Asegurar la instalación oportuna de actualizaciones en grupos de trabajo. Configuración de clientes WSUS mediante directivas de grupo en qué lugar del registro de Windows Update

La actualización automática es una característica importante de cualquier sistema operativo. Gracias a él, la computadora recibe actualizaciones importantes a tiempo, lo que hace que el sistema sea más estable y seguro. En Windows 7, la función está habilitada de forma predeterminada. Esto significa que si hay una conexión con los servidores de Microsoft, el servicio de actualización busca paquetes nuevos, los descarga y los instala. Por lo general, todos los procesos pasan prácticamente desapercibidos para el usuario, pero cuando hay ofertas constantes para actualizar a 10, esto ya es demasiado.

En teoría, no vale la pena deshabilitar la descarga automática de actualizaciones. Es útil, porque cierra las brechas de seguridad, optimiza el funcionamiento del sistema operativo, le agrega nuevas funciones (en cuanto a las "decenas"). También hay una lista de razones por las que se debe deshabilitar el servicio de actualización automática:

  1. Al usuario no le gusta que la velocidad de Internet baje durante la actualización y/o la PC no se pueda apagar por mucho tiempo.
  2. Internet inalámbrico caro o limitado en la computadora.
  3. Problemas después de ejecutar el sistema operativo actualizado.
  4. Fallos durante la instalación de paquetes de actualización.
  5. No hay suficiente espacio en el volumen del sistema para que Windows 7 siga creciendo con cada actualización.

Tipos

Sin embargo, antes de deshabilitar la actualización de Windows 7, considere si es realmente necesario. Además de desactivar el servicio, se puede cambiar a los siguientes modos de funcionamiento.

  1. Totalmente automático: las operaciones continúan sin la intervención del usuario, solo notificando a este último la finalización de la instalación de los paquetes.
  2. La búsqueda y descarga de arreglos nuevos según un cronograma, y ​​el usuario lleva a cabo la instalación de paquetes.
  3. Comprobación automática para notificar al usuario cuando haya actualizaciones disponibles.
  4. La actualización automática está deshabilitada. Todo se hace manualmente.

Los parámetros se seleccionan en el componente Centro de actualización.

Métodos de apagado

La configuración de cualquier Windows se almacena en su registro. Puede obtener acceso a la clave responsable de la configuración del centro de actualización de varias formas simples y un par de formas más complejas. Considerémoslos todos.

Cambiar la configuración del Centro de actualizaciones

Comencemos configurando el servicio por nosotros mismos. Para acceder a la interfaz de configuración, debe abrir el "Centro de actualizaciones" de una de las siguientes maneras.

Sistema

  1. A través del menú contextual de Mi PC, llamamos a sus "Propiedades".
  1. En el menú vertical izquierdo, haga clic en el enlace correspondiente ubicado en la parte inferior de la ventana.

  1. Vamos al "Panel de control".
  2. Abra la sección "Sistema, seguridad".
  1. Llamamos al elemento del mismo nombre.

Si los elementos del panel de control se representan como iconos en lugar de categorías, el enlace al elemento ya se mostrará en la ventana principal.

  1. Entonces, después de presionar la ventana deseada, haga clic en "Configuración".
  1. Pasamos a la sección "Actualizaciones importantes" y seleccionamos la opción adecuada de la lista desplegable.

Solo detener el servicio ayudará a desactivar por completo la recepción de actualizaciones en una computadora con Windows 7.

Deshabilitar el servicio

La gestión de los servicios en los "siete" se produce a través de:

  • edición directa de claves de registro, lo cual es muy inconveniente;
  • programas de terceros para configurar el sistema operativo (omitiremos esta opción);
  • complementos de la consola MMC;
  • configuración del sistema;
  • línea de comando;
  • Editor de directivas de grupo (presente en Windows 7 Ultimate, Corporate).

Quitar un servicio del inicio

La desactivación de actualizaciones se realiza más rápidamente a través del configurador del sistema.

  1. Ejecutamos "msconfig" en la ventana del intérprete de comandos, que se abrirá después de presionar las teclas Win + R o hacer clic en el botón "Ejecutar" en el inicio.
  1. Vaya a la pestaña "Servicios".
  2. Encontramos "Windows Update" (tal vez Windows Update) y eliminamos la casilla de verificación al lado.
  1. Guardamos la nueva configuración.

