UNIVERSIDAD DE GUAYAQUIL.

FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS.

CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES.

CISC

PROYECTO DE SEGURIDAD INFORMÁTICA.

INSTALACIÓN Y CONFIGURACIÓN DE WSUS

WINDOWS SERVICES UPDATE SERVICE

TUTOR

ING. CARLOS MONTÉS

GRUPO# 9

JULIO CEREZO ALVAREZjulioandrehs@hotmail.comCelular: 085195652

GEOMARA ALVARADO MACÍASgiomy_sthepy@hotmail.com

Celular: 080043290

DAVID ALEGRÍA cdavid_85emelecista@yahoo.es

Celular: 094177723

INTRODUCCIÓN .

Bueno estaremos haciendo la implementación de WSUS 3.0 SP2 RC(en sus siglas en ingles Windows Server Update Services), el servidor de actualizaciones de servicios para Windows instalada sobre el sistema operativo Windows server 2008 RC. Lo que hace este servidor es sincronizarnos todas las actualizaciones de los productos que nosotros elijamos a nuestro servidor para que después baje las actualizaciones automáticamente a las máquinas clientes que están conectadas o pegadas al dominio y esto nos sirve porque podemos tener problemas con algún parche o algo en especifico, y podemos bloquear ese update para que no se instale en las computadoras, y vamos a estar autorizados para manejar todo el sistemas operativo de las computadoras clientes que están en el dominio.Para la instalación del WSUS necesitamos tener configurado el controlador de dominio (Active directory), el servidor DNS, de resolución de nombres, el servidor de servicios IIS(Internet Information Services 6.0 ó 7.0), y también el Servidor DHCP(Dynamic Host Configuration Protocol), opcional el servidor de Wins.Pre-Requisitos Software del Servidor:

Windows Server 2008 RC.

Requisitos Software para la Instalación:

Microsoft Internet Information Services (IIS) 6.0 ó7.0

Background Intelligent Transfer Service (BITS) 3.0Microsoft .NET Framework Version 3.0 Redistributable Package (x64)http://www.microsoft.com/DOWNLOADS/details.aspx?familyid=10CC340B-F857-4A14-83F5-25634C3BF043&displaylang=es

Requisitos software para la Administración:

Microsoft Management Console 3.0 for Windows Server 2008Microsoft Report ViewerSQL Server 2008 (MSDE ó versión Completa).ASP.NET versión 2.0

Requisitos de los Clientes:Windows Vista Beta 2Windows 7Windows Server 2003 (cualquier edición)Windows Server 2008 (cualquier edición)Windows XP (cualquier edición)Windows 2000 con Service Pack 4.

Con un solo servidor WSUS, podemos configurar un servidor que ejecute WSUS dentro de su firewall, el cual sincroniza el contenido directamente con Microsoft Update y distribuye las actualizaciones entre los equipos cliente, tal y como se muestra en la figura siguiente.

VARIOS SERVIDORES WSUS INDEPENDIENTES

Los administradores pueden implementar varios servidores configurados de forma que cada uno sea administrado independientemente y sincronice su contenido desde Microsoft Update, tal como se muestra en la figura siguiente.

IMPLEMENTACIÓN DE WSUS

Comenzamos la instalación de WSUS y nos sale el asistente y le damos clic en siguiente.

El muestra el tipo de instalación, que deseamos y le decimos instalación de servidor completa incluida la consola de administración le damos siguiente y comienza

Aceptamos los términos de contrato y clic en siguiente.

Acá nos indica, donde se almacena las actualizaciones localmente

Aquí nos indica que servidor de base de datos desea usar, la primera opción como nos dice la imagen es usando Windows Internal Database

O también sí tenemos SQL server 2008, y podemos generar una nueva instancia para que guarde toda la información, o sino la última opción en una base de dato externa de otro servidor, no nos vamos a complicar usamos la primera opción con Windows internal Database.

Acá le decimos que cree un nuevo web site de IIS, para poder administrar y nos indica que va estar en http: //SER-DCWSUS:8530

Nos da un reporte de la carpeta de contenido, los archivos de la base de dato y donde se va estar actualizando el cliente y le damos clic en siguiente.

Y comienza la instalación.

Finaliza la instalación.

Y nos sale el asistente, y nos témenos que hacer unas preguntas antes de comenzar? Y cuando nos respondemos las preguntas le damos siguiente.

Le decimos que no, queremos participar del programa de update

Acá esta la parte de sincronicación, donde va estar bajando las update para los distintos productos instalados en las computadoras en nuestra red o sí tenemos otro servidor corriendo en nuestra red o en otro dominio de confianza y que sea parte de la red , necesitamos tener segmentado esta parte y nosotros Windows update y le damos siguiente.

Aquí nos dice si queremos usar un proxy para conectarnos, acá nos conectamos directamente y le damos siguiente.

