Implementación del servicio WinSUS en un servidor con Windows Server 2022

 ¿ Que es un WSUS ?

 Es un rol para sistemas operativos Windows Server que nos ayuda a los administradores disponer de un sistema centralizado de actualizaciones para todos los equipos dentro de nuestra empresa estos equipos tienen que estar dentro de nuestro dominio.

Con el rol de WSUS intalado en un servidor es posible gestionar completamente la distribución de las últimas actualizaciones publicadas por Microsoft para todos sus productos, así como de los parches de seguridad más recientes, algo que muchos administradores pasan por alto y no dan importancia, y ahora en estos tiempos donde los ataques a empresa son mas comunes se le debe tener una importancia alta el tener los equipos informaticos de la empresa en optimas condiciones.

Cabe destacar que WSUS solamente está destinado para productos de Microsoft, por lo que no se podrá utilizar para instalar actualizaciones de terceros ( Adobe, Java, Android, Antivirus, etc).

En definitiva, WSUS nos permitirá ahorrar tiempo y mejorar la seguridad de la red.

¿Cómo funciona WSUS?

Una vez implementado el rol en el servidor, WSUS descargará desde los servidores de Microsoft todas las actualizaciones que haya disponible en función de los productos que hayamos configurado en su instalación, en la imagen anterior podemos ver cómo distribuye las actualizaciones entre los equipos vinculados al Active Directory.

Beneficios de WSUS:

• Optimizar el ancho de banda de Internet, solo un equipo realizara la descarga de las actualizaciones.
• Descargas solo las actualizaciones que tu creas que son necesarias para los equipos de tu red
• Puedes realizar pruebas de las actualizaciones en un equipo para determinar si la quieres aprobar o rechazar
• Los administradores del sistema pueden configurar WSUS para apruebe automáticamente ciertas clases de actualizaciones y las instale, sin necesidad de estar frente al equipo.

Pasos a seguir para su instalación

Antes de empezar con la instalación, me gustaría comentaros que Microsoft recomienda no instalar WSUS en el controlador de dominio, si tienes varios servidores para que no tengais problemas lo mejor instalarlo en un servidor que no sea controlador de dominio.

https://docs.microsoft.com/es-es/windows-server/administration/windows-server-update-services/plan/plan-your-wsus-deployment

1. Abrimos el Administrador del servidor
2. Debemos agregar el rol, nos vamos a Administrar –> Agregar roles y características.

3. Marcamos para instalar el rol “Windows Server Update Services”, ubicado en la parte inferior.

4. Nos aparecerá una ventana con las características requeridas que debemos de agregar, marcamos también la casilla “Incluir herramientas de administración (si es aplicable)”.

5. En la siguiente ventana, añadimos características de .NET Framework 3.5 y sus posteriores versiones, esto lo usaremos para generar reportes desde la consola de WSUS.

6. En los servicios del rol, marcaremos las 2 primeras, si disponemos de base de datos SQL, es recomendado marcarla también, pues podremos trabajar mejor desde PowerShell.

7. Lo siguiente es configurar el disco donde se van a descargar las actualizaciones de los distintos sistemas a actualizar, este disco tiene que ser un disco libre con formato NTFS y con un mínimo de espacio de 6GB, como yo estoy visualizando  lo que hago es añadir un disco de 20 GB.

8. Y esperamos a que termine de acabar de instalar el rol de Windows Server Update Services .

9. Tenemos que tener en cuenta, es posible que haya que configurar alguna regla en el firewall para permitir que los equipos se conecten, de momento no vamos a cambiar nada, pero si posteriormente tenemos problemas para que los equipos se conecten, sabemos que puede ser por el firewall.

10. El siguiente paso es elegir el servidor de actualizaciones, tenemos 2 opciones, sincronizar con los servidores de Microsoft Update o sincronizar con otro servidor de Windows Server Update Services, como es el primero y único que tendremos, dejamos marcada la primera opción.

11. Todo preparado, iniciamos la conexión, este paso tarda asi que no te desesperes

12. El paso de elegir idiomas, aquí marcamos los que necesitemos, por ejemplo, si tenemos un Windows o versión de Office con otro idioma, marcamos los que correspondan, por defecto dejaría marcado siempre Inglés.

13. Tenemos que tener cuidado con este paso, es importante marcar sólo los productos necesarios que queremos actualizar de manera desatendida, por ejemplo, si marcamos actualización de SQL o drivers, podemos tener después problemas de compatibilidad con software de terceros, ese tipo de actualizaciones es mejor hacerlas de manera manual, yo solamente marcaré actualizacions de Windows 10 y Windows 11.

15. Nuestro propósito con Windows Server Update Services es mantener actualizados los sistemas en cuanto a parches de seguridad y actualizaciones críticas, sólo dejaré estas opciones marcadas.

No tiene mucho sentido que tengamos que sincronizar WSUS con los servidores de Microsoft Update de manera manual, ya que nos interesa que este servicio sea lo más desatentido posbile, por lo tanto, lo configuraré para que actualice todos los días a las 3 de la madrugrada, esa hora la he elegido para no saturar la red en caso que descargue actualizaciones.

16. En el último paso del asistente de configuración, nos indica algunas configuraciones recomendadas, sería interesante implementar SSL, pero eso lo dejaremos para más adelante

17. Al iniciar Windows Server Update Services veremos lo siguiente, vamos a realizar una sincronización manual, de momento no veremos ningún equipo, ya que falta configurar las politicas y despues aplicar estas politicas en los equipos por no hacer el video muy largo lo realizaremos en proximas entegas.

Autor/a: Luis Antonio Orellana Barre

Curso: Administración de Sistemas MultiCloud Azure y AWS

Centro: Tajamar

Año académico: 2021-2022

• LinkedIn