Aprovechando que tengo reciente el desarrollo de una sesión formativa en video para la Ciberwall Academy 2021/2022: https://c1b3rwallacademy.usal.es/ en la que hablé de las bondades de mantener nuestros sistemas actualizados, y de la cuál espero daros más información dentro de poco, vamos a ver un ejemplo de política de actualizaciones sobre un entorno tan típico como Windows 10.
Y antes de nada, ¿por qué sobre Windows 10? Bueno, como alguna vez he comentado no creo en el Sistema Operativo perfecto, todos sin excepción: Windows, Linux, Mac, tienen sus pros, y sus contras, y es cuestión de inclinar la balanza según los usos que les vayamos a dar. En todo caso, me decido a hablar de Windows 10 porque prácticamente el 80% del mercado es suyo: https://es.statista.com/estadisticas/634540/sistemas-operativos-para-pc-cuota-de-mercado-mundial/, e indudablemente es el OS típico con el que nos enfrentamos en el día a día.
Empezamos…
Imaginemos que somos personas concienciadas en la necesidad de mantener actualizados nuestros sistemas, no entraremos en las bondades asociadas porque da para otro artículo aún más extenso. Bueno, pues el primer paso será desarrollar un plan de política de seguridad y actualizaciones, para ordenar y llevar a cabo esa misión de la mejor manera posible.
Ese plan debe abordar muchos frentes, por un lado debe contemplar el problema desde una perspectiva general, por otro, disponer de políticas personalizadas por producto o servicio, para entendernos, no es lo mismo mantener actualizado un parque de equipos con windows 10, que el CMS con la web corporativa, cada uno, posee sus peculiaridades y requiere de sus políticas específicas.
Desde el plan general, se contempla el conjunto de sistemas y servicios del Centro, con acciones generales o comunes. Allí se listará a responsables, niveles de criticidad, y se utilizarán herramientas que automaticen inventarios y nos proporcionen una vista actualizada de todos los componentes (un buen ejemplo es GLPI, de la que hablamos en: https://ciberseguridadtotal.com/glpi-herramienta-imprescindible-en-todo-entorno-it/).
Y luego están los planes específicos dependientes del plan general…
Un ejemplo concreto puede ser el de Windows 10:
Como es lógico, lo primero es entender cómo funcionan las actualizaciones en Windows 10, que a diferencia de los Windows anteriores, comenzó a adoptar una filosofía tipo rolling release (efectivamente, a lo Linux), orientada a recibir actualizaciones frecuentes sobre la misma base del sistema operativo.
A grandes rasgos, podemos detectar los siguientes tipos de actualización en Windows 10:
- Actualizaciones de características: son actualizaciones fuertes y las más importantes del sistema. La suma de varias actualizaciones de características podría compararse a lo que era antes una nueva versión de Windows (de la 7 a la v8 por ejemplo). Estas actualizaciones poseen sus propios nombres, que normalmente hablan de la fecha de lanzamiento, por ejemplo Microsoft 10 May 2021 Update, bautizada como 21H1, indica que se lanzó en 2021, en la primera mitad de año. A través del comando “winver” podemos comprobar nuestra versión de Windows 10, basada en este tipo de actualización. Y como última nota, señalar que Microsoft lanza 2 actualizaciones de características a lo largo del año.
- Actualizaciones de calidad: son las relacionadas al día a día, se trata de actualizaciones menores, de seguridad u orientadas a corregir fallos, que Microsoft lanza periódicamente el segundo martes de cada mes. Estas actualizaciones son acumulativas, de modo que si te has saltado la de algún mes, con ir directamente a la última estarás correctamente actualizado. La importancia de estas actualizaciones radica en la corrección de vulnerabilidades de seguridad o fallos críticos que van saliendo.
- Actualizaciones de pila de mantenimiento: La pila de mantenimiento se encarga de instalar las actualizaciones de Windows. En principio la actualización de este componente se lleva a cabo junto a las actualizaciones ordinarias de calidad, no obstante, de manera excepcional se han liberado versiones de modo independiente para corregir problemas puntuales.
- Actualizaciones de controladores: Orientadas a mantener al día los drives obtenidos a través de Windows Update.
- Actualizaciones de productos de Microsoft: A través de Windows Update, es posible también obtener actualizaciones de productos del fabricante, como MS Office, Visual Studio…
Una vez tenemos claro cómo funcionan las actualizaciones en Windows 10, lo suyo es detectar los medios técnicos que tenemos a nuestra disposición. Un ejemplo típico:
- Podemos decidir hacer uso de Windows Server Update Services (WSUS): https://docs.microsoft.com/es-es/windows-server/administration/windows-server-update-services/get-started/windows-server-update-services-wsus para centralizar todo lo relacionado a las políticas de actualizaciones de Windows. De modo que podamos decidir qué actualizaciones desplegar, cuáles no, en que versión quedarnos, y obtener informes detallados de lo que ocurre (equipos con problemas, equipos con y sin actualizaciones, etc…).
- Complementario a lo anterior, podemos hacer uso de las directivas de grupo del Dominio (GPO) para configurar todos los comportamientos asociados a las actualizaciones: periodicidad, reintentos en caso de fallo, reinicio, etc…
Y el último paso, una vez tenemos claro cómo llevar a cabo las actualizaciones, y las herramientas necesarias, es plasmarlo en la política correspondiente, dónde se establecerán cuestiones de todo tipo, algunos ejemplos típicos:
- En WSUS las actualizaciones deben aprobarse antes de desplegarse, podemos establecer políticas concretas, como que las actualizaciones críticas de seguridad se aprueben automáticamente con objeto de agilizar su implantación. También podremos aprobar automáticamente cualquier otro tipo de actualizaciones que se nos ocurra.
- A través de las GPO estableceremos la periodicidad, cuándo se instalan las actualizaciones. Será importante seleccionar un día y hora en que causemos el menor trastorno posible a los usuarios. También podremos configurar comportamientos como que el equipo no se reinicie automáticamente si la sesión de usuario está abierta, para que por ejemplo no se quede colgado en mitad de una presentación.
- En la política se establecerán comportamientos concretos, como qué ocurre si el equipo ha estado apagado el día de la actualización, ¿ésta se instalará inmediatamente? ¿Se realizará en la próxima programación?
- También podremos establecer la rama de trabajo por defecto, por ejemplo, en lo relativo a actualizaciones de características, suele ser recomendable no actualizar nada más salir una versión nueva. El motivo son incompatibilidades con otros sistemas que pueda haber en la empresa, como antivirus o cualquier otro tipo de software o servicio corporativo. Por tanto, nuestra política puede contemplar, o bien ir una versión de este tipo por debajo, o actualizar una vez pasado X meses y comprobada la compatibilidad con X sistemas críticos.
- Gestión de excepciones, siempre hay excepciones, equipos fuera del dominio, equipos sin red, equipos de tal manera… que requerirán su propia política de actualizaciones particular.
- Otras cuestiones, que pueden tener que ver con entornos de prueba o tests, especialmente útiles cuando el parque de equipos es homogéneo, por ejemplo, desplegar una nueva actualización de características a un departamento concreto o entorno de prueba, antes de generalizarlo al resto, etc…
Seguramente, me haya dejado algo en el tintero, las posibilidades son infinitas, pero a grandes rasgos todo lo anterior, puede servir como base para poder desarrollar un plan de actualizaciones concreto en un entorno tan típico como Windows 10.
