Professional Documents
Culture Documents
SEGURIDAD
1. Requisitos previos
1
3.1. Actuación ante los comentarios de los usuarios
Cap2-01.jpg
2
Proceso de aplicación de revisiones. A los clientes les preocupa que la
experiencia de descubrir, aplicar y revertir las revisiones pierda
coherencia a través de los diversos tipos de productos y actualizaciones
de Microsoft. Hay demasiados programas diferentes de instalación de
revisiones, cada uno con capacidades y parámetros de uso distintos,
entre otras características que varían. Además, no hay una forma
coherente que permita instalar una revisión o actualización; por ejemplo,
no existe un conjunto congruente de opciones del Registro o archivos que
cambien, y en ningún lugar se indica qué actualizaciones o revisiones se
han instalado.
Herramientas para las revisiones. Otra tendencia de opinión es la
referente a los productos y herramientas de administración de revisiones.
Los comentarios de los clientes son categóricos: tenemos demasiadas
ofertas que se solapan, ninguna de ellas proporciona una funcionalidad
completa para la administración de revisiones ni es capaz de abarcar
todos los productos de Microsoft y no está claro qué criterios deben tener
en cuenta los clientes al elegir entre los productos.
Calidad de las revisiones. Los clientes afirman que la calidad de las
revisiones es deficiente en ocasiones, su tamaño a veces es
excesivamente grande, demasiadas requieren reiniciar el sistema tras su
instalación y se retiran bastantes revisiones.
Cap2-02.jpg
3
Microsoft estableció la iniciativa de administración de revisiones para
resolver la situación planteada con la administración de revisiones de
seguridad. Esta iniciativa está dirigida por un grupo de trabajo que abarca
varias divisiones y que cuenta con el apoyo de los niveles más altos de la
dirección ejecutiva de Microsoft.
Los siguientes son los objetivos de la iniciativa. Se observará que están
directamente relacionados con las tendencias de opinión de los clientes.
Los primeros objetivos tienen seguridad de sus entornos basados en
Windows. Se trata de proporcionar la información adecuada en el
momento oportuno y los niveles requeridos de orientación en lo que
respecta a recomendaciones y procesos, así como programas de
aprendizaje de los productos.
El segundo objetivo es mejorar drásticamente la experiencia de
administración de revisiones con el fin de mejorarla y hacerla más
coherente.
El tercer objetivo es mejorar radicalmente lo que se ve, haciendo todo lo
posible por garantizar que los clientes estén equipados adecuadamente
para administrar la calidad de las revisiones: las mejoras deben
observarse en la reducción de su tamaño, en no tener que reiniciar el
sistema al instalarlas y en retirar un número mínimo de revisiones, o
incluso ninguna.
Por último, la iniciativa se centra en la racionalización del conjunto de
ofertas de administración de revisiones con el objeto de proporcionar una
funcionalidad de administración de revisiones completa que abarque todo
el espectro de productos de Microsoft, reduzca el costo necesario para
conseguir una administración efectiva y permita que los productos de
terceros aprovechen la infraestructura básica de administración de
revisiones de Windows.
4
Cap2-03.jpg
Una estrategia de seguridad sirve para que una organización sea más
efectiva cuando los datos están protegidos por más de un nivel de
seguridad. La estrategia de seguridad de defensa con profundidad utiliza
varios niveles de protección. Si un nivel se ve comprometido, esa
infracción de la seguridad no pondrá en peligro a toda la organización.
Una estrategia de defensa con profundidad aumenta el riesgo de detectar
al intruso y disminuye la oportunidad de que tenga éxito.
Para reducir al máximo la posibilidad de que un ataque contra los
servidores de una organización alcance su objetivo, se tiene que
implementar el grado apropiado de defensa en cada nivel.
Además, se deben utilizar herramientas, tecnologías y directivas, y aplicar
las recomendaciones con el fin de proteger cada nivel. Por ejemplo:
• Nivel de directivas, procedimientos y conciencia: programas de
aprendizaje de seguridad para los usuarios.
• Nivel de seguridad física: guardias de seguridad, bloqueos y
dispositivos de seguimiento.
