Gestion Parches

12
Gestión de parches y actualizaciones en sistemas Microsoft

description

Gestion de parches

Transcript of Gestion Parches

  • Gestin de parches y actualizacionesen sistemasMicrosoft

  • 3Se llama gestin de par-ches al proceso de identi-ficacin, descarga, verifica-cin y distribucin de actuali-zaciones para los sistemasoperativos y las aplicaciones.Estas actualizaciones sonanexos al cdigo original deun sistema informtico quesolucionan problemas conoci-dos, relacionados normal-mente con la seguridad. A simple vista la gestin deactualizaciones puede pare-cer una tarea trivial. Lo ciertoes que, cuando debemos res-ponsabilizarnos de la admi-nistracin de una cierta canti-dad de equipos, la tarea dedeterminar qu parches ha-cen falta en cada entorno con-creto y ms tarde descargar-los y aplicarlos se convierteen un verdadero desafo. Ca-da equipo o servidor puededisponer de cualquiera de lasmltiples combinaciones desistemas operativos, progra-mas y versiones de stos. Laaplicacin de una actualiza-cin inadecuada en un equipoo, en el otro extremo, la omi-sin de alguna actualizacincrtica, puede comprometer laseguridad de toda una organi-zacin. En contra de lo que sepiensa con frecuencia, actua-lizar un sistema no consistesimplemente en la sustitucinde ciertos archivos por otrosms nuevos que corrigen unproblema. En realidad hayque tener en cuenta las inter-acciones con otro softwareexistente en el sistema (Inter-net Explorer, MSXML, compo-nentes de acceso a datos) ylas versiones de estos ele-mentos. Para mayor compli-cacin suele ocurrir que cier-tos archivos poseen una fe-cha de creacin ms reciente

    que aquellos a los que su-puestamente van a sustituir,pero estos ltimos disponensin embargo de un nmero deversin ms antiguo (o al con-trario). Esto provoca un con-flicto a la hora de decidir.La reciente proliferacin deproductos especializados enestos menesteres y que stostengan una buena aceptacincomercial es buena prueba deesta dificultad e importancia.Microsoft por su parte ha veni-do haciendo grandes esfuer-zos durante los ltimos mesespara facilitar a sus usuarios laardua tarea de mantenerseactualizados. Las principaleslneas de accin que han se-guido pasan por mejorar la ca-lidad de las actualizaciones,ser ms activos a la hora deinformar a los usuarios, ade-ms de proporcionar cada vezmejores herramientas para elcontrol y aplicacin de las ac-tualizaciones.Segn Microsoft la calidad delas actualizaciones de sus pro-ductos se ha mejorado gra-cias a una mayor sintona ycomunicacin entre los dife-rentes grupos de desarrollo,as como a travs del uso deuna nomenclatura ms clara yuna estandarizacin en losprocesos de creacin de par-ches (el lector interesado pue-de encontrar informacin de-

    tallada sobre este proceso deestandarizacin en el artculoStandarizing the patch expe-rience, ubicado en [www.mi-crosoft.com/technet/security/topics/patch/STDPATEX.asp]).Como muchos lectores segu-ramente habrn observado,ltimamente se reciben notifi-caciones de nuevas actualiza-ciones con mucha ms fre-cuencia. Ello se debe a queMicrosoft ha tratado tambinde reducir el tiempo que pasaentre la aparicin de una vul-nerabilidad y la liberacin dela correspondiente solucin.

    WINDOWS UPDATEComo es de sobra conocido,existe un servicio de actualiza-cin automtica basado enWeb que se llama WindowsUpdate. El servicio se encuen-tra ubicado en [windowsupdate.microsoft.com]. Su utilidades la de ofrecer todo tipo deactualizaciones crticas parasistemas operativos Windows.Est pensado para el uso des-de un equipo individual. Elusuario se conecta a WindowsUpdate (motu propio o inad-vertidamente gracias al siste-ma de actualizacin automti-ca) y el servicio analiza el siste-ma operativo para determinarqu nuevas actualizaciones esnecesario descargar para man-tenerlo en plena forma.

    Seguridad en sistemas MicrosoftGestin de parches y actualizaciones en sistemas Microsoft

    La gran proliferacin de las amenazas que acechan a los sistemas infor-

    mticos (virus, gusanos, crackers) unida a la ubicua conectividad que es

    habitual hoy en da, han hecho que la correcta actualizacin de los siste-

    mas en las empresas se haya convertido en un factor crtico de su segu-

    ridad. Este artculo describe las estrategias y productos que Microsoft po-

    ne a nuestra disposicin para abarcar tan rdua tarea.

    Los equiposcomprueban aintervalos aleatorios laexistencia deactualizacionesen el servidorSUS.

  • Las descargas a travs deWindows Update proporcio-nan elementos de actualiza-cin para el sistema operativoy sus principales componen-tes (Internet Explorer, DirectX,etc) e incluyen todos losparches de seguridad quevan apareciendo, actualiza-ciones de controladores dedispositivo, nuevas versionesde aplicaciones de base, co-rrecciones de errores funcio-nales graves del sistema, etcEl hecho de estar incluido deserie en el sistema operativo yque funciona sin necesidadde intervencin del usuarioson sus principales ventajas. Este servicio, si bien se tratade una gran ayuda para man-tener la seguridad de sistemasaislados, no est diseado pa-ra la prctica diaria de los ad-ministradores de sistemas.

