IMPLEMENTACIÓN DE LA ADMINISTRACIÓN DE REVISIONES DE

SEGURIDAD

En este capítulo, se verá la implementación de la administración de revisiones

de seguridad. Específicamente, se tratará:

 Información general sobre la administración de revisiones.

 Proceso de administración de revisiones.
 Herramientas de administración de revisiones.
 Estrategia futura.
 Práctica.
 Preguntas.
 Pasos siguientes.

1. Requisitos previos

 Experiencia práctica con las herramientas de administración de Windows

Server 2000 o Windows Server 2003.

2. Índice del capitulo

 Información general sobre la administración de revisiones.

 Proceso de administración de revisiones.
 Herramientas de administración de revisiones.
 Estrategia futura.
 Práctica.
 Preguntas.
 Pasos siguientes.

3. Información general sobre la administración de revisiones

En este tema, se expondrá una introducción a la administración de revisiones.

Específicamente, se tratará:

 Actuación ante los comentarios de los usuarios.

 La iniciativa de administración de revisiones de Microsoft.
 Defensa con profundidad: el marco de trabajo perfecto para la seguridad.
 Análisis de riesgos.

1
 3.1. Actuación ante los comentarios de los usuarios

Cap2-01.jpg

Microsoft recibe comentarios de cientos de clientes, ya sea por iniciativa propia o

cuando se les solicita, y los clasifica en las áreas siguientes:

 Continuar mejorando la calidad de los productos. Los clientes han pedido

a Microsoft que siga mejorando el software y consiga que su diseño le
permita ser más seguro, ofrezca más seguridad de forma predeterminada
y con su implementación. En consecuencia, hasta diciembre de 2003 se
han vuelto a diseñar 24 productos. Los esfuerzos para cumplir la promesa
de la informática de confianza continúan para lograr avances en la
ingeniería de software.
 Comunicaciones, orientación y cursos. Los clientes han pedido a
Microsoft que se esmere para proporcionar una información precisa,
fácilmente accesible, simplificada y oportuna sobre las nuevas revisiones
disponibles. Los clientes también reclaman una mejor orientación que les
permita administrar de forma efectiva las revisiones en sus entornos de
Microsoft Windows, y desean disponer de cursos más avanzados que los
instruyan en el uso efectivo de las herramientas de administración de
revisiones de Microsoft.
 Frecuencia de las revisiones. Una de las tendencias de opinión más
elocuentes de los clientes concluye en que Microsoft tiene que reducir la
frecuencia y el número de revisiones que publica.

2
 Proceso de aplicación de revisiones. A los clientes les preocupa que la
experiencia de descubrir, aplicar y revertir las revisiones pierda
coherencia a través de los diversos tipos de productos y actualizaciones
de Microsoft. Hay demasiados programas diferentes de instalación de
revisiones, cada uno con capacidades y parámetros de uso distintos,
entre otras características que varían. Además, no hay una forma
coherente que permita instalar una revisión o actualización; por ejemplo,
no existe un conjunto congruente de opciones del Registro o archivos que
cambien, y en ningún lugar se indica qué actualizaciones o revisiones se
han instalado.
 Herramientas para las revisiones. Otra tendencia de opinión es la
referente a los productos y herramientas de administración de revisiones.
Los comentarios de los clientes son categóricos: tenemos demasiadas
ofertas que se solapan, ninguna de ellas proporciona una funcionalidad
completa para la administración de revisiones ni es capaz de abarcar
todos los productos de Microsoft y no está claro qué criterios deben tener
en cuenta los clientes al elegir entre los productos.
 Calidad de las revisiones. Los clientes afirman que la calidad de las
revisiones es deficiente en ocasiones, su tamaño a veces es
excesivamente grande, demasiadas requieren reiniciar el sistema tras su
instalación y se retiran bastantes revisiones.

3.2. Iniciativa de administración de revisiones Progreso hasta la fecha

(diciembre de 2003)

Cap2-02.jpg

3
 Microsoft estableció la iniciativa de administración de revisiones para
resolver la situación planteada con la administración de revisiones de
seguridad. Esta iniciativa está dirigida por un grupo de trabajo que abarca
varias divisiones y que cuenta con el apoyo de los niveles más altos de la
dirección ejecutiva de Microsoft.
 Los siguientes son los objetivos de la iniciativa. Se observará que están
directamente relacionados con las tendencias de opinión de los clientes.
Los primeros objetivos tienen seguridad de sus entornos basados en
Windows. Se trata de proporcionar la información adecuada en el
momento oportuno y los niveles requeridos de orientación en lo que
respecta a recomendaciones y procesos, así como programas de
aprendizaje de los productos.
 El segundo objetivo es mejorar drásticamente la experiencia de
administración de revisiones con el fin de mejorarla y hacerla más
coherente.
 El tercer objetivo es mejorar radicalmente lo que se ve, haciendo todo lo
posible por garantizar que los clientes estén equipados adecuadamente
para administrar la calidad de las revisiones: las mejoras deben
observarse en la reducción de su tamaño, en no tener que reiniciar el
sistema al instalarlas y en retirar un número mínimo de revisiones, o
incluso ninguna.
 Por último, la iniciativa se centra en la racionalización del conjunto de
ofertas de administración de revisiones con el objeto de proporcionar una
funcionalidad de administración de revisiones completa que abarque todo
el espectro de productos de Microsoft, reduzca el costo necesario para
conseguir una administración efectiva y permita que los productos de
terceros aprovechen la infraestructura básica de administración de
revisiones de Windows.

3.3. Defensa en profundidad

4
 Cap2-03.jpg

 Una estrategia de seguridad sirve para que una organización sea más
efectiva cuando los datos están protegidos por más de un nivel de
seguridad. La estrategia de seguridad de defensa con profundidad utiliza
varios niveles de protección. Si un nivel se ve comprometido, esa
infracción de la seguridad no pondrá en peligro a toda la organización.
Una estrategia de defensa con profundidad aumenta el riesgo de detectar
al intruso y disminuye la oportunidad de que tenga éxito.
 Para reducir al máximo la posibilidad de que un ataque contra los
servidores de una organización alcance su objetivo, se tiene que
implementar el grado apropiado de defensa en cada nivel.
 Además, se deben utilizar herramientas, tecnologías y directivas, y aplicar
las recomendaciones con el fin de proteger cada nivel. Por ejemplo:
• Nivel de directivas, procedimientos y conciencia: programas de
aprendizaje de seguridad para los usuarios.
• Nivel de seguridad física: guardias de seguridad, bloqueos y
dispositivos de seguimiento.
• Nivel de perímetro: servidores de seguridad de hardware y
software, redes privadas virtuales con procedimientos de
cuarentena.
• Nivel de red interna: segmentación de red, Seguridad de protocolo
Internet (IPSec) y sistemas de detección de intrusos de red (NIDS).
• Nivel de host: prácticas destinadas a reforzar los servidores y
clientes, herramientas de administración de revisiones, métodos
seguros de autenticación y sistemas de detección de intrusos
basados en hosts (HDIS).

5
 • Nivel de aplicación: prácticas destinadas a reforzar las aplicaciones
y el software antivirus.
• Nivel de datos: listas de control de acceso (ACL) y cifrado.

Este capítulo se centra en la administración de revisiones que se aplica

principalmente en los niveles de host y de aplicación. Su estructura de
administración de revisiones es sólo una parte de la estrategia de seguridad de
una organización.

3.4. Riesgo Asociado al Negocio

El riesgo del cliente está siendo peor, no mejor.

 La exacerbación de los factores de la administración de revisiones en el

plazo de los últimos cinco años incluyen:
• Proliferación del número de servidores en organizaciones.
• Más amenazas de seguridad y consecuencias más altas de
actualizaciones que no se instalan.
• Cobertura en aumento de la visibilidad y de medios de los
incidentes de la seguridad.
• Intervenciones en aumento para la conformidad reguladora.
• Carencia de un proceso estructurado en muchas organizaciones.

3.5. Riesgo Asociado al Negocio - Blaster Worm Resumen

6
 Cap2-22.jpg

Esta es una recapitulación de los acontecimientos alrededor de Microsoft

Security Bulletin, MS03-026, conocido comúnmente como “O-twenty six”.

RPC: Remote Procedure Calls.

Es usado para comunicar llamadas de API entre las máquinas o a través de
procesos dentro de una máquina.
Cuando es entre maquinas, corre sobre el puerto 135.

DCOM: Distributed COM.

Utilizado como el mecanismos de activación para RPC servers.
Corre en NT4, Win2K, WinXP, WS03.

Estas tecnologías se utilizan ampliamente en el OS, por lo tanto el grado de

vulnerabilidad debido al bug es elevado.

Como muestra el gráfico, la vulnerabilidad fue descubierta mucho antes que el

gusano Blaster realizará su ataque, es decir, que una buena administración de
revisiones en la red hubiera ahorrado mucho tiempo y dinero a la compañía.

7
 3.6. Terminología

 Security Patch - Un arreglo lanzado para una vulnerabilidad de seguridad,

relacionada con un producto específico. Las vulnerabilidades de
seguridad clasificadas se basan en su severidad, indicada en el boletín de
la seguridad como "crítica", "importante", "moderada" o "baja".

