Академический Документы
Профессиональный Документы
Культура Документы
Microsoft Corporation Publicado: 03 de junio 2005 Autor: Tim Elhajj Editor: Sean Bentley
Abstracto
En este documento se describe cmo implementar Microsoft Windows Server Update Services (WSUS). Usted encontrar una descripcin completa de cmo WSUS funciones, as como descripciones de WSUS escalabilidad y caractersticas de gestin de banda ancha. Este documento tambin ofrece paso a paso los procedimientos para la instalacin y configuracin del servidor WSUS. Usted va a leer la forma de actualizar y configurar actualizaciones automticas en las estaciones de trabajo cliente y servidores que se actualizar con WSUS. Tambin se incluyen los pasos para migrar de Microsoft Software Update Services (SUS) de WSUS, as como los pasos para configurar un servidor WSUS en un segmento aislado de la red de forma manual y la importacin de actualizaciones.
La informacin contenida en este documento representa la visin actual de Microsoft Corporation sobre los temas tratados en la fecha de publicacin. Dado que Microsoft debe responder a las condiciones cambiantes del mercado, no debe interpretarse como un compromiso por parte de Microsoft, y Microsoft no puede garantizar la exactitud de la informacin presentada despus de la fecha de publicacin.
Este Libro Blanco es slo para fines informativos. MICROSOFT NO OTORGA GARANTAS, EXPRESAS, IMPLCITAS O LEGALES, EN CUANTO A LA INFORMACIN DE ESTE DOCUMENTO.
Cumplir todas las leyes de derechos de autor aplicables es responsabilidad del usuario. Sin limitar los derechos de autor, ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema de recuperacin, o transmitida en cualquier forma o por cualquier medio (electrnico, mecnico, por fotocopia, grabacin o cualquier otro), o por cualquier propsito, sin la autorizacin expresa por escrito de Microsoft Corporation.
Microsoft puede tener patentes, solicitudes de patentes, marcas registradas, derechos de autor u otros derechos de propiedad intelectual sobre los contenidos en este documento. Salvo lo dispuesto expresamente en cualquier acuerdo de licencia escrito de Microsoft, la entrega de este documento no le otorga ninguna licencia sobre estas patentes, marcas, derechos de autor u otra propiedad intelectual.
A menos que se indique lo contrario, las empresas, organizaciones, productos, dominios, direcciones de correo electrnico, logotipos, personas, lugares y eventos mencionados son ficticios, y ninguna asociacin con ninguna compaa, organizacin, producto, nombre de dominio, e- direccin de correo electrnico, logotipo, persona, lugar o evento se pretende ni se debe inferir.
Microsoft, SQL Server, Windows y Windows Server son marcas comerciales registradas o marcas comerciales de Microsoft Corporation en los Estados Unidos y / u otros pases.
Los nombres de compaas y productos reales aqu mencionados pueden ser marcas comerciales de sus respectivos dueos.
Contenido
La implementacin de Microsoft Windows Server Update Services..................................1 Abstracto.....................................................................................................................1 Contenido...........................................................................................................................5 La implementacin de Microsoft Windows Server Update Services Introduccin a la Implementacin de Windows Server Update Services .....................9 .............10
El diseo de la implementacin de WSUS ..........................................................10 Elija un tipo de implementacin ........................................................................11 Sencilla implementacin de WSUS...........................................................................11 Cadena de servidores WSUS....................................................................................13 Redes de desconectado de la Internet......................................................................14 Elegir un estilo de gestin ................................................................................15 Gestin centralizada..................................................................................................16 De administracin distribuida....................................................................................17 Elija la base de datos utilizada para WSUS .....................................................18 Seleccin de una base de datos...............................................................................19 Autenticacin de base de datos, la instancia, y el nombre de la base de datos........20 Determine dnde almacenar actualizaciones ..................................................20 Almacenamiento local...............................................................................................21 Almacenamiento remoto............................................................................................21 Determinar las opciones de ancho de banda a utilizar para su distribucin ....23 El aplazamiento de la descarga de actualizaciones..................................................23 Actualizaciones de filtrado.........................................................................................25 Utilizando archivos de instalacin rpida...................................................................25 Servicio de transferencia inteligente en segundo plano............................................27 Determinar los requisitos de capacidad ...........................................................27 Instale el servidor WSUS ....................................................................................28 Configurar el firewall entre el servidor WSUS e Internet ..................................29 Preparar los discos y particiones .....................................................................30 Instalar el software necesario ..........................................................................31 Windows Server 2003...............................................................................................31 Windows 2000 Server...............................................................................................31 Instalacin y configuracin de IIS ....................................................................32 IIS Lockdown Tool.....................................................................................................32
Cliente Auto-Update..................................................................................................34 Utilizar el Sitio Web de WSUS personalizado............................................................34 Ejecutar la instalacin del servidor WSUS .......................................................35 Configurar el servidor WSUS ..............................................................................42 Acceder a la Consola de administracin de WSUS .........................................43 Configurar WSUS para utilizar un servidor proxy .............................................43 Seleccionar productos y Clasificaciones ..........................................................44 Sincronizar el servidor WSUS ..........................................................................45 Configurar las opciones avanzadas de sincronizacin ....................................45 Opciones de actualizacin de almacenamiento........................................................45 Opciones Descargas diferidos...................................................................................46 Expresar los archivos de opciones de instalacin.....................................................46 Opciones de filtrado de actualizaciones....................................................................47 Cadena de servidores WSUS Juntos ...............................................................48 Crear un grupo Replica ....................................................................................48 Crear grupos de equipos de computadoras .....................................................50 La creacin de grupos de equipos.............................................................................50 Aprobar actualizaciones ...................................................................................52 Verifique Implementacin de la actualizacin ..................................................52 Asegure su implementacin de WSUS ............................................................53 Endurecimiento de Windows Server 2003 corriendo WSUS.....................................53 Adicin de autenticacin entre los servidores WSUS encadenado en un entorno de Active Directory......................................................................................................53 WSUS asegurar con Secure Sockets Layer..............................................................55 Actualizar y configurar los componentes del cliente de Actualizaciones automticas ......................................................................................................................................61 Requisitos del cliente Componente ..................................................................61 Actualizacin de Actualizaciones automticas .................................................62 Actualizaciones de cliente automtico Auto-Funcin de actualizacin......................62 Determinar un mtodo para configurar los clientes las actualizaciones automticas ..................................................................................................................................63 Configurar las actualizaciones automticas mediante Directiva de grupo ....65 Configurar las actualizaciones automticas en un entorno de Directorio Activo no ...............................................................................................................................74 Manipular el comportamiento de actualizaciones automticas mediante lnea de comandos .....................................................................................................80 Detectnow Opcin.....................................................................................................80 Resetauthorization Opcin........................................................................................81