    MICROSOFT SOFTWARE UPDATE SERVICESPara dar respuesta a las nece-sidades empresariales, Micro-soft ofrece el producto Micro-soft Software Update Serviceso Microsoft SUS. Al igual queWindows Update, SUS permi-te la descarga automtica,distribucin e instalacin deactualizaciones crticas y par-ches de seguridad desde sis-temas Windows 2000, Win-dows XP y Windows Server2003 (no soporta los demssistemas operativos de la ca-

    sa). Sin embargo esta descar-ga se lleva a cabo directa-mente desde nuestro propioservidor SUS en la red local oWAN de la empresa, no desdelos servidores de Microsoft. Este producto gratuito nospermite disponer de nuestroservicio Windows Update in-terno y evita parte de los pro-blemas antes mencionados.Los usuarios sin acceso a In-ternet podrn actualizarse detodos modos contra el servicioSUS interno. Pero el productono se queda slo en eso sinoque travs de la interfaz degestin del servicio obtendre-mos un elevado control admi-nistrativo sobre la manera enque los clientes se actualizan,qu parches se ponen a dis-posicin de los usuarios, etcAunque no se dispone de uninventario de actualizacionesinstaladas en las mquinascontroladas por MSUS.La arquitectura de SUS constabsicamente de dos compo-nentes: el servidor y los clien-tes. El componente de servi-dor se instala sobre InternetInformation Services 5.0 o su-perior y realiza las entregas dearchivos hacia los clientes utili-zando el servicio de transfe-rencia de archivos (BITS, Back-ground Intelligent Transfer Ser-vice). BITS viene incluido conIIS. Permite la parada y reanu-dacin de las descargas y utili-za nicamente el ancho de

    banda libre en un momentodeterminado para no interferiren las comunicaciones, ba-sndose en el planificador decalidad del servicio (QOS Pac-ket Scheduler). El servicioSUS se puede gestionar vaWeb desde cualquier lugar ypor lo tanto es muy cmodopara los administradores.El mdulo de cliente de SUSes un pequeo componente(alrededor de 1 MB de tama-o) que debe existir en losclientes y cuya misin es co-nectarse con el servidor ycomprobar, descargar e ins-talar las actualizaciones quelos administradores hayanpublicado. Est incluido conWindows XP SP1, Windows2000 SP3 y Windows Server2003 por lo que su distribu-cin no es problemtica enabsoluto (lo normal es que to-dos los equipos lo tengan ya).Este mdulo de cliente sepuede configurar de forma re-mota en cada una de las m-quinas que lo usan, mediantedirectivas de grupo (gracias alos archivos .adm que vienenincluidos con SUS) o tocandodirectamente los parmetrosde funcionamiento en el regis-tro de configuraciones de ca-da ordenador. En la configu-racin se selecciona el servi-dor desde el que se descar-garn las actualizaciones, y lafrecuencia con la que se ac-tualizarn los equipos.El funcionamiento de este sis-tema es sencillo tal y como seilustra en la Figura 2. El servi-dor SUS descarga las ltimasactualizaciones del sistemaoperativo (en los idiomas denuestro inters) desde los ser-vidores de Windows Update.El administrador del servidorSUS puede probar las actuali-zaciones y, cuando lo creaconveniente, autorizar la des-carga de aquellas que creaadecuadas distribuyndolasen la Intranet. Los ordenado-res de la red, usando el clientede actualizacin, descargan

    los parches publicados enSUS aplicando las correspon-dientes actualizaciones. Unavez instaladas stas notificanal servidor SUS, va HTTP, quela instalacin se ha realizadocon xito y guardan el eventoen el registro de sucesos delsistema operativo (ello permitellevar un control bsico sobresi se las actualizaciones se es-tn produciendo tal y como seesperaba). Las actualizacionesque requieren reinicio se llevana cabo todas juntas para quelos equipos cliente slo tenganque reiniciarse en una ocasin.

    CAPACIDAD DE SERVICIODE MICROSOFT SUSUna caracterstica interesantedel sistema de trabajo de estasolucin es que los clientescomprueban a intervalos alea-torios la existencia de actuali-zaciones en el servidor SUS.En los parmetros de configu-racin del cliente se fija cadacunto tiempo se deben ac-tualizar los equipos. Ello se re-fiere a la instalacin de las ac-tualizaciones, pero no especi-fica cundo se deben descar-gar stas. Debido a ello, unequipo que se actualice contrael servidor SUS puede conec-tarse a ste para comprobar laexistencia de actualizacionesen cualquier momento antesde la prxima actualizacinprogramada. El momento en elque se hace la comprobaciny la correspondiente descargade actualizaciones (en caso dehaberlas) se escoge de mane-ra aleatoria para posterior-mente aplicarlas en el momen-to convenido. Este intervalo enel que se produce la compro-bacin, aunque aleatorio, sesita entre 17 y 22 horas. Esdecir, en cada equipo la insta-lacin de las posibles actuali-zaciones se realiza a una de-terminada hora, pero la des-carga de stas se habr pro-ducido en un momento anteriorescogido al azar. La importan-cia de este mecanismo reside

    4

    FIGURA 1: Windows Update permite a los clientes finales la descarga directa de Internet de actualizaciones crticas del sistema operativo

  • 5en que, gracias a la aleatorie-dad del mecanismo de descar-ga, no todos los clientes de-ben solicitar al mismo tiempolas actualizaciones al servidorSUS, sino que lo deben haceren muchos instantes diferen-tes, aunque existe la posibili-dad de que lo realicen en unmismo instante, con las reper-cusiones que esto puede con-llevar al trfico de red. Ello per-mite una elevada escalabili-dad del servicio en grandesredes corporativas ya que,con el uso de esta tcnica y latransferencia BITS, no se sa-turan ni el servidor ni el anchode banda. Segn Microsoft unsolo servidor SUS con unascaractersticas muy modestas(Procesador de 700MHz y 512MB de RAM) es capaz de aten-der hasta a 15.000 clientes enuna Intranet.Por si esta capacidad no fuesesuficiente, SUS ofrece carac-tersticas avanzadas de esca-labilidad que permiten creararquitecturas mucho ms com-plejas y atender as a enormesdemandas en organizacionescon decenas de miles de or-denadores. En este sentidoSUS permite crear jerarquasde actualizacin entre servido-res, tal y como ilustra la Figura3. En estas jerarquas unosservidores SUS se sincronizancon otros para repartirse eltrabajo y atender cada uno deellos a un conjunto dado deequipos cliente. Lo ms intere-sante de esta posibilidad esque los servidores de nivelesinferiores pueden sincronizarlas aprobaciones desde nive-les superiores. Al igual que enel caso anterior con una solamquina, el administrador delservidor que constituye la razde la jerarqua (el que se ac-tualiza directamente contraWindows Update de Micro-soft), aprueba las actualizacio-nes que crea convenientes deentre todas las descargadas.Los servidores SUS situadosen niveles inferiores de la je-

    rarqua tienen dos opciones(Figura 4): Pueden obtener de un nivel

    superior todos las actualiza-ciones disponibles y quesus administradores deci-dan por cuenta propia cu-les se van a distribuir en lasmquinas a las que sirven

    Descargan automticamen-te las actualizaciones y lalista de aprobacin, con loque se evitara la duplicidadde trabajo.

