Descripción de la administración de actualizaciones

  • 6 minutos

Las actualizaciones de Windows son una serie periódica de eventos. Pueden producirse rápidamente y con frecuencia cuando se trata de resolver errores de seguridad o vectores de ataque recién detectados. Las actualizaciones también tienen lugar de manera periódica en función de eventos como cambios en los controladores de los dispositivos o lanzamientos planeados de nuevas características del sistema.

El personal de soporte técnico de TI de Contoso es consciente de que no hay una hora establecida para que una actualización de seguridad urgente esté disponible y que, en muchos casos, es imperativo implementar este tipo de actualizaciones lo antes posible. Este enfoque se aplica tanto si el sistema es un host físico como una máquina virtual local o de Azure. El equipo de TI debe estar atento al revisar las actualizaciones de Windows en las máquinas virtuales de Azure.

Azure Automation y Update Management

Azure Automation ayuda a administrar las actualizaciones del sistema operativo de las máquinas virtuales de Azure que ejecutan el sistema operativo Windows. La característica Update Management es gratuita; el único costo es aquel que conlleva el almacenamiento de registros en Azure Log Analytics.

En la tabla siguiente se describe de qué forma las características de Update Management pueden ayudar con las actualizaciones de las máquinas virtuales de Azure.

Característica Cómo ayuda
Revisión del estado de las actualizaciones en las máquinas virtuales El servicio incluye una consola basada en la nube donde se puede revisar el estado de las actualizaciones en la organización de Azure y en una máquina virtual específica.
Configuración de grupos dinámicos de máquinas virtuales en el destino También permite definir una consulta basada en un grupo de equipos. Un grupo de equipos es un conjunto de equipos que se definen en función de otra consulta o que se importan desde otro origen, como WSUS o Microsoft Endpoint Configuration Manager.
Búsqueda en registros de Azure Monitor Update Management recopila registros procedentes de registros de Azure Monitor.

Para implementar Azure Update Management en un entorno híbrido, debe completar los siguientes pasos de alto nivel:

  1. Creación de una cuenta de Azure Automation
  2. Habilitar Update Management
  3. Incorporar los servidores locales
  4. Seleccionar las máquinas que se van a administrar
  5. Programar actualizaciones

Nota:

Estos pasos son los mismos para las máquinas virtuales y los servidores físicos locales, así como las máquinas virtuales de Azure que ejecutan Windows Server.

Interacción con Windows Update

Azure Automation Update Management se basa en el cliente de Windows Update para descargar e instalar las actualizaciones de Windows. Existen configuraciones específicas que usa el cliente de Windows Update al conectarse a WSUS o Windows Update. Puede administrar muchas de ellas mediante estas opciones:

  • Uso del Editor de directivas de grupo local
  • Uso de la directiva de grupo
  • Uso de Windows PowerShell
  • Edición directa del Registro

Update Management respeta muchas de las configuraciones especificadas para controlar el cliente de Windows Update.

Sugerencia

Si usa la configuración para habilitar las actualizaciones que no son de Windows, Update Management también administrará dichas actualizaciones.

Configuración de WSUS para administrar las actualizaciones

WSUS mejora la seguridad de los sistemas de Contoso al aplicar actualizaciones de seguridad a los productos de Microsoft y de terceros de manera puntual. Proporciona la infraestructura para descargar, probar y aprobar las actualizaciones de seguridad. Si aplica las actualizaciones de seguridad rápidamente, ayudará a evitar incidentes de seguridad derivados de vulnerabilidades conocidas. Cuando implemente WSUS, debe tener en cuenta los requisitos de hardware y software para WSUS, las opciones que se configurarán y las actualizaciones que se deben aprobar o eliminar según las necesidades de Contoso.

Update Management en Azure es compatible con la configuración de WSUS. Puede especificar orígenes para examinar y descargar actualizaciones mediante las instrucciones de Ubicación del servicio Microsoft Update en la intranet. De forma predeterminada, el cliente de Windows Update está configurado para descargar las actualizaciones desde Windows Update. Cuando se especifica un servidor de WSUS como origen para las máquinas, si las actualizaciones no se aprueban en WSUS, se produce un error en la implementación de la actualización.

Captura de pantalla del Editor de directivas de grupo en Windows. El administrador ha accedido a la carpeta Windows Update y ha configurado los valores Configurar Actualizaciones automáticas, Especificar la ubicación del servicio Microsoft Update en la intranet y No conectar con ninguna ubicación de Internet de Windows Update.

Sugerencia

Para restringir las máquinas al servicio de actualización interno, establezca No conectar a ubicaciones de Internet de Windows Update.