónde estén los clientes en relación al
WSUS
Clientes en “red local” – Local file system Clientes “fuera” – Microsoft Update
¿En que idiomas tengo los productos que voy a actualizar? Locales Por defecto son todos (3 tipos de Chino, dos de
Japonés además del Coreano....)
Eso es MUCHO tráfico y MUCHAS Gigas
WSUS solamente podrá informar sobre un cliente
si los datos para su idioma se han descargado Recomendación: No almacenar los datos localmente si hay gran variedad y variabilidad de idiomas
¿Qué opciones de seguridad tengo que considerar? WSUS siempre detrás de un firewall Sobre el sistema operativo securizado Utilizar siempre SSL • Los clientes deben validarse con su certificado de
máquina para recibir las actualizaciones • Usar una CA pública si no se tiene la opción de distribuir una CA raíz corporativa (nada más sencillo con Directorio Activo)
DEMO Configuración de WSUS Creación de Grupos Aprobación de Actualizaciones Informes
Opciones de configuración Tiempo de instalación de actualizaciones ya
descargadas después de reiniciar. Frecuencia de actualización en del cliente No reiniciar automáticamente tras la instalación. Demorar el reinicio Comportamiento de la descarga y la instalación Frecuencia de los recordatorios para reiniciar tras la instalación Instalar actualizaciones al Apagar Apariencia del botón de Apagar
Usuarios no administradores pueden aprobar
descargas e instalaciones
¿Cómo voy a configurar los clientes? Manualmente / Scripts HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\
Windows\WindowsUpdate
Por políticas (WUAU.ADM) Locales = Manualmente (gpedit.msc) GPOs en Directorio Activo Ver la “Deployment Guide”
DEMO Configuración del Cliente
Migración desde SUS 1.0 Puntos a tener en cuenta: La instalación NO actualiza. Se migra el contenido y las aprobaciones, no la
configuración.
Dos Escenarios Al mismo servidor A un servidor remoto
Próximos Webcasts sobre Actualizaciones de Seguridad Gestión de Actualizaciones de Seguridad usando SMS 2003
Información de fechas y registro en: http://www.microsoft.com/spain/technet/jornadas/webcasts/default.asp
¿PREGUNTAS?
David Cervigón Luna Microsoft IT Pro Evangelist
[email protected]
http://blogs.technet.com/davidcervigon
RECURSOS
Página principal de WSUS: http://www.microsoft.com/windowsserversystem/updateservices/default.mspx SDK: http://msdn.microsoft.com/library/default.asp?url=/library/en-us/wus/wus/porta Documentación Online: http://www.microsoft.com/windowsserversystem/updateservices/techinfo/defa Deployment Guide Operations Guide Troubleshooter