    Gracias a esta caracterstica sehace muy flexible la administra-cin de actualizaciones del sis-tema operativo en redes WANcomplejas de grandes empre-sas, pudiendo ceder el controlsobre las actualizaciones quese crea conveniente para cadadepartamento o divisin.Para terminar con la cuestinde la escalabilidad es intere-sante resaltar que SUS traba-jar sin problemas en entornoscon balanceado de carga y to-lerancia a fallos. Es posiblecrear un cluster de servidoresSUS con el servicio NLB (Net-work Load Balancing) de Win-dows, de manera que trabajencomo si fueran uno slo. Deeste modo no se comprometela distribucin interna de ac-tualizaciones ya que si cual-quiera de ellos se quedasefuera de servicio, los demselementos del cluster seguirnsirviendo las actualizacionessin interrumpir el trabajo.Otra cuestin importante a te-ner en cuenta es la de la segu-ridad. Cmo podemos ase-gurar que las actualizacionesdescargadas son confiables?.Esta pregunta debemos ha-crnosla tanto para el servidorSUS como para los clientes. Elservidor tiene que estar segu-ro de que las actualizacionesque se descargan para proce-der a su distribucin son lasautnticas o de otro modo al-guien podra introducir ennuestra Intranet algn virus oprograma maligno. Por el mis-

    mo motivo losclientes nopueden des-cargar las ac-tualizacionesciegamente yproceder a suinstalacin. Enambos casosla solucin pa-sa por el usode la firma di-gital. Todas lasactualizacio-nes y parchesque Microsoftpone a dispo-sicin del p-blico estn fir-mados digital-mente por el fabricante, por loque es fcil comprobar queson autnticos comprobandodicha firma. Cuando SUS ocualquier cliente descarganuna actualizacin que no estfirmada digitalmente por Mi-

    crosoft proceden a su borradoautomtico imposibilitando suinstalacin.

    CONCLUSIONES SOBRE MICROSOFT SUSComo hemos podido compro-bar, Microsoft SUS es unaavanzada solucin para man-tener actualizados los siste-mas operativos Windows denuestra red con todos los par-ches crticos de seguridad, ob-

    FIGURA 2: Proceso de funcio-namiento del servicio MSUS

    FIGURA 3: Arquitectura de escalabilidad y distribucin dela gestin con Microsoft SUS

  • teniendo un gran control sobreel proceso y asegurndonos laescalabilidad y el cumplimien-to de las polticas de seguri-dad y uso de Internet en la or-ganizacin. Sin embargo hayque tener en cuenta que no esposible usar MSUS para ac-tualizar otros programas nitampoco, por supuesto, comosistema genrico de gestin ydistribucin de software.En el futuro (se estima que ha-cia mediados del ao 2004)Microsoft planifica la unifica-cin de sus principales servi-cios de descarga de software:Windows Update, Office Up-date y el centro de descargasde Microsoft. Es posible que

    entonces la solucin MSUSpueda abarcar ms tipos deactualizaciones de productos,pero mientras tanto, si quere-mos una solucin integral parala gestin de parches en entor-nos empresariales deberemosutilizar otras aplicaciones.

    SYSTEM MANAGEMENTSERVER SOFTWARE UPDATE SERVICESSMS (System ManagementServer) es la solucin de Mi-crosoft que permite gestionarntegramente las actualizacio-nes de software en las organi-zaciones. Como es sabido,SMS dispone de un eficientesistema de distribucin de

    software. Lo que ocurre esque normalmente hay queconfigurar a mano qu soft-ware se desea distribuir a losequipos cliente de SMS. Enteora sera posible utilizarnicamente SMS para llevar acabo las actualizaciones deseguridad, definiendo paque-tes de distribucin personali-zados para los equipos. Loque ocurre es que se tratarade una tarea demasiado com-pleja ya que habra que deter-minar de antemano qu ac-tualizaciones se deben distri-buir y a qu clientes, lo quees una tarea demasiado com-pleja salvo que todos nues-tros equipos sean idnticos.De todos modos, dada la ca-pacidad de distribucin desoftware que tiene SMS, serauna lstima no poder aprove-charla para conseguir mante-ner actualizados todos losprogramas de todos los sis-temas de una empresa.El SMS Software Update Ser-vices (SUS) Feature Pack esun mdulo especializado queaprovecha las capacidadesde SMS para conseguir el ob-jetivo de gestin que venimospersiguiendo de un modo mu-cho ms completo que el queofrece MSUS. Este paquetede caractersticas se puededescargar de forma gratuitapara Microsoft SMS 2.0 en[www.microsoft.com/spain/servidores/smserver/info/sms20/suspack.asp]. La versin 2003de Microsoft SMS ya lo incor-pora de serie, por lo que nonecesita actualizacin alguna,aunque es necesario descar-gar las aplicaciones que insta-larn las herramientas de es-caneo de actualizaciones dis-ponibles en [www.microsoft.com/smserver/downloads/2003/featurepacks/suspack/default.asp].SMS SUS se fun-damenta en las capacidadesde inventariado y distribucindel producto base (SMS) paraofrecer soporte completo deactualizaciones de los siste-

