June 13, 2013

Consejos de WSUS

Buenas amigos,
Acá documento un poco esos despistes u omisiones comunes que tenemos con los servidores de WSUS y los procesos de parcheo, esto basado en el día a día de lo que uno se encuentra en la calle.
Recordemos que el único “punto negativo” es que WSUS no hace push de los binarios, mas con un script que por ejemplo mi amigo Jimcesse hizo, esto se puede solucionar.
Primero es optimo que el equipo mismo del WSUS este este actualizado apropiadamente, esto pues las actualizaciones propias de él incluyen entre otros los nuevos productos/categorías que este puede distribuir.
Seria muy positivo configurar los servidores para que estos nos envíen notificaciones por correo electrónico cuando se descargan nuevas actualizaciones, esto nos avisaría oportunamente sobre nuevos binarios. Dicho reporte puede ser enviado en Español o en muchos otros idiomas de preferencia.
Acá les muestro un ejemplo de este reporte.
Subject: WSUS: New Update(s) Alert From SYS-WSUS001
New Update Alert
The following 17 new updates have been synchronized to BDC-ADMGT001 since Wednesday, May 23, 2012 9:05 AM (GMT).
Critical and Security Updates
Security Update for Microsoft .NET Framework 2.0 SP2 on Windows Server 2003 for Itanium-based Systems (KB2656352)
A security issue has been identified that could allow an unauthenticated remote attacker to compromise your system and gain control over it. You can help protect your system by installing this update from Microsoft. After you install this update, you may have to restart your system.
Security Update for Microsoft .NET Framework 2.0 SP2 on Windows Server 2003 and Windows XP for x64-based Systems (KB2656352)
A security issue has been identified that could allow an unauthenticated remote attacker to compromise your system and gain control over it. You can help protect your system by installing this update from Microsoft. After you install this update, you may have to restart your system.
Ahora bien, sobre la división de los grupos; es optimo crear los grupos basados en sistema operativo, arquitectura y función que el servidor desempeña, esto desde luego sin abusar de estos.
Por ejemplo:
WinServ 2003 / i386 / web (versión del sistema operativo / arquitectura / función)
WinServ 2008 / i386 / web
WinServ 2008 R2 / x64 /web
*El Service Pack acá no lo estamos tomando en cuenta pues como sabemos las mejores practicas sugieren tener la ultima versión de este instalado, de lo contrario si ese día ando yo con mi gafete de MSFT pues será lo primero que le indique.
Por orden y respeto a otros compañeros sugiero crear alguna estructura de nombres en la medida de lo posible intuitiva y explicita, algo como
wsus-ws2k3-i386-web
wsus-ws2k8-i386-web
wsus-ws2k8r2-x64-web
Esta se puede aplicar tanto para los grupos del WSUS mismo y los grupos de seguridad para el filtrado de políticas.
Cambiando un poco el tema pero sobre la línea del manejo de actualizaciones y parches les comento también un poco sobre la resolución de problemas en el cliente final.
Todas las actividades relacionadas al agente de actualizaciones de Windows se registran en el archivo windowsupdate.log, que por defecto se ubica en C:\Windows.
Este archivo afortunadamente es fácil de leer, el muestra información detallada cuando arranca el agente, con que servidor sincroniza, que actualizaciones se encontraron y mas.
Sugiero lo leas desde la consola con el comando type, este recorrerá el archivo y te muestra las ultimas líneas, que contienen la información mas reciente.
En el siguiente ejemplo puede ver como leer el archivo local, o bien para un equipo remoto. Desde luego con los permisos respectivos.
C:\>type \\equipoRemoto\C$\Windows\WindowsUpdate.log
2012-05-31      15:00:08:544    6580    1bf4    Misc    ===========  Logging initialized (build: 7.8.8250.0, tz: -0600)  ===========
2012-05-31      15:00:08:544    6580    1bf4    Misc      = Process: C:\Windows\system32\cscript.exe
2012-05-31      15:00:08:544    6580    1bf4    Misc      = Module: C:\Windows\System32\wuapi.dll
2012-05-31      15:00:08:544    6580    1bf4    COMAPI  ———–  COMAPI: IUpdateServiceManager::AddService2  ———–
2012-05-31      15:00:08:546    6580    1bf4    COMAPI    – Service ID = {7971f918-a847-4430-9279-4a52d1efe18d}
2012-05-31      15:00:08:596    6580    1bf4    COMAPI    – Allow pending registration = Yes; Allow online registration = Yes; Register service with AU = Yes
2012-05-31      15:00:08:661    6580    1bf4    COMAPI    – Authorization cab path =
2012-05-31      15:00:08:775    6580    1bf4    COMAPI    – Added service, URL = https://winbeta.update.microsoft.com/v6/

C:\>type C:\Windows\WindowsUpdate.logm
2012-05-31      14:22:13:746    1240    f14     Agent     * Added update {79B7AB58-733A-468C-A69A-97FC302409CD}.2 to search result
2012-05-31      14:22:13:746    1240    f14     Agent     * Added update {1582FC6C-C2B8-426A-90D0-3890B205B654}.2 to search result
2012-05-31      14:22:13:747    1240    f14     Agent     * Added update {815FBB17-398D-4549-A679-F2F0492BF4D5}.2 to search result
2012-05-31      14:22:13:747    1240    f14     Agent     * Found 8 updates and 20 categories in search; evaluated appl. rules of 42 out of 59 deployed entities
Por ejemplo en los ejemplos anteriores fácilmente podemos determinar de donde se están obteniendo las actualizaciones y la cantidad encontradas.
Para mayor información visite http://support.microsoft.com/kb/902093 .
Ahora bien, el agente de actualizaciones corre con el ejecutable wuauclt.exe. Algunos de los parámetros que les pueden ser útiles.
wuauclt /detectnow (Causa que se detecten y apliquen las actualizaciones que estén aprobadas).
wuauclt /reportnow (Causa que el cliente reporte al WSUS su estado/necesidad de actualizaciones).
wuauclt /resetauthorization (Hace un tipo de reset entre el cliente y el servidor al que este le reporta).
Algo muy útil para ejecutar procesos en equipos remotos es el utilitario PsExec, sugiero lo  mires http://technet.microsoft.com/es-es/sysinternals/bb897553
Son muy pocos los casos en los que he encontrado problemas del agente en si, lo mas que he tenido con clientes que por otros problemas no reportan en u largo tiempo entonces ejecuto un “wuauclt /resetauthorization /detectnow”, lo cual como les comente recrea la relación entre el cliente y el servidor WSUS y además en este caso iniciaría el proceso de instalación y reporte posterior (de haber paquetes ya autorizados) o bien una versión muy viejita de este.
Recordemos que las actualizaciones son publicadas el segundo martes de cada mes aunque también existen aquellas criticas que simplemente no pueden esperar y por ultimo que un WSUS puede servirle a múltiples dominios e inclusive equipos fuera del contexto de seguridad del dominio, siempre y cuando las redes nos permitan una comunicación efectiva.
Suerte amigos y recuerden de mantener sus sistema actualizados.

No comments:

Post a Comment