Hasta el final de la sesión actual, el servicio funcionará, realizando correctamente las tareas que se le asignan. Windows 7 debe reiniciarse para aplicar la nueva configuración.

Usemos el complemento de la consola MMC

El complemento de la consola del sistema del mismo nombre brinda acceso a la administración de todos los servicios en una PC. Se lanza así.

  1. Abra el menú contextual del directorio "Mi PC".
  2. Llamamos al comando "Control".
  1. En el menú vertical izquierdo, expanda el elemento "Servicios y aplicaciones". A continuación, haga clic en el enlace "Servicios".

Una opción más sencilla para llamar a la misma ventana sería ejecutar el comando "services.msc" a través del cuadro de diálogo "Ejecutar".

  1. Nos desplazamos por la lista de servicios hasta el final y abrimos las "Propiedades" del servicio de actualización de Windows.
  1. En la lista desplegable "Tipo de inicio", seleccione "Desactivado" en lugar de "Automático" para despedirse de las actualizaciones automáticas para siempre. Si necesita deshabilitar el servicio ahora, asegúrese de hacer clic en "Detener". Guarde la nueva configuración con el botón "Aplicar" y cierre todas las ventanas.

No es necesario reiniciar el PC para aplicar la configuración.

Editor de directivas de grupo

Otro complemento de MMC llamado Editor de políticas locales de grupo lo ayudará a configurar cualquier configuración del sistema.

¡En la edición casera de los "siete" no está disponible!

  1. La herramienta se inicia ejecutando el comando "gpedit.msc" a través de la ventana "Ejecutar".
  1. En la subsección "Configuración de PC", expanda la rama "Plantillas administrativas".
  1. Abra "Componentes de Windows" y busque el centro de actualización.
  2. En la parte derecha de la ventana encontramos el parámetro, cuyo nombre comienza con "Configuración de actualización automática".
  3. Llamamos a su configuración.
  1. Mueva la casilla de verificación a la posición "Desactivar" y haga clic en "Aceptar" para cerrar la ventana y guardar los cambios.

Usemos la línea de comando

A través de la línea de comandos se realizan las mismas operaciones que con la interfaz gráfica, e incluso más, pero en modo texto. Lo principal es conocer su sintaxis y parámetros.

El comando "cmd" es responsable de llamar a la línea de comando.

  1. Abra un intérprete de comandos y ejecútelo.


Este artículo resume las correcciones para el agente de WSUS que conozco.

1. El primer script es el más simple y, de hecho, ni siquiera se usa para el tratamiento, sino para forzar una verificación de actualizaciones y, al mismo tiempo, limpia la carpeta en la que se acumulan las distribuciones de actualizaciones ya instaladas:

wsus_detect_manual.cmd

parada neta wuauserv && bits de parada neta && parada neta cryptsvc

inicio neto wuauserv && bits de inicio neto && inicio neto cryptsvc

wuauclt.exe /detectnow salida

2. Se necesita la segunda secuencia de comandos para "reactivar" el servicio WSUS inactivo. Es la limpieza de actualizaciones antiguas, después de lo cual se cambia el nombre de las carpetas SoftwareDistribution y Catroot2, lo que, cuando se reinicia el servicio, conducirá a su recreación. Luego, las bibliotecas dll del sistema se vuelven a registrar.

fix_wsus_service.cmd

bits de parada de red
parada neta wuauserver
parada neta cryptsvc

del /f /s /q %windir%\SoftwareDistribution\descarga\*.*

ren %systemroot%\System32\Catroot2 Catroot2.old
ren %systemroot%\SoftwareDistribution SoftwareDistribution.old

REM del /f /s /q %windir%\SoftwareDistribution\*.*

del /f /s /q %windir%\windowsupdate.log

%windir%\system32\regsvr32.exe /U /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuweb.dll

%windir%\system32\regsvr32.exe /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuweb.dll

bits de inicio neto
wuauserver de inicio neto
inicio neto cryptsvc

wuauclt /detectar ahora

salida

3. Este script se usa en los casos en que la computadora se clonó recientemente o en aquellos casos en que la computadora no se registró con WSUS. Se diferencia del anterior únicamente en la penúltima línea, en la que se pone a cero la autorización con el identificador regenerado. Citaré sólo esta línea:

wsus_resetaut_detect_manual.cmd

wuauclt.exe /resetauthorization /detectnow

AU_Clean_SID.cmd

@echo encendido
parada neta wuauserver
REGISTRAR ELIMINAR "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v AccountDomainSid /f
REGISTRAR ELIMINAR "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v PingID /f
REGISTRAR ELIMINAR "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f
wuauserver de inicio neto
wuauclt /restablecer autorización /detectar ahora