 Critical Update - Un arreglo lanzado para un problema específico que

trata un bug no relacionado con la seguridad y crítico.

 Update – Es un acritical update no critico.

 Hotfix - Un solo paquete acumulativo integrado por uno o más archivos

para corregir un problema en un producto.

 Update Rollup - Un sistema probado, acumulativo de hotfixes, security

patches, critical updates y updates empaquetados juntos para una fácil
instalación.

 Service Pack - Un sistema probado, acumulativo de todos los hotfixes,

security patches, critical updates y updates, así como los arreglos
adicionales para los problemas encontrados internamente en los
productos luego de su lanzamiento.

 Feature Pack - Funcionalidad nueva del producto que primero se

distribuye fuera del contexto de un lanzamiento de producto, o
generalmente en el lanzamiento completo de producto siguiente.

3.7 Conseguir seguridad

Se llama a la primera fase Get Secure. Para ayudar a su organización a alcanzar
un nivel apropiado de seguridad, seguir las recomendaciones Get Secure
proporcionadas por Microsoft.

3.8 Estar seguro

Se conoce la segunda fase como Stay Secure. Es para crear un ambiente que
sea inicialmente seguro. Sin embargo, una vez que su ambiente está en servicio,
es completamente diferente mantener la seguridad del ambiente en un cierto
plazo. Se deberá tomar una acción preventiva contra amenazas y responder a
ellas con eficacia cuando ocurren. Para ayudar a una organización a mantener
un nivel apropiado de seguridad en un cierto plazo, se deberán seguir las
recomendaciones Stay Secure del Microsoft Security Tool Kit, el cual puede ser
accedido online.

8
 4. Proceso de administración de revisiones

En este tema, se describirá la importancia de establecer un proceso de

administración de revisiones. Específicamente, se tratará:

 Esquema temporal para aprovechar un punto vulnerable.

 Clasificaciones de gravedad de Microsoft.
 Calendario de revisiones.
 Administración eficaz de revisiones.
 Proceso de administración de revisiones.
 Guía de administración de revisiones de Microsoft.

4.1. Esquema temporal de los ataques

Cap2-04.jpg

Una vulnerabilidad tiene el ciclo de vida siguiente:

1. Se informa de la vulnerabilidad. Los puntos públicos vulnerables se

catalogan con la etiqueta “en investigación” y sólo los conocen Microsoft y
quien informa de ellos.
• Microsoft no suele confirmar la vulnerabilidad.
• Muchos gusanos se basan en “código de demostración” que se ha
publicado.

9
 2. Se desarrolla una revisión. A medida que se desarrolla y se prueba una
revisión, sólo Microsoft y quien ha informado de la vulnerabilidad saben
que existe.
• La revelación pública de los puntos vulnerables pone en riesgo a
todo el mundo.
• Si la vulnerabilidad se hiciera pública en este momento, los
intrusos tendrían la misma ventaja que Microsoft. Quienes
investigan de forma responsable sobre la seguridad, siempre han
sido conscientes de esto.
3. Se publica un boletín de seguridad y una revisión. La vulnerabilidad es
ahora de dominio público pero el mecanismo que se utiliza para
aprovecharla no lo es. Los posibles intrusos conocen ahora la
vulnerabilidad y la revisión se debe distribuir e instalar antes de que se
pueda utilizar para emprender un ataque.
4. La revisión es inversa al código. Una vez publicada la revisión, sólo es
cuestión de tiempo; el que se aplique ingeniería inversa al código y se
descubra el mecanismo para aprovecharla.
5. Se crea el gusano o el código del virus. En este momento, existe un
mecanismo de ataque pero aún no se ha lanzado.
6. El código del gusano o del virus se difunde. Una vez que se ha desatado
el virus o el gusano, los sistemas sin proteger o que no hayan aplicado la
revisión en forma rápida, se verán infectados.
• En ocasiones, los investigadores revelan información de la vulnerabilidad
antes de que Microsoft haya tenido oportunidad de desarrollar y probar
una revisión. Esto cambia la secuencia temporal para utilizar la
vulnerabilidad. En ese caso, otras medidas preventivas de defensa
ayudan a proteger el sistema. Por ejemplo, Microsoft publica consejos
para mitigar el riesgo lo antes posible cuando se hace pública una forma
de aprovechar una vulnerabilidad antes de que la revisión
correspondiente esté preparada.
• Para mejorar los estándares de tratamiento de puntos vulnerables,
Microsoft y otros proveedores de software han formado la organización
para la seguridad en Internet (Organization for Internet Safety), cuyo sitio
Web es http://www.oisafety.org (este sitio está en inglés).
• Su objetivo principal es ofrecer a sus clientes el mayor tiempo
posible para responder a nuevas vulnerabilidades.
• En su consecución se unen los proveedores y los investigadores
de las vulnerabilidades.
• Esta organización está desarrollando estándares para el
tratamiento de las vulnerabilidades.

Además de trabajar con la organización para la seguridad en Internet, Microsoft

también publica trazas de red para los proveedores de sistemas de detección de
intrusos y antivirus (IDS, Anti-Virus/Intrusion Detection System).

10
 4.2. Clasificaciones de gravedad de Microsoft

Cap2-05.jpg
El grupo de trabajo de Microsoft Security Response Center asigna una categoría
de gravedad a cada revisión publicada en un boletín de seguridad. Las
definiciones de las categorías son:

• Crítica: Su aprovechamiento podría permitir la propagación de un gusano

de Internet como Code Red o Nimda sin intervención del usuario.
• Importante: Su aprovechamiento podría provocar el compromiso de los
datos del usuario (confidencialidad, integridad o disponibilidad) y la
integridad o disponibilidad de los recursos de procesamiento.
• Moderada: Su aprovechamiento es grave pero factores como la
configuración predeterminada, la auditoria, la necesidad de acción del
usuario o lo difícil que resulta aplicarlo, han mitigado la amenaza en un
grado significativo.
• Baja: Su aprovechamiento es extremadamente difícil o sus efectos son
mínimos.

4.3. Calendario de revisiones

11
 Cap2-06.jpg

Microsoft ha publicado las siguientes directrices en relación a los calendarios

para la aplicación de revisiones:

• Las revisiones de seguridad críticas deben implementarse en 24 horas.

• Las revisiones de seguridad importantes deben implementarse en un
mes.
• Las revisiones de seguridad moderadas deben implementarse en cuatro
meses o con la siguiente actualización de continuidad de revisiones o
Service Pack.
• Las revisiones de seguridad que supongan una amenaza baja deben
implementarse con la siguiente actualización de continuidad de revisiones
o Service Pack, o antes de un año.

Algunos factores que pueden afectar a estos calendarios son:

• Si tiene activos de gran valor o que están expuestos a un gran riesgo, se

debe disminuir los calendarios recomendados.
• Si la seguridad del sistema es considerable o si los activos están
expuestos a un riesgo poco importante, debe aumentar los calendarios
recomendados.

Nota: en muchas organizaciones pequeñas, se suele recomendar instalar cada

revisión sugerida por Windows Update y Microsoft Office Update. En las
organizaciones mayores, utilizar la disciplina de administración de riesgos de
seguridad (SRDM, Security Risk Management Discipline) para determinar qué

12
revisiones son las más apropiadas. De este modo, puede ahorrar tiempo y
recortar los costos.

4.4. Administración eficaz de revisiones

Cap2-07.jpg

• La única forma de realizar la administración de revisiones correctamente

es disponer de las personas adecuadas para ejecutar los procesos
correspondientes con las tecnologías apropiadas.
• En la diapositiva anterior se introdujeron los procesos de administración
de revisiones.
• Aunque el resto de este capítulo se concentra en los productos,
herramientas y tecnologías que se utilizan en la administración de
revisiones, es esencial que no pase por alto el aspecto humano del
problema que ésta supone. No es sólo cuestión de saber lo que hay que
hacer sino también de asegurarse que uno y su personal tienen los
conocimientos adecuados y las responsabilidades necesarias para
garantizar el éxito operativo.
• No es suficiente con que la organización tenga montones de normas y
reglamentos en relación a la seguridad: el personal también debe
seguirlos e implementarlos.
• Las áreas clave que hay que considerar para que la implementación de
una infraestructura de administración de revisiones tenga éxito son las
siguientes:

13
 • ¿Cómo va a enterarse que hay nuevas revisiones y correcciones
disponibles?.
• ¿Es realmente necesario aplicar una revisión particular en su
entorno?.
• ¿Cuál será la repercusión en todo el sistema de la instalación de
una revisión de seguridad en su entorno?.
• ¿Qué cambiará la revisión en realidad?.
• ¿Se puede desinstalar la revisión una vez instalada?.
• ¿Cuáles son las dependencias entre los componentes de su
entorno de producción y cómo afectará la aplicación de una
revisión a uno de esos componentes?.
• ¿Cómo evaluará el éxito de la instalación de una revisión?.
• ¿Qué escenarios tiene para restaurar un entorno en el que se ha
aplicado una revisión si debe llevar a cabo una operación de
recuperación ante un desastre?.

