WSUS (Windows Server Update Services) es una herramienta gratuita de Microsoft que automatiza el proceso de gestión de actualizaciones de software. Los servidores WSUS descargan actualizaciones de Microsoft Update y las distribuyen a los clientes de Windows asignados a grupos de destino. Los administradores aprueban qué actualizaciones se instalarán y cuándo. WSUS mejora la gestión de parches y proporciona escalabilidad para la distribución de actualizaciones.

1. Windows Server Update Services
(WSUS)
David Cervigón Luna
Microsoft IT Pro Evangelist
davidce@microsoft.com
http://blogs.technet.com/davidcervigon

2. Webcasts Grabados sobre Actualizaciones
de Seguridad
 Opciones disponibles para la gestión de Actualizaciones
de Software
 http://msevents-eu.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=118763910&E
 Microsoft Update y Actualizaciones Automáticas
 http://msevents-eu.microsoft.com/CUI/WebCastEventDetails.aspx?
EventID=118766087&EventCategory=3&culture=es-ES&CountryCode=ES
 Otros Webcasts grabados:
 http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.asp

3. ¿Qué es WSUS?
 Un “Feature Pack” RTW (Release to Web) de Microsoft
Windows Server
 Gratuito:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/sysreqs.mspx
 No necesita ningún tipo de CAL adicional
 Una solución funcional: Automatiza el proceso de gestión
de parches y actualizaciones todo lo posible
 Gestiona parches de otros productos además de Windows
 Incluye las funcionalidades que le demandabais SUS 1.0
 Mejora y facilita las tareas del administrador
 Componente clave de las actuales y futuras soluciones de
gestión de Parches y Actualizaciones de Microsoft
 Aprovechado por otras herramientas (i.e., SMS & MBSA)
 Expone un rico conjunto de API para facilitar la
personalización y extensibilidad
 Escalabilidad hacia (Microsoft Update)

4. Arquitectura
 Piezas de la solución
 Windows Server Update Services
 Automatic Updates client agent
 Microsoft Update
 Group Policy y Active Directory
 Piezas del servidor
 IIS / IE6 SP1
 BITS y WinHTTP (KB842773)
 MSI 3.1
 Microsoft SQL Server
• WMSDE/MSDE
 .NET Framework 1.1 SP1
 Scripting vía SDK

5. Contenido y Productos Soportados
 Contenido
 Microsoft Windows, Microsoft Office, Microsoft SQL Server, Microsoft
Exchange Server
 Se agregarán productos adicionales (i.e. ISA Server 2004)
 Sistemas Operativos
 Cliente/agente
• Windows 2000 SP3 y posterior,
• Windows XP y posterior (Tb. versiones y x64)
• Windows 2003 (solo 32-bit),
• Windows 2003 SP1 (x64 y ia64)
 Servidor
• Windows 2000 SP4 y posterior
• Windows 2003 y posterior (solo 32-bit)
 Soporte Internacional
 25 Windows client locales
 17 Windows Server locales

6. Cómo funciona
Microsoft Update Servidor WSUS
Administrador
Clientes Windows XP
Target Group 1 Clientes Windows Server
Target Group 2
El agente instala los parchesclientes en diferentes target groups
El Administrador aprueba las aprobados por el administrador
Los clientesdescargasuscribe actualizaciones de actualizaciones
El servidor se registran los ela las categorías Microsoft Update
El Administrador pone a actualizaciones desde
se las en servidor

7. DEMO
 Instalación de WSUS

8. Arquitectura del Servidor
 Interfaz de administración Web.
 Motor de sincronización para descargar las
actualizaciones de Microsoft Update.
 Base de datos SQL que mantiene el resto de los
datos que no son actualizaciones.
 Permite una estructura de servidores jerárquica
 Usa BITS (Background Intelligent Transfer
Service) para un uso eficiente del ancho de
banda
 Escalable

9. Arquitectura del Servidor (cont.)
Clientes
Estación del Servidores WSUS/MU
Administrad
or
Server/Server
Reporting Client/Server Web service
Admin UI Catalog Content
Web service Web service
sync sync
Server API
Metadata Store File Store
MSDE/SQL (NTFS)

10. Arquitectura del cliente
 El agente (Win32 Service) implementa la mayor
parte de la funcionalidad
 Extensibilidad basada en manejadores de tipo
Update
 Manejadores para MSI, update.exe, drivers etc.
 Se auto-actualiza automáticamente a nuevas
versiones ofrecidas por el servidor.
 Controlable via GPO
 Seguro

11. Arquitectura del cliente
WU Scripts
IE (WU Site)
o WSUS a medida
WU Cliente
API Cliente WU
Update Update Automatic
handlers manager updates
Almacén de
BITS contenido Metadata DB