    mas y aplicaciones Microsoft.Consta de cuatro paquetesbsicos de funcionalidad, asaber: Security Update InventoryTool: se utiliza para crear unalista de parches y actualiza-ciones de seguridad de apli-caciones Microsoft instaladasen los equipos gestionadospor SMS. Tambin es capazde determinar qu actualiza-ciones de las disponibles enMicrosoft son necesarias encada equipo. Toda la informa-cin recuperada se almacenaen el inventario de SMS y sepueden obtener detallados in-formes basados en Web. Microsoft Office InventoryTool for Updates: este paque-te utiliza la base de datos deactualizaciones de Office y laherramienta de actualizacinde Microsoft Office para deter-minar las necesidades de ac-tualizacin de las aplicacionesOffice instaladas en cada unode los equipos gestionadospor SMS. Al igual que la infor-macin del resto de aplicacio-nes gestionada por el mduloanterior, los datos obtenidosse vuelcan en el inventario deSMS y se pueden consultar atravs de sus informes. Distribute Software Upda-tes Wizard: este mdulo es-pecializado se encarga deevaluar la idoneidad de las di-ferentes actualizaciones quese envan con SMS a los equi-pos cliente. La verificacin deidoneidad tiene en cuenta lasactualizaciones ya utilizadasen un equipo y las versiones,para determinar si una nuevaactualizacin se debe instalaro no. Tambin proporcionamtodos para que los usua-rios verifiquen y autoricen lasactualizaciones, as como pa-ra informar a stos, si se de-sea, de los procesos que seestn llevando a cabo en susequipos. Ofrece soporte paraactualizacin desatendida enservidores y/o clientes, y parael reinicio de los sistemas

    6

    FIGURA 4: Desde la administracin de MSUS se indica cmo se debe proceder a obtener las actualizaciones de otro servidor compatible

    (el de Microsoft o uno propio).

    FIGURA 5: Arquitecturay proceso de trabajo

    de SMS SUS.

  • 7cuando se hace necesario. SMS Web reporting Tool +Web Reports Add-In for Soft-ware Updates: la herramientaWeb Reporting proporciona aSMS una solucin genricapara la distribucin de infor-mes basados en pginas HTTPas como multitud de informesprediseados para explotar lainformacin contenida en losinventarios de SMS. Esta he-rramienta se puede obtenerde manera independiente ygratuita con el AdministrationFeature Pack de SMS. El WebReports Add-In for SoftwareUpdates aade a la anteriorherramienta los informes ne-cesarios para poder explotarla informacin sobre actuali-zaciones que generan los an-teriores mdulos que hemosmencionado.Al contrario que SUS, SMSSUS es capaz de actualizarcualquiera de las versiones deWindows (incluyendo Win-dows 9x y NT 4.0), y no sloWindows 2000/XP/2003. Tam-bin permite gestionar las ac-tualizaciones de cualquier ni-vel de severidad, no slo lasactualizaciones crticas (en loque SUS est muy limitado).Adems de esto permite ac-tualizar no slo el sistemaoperativo sino las otras apli-caciones de Microsoft comoOffice, Exchange, SQL Server,etcPor fin y como ltimagran ventaja a destacar, SMSSUS ofrece detallados infor-mes sobre los procesos deactualizacin de los equiposde la red (SUS slo generabaentradas en el registro de su-cesos del sistema y en el re-gistro (Log) de IIS).Como se puede comprobar esuna solucin muy superior a laque acabamos de estudiar,eso s, ofreciendo el inconve-niente de no ser gratuita.

    CMO TRABAJA SMS SUSA pesar de su nombre, SMSSUS funciona de manera muydiferente a cmo lo hace

    MSUS. En ste ltimo, el ser-vicio se conecta a los servi-dores de actual izacin deWindows, descargar las ac-tualizaciones crticas existen-tes y, tras la correspondienteaprobacin del administrador,los clientes solicitan por sucuenta las actualizacionesque necesiten. SMS SUS tra-baja de un modo completa-mente distinto. En la Figura 5hemos tratado de ilustrar di-cho funcionamiento. El proce-so es el siguiente:1. El administrador de SMS

    descarga las aplicacionesque instalarn en el servi-dor de Site de SMS las he-rramientas de escaneo deactualizaciones (herramien-ta de sincronizacin de labase de datos de actualiza-ciones publicada por Mi-crosoft e instalada en elservidor de site de SMS,herramientas de escaneode actualizaciones, normalo inmediata). Dichas herra-mientas se basan en lasbases de datos de actuali-zaciones publicadas porMicrosoft para los produc-tos que estn diseadas(actualizaciones de seguri-dad de productos comoWindows (2000, XP, 2003),Internet Explorer, SQL Ser-ver, Media Player, o Mi-crosoft Office) l lamadaMSSecure.xml y la herra-mienta de anlisis, MBSA(Microsoft Base SecurityAnalyzer). Se crearn loscomponentes de SMS ne-cesarios para su distribu-cin a las mquinas (clien-tes y/o servidores) que eladministrador defina.

    2. Dichas herramientas sernanunciadas al conjunto demquinas que decida el ad-ministrador de SMS, distri-buyndose en ellas y reca-bando toda la informacinde actualizaciones instala-das en las mismas.

    3. En el siguiente ciclo de in-ventario hardware o inme-

    d i a t a m e n t e(dependiendode la herra-mienta de es-caneo que sehaya utilizado),el agente deSMS instala-do en el clien-te enviar la in-formacin alservidor de si-te de SMS.

    4. El servidor de site almacena-r dicha informacin y la ana-lizar para extraer la lista deactualizaciones que requiereel sistema. Hasta este puntono se ha descargado actuali-zacin ni parche alguno

    5. El servidor de site SMS des-cargar de la web de Micro-soft las actualizaciones ne-cesarias. SMS descarga au-tomticamente las actualiza-ciones publicadas en inglspor Microsoft. Si los siste-

    mas controlados por SMSdisponen de productos deMicrosoft en otros idiomas,distintos al ingls, las actua-lizaciones necesarias, detec-tadas por SMS, no se des-cargarn automticamente.Ser el administrador deSMS el encargado de des-cargarlas y almacenarlas enel lugar idneo dentro delpaquete de actualizacionesque se est creando.