4.5. Proceso de administración de revisiones

Cap2-08.jpg

• La guía de Microsoft para la administración de revisiones de seguridad

(Microsoft Guide to Security Patch Management), que puede descargarse
del sitio Web de Microsoft (http://www.microsoft.com), proporciona
detalles de las tareas periódicas y continuadas asociadas con cada paso

14
 del proceso de administración de revisiones. En cada paso del proceso,
intentar responder las preguntas siguientes:

Paso 1: evaluación
• ¿Hay alguna amenaza o vulnerabilidad en este momento en su
entorno?.
• ¿Ha cambiado algo en el sistema de producción?. Por ejemplo,
¿ha instalado sistemas operativos o aplicaciones nuevos, o ha
hecho cambios en la red o en la infraestructura de administración?.
• ¿Dispone de información de inventario actualizada y exacta?.
• ¿Puede permitir su infraestructura de administración la
administración de revisiones?.

Paso 2: identificación
• ¿Cómo se puede notificar que hay revisiones nuevas?.
• ¿Es una revisión relevante para su organización?.
• ¿En cuáles de los sistemas se debe aplicar una revisión?.
• ¿Es necesario aplicar una revisión en todos los sistemas con la
misma prioridad?.
• ¿Cuáles de los sistemas son más vulnerables?.
• ¿Se ha descargado la revisión?. Si es así, ¿está libre de virus?.

Paso 3: evaluación y planeamiento

• ¿Se ha probado la revisión antes de implementarla para
asegurarse que las funciones más importantes para su negocio
siguen funcionando?.
• ¿Dispone de un proceso de administración de cambios que permite
asegurar que todos los implicados están de acuerdo en la
necesidad de implementar la revisión?. (Si la revisión es esencial,
asegúrese que el proceso sea rápido).
• ¿Ha considerado cómo y cuándo instalar la revisión?. El proceso
de instalación puede ser diferente en los dispositivos de servidor y
de escritorio, y es posible que se tenga que considerar la
interrupción de algunos servicios y actividades.

Paso 4: implementación
• ¿Se ha preparado el entorno de producción para las nuevas
revisiones?. Los administradores y usuarios tendrán que estar
informados del posible tiempo de inactividad. Quizás tenga que
ofrecer aprendizaje al departamento de soporte técnico. Tendrá
que comprobar los puntos de distribución para confirmar la
presencia de la revisión y de los archivos asociados.
• ¿Puede supervisar la distribución de revisiones, el progreso de la
comprobación y ocuparse de las excepciones?.
• ¿Dispone de estrategias para implementar las revisiones en los
clientes móviles y a través de conexiones lentas?. El tamaño de la

15
 revisión puede constituir un problema significativo. Las opciones
para evitar este problema pueden incluir obligar a los clientes
móviles a pasarse por la oficina o distribuir la revisión a través de la
red.

• Microsoft ha desarrollado directrices para ayudar a los clientes a

idear e implementar una buena seguridad y un proceso de
administración de revisiones apropiado. Esta orientación en los
procesos forma parte de Microsoft Operation Framework (MOF),
que se basa en las prácticas recomendadas y recopiladas en la
biblioteca de información de IT (ITIL, IT Information Library), que es
el estándar de recomendaciones para las tecnologías de la
información.

4.6 Guía de administración de revisiones de Microsoft

Cap2-09.jpg

http://www.microsoft.com/latam/technet/seguridad/

• Microsoft proporciona consejos y orientación a los clientes sobre cómo

implementar una solución de administración de revisiones. Estos consejos
se encuentran en el sitio Web de Microsoft, en
http://www.microsoft.com/latam/seguridad/foro/
• La guía tiene dos partes:
• La primera está destinada a profesionales de tecnología de la
información y administradores que necesitan información de

16
 introducción acerca de la administración de revisiones para fines
relacionados con la seguridad.
• La segunda parte está orientada a los profesionales de tecnología
de la información responsables de la implementación de una
solución de administración de revisiones de seguridad que van a
tener que establecer un proceso apropiado para ello.

5. Herramientas de administración de revisiones

En este tema, se describirán varias herramientas de administración de

revisiones. Específicamente, se tratará:

• Elección de una solución de administración de revisiones.

• Soluciones para usuarios independientes y pequeñas compañías, como
Windows Update y Office Update.
• Soluciones para pequeñas compañías, por ejemplo, Microsoft Baselines
Security Analyzer (MBSA) y Servicios de actualización de software (SUS,
Software Update Services) de Microsoft.
• Soluciones para compañías grandes y medianas, como Microsoft
Systems Management Server (SMS) con el paquete de características de
SUS.
Criterios de selección para elegir una solución de administración de revisiones.

5.1 Elección de una solución de administración de revisiones

Cap2-10.jpg

17
• Si usted es un usuario independiente, Windows Update es la elección
lógica.
• Si es un cliente de una pequeña compañía, las opciones que debe utilizar
son Windows Update y SUS. Si dispone al menos de un servidor de
Microsoft Windows y un administrador de IT capacitado, debería elegir
SUS. De lo contrario, utilice Windows Update.
• Si pertenece a una compañía grande o mediana, SUS y SMS son las
opciones lógicas. Si necesita una solución de administración de
revisiones sencilla aunque algo limitada, elija SUS. Si desea una
distribución de software completa que incluya funciones de administración
de revisiones, elija SMS.
• Nota: SUS sólo se puede utilizar para actualizar Windows 2000, Windows
XP y Windows Server 2003; no puede utilizarse en versiones anteriores
de Windows. Debería utilizar Windows Update o procesos manuales para
el resto de sistemas operativos no enumerados anteriormente y para las
aplicaciones.

5.2 Solución de administración de revisiones

Cap2-11.jpg

18
 La solución de administración de revisiones para los usuarios
independientes y pequeñas compañías se basa en los consejos de Microsoft del
sitio Web “Proteja su PC” (Protect your PC, en inglés):
• Estos consejos deben aplicarse en equipos domésticos y de pequeñas
compañías que no dispongan de servidores de Microsoft Windows. Para
mejorar la seguridad del equipo, se aconseja seguir tres pasos.
• Para dar ejemplo, los profesionales de IT deben aplicar los consejos en
los equipos que utilicen en su propio hogar.
• Compruebe que todos los usuarios que conoce sepan que existe el sitio
Web Protect your PC y sigan los consejos que recomienda.

5.3 Cómo funciona Windows Update: acceso iniciado por el usuario

Cap2-12.jpg

• Paso 1: Escribir la dirección URL (http://windowsupdate.microsoft.com)

o seleccionar la opción Windows Update en el menú Inicio, o a través de
la interfaz gráfica de ‘Ayuda y soporte técnico’.
• El código de cliente (CC, Client-side Code) del explorador detecta su
idioma, sistema operativo e información del explorador.
• A continuación, puede seleccionar la opción Detectar actualizaciones de
la página de Windows Update.

• Paso 2: El código de cliente comprueba en primer lugar la identificación

del sitio de Windows Update a través de su firma digital.

19
• Luego el código de cliente busca los metadatos (de forma segura con
SSL) en el servidor de Windows Update para obtener la lista de
actualizaciones aplicables.
• Tenga en cuenta que el intercambio de metadatos sobre SSL
también incluye un valor hash para validar la integridad de la
revisión.

• Paso 3: El código de cliente utiliza la información de los metadatos para

determinar cómo averiguar si cada actualización ya se ha instalado en su
equipo cliente.

• Paso 4: El código de cliente muestra una lista de las actualizaciones que

faltan. Después, le permite seleccionar las que desea instalar.

• Paso 5: El código de cliente descarga las actualizaciones necesarias,

valida los archivos de actualización e instala las actualizaciones en el
equipo cliente.

• Paso 6: El código de cliente actualiza el archivo de historial de instalación

en el equipo cliente.

• La descarga y las estadísticas de instalación se envían finalmente al

servidor del sitio de Windows Update.
• Nota: no se recopila ninguna información de identificación personal. Para
obtener información detallada, consulte
http://v4.windowsupdate.microsoft.com/es/about.asp#privacypolicy

5.4 Cómo funciona Windows Update: Actualizaciones automáticas

20
 Cap2-13.jpg

1. El proceso de Actualizaciones automáticas (AU, Automatic Updates) se

inicia cuando este servicio se conecta al servicio Windows Update (WU).
• Actualizaciones automáticas está configurado para buscar en
Windows Update nuevas actualizaciones de forma programada,
una vez al día.
• 22 horas.−La comprobación se realiza aleatoriamente cada 17.
2. Actualizaciones automáticas comprueba, en primer lugar, la identificación
del sitio de Windows Update mediante su firma digital.
• Después, busca en el servidor de Windows Update para obtener
los metadatos de la lista de actualizaciones aplicables.
• Nota: el intercambio de metadatos sobre Secure Sockets Layer
(SSL) también incluye un valor de hash para validar la integridad
de la revisión.
3. Actualizaciones automáticas utiliza la información de los metadatos para
determinar si cada actualización ya se ha instalado en el equipo cliente.
4. En función de la configuración del servicio Actualizaciones automáticas:
• Descarga automáticamente las actualizaciones con el Servicio de
transferencia inteligente en segundo plano (BITS, Background
Intelligent Transfer Service).
• Le notifica que hay nuevas actualizaciones que puede descargar. A
continuación, puede revisar y seleccionar las actualizaciones que
desee descargar.
5. A continuación, Actualizaciones automáticas:
• Instala automáticamente las actualizaciones.