Configurar una red desconectado (Importacin y Exportacin de actualizaciones) ......................................................................................................................................81 Paso 1 de Importacin y Exportacin: Opciones de concordancia avanzada ..83 Paso 2 Importar y Exportar: Copia de actualizaciones de sistema de archivos ..................................................................................................................................84 Paso 3 Importar y Exportar: Copia de metadatos de la base de datos ............85 Migrar de un servidor SUS a un servidor WSUS .................................................87 La migracin de lnea de comandos ................................................................88 Dos escenarios de migracin ...........................................................................89 Mismo servidor de migracin ........................................................................90 Migracin del servidor remoto ......................................................................94 Apndice A: Instalacin desatendida ...................................................................98
Apndice B: Instalacin de MSDE en Windows 2000 .......................................102 Paso 1: Descargar y expandir el archivo de MSDE....................................................103 Paso 2: Instalacin de MSDE.....................................................................................104 Paso 3: Actualizacin de MSDE.................................................................................105 Apndice C: SQL remoto ...................................................................................108 SQL remota Limitaciones............................................................................................109 Requisitos de la base de datos...................................................................................109 Paso 1: Instalar WSUS en el equipo front-end...........................................................109 Paso 2: instalar WSUS en el equipo back-end...........................................................113 Establecer permisos en Windows Server 2003.......................................................118 Establecer permisos en Windows 2000 Server.......................................................120 Paso 3: configurar el equipo front-end para utilizar el equipo back-end.....................123 Apndice D: Configuracin de seguridad ..........................................................124 Windows Server 2003.................................................................................................124 La directiva de auditora..........................................................................................124 Opciones de seguridad............................................................................................125 Configuracin del registro de eventos.....................................................................140 Servicios del sistema...............................................................................................141 TCP / IP endurecimiento..........................................................................................148 IIS 6.0 Configuracin de seguridad.............................................................................150 URLScan.................................................................................................................150 La configuracin de seguridad de IIS......................................................................152 SQL Server 2000........................................................................................................154 SQL Registro de Permisos......................................................................................154 Procedimientos almacenados.................................................................................154
URLScan.ini archivo...................................................................................................156
10
11
Actualizaciones automticas es el componente cliente de WSUS. Actualizaciones automticas debe usar el puerto asignado al sitio Web de WSUS en Microsoft Internet Information Services (IIS). Si no hay sitios Web que se ejecuta en el servidor donde se
La implementacin de Microsoft Windows Server Update Services instala WSUS, usted tiene la opcin de utilizar el sitio Web predeterminado o un sitio Web personalizado. Si ha configurado WSUS en el sitio Web predeterminado, WSUS escucha las actualizaciones automticas en el puerto 80. Si utiliza un sitio web personalizado, WSUS escucha en el puerto 8530.
12
Si usted utiliza el sitio web personalizado, tambin debe tener un sitio web creado y en funcionamiento en el puerto 80 para dar cabida a la actualizacin automtica de software de legado cliente de actualizaciones. Si usted utiliza el sitio web personalizado, tambin recuerde incluir el nmero de puerto en el URL al configurar las actualizaciones automticas para que apunte al servidor WSUS. Otras cuestiones a considerar cuando se utiliza un puerto personalizado para el sitio Web de WSUS se discuten en el "Uso del sitio Web de WSUS personalizado", en Instalacin y configuracin de IIS adelante en esta gua.
Puede mover equipos del grupo Equipos no asignados a un grupo que cree. No se puede eliminar equipos del grupo Todos los equipos. El grupo Todos los equipos le
La implementacin de Microsoft Windows Server Update Services permite segmentar rpidamente actualizaciones a cada ordenador de la red, independientemente de su pertenencia al grupo. El grupo Equipos no asignados le permite a los equipos de destino slo que an no han sido asignados pertenencia al grupo.
13
Una ventaja de crear grupos de equipos es que le permite probar las actualizaciones. La implementacin de WSUS simple con ordenador ilustracin muestra dos grupos de grupos personalizados llamado grupo de prueba y el grupo de Contabilidad, as como el grupo Todos los equipos. El grupo de prueba contiene un pequeo nmero de equipos representativos de todos los equipos incluidos en el grupo de Contabilidad. Las actualizaciones se aprob por primera vez para el grupo de prueba. Si la prueba sale bien, puede distribuir las actualizaciones a la contabilidad del grupo. No hay lmite en el nmero de grupos personalizados que puede crear. Hay instrucciones para la creacin de grupos de equipos en Crear grupos de equipos de computadoras adelante en esta gua. Nota No utilizar WSUS para distribuir actualizaciones a los equipos cliente que no tienen licencia para su organizacin. El acuerdo de licencia no permite este WSUS especficamente.
14
Este tipo de configuracin es til para muchos tipos de despliegues. Usted podra utilizar para descargar las actualizaciones una vez a travs de Internet y luego distribuir las actualizaciones a los servidores de las sucursales que tiene abajo, ahorrando ancho de banda de su conexin a Internet. Usted puede utilizar WSUS para escalar en una gran organizacin con equipos cliente ms de un servidor WSUS puede dar servicio. Usted tambin puede usarlo para mover las actualizaciones ms cerca del borde de la red, donde se desplegar. Cuando el despliegue de servidores WSUS de tal arquitectura jerrquica de tres niveles es el lmite recomendado. Esto es as porque cada nivel aade lapso de tiempo adicional para propagar cambios a lo largo de la cadena. En teora no hay lmite de profundidad se puede ir, pero las implementaciones slo con una jerarqua de cinco niveles de profundidad han sido probadas. El servidor indirecto siempre debe sincronizar con un servidor ascendente. Por ejemplo, en los "servidores WSUS encadenados" ilustracin anterior, el servidor B se sincroniza con el servidor A. Esto hace que las sincronizaciones de viaje aguas abajo. Si intenta sincronizar un servidor ascendente a un servidor indirecto, que efectivamente crear un circuito cerrado, que no es compatible. Usted puede encontrar paso a paso las instrucciones para la sincronizacin de servidores WSUS en Cadena de servidores WSUS Juntos adelante en esta gua. Si utiliza varios servidores WSUS encadenados juntos, se recomienda la siguiente tcnica para evitar la propagacin de las actualizaciones con los cambios que rompen el protocolo para la comunicacin de servidor a servidor. Los administradores de WSUS deben apuntar las actualizaciones automticas en todos los servidores WSUS en el servidor WSUS profundo ro abajo en la jerarqua. Esto protege toda la cadena se rompa el protocolo de servidor a servidor cambia, ya que el servidor WSUS aguas abajo se puede utilizar para actualizar la quebrada aguas arriba servidores WSUS a travs de actualizaciones automticas.