5. A veces, para que todo funcione, es necesario reinstalar el agente WSUS. Primero debe descargar el último Agente de actualización de Windows y luego instalar la edición adecuada

para versiones x32 de Windows

agente de actualización de windows30-x86.exe /wuforce

para versiones x64 de Windows

agente de actualización de windows30-x64.exe /wuforce

Si eres un feliz propietario de Itanium, adivina por ti mismo :-)

Después de instalar el agente, asegúrese de reiniciar.

6. Para "tratar" los errores 0x80070005, es decir errores de acceso, la siguiente secuencia de comandos puede ser útil. Restaura el acceso del administrador y del sistema a las carpetas del registro y del sistema.

Para ejecutar este script, necesitará la utilidad Microsoft subinacl.exe. Se incluye en el kit de recursos para Windows Server 2003, pero no debe usar la versión que se incluye allí. hay bichos desagradables. Descargar subinacl.exe versión 5.2.3790.1180.

Restore_registry_and_system_permission.cmd

@echo apagado
REM Aplicar en 0x80070005 Errores de actualización de Windows
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=administrators=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=administrators=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=administrators=f
subinacl /subdirectorios %SystemDrive% /grant=administradores=f
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=system=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=system=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=system=f
subinacl /subdirectorios %SystemDrive% /subvención=sistema=f

Todos estos scripts se pueden ejecutar casi automáticamente, en caso de problemas. Si, como resultado, el problema aún no se resuelve, entonces debe tratarlo más de cerca. Y aquí es útil el mismo windowsupdate.log, que se encuentra en la raíz de la carpeta de Windows. Si la computadora es problemática, entonces este archivo es grande. Para simplificar, es recomendable eliminarlo antes de ejecutar los scripts. Casi todos los scripts brindan un comando para eliminarlo, pero no todo es tan simple. A pesar de la detención del servicio wuauserv, IE y similares generalmente lo mantienen abierto. Por lo tanto, hay una manera difícil. lanzamiento

notepad.exe %windir%\windowsupdate.log

Selecciono todo el texto, lo elimino y lo guardo en lugar del archivo anterior (no olvide cambiar el tipo de archivo a *.* en el cuadro de diálogo Guardar, de lo contrario es *.txt por defecto)

Vale la pena señalar que hay casos en los que no es posible forzar al cliente a actualizar con wsus. Tengo antecedentes con un par de Windows Server 2003 R2 que no he podido superar. Por lo tanto, los actualizo a través de Internet :-)

Los sistemas operativos nuevos como Windows 7, Windows 2008 a veces se “inician” con dificultad. Para tales casos, empíricamente, se encontró un algoritmo del tipo:
1. Actualizamos por primera vez desde la web de microsoft con la actualización del agente
2. Luego actualizamos el agente ya localmente
3. Y entonces todo empieza a funcionar

Espero que los frutos de nuestro trabajo ayuden a alguien.

Para simplificar, publico todos estos scripts en un formulario listo para usar:

Hola a todos hoy, una nota más para mí, a saber, la lista de servidores de Windows Update. Porque esto puede ser útil, por ejemplo, si recibes un error Update not found al instalar el rol WSUS, o viceversa, por alguna razón quieres banearlos, para ahorrar tráfico si no tienes WSUS, ya que no todos los Windows Las actualizaciones son buenas, y especialmente en sus versiones modernas, creo que no tiene sentido recordar el error, aunque esta lista puede continuar por mucho tiempo. El motivo no es importante, lo principal es saber qué es y cómo trabajar con él. A continuación, le mostraré métodos para prohibir las direcciones del servidor de actualización de Microsoft, tanto universales, adecuadas para una sola computadora, como para la administración centralizada dentro de una empresa.

¿Por qué no se instalan las actualizaciones de Windows?

Aquí hay una captura de pantalla del error si no tiene disponible la dirección del servidor de actualización de Microsoft. Como puede ver, el error no es muy informativo. Lo obtengo en un servidor que tiene la función WSUS, que no recuerda qué es, entonces este es un centro de actualización local para que las empresas ahorren tráfico, y aquí las actualizaciones de Windows no están instaladas debido a la falta de disponibilidad de los servidores de Microsoft.

