Configurar actualizaciones en WSUS
Hoy os explicamos como debéis realizar la configuración de las diferentes aplicaciones que descargue WSUS, existe la posibilidad de Aprobarlas o Declinarlas. Esto último es algo muy normal, ya que en vuestro laboratorio igual os da lo mismo, es raro que os rompa un parche algo, pero si lo lanzáis en una organización un poco grande, seguro que hay algún KB que no os interesa instalar.
Comprobar clientes WSUS
Antes de empezar a aprobar o declinar parches, tendréis que revisar que lo aplicado por GPO y el servicio de Windows Update está todo en línea:
- Comprobar que el equipo cliente está en la OU correspondiente donde trabaja WSUS
- Nos conectamos a un cliente y abrimos una consola de comandos. Lanzamos “gpresult /r” (podemos forzar las políticas con “gpupdate /force”)
- Para el servicio, ingresaremos el siguiente comando para inicializar Windows Update: “wuauctl.exe /reportnow /detectnow”
- Se puede comprobar que todo está correcto revisando la clave de registro: https://msdn.microsoft.com/en-us/library/dd939844(v=ws.10).aspx
Aprobar una actualización en WSUS
Los parches para que se apliquen, y puedan verlos los equipos deben ser aprobados desde la consola de WSUS.
Nos colocamos en Updates, dentro de la consola Update Services. Los parches que no están instalados y son necesarios estarán en amarillo. Pulsamos sobre ellos.
La alerta nos muestra la cantidad del parque que dispone del parche e incluso cuales son las máquinas que lo necesitan. Pulsamos botón derecho y aprobamos el parche (habrá tener cuidado si el parche afecta a la compatibilidad del software antes de aprobarlo)
Aprobamos sobre los servidores que nos interesa
Como tenemos la política en manual. Vamos a uno de los servidores por RDP que lo necesitan (el propio KB nos dice quien lo necesita en el report). Nos aseguramos que no da servicio antes de parchear (recomendable hacer un SNAPSHOT en APAGADO del servidor mediante la consola de VCENTER).
Desde el panel de control vamos a Windows Update y chequeamos
Veremos el KB que hemos aprobado. Pulsamos Install updates
Una vez instalado, reiniciado o lo que haga falta para instalar el KB correspondiente. Comprobamos desde la consola de WSUS que se ha instalado correctamente (refrescamos)
Declinar una actualización en WSUS
Es posible que, por problemas con la infraestructura, tengamos que eliminar de la línea base una actualización.
Desde la consola del WSUS deberemos declinar el paquete que da problemas. Ese KB ya no aparecerá para instalarse en los clientes.
Serie de post ya creados:
- Instalación WSUS en Windows 2016
- Post-Instalación con WSUS
- Configurar actualizaciones en WSUS
- Instalar Java u otro software en WSUS
Te ha gustado la entrada SGUENOS EN TWITTER O INVITANOS A UN CAFE?