Cómo usar directiva de grupo para implementar una reversión de problemas conocida

  • Artículo

En este artículo se describe cómo configurar directiva de grupo para usar una definición de directiva de reversión de problemas conocidos (KIR) que activa una kir en dispositivos administrados.

Se aplica a: Windows Server (todas las versiones admitidas), cliente de Windows (todas las versiones admitidas)

Resumen

Microsoft ha desarrollado una nueva tecnología de mantenimiento de Windows denominada KIR para Windows Server 2019 y Windows 10, versiones 1809 y versiones posteriores. En el caso de las versiones admitidas de Windows, kir revierte un cambio específico que se aplicó como parte de una versión de Windows Update de no seguridad. Todos los demás cambios realizados como parte de esa versión permanecen intactos. Con esta tecnología, si una actualización de Windows provoca una regresión u otro problema, no es necesario desinstalar toda la actualización y devolver el sistema a la última configuración correcta conocida. Revierte solo el cambio que provocó el problema. Esta reversión es temporal. Una vez que Microsoft publica una nueva actualización que corrige el problema, la reversión ya no es necesaria.

Importante

Los KIR solo se aplican a las actualizaciones que no son de seguridad. Esto se debe a que revertir una corrección para una actualización que no es de seguridad no crea una posible vulnerabilidad de seguridad.

Microsoft administra el proceso de implementación de KIR para dispositivos no empresariales. Para dispositivos empresariales, Microsoft proporciona archivos MSI de definición de directiva KIR. A continuación, las empresas pueden usar directiva de grupo para implementar KIR en dominios híbridos de Microsoft Entra ID o Servicios de dominio de Active Directory (AD DS).

Nota:

Tiene que reiniciar los equipos afectados para aplicar este cambio de directiva de grupo.

El proceso de KIR

Si Microsoft determina que una actualización de no seguridad tiene una regresión crítica o un problema similar, Microsoft genera una KIR. Microsoft anuncia kir en el panel de mantenimiento de Windows y agrega la información a las siguientes ubicaciones:

En el caso de los clientes que no son de empresa, el proceso de Windows Update aplica kir automáticamente. No requiere la intervención del usuario.

Para los clientes empresariales, Microsoft proporciona un archivo MSI de definición de directiva. Los clientes empresariales pueden propagar kir a sistemas administrados mediante la infraestructura de directiva de grupo empresarial.

Para ver un ejemplo de un archivo MSI de KIR, descargue Windows 10 (2004 & 20H2) Reversión de problemas conocida 031321 01.msi.

Una definición de directiva kir tiene una duración limitada (unos meses, como máximo). Una vez que Microsoft publica una actualización modificada para solucionar el problema original, la kir ya no es necesaria. La definición de directiva se puede quitar de la infraestructura de directiva de grupo.

Aplicar KIR a un único dispositivo mediante directiva de grupo

Para usar directiva de grupo para aplicar una KIR a un único dispositivo, siga estos pasos:

  1. Descargue el archivo MSI de definición de directiva KIR en el dispositivo.

    Importante

    Asegúrese de que el sistema operativo que aparece en el nombre de archivo .msi coincide con el sistema operativo del dispositivo que desea actualizar.

  2. Ejecute el archivo .msi en el dispositivo. Esta acción instala la definición de directiva kir en la plantilla administrativa.
  3. Abra el directiva de grupo Editor Local. Para ello, seleccione Inicio y escriba gpedit.msc.
  4. Seleccione Directiva de equipo> localConfiguración del> equipoPlantillas> administrativasProblema DE KB####### XXX Reversión>Windows 10, versión YYMM.

    Nota:

    En este paso, ####### es el número de artículo de KB de la actualización que produjo el problema. XXX es el número de problema y YYMM es el número de versión Windows 10.

  5. Haga clic con el botón derecho en la directiva y, a continuación, seleccione Editar>aceptar deshabilitado>.
  6. Reinicie el dispositivo.