Qué hacer si las actualizaciones de Windows no están instaladas

  • En primer lugar, debes comprobar si tienes Internet, ya que es obligatorio para la mayoría de las personas, a menos que por supuesto tengas un dominio de Active Directory y los descargues de tu WSUS.
  • Además, si Internet está disponible, miramos el código de error, ya que es en él donde debemos buscar información sobre cómo resolver el problema (de problemas recientes puedo dar un ejemplo de cómo se resuelve el Error 0x80070422 o el Error c1900101) , pero la lista también se puede mantener durante mucho tiempo.
  • Comprobamos en nuestro servidor proxy si existe una prohibición de dichas direcciones del servidor de actualización de Microsoft.

La lista de servidores de actualización de Microsoft

  1. http://windowsupdate.microsoft.com
  2. http://*.windowsupdate.microsoft.com
  3. https://*.windowsupdate.microsoft.com
  4. http://crl.microsoft.com/pki/crl/products/MicProSecSerCA_2007-12-04.crl
  5. http://*.update.microsoft.com
  6. https://*.update.microsoft.com
  7. http://*.windowsupdate.com
  8. https://activation.sls.microsoft.com/
  9. http://download.windowsupdate.com
  10. http://download.microsoft.com
  11. http://*.download.windowsupdate.com
  12. http://wustat.windows.com
  13. http://ntservicepack.microsoft.com
  14. https://go.microsoft.com/
  15. http://go.microsoft.com/
  16. https://login.live.com
  17. https://validación.sls.microsoft.com/
  18. https://activación-v2.sls.microsoft.com/
  19. https://validación-v2.sls.microsoft.com/
  20. https://displaycatalog.mp.microsoft.com/
  21. https://licencias.mp.microsoft.com/
  22. https://compra.mp.microsoft.com/
  23. https://displaycatalog.md.mp.microsoft.com/
  24. https://licencias.md.mp.microsoft.com/
  25. https://purchase.md.mp.microsoft.com/

Con el desarrollo de Internet, la actualización constante del sistema operativo se ha convertido en un lugar común. Ahora los desarrolladores pueden arreglar y perfeccionar el sistema durante todo el período de soporte. Pero las actualizaciones frecuentes de Windows 10 no siempre son convenientes. Es por eso que sería bueno poder apagarlos.

Razones para deshabilitar las actualizaciones automáticas

Las razones pueden ser muy diferentes y solo usted puede decidir cuánto necesita para deshabilitar las actualizaciones. Al mismo tiempo, debe tenerse en cuenta que se entregan correcciones importantes para las vulnerabilidades del sistema junto con mejoras en ciertas características. Y, sin embargo, las situaciones en las que las actualizaciones automáticas deben desactivarse ocurren con bastante frecuencia:

  • Internet pago: a veces, la actualización es bastante grande y puede ser costoso descargarla si paga por el tráfico. En este caso, es mejor posponer la descarga y descargar más tarde bajo otras condiciones;
  • falta de tiempo: después de la descarga, la actualización comenzará a instalarse durante el apagado de la computadora. Esto puede ser un inconveniente si necesita completar rápidamente el trabajo, por ejemplo, en una computadora portátil. Pero aún peor aquí es que, tarde o temprano, Windows 10 requerirá que reinicie su computadora, y si no lo hace, luego de un tiempo, se forzará el reinicio. Todo esto distrae e interfiere en el trabajo;
  • seguridad: aunque las actualizaciones en sí mismas a menudo contienen cambios importantes en el sistema, nadie puede preverlo todo. Como resultado, algunas actualizaciones pueden exponer su sistema a un ataque de virus, mientras que otras simplemente lo dañarán inmediatamente después de la instalación. Un enfoque razonable en esta situación es actualizar algún tiempo después del lanzamiento de la próxima versión, habiendo estudiado previamente las revisiones.

Deshabilitar las actualizaciones automáticas de Windows 10

Hay muchas formas de desactivar las actualizaciones de Windows 10. Algunos de ellos son bastante simples para el usuario, otros son más difíciles y otros requieren la instalación de programas de terceros.

