Cómo actualizas o parchas tu Infraestructura?

Publicado el 29 April, 2008 | por Diego Cabai | Leído 137 veces

La administración de los updates o parches es muy importante para un ambiente. Ya sea para PCs como para servidores de un datacenter. El tener el ambiente actualizado a la fecha hace que baje mucho las probabilidades de tener un ataque o infección en los equipos. Por ejemplo, los bloggers actualizan Wordpress para no sufrir daños o robos de la base de datos. En los equipos pasa lo mismo pero a otro nivel.

La estructura Microsoft presenta diferentes formas de realizar dichas actualizaciones para mantener la seguridad del ambiente. Estas opciones se pueden clasificar en usuarios comunes, pequeña o mediana empresa y una gran compañía.

A nivel de usuario doméstico estamos acostumbrados a actualizar nuestro Windows a través del Microsoft Update. En Windows Vista ya no abre mas el sitio de actualizaciones sino que nos abre la herramienta para actualizar Windows Update.
Lo bueno de esta opción es que no solo actualiza el sistema operativo sino que permite actualizar cualquier producto que tengamos instalado y detecte parches para el mismo. También podríamos utilizar este sistema en empresas pero requiere que entremos equipo por equipo a chequearlo.

Actualiza parches de seguridad, service packs, drivers, feature packs, etc. Justamente uno de los puntos negativos es el hecho de requerir intervención manual sobre el equipo. Podemos programarlo para que sea automático pero perderíamos total control del ambiente. No se puede planear una distribución, no se puede hacer inventario, etc. Es bastante básica y justamente sirve para las necesidades del usuario final.

Otra opción que venimos mencionando seguido y un producto que deja que hablar es Windows Server Update Services. Una herramienta muy completa para empresas, pequeñas, medianas y en algunos casos para grandes compañías también. Posee todos los beneficios de Microsoft Update, pero además se le suma el hecho de poder planear una implementación, poder ver un status de los equipos parchados como hacer ciertos reportes, existe flexibilidad a la hora de realizar los parchados, etc. Igualmente si bien es bastante útil y poderoso sigue siendo simple. Como opción gratuita es muy buena y completa. Podemos tener total control de nuestro ambiente a nivel de seguridad del sistema operativo y podemos encadenar nuestras oficinas para que también esten al día aunque no tengan conexión a internet.

Otra opción muy conocida ya de hace tiempo es el SMS 2003 o su reemplazo el System Center Configuration Manager 2007. Esta sería la opción mas avanzada, la mas trabajada y la mas robusta. Si tenes un gran enterprise, esta es tu opción recomendada. Posee todos los puntos nombrados anteriormente y mucho mas. No solo que cada punto anterior es mucho mas avanzado sino que además agrega features. Desde ya el producto no sólo se utiliza para parchado, eso es lo mínimo para su función, pero en este artículo únicamente hablamos del parchado. Puede actualizar cualquier sistema Windows. Se puede instalar cualquier tipo de update, incluso se puede agregar updates que se instalen en equipos Windows. Control a la hora de distribuir parches, programar los mismos de manera avanzada, reportes avanzados sobre el ambiente, planeamiento avanzado, administración de inventario avanzado, etc. Un verdadero monstruo para los parches de sistema. Enfocado mas que nada para grandes empresas.

Por ultimo queda mencionar el System Center Essentials 2007. Este producto nos permite administrar nuestro ambiente IT. Diseñado para embientes medianos donde la cantidad de equipos no supere los 500. Lo interesante de este producto es que se pueden agregar parches de terceros para distribuir en nuestro ambiente. Otros archivos .msi o .exe se pueden agregar lo que permite actualizar otros productos también. El resto de los features es muy similar al producto anterior salvo que la mayoría en vez de ser avanzado es de categoría intermedio. Pero como dije antes, no sólo se utiliza para el parchado por lo que nos brinda unos beneficios extra.

Ojo, Microsoft no ofrece las unicas herramientas para administración del parchado, también tenemos Update Expert de Shavlik o sino podemos optar por la reciente compañía adquirida por HP, Opsware que es un producto diseñado para la administración de todo el datacenter incluyendo el parchado de equipos.

Una herramienta que no mencioné pero hay que comentarla es la MBSA: Microsoft Baseline Security Analyzer. Con esta herramienta podemos conocer si nuestros equipos estan parchados o no. Ya con la herramienta WSUS podemos hacerlo obteniendo un hermoso reporte, pero también podemos ejecutar esta herramienta que no solo chequea por parches sino que también revisa configuraciones de seguridad, por ejemplo del IIS o del SQL. Es un excelente aliado a la hora de revisar la seguridad de nuestro ambiente.