• Nivel de perímetro: servidores de seguridad de hardware y
software, redes privadas virtuales con procedimientos de
cuarentena.
• Nivel de red interna: segmentación de red, Seguridad de protocolo
Internet (IPSec) y sistemas de detección de intrusos de red (NIDS).
• Nivel de host: prácticas destinadas a reforzar los servidores y
clientes, herramientas de administración de revisiones, métodos
seguros de autenticación y sistemas de detección de intrusos
basados en hosts (HDIS).
5
• Nivel de aplicación: prácticas destinadas a reforzar las aplicaciones
y el software antivirus.
• Nivel de datos: listas de control de acceso (ACL) y cifrado.
6
Cap2-22.jpg
7
3.6. Terminología
8
4. Proceso de administración de revisiones
Cap2-04.jpg
9
2. Se desarrolla una revisión. A medida que se desarrolla y se prueba una
revisión, sólo Microsoft y quien ha informado de la vulnerabilidad saben
que existe.
• La revelación pública de los puntos vulnerables pone en riesgo a
todo el mundo.
• Si la vulnerabilidad se hiciera pública en este momento, los
intrusos tendrían la misma ventaja que Microsoft. Quienes
investigan de forma responsable sobre la seguridad, siempre han
sido conscientes de esto.
3. Se publica un boletín de seguridad y una revisión. La vulnerabilidad es
ahora de dominio público pero el mecanismo que se utiliza para
aprovecharla no lo es. Los posibles intrusos conocen ahora la
vulnerabilidad y la revisión se debe distribuir e instalar antes de que se
pueda utilizar para emprender un ataque.
4. La revisión es inversa al código. Una vez publicada la revisión, sólo es
cuestión de tiempo; el que se aplique ingeniería inversa al código y se
descubra el mecanismo para aprovecharla.
5. Se crea el gusano o el código del virus. En este momento, existe un
mecanismo de ataque pero aún no se ha lanzado.
6. El código del gusano o del virus se difunde. Una vez que se ha desatado
el virus o el gusano, los sistemas sin proteger o que no hayan aplicado la
revisión en forma rápida, se verán infectados.
• En ocasiones, los investigadores revelan información de la vulnerabilidad
antes de que Microsoft haya tenido oportunidad de desarrollar y probar
una revisión. Esto cambia la secuencia temporal para utilizar la
vulnerabilidad. En ese caso, otras medidas preventivas de defensa
ayudan a proteger el sistema. Por ejemplo, Microsoft publica consejos
para mitigar el riesgo lo antes posible cuando se hace pública una forma
de aprovechar una vulnerabilidad antes de que la revisión
correspondiente esté preparada.
• Para mejorar los estándares de tratamiento de puntos vulnerables,
Microsoft y otros proveedores de software han formado la organización
para la seguridad en Internet (Organization for Internet Safety), cuyo sitio
Web es http://www.oisafety.org (este sitio está en inglés).
• Su objetivo principal es ofrecer a sus clientes el mayor tiempo
posible para responder a nuevas vulnerabilidades.
• En su consecución se unen los proveedores y los investigadores
de las vulnerabilidades.
• Esta organización está desarrollando estándares para el
tratamiento de las vulnerabilidades.
10
4.2. Clasificaciones de gravedad de Microsoft
Cap2-05.jpg
El grupo de trabajo de Microsoft Security Response Center asigna una categoría
de gravedad a cada revisión publicada en un boletín de seguridad. Las
definiciones de las categorías son:
11
Cap2-06.jpg
12
revisiones son las más apropiadas. De este modo, puede ahorrar tiempo y
recortar los costos.
Cap2-07.jpg
13
• ¿Cómo va a enterarse que hay nuevas revisiones y correcciones
disponibles?.
• ¿Es realmente necesario aplicar una revisión particular en su
entorno?.
• ¿Cuál será la repercusión en todo el sistema de la instalación de
una revisión de seguridad en su entorno?.
• ¿Qué cambiará la revisión en realidad?.
• ¿Se puede desinstalar la revisión una vez instalada?.
• ¿Cuáles son las dependencias entre los componentes de su
entorno de producción y cómo afectará la aplicación de una
revisión a uno de esos componentes?.