Para obtener más información sobre cómo usar la directiva de grupo Editor local, vea Trabajar con la configuración de directiva de plantilla administrativa mediante la directiva de grupo Editor local.

Aplicar una kir a los dispositivos de un dominio híbrido de Microsoft Entra ID o AD DS mediante directiva de grupo

Para aplicar una definición de directiva kir a los dispositivos que pertenecen a un Microsoft Entra ID híbrido o dominio de AD DS, siga estos pasos:

  1. Descarga e instalación de los archivos MSI de KIR
  2. Cree un objeto directiva de grupo (GPO).
  3. Cree y configure un filtro WMI que aplique el GPO.
  4. Vincule el GPO y el filtro WMI.
  5. Configure el GPO.
  6. Supervise los resultados del GPO.

1. Descargar e instalar los archivos MSI de KIR

  1. Compruebe la información de la versión kir o las listas de problemas conocidos para identificar qué versiones del sistema operativo tiene que actualizar.
  2. Descargue la definición de directiva kir .msi archivos que necesite actualizar al equipo que use para administrar directiva de grupo para su dominio.
  3. Ejecute los archivos .msi. Esta acción instala la definición de directiva kir en la plantilla administrativa.

    Nota:

    Las definiciones de directiva se instalan en la carpeta C:\Windows\PolicyDefinitions . Si ha implementado la directiva de grupo Central Store, debe copiar los archivos .admx y .adml en el Almacén central.

2. Creación de un GPO

  1. Abra directiva de grupo Consola de administración y, a continuación, seleccione Bosque: Dominios domainname>.
  2. Haga clic con el botón derecho en el nombre de dominio y, a continuación , seleccione Crear un GPO en este dominio y vincúlelo aquí.
  3. Escriba el nombre del nuevo GPO (por ejemplo, KIR Issue XXX) y, a continuación, seleccione Aceptar.

Para obtener más información sobre cómo crear GPO, vea Crear un objeto directiva de grupo.

3. Creación y configuración de un filtro WMI que aplique el GPO

  1. Haga clic con el botón derecho en Filtros WMI y, a continuación, seleccione Nuevo.

  2. Escriba un nombre para el nuevo filtro WMI.

  3. Escriba una descripción del filtro WMI, como Filtrar a todos los dispositivos Windows 10, versión 2004.

  4. Seleccione Agregar.

  5. En Consulta, escriba la siguiente cadena de consulta:

    SELECT version, producttype from Win32_OperatingSystem WHERE Version = <VersionNumber>

    Importante

    En esta cadena, <VersionNumber> representa la versión de Windows a la que desea que se aplique el GPO. El número de versión debe usar el siguiente formato (excluir los corchetes cuando se usa el número de la cadena):

    10.0.xxxxx

    donde xxxxx es un número de cinco dígitos. Actualmente, los KIR admiten las siguientes versiones:

    Versión Número de compilación
    Windows 10, versión 20H2 10.0.19042
    Windows 10, versión 2004 10.0.19041
    Windows 10, versión 1909 10.0.18363
    Windows 10, versión 1903 10.0.18362
    Windows 10, versión 1809 10.0.17763

    Para obtener una lista actualizada de las versiones de Windows y los números de compilación, consulta Windows 10: información de la versión.

    Importante

    Los números de compilación que aparecen en la página de información de Windows 10 versión no incluyen el prefijo 10.0. Para usar un número de compilación en la consulta, debe agregar el prefijo 10.0 .

Para obtener más información sobre cómo crear filtros WMI, vea Crear filtros WMI para el GPO.

  1. Seleccione el GPO que creó anteriormente, abra el menú Filtrado WMI y, a continuación, seleccione el filtro WMI que acaba de crear.
  2. Seleccione para aceptar el filtro.