21
 • Le notifica que hay actualizaciones nuevas para instalar; después,
puede revisarlas y seleccionar las que desee.
6. Actualizaciones automáticas actualiza el archivo de historial de
instalaciones en el equipo cliente una vez realizada la instalación.
• La descarga y las estadísticas de instalación se envían al servidor del sitio
de Windows Update.
• Nota: no se recopila ninguna información de identificación personal. Para
obtener información detallada, consulte
http://v4.windowsupdate.microsoft.com/es/about.asp#privacypolicy

5.5 Cómo utilizar Windows Update

o De forma automática
 Abra Sistema en el Panel de control.
 Seleccione "Mantener mi equipo al día".
 En la ficha Actualizaciones automáticas, haga clic en la opción que
desee:
 Notificarme antes de descargar cualquier actualización y volver a
notificarme antes de que se instalen en mi equipo.
 Descargar automáticamente las actualizaciones y notificarme
cuando estén listas para instalar.
 Descargar automáticamente las actualizaciones e instalarlas en la
fecha y hora especificadas.
Nota: los administradores también pueden configurar
Actualizaciones automáticas de forma centralizada mediante directivas
de grupo.
o De forma manual
 Vaya a http://windowsupdate.microsoft.com, o seleccione Windows
Update en el menú Inicio.

Si elige utilizar la característica Actualizaciones automáticas, tiene tres opciones:

• Notificarme antes de descargar cualquier actualización y volver a

notificarme antes de que se instalen en mi equipo:
Cuando Microsoft Windows busca en el sitio Web de Windows Update
las actualizaciones que se deben aplicar al equipo, aparece un icono
en el área de notificación con un mensaje que indica que las
actualizaciones ya están listas para ser descargadas. Al hacer clic en

22
 el icono (o en el mensaje), puede seleccionar las actualizaciones
específicas que desea descargar. Windows descarga entonces en
segundo plano las actualizaciones seleccionadas. Cuando la descarga
se completa, el icono aparece de nuevo en el área de notificación,
esta vez para notificarle que las actualizaciones de su equipo ya están
listas para instalarse. A continuación, puede seleccionar las
actualizaciones específicas que desea instalar en su equipo.
• Descargar automáticamente las actualizaciones y notificarme
cuando estén listas para instalar:
Windows busca en el sitio Web de Windows Update las
actualizaciones que se pueden aplicar en su equipo y las descarga en
segundo plano. Durante este proceso no se le notifica ninguna acción
ni se le interrumpe. Cuando la descarga se completa, aparece un
icono en el área de notificación con un mensaje que indica que las
actualizaciones para su equipo están listas para ser instaladas. Para
ver e instalar las actualizaciones disponibles, haga clic en el icono o
en el mensaje. A continuación, puede seleccionar las actualizaciones
específicas que desea instalar en su equipo.
• Descargar automáticamente las actualizaciones e instalarlas en la
fecha y hora especificadas:
Configure los días y horas en que desea que Windows instale las
actualizaciones. Windows busca en el sitio Web de Windows Update
las actualizaciones que se pueden aplicar en su equipo y las descarga
automáticamente en segundo plano. Durante este proceso no se le
notifica ninguna acción ni se le interrumpe. Cuando finaliza la
descarga, aparece un mensaje en el área de notificación para que
pueda revisar las actualizaciones que están programadas para
instalarse. Si elige no instalarlas en ese momento, Windows inicia la
instalación según el programa establecido. Algunas actualizaciones
pueden requerir que el equipo se reinicie para completar la instalación.
Si tiene iniciada una sesión en el equipo, el sistema lo notifica y le
ofrece la opción de posponer el reinicio. Asegúrese de guardar su
trabajo antes del momento programado para la instalación.
Nota: los administradores pueden configurar de forma centralizada
Actualizaciones automáticas a través de directivas de grupo si se
implementan Active Directory y Directiva de grupo.
Si elige la opción de actualización manual, debe revisar las
actualizaciones que se descargan e instalan.

5.6 Consideraciones acerca de Windows Update

o Windows Update:

 Admite todas las actualizaciones esenciales de seguridad.

 Admite todas las versiones de Windows, desde Windows 98
23
 a Windows Update.

 No permite la administración del uso del ancho de banda de red.

No controla cómo se distribuyen las revisiones.

• Windows Update admite los siguientes tipos de contenido:

• Actualizaciones críticas (incluso de seguridad).
• Descargas recomendadas.
• Internet y actualizaciones multimedia, como Microsoft Internet
Explorer y Reproductor de Windows Media®.
• Herramientas y utilidades de Windows.
• Descargas adicionales de Windows, como las actualizaciones para
la configuración del escritorio y otras características de Windows.
• Características para el uso de varios idiomas, como menús y
cuadros de diálogo, compatibilidad con idiomas y editores de
métodos de entrada.
• Controladores de hardware con el logotipo de Windows.
• Windows Update proporciona el contenido anterior para:
• Windows 98 y Windows 98 Segunda edición.
• Windows Millennium Edition.
• Windows XP.
• Windows 2000.
• Windows Server 2003.
• Windows Update no es una solución administrada:
• No es posible optimizar el uso del ancho de banda de red.
• No se puede controlar la distribución de las revisiones.

5.7 Office Update

• Una única ubicación para las revisiones y actualizaciones de

Office.
• Automatiza la detección e instalación de las revisiones y
actualizaciones esenciales.
• Es fácil de utilizar para los usuarios independientes y domésticos.
• Todas las revisiones de seguridad y Service Packs están
disponibles en versiones de archivos completos o de diferencias
del código binario.

• Las ventajas principales de Office Update son su facilidad de uso y su

capacidad para configurarse de modo que los sistemas de usuarios
independientes o empresariales se actualicen automáticamente cuando
hay nuevas actualizaciones disponibles.
• Funciona de forma similar (aunque no idéntica) a Windows Update. Al
igual que Windows Update, Office Update no recopila ninguna
información de identificación personal en los sistemas a los que

24
 proporciona servicio. (Para obtener información detallada sobre esto,
consulte la declaración de privacidad de Microsoft Office Online en
http://office.microsoft.com/o/privacy.aspx).
• Todas las revisiones de seguridad de Office están disponibles en formato
de diferencias de código binario (sólo tienen los bits que cambian) o en
versiones de archivos completos. Los cambios de las diferencias del
código binario requieren el producto original de la instalación para
completar el proceso de actualización; sin embargo, Windows Installer 3.0
ya no exigirá este requisito con respecto a los archivos originales.
• Las versiones de archivos completos de las revisiones son mucho más
grandes porque contienen todos los archivos que han cambiado, no sólo
las diferencias. Sin embargo, no requieren los archivos originales si se
instalaron con Windows Installer 2.0 ó una versión posterior. Las
revisiones de archivos completos se pueden descargar desde el kit de
recursos de Office en el sitio http://www.microsoft.com/office/ork (este sitio
está en inglés).

5.8 Cómo utilizar Office Update

 Vaya a http://office.microsoft.com/officeupdate (este sitio está

en inglés).

 Haga clic en Buscar actualizaciones.

 Instale el Motor de instalación de Office Update (si no está ya

instalado).

 Seleccione las actualizaciones que desee instalar.

Haga clic en Iniciar instalación.

• La diferencia clave entre Office Update y Windows Update es que la

primera no admite Actualizaciones automáticas; la actualización se debe
iniciar de forma manual.
• Para utilizar Office Update:
1. Vaya a http://office.microsoft.com/officeupdate.
2. Haga clic en Buscar actualizaciones.
3. Instale el Motor de instalación de Office Update (si no está ya
instalado).
4. Seleccione las actualizaciones que desee instalar.
5. Haga clic en Iniciar instalación.

25
 5.9 Solución de administración de revisiones

 Servicios de actualización de software (SUS)

• La solución de administración de revisiones para otro tipo de

organizaciones depende de diversos criterios:
• Si utiliza entre uno y tres servidores de Windows y tiene un
administrador de IT, emplee la solución para pequeñas compañías,
que incluye Microsoft Baseline Security Analyzer (MBSA) y los
Servicios de actualización de software (SUS).
• También debe utilizar MBSA y SUS si su compañía es grande o
mediana pero sólo requiere un control básico para equipos con
Windows 2000, Windows XP y Windows Server 2003.

5.10 Ventajas de MBSA

o Automatiza la identificación de las revisiones de seguridad que faltan y

de los problemas de configuración de la seguridad.
o Permite a los administradores examinar a la vez muchos sistemas de
forma centralizada.
o Trabaja con una amplia variedad de software de Microsoft (no sólo con
Windows y Office).

• La herramienta Microsoft Baseline Security and Analyzer (MBSA) permite

a los administradores evaluar los sistemas comparándolos con una línea
de base de seguridad común e identificar las revisiones de seguridad que
faltan y algunos problemas de configuración de la seguridad.
• Los administradores pueden utilizar MBSA para examinar un gran número
de sistemas simultáneamente y crear un informe basado en Web para
realizar un análisis más exhaustivo.
• MBSA también funciona en una amplia variedad de software y sistemas
de Microsoft.
• Revisiones y actualizaciones de seguridad:
• Microsoft Windows NT® 4.0, Windows 2000, Windows
Server 2003, Windows XP.
• Servicios de Internet Information Server (IIS) 4.0, IIS 5.0, IIS
6.0.
• Microsoft SQL Server 7.0, SQL 2000 (incluye Microsoft Data
Engine).