• ¿Cómo evaluará el éxito de la instalación de una revisión?.
• ¿Qué escenarios tiene para restaurar un entorno en el que se ha
aplicado una revisión si debe llevar a cabo una operación de
recuperación ante un desastre?.
Cap2-08.jpg
14
del proceso de administración de revisiones. En cada paso del proceso,
intentar responder las preguntas siguientes:
Paso 1: evaluación
• ¿Hay alguna amenaza o vulnerabilidad en este momento en su
entorno?.
• ¿Ha cambiado algo en el sistema de producción?. Por ejemplo,
¿ha instalado sistemas operativos o aplicaciones nuevos, o ha
hecho cambios en la red o en la infraestructura de administración?.
• ¿Dispone de información de inventario actualizada y exacta?.
• ¿Puede permitir su infraestructura de administración la
administración de revisiones?.
Paso 2: identificación
• ¿Cómo se puede notificar que hay revisiones nuevas?.
• ¿Es una revisión relevante para su organización?.
• ¿En cuáles de los sistemas se debe aplicar una revisión?.
• ¿Es necesario aplicar una revisión en todos los sistemas con la
misma prioridad?.
• ¿Cuáles de los sistemas son más vulnerables?.
• ¿Se ha descargado la revisión?. Si es así, ¿está libre de virus?.
Paso 4: implementación
• ¿Se ha preparado el entorno de producción para las nuevas
revisiones?. Los administradores y usuarios tendrán que estar
informados del posible tiempo de inactividad. Quizás tenga que
ofrecer aprendizaje al departamento de soporte técnico. Tendrá
que comprobar los puntos de distribución para confirmar la
presencia de la revisión y de los archivos asociados.
• ¿Puede supervisar la distribución de revisiones, el progreso de la
comprobación y ocuparse de las excepciones?.
• ¿Dispone de estrategias para implementar las revisiones en los
clientes móviles y a través de conexiones lentas?. El tamaño de la
15
revisión puede constituir un problema significativo. Las opciones
para evitar este problema pueden incluir obligar a los clientes
móviles a pasarse por la oficina o distribuir la revisión a través de la
red.
Cap2-09.jpg
http://www.microsoft.com/latam/technet/seguridad/
16
introducción acerca de la administración de revisiones para fines
relacionados con la seguridad.
• La segunda parte está orientada a los profesionales de tecnología
de la información responsables de la implementación de una
solución de administración de revisiones de seguridad que van a
tener que establecer un proceso apropiado para ello.
Cap2-10.jpg
17
• Si usted es un usuario independiente, Windows Update es la elección
lógica.
• Si es un cliente de una pequeña compañía, las opciones que debe utilizar
son Windows Update y SUS. Si dispone al menos de un servidor de
Microsoft Windows y un administrador de IT capacitado, debería elegir
SUS. De lo contrario, utilice Windows Update.
• Si pertenece a una compañía grande o mediana, SUS y SMS son las
opciones lógicas. Si necesita una solución de administración de
revisiones sencilla aunque algo limitada, elija SUS. Si desea una
distribución de software completa que incluya funciones de administración
de revisiones, elija SMS.
• Nota: SUS sólo se puede utilizar para actualizar Windows 2000, Windows
XP y Windows Server 2003; no puede utilizarse en versiones anteriores
de Windows. Debería utilizar Windows Update o procesos manuales para
el resto de sistemas operativos no enumerados anteriormente y para las
aplicaciones.
Cap2-11.jpg
18
La solución de administración de revisiones para los usuarios
independientes y pequeñas compañías se basa en los consejos de Microsoft del
sitio Web “Proteja su PC” (Protect your PC, en inglés):
• Estos consejos deben aplicarse en equipos domésticos y de pequeñas
compañías que no dispongan de servidores de Microsoft Windows. Para
mejorar la seguridad del equipo, se aconseja seguir tres pasos.
• Para dar ejemplo, los profesionales de IT deben aplicar los consejos en
los equipos que utilicen en su propio hogar.
• Compruebe que todos los usuarios que conoce sepan que existe el sitio
Web Protect your PC y sigan los consejos que recomienda.
