Llegamos a ustedes gracias a:



Reportajes y análisis

Revise sus opciones de gestión de parches de Microsoft

[11/11/2022] Tiene varias opciones para gestionar los parches en las redes de Microsoft: dejar que los equipos se actualicen de forma independiente o utilizar una herramienta de parches de terceros, Windows Software Update Services (WSUS) u otro producto de gestión de Microsoft. Si todavía utiliza WSUS como su herramienta clave de aplicación de parches, es posible que desee revisar sus opciones. Microsoft está desarrollando otras herramientas de aplicación de parches que le permitirán gestionar mejor los sistemas y controlar el acceso administrativo.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

¿Está WSUS en vías de desaparecer?

Microsoft ha mantenido durante mucho tiempo el statu quo de WSUS, su producto de parcheo local. Sigue dando soporte a WSUS, pero no parece que Microsoft vaya a realizar nuevas inversiones en la plataforma. Por ejemplo, si su servidor WSUS falla al sincronizar, desactive la categoría de Windows "Windows Insider Dev Channel". La selección de esta categoría crea un mensaje de error durante la sincronización. Microsoft es consciente del problema, pero no ha dado ningún plazo estimado para solucionarlo. WSUS no se ha actualizado en años. Si está considerando utilizar WSUS como su plataforma de parches, presupueste una suscripción a WSUS Automated Maintenance, que incluye scripts y rutinas para optimizar WSUS.

¿Qué está haciendo Microsoft para mejorar la gestión de parches? Después de la pandemia, muchos de nosotros cambiamos a implementaciones híbridas, y tuvimos que manejar la gestión de parches tanto en las instalaciones como en los sistemas remotos. Al intentar aplicar parches a los sistemas híbridos, todo el tráfico de Microsoft 365 pasaba por la VPN. Microsoft emitió recomendaciones relativas a la tunelización dividida para permitir que el tráfico de parches atraviese la conexión de la red local mientras se mantienen los controles y las aprobaciones.

Windows Update para empresas

Está claro que necesitamos más opciones para controlar el parcheo con un enfoque en la nube. Microsoft ha estado trabajando en opciones que permitan un mayor control sin tener que depender de un servidor local. En primer lugar, Microsoft introdujo Windows Update for Business. Se trata de un grupo de configuraciones de directivas de grupo que permiten establecer controles para la actualización sin utilizar WSUS, pero carecía de informes, hasta hace poco.

Actualmente en vista previa, los informes de Windows Update for Business tienen algunos requisitos. En primer lugar, sus sistemas deben cumplir los siguientes requisitos:

  • Debe tener una suscripción a Azure con Azure Active Directory (Azure AD).
  • Los dispositivos deben estar unidos a Azure AD y cumplir con los requisitos de acceso al sistema operativo, al diagnóstico y al punto final.
  • Los dispositivos pueden estar unidos a Azure AD o ser híbridos con Azure AD.
  • Los dispositivos que solo están registrados en Azure AD (unidos en el lugar de trabajo) no son compatibles con los informes de Windows Update for Business.
  • El espacio de trabajo de Log Analytics debe estar en una región compatible.

Windows Update for Business Reports no es compatible con los dispositivos que solo están registrados en Azure AD (Workplace joined).

Para inscribirse en Windows Update para informes de empresa, vaya al centro de administración de Microsoft 365, edite los ajustes de configuración, muestre y edite el libro de trabajo y vea la ficha de Windows en la página de actualizaciones de software. Revise en esa consola si sus dispositivos están al día en sus implementaciones de Microsoft 365, y luego desde ahí puedes inscribirse en la sección de informes en "Windows".

Mi red de prueba tiene un sistema que está desactualizado.
Actualizar Windows, sistemas operativos

Haga clic en "Windows" y luego en "Configurar ajustes". Elija una suscripción a Azure, y configure un espacio de trabajo de Log Analytics para los informes. Los informes tardarán aproximadamente 24 horas en comenzar.

Configuración de análisis de registros en Windows Update para informes empresariales.
Actualizar Windows, sistemas operativos

Autoparche de Windows

Microsoft dispone de otro servicio de gestión de parches para quienes tengan una suscripción E3 o E5. Como señala Microsoft, "Windows Autopatch es un servicio que elimina la necesidad de que las organizaciones planifiquen y operen el proceso de actualización. Windows Autopatch traslada la carga de su departamento de TI a Microsoft. Windows Autopatch utiliza Windows Update for Business y otros componentes del servicio para actualizar los dispositivos. Ambos forman parte de Windows Enterprise E3". Al igual que los prerrequisitos de los informes de Windows Update for Business, necesitará máquinas que tengan una unión de Azure AD pura o una unión de AD híbrida para participar.

Los prerrequisitos incluyen:

  • Versiones soportadas de Windows 10/11 Enterprise y Professional edition
  • Azure Active Directory (Azure AD) Premium
  • Solo unión híbrida de Azure AD o unión de Azure AD
  • Una versión compatible de Configuration Manager
  • Cambie las cargas de trabajo para la configuración de dispositivos, Windows Update y Microsoft 365 Apps de Configuration Manager a Intune (mínimo Pilot Intune). La colección piloto debe contener los dispositivos que desea registrar en Autopatch.

A continuación, las versiones se despliegan gradualmente en función de los "anillos" que se seleccionan automáticamente, desde el anillo de pruebas hasta el anillo de versiones amplias durante un período de 14 días.

Gestión de privilegios de puntos finales de Microsoft

Las actualizaciones de Windows y Office no son los únicos parches de seguridad de los que debe preocuparse. En una red típica, a menudo se utilizan herramientas de control remoto, de puntos finales y antivirus, y de gestión de controladores. Todas estas herramientas suponen un riesgo para la red si no se mantienen actualizadas. Aunque los dispositivos Surface de Microsoft ofrecen sus controladores desde la experiencia de Windows Update, no se puede decir lo mismo de otros dispositivos. Mantener estas aplicaciones actualizadas requiere herramientas de despliegue o funciones administrativas.

Microsoft presentará herramientas de gestión más avanzadas en las próximas incorporaciones a Intune. Un nuevo servicio llamado Endpoint Privilege Management permitirá a los administradores automatizar y gestionar cuándo una aplicación necesita acceso administrativo. Se podrán establecer reglas para que los usuarios puedan realizar tareas como la instalación y actualización de aplicaciones, impresoras u otros dispositivos aprobados. Se prevé que estas herramientas salgan a la luz en marzo del 2023.