12. ¿Que Base de datos voy a usar?
 SQL:
 Instalación local de WMSDE / MSDE.
 SQL Server ya existente (local o remoto).
 El principal factor es la infraestructura existente.
 WMSDE/MSDE valdrá en la mayoría de los casos.
 Utilizar SQL solamente si ya está instalado y tiene capacidad de
aguantar más carga
 No modificar nunca directamente los datos en SQL.
 Usar WSUSUtil.exe para backup

13. Jerarquías y Réplicas
 Autónomo = padre/hijo
 Solo los elementos comunes suponen ancho de banda
 El almacén del padre es el común múltiplo de todos las aprobaciones de
los hijos.
 Replica = Configuración espejo.
 Solamente la pertenencia a grupos es única.
 Puede repartir parcialmente las tareas de administración.
 Útil para distribuir la sobrecarga de red.
 Se configura durante la instalación y no puede cambiarse
luego. El despliegue puede consistir en múltiples capas
de servidores WSUS

14. Servidor único

15. Servidores de réplica

16. Delegaciones

17. Redes desconectadas
Microsoft WSUS
Update Server
WSUS
Server
Desktop
Clients

18. ¿Qué método vamos a usar para instalar las
actualizaciones?
Instalación Express vs. estándar
 Instalación estándar: Descarga y reemplaza el fichero
completo.
 Más costoso para el cliente y la red local
 Instalación Express: Descarga e instala solo “deltas”
(diferencias)
 Más costoso para el servidor WSUS y el enlace WAN

19. ¿Donde voy a almacenar las actualizaciones?
Opciones de almacenamiento
 Dos opciones:
 Sistema de archivos local
 Microsoft Update (solo almacenamos la información acerca de las
actualizaciones)
 Depende de dónde estén los clientes en relación al
WSUS
 Clientes en “red local” – Local file system
 Clientes “fuera” – Microsoft Update

20. ¿En que idiomas tengo los productos que voy a
actualizar?
Locales
 Por defecto son todos (3 tipos de Chino, dos de
Japonés además del Coreano....)
 Eso es MUCHO tráfico y MUCHAS Gigas
 WSUS solamente podrá informar sobre un cliente
si los datos para su idioma se han descargado
 Recomendación: No almacenar los datos
localmente si hay gran variedad y variabilidad de
idiomas

21. ¿Qué opciones de seguridad tengo que
considerar?
 WSUS siempre detrás de un firewall
 Sobre el sistema operativo securizado
 Utilizar siempre SSL
• Los clientes deben validarse con su certificado de
máquina para recibir las actualizaciones
• Usar una CA pública si no se tiene la opción de
distribuir una CA raíz corporativa (nada más sencillo
con Directorio Activo)

22. DEMO
 Configuración de WSUS
 Creación de Grupos
 Aprobación de Actualizaciones
 Informes

23. Opciones de configuración
 Tiempo de instalación de actualizaciones ya
descargadas después de reiniciar.
 Frecuencia de actualización en del cliente
 No reiniciar automáticamente tras la instalación.
 Demorar el reinicio
 Comportamiento de la descarga y la instalación
 Frecuencia de los recordatorios para reiniciar tras la
instalación
 Instalar actualizaciones al Apagar
 Apariencia del botón de Apagar
 Usuarios no administradores pueden aprobar
descargas e instalaciones

24. ¿Cómo voy a configurar los clientes?
 Manualmente / Scripts
 HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoft
WindowsWindowsUpdate
 Por políticas (WUAU.ADM)
 Locales = Manualmente (gpedit.msc)
 GPOs en Directorio Activo
 Ver la “Deployment Guide”

25. DEMO
 Configuración del Cliente

26. Migración desde SUS 1.0
 Puntos a tener en cuenta:
 La instalación NO actualiza.
 Se migra el contenido y las aprobaciones, no la
configuración.
 Dos Escenarios
 Al mismo servidor
 A un servidor remoto

27. Próximos Webcasts sobre Actualizaciones
de Seguridad
Gestión de Actualizaciones de Seguridad usando SMS 2003
 Información de fechas y registro en:
 http://www.microsoft.com/spain/technet/jornadas/webcasts/default.asp

28. ¿PREGUNTAS?
David Cervigón Luna
Microsoft IT Pro Evangelist
davidce@microsoft.com
http://blogs.technet.com/davidcervigon

29. RECURSOS
 Página principal de WSUS:
http://www.microsoft.com/windowsserversystem/updateservices/default.
mspx
 SDK:
http://msdn.microsoft.com/library/default.asp?url=/library/en-
us/wus/wus/portal.asp
 Documentación Online:
http://www.microsoft.com/windowsserversystem/updateservices/techinfo/
default.mspx
 Deployment Guide
 Operations Guide
 Troubleshooter