Actualizaciones de SO
Los dispositivos conectados tienen el desafío de las nuevas amenazas de seguridad y las actualizaciones son una herramienta esencial para abordar esto.
El Centro de respuestas de seguridad de Microsoft (MSRC) forma parte de la comunidad de Defender y está en la primera línea de evolución de respuestas de seguridad. La misión del MSRC es proteger a los clientes para que no se vean perjudicados por las vulnerabilidades de seguridad de los productos y servicios de Microsoft. Al compilar tu solución con Windows IoT Enterprise, tienes el compromiso del Centro de respuestas de seguridad de Microsoft respecto a la seguridad. Revisa su Guía de actualización de seguridad para asegurarte de que tus dispositivos están actualizados y protegidos.
Ventaja de Windows Update:
- Mantiene el dispositivo actualizado con las actualizaciones críticas de software de seguridad
- Uso de la infraestructura probada y escalable de Microsoft
- Los propietarios de dispositivos pueden administrar y controlar fácilmente las actualizaciones.
Windows IoT Enterprise ofrece la capacidad de administrar y controlar las actualizaciones según los requisitos de dispositivo y organización.
Control de las actualizaciones de Windows
Una de las solicitudes más comunes de los partners de dispositivos se centra en controlar las actualizaciones automáticas en los dispositivos Windows IoT Enterprise. La naturaleza de los dispositivos IoT es tal que las interrupciones inesperadas, a través de algo como una actualización no planeada, pueden crear una mala experiencia de dispositivo.
Preguntas que debe hacer al considerar cómo controlar las actualizaciones de Windows:
- ¿El escenario del dispositivo es tal que cualquier interrupción del flujo de trabajo es inaceptable?
- ¿Cómo se validan las actualizaciones antes de la implementación?
- ¿Cuál es la experiencia del usuario de la actualización en el propio dispositivo?
Si tienes un dispositivo en el que la interrupción de la experiencia del usuario no es aceptable, deberías considerar la posibilidad de limitar las actualizaciones solo a determinadas horas, deshabilitar las actualizaciones automáticas o implementar las actualizaciones manualmente o a través de una solución de administración de dispositivos controlada por terceros.
Limitación de los arranques de las actualizaciones
Puede usar la directiva de grupo de horas activas, MDM o la configuración de registro para limitar las actualizaciones solo a determinadas horas.
- Abre el editor de directivas de grupo (gpedit.msc) y navega hasta
Windows 10: Computer Configuration\Administrative Templates\Windows Components\Windows Update
Windows 11: Computer Configuration\Administrative Templates\Windows Components\Windows Update\Manage end user experience
y abre la configuración de directiva Desactivar el reinicio automático para las actualizaciones durante las horas activas. Habilite la directiva para poder configurar el inicio y el final de las horas activas. - Configure la hora de Inicio y Finalización en la ventana Horas activas. Por ejemplo, configure las horas activas para que comiencen a las 4:00 a.m. y a finalicen a las 2:00 a. m. Esto permite que el sistema se arranque a partir de las actualizaciones entre las 2:00 a. m. y las 4:00 a. m.
Desactivación de las actualizaciones automáticas de Windows
La seguridad y la estabilidad son el núcleo de un proyecto de IoT exitoso y Windows Update proporciona actualizaciones para garantizar que Windows IoT Enterprise tenga las actualizaciones de seguridad y estabilidad aplicables más recientes. Sin embargo, es posible que tenga un escenario de dispositivo en el que la actualización de Windows tenga que controlarse manualmente por completo. Para este tipo de escenario, se recomienda desactivar la actualización automática mediante Windows Update. En versiones anteriores de Windows, los partners de dispositivos podían detener y desactivar el servicio Windows Update, pero este ya no es el método admitido para deshabilitar las actualizaciones automáticas. Windows tiene una serie de directivas que le permiten configurar las actualizaciones de Windows de varias maneras.
Para desactivar por completo la actualización automática de Windows con Windows Update.
Abre el editor de directivas de grupo (gpedit.msc) y navega hasta
Windows 10: Computer Configuration\Administrative Templates\Windows Components\Windows update\Configure Automatic Updates.
Windows 11: Computer Configuration\Administrative Templates\Windows Components\Windows Update\Manage end user experience\Configure Automatic Updates.Establezca explícitamente la directiva en Deshabilitada. Cuando esta opción se establece en Deshabilitado, las actualizaciones disponibles de Windows Update deben descargarse e instalarse manualmente, lo que puede hacer en la aplicación Configuración en Actualización y seguridad > Windows Update.
Desactivación del acceso a la experiencia del usuario de Windows Update
En algunos escenarios, la configuración de actualizaciones automáticas no es suficiente para conservar una experiencia de dispositivo deseada. Por ejemplo, es posible que un usuario final todavía tenga acceso a la configuración de Windows Update, lo que permitiría actualizaciones manuales a través de Windows Update. Puede configurar la directiva de grupo para prohibir el acceso a Windows Update mediante la configuración.
Para prohibir el acceso a Windows Update:
- Abre el editor de directivas de grupo (gpedit.msc) y navega hasta
Windows 10: Configuración del equipo\Plantilla administrativas\Componentes de Windows\Windows Update\Quitar el acceso para usar todas las funciones de Windows Update.
Windows 11: Configuración del equipo\Plantillas administrativas\Componentes de Windows\Windows Update\Administrar la experiencia del usuario final\Quitar el acceso para usar todas las características de Windows Update.
2. Establece esta directiva en Habilitado para evitar que los usuarios usen la opción "Buscar actualizaciones". Nota: Los exámenes de actualizaciones en segundo plano, las descargas y las instalaciones seguirán funcionando según lo configurado. Esta directiva simplemente impide que el usuario acceda a la comprobación manual a través de la configuración. Sigue los pasos de la sección anterior para deshabilitar también exploraciones, descargas e instalaciones.
Importante
Asegúrate de tener una estrategia de mantenimiento bien diseñada para el dispositivo. Al deshabilitar las funciones de Windows Update, el dispositivo queda en un estado vulnerable si no se actualiza de otra manera.
Desactivar completamente las actualizaciones de Windows
Puedes configurar Windows Update de varias maneras. Como norma general, los dispositivos IoT requieren una atención especial a la estrategia de mantenimiento y administración que se usará en ellos. Si tu estrategia de mantenimiento consiste en deshabilitar todas las funciones de Windows Update, tienes dos soluciones posibles. Puedes desactivar las actualizaciones mediante Directiva de grupo o a través de Registro.
Nota:
Al establecer esta directiva, también dejará de realizar actualizaciones de otras máquinas de la red local. Para confirmar este funcionamiento, también puedes desactivar Optimización de distribución, que es el subsistema para obtener actualizaciones de otros usuarios de la red local.