meta data de esta página
  •  

¡Esta es una revisión vieja del documento!

, , , , , , ,

Instalación de parches en Windows

Para parchear equipos con de windows podemos usar diversas alternativas

Dentro de un dominio

Lo mejor es utilizar un servidor como WSUS . Configuramos mediante una GPO para indicar el servidor local donde deben de conectarse los clientes y verificamos el acceso de los mismos al servidor por los puerto 8530 y 8531.

Equipos Fuera de un dominio

Si tenemos equipos que no pertenecen al dominio pero queremos que se actualizen desde el servidor WSUS debemos de hacer lo siguiente:

  • Creamos un fichero de texto con el siguiente contenido y lo salvamos con extensión reg

1
2
3
4
5
6
7
8
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://ipservidorwsus:8530"
"WUStatusServer"="ipservidorwsus:8530"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000
"UseWUServer"=dword:00000001

Copiamos el fichero creado al equipo que queramos que se actualize. Pinchamos sobre el mismo dos veces para que nos añada los valores anteriores al registro del equipo.

Ejecutamos desde una ventana de comandos (cmd) lo siguiente

1
wuauclt.exe /reportnow /detectnow
y deberíamos de ver el equipo en la lista de equipos clientes del servidor WSUS

En caso de que sigamos sin ver el equipo cliente en la consola del servidor, ejecutamos en el equipo cliente los siguiente
1
wuauclt.exe /resetauthorization /detectnow

Windows 10

En las versiones de windows 10 y windows 2016 la utilidad wuauclt ha sido reemplazada por usoclient . Ahora para lanzar una búsqueda de actualizaciones desde windows 10, tendríamos que abrir una consola como administradory ejecutar

1
usoclient StartScan
Las opciones que podemos usar con usoclient son :

  • StartScan → Para buscar que parches nos faltan
  • StartDownload → Descarga los parches
  • StartInstall → Instala los parches descargados
  • RefreshSettings → Para cargar los nuevos valores si se ha hecho algún cambio
  • StartInteractiveScan → Escaneo interactivo
  • RestartDevice → Reinicia el equipo al terminar de instalar los parches
  • ScanInstallWait → Combina escanear, descargar e instalar
  • ResumeUpdate →Realiza el update en el inicio del equipo

Actualizar W10 con Powershell

  1. Arrancamos powershell
  2. Instalamos el módulo → Install-Module PSWindowsUpdate
  3. Get-Command -Module PSWindowsUpdate
  4. Ver las actualizaciones pendientes→ Get-WindowsUpdate
  5. Instalar las actualizaciones → Install-WindowsUpdate
  6. Install-WindowsUpdate -AcceptAll -AutoReboot
  7. Instalar un KB específico → Get-WindowsUpdate -Install -KBArticleID 'KB4560960'

Actualizar W10 con un script

Creamos el siguiente script de powershell y lo llamamos actualizar.ps1

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
$winVer = [System.Environment]::OSVersion.Version.Major
$dir = 'C:\_Windows_FU\packages'
mkdir $dir
 
if ($winVer -eq 10)
    
        $webClient = New-Object System.Net.WebClient
        $url = 'https://go.microsoft.com/fwlink/?LinkID=799445'
        $file = "$($dir)\Win10Upgrade.exe"
        $webClient.DownloadFile($url,$file)
        Start-Process -FilePath $file -ArgumentList '/quietinstall /skipeula /auto upgrade /copylogs $dir'
        }
     
    else
 
        {
            echo "This is Not Windows10 OS "
        }
     
sleep 10
 
Remove-Item "C:\_Windows_FU" -Recurse -Force -Confirm:$false

Ojo el link $url hay que cambiarlo según el upgrade que queramos instalar

Para ejecutarlo powershell.exe -ExecutionPolicy Bypass ./actualizar.ps1

https://www.urtech.ca/2018/11/solved-easily-script-windows-10-to-download-install-and-restart-for-windows-updates/

Problemas WSUS y XP

Si aún tenemos máquinas con windows xp que se tienen que actualizar desde el wsus y no están cogiendo las actualizaciones y aún poniendo el paquete de objetos para la versión del servidor (Group Policy Preference Client Side Extensions for Windows XP (KB943729) )sigue sin actualizar. Podemos mirar en la estación en c:\windows\WindowsUpdate.log para ver de donde vienen el problema.

Para resolverlo podemos cambiar los permisos de los servicios de actualizaciones automáticas (wuaserv) y el servicio de transferencia inteligente en segundo plano (Bits) 

sc.exe sdset bits D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
sc.exe sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
Habilitar e iniciar los servicios wuaserv y bits

Problemas con las actualizaciones de windows

Problemas con el Proxy

Resetear la configuración del proxy (por ejemplo si nos descargamos los parches de un servidor wsus local)

1
netsh winhttp reset proxy
o bien
1
netsh winhttp import proxy source=ie

Si sigue fallando probar con :

1
2
3
4
5
6
net stop bits
net stop wuauserv
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate /f
rd /s /q %WINDIR%\SoftwareDistribution
gpupdate /force
wuauclt /resetauthorization /detectnow

https://wuinstall.com/index.php/blog-list/item/11-force-windows-10-updates-command-line.html

El equipo no aparece en el WSUS

No aparecen máquinas en el WSUS

Podemos abrir un terminal y ejecutar el wuauclt.exe con alguna de estas opciones:

  • /ResetAuthorization /DetectNow (o /a /d)
  • /DetectNow (o /d)
  • /ReportNow /DetectNow (o /r /d)
  • /UpdateNow
  • /ShowWUAutoScan
  • /ShowWindowsUpdate
  • /CloseWindowsUpdate
  • /ShowWU
  • /DemoUI
  • /IdleShutdownNow
  • /ShowOptions
  • /SelfUpdateUnmanaged
  • /SelfUpdateManaged
  • /ResetEulas
  • /ShowSettingsDialog
  • /RunHandlerComServer
Referencias

Parches fuera de ciclo

Existe una página de Microsoft desde donde podemos bajarnos parches para un KB (Microsoft Knowledge Base) en particular.

Por ejemplo para bajar los parches para el famoso virus WannaCry → http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Referencias