Cap2-12.jpg
19
• Luego el código de cliente busca los metadatos (de forma segura con
SSL) en el servidor de Windows Update para obtener la lista de
actualizaciones aplicables.
• Tenga en cuenta que el intercambio de metadatos sobre SSL
también incluye un valor hash para validar la integridad de la
revisión.
20
Cap2-13.jpg
21
• Le notifica que hay actualizaciones nuevas para instalar; después,
puede revisarlas y seleccionar las que desee.
6. Actualizaciones automáticas actualiza el archivo de historial de
instalaciones en el equipo cliente una vez realizada la instalación.
• La descarga y las estadísticas de instalación se envían al servidor del sitio
de Windows Update.
• Nota: no se recopila ninguna información de identificación personal. Para
obtener información detallada, consulte
http://v4.windowsupdate.microsoft.com/es/about.asp#privacypolicy
o De forma automática
Abra Sistema en el Panel de control.
Seleccione "Mantener mi equipo al día".
En la ficha Actualizaciones automáticas, haga clic en la opción que
desee:
Notificarme antes de descargar cualquier actualización y volver a
notificarme antes de que se instalen en mi equipo.
Descargar automáticamente las actualizaciones y notificarme
cuando estén listas para instalar.
Descargar automáticamente las actualizaciones e instalarlas en la
fecha y hora especificadas.
Nota: los administradores también pueden configurar
Actualizaciones automáticas de forma centralizada mediante directivas
de grupo.
o De forma manual
Vaya a http://windowsupdate.microsoft.com, o seleccione Windows
Update en el menú Inicio.
22
el icono (o en el mensaje), puede seleccionar las actualizaciones
específicas que desea descargar. Windows descarga entonces en
segundo plano las actualizaciones seleccionadas. Cuando la descarga
se completa, el icono aparece de nuevo en el área de notificación,
esta vez para notificarle que las actualizaciones de su equipo ya están
listas para instalarse. A continuación, puede seleccionar las
actualizaciones específicas que desea instalar en su equipo.
• Descargar automáticamente las actualizaciones y notificarme
cuando estén listas para instalar:
Windows busca en el sitio Web de Windows Update las
actualizaciones que se pueden aplicar en su equipo y las descarga en
segundo plano. Durante este proceso no se le notifica ninguna acción
ni se le interrumpe. Cuando la descarga se completa, aparece un
icono en el área de notificación con un mensaje que indica que las
actualizaciones para su equipo están listas para ser instaladas. Para
ver e instalar las actualizaciones disponibles, haga clic en el icono o
en el mensaje. A continuación, puede seleccionar las actualizaciones
específicas que desea instalar en su equipo.
• Descargar automáticamente las actualizaciones e instalarlas en la
fecha y hora especificadas:
Configure los días y horas en que desea que Windows instale las
actualizaciones. Windows busca en el sitio Web de Windows Update
las actualizaciones que se pueden aplicar en su equipo y las descarga
automáticamente en segundo plano. Durante este proceso no se le
notifica ninguna acción ni se le interrumpe. Cuando finaliza la
descarga, aparece un mensaje en el área de notificación para que
pueda revisar las actualizaciones que están programadas para
instalarse. Si elige no instalarlas en ese momento, Windows inicia la
instalación según el programa establecido. Algunas actualizaciones
pueden requerir que el equipo se reinicie para completar la instalación.
Si tiene iniciada una sesión en el equipo, el sistema lo notifica y le
ofrece la opción de posponer el reinicio. Asegúrese de guardar su
trabajo antes del momento programado para la instalación.
Nota: los administradores pueden configurar de forma centralizada
Actualizaciones automáticas a través de directivas de grupo si se
implementan Active Directory y Directiva de grupo.
Si elige la opción de actualización manual, debe revisar las
actualizaciones que se descargan e instalan.
o Windows Update:
24
proporciona servicio. (Para obtener información detallada sobre esto,
consulte la declaración de privacidad de Microsoft Office Online en
http://office.microsoft.com/o/privacy.aspx).