La implementacin de Microsoft Windows Server Update Services Distribucin de las actualizaciones en un segmento aislado
15
Exportadores e importadores es tambin apropiado para las organizaciones que tienen un alto costo o de bajo ancho de banda de enlaces a Internet. Incluso con todas las opciones de ahorro de ancho de banda se describe ms adelante en esta gua de descarga de actualizaciones suficiente para todos los productos de Microsoft a travs de una organizacin puede ser mucho ancho de banda. Importacin y exportacin de actualizaciones permite a las organizaciones para descargar las actualizaciones una vez y distribuir mediante el uso de los medios de comunicacin de bajo costo. Ver Configurar una red desconectado (Importacin y Exportacin de actualizaciones) Para obtener ms informacin acerca de cmo exportar e importar las actualizaciones.
16
Gestin centralizada
Gestin centralizada servidores WSUS utilizar la funcin de servidor de rplica. La funcin de servidor de rplica cuenta con un nico servidor administrado y una o ms rplicas subordinadas, como se muestra en la "gestin centralizada de WSUS (Replica de funciones)" ilustracin de abajo. Las aprobaciones y los grupos objetivo de crear en el servidor maestro se replican en toda la organizacin. Recuerde que la pertenencia a grupo de equipos que no se distribuye por todo el grupo de rplica, slo los grupos de equipos propios. En otras palabras, siempre hay que cargar los equipos cliente en grupos de equipos. WSUS Gestin Centralizada (Replica de funciones)
Es posible que no todos los sitios de la organizacin requieren los grupos de mismo equipo. Lo importante es la creacin de grupos de suficiente equipo en el servidor de administracin para satisfacer las necesidades del resto de la organizacin. Computadoras en diferentes lugares se puede mover en un grupo apropiado para el sitio. Mientras tanto, los grupos de equipos inadecuados para un sitio en particular, simplemente permanecen vacos. Todas las aprobaciones de actualizacin, al igual que
La implementacin de Microsoft Windows Server Update Services los grupos de equipos, se debe crear en el servidor maestro. Slo se pueden agregar servidores WSUS a los grupos de rplica durante la instalacin. Para obtener instrucciones paso a paso, consulte Crear un grupo Replica adelante en esta gua. Nota Si cambia las opciones de idioma, Microsoft recomienda que sincronizar manualmente entre el servidor WSUS administrado centralmente y de sus servidores de rplica. Esto evita una situacin en la que cambiar las opciones de idioma en el servidor de administracin central solo puede resultar en el nmero de actualizaciones que se aprob en el mismo no coincida con el nmero de aprobados en los servidores de rplica.
17
De administracin distribuida
Gestin distribuida que ofrece un control total sobre las aprobaciones y los grupos de equipos para el servidor WSUS, como se muestra en la "WSUS de administracin distribuida de" ilustracin de abajo. Con el modelo de gestin distribuida, por lo general tienen un administrador en cada sitio. Gestin distribuida es la opcin de instalacin por defecto para todas las instalaciones de WSUS. Usted no tiene que hacer nada para activar este modo.
18
La implementacin de Microsoft Windows Server Update Services WSUS gestin de acceso a los datos directamente en la base de datos no es compatible. Usted no debe tratar de administrar WSUS de esta manera. Administrar WSUS manualmente, mediante el uso de la consola de WSUS, o mediante programacin llamando a las API de WSUS.
19
Cada servidor WSUS requiere su propia base de datos. Si hay varios servidores WSUS en su entorno, debe tener varias bases de datos de WSUS. WSUS no es compatible con mltiples bases de datos de WSUS en un solo equipo que ejecuta SQL Server.
La implementacin de Microsoft Windows Server Update Services WSUS permite ejecutar software de base de datos en un equipo independiente de WSUS, pero hay algunas restricciones. Ver Apndice C: SQL remoto para ms informacin. Recomendaciones de datos del software de sistema operativo
Sistema Operativo Recomendacin
20
Si va a instalar WSUS en Windows Server 2003 y no desea utilizar SQL Server 2000, WMSDE es la opcin de base de datos de software recomendado. Si va a instalar WSUS en Windows 2000 y no desea utilizar SQL Server 2000, MSDE es la opcin de base de datos de software recomendado.
21
Update. El resultado de cualquiera de las opciones se describen en las secciones siguientes. Si tiene varios servidores WSUS encadenados juntos, cada servidor WSUS en la cadena debe utilizar la opcin de actualizacin de almacenamiento misma. Estas opciones se seleccionan durante el proceso de instalacin, pero tambin puede ser cambiado despus de instalar WSUS. Ver Configurar las opciones avanzadas de sincronizacin para los procedimientos paso a paso.
Almacenamiento local
Puede almacenar archivos de actualizacin localmente en el servidor WSUS. Esto ahorra ancho de banda de su conexin a Internet, ya que los equipos cliente descargar las actualizaciones directamente desde el servidor WSUS. Esta opcin requiere suficiente espacio en disco para almacenar las actualizaciones que desee descargar. Hay un requisito mnimo de 6 GB de espacio en disco duro para almacenar actualizaciones localmente, pero se recomienda 30 GB. Almacenamiento local es la opcin predeterminada. Nota La recomendacin de 30 GB es slo una estimacin basada en una serie de variables, tales como el nmero de actualizaciones publicadas por Microsoft para un producto dado, y cmo los productos de ms de un administrador de WSUS selecciona. A pesar de 30 GB debera funcionar para la mayora de los clientes, el peor de los casos puede requerir ms de 30 GB de espacio en disco. Si eso llegara a suceder, "Windows Server Update Services Gua de operaciones" ofrece una gua sobre cmo recuperar. "Windows Server Update Services Gua de operaciones" est disponible en el Sitio Web de Microsoft para Windows Server Update Services en http://go.microsoft.com/fwlink/? LinkId=47374.