    6. Una vez descargadas lasactualizaciones, se seleccio-narn las actualizacionesadecuadas para la clase deequipos que se requiera.

    7. Las actualizaciones selec-cionadas se autorizarn y

    FIGURA 6: Pantalla informativade parches disponibles delasistente de actualizacin deSMS SUS.

    FIGURA 7: Pgina principal deinformes Web de SMS SUS.Existen multitud de informespredeterminados y se puedencrear otros a la medida denuestras necesidades.

  • 8parametrizarn, cada unade ellas. Se requiere ser muyexhaustivo en este punto,comprobando los switchesadecuados para cada ac-tualizacin. Si los switchesno son los adecuados la ins-talacin de las actualizacio-nes que forman el paquetequedar detenido en esepunto. Los parmetros que

    se configurarn durante elproceso de paquetizacin,posterior a los dos anterio-res, permitirn que el casoenunciado en este punto nose prolongue indefinida-mente en el tiempo. Poste-riormente, el administradordefine las opciones de dis-tribucin del paquete crea-do con las actualizaciones.

    8. Se distribuirn los paquetescreados a las coleccionesde mquinas que se hayaseleccionado, segn los pa-rmetros del anuncio quecomunica a los clientes quedisponen de actualizacionesa instalar. Durante el proce-so de distribucin, las herra-mientas de escaneo de ac-tualizaciones escanean, en

    ese instante, las actualiza-ciones instaladas y las ne-cesarias, de las que formanel paquete, que requiere lamquina en la que se estdistribuyendo el paquete.

    9. El ltimo paso consiste enla comprobacin de la co-rrecta instalacin de dichospaquetes en los puntos dedistribucin que utilizarn

    Caracterstica

    Propsito

    Sistemas operativos cliente soportados

    Aplicaciones actualizables

    Mtodo se comprobacin de novedades

    Autorizacin

    Descarga de actualizaciones

    Distribucin

    Administracin

    Informacin al cliente

    Reinicio

    Informes

    Licencia

    MSUS

    Recoger, aprobar y distribuir las actualizaciones crti-cas de los ltimos sistemas operativos de Microsoft.

    Windows 2000 SP3, Windows XP y Windows Server2003

    Windows y sus componentes base (Internet Explo-rer, DirectX, Windows Media)

    Descarga automtica de todas las novedades exis-tentes. Posibilidad de sincronizaciones manuales.

    El administrador del servicio debe aprobar va Weblas actualizaciones que se van a distribuir a losclientes.

    Se descargan todas las actualizaciones disponi-bles, se vayan a necesitar o no en los clientes. Per-mite discriminar las descargas en funcin del idio-ma. La aprobacin por parte del administrador serealiza tras haber efectuado las descargas.

    Las descargas son solicitadas por los clientes y losarchivos se transfieren usando el servicio BITS. To-dos los clientes reciben todas las actualizacionesdisponibles desde el servidor MSUS que tenganasignado.

    Basada en Web

    Poco control. Se muestra informacin bsica sobrelas actualizaciones. El cliente slo tiene control so-bre si desea reiniciar o no la mquina tras una ac-tualizacin.

    Permite encadenar actualizaciones y realizar unnico reinicio del sistema.

    Bsicos. Obtenidos bien a travs del anlisis del re-gistro de peticiones HTTP de IIS, bien conectndoseal registro de sucesos de cada mquina.

    Gratuita

    SMS SUS

    Recoger, aprobar y distribuir todas las actualizaciones de los productossoftware ms importantes de Microsoft.

    Todos los sistemas operativos Windows incluyendo Windows 9x y WindowsNT

    Sistemas Operativos Windows, Internet Explorer 5.01 o superior, WindowsMedia Player 6.4 o sup., IIS 4.0 o superior, SQL Server 7.0 y 2000 (incluidoMSDE), Exchange 5.5 y 2000 (incluyendo Exchange Admin. Tools)y MicrosoftOffice.

    Descarga nicamente del archivo MSSecure.xml y uso de los mdulos decliente pertinentes para efectuar la comparacin y determinacin de nece-sidades de actualizacin.Posibilidad de sincronizacin automtica de informacin sobre descargas.

    El administrador debe aprobar las actualizaciones antes de ser distribuidasa los clientes. Se pueden definir reglas de aprobacin automtica de actua-lizaciones en caso de omisin por parte del administrador.

    Slo se descargan aquellas actualizaciones que sean necesarias tras habersido aprobadas por el administrador o pre-aprobadas de forma automtica.

    La distribucin se inicia por parte del servidor y se emplean los mecanis-mos propios de SMS, utilizando el servicio BITS. Se pueden generar proce-sos de actualizacin para grupos de mquinas, unidades organizativas,sub-redes, etc

    Mediante MMC

    Amplio control. Se puede informar a los usuarios con detalle sobre las actua-lizaciones empleando globos en el rea de notificacin, ventanas, iconos deadvertencia y barras de progreso. Es posible permitir a los usuarios que pos-pongan la aplicacin de las actualizaciones durante un periodo de tiempodeterminado (con una fecha lmite en la que debern hacerlo forzosamente).

    Permite encadenar actualizaciones y realizar un nico reinicio del sistema, oposponer el reinicio para hacerlo de forma planificada (en caso de servido-res, por ejemplo).

    Avanzados. Se obtienen a travs de un navegador y desde un slo puntocentral es posible obtener la informacin completa de todos los equipos dela empresa. Si los informes existentes no nos satisfacen se pueden crearinformes personalizados mediante programacin.

    Tiene coste para el servidor y los clientes.

