Una de las principales tareas de un administrador de WSUS (Windows Server Update Services) es gestionar la aprobación de las actualizaciones que se instalarán en los equipos y servidores Windows. En este artículo, le mostraremos cómo aprobar actualizaciones manualmente, configurar reglas de aprobación automática y rechazar actualizaciones asignadas mediante la consola de WSUS y PowerShell.
Configurar grupos de equipos de destino en WSUS
El servicio WSUS en Windows Server, una vez instalado y configurado, comienza a descargar periódicamente actualizaciones para productos seleccionados de los servidores de Microsoft Update. Antes de que las computadoras en su red puedan descargar e instalar nuevas actualizaciones, el administrador de WSUS debe aprobarlas (o rechazarlas).
Para organizar la prueba y la instalación de actualizaciones en servidores y equipos de dominio, un administrador de WSUS debe crear grupos de equipos de destino. Según las tareas comerciales, los tipos de estaciones de trabajo de los usuarios y los servidores, puede crear diferentes grupos de computadoras. En general, en la consola de WSUS en el Ordenadores -> Todas las computadoras sección, tiene sentido crear los siguientes grupos de equipos:
- Test_Srv_WSUS — un grupo de servidores de prueba (servidores no críticos para el negocio o servidores dedicados con el entorno de prueba idéntico al de producción);
- Test_Wks_WSUS — estaciones de trabajo de prueba;
- Prod_Srv_WSUS — servidores Windows de producción;
- Prod_Wks_WSUS — todas las estaciones de trabajo de los usuarios.
Puede agregar computadoras o servidores a grupos WSUS manualmente, o puede asignar computadoras y servidores a grupos WSUS usando el Habilitar la segmentación del lado del cliente Opción de directiva de grupo.
Después de crear grupos de WSUS, puede aprobar actualizaciones para ellos. Hay dos formas de aprobar las actualizaciones para su instalación en las computadoras: manual o automáticamente.
¿Cómo aprobar e implementar actualizaciones manualmente en WSUS?
Abra la consola de WSUS (Servicios de actualización) y seleccione el Actualizaciones sección. Muestra un informe resumido de todas las actualizaciones disponibles. Por defecto, hay 4 subsecciones: Todas las actualizaciones, Actualizaciones críticas, Actualizaciones de seguridad, y Actualizaciones de WSUS. Puede aprobar la instalación de la actualización específica buscándola en una de estas secciones (puede buscarla por nombre de KB en la consola de búsqueda de actualizaciones u ordenar las actualizaciones por fecha de lanzamiento).
Puede aplicar varios filtros en la consola de WSUS. Mostrar una lista de actualizaciones aún no aprobadas (use el filtro: Approval=Unapproved
, Status=Any
). Encuentre la actualización que necesita, haga clic derecho sobre ella y seleccione Aprobar del menú.
Puede seleccionar varias actualizaciones a la vez con las teclas CTRL y SHIFT.
Seleccione el grupo de equipos WSUS para el que desea aprobar la instalación de actualizaciones (por ejemplo, Test_Srv_WSUS). Seleccione Aprobar para instalar. Puede aprobar una actualización para todos los grupos de equipos a la vez seleccionando Todas las computadoras, o para cada grupo individualmente. Por ejemplo, puede aprobar la instalación de la actualización en un grupo de prueba y, después de 4 a 7 días, aprobarla en todas las computadoras si no hubo problemas.
Aparece una ventana con los resultados de la aprobación de la actualización. Si la actualización ha sido aprobada con éxito, el mensaje Resultado: Éxito será mostrado. Cierra esta ventana.
Como puede ver, así es como se aprueba manualmente una actualización específica. Esto lleva bastante tiempo ya que debe aprobar cada actualización individualmente. Si no desea aprobar manualmente las actualizaciones, puede crear una aprobación automática para las actualizaciones.
Configurar reglas de aprobación de actualizaciones automáticas en WSUS
La aprobación automática le permite aprobar nuevas actualizaciones que aparecieron en su servidor WSUS y asignarlas para su instalación en las computadoras de destino automáticamente sin la intervención del administrador. La aprobación automática de las actualizaciones de WSUS se basa en las reglas de aprobación.