Almacenamiento remoto
Si lo desea, puede almacenar archivos de actualizacin de forma remota en los servidores de Microsoft. WSUS le permite tomar ventaja de Microsoft Update para la distribucin de actualizaciones aprobadas a lo largo de su organizacin. Esto es particularmente til si la mayora de los equipos cliente conectarse al servidor WSUS travs de una conexin WAN lenta, pero tienen un alto ancho de banda de las conexiones a Internet, o si usted tiene slo un pequeo nmero de equipos cliente, como se muestra en la ilustracin siguiente.
La implementacin de Microsoft Windows Server Update Services Descarga de actualizaciones de clientes aprobados de Microsoft Update
22
En el escenario de los Clientes Descarga de actualizaciones de Microsoft Aprobado ilustracin de actualizacin, configurar WSUS para que los equipos cliente de descarga de actualizaciones de Microsoft Update. Al sincronizar el servidor WSUS con Microsoft Update, se obtiene slo actualizar los metadatos, que describe cada una de las actualizaciones disponibles. En esta configuracin, los archivos que se instalan las actualizaciones en los equipos cliente no se descargan y almacenan en WSUS. Todava aprobar las actualizaciones en los equipos cliente en la red como de costumbre, pero cuando llega el momento de los clientes para obtener la actualizacin real, cada cliente se conecta a Internet para su descarga desde los servidores de Microsoft. Estos son los mismos servidores Microsoft utiliza para distribuir las actualizaciones a la opinin pblica. A pesar de sus clientes obtener actualizaciones de Microsoft a travs de Internet, an toman las decisiones sobre qu actualizaciones estn aprobados para su distribucin. La ventaja de este escenario es que los clientes distribuidos no tiene que utilizar la conexin WAN lenta para descargar las actualizaciones, ya que WSUS slo distribuye la aprobacin a travs del enlace WAN.
23
Si usted tiene una cadena de servidores WSUS, se recomienda que no la cadena demasiado profundamente, por las siguientes razones: En una cadena de servidores WSUS, WSUS configura automticamente todos los servidores de abajo para usar la opcin de descarga diferida que se selecciona en el servidor conectado directamente a Microsoft Update. No se puede cambiar esta configuracin. Toda la cadena de servidores WSUS o bien debe diferir la descarga de actualizaciones o descargar los metadatos y actualizaciones durante las sincronizaciones.
24
Si usted tiene descarga diferida habilitado y un servidor solicita una actualizacin posterior que no ha sido aprobado en el servidor de aguas arriba, la peticin del servidor indirecto se dispara una descarga en el servidor ascendente. El servidor indirecto a continuacin, descarga el contenido de una sincronizacin posterior, como se muestra en la seccin "Descargas diferidos utilizando varios servidores WSUS" ilustracin. Si usted tiene una jerarqua de servidores WSUS profunda con descarga diferida, hay una mayor posibilidad de retrasos en el contenido se solicita, descargar, y luego trasladarse a la cadena.
Para el ahorro de ancho de banda, descargas de aplazamiento es especialmente til en combinacin con un ajuste especial de aprobacin que slo detecta si los equipos cliente requieren una actualizacin. Con este tipo de autorizacin, el servidor WSUS no descarga la actualizacin y los clientes no instalar la actualizacin. En cambio, los clientes simplemente determinar si necesitan la actualizacin. Si lo hacen, se enva un evento al servidor de WSUS, que se registra en un servidor de informes. Si usted ve que sus clientes requieren actualizaciones que fueron aprobados para la deteccin, a continuacin, puede aprobar para la instalacin. Esta combinacin de descargas y aplazar la aprobacin de deteccin permite a un administrador para descargar slo las actualizaciones requeridas por los equipos cliente que se conecta al servidor WSUS. WSUS le permite automatizar este escenario mediante la creacin de una regla en el servidor WSUS que aprueba automticamente las nuevas actualizaciones para la deteccin. Para ms informacin sobre los diferentes tipos de aprobaciones y la creacin de reglas automticas de aprobacin, consulte "Windows Server Update Services Gua de operaciones" en la Microsoft Beta sitio web para Windows Server Update Services, en http://go.microsoft.com/fwlink/?LinkId=3626. Si opta por almacenar actualizaciones localmente durante el proceso de instalacin de WSUS, descargas diferidos estn habilitadas por defecto. Puede cambiar esta opcin manualmente. Ver Configurar las opciones avanzadas de sincronizacin para los procedimientos paso a paso.
25
Actualizaciones de filtrado
WSUS le ofrece la posibilidad de elegir slo las actualizaciones que su organizacin necesita durante las sincronizaciones. Puede limitar las sincronizaciones por el lenguaje, producto, y el tipo de actualizacin. En una cadena de servidores WSUS, WSUS configura automticamente todos los servidores de abajo para usar la actualizacin de las opciones de filtrado que se seleccionan en el servidor conectado directamente a Microsoft Update. En otras palabras, slo se puede establecer un filtro para las actualizaciones en el servidor ascendente. No se puede cambiar esta configuracin. Toda la cadena de servidores WSUS todos deben usar los filtros misma actualizacin. Aunque no se puede cambiar los filtros en los servidores de abajo, puede diferir la descarga de actualizaciones para obtener un subconjunto del lenguaje, producto o tipos de cambios en un servidor indirecto. Descargas aplazando se describe en El aplazamiento de la descarga de actualizaciones. Por descargas de WSUS por defecto crticas y de seguridad para todos los productos de Windows en todos los idiomas. Microsoft recomienda que se limite slo a los idiomas que usted necesita, para conservar el ancho de banda y espacio en disco. Para cambiar las opciones de idioma, consulte Configurar las opciones avanzadas de sincronizacin. Para cambiar de producto y las opciones de actualizacin de clasificacin, vase Seleccionar productos y Clasificaciones.