• Todas las revisiones de seguridad de Office están disponibles en formato
de diferencias de código binario (sólo tienen los bits que cambian) o en
versiones de archivos completos. Los cambios de las diferencias del
código binario requieren el producto original de la instalación para
completar el proceso de actualización; sin embargo, Windows Installer 3.0
ya no exigirá este requisito con respecto a los archivos originales.
• Las versiones de archivos completos de las revisiones son mucho más
grandes porque contienen todos los archivos que han cambiado, no sólo
las diferencias. Sin embargo, no requieren los archivos originales si se
instalaron con Windows Installer 2.0 ó una versión posterior. Las
revisiones de archivos completos se pueden descargar desde el kit de
recursos de Office en el sitio http://www.microsoft.com/office/ork (este sitio
está en inglés).
25
5.9 Solución de administración de revisiones
26
• Internet Explorer (IE) 5.01 y versiones posteriores.
• Microsoft Exchange Server 5.5, Exchange 2000.
• Reproductor de Windows Media 6.4 y versiones posteriores.
• Configuraciones del sistema:
• Windows NT 4.0, Windows 2000, Windows Server 2003,
Windows XP.
• IIS 4.0, IIS 5.0, IIS 6.0.
• SQL 7.0, SQL 2000.
• Internet Explorer 5.01 y versiones posteriores.
• Office 2000, Office XP.
Cap2-14.jpg
27
• El archivo MSSecure.xml contiene:
• Nombres de los boletines de seguridad.
• Actualizaciones específicas de productos.
• Información de versiones y suma de comprobación.
• Claves del Registro que han cambiado.
• Números de artículos de Microsoft Knowledge Base (Base
de conocimiento).
3. MBSA examina los sistemas de destino para detectar los sistemas
operativos, sus componentes y las aplicaciones.
4. MBSA analiza el archivo MSSecure.xml para comprobar si hay
actualizaciones disponibles.
5. MBSA comprueba el sistema para ver si faltan las actualizaciones
necesarias.
6. MBSA genera un informe con una marca de tiempo en el que se
enumeran las actualizaciones que faltan en el sistema.
28
Las notas y advertencias se siguen mostrando de forma
predeterminada.
o Detección de HFNetChk (mbsacli.exe /hf)
Utiliza –sum.
Se realizan las comprobaciones de la suma de
comprobación.
Las notas y advertencias se siguen mostrando de forma
predeterminada.
29
Cap2-15.jpg
30
hay más de una revisión para un único producto destinado a un
sistema operativo en particular. La última es una limitación del
esquema de Mssecure.xml:
• Por ejemplo, Microsoft DirectX®9.0 para Windows
2000, WindowsXP o Windows Server™2003 para
MS03-030.
• Por ejemplo, una versión de una revisión de Internet
Explorer 5.01 para Windows 2000 que es diferente de
la correspondiente a Windows XP.
• MBSA sólo comprueba una clave del Registro para determinar si la
revisión se ha instalado. Por ejemplo, hay una clave del Registro
común para cada versión de Ntdll.dll en MS03-007, mientras que la
versión de archivo y las sumas de comprobación son diferentes.
• No hay datos de revisiones para las actualizaciones que no son de
seguridad. Cuando una actualización que no es de seguridad se
instala y sobrescribe los archivos de otra revisión que se aplicó
anteriormente en una actualización de seguridad previa, MBSA
marca los archivos originales como vulnerables. Si la versión o
suma de comprobación del archivo no coincide exactamente con la
que se encuentra en Mssecure.xml, se considera vulnerable.
Cap2-16.jpg
31
• Las ventajas principales de los Servicios de actualización de software de
Microsoft (SUS) son:
• Proporciona a los administradores control sobre la administración
de revisiones en su organización.
• Es fácil de usar.
• Es una oferta gratuita de Microsoft.
• SUS permite a los administradores controlar las revisiones (cuando
se utiliza junto con una directiva de grupo que restrinja el acceso
de los usuarios a Windows Update). Automatiza la descarga y la
instalación de las revisiones una vez que se ha aprobado.
• SUS también es fácil de implementar y constituye una solución efectiva
para la administración de revisiones en casi todos los casos: siempre y
cuando sus limitaciones en cuanto a los sistemas operativos que admite,
el contenido compatible, el grado de control y la ausencia de información
integrada impidan que no se tenga en consideración.
