A medida que más empleados trabajan desde casa, Windows Update for Business proporciona una forma más sencilla de actualizar los terminales de Windows con los últimos parches
Windows Server Update Services (WSUS) es un componente de Windows Server. WSUS se instala como una función de servidor y puede implementar una sola instancia. O se puede configurar en una topología distribuida para servir a los puntos finales que están separados en diferentes redes o ubicaciones físicas.
Los servidores WSUS se pueden configurar en diferentes jerarquías, donde WSUS recibe actualizaciones desde servidores ascendentes o directamente desde Internet. WSUS es una solución flexible que permite a las organizaciones dar servicio a miles de puntos finales, muchos más de los que podría manejar una sola instancia. WSUS también se integra con Microsoft Endpoint Manager, anteriormente System Center Configuration Manager (SCCM), donde se encarga de actualizar los puntos finales.
WSUS es complejo de implementar y mantener
Pero con toda la flexibilidad que proporciona WSUS, incluida la posibilidad de aprobar actualizaciones individuales, existen muchas advertencias. La primera es la complejidad. Incluso si implementa una única instancia de WSUS, existen algunas prácticas recomendadas que debe seguir para asegurarse de que WSUS sea seguro.
Las comunicaciones entre los puntos finales y WSUS, y entre los servidores de descarga y de subida de WSUS, no están protegidas mediante HTTPS de forma predeterminada. Cada servidor WSUS debe configurarse para aplicar el cifrado Secure Sockets Layer (SSL) / Transport Layer Security (TLS) y usar HTTPS.
La configuración de WSUS para usar HTTPS ayuda a proteger los puntos finales del compromiso remoto y la posibilidad de que un pirata informático eleve los privilegios. Pero los requisitos previos para configurar WSUS para usar HTTPS son muchos. Primero, necesita obtener un certificado. Eso podría significar configurar su propia infraestructura de clave pública (PKI), lo cual no es trivial.
Una vez que se ha instalado un certificado, debe vincularse en Internet Information Services (IIS) a 5 aplicaciones diferentes. Luego, WSUS se puede configurar para usar HTTPS mediante el comando wsusutil configuressl . Y, por último, los puntos finales deben configurarse para requerir HTTPS, lo que significa actualizar la configuración de la política de grupo para que los puntos finales se conecten mediante HTTPS en el puerto correcto.
Como puede ver, existe un requisito importante de infraestructura local incluso cuando tiene una sola instancia de WSUS. Y lo que creo que debería ser el clavo en el ataúd de WSUS para la mayoría de las organizaciones es que el software simplemente está desactualizado y es antiguo. Apenas se ha actualizado en los últimos 8 años. Y todavía usa SQL 2012 y Report Viewer 2012. WSUS se basa en Internet Explorer y se sabe que la configuración de IIS causa problemas.
Windows Update para empresas
A Microsoft no parece importarle mucho llevar WSUS al mundo moderno. Y eso se debe a Windows Update for Business (WUfB). Si bien WUfB no permite que las organizaciones aprueben actualizaciones individuales como WSUS, si se configura correctamente mediante anillos de implementación , puede proporcionar suficiente control sin todos los dolores de cabeza asociados con WSUS.
Como escribí antes en Petri, WUfB se controla mediante una serie de configuraciones de directiva de grupo o administración de dispositivos móviles (MDM) en Windows 10. WUfB es el mecanismo de actualización preferido de Microsoft y permite a las organizaciones controlar cómo se aplican las actualizaciones de calidad y características a dispositivos. Utiliza una tecnología peer-to-peer, llamada Optimización de entrega, para distribuir actualizaciones.
Debido a que no se requiere una infraestructura local para usar WUfB, las organizaciones pueden reducir costos y mejorar la seguridad porque todo está configurado para ser seguro desde el primer momento. Si bien WSUS también puede usar la Optimización de entrega, WUfB se basa en él como un mecanismo para distribuir actualizaciones sin saturar el ancho de banda de la red.
Delivery Optimization utiliza una red de pares para distribuir actualizaciones a los puntos finales. Por lo tanto, en lugar de que cada punto final se comunique con los servidores de actualización de Internet de Microsoft para obtener actualizaciones aprobadas, una vez que un solo par ha descargado una actualización, otros pares pueden extraer los bits de los puntos finales en la misma red o Internet. La Optimización de entrega se puede configurar para restringir los dispositivos para que extraigan bits de actualización de los pares en la red local únicamente.
Supervisión de actualizaciones de Windows
Si implementa WUfB con Microsoft Intune, el centro de administración de Microsoft Endpoint Manager ahora incluye informes para que pueda verificar el cumplimiento de los endpoints. Tal como está, la generación de informes en Intune es bastante básica, pero Microsoft está trabajando para expandir rápidamente las capacidades de generación de informes. Fuera de Intune, Update Compliance , que puede encontrar en el mercado de Azure, es la mejor manera de administrar los informes de WUfB.
WUfB frente a WSUS
Windows Update para empresas está diseñado para que sea fácil de implementar, seguro y para brindar servicio a los puntos finales independientemente de dónde se encuentren. Dado que Windows no necesita ponerse en contacto con una instancia de WSUS detrás de un firewall corporativo, WUfB se presta a situaciones en las que los dispositivos pasan más tiempo fuera de la oficina.
Configurar Microsoft Endpoint Manager para dar servicio a los puntos finales de Internet es más complicado porque requiere colocar servidores en la DMZ o usar Microsoft Cloud Management Gateway. Si desea utilizar WUfB con otras soluciones de administración, eso no es un problema. WUfB se integra con WSUS. Y Microsoft Endpoint Manager puede diferenciar entre equipos administrados mediante WSUS y WUfB.
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
