Implementando WSUS

Publicado por Leonardo Ojedael

Antes que nada, seguramente mas de uno se preguntará, ¿Qué es WSUS?, básicamente, WSUS (Windows Server Update Services) es un rol para sistemas operativos Windows Server que permite a los Administradores disponer de un sistema centralizado de actualizaciones para todos los equipos dentro de nuestra empresa/dominio.

A través de WSUS es posible gestionar completamente la distribución de las últimas actualizaciones publicadas por Microsoft para todos sus productos, así como de los parches de seguridad más recientes, algo que muchos administradores pasan por alto y no dan importancia.

Cabe destacar que WSUS solamente está destinado para productos de Microsoft, por lo que no se podrá utilizar para instalar actualizaciones de terceros (Java, Adobe, Antivirus, etc).

En definitiva, WSUS nos permitirá ahorrar tiempo y mejorar tanto la seguridad de la red como el ancho de banda consumido dado que estaremos actualizando nuestros equipos desde un solo lugar y no se estarán conectando todos contra Windows Update generando un consumo innecesario de Internet.

Luego de una breve introducción empecemos con la instalacion del ROL

Antes de empezar con la instalación, me gustaría comentarles que Microsoft recomienda no instalar WSUS en el controlador de dominio, en la práctica puedo decirles que no he tenido ningún problema hasta el momento en este aspecto, pero, si disponen de varios servidores intenten instalarlo en uno que no sea controlador de dominio.
Les adjunto el link de Microsoft sobre las buenas practicas AQUI

El equipo que utilizaré para el WSUS cuenta con las siguientes caracteristicas:

Procesador: x4 vCores

Memoria: 6GB

DiscoC: 50GB SO

DiscoD: 300GB para DB de WSUS

Placa de Red: LAN (solamente necesitamos conexión con el dominio y obviamente que tenga salida a Internet)

  • Para empezar, abriremos el Server Manager->Add Roles->Next->Role based or Feature based installation->Seleccionamos nuestro Server->y elegiremos el Rol Windows Server Update Services:

  • Daremos click en Add Features y luego click en Next:

  • No necesitamos agregar ninguna feature para el rol, asi que daremos click en Next:

  • Como es normal, nos da un breve resumen de la funcion del Rol, daremos click en Next:

  • Por omision nos deja tildados dos servicios necesarios, uno es el WID Connectivity el cual sirve para que podamos vincular nuestro WSUS con una base de SQL Server si así lo desearamos. El otro Servicio es propiamente para iniciar el WSUS, en este caso yo no usaré una DB de SQL Server, asi que solo dejaré tildado los dos primeros y daré click en Next:

  • El siguiente paso, es declarar la ubicación para la DB del WSUS (lo haremos en el disco D), marcamos la ubicación y daremos click en Next:

  • Es necesario instalar el rol de IIS, así que daremos click en Next (luego de leer para que sirve el rol en el caso de que no supiéramos 🙂

  • No necesitamos agregar nada mas a lo que ya tenemos tildado por default, así que daremos click en Next:

  • El próximo paso ya es instalar, no es necesario tildar la opcion de restart, así que daremos click en Install:

  • Una vez que finalice, daremos click en Close:

  • Finalizada la instalación del rol, iremos a Inicio y en la barra de busqueda pondremos WSUS, luego abriremos el rol:

  • Lo primero con lo que nos encontramos, es con el Wizard de configuración, daremos click en Next:

  • El proximo paso será sincronizar desde Microsoft Update (también nos da la posibilidad de sincronizar desde otro WSUS si fuera el caso de que el servidor nuevo fuera una replica, pero como no es el escenario lo haremos directo desde Microsoft Update) luego daremos click en Next:

  • En el caso de que utilicemos Proxy para navegar hacia internet, debemos ponerlo, como no es nuestro caso, daremos click en Next:

  • Iniciaremos la conexion contra Microsoft Update dando click en Start Connecting:

