Buenas, Ya están las cosas "más calmadas" tras Wannacry, excepto para muchos comerciales que quieren llegar a Agosto saltandose Junio y Julio.
Tanto si te pilló WannaCry, como NO, como si no quieres contarlo, da lo mismo!. Te comento sobre dos cosas que existen desde hace mucho tiempo respecto al parcheo, varias veces hemos hablado de ellas, hemos empujado a utilizarlo y hemos insistido, pero....
La primera, es sencilla y gratis completamente (solo hay que sentarse, pensar y definir con el equipo completo de IT): Tener definida una política de parcheo. Según tu infraestructura lleva más o menos trabajo pensar en esto. ¿Cuándo parcheo?¿Como?¿Cual?
A esto hay varias reflexiones que hacer, primero las que tienen que ver con la infraestructura y arquitectura. Número de equipos y servidores, entornos (Pre, Pro...Piloto), Distribuido o Centralizado.
Es lógico si es una infraestructura pequeña, pensar en disponer de una gestión centralizada de los parches. Un grupo de parcheo para Servidores y otro para Estaciones, por supuesto con alguna estación y servidor de conejillos de indias para probar los parches previamente.
Si la infraestructura es grande ya contamos con la de laboratorio o piloto donde podremos testear mejor.
¿Qué parcheo?, Debemos tener claro los productos que podemos o no parchear automáticamente y manualmente. Hay productos como Exchange, Lync, SQL, que requieren parcheo manual o atendido, otros como el S.O. y Office, habitualmente de manera desatendida, pero tenemos que definirlo.
Puedo decidir parchear o no un producto, pero he de tener una razón para ello.
Si no utilizo un producto, no debo contemplarlo hasta la fecha, pero cuidado aquí!, de un momento para otro si incorporo un producto nuevo y no defino su parcheo, voy a tener un problema.
¿Parches críticos?¿de seguridad?¿resto?, hay diferentes tipos de parches por cada producto, pero principalmente tres categorías de las cuales hay que prestar especial atención a dos: parches críticos y de seguridad.
Es posible desplegar parches críticos de manera automática a ciertos sistemas, y a otros no, lo mismo con los de seguridad o con el resto de parches, pero, hay que definirlo.
¿Cuando parcheo?, éste ha sido el problema. Hay muchas empresas que no dedican tiempo ni recursos a ésta fase, por el motivo que sea (prefiero no entrar). De ahí que muchas no hubieran instalado parches a tiempo, otras por tener definida una política de actualización no muy agresiva, ....
Hay quien parchea únicamente cuando instala por primera vez una estación o un servidor, después cuando da algún problema o bien porque...ese día está inspirado y va a Windows update. Total, podemos hablar del parcheo 1 o 2 veces al año, pero ¿así haces con todos los dispositivos?.
Si tienes 5 equipos en red seguro que lo tienes controlado, pero si tienes más, dudo que puedas dedicarte a pasar 1 a 1 y hacer estas tareas cada poco tiempo.
Más habitual el parcheo por trimestres, 4 veces al año. Aun así, piénsalo, corres peligro, tienes riesgo de no tener tus equipos "al día", con sus parches de seguridad o críticos sin aplicar.
Hay que tener en cuenta que MS publica parches el segundo martes de cada mes.
Un ejemplo de política de parcheo puede ser:
- Definir diferentes grupos de Servidores/Estaciones. 1 por cada entorno.
- Diariamente aplicar parches críticos y de seguridad automáticamente en el grupo Piloto
- El segundo miércoles de cada mes, aplicar el resto de parches al grupo Piloto.
- El tercer martes de cada mes (si no hemos detectado ningún fallo en la última semana atribuido a algún parche), aplicar los parches críticos, de seguridad y resto a todos los equipos restantes.
Por supuesto puede haber excepciones, pero NO TODO puede ser una excepción, y además deberemos comprobar que los parches se instalan correctamente, o bien con auditorias y software de seguridad o bien con scripts.
La segunda, es la "gratis": Fue en 2005 cuando MS publicó Windows Server Update Services, desde entonces ha llovido y mucho, pero seguimos teniendo este software a disposición con versión más moderna.
De ahí que no se entienda porqué hay empresas que siguen haciendo las cosas manualmente.
Decía en el titulo del post, que es gratis!!, No pero casi, requiere una licencia de Windows Server y de almacenamiento.
Es más que asumible el coste de 1 licencia (no lo instales con otro Rol, no seas tacaño), te evita perder el tiempo máquina por máquina actualizando, son muuuchas horas si tienes muuuuchos ordenadores y servidores, por lo que al final ahorras tiempo y dinero.
Además, puedes sacar reportes del estado de los equipos, ver requisitos de otros parches, etc etc.
Una muy buena utilidad si dispones de una red Windows.
En 5 pasos lo puedes instalar, ahí te dejo la mejor guía posible: https://msdn.microsoft.com/es-es/library/hh852340(v=ws.11).aspx
Si esto no va contigo, no quieres preocuparte por administrar una herramienta, pero quieres estar al día, hay solución contigo: habilita Windows Update en todos tus equipos y servidores. Es mejor eso que nada.
Si necesitas algo más y diferente, hay otros productos que te permiten hacer lo mismo:
- Desde la nube, Windows Intune
- En una infraestructura grande, SCCM
Ambos te permiten mucho más que WSUS, pero ya hay que aflojar la billetera
Por supuesto hay software de terceros, ahí cuestión de probar y que vaya bien contigo.
Ánimo, aplícate el cuento ya, coge la guía de instalación y ponte a probarlo si no lo has hecho aún!.
Álvaro Velasco Miguel