26
 • Internet Explorer (IE) 5.01 y versiones posteriores.
• Microsoft Exchange Server 5.5, Exchange 2000.
• Reproductor de Windows Media 6.4 y versiones posteriores.
• Configuraciones del sistema:
• Windows NT 4.0, Windows 2000, Windows Server 2003,
Windows XP.
• IIS 4.0, IIS 5.0, IIS 6.0.
• SQL 7.0, SQL 2000.
• Internet Explorer 5.01 y versiones posteriores.
• Office 2000, Office XP.

5.11 MBSA: funcionamiento

Cap2-14.jpg

1. Ejecute la herramienta MBSA y especifique los equipos de destino que

hay que examinar.
2. MBSA descarga el archivo CAB, que contiene MSSecure.xml, y
comprueba su firma digital.
• MBSA intentará ponerse en contacto con el Centro de descarga de
Microsoft para obtener este archivo; o bien, el archivo se puede
copiar en los equipos locales.

27
 • El archivo MSSecure.xml contiene:
• Nombres de los boletines de seguridad.
• Actualizaciones específicas de productos.
• Información de versiones y suma de comprobación.
• Claves del Registro que han cambiado.
• Números de artículos de Microsoft Knowledge Base (Base
de conocimiento).
3. MBSA examina los sistemas de destino para detectar los sistemas
operativos, sus componentes y las aplicaciones.
4. MBSA analiza el archivo MSSecure.xml para comprobar si hay
actualizaciones disponibles.
5. MBSA comprueba el sistema para ver si faltan las actualizaciones
necesarias.
6. MBSA genera un informe con una marca de tiempo en el que se
enumeran las actualizaciones que faltan en el sistema.

5.12 MBSA: opciones de detección predeterminadas

• MBSA tiene dos opciones de modo:

• La primera opción es el modo de interfaz gráfica de usuario. Este
modo puede proporcionar un informe basado en Web.
• La segunda opción es el modo de línea de comandos. Este modo
proporciona alternativas para enumerar las revisiones específicas
que faltan y los artículos de Knowledge Base (Base de
conocimiento) relacionados.
• Para ver la lista completa de opciones disponibles, escriba mbsacli
/? en el símbolo del sistema.

 Interfaz gráfica de usuario de MBSA

(aplicación de Windows)
 Utiliza -baseline, -v, -nosum.
 -baseline se coloca junto a las actualizaciones de
seguridad esenciales de Windows Update.
 Las notas y advertencias se siguen mostrando de forma
predeterminada.
 Las comprobaciones de la suma de comprobación no se
realizan (para coincidir con Windows Update).
 Interfaz de la línea de comandos de MBSA (mbsacli.exe)
 Utiliza –sum.
 Se realizan las comprobaciones de la suma de
comprobación.

28
  Las notas y advertencias se siguen mostrando de forma
predeterminada.
o Detección de HFNetChk (mbsacli.exe /hf)
 Utiliza –sum.
 Se realizan las comprobaciones de la suma de
comprobación.
 Las notas y advertencias se siguen mostrando de forma
predeterminada.

5.13 Cómo utilizar MBSA

Revise la lista de las actualizaciones que faltan
• Para utilizar MBSA:
1. Descargue e instale MBSA (sólo una vez).
2. Inicie MBSA.
3. Seleccione los equipos que desea examinar.
4. Seleccione las opciones pertinentes.
5. Haga clic en Iniciar detección.
6. Revise la lista de actualizaciones de seguridad de Windows.
7. Haga clic en el vínculo Detalles de los resultados.
8. Revise la lista de las actualizaciones que faltan.

5.14 Consideraciones sobre MBSA

29
 Cap2-15.jpg

• MBSA identifica las contraseñas en blanco o sencillas de cada cuenta de

usuario local del equipo. Esta comprobación no se efectúa en los
controladores de dominio. MBSA identifica las vulnerabilidades comunes
de las contraseñas, por ejemplo:
• Contraseñas en blanco.
• Contraseñas que coinciden con los nombres de las cuentas de
usuario correspondientes.
• Contraseñas que coinciden con los nombres de los equipos
correspondientes.
• Contraseñas que utilizan la palabra contraseña.
• Contraseñas que usan la palabra admin o administrador.

Nota: en la detección de contraseñas se utilizan muchos recursos; si se omite,

aumenta drásticamente el rendimiento, en especial cuando el examen se realiza
a través de la red.

• MBSA comprueba otras vulnerabilidades importantes, como:

• La auditoría de Windows.
• Seguridad de las macros de Office.
• La configuración de zonas de Internet Explorer.
• Las limitaciones más importantes de la versión actual de MBSA son:
• Se muestran mensajes para las revisiones que MBSA no puede
confirmar que se hayan instalado. Esto incluye productos que no
se pueden detectar, por ejemplo, MSXML para MS02-008, o donde

30
 hay más de una revisión para un único producto destinado a un
sistema operativo en particular. La última es una limitación del
esquema de Mssecure.xml:
• Por ejemplo, Microsoft DirectX®9.0 para Windows
2000, WindowsXP o Windows Server™2003 para
MS03-030.
• Por ejemplo, una versión de una revisión de Internet
Explorer 5.01 para Windows 2000 que es diferente de
la correspondiente a Windows XP.
• MBSA sólo comprueba una clave del Registro para determinar si la
revisión se ha instalado. Por ejemplo, hay una clave del Registro
común para cada versión de Ntdll.dll en MS03-007, mientras que la
versión de archivo y las sumas de comprobación son diferentes.
• No hay datos de revisiones para las actualizaciones que no son de
seguridad. Cuando una actualización que no es de seguridad se
instala y sobrescribe los archivos de otra revisión que se aplicó
anteriormente en una actualización de seguridad previa, MBSA
marca los archivos originales como vulnerables. Si la versión o
suma de comprobación del archivo no coincide exactamente con la
que se encuentra en Mssecure.xml, se considera vulnerable.

5.15 SUS: ventajas

Cap2-16.jpg

31
• Las ventajas principales de los Servicios de actualización de software de
Microsoft (SUS) son:
• Proporciona a los administradores control sobre la administración
de revisiones en su organización.
• Es fácil de usar.
• Es una oferta gratuita de Microsoft.
• SUS permite a los administradores controlar las revisiones (cuando
se utiliza junto con una directiva de grupo que restrinja el acceso
de los usuarios a Windows Update). Automatiza la descarga y la
instalación de las revisiones una vez que se ha aprobado.
• SUS también es fácil de implementar y constituye una solución efectiva
para la administración de revisiones en casi todos los casos: siempre y
cuando sus limitaciones en cuanto a los sistemas operativos que admite,
el contenido compatible, el grado de control y la ausencia de información
integrada impidan que no se tenga en consideración.
• Nota: la herramienta SUS no requiere la implementación de Microsoft
Active Directory® ni de Directiva de grupo.

5.16 SUS: funcionamiento

Cap2-17.jpg

32
 1. El servidor primario de SUS descarga del sitio de Windows Update los
metadatos de las nuevas actualizaciones, así como las propias
actualizaciones.
• Nota: SUS mantiene registros de aprobación y estadísticas de
descargas, sincronizaciones e instalaciones.
2. Los administradores revisan las nuevas actualizaciones y aprueban las
correspondientes una vez finalizadas las pruebas necesarias.
• SUS mantiene registros de descargas y de aprobación en el
servidor de estadísticas (IIS).
3. Se distribuye a todos los servidores SUS secundarios información de las
actualizaciones aprobadas, por ejemplo, para determinar si la
actualización se va a instalar.
4. Actualizaciones automáticas establece contacto en el equipo cliente con
el servidor SUS para determinar si hay alguna actualización que se haya
aprobado recientemente. Si es así, obtiene la información de los
metadatos correspondiente a la actualización y comprueba si ya se ha
instalado.
5. Si las actualizaciones no se han instalado todavía, Actualizaciones
automáticas descarga automáticamente las que faltan o notifica al usuario
que faltan actualizaciones (según la configuración) y le pide permiso para
descargarlas.
• Para sistemas de destino donde Actualizaciones automáticas esté
configurado para extraer las actualizaciones de un servidor SUS,
descarga las aprobadas del servidor SUS especificado.
• Para los sistemas de destino donde Actualizaciones automáticas
esté configurado para extraer las actualizaciones de Windows
Update, descarga las actualizaciones correspondientes desde allí.
Actualizaciones automáticas comprueba las firmas digitales de las
actualizaciones descargadas para asegurarse de su autenticidad e
integridad.
6. Dependiendo de la configuración de Actualizaciones automáticas, se
instalan automáticamente las actualizaciones o se notifica al usuario que
están disponibles y, a continuación, se permite al usuario revisar y
seleccionar las que desea que se instalen y cuándo desea instalarlas.
7. En el paso final, Actualizaciones automáticas registra en el historial el
éxito o el fracaso de la instalación de las actualizaciones en los equipos
de destino.