• Nota: la herramienta SUS no requiere la implementación de Microsoft
Active Directory® ni de Directiva de grupo.
Cap2-17.jpg
32
1. El servidor primario de SUS descarga del sitio de Windows Update los
metadatos de las nuevas actualizaciones, así como las propias
actualizaciones.
• Nota: SUS mantiene registros de aprobación y estadísticas de
descargas, sincronizaciones e instalaciones.
2. Los administradores revisan las nuevas actualizaciones y aprueban las
correspondientes una vez finalizadas las pruebas necesarias.
• SUS mantiene registros de descargas y de aprobación en el
servidor de estadísticas (IIS).
3. Se distribuye a todos los servidores SUS secundarios información de las
actualizaciones aprobadas, por ejemplo, para determinar si la
actualización se va a instalar.
4. Actualizaciones automáticas establece contacto en el equipo cliente con
el servidor SUS para determinar si hay alguna actualización que se haya
aprobado recientemente. Si es así, obtiene la información de los
metadatos correspondiente a la actualización y comprueba si ya se ha
instalado.
5. Si las actualizaciones no se han instalado todavía, Actualizaciones
automáticas descarga automáticamente las que faltan o notifica al usuario
que faltan actualizaciones (según la configuración) y le pide permiso para
descargarlas.
• Para sistemas de destino donde Actualizaciones automáticas esté
configurado para extraer las actualizaciones de un servidor SUS,
descarga las aprobadas del servidor SUS especificado.
• Para los sistemas de destino donde Actualizaciones automáticas
esté configurado para extraer las actualizaciones de Windows
Update, descarga las actualizaciones correspondientes desde allí.
Actualizaciones automáticas comprueba las firmas digitales de las
actualizaciones descargadas para asegurarse de su autenticidad e
integridad.
6. Dependiendo de la configuración de Actualizaciones automáticas, se
instalan automáticamente las actualizaciones o se notifica al usuario que
están disponibles y, a continuación, se permite al usuario revisar y
seleccionar las que desea que se instalen y cuándo desea instalarlas.
7. En el paso final, Actualizaciones automáticas registra en el historial el
éxito o el fracaso de la instalación de las actualizaciones en los equipos
de destino.
33
Se puede configurar de forma centralizada para conseguir las
actualizaciones del servidor SUS corporativo o del servicio
Windows Update.
34
• SUS proporciona una interfaz de usuario administrativa para permitir el
control de las diversas opciones de configuración, descarga y aprobación
de las actualizaciones. Puede utilizar la interfaz de usuario para:
• Especificar el servidor y las opciones de configuración del proceso
de actualización.
• Ver las actualizaciones descargadas.
• Aprobar las actualizaciones y ver las que se han aprobado.
• SUS integra diversas opciones de seguridad predeterminadas:
• Para todo el contenido descargado por SUS, el origen y el
contenido de las actualizaciones descargadas se comprueba con
las firmas digitales.
• Todas las comunicaciones de SUS tienen lugar sobre HTTP y, por
lo tanto, es necesario abrir el puerto 80.
• Se puede realizar la administración de forma segura mediante
SSL.
• SUS requiere NTFS (New Technology File System o Sistema de
archivos de nueva tecnología).
• SUS instala las utilidades URLScan y Bloqueo de seguridad de IIS
(si aún no están instaladas).
Aunque SUS no contiene características de elaboración de informes, registra el
estado de las descargas y las instalaciones en formato XML en un servidor Web.
Puede revisar los registros o emplear una utilidad de elaboración de informes
que exporte la información a una base de datos y genere un informe.
• Puede encontrar una utilidad que proporcione esta capacidad en
www.susserver.com/Software/SUSreporting (este sitio está en
inglés). Microsoft no ha evaluado esta utilidad y no la recomienda
ni ofrece soporte técnico para la misma. Sin embargo, informa a
sus clientes de su disponibilidad para que puedan evaluarla por sí
mismos.
• SUS admite implementaciones distribuidas geográficamente o que se
amplían al agregar más elementos, con una administración centralizada
de la sincronización de contenido y de las aprobaciones.