    COMPARACIN ENTRE MSUS Y SMS SUS

  • 9los clientes para ejecutar-los, as como la correctadistribucin de los paque-tes de actualizaciones enlas mquinas que formabanla coleccin seleccionada

    SMS y sus clientes generaninformes muy completos so-bre los procesos de actualiza-cin que se han llevado a ca-bo. En MSUS cada cliente en-va informacin al servidor so-bre la actualizacin efectuadautilizando una peticin HTTP.Tambin se guarda esta infor-macin en el registro de suce-sos de cada sistema. La con-sulta de esta informacin esbastante compleja porque sedebe analizar el registro depeticiones HTTP (Log) del ser-vidor Web o bien ir equipo porequipo consultando su regis-tro de sucesos. En SMS SUSlos informes son muy detalla-dos, y estn accesibles vaWeb junto al resto de los infor-mes generados por el produc-to. En la Figura 7 se puedeobservar la pgina principalde los informes de seguridadde SMS SUS (el producto, aligual que el propio SMS noest disponible en castellano).Existen multitud de informesque permiten cubrir la mayorparte de las necesidades deinformacin. Se pueden obte-ner datos sobre las actualiza-ciones aplicadas en mquinasconcretas, sobre qu mqui-nas se ha aplicado un deter-minado parche, informes ge-nerales sobre actualizacionesy tiempos de actualizacinpara cada una de las mqui-nas de la empresa o para to-das en general, etcPor supuesto si los que vie-nen por defecto no nos satis-ficieran podremos crear nues-tras propias versiones utili-zando vistas de SQL Server(el sistema gestor de datosque se usa como backend pa-ra SMS) y la informacin so-bre el esquema de informesque Microsoft pone a disposi-

    cin de los programadores enel sitio Web de MSDN.

    COMPLEMENTANDO MSUS:MICROSOFT BASELINE SECURITY ANALYZER 1.1.1La herramienta que SMS SUSutiliza para comprobar las ne-cesidades de actualizacionesde seguridad en los equiposcliente es Microsoft BaselineSecurity Analyzer (MBSA), queactualmente se encuentra ensu versin 1.1.1. MBSA estambin una herramienta inde-pendiente que se puede des-cargar gratuitamente e instalaren equipos aislados y que sir-ve para verificar las actualiza-ciones crticas que faltan enlos sistemas, obtener avisossobre malas configuracionesde IIS y SQL Server, recomen-dar buenas prcticas de segu-ridad que no se estn cum-pliendo, y advertir sobre confi-guraciones inadecuadas en laszonas de seguridad de InternetExplorer y Microsoft Office. Como MSUS slo puede ges-tionar aplicaciones crticas,aquellos administradores queno tengan la oportunidad deusar SMS SUS se vern muybeneficiados del uso de estaherramienta para obtener infor-macin adicional sobre la se-guridad de todos sus sistemas.Con ella se pueden auditar si-multneamente todas las m-quinas dentro de un rango deIPs, con el consiguiente ahorrode trabajo. Los informes queMBSA genera como resultadode sus anlisis se encuentranen formato XML (dentro de lacarpeta SecurityScans del per-fil del usuario que utilice la he-rramienta) y se pueden explo-tar directamente desde su in-terfaz de usuario (ver Figura 8).Estos informes son de gran in-ters ya que es posible compa-rarlos entre s para ver la evolu-cin de los sistemas en lo quea la seguridad se refiere, agru-par los resultados as como or-denarlos por diversos criterios(por ejemplo en funcin de la

    severidad de los problemas en-contrados), adems de ofrecerenlaces a informacin amplia-da sobre los problemas descu-biertos. Lamentablemente noes posible proceder a la insta-lacin automtica de las actua-lizaciones detectadas, aunques se obtienen enlaces a lasdescargas correspondientespara hacerlo manualmente.

    FIGURA 8: Los informes gene-rados por MBSA son de granutilidad y se pueden compararentre s para verificar la evolu-cin de la seguridad en nues-tros sistemas.

    El lector interesado en estas herra-mientas y tecnologas puede en-contrar abundante informacin en elservidor de Microsoft. A continuacin seofrecen algunos puntos de partida quele resultarn muy interesantes: Informacin general de seguridad pa-ra profesionales en Microsoft:[www.microsoft.com/spain/technet/seguridad] Pgina de Microsoft dedicada espec-ficamente a la gestin de parches, des-cargas y actualizaciones, con abundan-te informacin y herramientas:[www.microsoft.com/spain/technet/seguridad/parches.asp] Microsoft Software Update Serviceshomepage:[www.microsoft.com/windowsserversystem/sus/default.mspx][www.microsoft.com/spain/technet/seguridad/herramientas/sus.asp] Gua de implantacin de MSUS:[www.microsoft.com/spain/technet/seguridad/whitepapers/susdeployment.asp] Systems Management Server (SMS) 2.0:Software Update Services Feature Pack:

    [www.microsoft.com/spain/servidores/SMserver/info/SMS20/suspack.asp] Systems Management Server (SMS)2003:[www.microsoft.com/spain/servido-res/smserver/patch.asp] Understanding Patch and Update Ma-nagement: Microsoft's Software UpdateStrategy:[www.microsoft.com/spain/technet/seguridad/whitepapers/gestion_parches.asp] Microsoft Baseline Security Analyzer(MBSA):[www.microsoft.com/spain/technet/seguridad/herramientas/mbsa.asp] Gua Prescriptiva de Seguridad paraEmpresas:[www.microsoft.com/spain/technet/seguridad/practicas.asp] Servicio de Notificacin de Seguridadde Microsoft Regstrese ahora en elServicio de Notificacin de Seguridadde Microsoft y reciba en su buzn decorreo los Boletines de Seguridad quese emiten mensualmente.[www.microsoft.com/spain/technet/seguridad/boletines/notificacion.asp]

