Procedimientos recomendados para las actualizaciones de software en Configuration Manager
Artículo
Se aplica a: Configuration Manager (rama actual)
En este artículo se incluyen los procedimientos recomendados para las actualizaciones de software en Configuration Manager. La información se ordena en procedimientos recomendados para la instalación inicial y para las operaciones en curso.
Procedimientos recomendados de instalación
Use los siguientes procedimientos recomendados al instalar actualizaciones de software en Configuration Manager.
Uso de una base de datos WSUS compartida para puntos de actualización de software
Al instalar más de un punto de actualización de software en un sitio primario, use la misma base de datos WSUS para cada punto de actualización de software en el mismo bosque de Active Directory. Si comparte la misma base de datos, mitiga significativamente, pero no elimina por completo, el impacto en el rendimiento del cliente y la red que podría experimentar cuando los clientes cambian a un nuevo punto de actualización de software. Todavía se produce un examen delta cuando un cliente cambia a un nuevo punto de actualización de software que comparte una base de datos con el punto de actualización de software anterior, pero el examen es mucho menor que si el servidor WSUS tiene su propia base de datos. Para obtener más información sobre el cambio de punto de actualización de software, consulte Cambio de punto de actualización de software.
Importante
Comparta también las carpetas de contenido de WSUS locales cuando use una base de datos WSUS compartida para puntos de actualización de software.
Para obtener más información sobre cómo compartir la base de datos WSUS, consulte las siguientes entradas de blog:
Cuando Configuration Manager y WSUS usan la misma SQL Server, configure una para usar una instancia con nombre y la otra para usar la instancia predeterminada.
Cuando las bases de datos Configuration Manager y WSUS comparten la misma instancia de SQL Server, no puede determinar fácilmente el uso de recursos entre las dos aplicaciones. Use diferentes instancias de SQL Server para Configuration Manager y WSUS. Esta configuración facilita la solución y diagnóstico de problemas de uso de recursos que pueden producirse para cada aplicación.
Especificar la configuración "Almacenar actualizaciones localmente"
Al instalar WSUS, seleccione la configuración de Almacenar actualizaciones localmente. Esta configuración hace que WSUS descargue los términos de licencia asociados a las actualizaciones de software. Descarga los términos durante el proceso de sincronización y los almacena en la unidad de disco duro local para el servidor WSUS. Si no selecciona esta configuración, es posible que los equipos cliente no cumplan los exámenes de cumplimiento en busca de actualizaciones de software que tengan términos de licencia. El componente Administrador de sincronización de WSUS del punto de actualización de software comprueba que esta configuración está habilitada cada 60 minutos, de forma predeterminada.
Configuración de los puntos de actualización de software para usar TLS/SSL
La configuración de servidores de Windows Server Update Services (WSUS) y sus puntos de actualización de software correspondientes para usar TLS/SSL puede reducir la capacidad de un posible atacante de poner en peligro de forma remota un cliente y elevar los privilegios. Para asegurarse de que se han implementado los mejores protocolos de seguridad, se recomienda encarecidamente usar el protocolo TLS/SSL para ayudar a proteger la infraestructura de actualización de software. Para obtener más información, consulte el tutorial Configurar un punto de actualización de software para usar TLS/SSL con un certificado PKI.
Procedimientos recomendados operativos
Use los siguientes procedimientos recomendados al usar actualizaciones de software:
Limitar las actualizaciones de software a 1000 en una única implementación de actualización de software
Limite el número de actualizaciones de software a 1000 en cada implementación de actualizaciones de software. Al crear una regla de implementación automática, compruebe que los criterios especificados no dan lugar a más de 1000 actualizaciones de software. Si implementa manualmente las actualizaciones de software, no seleccione más de 1000 actualizaciones.
Cree un nuevo grupo de actualizaciones de software cada vez que se ejecute una ADR para "Patch Tuesday" y para implementaciones generales.
Hay un límite de 1000 actualizaciones de software en una implementación. Al crear una regla de implementación automática (ADR), se especifica si se debe usar un grupo de actualizaciones existente o crear un nuevo grupo de actualizaciones cada vez que se ejecute la regla. Si especifica criterios en una ADR que da como resultado varias actualizaciones de software y la regla se ejecuta según una programación periódica, cree un nuevo grupo de actualizaciones de software cada vez que se ejecute la regla. Este comportamiento impide que la implementación supere el límite de 1000 actualizaciones de software por implementación.
Uso de un grupo de actualizaciones de software existente para las ADR para las actualizaciones de definiciones de Endpoint Protection
Cuando use una ADR para implementar actualizaciones de definiciones de Endpoint Protection con frecuencia, use siempre un grupo de actualizaciones de software existente. De lo contrario, la ADR podría crear cientos de grupos de actualizaciones de software a lo largo del tiempo. Los publicadores de actualizaciones de definiciones suelen establecer que las actualizaciones de definición expiren cuando se reemplazan por cuatro actualizaciones más recientes. Por lo tanto, el grupo de actualizaciones de software creado por la ADR nunca contiene más de cuatro actualizaciones de definición para el publicador: una activa y tres reemplazadas.
Obtenga información sobre cómo usar Windows Server Update Services para implementar actualizaciones del sistema operativo en equipos de la red. Seleccione la opción de implementación adecuada y combine WSUS con Microsoft Azure Update Management para administrar las actualizaciones del servidor.
Planee y ejecute una estrategia de implementación de puntos de conexión mediante elementos esenciales de la administración moderna, los enfoques de administración conjunta y la integración de Microsoft Intune.
Un plan para la infraestructura del punto de actualización de software es esencial antes de usar las actualizaciones de software en un entorno de producción de Configuration Manager.
Los sitios primarios requieren un punto de actualización de software en el sitio de administración central para la evaluación del cumplimiento de actualizaciones de software y para implementar actualizaciones de software en los clientes.
Obtenga información sobre la configuración de cliente adecuada para las actualizaciones de software en el sitio después de instalar el punto de actualización de software.
Siga estos procedimientos recomendados para la seguridad de las actualizaciones de software y obtenga información sobre cómo Configuration Manager controla la información de privacidad.
El administrador de configuración ayuda a administrar la compleja tarea de seguimiento y aplicación de actualizaciones de software a los clientes de su organización.
La consola de Configuration Manager contiene iconos que indican un estado para la actualización sincronizada o el grupo de actualizaciones de software.