Le damos iniciar conexión y va a conectarse a Windows update y nos va a bajar todo sobre los productos, la disponibilidad de lenguaje para que podamos seleccionar lo que necesitamos para nuestros productos.

Finaliza la conexión y le damos siguiente.

Y nos muestra el lenguaje de los paquetes y acá me detecto que el lenguaje es español y también podemos seleccionar ingles por si algún cliente este usando algún producto en inglés.

Aquí nos despliega la lista de producto que deseamos y seleccionamos

Aquí le seleccionamos los tipos de actualización y le damos siguiente.

Acá le decimos que sincronice manualmente.

Le dejamos que por defecto arranque la consola y la sincronización inicial .

Nos muestra algunas ayudas y le damos finalizar

Nos abre la consola de WSUS, el centro de administración de actualización, comienza a sincronizar nos da el estado 0% y nos da un una descripción general de las computadoras y update, cuales tienen error, las estadísticas del servidor.

Acá le damos clic en todas las actualizaciones, y podemos aprobarlas, o no, y sí sabemos que hay un update que está interfiriendo con nuestro producto , en emisión critica no lo aprobamos.

Aquí nos muestra que tenemos 3 actualizaciones de seguridad esperando ser aprobados , 5 actualizaciones críticas y 102 productos nuevos.

CONFIGURACIÓN DE CLIENTES POR GPO

Ejecutamos gpmc.msc -: y le damos clic en default domain clic derecho editar.

Aquí nos muestra la consola de administración de GPO le damos clic en directivas -: componentes de Windows-: Windows update, administrando y configurando hacia nuestros clientes

Nos vamos a la política de especificar la ubicación del servicio en la intranet, y le damos habilitar y ponemos la dirección del servidor o dominio y el puerto para que los clientes de mi dominio, que se estén conectando para descargar las actualizaciones

Le habilitamos la detección de nuevas actualizaciones y le dejamos en 22 horas

Configuración actualizaciones automáticas, para que las programe

Ahora nos dirigimos a la máquina cliente. Vamos a refrescar las políticas del dominio, para forzar los cambios. Para eso hacemos: Gpupdate /force

Para que WSUS detecte la Desktop, largamos el siguiente comando en el cliente:wuauclt.exe /detectnow Este último no nos da confirmación de nada.

A continuación vamos a setear la configuración por defecto para asignar clientes a los grupos de WSUS. En la pantalla de Update Services > Options > Computers.

En el editor de políticas vamos a Configuración de computadoras-: Administración de plantillas-: componentes de Windows-: actualizaciones de Windows En el cuadro derecho hacemos Doble Click en habilitar destinatarios del lado del cliente.

CONFIGURANDO EL ANCHO DE BANDA DEL WSUS CON BITS,

Es posible cambiar la transferencia que utiliza BITS ya sea de subida o bajada a través de GPO. Esta configuración puede desde una política de grupo en el dominio a través de la GPMC (gpmc.msc).Y nos vamos a configuración de computadoras -: Administración de plantillas-: red » Background Intelligent Transfer Service.

Primero debemos definir el transfer rate por segundo en kilobits. Por defecto está en 10, pero podemos adaptarlo a nuestro enlace. También debemos definir el horario en el que deberá limitar el ancho de banda y qué queremos que haga fuera de ese horario.

Aquí nos da cuantos días debe esperar para tomar un trabajo pendiente como abandonado. Esto significa por ejemplo, si comienza un trabajo de descarga y luego el equipo es apagado sin finalizarlo el trabajo queda pendiente. Por defecto luego de 90 días de quedar pendiente se considera abandonado por el solicitante. También el ancho de banda que BITS controla es el ancho de banda del cliente, no el total de ancho de banda disponible en la red.

WSUS CLIENT DIAGNOSTIC TOOL | HACIENDO UN DIAGNÓSTICO DEL CLIENTE

Es un ejecutable llamado ClientDiag.exe que nos provee cierta información del cliente que nos ayudará a revisar si la conexión y configuración contra el WSUS Server o el módulo de Updates del System Center Essentials está ok. La misma fue diseñada para ayudar a los administradores a revisar el por qué un cliente no se está reportando en el WSUS o bien no está bajando actualizaciones. El resultado que nos brinda la herramienta es a través de la línea de comandos y se asemeja al siguiente

Analizando los chequeos que realiza podemos ver en primera etapa:

Checking for admin rights to run tool: Permisos para ejecutar esta herramienta Automatic Updates Service is running: Si el servicio de Automatic Updates está corriendo. Background Intelligent Transfer Service is running: Si el servicio BITS está corriendo. Wuaueng.dll version 7.1.6001.65: Versión de la DLL de Automatic Updates. Esto es importante, si vemos problemas de actualización podemos probar actualizando la misma a la ultima versión.