Instalación de actualizaciones de seguridad de Windows en estaciones de trabajo no conectadas a la red

tag-icon tag-icon windows-10 windows-update
Instalación de actualizaciones de seguridad de Windows en estaciones de trabajo no conectadas a la red

He visto varias preguntas similares, pero todas están desactualizadas o suponen una red fuera de línea o servidores fuera de línea.

Contamos con una gran cantidad de ubicaciones remotas, la mayoría de las cuales no tienen sus propios talleres de TI. Cada una de esas ubicaciones tiene al menos dos y posiblemente muchas estaciones de trabajo que no están conectadas a ningún tipo de red. Esas estaciones de trabajo ejecutan Windows 10 Enterprise. Ninguna de esas cosas es negociable.

De dos a cuatro veces al año preparamos una actualización de nuestra aplicación. Las ubicaciones remotas recuperan esa actualización a través de nuestro portal web seguro, la cargan en una unidad flash y aplican esa actualización en cada estación de trabajo. Me gustaría aprovechar esto como una oportunidad para instalar también cualquier actualización crítica o de seguridad para Windows desde la última actualización.

Hasta ahora, mi mejor opción que he visto es WSUS sin conexión, pero no facilita la realización de actualizaciones incrementales y, sin ellas, eventualmente el tamaño de la descarga no será razonable. No he usado WSUS ni SCCM, pero parece que no tienen la opción de crear un instalador sin conexión. Las estaciones de trabajo de destino están muy bloqueadas, por lo que en mi mundo ideal me gustaría que los ejecutables resultantes estuvieran firmados por Microsoft o por nosotros.

¿Hay otras opciones que debería considerar? No tenemos problemas para pagar por una solución empresarial si está disponible. En este momento estoy considerando seriamente tomar el código fuente de WSUS Offline y modificarlo para que se ajuste a mis necesidades, pero prefiero no ocupar mis recursos de desarrollo.

Respuesta1

Con el modelo de parche más nuevo, todo se ha vuelto acumulativo y es por eso que son tan grandes. Básicamente se han convertido en un paquete de servicios mensual por producto. Entonces, dependiendo de los productos que haya cargado en estas máquinas, solo necesitará la actualización más reciente para: (#1) El sistema operativo, y luego cualquier versión de (#2) IE, (#3) .NET Framework y tal vez ( #4) Oficina que está instalada.

Ejemplo: si está aplicando parches dos veces al año, digamos en enero y junio, no necesita aplicar elementos de los otros 10 meses del año porque enero de 2018 reemplaza todo lo de 2017, y junio de 2018 reemplaza a febrero-mayo de 2018.

Respuesta2

http://catalog.update.microsoft.com (Asegúrese de obtener el que corresponde al sistema operativo correcto y x86 o x64) Escriba los KB####### uno a la vez y agréguelos al carrito. Cuando se le solicite una carpeta, busque c:\updates

El archivo Wusa.exe se encuentra en la carpeta %windir%\System32. El instalador independiente de Windows Update utiliza la API del Agente de Windows Update para instalar paquetes de actualización.

for /R "C:\Updates\" %i in (*.msu) do wusa "%i" /quiet /norestart

Sugeriría cambiar el nombre de los parches agregando 1,2,3, etc. al principio del nombre del archivo, para que se instalen en el orden correcto. O simplemente tener un montón de wsu en el archivo por lotes.

wusa "package1.msu" /quiet /norestart
wusa "package2.msu" /quiet /norestart
wusa "package3.msu" /quiet /norestart
...

Por supuesto, podría crear un script más inteligente que verifique la presencia de actualizaciones y solo aplique las necesarias.

El único problema potencial aquí es que las actualizaciones pueden tener reinicios obligatorios y su script tendrá que manejar esa condición. Además, es posible que las actualizaciones no se instalen, lo que requeriría una mayor verificación de errores.

Otra posible respuesta son las imágenes completas. Puede utilizar imagex, de microsoft, para capturar ventanas en un archivo wim. Luego tenga un entorno Windows PE en la memoria USB con el archivo wim. Implemente el archivo wim, reinicie y listo.

La ventaja aquí es que usted sabe que todos los parches se han implementado correctamente. La computadora estará en una configuración uniforme.

Si el usuario final necesita almacenar archivos, sugeriría dividir el disco duro en c: y d: luego almacenar todos los archivos del usuario en D: para que pueda volver a crear una imagen de la unidad C: a voluntad.

El mayor inconveniente es el tamaño, incluso si limpias la imagen a fondo será mucho más grande. Quizás 16 o 32 GB dependan del tamaño de su programa y de cuán minuciosamente limpie el disco duro de archivos no deseados.

Respuesta3

  1. Descargue la última actualización de cab wsusscn2.cabdesde aquí:http://go.microsoft.com/fwlink/?linkid=74689
  2. Obtenga el módulo PowerShell para administrar actualizaciones, descargue manualmente el.nupkg https://www.powershellgallery.com/packages/PSWindowsUpdate/2.2.0.2
  3. Copie esos dos archivos al USB que usará para mover sus actualizaciones a la computadora.
  4. Descomprima el archivo .nupkgen la carpeta de módulos: C:\Program Files\WindowsPowerShell\Modulespara que la ruta final parezca C:\Program Files\WindowsPowerShell\Modules\PSWindowsUpdateel contenido de nupkg en esa carpeta.
  5. Importar el módulo:Import-Module PSWindowsUpdate
  6. Agregue el archivo cab del paso 1. como fuente de actualizaciones: Add-WUOfflineSync -Path C:\wsusscan.cabutilizando la ruta donde colocó el archivo cab.
  7. Obtenga lo ServiceIDcreado en el paso 6 con: Get-WUServiceManager. Este comando enumera todas las opciones y sus GUID. El que buscas tendrá un nombre deOffline Sync Service
  8. Instale actualizaciones de esa nueva fuente citando el ServiceIDpaso 7 donde puse <GUID>:

Install-WindowsUpdate -ServiceID <GUID> -AcceptAll -AutoReboot

información relacionada