• La interfaz de SUS está localizada en inglés y japonés. Sin embargo,
ofrece actualizaciones para los idiomas de los 24 clientes admitidos.
35
mbsacli.exe /hf /sus http://miservidorsus
Servidor SUS:
Cliente SUS:
36
Configure Actualizaciones automáticas en el cliente para utilizar el
servidor SUS.
37
• SUS admite sólo algunos sistemas operativos y tipos de contenido,
un control limitado y carece de herramientas de informes
integradas.
• SUS permite realizar de forma centralizada un registro del estado
de la instalación de las revisiones en un servidor Web, pero no
incluye informes predefinidos.
• Puede utilizar varios servidores SUS con el fin de proporcionar diferentes
conjuntos de actualizaciones aprobadas para grupos de equipos cliente.
Por ejemplo, si utiliza dos servidores SUS:
• El primer servidor entrega todas las actualizaciones a un
grupo de usuarios de prueba.
• El segundo servidor proporciona las actualizaciones al resto
de los equipos una vez que se han probado en el grupo de
pruebas y, a continuación, han sido aprobadas.
38
Permite probar y ensayar las actualizaciones antes
de instalarlas.
Posibilita un control más refinado de las opciones
de administración de revisiones.
Automatiza aspectos clave del proceso de administración de
revisiones.
Puede actualizar una amplia variedad de productos
de Microsoft (no se limita sólo a Windows y Office).
También se puede utilizar para actualizar software de terceros e
implementar e instalar cualquier actualización de software o
aplicación.
Ofrece un alto grado de flexibilidad gracias al uso
de secuencias de comandos.
39
5.24 SMS: funcionamiento
Cap2-18.jpg
40
del componente de detección, de la configuración de la programación del
agente de inventario de hardware y de la carga del servidor del sitio.
4. Debe ejecutar el Asistente para distribuir actualizaciones de software con el
fin de ver, evaluar y autorizar las actualizaciones de software aplicables a
partir de los datos del inventario de actualizaciones de software.
5. El asistente descarga los archivos de origen para la actualización de
software especificada desde el sitio Web del Centro de descarga de
Microsoft. A continuación, almacena el archivo de origen en la carpeta
compartida de origen del paquete.
• Los paquetes, programas y anuncios necesarios se crean ahora o
se actualizan para distribuir las actualizaciones de software a los
clientes SMS.
• El Asistente para distribuir actualizaciones de software anexa un
programa de SMS que contiene comandos para ejecutar el Agente
de instalación de actualizaciones de software en cada paquete que
crea o actualiza.
• Por último, los paquetes de actualización de software se replican
en los puntos de distribución de su sitio y los programas se
anuncian a sus clientes.
6. El Agente de instalación de actualizaciones de software se ejecuta en sus
clientes e implementa las actualizaciones de software. Ejecuta el
componente de detección para asegurarse de que sólo instala las
actualizaciones de software que se requieren realmente.
7. El componente de sincronización busca en el sitio Web del Centro de
descarga de Microsoft las actualizaciones para el componente de detección
y el software actualiza el catálogo. Ésta es una actividad periódica: se
realiza semanalmente de forma predeterminada.
• El componente de sincronización descarga estas nuevas
actualizaciones y actualiza los paquetes, programas y anuncios
asociados con el componente de detección.
• El paquete del componente de detección actualizado y el anuncio
se distribuyen en los equipos cliente SMS de destino.
41
Inserta mbsacli.exe en cada cliente para realizar una
detección local (mbsacli.exe/hf).
Haga clic con el botón secundario del mouse (ratón) en Todos los
equipos con Windows XP y seleccione Todas las tareas y
Distribuir software.
software
42
3. Haga clic con el botón secundario del mouse (ratón) en Todos los
equipos con Windows XP y seleccione Todas las tareas y
Distribuir software.
4. Cree un paquete y un programa nuevos.
5. Examine la revisión que se va a implementar.
6. Configure opciones para determinar cómo y cuándo se debe
implementar la revisión en el cliente.
5.28 Recomendaciones
43
Cap2-19.jpg
44
Cap2-20.jpg
6. Estrategia futura
45
En este tema del orden del día, se describirá la estrategia futura.