5. Configuración del GPO

Edite el GPO para usar la directiva de activación de KIR:

  1. Haga clic con el botón derecho en el GPO que creó anteriormente y seleccione Editar.
  2. En el directiva de grupo Editor, seleccione GPOName>Computer Configuration>Administrative Templates>KB ####### Issue XXX Rollback>Windows 10, version AAAA.
  3. Haga clic con el botón derecho en la directiva y, a continuación, seleccione Editar>aceptar deshabilitado>.

Para obtener más información sobre cómo editar GPO, vea Editar un objeto directiva de grupo de GPMC.

6. Supervisión de los resultados del GPO

En la configuración predeterminada de directiva de grupo, los dispositivos administrados deben aplicar la nueva directiva en un plazo de 90 a 120 minutos. Para acelerar este proceso, puede ejecutar gpupdate en los dispositivos afectados para comprobar manualmente si hay directivas actualizadas.

Asegúrese de que cada dispositivo afectado se reinicie después de aplicar la directiva.

Importante

La corrección que introdujo el problema se deshabilita después de que el dispositivo aplique la directiva y, a continuación, se reinicie.

Implementación de una activación de KIR mediante Microsoft Intune ingesta de directivas ADMX en los dispositivos administrados

Nota:

Para usar las soluciones de esta sección, debe instalar la actualización acumulativa publicada el 26 de julio de 2022 o una posterior en el equipo.

Las directivas de grupo y los GPO no son compatibles con soluciones basadas en administración de dispositivos móviles (MDM), como Microsoft Intune. Estas instrucciones le guiarán a través de cómo usar Intune configuración personalizada para la ingesta de ADMX y configurar directivas MDM respaldadas por ADMX para realizar una activación kir sin necesidad de un GPO.

Para realizar una activación kir en Intune dispositivos administrados, siga estos pasos:

  1. Descargue e instale el archivo KIR MSI para obtener archivos ADMX.
  2. Cree un perfil de configuración personalizado en Microsoft Intune.
  3. Supervisión de la activación de KIR.

1. Descargue e instale el archivo KIR MSI para obtener archivos ADMX.

  1. Compruebe la información de versión de KIR o las listas de problemas conocidos para identificar qué versiones del sistema operativo (SO) debe actualizar.

  2. Descargue los archivos de .msi de definición de directiva kir necesarios en el equipo que usa para iniciar sesión en Microsoft Intune.

    Nota:

    Necesitará acceso al contenido de un archivo ADMX de activación de KIR.

  3. Ejecute los .msi archivos. Esta acción instala la definición de directiva kir en la plantilla administrativa.

    Nota:

    Las definiciones de directiva se instalan en la carpeta C:\Windows\PolicyDefinitions .

    Si desea extraer los archivos ADMX en otra ubicación, use el msiexec comando con la propiedad TARGETDIR . Por ejemplo:

    msiexec /i c:\admx_file.msi /qb TARGETDIR=c:\temp\admx

2. Crear un perfil de configuración personalizado en Microsoft Intune

Para configurar los dispositivos para realizar una activación kir, debe crear un perfil de configuración personalizado para cada sistema operativo de los dispositivos administrados. Para crear un perfil personalizado, siga estos pasos:

  1. Seleccione propiedades y agregue información básica del perfil.
  2. Agregue una configuración personalizada para ingerir archivos ADMX para la activación de KIR.
  3. Agregue la configuración personalizada para establecer la nueva directiva de activación kir.
  4. Asigne dispositivos al perfil de configuración personalizada de activación kir.
  5. Use reglas de aplicabilidad para que los dispositivos de destino reciban valores de configuración personalizados de KIR por parte del sistema operativo.
  6. Revise y cree el perfil de configuración personalizada de activación kir.

R: Seleccionar propiedades y agregar información básica sobre el perfil

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Seleccione Dispositivos>Perfiles de configuración>Crear perfil.

