Header Ads Widget

Ticker

6/recent/ticker-posts

Descifrar (y comprender) las opciones de administración de parches de Microsoft

La pandemia de este año obligó a los administradores a luchar para mantener sus sistemas Windows en funcionamiento (y debidamente parcheados) a distancia. Por lo tanto, es importante comprender qué opciones están disponibles y cuáles funcionan mejor en diferentes situaciones.


Si le pregunta a un usuario normal qué es lo que más le disgusta de Windows 10, la respuesta probablemente estaría relacionada con el parcheo, el reinicio y el proceso de actualización generalmente confuso. Sitios web completos tienen secciones dedicadas a explicar el proceso de actualización y cómo administrarlo, y he escrito mi parte justa sobre el tema. 

Además de escribir sobre los parches de Microsoft aquí (y sobre la seguridad de Windows para CSO), también soy moderador en el servidor de listas Patchmanagement.org. Tenemos muchas personas que dependen de varias herramientas de parcheo para implementar actualizaciones y mantener estaciones de trabajo. Hay varias opciones, por lo que es importante comprender cómo funcionan (y cómo varían) para que pueda aprovecharlas al máximo.

La propia Microsoft tiene varias: en primer lugar, está la actualización básica de Windows que utilizan la mayoría de los consumidores y usuarios domésticos. Permite que cada estación de trabajo se comunique de forma independiente con los servidores de actualización de Microsoft para obtener los parches necesarios. ¿La ventaja? Está integrado, no cuesta nada (aparte del ancho de banda) y se configura desde el principio. ¿La desventaja? No le da mucho control sobre cuándo y cómo se descargan las actualizaciones, y cómo se comporta ha cambiado a lo largo de los años.

Microsoft también tiene una plataforma de parcheo basada en red. Tengo la edad suficiente para recordar cuando se llamaba Software Update Services (o SUS). Originalmente, implicaba una descarga separada; ahora es parte de Windows Server. Pero a lo largo de los años, Microsoft se ha alejado de un sistema de entrega de software local / basado en dominio y se ha movido hacia plataformas de parcheo alternativas como Intune  (ahora de Microsoft 365) y Windows Update for Business . Este último suena como una plataforma independiente; en realidad, es un grupo de políticas de grupo o claves de registro que le permiten establecer reglas para cuando Windows instalará actualizaciones.

La ventaja de Intune es para aquellos que han adoptado completamente el modelo de suscripción de Microsoft 365. Las estaciones de trabajo se pueden administrar y controlar mediante una consola en línea. Windows Update for Business es un compromiso híbrido: le brinda a un administrador suficientes controles de políticas de grupo para permitir que las estaciones de trabajo apliquen actualizaciones, pero poca información sobre la finalización y los problemas.

Y no olvidemos la optimización de la entrega de actualizaciones de Windows, que se basa en el concepto de actualización de Windows independiente, pero permite que las estaciones de trabajo obtengan fragmentos de código de actualización de otras estaciones de trabajo. Entonces, si la estación de trabajo A descarga el bit 1 y la estación de trabajo B descarga el bit 2, comparten ese código entre ellos sin tener que volver a Microsoft y descargar el mismo bit dos veces. Al principio tenía errores, muchos errores, y lo desactivé en mi red doméstica porque saturaba mi ancho de banda. Ahora se comporta mucho mejor, pero todavía no tiene una consola para informar .

Como parte de mi trabajo con Patchmanagement.org, a principios de este año les pregunté a los administradores de TI sobre Windows Server Update Services (WSUS). Mi objetivo era tener una idea de lo que pensaban sobre la función de parcheo para los servidores locales y ver si estaban contentos con WSUS en su estado actual. Algunos profesionales de TI sienten que Microsoft no ha estado agregando los recursos necesarios, sino que se ha centrado en nuevas opciones de parcheo, como Intune. (Un desarrollador externo, AJTEK, no solo proporciona información sobre la mejor manera de configurar WSUS , sino que también ofrece secuencias de comandos adicionales y de mantenimiento para mantener mejor WSUS).



La razón por la que quería hacer la encuesta era para familiarizarme con aquellos que usan la herramienta de parcheo de red original de Microsoft y si ven, como yo, que Microsoft parece centrarse en Windows Update para empresas e Intune en el futuro. 

Creo que debe haber algo que proporcione una vista de parcheo de un solo panel para los administradores que no esté tan vinculada a Intune. Con todos los cambios lanzados a TI durante la pandemia de COVID-19 de este año, nos estamos moviendo más rápido hacia las implementaciones en la nube, pero aún no estamos completamente allí. Ver a tantos administradores de WSUS decir que los servicios todavía satisfacen una necesidad, especialmente para las empresas que se preocupan por el presupuesto, me dice que la gente se quedará con lo que funciona por ahora, incluso si podría funcionar mejor. Eso es especialmente cierto con la economía aún en un estado precario (al igual que el gasto en TI).

La pandemia, con su cambio al trabajo remoto y hacer que los empleados usen cualquier computadora portátil que puedan encontrar, ha cambiado el panorama de los parches este año. Durante los primeros días, los administradores de TI tuvieron que pasar de parchear y controlar actualizaciones de forma centralizada a través de WSUS a parchear máquinas a través de una VPN. (Afortunadamente, Microsoft publicó una guía desde el principio sobre cómo configurar una VPN de túnel dividido para permitir que las estaciones de trabajo extraigan actualizaciones directamente desde Internet doméstico en lugar de a través de la conexión VPN ). Otros administradores están buscando opciones no solo para controlar las actualizaciones de Windows, sino también parches de terceros, también. 

Algunos administradores usan herramientas como Chocolatey , que se pueden usar para implementar y mantener aplicaciones de Windows 10. (La versión paga de la plataforma, Chocolatey para empresas , está más orientada a implementaciones empresariales). Otra plataforma que he visto utilizada para parchear y mantener aplicaciones, incluidos programas de terceros, es Ninite, en particular Ninite pro . Además de los parches de Windows, también puede proporcionar parches a otras aplicaciones en su red.

Está claro que este año nos ha obligado a repensar cómo configuramos y mantenemos nuestros ecosistemas de Windows. Ya no tenemos estaciones de trabajo atadas a un dominio detrás de un firewall parcheado por un mecanismo. En el futuro, no está claro si Microsoft proporcionará nuevas características o informes a su venerable plataforma de parches WSUS. Pero los usuarios quieren mejoras. Tampoco está claro si Microsoft planea invertir en ese tipo de mejoras o, en cambio, ve una fuerza laboral más móvil, más trabajo desde casa, más trabajo desde cualquier lugar. Si es lo último, los administradores podrían verse obligados a buscar herramientas nuevas y diferentes para parchear y mantener nuestras redes.

Publicar un comentario

0 Comentarios