26
Al distribuir las actualizaciones a travs de este mtodo, se requiere una inversin inicial en el ancho de banda. Archivos de instalacin son ms grandes que las actualizaciones que estn destinados a distribuir. Esto es porque el archivo de instalacin rpida debe contener todas las variaciones posibles de cada archivo que tiene la intencin de actualizar. La parte superior de los "archivos de instalacin expreso de funciones" ilustracin describe una actualizacin que se distribuyen mediante el uso de la instalacin rpida archivos de rasgos, la parte inferior de la ilustracin muestra la actualizacin del mismo se distribuye sin necesidad de utilizar la instalacin rpida archivos de rasgos. Tenga en cuenta que con archivos de instalacin rpida est activada, usted incurre en una primera descarga tres veces el tamao de la actualizacin. Sin embargo, este costo se ve mitigado por la reducida cantidad de ancho de banda necesario para actualizar los equipos cliente de la red corporativa. Con archivos de instalacin rpida con discapacidad, la descarga inicial de cambios es menor, pero lo que descarga a continuacin, deben ser distribuidos a cada uno de los clientes en su red corporativa. Archivos de instalacin de caractersticas
El tamao de los archivos en el "Express Installation Archivos de funciones" ilustracin son slo para fines ilustrativos. Cada archivo de instalacin de la actualizacin y expresar vara en tamao, dependiendo de los archivos que necesitan ser actualizados. Adems, el tamao de cada archivo en realidad distribuidos a los clientes mediante el uso de archivos de instalacin vara dependiendo del estado del equipo que est actualizado. Importante Aunque hay algunas variables con los archivos de instalacin rpida, tambin hay algunas cosas que usted puede contar. Por ejemplo, archivos de instalacin
La implementacin de Microsoft Windows Server Update Services son siempre ms grandes en tamao que las actualizaciones que estn destinados a distribuir. En cuanto a ancho de banda se va, siempre es menos costoso para distribuir actualizaciones a travs de archivos de instalacin de la distribucin de actualizaciones sin.
27
No todos los cambios son buenos candidatos para la distribucin de uso de archivos de instalacin. Si selecciona esta opcin, se obtiene archivos de instalacin de las actualizaciones se distribuyen de esta manera. Si usted no es almacenar las actualizaciones localmente, no puede utilizar la instalacin rpida archivos de rasgos. De manera predeterminada, WSUS no utiliza archivos de instalacin. Para activar esta opcin, consulte Configurar las opciones avanzadas de sincronizacin.
La implementacin de Microsoft Windows Server Update Services Recomendaciones de hardware de 500 a 15.000 clientes
Requisito Mnimo Recomendado
28
CPU
1 GHz o ms rpido
3 GHz equipo con doble procesador o ms rpido (los procesadores de doble uso para ms de 10.000 clientes) 1 GB WMSDE / SQL Server 2000 con Service Pack 3a
29
Nota Los pasos para configurar el firewall de arriba se ofrecen por un firewall corporativo ubicado entre WSUS e Internet. Debido a que WSUS inicia todo su trfico de red, no hay necesidad de configurar el Firewall de Windows en el servidor WSUS.
La implementacin de Microsoft Windows Server Update Services Aunque la conexin entre Microsoft Update y WSUS requiere que los puertos 80 y 443 estn abiertos, puede configurar varios servidores WSUS para sincronizar con un puerto personalizado.
30
Tenga en cuenta que WMSDE es opcional. Para obtener una lista completa de opciones de software de base de datos que se han probado con WSUS, consulte "Seleccin de una base de datos", en Elija la base de datos utilizada para WSUS anteriormente en esta gua.
31
La implementacin de Microsoft Windows Server Update Services Microsoft Internet Explorer 6.0 Service Pack 1, vaya a la Centro de descarga en http://go.microsoft.com/fwlink/?LinkId=47359. . Microsoft NET Framework versin 1.1 Redistributable Package, ir a la Centro de descarga en http://go.microsoft.com/fwlink/?LinkId=47369. . Microsoft NET Framework 1.1 Service Pack 1, vaya a la Centro de descarga en http://go.microsoft.com/fwlink/?LinkId=47368. Una alternativa es ir a De Windows Update en http://go.microsoft.com/fwlink/? linkid=47370 y busque actualizaciones crticas y Service Packs. Instalar Microsoft. NET Framework 1.1 Service Pack 1 para Windows Server 2000.
32
33
Despus de editar este archivo, debe reiniciar IIS y el servidor WSUS. Usted puede encontrar el archivo Urlscan.ini en la carpeta \ WINNT \ System32 \ inetserv \ Urlscan en el disco de arranque de su equipo. Para editar el archivo Urlscan.ini 1. Abrir URLScan.ini en un editor de texto. 2. Eliminar ". Exe" de la seccin [DenyExtensions]. 3. Asegrese de que las siguientes opciones aparecen bajo la seccin [AllowVerbs]: GET CABEZA DESPUS OPCIONES
La implementacin de Microsoft Windows Server Update Services recuperarse de este error, debe conceder manualmente permisos Leer y ejecutar en% windir% \ Microsoft.net \ Framework \ V1.1.4322 \ csc.exe.
34
Para ms informacin, consulte este Artculo de Knowledge Base en el sitio de soporte tcnico de Microsoft en http://go.microsoft.com/fwlink/?LinkId=42681.
Cliente Auto-Update
WSUS utiliza IIS para actualizar automticamente la mayora de los equipos cliente para el software compatible con WSUS Actualizaciones automticas. Para lograr esto, la instalacin de WSUS crea un directorio virtual denominado Selfupdate, en el sitio Web que se ejecuta en el puerto 80 del ordenador donde se instala WSUS. Este directorio virtual, llamado el rbol de la auto-actualizacin, contiene el software compatible con WSUS Actualizaciones automticas. El software de actualizaciones automticas incluida con anteriores SUS slo puede actualizar si se encuentra el rbol de la autoactualizacin en un servidor Web que se ejecuta en el puerto 80. Si tiene instalado Microsoft Windows XP sin service packs en su organizacin, usted puede encontrar ms informacin acerca de las limitaciones de los clientes de autoactualizacin de las caractersticas de la "Actualizacin de las actualizaciones automticas en Windows XP sin ningn Service Pack" en la seccin Actualizacin de Actualizaciones automticas.