  3. Seleccione las propiedades siguientes:

    • Plataforma: Windows 10 y versiones posteriores
    • Perfil: Plantillas>personalizadas

  4. Seleccione Crear.

  5. En Básico, escriba las propiedades siguientes:

    • Nombre: escriba un nombre descriptivo para la directiva. Asígnele un nombre a las directivas para que pueda identificarlas de manera sencilla más adelante. Por ejemplo, un buen nombre de directiva es "Activación 04/30 KIR – Windows 10 21H2".
    • Descripción: escriba una descripción para la directiva. Esta configuración es opcional, pero se recomienda aplicarla.

    Nota:

    El tipo de plataforma y perfil ya debe tener los valores seleccionados.

  6. Seleccione Siguiente.

Nota:

Para obtener más información sobre cómo crear perfiles de configuración personalizados y opciones de configuración, consulte Uso de la configuración de dispositivos personalizados en Microsoft Intune.

Antes de continuar con los dos pasos siguientes, abra el archivo ADMX en un editor de texto (por ejemplo, bloc de notas) donde se extrajo el archivo. El archivo ADMX debe estar en la ruta de acceso C:\Windows\PolicyDefinitions si lo instaló como un archivo MSI.

Este es un ejemplo del archivo ADMX:

  <policies>  
    <policy name="KB5011563_220428_2000_1_KnownIssueRollback" … >  
      <parentCategory ref="KnownIssueRollback_Win_11" />  
      <supportedOn ref="SUPPORTED_Windows_11_0_Only" />  
      <enabledList…> … </enabledList>  
      <disabledList…>…</disabledList>  
    </policy>  
  </policies>

Registre los valores de policy name y parentCategory. Esta información se encuentra en el nodo "policies" al final del archivo.

B. Adición de una configuración personalizada para ingerir archivos ADMX para la activación de KIR

Esta configuración se usa para instalar la directiva de activación kir en dispositivos de destino. Siga estos pasos para agregar la configuración de ingesta de ADMX:

  1. En Opciones de configuración, seleccione Agregar.

  2. Escriba las propiedades siguientes:

    • Nombre: escriba un nombre descriptivo para la configuración. Asigne un nombre a la configuración para que pueda identificarlas fácilmente más adelante. Por ejemplo, un buen nombre de configuración es "ADMX Ingestion: 04/30 KIR Activation – Windows 10 21H2".

    • Descripción: escriba una descripción para la configuración. Esta configuración es opcional, pero se recomienda aplicarla.

    • OMA-URI: escriba la cadena ./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/KIR/Policy/<ADMX Policy Name>.

      Nota:

      Reemplace <ADMX Policy Name por> el valor del nombre de directiva registrado del archivo ADMX. Por ejemplo, "KB5011563_220428_2000_1_KnownIssueRollback".

    • Tipo de datos: seleccione Cadena.

    • Valor: abra el archivo ADMX con un editor de texto (por ejemplo, bloc de notas). Copie y pegue todo el contenido del archivo ADMX que va a ingerir en este campo.

  3. Seleccione Guardar.

C. Adición de una configuración personalizada para establecer una nueva directiva de activación kir

Esta configuración se usa para configurar la directiva de activación kir, que se define en el paso anterior.

Siga estos pasos para agregar los valores de configuración de activación de KIR:

  1. En Opciones de configuración, seleccione Agregar.

  2. Escriba las propiedades siguientes:

    • Nombre: escriba un nombre descriptivo para la configuración. Asigne un nombre a la configuración para que pueda identificarlas fácilmente más adelante. Por ejemplo, un buen nombre de configuración es "Activación KIR: Activación kir 04/30 – Windows 10 21H2".

    • Descripción: escriba una descripción para la configuración. Esta configuración es opcional, pero se recomienda aplicarla.

    • OMA-URI: escriba la cadena ./Device/Vendor/MSFT/Policy/Config/KIR~Policy~KnownIssueRollback~<Parent Category>/<ADMX Policy Name>.