Deshabilitar a través del centro de actualizaciones

Utilizar el centro de actualizaciones para desactivarlo no es la mejor opción, aunque los desarrolladores de Microsoft la ofrecen como solución oficial. De hecho, puede desactivar la descarga automática de actualizaciones a través de su configuración. El problema aquí es que esta solución será de alguna manera temporal. El lanzamiento de una actualización importante de Windows 10 cambiará esta configuración y recuperará las actualizaciones del sistema. Pero estudiaremos el proceso de apagado de todos modos:

Después de estos cambios, ya no se instalarán actualizaciones menores. Pero esta solución no te ayudará a deshacerte de la descarga de actualizaciones para siempre.

En uno de los artículos anteriores, describimos el procedimiento en detalle. Una vez que haya configurado el servidor, debe configurar los clientes de Windows (servidores y estaciones de trabajo) para usar el servidor WSUS para recibir actualizaciones, de modo que los clientes reciban actualizaciones de un servidor de actualización interno en lugar de servidores de Microsoft Update a través de Internet. En este artículo, veremos el proceso de configuración de clientes para usar un servidor WSUS mediante políticas de grupo de dominio de Active Directory.

Las políticas de grupo de AD permiten que un administrador asigne automáticamente computadoras a diferentes grupos de WSUS, lo que elimina la necesidad de mover manualmente las computadoras entre grupos en la consola de WSUS y mantener esos grupos actualizados. La asignación de clientes a diferentes grupos de destino de WSUS se basa en una etiqueta en el registro del cliente (las etiquetas las establece la directiva de grupo o la edición directa del registro). Este tipo de asignación de clientes a grupos WSUS se denomina clienteladoapuntando(Targeting en el lado del cliente).

Se supone que nuestra red utilizará dos políticas de actualización diferentes: una política separada para instalar actualizaciones para servidores ( Servidores) y para estaciones de trabajo ( Estaciones de trabajo). Estos dos grupos deben crearse en la consola de WSUS en la sección Todos los equipos.

Consejo. La política para que los clientes utilicen el servidor de actualizaciones de WSUS depende en gran medida de la estructura organizativa de la unidad organizativa en Active Directory y de las reglas de instalación de actualizaciones en la organización. En este artículo, veremos solo una opción particular que le permite comprender los principios básicos del uso de políticas de AD para instalar actualizaciones de Windows.

En primer lugar, debe especificar una regla de agrupación de equipos en la consola de WSUS (orientación). De forma predeterminada, en la consola de WSUS, el administrador distribuye los equipos en grupos de forma manual (orientación del lado del servidor). Esto no nos conviene, por lo que indicamos que las computadoras se distribuyen en grupos según la orientación del lado del cliente (por una clave específica en el registro del cliente). Para ello, en la consola de WSUS, vaya a la sección Opciones y abre la opcion ordenadores. Cambia el valor a Use la directiva de grupo o la configuración del registro en las computadoras(Use la política de grupo o la configuración de registro en las computadoras).

Ahora puede crear un GPO para configurar clientes WSUS. Abra la consola de administración de políticas de grupo basada en dominio y cree dos nuevas políticas de grupo: ServerWSUSPolicy y WorkstationWSUSPolicy.

Política de grupo de WSUS para servidores Windows

Comencemos con una descripción de la política del servidor. ServidorWSUSPolicy.

La configuración de la política de grupo responsable del funcionamiento del servicio de actualización de Windows se encuentra en la sección GPO: computadoraConfiguración -> Políticas-> administrativoplantillas-> ventanasComponente-> ventanasactualizar(Configuración del equipo -> Plantillas administrativas -> Componentes de Windows -> Actualización de Windows).

En nuestra organización, pretendemos usar esta política para instalar actualizaciones de WSUS en servidores Windows. Se espera que todas las computadoras que se incluyen en esta política se asignen al grupo Servidores en la consola de WSUS. Además, queremos evitar que los servidores instalen actualizaciones automáticamente cuando se reciben. El cliente de WSUS simplemente debe descargar las actualizaciones disponibles en el disco, mostrar una alerta de nuevas actualizaciones en la bandeja del sistema y esperar a que el administrador inicie la instalación (manualmente o de forma remota a través de ) para comenzar la instalación. Esto significa que los servidores productivos no instalarán actualizaciones ni se reiniciarán automáticamente sin la confirmación del administrador (por lo general, estos trabajos los realiza el administrador del sistema como parte del mantenimiento programado mensual). Para implementar dicho esquema, estableceremos las siguientes políticas:

  • ConfigurarAutomáticoactualizaciones(Configuración de actualización automática): permitir. 3 - Automáticodescargarynotificarparainstalar(Descargar actualizaciones automáticamente y avisarle cuando estén listas para ser instaladas)– el cliente descarga automáticamente nuevas actualizaciones y les notifica cuando aparecen;
  • Especificarintranetmicrosoftactualizarservicioubicación(Especifique la ubicación del servicio de actualización de Microsoft en la intranet): permitir. Configure el servicio de actualización de intranet para detectar actualizaciones: http://srv-wsus.sitio:8530, Configure el servidor de estadísticas de la intranet: http://srv-wsus.sitio:8530- aquí debe especificar la dirección de su servidor WSUS y el servidor de estadísticas (generalmente son los mismos);
  • Sin reinicio automático con usuarios registrados para instalaciones de actualizaciones automáticas programadas(No reinicie automáticamente cuando instale actualizaciones automáticamente si hay usuarios ejecutándose en el sistema): permitir– deshabilitar la recarga automática si hay una sesión de usuario;
  • permitircliente-ladoapuntando ( Permitir que el cliente se una al grupo objetivo): permitir. Nombre del grupo de destino para esta computadora: Servidores– en la consola de WSUS, asigne clientes al grupo Servidores.

Nota. A la hora de configurar la política de actualización, te recomendamos que revises detenidamente todos los ajustes disponibles en cada una de las opciones del apartado GPO. ventanasactualizar y establezca la configuración adecuada para su infraestructura y organización.

Política de instalación de actualizaciones de WSUS para estaciones de trabajo

Suponemos que las actualizaciones de las estaciones de trabajo de los clientes, a diferencia de la política del servidor, se instalarán automáticamente por la noche inmediatamente después de recibir las actualizaciones. Las computadoras después de instalar las actualizaciones deben reiniciarse automáticamente (avisando al usuario con 5 minutos de anticipación).

En esta GPO (WorkstationWSUSPolicy) especificamos:

  • permitirAutomáticoactualizacionesinmediatoinstalación(Permitir que las actualizaciones automáticas se instalen inmediatamente): Desactivado- la prohibición de la instalación inmediata de actualizaciones cuando se reciben;
  • permitirno-administradoresarecibiractualizarnotificaciones(Permitir que los usuarios que no sean administradores reciban notificaciones de actualización): Activado- mostrar una advertencia a los no administradores sobre nuevas actualizaciones y permitir su instalación manual;
  • Configurar actualizaciones automáticas:Activado. Configurar actualización automática: 4 - Descarga automática y programa la instalación. Día de instalación programado: 0 - Cadadía. Tiempo de instalación programado: 05:00 – cuando se reciben nuevas actualizaciones, el cliente las descarga en el caché local y programa su instalación automática a las 5:00 am;
  • Nombre del grupo de destino para esta computadora: Estaciones de trabajo– en la consola WSUS, asigne el cliente al grupo Estaciones de trabajo;
  • Sin reinicio automático con usuarios registrados para instalaciones de actualizaciones automáticas programadas: Desactivado- el sistema se reiniciará automáticamente 5 minutos después de la instalación de actualizaciones;
  • Especificar la ubicación del servicio de actualización de Microsoft en la intranet: Permitir. Configure el servicio de actualización de intranet para detectar actualizaciones: http://srv-wsus.sitio:8530, Configure el servidor de estadísticas de la intranet: http://srv-wsus.sitio:8530–dirección del servidor WSUS corporativo.

En Windows 10 1607 y superior, aunque les haya dicho que obtengan actualizaciones del WSUS interno, es posible que aún intenten comunicarse con los servidores de Windows Update en Internet. Esta "característica" se llama DobleEscanear. Para deshabilitar la recepción de actualizaciones de Internet, también debe habilitar la política Hacernopermitiractualizaraplazamientopolíticasacausaescaneoscontraventanasactualizar ().

Consejo. Para mejorar el "nivel de aplicación de parches" de las computadoras en una organización, ambas políticas se pueden configurar para obligar al servicio de actualización (wuauserv) a ejecutarse en los clientes. Para ello, en la sección Configuración de la computadora -> Políticas -> Configuración de Windows -> Configuración de seguridad -> Servicios del sistema busque el servicio de actualización de Windows y configúrelo para que se inicie automáticamente ( Automático).