La implementacin de Microsoft Windows Server Update Services SUS a WSUS migracin, consulte Migrar de un servidor SUS a un servidor WSUS adelante en esta gua. Nota Si cambia el nmero de puerto despus de la instalacin de WSUS, con el fin de acceder a la consola de administracin de WSUS desde un acceso directo, tienes que crear un nuevo acceso directo en el men Inicio con la nueva URL. Consulte Ayuda y soporte en Windows Server 2003 para obtener instrucciones sobre la creacin de accesos directos. Si cambia el nmero de puerto despus de la instalacin de WSUS WSUS, debe reiniciar manualmente el servicio de IIS.
35
La implementacin de Microsoft Windows Server Update Services Si quieres hacer una instalacin desatendida, consulte Apndice A: Instalacin desatendida adelante en esta gua. Importante Asegrese de leer las notas de lanzamiento de WSUS. Notas de la versin contienen a menudo importante de ltima hora acerca de la liberacin. Busque las notas de lanzamiento de WSUS en la siguiente ubicacin: UnidadDeInstalacinDeWSUS: \ Archivos de programa \ Microsoft Windows Server Update Services \ Documentation \ En Nota La ltima versin de WSUSSetup.exe est disponible en el Sitio Web de Microsoft para Windows Server Update Services en http://go.microsoft.com/fwlink/?LinkId=47374. Para instalar WSUS en el servidor 1. Haga doble clic en el archivo de instalacin (WSUSSetup.exe). 2. En el Bienvenida pgina, haga clic en Siguiente. 3. Lea los trminos del contrato de licencia, haga clic en Acepto los trminos del Contrato de Licencia, A continuacin, haga clic en Siguiente.
36
4. En el Seleccione Fuente de actualizacin pgina, puede especificar que los equipos cliente recibir actualizaciones. Si selecciona Almacenar actualizaciones localmente, las actualizaciones se almacenan en WSUS y usted puede seleccionar una ubicacin en el sistema de archivos para almacenar actualizaciones. Si no almacenar las actualizaciones localmente, los equipos cliente se conectan a Microsoft Update para obtener actualizaciones aprobadas. Haga su seleccin y haga clic en Siguiente. Para ms informacin, consulte Determine dnde almacenar actualizaciones anteriormente en esta gua. Seleccione la pgina origen de la actualizacin
37
5. En el Opciones de base de datos pgina, seleccionar el software utilizado para administrar la base de datos de WSUS. De manera predeterminada, WSUS propone instalar WMSDE a equipos que ejecutan Windows Server 2003. Puede especificar dnde se instala WSUS WMSDE. Para aceptar la configuracin predeterminada, haga clic en Instalar SQL Server Desktop Engine (Windows) en este equipo. Si usted no puede usar WMSDE, haga clic en Usar un servidor de base de datos existente en este equipo, y seleccione el nombre de la instancia de la lista desplegable. Haga su seleccin y haga clic en Siguiente. Para ms informacin, consulte Elija la base de datos utilizada para WSUS anteriormente en esta gua. Opciones de base de datos de pgina
38
6. En el Seleccin de sitio Web pgina, se especifica el sitio Web que utilizar WSUS. Tenga en cuenta dos direcciones URL importantes: la direccin URL a punto los equipos cliente de WSUS y el URL para la consola de WSUS donde se configurar WSUS. Haga su seleccin y haga clic en Siguiente. Para ms informacin, consulte Instalacin y configuracin de IIS anteriormente en esta gua. Sitio Web Pgina de seleccin
39
7. En el Configuracin de Actualizacin pgina, se especifica la funcin de gestin de este servidor WSUS. Si desea una topologa de administracin central, escriba el nombre del servidor WSUS aguas arriba. Si este es el primer servidor WSUS de la red o desea una topologa de administracin distribuida, omita esta pantalla. Haga su seleccin y haga clic en Siguiente. Para obtener ms informacin acerca de las funciones de administracin, consulte Elegir un estilo de gestin anteriormente en esta gua. Configuracin de la pgina de Actualizacin
40
8. En el Preparado para instalar Windows Server Update Services pgina, haga clic en Siguiente. Preparado para instalar Windows Server Update Services pgina
41
9. Si la ltima pgina del asistente confirma que la instalacin de WSUS se ha realizado con xito, haga clic en Terminar. Para finalizar la instalacin, la raz de la unidad en la que las tiendas de actualizaciones WSUS deben tener ciertos permisos para WSUS para funcionar. Instalacin de WSUS no modificar los permisos en la unidad raz donde se almacenan las actualizaciones, pero esta unidad no tenga los permisos adecuados establecidos. Por ejemplo, las herramientas de seguridad puede haber sido utilizado para despojar los permisos por defecto desde el disco antes de la instalacin de WSUS. Para manejar este problema, utilice el siguiente procedimiento para comprobar la unidad donde se almacenan las actualizaciones para asegurarse de permisos se establecen correctamente. Para comprobar los permisos en la unidad donde se almacenan las actualizaciones 1. Haga doble clic en Mi PC, A continuacin, haga clic derecho en la unidad donde se almacenan las actualizaciones y seleccione Compartir y seguridad. 2. Asegrese de que la unidad tiene permisos de lectura para el NT Authority \ Servicio de red grupo en Windows Server 2003. Para Windows 2000 Server, la
La implementacin de Microsoft Windows Server Update Services unidad debe tener permisos de lectura para el grupo de usuarios. Si la unidad no tiene estos permisos, se les debe agregar.
42
Para obtener una lista completa de todos los permisos requeridos por WSUS, consulte el tema "Comprobacin de la configuracin de WSUS del servidor" en los servicios de solucin de problemas de Windows Update Server en la Gua de operaciones. La ltima versin de este documento est disponible en el Microsoft Windows Server 2003 TechCenter sitio para Windows Server Update Services en http://go.microsoft.com/fwlink/?LinkId=41171.
43
La implementacin de Microsoft Windows Server Update Services puerto (puerto 80 es el valor por defecto) del servidor proxy en los cuadros correspondientes. 3. Si desea conectar con el servidor proxy con las credenciales de usuario especfico, haga clic en Utilizar las credenciales de usuario para conectarse al servidor proxy, Y luego introduzca el nombre de usuario, el dominio y la contrasea del usuario en los cuadros correspondientes. Si desea habilitar la autenticacin bsica para el usuario que se conecta al servidor proxy, haga clic en Permitir la autenticacin bsica (la contrasea en texto claro). 4. Bajo Tareas, Haga clic en Guardar configuracin y, a continuacin, haga clic en Aceptar cuando aparezca el cuadro de confirmacin.