5.17 SUS: componente de cliente

 El cliente de SUS es Actualizaciones automáticas.

33
  Se puede configurar de forma centralizada para conseguir las
actualizaciones del servidor SUS corporativo o del servicio
Windows Update.

 Puede descargar automáticamente e instalar las revisiones

con el control de un administrador.

 Consolida varios reinicios en uno cuando se instalan varias

revisiones.

 Se incluye en Windows 2000 SP3,

Windows XP SP1 y Windows Server 2003.

 Está traducido a 24 idiomas.

El componente de cliente de SUS es la característica Actualizaciones

automáticas en Microsoft Windows.
• Utilice la configuración de las directivas de grupo para configurar de forma
centralizada Actualizaciones automáticas a fin de que se comunique con
el servidor SUS apropiado.
• Actualizaciones automáticas utiliza la lista de actualizaciones aprobadas
en el servidor SUS para descargar e instalar las actualizaciones.
• Actualizaciones automáticas consolida varios reinicios en uno solo
cuando se instalan varias revisiones.
• La versión apropiada de Actualizaciones automáticas se incluye en el
Service Pack 3 (SP3) de Windows 2003, el Service Pack 1 (SP1) de
Windows XP y Windows Server 2003. Se puede descargar del Centro de
descarga de Microsoft para instalarse en sistemas que tengan las
versiones anteriores al Service Pack 1 de Windows XP.
• Actualizaciones automáticas está traducido a 24 idiomas.

5.18 SUS: componente de servidor

 Descarga las actualizaciones de Windows Update.

 La interfaz de usuario de administración está basada en Web.
 La seguridad se obtiene mediante el diseño y de forma predeterminada.
 Se permite un registro basado en XML en un servidor Web.
 Admite organizaciones geográficamente distribuidas.
 Está localizada en inglés y en japonés.

• El servidor SUS permite la sincronización automatizada de las

actualizaciones nuevas.

34
 • SUS proporciona una interfaz de usuario administrativa para permitir el
control de las diversas opciones de configuración, descarga y aprobación
de las actualizaciones. Puede utilizar la interfaz de usuario para:
• Especificar el servidor y las opciones de configuración del proceso
de actualización.
• Ver las actualizaciones descargadas.
• Aprobar las actualizaciones y ver las que se han aprobado.
• SUS integra diversas opciones de seguridad predeterminadas:
• Para todo el contenido descargado por SUS, el origen y el
contenido de las actualizaciones descargadas se comprueba con
las firmas digitales.
• Todas las comunicaciones de SUS tienen lugar sobre HTTP y, por
lo tanto, es necesario abrir el puerto 80.
• Se puede realizar la administración de forma segura mediante
SSL.
• SUS requiere NTFS (New Technology File System o Sistema de
archivos de nueva tecnología).
• SUS instala las utilidades URLScan y Bloqueo de seguridad de IIS
(si aún no están instaladas).
Aunque SUS no contiene características de elaboración de informes, registra el
estado de las descargas y las instalaciones en formato XML en un servidor Web.
Puede revisar los registros o emplear una utilidad de elaboración de informes
que exporte la información a una base de datos y genere un informe.
• Puede encontrar una utilidad que proporcione esta capacidad en
www.susserver.com/Software/SUSreporting (este sitio está en
inglés). Microsoft no ha evaluado esta utilidad y no la recomienda
ni ofrece soporte técnico para la misma. Sin embargo, informa a
sus clientes de su disponibilidad para que puedan evaluarla por sí
mismos.
• SUS admite implementaciones distribuidas geográficamente o que se
amplían al agregar más elementos, con una administración centralizada
de la sincronización de contenido y de las aprobaciones.
• La interfaz de SUS está localizada en inglés y japonés. Sin embargo,
ofrece actualizaciones para los idiomas de los 24 clientes admitidos.

5.19 SUS: integración con MBSA

 MBSA puede realizar una detección de actualizaciones de seguridad

en las actualizaciones aprobadas de un servidor SUS especificado.

 Ejecución de la línea de comandos.

 mbsacli.exe /sus http://miservidorsus

35
  mbsacli.exe /hf /sus http://miservidorsus

• Aunque MBSA es una herramienta independiente, está diseñada para

funcionar con SUS. Si se instala un servidor SUS en el sistema, MBSA
lee la información del Registro para obtener detalles acerca del mismo.
Opcionalmente, un administrador puede especificar esta información a
través de las versiones de MBSA que utilizan la línea de comandos o una
interfaz de usuario. MBSA utiliza entonces la lista de actualizaciones
aprobadas del servidor SUS para identificar las que faltan. Para ello:
• Lee en el Registro información del servidor SUS o el usuario
específica dicha información.
• Utiliza HTTP para leer el archivo Approveditems.txt en el servidor
SUS.
• Busca los elementos aprobados en el archivo Mssecure.xml.
• Realiza una detección de las revisiones apropiadas en el archivo
Mssecure.xml.
• Estas características de integración de MBSA son aplicables a las
versiones 1.1, 1.1.1 y 1.2 de MBSA. Las versiones posteriores de
MBSA funcionarán de otra manera. Las nuevas características de
integración se describen casi al final de este capitulo.

5.20 Cómo utilizar SUS

 Servidor SUS:

 Configure el servidor SUS en http://server/SUSAdmin

(este sitio está en inglés).

 Establezca la programación de la sincronización del servidor de

SUS.

 Apruebe las actualizaciones que desee.

 Cliente SUS:

36
 Configure Actualizaciones automáticas en el cliente para utilizar el
servidor SUS.

 Manualmente, con secuencias de comandos

o mediante directivas de grupo.

Para utilizar SUS:

• En el servidor SUS:
1. Configure el servidor SUS en http://server/SUSAdmin.
2. Establezca la programación de la sincronización del servidor SUS.
3. Apruebe las actualizaciones que desee.
• En el cliente SUS:
1. Configure Actualizaciones automáticas en el cliente para
utilizar el servidor SUS. Realice esta tarea usted mismo
mediante secuencias de comandos o con directivas de
grupo.

5.21 Consideraciones sobre SUS

 Sólo admite actualizaciones para Windows 2000 o sistemas

operativos posteriores.

 No está especializado en la implementación de las revisiones.

 El cliente SUS debe configurarse para “extraer” las actualizaciones

del servidor SUS.

 Permite un registro centralizado del estado de instalación en un

servidor Web, pero no se proporcionan informes predefinidos.

 Se utilizan varios servidores SUS para proporcionar diferentes

conjuntos de actualizaciones aprobadas para grupos de equipos
cliente

• SUS también es fácil de implementar y utilizar, y constituye una solución

de administración de revisiones eficaz en muchos casos. Sin embargo,
también debe considerar que:

37
 • SUS admite sólo algunos sistemas operativos y tipos de contenido,
un control limitado y carece de herramientas de informes
integradas.
• SUS permite realizar de forma centralizada un registro del estado
de la instalación de las revisiones en un servidor Web, pero no
incluye informes predefinidos.
• Puede utilizar varios servidores SUS con el fin de proporcionar diferentes
conjuntos de actualizaciones aprobadas para grupos de equipos cliente.
Por ejemplo, si utiliza dos servidores SUS:
• El primer servidor entrega todas las actualizaciones a un
grupo de usuarios de prueba.
• El segundo servidor proporciona las actualizaciones al resto
de los equipos una vez que se han probado en el grupo de
pruebas y, a continuación, han sido aprobadas.

5.22 Solución de administración de revisiones

 Compañías medianas (entre 25 y 499 equipos de escritorio) y

grandes (con más de 500 equipos de escritorio) que necesitan una
única solución flexible con un mayor control de la implementación
de software.

 SMS 2003 O bien SMS 2.0 con el paquete de características de SUS.

• Si su compañía es mediana o grande, la mejor solución de administración

de revisiones que puede utilizar es Servicios de actualización de software
(SUS), Systems Management Server (SMS) 2003 o SMS 2.0 con el
paquete de características de SUS.
• La solución basada en SMS se utiliza mucho en las compañías
grandes que pueden necesitar un mayor control de la
implementación de software.
• La solución basada en SUS puede ser apropiada para compañías
de tamaño mediano pero es importante considerar ambas opciones
independientemente de la dimensión de su negocio.

5.23 SMS: ventajas

 Permite que los administradores controlen la administración de las

revisiones.

38
  Permite probar y ensayar las actualizaciones antes
de instalarlas.
 Posibilita un control más refinado de las opciones
de administración de revisiones.
 Automatiza aspectos clave del proceso de administración de
revisiones.
 Puede actualizar una amplia variedad de productos
de Microsoft (no se limita sólo a Windows y Office).
 También se puede utilizar para actualizar software de terceros e
implementar e instalar cualquier actualización de software o
aplicación.
 Ofrece un alto grado de flexibilidad gracias al uso
de secuencias de comandos.