      Nota:

      Reemplace <Categoría> primaria por la cadena de categoría primaria registrada en el paso anterior. Por ejemplo, "KnownIssueRollback_Win_11". Reemplace <el nombre> de la directiva ADMX por el mismo nombre de directiva usado en el paso anterior.

    • Tipo de datos: seleccione Cadena.

    • Valor: escriba <disabled/>.

  3. Seleccione Guardar.

  4. Seleccione Siguiente.

D. Asignación de dispositivos al perfil de configuración personalizada de activación de KIR

Después de definir lo que hace el perfil de configuración personalizada, siga estos pasos para identificar qué dispositivos configurará:

  1. En Asignaciones, seleccione Agregar todos los dispositivos.
  2. Seleccione Siguiente.

E. Uso de reglas de aplicabilidad para que los dispositivos de destino reciban la configuración personalizada de KIR por parte del sistema operativo

Para dirigirse a los dispositivos por sistema operativo que son aplicables al GP, agregue una regla de aplicabilidad para comprobar la versión del sistema operativo del dispositivo (compilación) antes de aplicar esta configuración. Puede buscar los números de compilación del sistema operativo compatible en las páginas siguientes:

Los números de compilación que se muestran en las páginas tienen el formato MMMMM.mmmm (M= versión principal y m= versión secundaria). Las propiedades de la versión del sistema operativo usan los dígitos de la versión principal. Los valores de versión del sistema operativo especificados en las reglas de aplicabilidad deben tener el formato "10.0.MMMMM". Por ejemplo, "10.0.22000".

Siga estas instrucciones para establecer las reglas de aplicabilidad correctas para la activación de KIR:

  1. En Reglas de aplicabilidad, cree una regla de aplicabilidad escribiendo las siguientes propiedades en la regla en blanco que ya se encuentra en la página:

    • Regla: seleccione Asignar perfil si en la lista desplegable.
    • Propiedad: seleccione Versión del sistema operativo en la lista desplegable.
    • Valor: escriba los números de versión mínimo y máximo del sistema operativo con el formato "10.0.MMMMM".

  2. Seleccione Siguiente.

Nota:

Para encontrar la versión del sistema operativo de un dispositivo, ejecute el winver comando desde el menú Inicio. Mostrará un número de versión de dos partes separado por un ".". Por ejemplo, "22000.613". Puede anexar el número izquierdo a "10.0." para la versión del sistema operativo mínimo. Obtenga el número máximo de versión del sistema operativo agregando 1 al último dígito del número de versión del sistema operativo mínimo. En este ejemplo, puede usar estos valores:
Versión mínima del sistema operativo: "10.0.22000"
Versión máxima del sistema operativo: "10.0.22001"

F. Revisión y creación de un perfil de configuración personalizada de activación de KIR

Revise la configuración del perfil de configuración personalizada y seleccione Crear.

3. Supervisión de la activación de KIR

La activación de KIR debería estar en curso ahora. Siga estos pasos para supervisar el progreso del perfil de configuración:

  1. Vaya a Perfilesde configuración dedispositivos> y seleccione un perfil existente. Por ejemplo, seleccione un perfil de macOS.

  2. Seleccione la pestaña Información general. En esta vista, el Estado de la asignación de perfiles incluye los siguientes estados:

    • Correcto: se aplica la directiva con éxito.
    • Error: no se pudo aplicar la directiva. Normalmente, el mensaje muestra un código de error que vincula a una explicación.
    • Conflicto: se aplican dos configuraciones al mismo dispositivo e Intune no puede solucionar el conflicto. Un administrador debe revisar el conflicto.
    • Pendiente: el dispositivo no se ha registrado aún con Intune para recibir la directiva.
    • No aplicable: el dispositivo no puede recibir la directiva. Por ejemplo, la directiva actualiza una configuración específica de iOS 11.1, pero el dispositivo usa iOS 10.

Para obtener más información, consulte Supervisión de perfiles de configuración de dispositivos en Microsoft Intune.

Más información