44
La implementacin de Microsoft Windows Server Update Services Nota Es posible que tenga que hacer una sincronizacin inicial para obtener algunos productos que aparecen en la lista de clasificaciones de productos.
45
La implementacin de Microsoft Windows Server Update Services Para especificar que las actualizaciones se almacenan 1. En la barra de herramientas de la consola de WSUS, haga clic en OpcionesY haga clic en Opciones de sincronizacin. 2. Bajo Actualizacin de los archivos y lenguajes de, Haga clic en Avanzada, a continuacin, lea la advertencia y haga clic en Aceptar. 3. Si desea almacenar las actualizaciones en WSUS, en el Opciones avanzadas de sincronizacin cuadro de dilogo, en archivos de actualizacin, haga clic en Almacenar los archivos de actualizacin localmente en este servidor. Si desea que los clientes conectarse a Internet para obtener actualizaciones, a continuacin, haga clic en No almacenar las actualizaciones localmente, los clientes instalar actualizaciones de Microsoft Update.
46
47
descripcin de esta funcin en "Utilizacin de archivos de instalacin", en Determinar las opciones de ancho de banda a utilizar para su distribucin anteriormente en este documento. Para especificar si los archivos de instalacin se descargarn durante la sincronizacin 1. En la barra de herramientas de la consola de WSUS, haga clic en OpcionesY haga clic en Opciones de sincronizacin. 2. Bajo Actualizacin de los archivos y lenguajes de, Haga clic en Avanzada, a continuacin, lea la advertencia y haga clic en Aceptar. 3. Si desea descargar archivos de instalacin, en el Opciones avanzadas de sincronizacin cuadro de dilogo, en archivos de actualizacin, seleccione los archivos de descarga de instalacin rpida casilla de verificacin. Si no desea que los archivos de instalacin rpida, desactive la casilla de verificacin.
La implementacin de Microsoft Windows Server Update Services sincronizacin. Si un nuevo idioma se aade, se descargar automticamente. Descargar actualizaciones slo en los idiomas seleccionados Esto significa que slo las actualizaciones dirigidas a los idiomas que seleccione se descargarn durante la sincronizacin. Si elige esta opcin, tambin debe elegir cada idioma que desee de la lista de los disponibles.
48
Nota Si cambia las opciones de idioma, Microsoft recomienda que sincronizar manualmente entre el servidor WSUS administrado centralmente y de sus servidores de rplica. Esto evita una situacin en la que cambiar las opciones de idioma en el servidor de administracin central solo puede resultar en el nmero de actualizaciones que se aprob en el mismo no coincida con el nmero de aprobados en los servidores de rplica.
La implementacin de Microsoft Windows Server Update Services Para crear un grupo de rplicas para la gestin centralizada de mltiples servidores WSUS 1. Instalar WSUS en un ordenador en un sitio donde puede ser administrada por un administrador. Siga los pasos de Ejecutar la instalacin del servidor WSUS anteriormente en esta gua.
49
2. Instalar WSUS en un ordenador en un sitio remoto. Siga los pasos de Ejecutar la instalacin del servidor WSUS anteriormente en esta gua. Al llegar a la pgina Configuracin de actualizacin reflejada durante la instalacin de WSUS, especifique el nombre del servidor WSUS desde el paso 1. Configuracin de actualizaciones espejo pgina
3. Repita el paso 2 es necesario para aadir ms servidores WSUS con el grupo de rplica.
50
3. Bajo Tareas, Haga clic en Guardar configuracin y haga clic en Aceptar cuando aparezca el cuadro de confirmacin.
51
52
Aprobar actualizaciones
Usted debe aprobar las actualizaciones para probar la funcionalidad de la implementacin de WSUS. Hay muchas opciones para implementar las actualizaciones, el procedimiento siguiente slo cubre lo bsico. Utilizar la ayuda de WSUS o el "Microsoft Windows Update Services Gua de operaciones" para entender todas sus opciones de aprobacin. Para aprobar varias actualizaciones para la instalacin 1. En la barra de herramientas de la consola de WSUS, haga clic en Actualizaciones. 2. En la lista de actualizaciones, seleccione las actualizaciones mltiples que desea aprobar para la instalacin. 3. Bajo Las tareas de actualizacin, Haga clic en Aprobar para su instalacin. El cuadro de dilogo Aprobar actualizaciones con la accin de la lista Aprobar conjunto para la instalacin del grupo de todos los equipos. 4. Si desea especificar un valor por defecto de aprobacin diferente para uno o ms grupos, encontrar el grupo para el que desea establecer la configuracin especial de aprobacin en el Configuracin del grupo de la aprobacin de las actualizaciones seleccionadas caja de texto, seleccionar un ajuste de la aprobacin de la columna de la aprobacin, a continuacin, haga clic en Aceptar. Por defecto, todos los grupos se encuentran en el servidor WSUS estn configurados para que coincida con la configuracin para el grupo Todos los equipos.
La implementacin de Microsoft Windows Server Update Services Para comprobar el estado del informe de actualizaciones 1. En la barra de herramientas de la consola de WSUS, haga clic en Informes. 2. En el Informes pgina, haga clic en Estado de las actualizaciones. 3. Si desea filtrar la lista de actualizaciones se muestra, en Ver, Seleccione los criterios que desea utilizar, a continuacin, haga clic en Aplicar. 4. Si desea ver el estado de una actualizacin por un grupo de equipos y luego por la computadora, ampliar la vista de la actualizacin si es necesario. 5. Si desea imprimir el estado del informe de actualizaciones, en Tareas, Haga clic en Imprimir informe.
53
Adicin de autenticacin entre los servidores WSUS encadenado en un entorno de Active Directory
Usted puede agregar la autenticacin para la sincronizacin de servidor a servidor.