Asignación de políticas de WSUS a unidades organizativas de Active Directory

El siguiente paso es asignar las políticas creadas a los contenedores de Active Directory (OU) apropiados. En nuestro ejemplo, la estructura de OU en el dominio AD es lo más simple posible: hay dos contenedores: Servidores (contiene todos los servidores de la organización, además de los controladores de dominio) y WKS (Estaciones de trabajo - computadoras de usuario).

Consejo. Solo estamos viendo una opción bastante simple para vincular las políticas de WSUS a los clientes. En organizaciones reales, es posible vincular una política de WSUS a todas las computadoras en un dominio (un GPO con configuraciones de WSUS se adjunta a la raíz del dominio), para separar diferentes tipos de clientes en diferentes unidades organizativas (como en nuestro ejemplo, creó diferentes políticas de WSUS para servidores y estaciones de trabajo), en grandes dominios distribuidos, puede vincular o asignar GPO basados ​​en o combinar los métodos anteriores.

Para asignar una política a una unidad organizativa, haga clic en la unidad organizativa deseada en la Consola de administración de directivas de grupo, seleccione el elemento de menú Vincular como GPO existente y seleccione la política adecuada.

Consejo. No se olvide de una unidad organizativa separada con controladores de dominio (controladores de dominio), en la mayoría de los casos, la política WSUS del "servidor" debe adjuntarse a este contenedor.

Exactamente de la misma manera, debe asignar la política WorkstationWSUSPolicy al contenedor AD WKS que contiene las estaciones de trabajo de Windows.

Queda por actualizar las políticas de grupo en los clientes para vincular el cliente al servidor WSUS:

Todas las configuraciones del sistema de actualización de Windows que establecemos con las políticas de grupo deben aparecer en el registro del cliente en la sucursal HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

Este archivo de registro se puede usar para transferir configuraciones de WSUS a otras computadoras que no se pueden configurar para actualizaciones usando GPO (computadoras en un grupo de trabajo, segmentos aislados, DMZ, etc.)

Editor del Registro de Windows Versión 5.00

"WUServer"="http://srv-wsus.sitio:8530"
"WUStatusServer"="http://srv-wsus.sitio:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Servidores"
"ElevateNonAdmins"=dword:00000000

"NoAutoUpdate"=dword:00000000 -
"AUOptions"=dword:00000003
"Día de instalación programada"=dword:00000000
"Tiempo de instalación programada" = dword: 00000003
"Instalación programada cada semana" = dword: 00000001
"UsarWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001

También es conveniente controlar la configuración de WSUS aplicada en los clientes mediante rsop.msc.

Y después de un tiempo (dependiendo de la cantidad de actualizaciones y el ancho de banda del servidor WSUS), debe verificar en la bandeja las notificaciones emergentes sobre la disponibilidad de nuevas actualizaciones. En la consola de WSUS, los clientes deben aparecer en los grupos apropiados (en forma tabular, se muestran el nombre del cliente, la IP, el sistema operativo, el porcentaje de sus "parches" y la fecha de la última actualización de estado). Porque hemos vinculado equipos y servidores a diferentes grupos WSUS por políticas, solo recibirán actualizaciones aprobadas para su instalación en los grupos WSUS correspondientes.

Nota. Si las actualizaciones no aparecen en el cliente, se recomienda que examine detenidamente el registro del servicio de actualización de Windows (C:\Windows\WindowsUpdate.log) en el cliente problemático. Tenga en cuenta que Windows 10 (Windows Server 2016) usa . El cliente descarga actualizaciones en la carpeta local C:\Windows\SoftwareDistribution\Download. Para comenzar a buscar nuevas actualizaciones en el servidor WSUS, debe ejecutar el comando:

wuauclt /detectar ahora

Además, a veces tiene que forzar la reinscripción de un cliente en el servidor WSUS:

wuauclt /detectnow /resetAuthorization

En casos particularmente difíciles, puede intentar arreglar el servicio wuauserv. Si esto ocurre, intente cambiar la frecuencia de búsqueda de actualizaciones en el servidor WSUS mediante la política de frecuencia de detección de actualizaciones automáticas.

En el próximo artículo, describiremos las características de . También le recomendamos que lea el artículo entre grupos en un servidor WSUS.