  • Finalizada la conexión, daremos click en Next:

  • Es importante que de entrada seleccionemos bien los idiomas de los productos que vamos a descargar (si bien despues se puede modificar es mejor hacerlo bien de entrada), en mi caso seleccionaré Ingles y Español, luego daremos click en Next:

  • El proximo paso es elegir los productos que vamos a descargar, obviamente es a decision de cada uno en base a los requisitos que tengan en su empresa, en mi caso (no se llega a ver en la imagen) pero seleccione Windows 10, Windows Server 2019, Windows Server 2016 y Exchange Server 2016, una vez que tengamos los productos deseados, daremos click en Next:

  • Con lo que respecta a la clasificación, las esenciales y necesarias son las Criticas y las de Seguridad, las otras son propia elección de cada uno, una vez marcadas las que queremos, daremos click en Next:

  • Con respecto a la sincronizacion, yo seleccioné de que se realice todos los dias a las 17:00hs, pero, en un entorno de producción, el horario va a depender propiamente de cuando les parezca mas apropiado, normalmente se hace fuera del horario productivo. Una vez que tengamos esto decidido, daremos click en Next:

  • Podríamos iniciar la sincronización directamente al finalizar el Wizard, pero como voy a aplicar una política de equipos sobre el WSUS, pienso hacerlo una vez terminado eso, sin embargo ustedes pueden realizarlo al finalizar el Wizard, daremos click en Next:

  • Al finalizar la configuración básica, nos saldrán una serie de opciones, como configurar SSL, crear grupos de equipos, asignar equipos por Directivas, reglas de aprobación, daremos click en Finish:

  • El proximo paso será configurar para que los equipos se asignen por GPO, para ello iremos a Options->Computers-> y aquí tildamos “Use Group Policy or registry settings on computers, luego daremos click en Ok para confirmar:

  • En las primeras opciones si desplegamos Computers, vemos que tenemos una por default que se llama “Unassigned Computers”, lo que haremos será crear nuestro Grupo para diferenciar las PCs, en mi caso crearé dos, uno para Servidores y otro para Equipos (Workstation), así que daremos click derecho sobre Computers->Add Computer Group:

  • El proximo paso (es algo que muchos no hacen pero para mi es importante) es configurar las reglas de aprobación automaticas, para ello iremos a Options->Automatic Approvals y procederemos a crear una nueva regla, en mi caso marqué para que las Actualizaciones Criticas y de Seguridad se aprueben automaticamente para los grupos de Equipos y Servidores:

  • Nuestro ultimo paso será configurar en nuestro Controlador de Dominio la GPO para que los equipos se asignen automáticamente a los grupos que declaramos en el WSUS, las opciones las dejaré marcadas mas abajo, pero básicamente lo que se tiene que declarar SI o SI es:
  • Location del WSUS (en el caso de que agreguen certificado SSL no deberá ser http, si no que deberá ser https) sumado a que deben agregarle el puerto por default del WSUS que es el 8530
  • Configure Automatic Updates, esto es esencial para saber el comportamiento de las actualizaciones en los equipos, aquí hay varias opciones, yo en este caso voy a utilizar la 3ra que es descargar y notificar para instalar, pero también podrían usar la 4ta opción.
  • La frecuencia de deteccion de las actualizaciones automaticas, yo configuré con un intervalo de 1 hora, pero lo pueden hacer con un tiempo mayor.
  • El client Side Targeting, es lo que les va a permitir que los equipos afectados por la GPO se agreguen al grupo que ustedes declararon en el WSUS (el nombre tiene que ser exactamente IGUAL al del WSUS):

  • Cabe aclarar que hice DOS GPO, una para Servidores y otra para Equipos.

Eso es todo por ahora, con estas configuraciones podrán tener su WSUS funcional y sus equipos de la empresa actualizados.

 

!Saludos!

 

 

 

 

Deja una respuesta