En la consola de administración de WSUS, vaya a Opciones y seleccione Aprobaciones automáticas.
En la siguiente ventana, solo hay una regla con el nombre Regla de aprobación automática predeterminada (está deshabilitado por defecto) en el Reglas de actualización pestaña.
Para crear una nueva regla, haga clic en Nueva regla.
La regla de aprobación consta de 3 pasos. Debe seleccionar las propiedades de la actualización, el grupo objetivo de equipos WSUS en los que desea instalar la actualización y el nombre de la regla.
Si hace clic en un enlace azul, aparecerá la ventana de propiedades correspondiente.
Por ejemplo, puede habilitar la aprobación automática de actualizaciones de seguridad para sus servidores de prueba. Para hacer esto, seleccione Actualizaciones críticas, Actualizaciones de seguridad, Actualizaciones de definición por debajo Elija Actualizar clasificaciones sección (desmarque todas las demás opciones). A continuación, seleccione el grupo WSUS denominado Test_Srv_WSUS en el Aprobar la actualización para diálogo
los Establecer una fecha límite para la aprobación La opción le permite especificar si esta actualización debe instalarse a la fuerza en las computadoras de destino (independientemente de la configuración de Windows Update). En este caso, las computadoras se pueden reiniciar automáticamente independientemente de si la opción GPO ‘Sin reinicio automático con usuarios registrados para instalaciones de actualizaciones automáticas programadas‘ está habilitado.
Sobre el Avanzado pestaña, puede elegir si aprobar automáticamente las actualizaciones para el propio WSUS y si aprobar adicionalmente las actualizaciones que Microsoft ha cambiado. Se recomienda activar todas las casillas de esta pestaña.
Ahora, cuando su servidor WSUS descargue nuevas actualizaciones el próximo segundo martes del mes (o si las importa manualmente), se aprobarán y se instalarán automáticamente en el grupo de equipos de prueba.
De manera predeterminada, los clientes de Windows escanean su servidor WSUS en busca de nuevas actualizaciones cada 22 horas. Para asegurarse de que los dispositivos críticos reciban nuevas actualizaciones lo más rápido posible, puede aumentar la frecuencia de sincronización utilizando el Frecuencia de detección de actualización automática Parámetro de directiva de grupo (consulte el caso Error de WSUS: se superaron los viajes de ida y vuelta máximos del servidor). También puede buscar actualizaciones manualmente con el módulo PSWindowsUpdate PowerShell.
Una vez que haya instalado y probado las actualizaciones en sus grupos de computadoras de prueba y verificado que no haya problemas (por lo general, las pruebas demoran de 3 a 6 días), puede aprobar las nuevas actualizaciones en las computadoras de producción.
¿Cómo rechazar y eliminar actualizaciones en un servidor WSUS?
Si una de las actualizaciones aprobadas causó algún problema en las computadoras o servidores, un administrador de WSUS puede rechazarla. Para ello, busque la actualización en la consola de WSUS, haga clic con el botón derecho en ella y seleccione Rechazar.
Luego seleccione el grupo WSUS para el que desea cancelar la instalación y seleccione Aprobado para eliminación. Después de un tiempo, la actualización se eliminará en los clientes de WSUS (el proceso se describe con más detalle en el artículo «¿Cómo desinstalar las actualizaciones de Windows?»).