    ENLACES INTERESANTES

  • 10

    MBSA se puede utilizar desdela lnea de comandos por loque se puede automatizar suaplicacin empleando archi-vos BAT y guiones para direc-tivas de grupo.Es posible utilizar MBSA encombinacin con un servidorMSUS para que las compro-baciones de actualizacionesde seguridad se obtengan dela lista aprobada de ste y node Microsoft.Las comprobaciones realiza-das por MBSA son, grossomodo, las siguientes: Actualizaciones de seguri-dad del sistema y de los pro-ductos: la primera vez que seejecuta, descarga automtica-mente el archivo de vulnerabi-lidades ofrecido por Microsoft(o por nuestro servidor de ac-tualizaciones si empleamosesta posibilidad). Una vez veri-ficada la firma digital para ase-gurar su autenticidad se pro-cede con el anlisis. Para de-terminar si una determinadaactualizacin est instaladacomprueba la correspondienteclave del registro del equipoauditado, las versiones de losarchivos afectados por la ac-tualizacin y la suma de verifi-cacin (checksum) de stos.Esto trata de asegurar la ma-yor certeza posible en la com-probacin, y contrasta conotras herramientas que se limi-tan a hacer slo la primeraprueba en el registro. Se con-templan todas las actualiza-ciones para Windows NT/2000/XP, Internet Explorer 5.01o superior, Windows MediaPlayer 6.4 o sup., IIS 4.0 o ma-yor, SQL Server 7.0 y 2000 (in-cluido MSDE) y Exchange 5.5y 2000 (incluyendo ExchangeAdmin. Tools). Configuracin de Windows:comprueba la correcta confi-guracin de ciertos aspectosdel sistema, como que no hayademasiados administradores,que est en marcha una polti-ca de auditoria, que no esthabilitado el Auto-Logon, indi-

    ca qu servicios innecesariosestn en funcionamiento, qusistemas de archivos se estnempleando, si las cuentas deinvitado estn habilitadas, laspolticas de caducidad de con-traseas y recursos comparti-dos... Tambin permite com-probar la existencia de cuentasde usuario con contraseasmuy dbiles y fciles de averi-guar, aunque esta opcin pue-de consumir mucho tiempo enalgunos equipos, dependiendodel tipo de sistema y del nme-ro de cuentas que estn defini-das en l. Tambin debe teneren cuenta que esta tentativade romper claves dbiles sever reflejada en el registro deseguridad del sistema y puedeusted confundirlo con un ata-que cuando lo revise. Por cier-to que MBSA impide que lascuentas se bloqueen por cau-sa de los repetidos intentos deaveriguar las claves aunquese haya establecido una polti-ca de bloqueo al respecto (nohay que olvidar que MBSA seejecutar normalmente desdeuna cuenta con atributos deadministrador). Esta pruebano se llevar a cabo en el ca-so de los controladores princi-pales de dominio. Internet Information Server:comprueba configuracionesinadecuadas fuente de conoci-dos ataques, verifica que noest instalado en un controla-dor de dominio, que no tengainstaladas las aplicaciones deejemplo, etc.., ayudndonos amantener una configuracinsegura del servidor Web. SQL Server: verifica que noestemos cometiendo los fallosms tpicos de configuracin,comprueba los modos de au-tenticacin empleados, la exis-tencia de permisos inadecua-dos en tablas o ar-chivos, que algunosajustes del registrodel sistema estn ade-cuadamente fijados,que las claves de ad-ministrador estn se-

    guras y no se hayan dejado entexto plano tras una instalaciny cuestiones similares. Aplicaciones de escritorio:este apartado se refiere a laconfiguracin de seguridad deInternet Explorer, el nivel deproteccin contra macros ma-liciosas de Office y los ajustesde seguridad del correo elec-trnico con Outlook. En el ca-so de Internet Explorer puedeque tengamos unos ajustes deseguridad muy altos (inclusoms restrictivos que los suge-ridos por la herramienta) y anas se nos muestre una adver-tencia. Ello se debe a queMBSA no es capaz de discer-nir la idoneidad de nuestrosajustes si los hemos personali-zado, es decir, si no hemosusado alguno de los cuatro ni-veles predeterminados quevienen por defecto en IE.

    RESUMEN En este artculo hemos repa-sado la problemtica asocia-da a la gestin y distribucinde parches en redes de siste-mas operativos Microsoft.Analizando las dificultadesque nos podemos encontrarhemos llegado a la conclusinde que es un trabajo dema-siado complejo como para re-alizarlo de forma manual porlo que se requiere el uso deherramientas especializadosque automaticen el proceso.Hemos analizado las dos prin-cipales herramientas que ofre-ce Microsoft para la gestin,distribucin e instalacin deactualizaciones.La primera de stas, SoftwareUpdate Services (MSUS), nospermite replicar el servicio deWindows Update dentro denuestra propia Intranet. Elloimpide la saturacin del anchode banda y facilita el controlde manera centralizada sobre

    las actualizaciones que seefectuarn en los equipos

    clientes en su conjunto.Lamentablemente estasolucin gratuita slo

    permite la gestin de actuali-zaciones crticas del sistemaoperativo y no de otras aplica-ciones, y no soporta versionesantiguas de Windows.Los administradores que utili-zan Systems ManagementServer (SMS) disponen de unpaquete gratuito adicional(SMS SUS) especialmentepensado para la gestin deactualizaciones. SMS SUSsobrepasa las limitaciones deMSUS y permite la actualiza-cin de cualquier sistemaoperativo y la mayor parte delas aplicaciones importantesde Microsoft utilizando la tec-nologa de distribucin desoftware de SMS, as comosus capacidades de control yanlisis de los resultados. Alcontrario que MSUS, esta so-lucin no es gratuita.Los usuarios de MSUS pue-den emplear una de las herra-mientas de diagnstico deSMS SUS para tratar de sub-sanar algunas de sus limita-ciones. Se trata de MBSA,que analiza uno o varios sis-temas de una red y ofrece ex-haustivos informes de seguri-dad, aunque no automatiza lacorreccin de los problemasencontrados.

    FACTOR HUMANOLas soluciones ofrecidas porMicrosoft para mantener nues-tros sistemas operativos enperfecto estado, no son real-mente eficaces si las empre-sas no disponen de polticasde seguridad rigurosas, y losprofesionales de la formacinadecuada para desempeartan importante labor. Se tratade un trabajo proactivo, nun-ca reactivo, que exige, eso s,esfuerzo. Pero las recompen-sas bien valen la pena. Comoadministradores de sistemasy profesionales de las tecno-logas de la Informacin y lascomunicaciones en general,muchos sabemos lo que sonlas noches sin dormir para le-vantar un sistema.