• SMS es una completa solución de distribución de software para entornos

de Microsoft Windows que incluye capacidades de administración de
revisiones:
• La administración de revisiones de SMS 2.0 se realiza con el
paquete de características de los Servicios de actualización de
software. Observe que el paquete de características de SUS no
tiene ninguna relación con el producto SUS comentado
anteriormente.
• SMS 2003 ha combinado la funcionalidad de administración de
revisiones en la versión básica.
• Las ventajas clave de SMS en la administración de revisiones son:
• SMS se puede utilizar para implementar todos los tipos de
revisiones, actualizaciones y aplicaciones en los entornos basados
en Windows.
• SMS automatiza los aspectos clave del proceso de administración
de revisiones.
• SMS es lo suficientemente flexible para satisfacer sus necesidades
de administración de revisiones e implementación de software,
independientemente del tipo de organización o de su entorno
específico.
• SMS también permite:
• Una distribución completa del software.
• Crear un inventario de hardware y software.
• Elaborar informes detallados.
• A diferencia de SUS, que utiliza un modelo de “extracción”, SMS
emplea un modelo de “inserción” para distribuir las revisiones en
los sistemas de destino. A continuación, se basa en los clientes
SMS de esos sistemas para completar la instalación.

39
 5.24 SMS: funcionamiento

Cap2-18.jpg

1. Como administrador de SMS, puede descargar las herramientas Inventario

de actualizaciones de seguridad e Inventario de Microsoft Office desde el
sitio Web del Centro de descarga de Microsoft (sólo tiene que hacer esto
una vez).
• A continuación (y de nuevo, sólo una vez) ejecute el programa de
instalación de la herramienta de inventario en el servidor del sitio
SMS, que crea los paquetes, las colecciones y los anuncios
necesarios para distribuir las herramientas de detección de
actualización de software en los clientes.
• Simultáneamente, el programa de instalación crea el programa
para el componente de sincronización en el host de sincronización.
2. Los paquetes de los componentes de detección de actualizaciones de
software se replican en los puntos de distribución de su sitio SMS. Desde
allí, los paquetes se distribuyen a los equipos cliente de destino.
3. El componente de detección analiza las actualizaciones de software
instaladas y las que se pueden aplicar en el equipo cliente. La información
se convierte en datos para el inventario de hardware de SMS y se propaga
en la jerarquía junto con el resto de datos del inventario. El tiempo que la
información tarda en llegar al servidor del sitio depende de la configuración

40
 del componente de detección, de la configuración de la programación del
agente de inventario de hardware y de la carga del servidor del sitio.
4. Debe ejecutar el Asistente para distribuir actualizaciones de software con el
fin de ver, evaluar y autorizar las actualizaciones de software aplicables a
partir de los datos del inventario de actualizaciones de software.
5. El asistente descarga los archivos de origen para la actualización de
software especificada desde el sitio Web del Centro de descarga de
Microsoft. A continuación, almacena el archivo de origen en la carpeta
compartida de origen del paquete.
• Los paquetes, programas y anuncios necesarios se crean ahora o
se actualizan para distribuir las actualizaciones de software a los
clientes SMS.
• El Asistente para distribuir actualizaciones de software anexa un
programa de SMS que contiene comandos para ejecutar el Agente
de instalación de actualizaciones de software en cada paquete que
crea o actualiza.
• Por último, los paquetes de actualización de software se replican
en los puntos de distribución de su sitio y los programas se
anuncian a sus clientes.
6. El Agente de instalación de actualizaciones de software se ejecuta en sus
clientes e implementa las actualizaciones de software. Ejecuta el
componente de detección para asegurarse de que sólo instala las
actualizaciones de software que se requieren realmente.
7. El componente de sincronización busca en el sitio Web del Centro de
descarga de Microsoft las actualizaciones para el componente de detección
y el software actualiza el catálogo. Ésta es una actividad periódica: se
realiza semanalmente de forma predeterminada.
• El componente de sincronización descarga estas nuevas
actualizaciones y actualiza los paquetes, programas y anuncios
asociados con el componente de detección.
• El paquete del componente de detección actualizado y el anuncio
se distribuyen en los equipos cliente SMS de destino.

5.25 SMS: integración con MBSA

 Detecta en los clientes SMS las actualizaciones de seguridad que

faltan con CLI de MBSA.

41
  Inserta mbsacli.exe en cada cliente para realizar una
detección local (mbsacli.exe/hf).

 Analiza la salida de texto de números de revisión.

 Los administradores de SMS pueden distribuir de forma centralizada

las actualizaciones de seguridad en los clientes.

 SMS 2.0 y SMS 2003 utilizan MBSA 1.1.1

• La integración de MBSA con SMS requiere SMS 2003 o el paquete de

características de SUS para SMS 2.0.
• SMS 2.0 (con el paquete de características de Servicios de actualización
de software) y SMS 2003 pueden utilizar MBSA para examinar los
sistemas de destino e identificar las revisiones de seguridad que faltan, y
actualizar el inventario de revisiones de SMS en consecuencia.

5.26 Cómo utilizar SMS

 Abra la Consola de administrador de SMS.

 Expanda la base de datos del sitio.

 Haga clic con el botón secundario del mouse (ratón) en Todos los
equipos con Windows XP y seleccione Todas las tareas y
Distribuir software.
software

 Cree un paquete y un programa nuevos.

 Examine la revisión que se va a implementar.

 Configure opciones para determinar cómo y cuándo se debe

implementar la revisión en el cliente.

• Para implementar una revisión con Systems Management Server:

1. Abra la Consola de administrador de SMS.
2. Expanda la base de datos del sitio.

42
 3. Haga clic con el botón secundario del mouse (ratón) en Todos los
equipos con Windows XP y seleccione Todas las tareas y
Distribuir software.
4. Cree un paquete y un programa nuevos.
5. Examine la revisión que se va a implementar.
6. Configure opciones para determinar cómo y cuándo se debe
implementar la revisión en el cliente.

5.27 Consideraciones sobre SMS

 Las limitaciones de las capacidades de detección son las mismas

que las de MBSA y la herramienta Inventario de Office.

 Se debe configurar la sintaxis de línea de comandos para la

instalación desatendida de cada actualización.

 Las revisiones de Microsoft Office deben extraerse con el fin de

modificar un archivo de configuración necesario para realizar la
instalación desatendida.

 Las actualizaciones internacionales se deben obtener manualmente

(en una página Web).

La administración de revisiones de SMS tiene algunas limitaciones, como:

• Limitaciones en las capacidades de detección.
• Debe configurar la sintaxis de la línea de comandos para la instalación
desatendida de cada actualización.
• Las revisiones de Microsoft Office requieren la extracción del archivo
descargado para modificar un archivo de configuración de la instalación
desatendida.
• Las actualizaciones internacionales se deben obtener manualmente (se
proporciona una página Web para la exploración).

5.28 Recomendaciones

43
 Cap2-19.jpg

• A continuación se enumeran las recomendaciones más importantes para

la administración de revisiones:
• Debe implementar un proceso adecuado de administración de
revisiones: es la clave del éxito.
• Debe adoptar la solución de administración de revisiones que
mejor se adapte a las necesidades de su organización.
• Debe suscribirse al servicio de notificación de seguridad de
Microsoft.
• Debe utilizar todos los recursos detallados en este capitulo.
• Debe mantener sus sistemas lo más actualizados que sea posible.

5.29 Soluciones de administración de revisiones: criterios de selección

44
 Cap2-20.jpg

• En esta tabla se comparan Windows Update, SUS 1.0 y SMS 2003.

Cuando elija una solución de administración de revisiones, debe evaluar
si cumple los criterios clave para la selección.
• Los criterios clave son:
• Sistemas operativos compatibles.
• Tipo de contenido que se utiliza.
• Grado de control, que se expresa como:
• Especialización del contenido.
• Optimización del ancho de banda.
• Distribución de revisiones.
• Flexibilidad de la programación e instalación de revisiones.
• Elaboración de informes.
• Si su organización busca una solución sencilla para la implementación de
software y la administración de revisiones, también deseará evaluarla en
relación con las capacidades de distribución de software.
• Microsoft recomienda que adopte la solución que mejor se adapte a las
necesidades de su organización.

6. Estrategia futura

45
En este tema del orden del día, se describirá la estrategia futura.
Específicamente, se tratará:

• Planes de Microsoft para mejorar la administración de revisiones.

Estrategia para utilizar herramientas de administración de revisiones.

6.1 Calidad y uso de las revisiones

Cap2-21.jpg

• Comunicaciones, orientación y cursos para los usuarios. Habrá un

conjunto de nuevos talleres de administración de revisiones y seguridad,
sesiones de aprendizaje y difusiones Web que se ofrecerán de forma
continuada. Microsoft también seguirá proporcionando orientación
adicional del proceso de administración de revisiones y compartiendo
información adicional sobre el proceso de pruebas de las revisiones.
• Mejora del uso de revisiones. Esto implica reducir la frecuencia con que
se publican revisiones de una a la semana a una al mes. Sólo en raras
ocasiones puede ser necesario publicar una revisión en una situación de
emergencia debido a que el código que permite aprovechar la
vulnerabilidad que la revisión corrige sea de dominio público. Otros hitos
importantes son:
• La normalización de la instalación de revisiones y actualizaciones.

