Uso de WUA para detectar actualizaciones sin conexión
El Agente de Windows Update (WUA) puede usarse para examinar equipos en busca de actualizaciones de seguridad sin conectarse a Windows Update o a un servidor de Windows Server Update Services (WSUS), lo que permite examinar equipos que no están conectados a Internet en busca de actualizaciones de seguridad.
El examen de actualizaciones sin conexión requiere la descarga de un archivo firmado, Wsusscn2.cab, desde Windows Update.
El archivo Wsusscn2.cab es un archivo .cab firmado por Microsoft. Este archivo contiene información sobre las actualizaciones relacionadas con la seguridad publicadas por Microsoft. Los equipos que no están conectados a Internet se pueden examinar para ver si estas actualizaciones relacionadas con la seguridad están presentes o son necesarias. El archivo Wsusscn2.cab no contiene las actualizaciones de seguridad por sí mismas, por lo que debe obtener e instalar las actualizaciones necesarias relacionadas con la seguridad a través de otros medios. Las nuevas versiones del archivo Wsusscn2.cab se publican periódicamente a medida que se publican, quitan o revisan las actualizaciones relacionadas con la seguridad en el sitio de Windows Update. El archivo Wsusscn2.cab más reciente está disponible para su descarga en la siguiente ubicación: Descargar Wsusscn2.cab
Después de descargar la última versión de Wsusscn2.cab, se puede proporcionar el archivo al método AddScanPackageService y usar la API de WUA para buscar actualizaciones de seguridad en el equipo sin conexión. WUA valida que Wsusscn2.cab está firmado por un certificado de Microsoft válido antes de ejecutar un examen sin conexión.
Nota:
Al realizar exámenes sin conexión de archivos CAB, puede experimentar un uso de memoria superior al normal. Se recomienda realizar ajustes necesarios en el sistema para asignar recursos de memoria suficientes para el proceso de examen. Esto puede incluir la configuración de procesadores adicionales y la modificación del archivo de paginación. Garantizar una asignación de memoria adecuada permitirá completar el examen de forma eficiente y eficaz.
Nota:
De acuerdo con nuestra iniciativa de desuso de SHA-1, el archivo Wsusscn2.cab ya no está doblemente firmado usando tanto SHA-1 como el conjunto de algoritmos hash SHA-2 (específicamente SHA-256). Este archivo está ahora firmado usando solo SHA-256. Los administradores que comprueben las firmas digitales en este archivo ahora solo deben esperar firmas SHA-256 únicas.
Ejemplo
En el ejemplo siguiente se usa el archivo Wsusscn2.cab para examinar un equipo y se muestran las actualizaciones que faltan.
Importante
Estos scripts están diseñados para demostrar el uso de las API del Agente de Windows Update y proporcionar un ejemplo de cómo los desarrolladores pueden usar estas API para resolver problemas. Estos scripts no están diseñados como código de producción y Microsoft no admite los scripts (aunque se admiten las API subyacentes del Agente de Windows Update).
Set UpdateSession = CreateObject("Microsoft.Update.Session")
Set UpdateServiceManager = CreateObject("Microsoft.Update.ServiceManager")
Set UpdateService = UpdateServiceManager.AddScanPackageService("Offline Sync Service", "c:\wsusscn2.cab")
Set UpdateSearcher = UpdateSession.CreateUpdateSearcher()
WScript.Echo "Searching for updates..." & vbCRLF
UpdateSearcher.ServerSelection = 3 ' ssOthers
UpdateSearcher.ServiceID = UpdateService.ServiceID
Set SearchResult = UpdateSearcher.Search("IsInstalled=0")
Set Updates = SearchResult.Updates
If searchResult.Updates.Count = 0 Then
WScript.Echo "There are no applicable updates."
WScript.Quit
End If
WScript.Echo "List of applicable items on the machine when using wssuscan.cab:" & vbCRLF
For I = 0 to searchResult.Updates.Count-1
Set update = searchResult.Updates.Item(I)
WScript.Echo I + 1 & "> " & update.Title
Next
WScript.Quit