Instalación de parches en Windows

Para parchear equipos con de windows podemos usar diversas alternativas

Equipos Fuera de un dominio

Dentro de un dominio

Lo mejor es utilizar un servidor como WSUS .

Si tenemos equipos que no se validadn contra un dominio pero queremos que se actualizen desde el servidor WSUS debemos de hacer lo siguiente:

  • Creamos un fichero de texto con el siguiente contenido y lo salvamos con extensión reg

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://ipservidorwsus:8530"
"WUStatusServer"="ipservidorwsus:8530"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000
"UseWUServer"=dword:00000001

Copiamos el fichero creado al equipo que queramos que se actualize. Pinchamos sobre el mismo dos veces para que nos añada los valores anteriores al registro del equipo.

Ejecutamos desde una ventana de comandos (cmd) lo siguiente

wuauclt.exe /reportnow /detectnow
y deberíamos de ver el equipo en la lista de equipos clientes del servidor WSUS

En caso de que sigamos sin ver el equipo cliente en la consola del servidor, ejecutamos en el equipo cliente los siguiente
wuauclt.exe /resetauthorization /detectnow

Windows 10

En las versiones de windows 10 y windows 2016 la utilidad wuauclt ha sido reemplazada por usoclient . Ahora para lanzar una búsqueda de actualizaciones desde windows 10, tendríamos que abrir una consola como administradory ejecutar

usoclient StartScan
Las opciones que podemos usar con usoclient son :

  • StartScan → Para buscar que parches nos faltan
  • StartDownload → Descarga los parches
  • StartInstall → Instala los parches descargados
  • RefreshSettings → Para cargar los nuevos valores si se ha hecho algún cambio
  • StartInteractiveScan → Escaneo interactivo
  • RestartDevice → Reinicia el equipo al terminar de instalar los parches
  • ScanInstallWait → Combina escanear, descargar e instalar
  • ResumeUpdate →Realiza el update en el inicio del equipo

https://www.urtech.ca/2018/11/solved-easily-script-windows-10-to-download-install-and-restart-for-windows-updates/

Problemas WSUS y XP

Si aún tenemos máquinas con windows xp que se tienen que actualizar desde el wsus y no están cogiendo las actualizaciones y aún poniendo el paquete de objetos para la versión del servidor (Group Policy Preference Client Side Extensions for Windows XP (KB943729) )sigue sin actualizar. Podemos mirar en la estación en c:\windows\WindowsUpdate.log para ver de donde vienen el problema.

Para resolverlo podemos cambiar los permisos de los servicios de actualizaciones automáticas (wuaserv) y el servicio de transferencia inteligente en segundo plano (Bits)

sc.exe sdset bits D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
sc.exe sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
Habilitar e iniciar los servicios wuaserv y bits

Problemas con las actualizaciones de windows

Resetear la configuración del proxy (por ejemplo si nos descargamos los parches de un servidor wsus local)

netsh winhttp reset proxy

Problemas en Windows 7 y 2008

Si las actuallizaciones las queremos desde internet podemos importar la configuración del proxy del Internet Explorer

netsh winhttp import proxy source =ie

El equipo no aparece en el WSUS

No aparecen máquinas en el WSUS

Podemos abrir un terminal y ejecutar el wuauclt.exe con alguna de estas opciones:

  • /ResetAuthorization /DetectNow (o /a /d)
  • /DetectNow (o /d)
  • /ReportNow /DetectNow (o /r /d)
  • /UpdateNow
  • /ShowWUAutoScan
  • /ShowWindowsUpdate
  • /CloseWindowsUpdate
  • /ShowWU
  • /DemoUI
  • /IdleShutdownNow
  • /ShowOptions
  • /SelfUpdateUnmanaged
  • /SelfUpdateManaged
  • /ResetEulas
  • /ShowSettingsDialog
  • /RunHandlerComServer
Referencias

Parches fuera de ciclo

Existe una página de Microsoft desde donde podemos bajarnos parches para un KB (Microsoft Knowledge Base) en particular.

Por ejemplo para bajar los parches para el famoso virus WannaCry → http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Referencias