  • 2004 Microsoft Corporation. Todos los derechos reservados.La informacin contenida en este documento rerpresenta la visin de Microsoft Corporation, hasta la fecha de su publicacin sobrelos temas que en l se discuten. Debido a que Microsoft debe responder a las condiciones cambiantes del ercado, esta informacinno debe ser interportada como un compromiso por parte de Microsoft, como Microsoft tampoco puede garantizar la precisiin decualquier informacin aqu recogida tras la fecha de su publicacin.Este documento sirve a propsitos meramente informativos. MICROSOFT NO OFRECE GARANTAS, IMPLCITA O EXPLICITAMENTE,SOBRE NADA DE LO QUE FIGURA EN ESTE DOCUMENTO.Microsoft, Windows, el logotipo de Microsoft y el logotipo de TechNet son marcas comerciales registradas por Microsoft Corporation.Otros productos o nombres de empresas mencionados pueden ser marcas comerciales de sus respectivos propietarios.


Diversidad de peces asociados a parches de coral en la ...repositorio.usfq.edu.ec/bitstream/23000/5367/1/122907.pdf · asociados a los mismos. Adicionalmente, estos parches de coral

Diversidad de peces asociados a parches de coral en la ...repositorio.usfq.edu.ec/bitstream/23000/5367/1/122907.pdf · asociados a los mismos. Adicionalmente, estos parches de coral

CATÁLOGO GENERAL7 PARCHES PARA CUBIERTAS Parches para cubiertas - Raspas para PRP Ref. nº 4958 Ref. nº 4252 Ref. nº 11038 PRF Ø 30 mm 200pzs/caja Ref. nº 11045 PRF Ø 45 mm 200pzs/caja

CATÁLOGO GENERAL7 PARCHES PARA CUBIERTAS Parches para cubiertas - Raspas para PRP Ref. nº 4958 Ref. nº 4252 Ref. nº 11038 PRF Ø 30 mm 200pzs/caja Ref. nº 11045 PRF Ø 45 mm 200pzs/caja

Conectividad de parches de hábitat para los primates en un paisaje altamente fragmentado en el sureste de México

Conectividad de parches de hábitat para los primates en un paisaje altamente fragmentado en el sureste de México

gestion publica y gestion privada

gestion publica y gestion privada

ROBO DE IDENTIDAD - felaban.net · antivirus, antiespía y parches de seguridad de su proveedor de software en su PC

ROBO DE IDENTIDAD - felaban.net · antivirus, antiespía y parches de seguridad de su proveedor de software en su PC

Servidores Sun SPARC Enterprise T5140 y T5240: Notas del ... · TABLA 1-3 Parches obligatorios para Solaris 10 8/07 10 TABLA 1-4 Parches obligatorios para Solaris 10 5/08 11 TABLA

Servidores Sun SPARC Enterprise T5140 y T5240: Notas del ... · TABLA 1-3 Parches obligatorios para Solaris 10 8/07 10 TABLA 1-4 Parches obligatorios para Solaris 10 5/08 11 TABLA

CAPSAICINA 8% PARCHES en dolor neuropático …...Guía Farmacoterapéutica de Hospitales de Andalucía. - Informe Génesis v. 3.0 - Capsaicina 8% parches Dolor neuropático periférico

CAPSAICINA 8% PARCHES en dolor neuropático …...Guía Farmacoterapéutica de Hospitales de Andalucía. - Informe Génesis v. 3.0 - Capsaicina 8% parches Dolor neuropático periférico

Controles de gestión de parches y cambios: cruciales para el éxito de la organización

Controles de gestión de parches y cambios: cruciales para el éxito de la organización

anticonceptivos, parenterales, parches y subdermicos

anticonceptivos, parenterales, parches y subdermicos

Cartografia Social (Parches)

Cartografia Social (Parches)

Campaña de Orgullo para la Protección de los Parches de Coral de King Fish, Livingston, Guatemala

Campaña de Orgullo para la Protección de los Parches de Coral de King Fish, Livingston, Guatemala

Cerrando la brecha digital, sin uso de parches

Cerrando la brecha digital, sin uso de parches

DISEÑO Y SIMULACIÓN DE UN ARRAY DE PARCHES LINEAL EN …

DISEÑO Y SIMULACIÓN DE UN ARRAY DE PARCHES LINEAL EN …

Gestion De Proyectos- gestion de riesgos

Gestion De Proyectos- gestion de riesgos

AGRUPACIONES DE ANTENAS · Divisor Wilkinson en microstrip para array de parches 8 Alimentación paralelo: ejemplos Arrays de parches con excitación paralelo: ejemplo de diseño.

AGRUPACIONES DE ANTENAS · Divisor Wilkinson en microstrip para array de parches 8 Alimentación paralelo: ejemplos Arrays de parches con excitación paralelo: ejemplo de diseño.

Desfibrilación Externa Semi-Automática fileCOLOCACIÓN DE LOS PARCHES-ELECTRODOS SVB Instrumentalizado· DESA· Primer Interviniente Desfibrilación Externa Semi-Automática †

Desfibrilación Externa Semi-Automática fileCOLOCACIÓN DE LOS PARCHES-ELECTRODOS SVB Instrumentalizado· DESA· Primer Interviniente Desfibrilación Externa Semi-Automática †

Parches en Ductos

Parches en Ductos

Parches de Piel Oscura

Parches de Piel Oscura

Parches y Trucos Para Mejorar y Acelerar Las Conexiones de Internet

Parches y Trucos Para Mejorar y Acelerar Las Conexiones de Internet

AGRUPACIONES DE ANTENAS€¦ · Divisor Wilkinson en línea triplaca Divisor Wilkinson en microstrip para array de parches. 19 Alimentación paralelo: ejemplos Arrays de parches con

AGRUPACIONES DE ANTENAS€¦ · Divisor Wilkinson en línea triplaca Divisor Wilkinson en microstrip para array de parches. 19 Alimentación paralelo: ejemplos Arrays de parches con