Específicamente, se tratará:
Cap2-21.jpg
46
• La normalización del manifiesto de detección de revisiones y
actualizaciones.
• Las mejoras de Agregar o quitar programas, incluido el uso de
títulos estándar a través de Agregar o quitar programas, Windows
Update y Centro de descarga.
• La publicación de la versión siguiente de Microsoft Windows
Installer (MSI 3.0), que permitirá:
• Revertir o desinstalar las revisiones.
• Mejorar la optimización del ancho de banda de red.
• Una reducción de hasta el 90% en el tamaño de las
revisiones, gracias a las tecnologías de aplicación de
revisiones con diferencias del código binario.
• La convergencia en dos programas de instalación: uno para
el sistema operativo y sus componentes (update.exe) y el
otro para las aplicaciones (MSI).
• Calidad de las revisiones. Los hitos clave son:
• Una reducción mayor del tamaño de las revisiones hasta alcanzar
el 90% sobre el tamaño promedio en el primer trimestre de 2003.
• La ampliación de esta reducción del 90% a todos los tipos de
revisiones proporcionadas a través de Windows Update o Microsoft
Update, SUS y SMS.
• Una reducción del 10% en los reinicios del sistema para las
actualizaciones que se obtienen a través de Windows Update.
• La capacidad de Windows Update, SUS, SMS y el programa de
instalación de HotFix para consolidar varios reinicios en uno solo
cuando se instalan varias revisiones.
• Se espera lograr una mayor reducción, de al menos un 30%, en el
número de revisiones para los sistemas operativos que requieren
reiniciarse mediante el uso de una técnica conocida como
HotPatching (revisiones en memoria), una nueva tecnología que se
presentará en el Service Pack 1 de Microsoft Windows Server
2003. Está previsto extender esta capacidad a otras versiones de
sistemas operativos además de Windows Server 2003 SP1.
47
MBSA 2.0 (segundo trimestre de 2004).
La detección forma ahora parte de SUS 2.0 / Microsoft
Update.
SUS
SUS 2.0 (segundo trimestre de 2004).
Agrega capacidades de elaboración de informes,
especialización y secuencias de comandos administrativas.
Una sola infraestructura para la administración de revisiones.
Admite más productos de Microsoft.
Paquete de características de administración de actualizaciones
de SMS 2003 (segundo semestre de 2004).
Utiliza SUS para la detección y descarga de actualizaciones.
Utiliza el cliente SUS (Actualizaciones automáticas) para las
instalaciones.
A más largo plazo (calendario Longhorn).
SUS se integra en Windows y admite todo el software de
Microsoft.
La infraestructura de SUS puede ser utilizada por terceros.
48
significativa la optimización del ancho de banda a través del uso del
Servicio de transferencia inteligente en segundo plano (BITS, Background
Intelligent Transfer Service) y permitirá a las tecnologías de compresión
de diferencias de código binario reducir drásticamente el tamaño de las
descargas de actualizaciones. Con SUS 2.0, podrá disponer de
información de conjunto y de resúmenes del estado de la implementación
de actualizaciones y sucesos gracias a la utilización de informes estándar.
También dispondrá de la capacidad de crear informes personalizados con
consultas SQL.
• SMS. Después de la publicación de SUS 2.0, SMS se actualizará para
que utilice la funcionalidad de SUS a través del paquete de características
de administración de actualizaciones de SMS 2003, cuya publicación está
prevista para el segundo trimestre de 2004. Este paquete de
características utilizará SUS para la detección y la descarga de
revisiones, y el cliente SUS (Actualizaciones automáticas) para las
instalaciones.
49
Ejercicio 2. Uso de Microsoft Baseline Security Analyzer
8. Pasos siguientes
50
Para informar de una posible vulnerabilidad, envíe un mensaje
de correo electrónico a Secure@microsoft.com
Servicio de notificación de Microsoft Security.
http://www.microsoft.com/technet/security/bulletin/notify.asp
(este sitio está en inglés).
Advertencia: Microsoft nunca distribuye software a través del correo
electrónico, consulte:
http://www.microsoft.com/technet/security/policy/swdist.asp (este sitio
está en inglés).
51