Aprobación de actualizaciones de WSUS con PowerShell
Puede usar PowerShell para administrar la aprobación de las actualizaciones de WSUS. Para conectarse al host WSUS desde la consola de PowerShell, puede usar el siguiente código:
$WsusServerFqdn='mont-wsus.woshub.com'
[void][reflection.assembly]::LoadWithPartialName( «Microsoft.UpdateServices.Administration)
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::getUpdateServer( $WsusServerFqdn, $False, '8530')
Ahora puede realizar varias operaciones en su servidor WSUS. Por ejemplo, para ejecutar la sincronización de actualizaciones:
$wsus.GetSubscription().StartSynchronization();
Lista de grupos de equipos WSUS:
$wsus.GetComputerTargetGroups()
Seleccione un grupo específico de computadoras:
$group = $wsus.GetComputerTargetGroups() | ? {$_.Name -eq "Test_WKS_WSUS"}
Puede utilizar el método GetUpdates para obtener una lista de las últimas actualizaciones. Por ejemplo, desea seleccionar las últimas actualizaciones de seguridad de Windows y Office en un intervalo de tiempo específico:
$updates = $wsus.GetUpdates() | ? {($_.CreationDate -gt "6/1/2022" -and $_.CreationDate -lt "7/1/2022" -and $_.Title -notmatch ".net Framework" -and $_.PublicationState -ne "Expired" ) -and ($_.ProductFamilyTitles -eq "Windows" -or $_.ProductFamilyTitles -eq "Office") -and ($_.UpdateClassificationTitle -eq "Security Updates" -or $_.UpdateClassificationTitle -eq "Critical Updates")}
Ahora puede aprobar las actualizaciones seleccionadas para su instalación en el grupo de WSUS especificado:
foreach ($update in $updates)
{
$update.Approve("Install",$group)
}
También puede utilizar el UpdateServices
módulo para administrar WSUS.
Por ejemplo, puede usar el siguiente script de PowerShell para aprobar las actualizaciones de seguridad más recientes para un grupo objetivo:
$data = (Get-Date).adddays(-30)
$wsus= Get-WSUSServer -Name wsusservername -Port 8530
Get-WsusUpdate -UpdateServer $wsus -Approval Unapproved -Status Needed
Get-WsusUpdate -Classification All -Approval Unapproved | Where-Object { ($_.Update.CreationDate -lt $data) -and ($_.update.isdeclined -ne $true) and {$_.update.title -ilike "*Windows*" -or $_.update.title -ilike "*Office*"} | | Approve-WsusUpdate -Action Install -TargetGroupName "Test_WKS_WSUS"
¿Cómo copiar actualizaciones aprobadas entre grupos de destino de WSUS?
Lamentablemente, no podrá copiar las actualizaciones aprobadas de un grupo de equipos de WSUS a otro mediante la consola de WSUS. Puede buscar nuevas actualizaciones una por una y aprobarlas manualmente para su instalación en grupos de producción de servidores y equipos. Lleva mucho tiempo.
Escribí un script de PowerShell simple que recopila una lista de actualizaciones aprobadas para el grupo de prueba y aprueba automáticamente las mismas actualizaciones para el grupo de equipos de producción. Ejecuto el script 7 días después de que se hayan instalado las actualizaciones en los grupos de prueba.
$WsusServerFqdn='mont-wsus.woshub.com'
$WsusSourceGroup = 'Workstation_Test'
$WsusTargetGroup = 'WorkstationProduction'
[void][reflection.assembly]::LoadWithPartialName( “Microsoft.UpdateServices.Administration”)
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::getUpdateServer( $WsusServerFqdn, $False, ‘8530’)
$Groups = $wsus.GetComputerTargetGroups()
$WsusSourceGroupObj = $Groups | Where {$_.Name -eq $WsusSourceGroup}
$WsusTargetGroupObj = $Groups | Where {$_.Name -eq $WsusTargetGroup}
$Updates = $wsus.GetUpdates()
$i = 0
ForEach ($Update in $Updates)
{
if ($Update.GetUpdateApprovals($WsusSourceGroupObj).Count -ne 0 -and $Update.GetUpdateApprovals($WsusTargetGroupObj).Count -eq 0)
{
$i ++
Write-Host (“Approving ” + $Update.Title)
$Update.Approve(‘Install’,$WsusTargetGroupObj) | Out-Null
}
}
Write-Output (“Approved {0} updates for target group {1}” -f $i, $WsusTargetGroup)
Este script de PowerShell recorre todas las actualizaciones aprobadas en el grupo WSUS de origen y aprueba la instalación si la actualización no se aprueba en el grupo de destino. Esta muestra registra las actualizaciones aprobadas directamente en la consola de PowerShell. Puede enviar el registro del script de PowerShell a un archivo de texto.
Artículos Interesantes
Contenido