46
 • La normalización del manifiesto de detección de revisiones y
actualizaciones.
• Las mejoras de Agregar o quitar programas, incluido el uso de
títulos estándar a través de Agregar o quitar programas, Windows
Update y Centro de descarga.
• La publicación de la versión siguiente de Microsoft Windows
Installer (MSI 3.0), que permitirá:
• Revertir o desinstalar las revisiones.
• Mejorar la optimización del ancho de banda de red.
• Una reducción de hasta el 90% en el tamaño de las
revisiones, gracias a las tecnologías de aplicación de
revisiones con diferencias del código binario.
• La convergencia en dos programas de instalación: uno para
el sistema operativo y sus componentes (update.exe) y el
otro para las aplicaciones (MSI).
• Calidad de las revisiones. Los hitos clave son:
• Una reducción mayor del tamaño de las revisiones hasta alcanzar
el 90% sobre el tamaño promedio en el primer trimestre de 2003.
• La ampliación de esta reducción del 90% a todos los tipos de
revisiones proporcionadas a través de Windows Update o Microsoft
Update, SUS y SMS.
• Una reducción del 10% en los reinicios del sistema para las
actualizaciones que se obtienen a través de Windows Update.
• La capacidad de Windows Update, SUS, SMS y el programa de
instalación de HotFix para consolidar varios reinicios en uno solo
cuando se instalan varias revisiones.
• Se espera lograr una mayor reducción, de al menos un 30%, en el
número de revisiones para los sistemas operativos que requieren
reiniciarse mediante el uso de una técnica conocida como
HotPatching (revisiones en memoria), una nueva tecnología que se
presentará en el Service Pack 1 de Microsoft Windows Server
2003. Está previsto extender esta capacidad a otras versiones de
sistemas operativos además de Windows Server 2003 SP1.

6.2 Estrategia de las herramientas de administración de revisiones

 Windows Update + Office Update => Microsoft Update

 MBSA
 MBSA 1.2 (cuarto trimestre de 2003).
 Más productos y versiones localizadas.
 Integra la herramienta Inventario de Office Update.

47
  MBSA 2.0 (segundo trimestre de 2004).
 La detección forma ahora parte de SUS 2.0 / Microsoft
Update.
 SUS
 SUS 2.0 (segundo trimestre de 2004).
 Agrega capacidades de elaboración de informes,
especialización y secuencias de comandos administrativas.
 Una sola infraestructura para la administración de revisiones.
 Admite más productos de Microsoft.
 Paquete de características de administración de actualizaciones
de SMS 2003 (segundo semestre de 2004).
 Utiliza SUS para la detección y descarga de actualizaciones.
 Utiliza el cliente SUS (Actualizaciones automáticas) para las
instalaciones.
 A más largo plazo (calendario Longhorn).
 SUS se integra en Windows y admite todo el software de
Microsoft.
 La infraestructura de SUS puede ser utilizada por terceros.

• Microsoft Update. La funcionalidad actual de Windows Update y Office

Update se integrará en un nuevo servicio: Microsoft Update. De esta
forma, se permitirá la actualización de todo el software de Microsoft con
las mismas capacidades de detección automatizada, instalación de
actualizaciones y elaboración de informes disponibles en este momento
en Windows Update. Microsoft Update se integrará en la infraestructura
de SUS, podrá utilizarse con otros productos de Microsoft de forma
gradual y ofrecerá un servicio Windows Update que se actualice
continuamente para mantener la compatibilidad con versiones anteriores.
• MBSA. La funcionalidad de detección de actualizaciones de MBSA se
integrará en Windows y, en ese momento, MBSA se convertirá en la
funcionalidad de evaluación y mitigación de vulnerabilidades de Windows.
Está previsto que la versión 1.2 de MBSA se publique a finales de
noviembre o diciembre de 2003. A partir de la versión 2.0, MBSA utilizará
SUS y Actualizaciones automáticas para informar de las actualizaciones
que faltan. Este versión mejorará la coherencia de los informes, la
cobertura de los productos y la compatibilidad con diferentes idiomas, e
integrará la herramienta Inventario de Office Update. Está previsto que
MBSA versión 2.0 se publique en el segundo trimestre de 2004.
• SUS. SUS se convertirá en la infraestructura básica incluida en Microsoft
Windows. SUS funcionará con System Center (el sucesor de SMS) y
otras soluciones de administración de revisiones de terceros para
proporcionar capacidades de administración de revisiones y distribución
de software. Esta integración implica que los usuarios de Windows ya no
tendrán que implementar y administrar varias infraestructuras. Está
previsto que SUS 2.0 se publique a finales del segundo trimestre de 2004.
Esta versión incluirá a otros productos de Microsoft, mejorará de forma

48
 significativa la optimización del ancho de banda a través del uso del
Servicio de transferencia inteligente en segundo plano (BITS, Background
Intelligent Transfer Service) y permitirá a las tecnologías de compresión
de diferencias de código binario reducir drásticamente el tamaño de las
descargas de actualizaciones. Con SUS 2.0, podrá disponer de
información de conjunto y de resúmenes del estado de la implementación
de actualizaciones y sucesos gracias a la utilización de informes estándar.
También dispondrá de la capacidad de crear informes personalizados con
consultas SQL.
• SMS. Después de la publicación de SUS 2.0, SMS se actualizará para
que utilice la funcionalidad de SUS a través del paquete de características
de administración de actualizaciones de SMS 2003, cuya publicación está
prevista para el segundo trimestre de 2004. Este paquete de
características utilizará SUS para la detección y la descarga de
revisiones, y el cliente SUS (Actualizaciones automáticas) para las
instalaciones.

6.3 Resumen del capitulo

 Información general sobre la administración de revisiones

 Herramientas de administración
de revisiones
 Estrategia futura

Como resumen del presente capitulo podríamos agregar, que es importante

tener los sistemas actualizados, recuerde el gusano Blaster, que usted debe
seleccionar la herramienta adecuada de acuerdo a su entorno, y mantenerla
actualizada. Además también es imprescindible estar informado acerca de
nuevas vulnerabilidades.

7. Práctica 1. Utilizando las herramientas de actualización

Ejercicio 1. Configuración automática de Windows Update

1. Inicie sesión en un Windows XP.

2. Vaya al panel de control y haga doble click en System.
3. Seleccione el tab “Automatic Updates”.
4. Seleccione el cuadro “Keep my computer up to date” y presione
OK.
5. Recibirá una notificación de nuevos updates disponibles.
6. Descargue alguno de ellos e instálelos.

49
Ejercicio 2. Uso de Microsoft Baseline Security Analyzer

1. Instale el software MSBSA en una computadora con Windows XP.

2. Desde esa computadora realice un Scan de una computadora remota.
3. Revise el reporte del resultado.

Ejercico 3. Uso de SUS (Optativo)

1. Revise los requerimientos para la instalacion de SUS.

2. Instale SUS sp1 disponible en:
http://www.microsoft.com/windowsserversystem/sus/default.mspx
3. Sincronice su servidor SUS con Windows Update. Nota: Esta operación
requiere de un ancho de banda inicial muy elevado, le recomendamos
que durante las practicas solamente descargue un idioma, de otra manera
el servidor SUS descargará todas las actualizaciones en todos los
idiomas disponibles.
4. Configure un cliente de SUS utilizando el editor de políticas locales.
5. Compruebe que se realicen las actualizaciones. (Recuerde que por el
momento SUS solo actualiza sistema operativo).

8. Pasos siguientes

 Ver sesiones adicionales de seguridad

 http://www.microsoft.com/seminar/events/security.mspx
(este sitio está en inglés)
 Descargar consejos
 http://www.microsoft.com/technet/security/topics/patch/
(este sitio está en inglés)
 Obtener aprendizaje gratuito sobre seguridad práctica
 Buscar un Microsoft Certified Technical Education Center
 http://www.microsoft.com/learning/ (este sitio está en inglés)
En los pasos siguientes es necesario que vaya al sitio Web de Microsoft para:
 Ver sesiones adicionales de seguridad.
 Descargar información de consejos.
 Obtener aprendizaje gratuito sobre seguridad práctica.

8.1 Recursos adicionales

 Microsoft Security Response Center.

50
  Para informar de una posible vulnerabilidad, envíe un mensaje
de correo electrónico a Secure@microsoft.com
 Servicio de notificación de Microsoft Security.
http://www.microsoft.com/technet/security/bulletin/notify.asp
(este sitio está en inglés).
 Advertencia: Microsoft nunca distribuye software a través del correo
electrónico, consulte:
http://www.microsoft.com/technet/security/policy/swdist.asp (este sitio
está en inglés).

• Microsoft Security Response Center (MSRC) protege a los usuarios

independientes para impedir que resulten dañados por vulnerabilidades
de seguridad en los productos de Microsoft de las que hayan informado
orígenes externos. Su misión es:
• Relacionarse con investigadores externos y crear un grupo que se
ocupe de los problemas de seguridad dentro de Microsoft.
• Trabajar con los grupos de trabajo de los productos para
proporcionar correcciones de forma oportuna.
• Determinar cuál es la mejor forma de distribuir las correcciones y
comunicar los problemas a los clientes.
• Actuar como defensor de los usuarios y garantizar la calidad del
producto y que los grupos de trabajo de los productos toman las
decisiones apropiadas en todo el proceso.
• Proporcionar asesoría acerca de las vulnerabilidades y la
seguridad en las compañías.

51