54
Hay algunas limitaciones para permitir la autenticacin. Cualquier servidor WSUS que desea autenticar debe estar en un entorno de Active Directory. Adems, si los servidores de WSUS se encuentran en bosques diferentes, tiene que haber confianza entre los bosques de este mtodo de autenticacin para tener xito. Habilitacin de la autenticacin es un proceso de dos pasos. En primer lugar, crear una lista de abajo servidores WSUS puede autenticar con el servidor WSUS, aadir esta lista a un archivo de texto que se cre cuando instal WSUS. En segundo lugar, en IIS, deshabilite el acceso annimo al servidor WSUS. Con la finalizacin de estos dos pasos, slo los equipos aguas abajo indicados pueden sincronizar con el servidor WSUS. Cada uno de estos pasos se detalla a continuacin.
Dentro de la apertura y cierre de etiquetas de autorizacin, se especifica una lista de equipos que se permite una conexin con el servicio Web. Debe introducir estos equipos como dominio nombre_equipo \. Si desea que varios equipos, utilice una coma para separar los nombres. Tambin se puede especificar una lista explcita de los equipos que se les niega el acceso. Orden de la lista es importante, ya que la evaluacin se detiene con el primer elemento que se aplica al usuario. El esquema XML para esta lista se pueden encontrar en una MSDN sitio Web en http://go.microsoft.com/fwlink/?LinkId=47691.
55
56
La Resumen de la implementacin de IPsec pgina en el sitio Web de Microsoft en http://go.microsoft.com/fwlink/?LinkId=45154 ofrece una gua sobre cmo implementar IPsec en su entorno.
57
Para mantener el funcionamiento de WSUS, no debe requerir SSL para las races virtuales: Contenido ReportingWebService SelfUpdate
El certificado de abajo servidores WSUS tiene que ser importado en cualquiera de confianza del equipo local o tienda de CA raz de confianza de Windows Server Update Service del almacn raz de CA. Si el certificado slo se importa a la confianza del usuario local CA raz tienda, el servidor WSUS aguas abajo error en la autenticacin del servidor en el servidor ascendente. Se puede utilizar cualquier puerto que quieras cuando configure IIS para utilizar SSL. Sin embargo, el puerto que ha configurado para SSL determina el puerto que utiliza WSUS para HTTP claro. Consideremos los siguientes ejemplos: Si utiliza el puerto estndar de la industria de 443 para el trfico HTTPS, WSUS utiliza el puerto 80 para borrar el trfico HTTP, que es el estndar de la industria de HTTP. Si utiliza otro puerto para el trfico HTTPS, WSUS asume la clara trfico HTTP deben ser enviados a travs del puerto de que numricamente precede a la de puerto para HTTPS. Por ejemplo, si se utiliza el puerto 8531 para HTTPS, WSUS utiliza el 8530 para HTTP.
Nota Si cambia el nmero de puerto o si desea utilizar HTTPS para acceder a la consola de administracin de WSUS, usted tiene que crear un nuevo acceso directo en el men Inicio con la nueva direccin URL para acceder a la consola de administracin de WSUS desde el men Inicio. Consulte Ayuda y soporte en Windows Server 2003 para obtener informacin sobre la creacin de accesos directos. Muestra SSL URL para acceder a la consola administrativa de WSUS Esta seccin incluye las direcciones URL de la muestra a utilizar para acceder a la consola administrativa de WSUS cuando se ha configurado WSUS para usar SSL. Acceso a la consola administrativa de WSUS mediante asignaciones estndar de la industria de puerto para SSL
58
Si se va a instalar WSUS para el sitio predeterminado, y luego configurar SSL para usar las asignaciones estndar de la industria portuaria, deber utilizar la siguiente URL para acceder a la consola administrativa de WSUS mediante una conexin segura: https://WSUSServerName/WSUSAdmin/ Nota Recuerde que si usted cambia las asignaciones de WSUS puerto despus de la instalacin y se est utilizando SSL, WSUS utiliza las reglas se ha sealado para asignar un puerto para el protocolo HTTP. Acceso a la consola administrativa de WSUS mediante asignaciones de funciones personalizadas para el puerto SSL Si se va a instalar WSUS a la pgina personalizada y, a continuacin, configurar SSL para usar una asignacin de puerto personalizado de 8531 para el puerto SSL, entonces utilice la siguiente URL para acceder a la consola administrativa de WSUS mediante el uso de una conexin segura: https://WSUSServerName: 8531/WSUSAdmin / Nota Usted no tiene que usar 8531 para el puerto SSL. Se puede utilizar cualquier puerto libre, pero WSUS requiere de dos puertos para SSL: el puerto que se asigna y el puerto que numricamente le precede. Por ejemplo, si usted escoge 2424 para el puerto SSL, WSUS usara 2424 para HTTPS y 2423 para HTTP.
59
Update" en Configurar las actualizaciones automticas mediante Directiva de grupo adelante en esta gua. El certificado en los equipos cliente tiene que ser importado en cualquiera de confianza del equipo local o tienda de CA raz de confianza de servicios de actualizacin automtica de la tienda de la CA raz. Si el certificado slo se importa a los usuarios locales de CA raz de confianza Actualizaciones automticas se almacenan error en la autenticacin del servidor. Los equipos cliente debe confiar en el certificado que enlazar con el servidor WSUS en IIS. Dependiendo del tipo de certificado que est utilizando, puede que tenga que configurar un servicio para permitir a los clientes a confiar en el certificado enlazado al servidor WSUS. Para ms informacin, consulte la seccin "Otras lecturas" ms adelante en esta seccin.
Muestra SSL URL a punto de actualizaciones automticas de WSUS Esta seccin incluye las direcciones URL de ejemplo para utilizar a punto de actualizaciones automticas de WSUS cuando se ha configurado WSUS para usar SSL. Punto de Actualizaciones automticas para uso de WSUS Asignaciones de puerto estndar de la industria de SSL Si se va a instalar WSUS para el sitio predeterminado, y luego configurar SSL para usar las asignaciones estndar de la industria portuaria, deber utilizar la siguiente URL a punto de Actualizaciones automticas en el servidor WSUS: https://WSUSServerName Punto de actualizaciones automticas de WSUS con asignaciones de funciones personalizadas puerto para SSL Si se va a instalar WSUS a la pgina personalizada y, a continuacin, configurar SSL para usar una asignacin de puerto personalizado de 8531 para el puerto SSL, deber utilizar la siguiente URL a punto de Actualizaciones automticas en el servidor WSUS: https://WSUSServerName: 8531
60
Para conectar un servidor indirecto a un servidor ascendente configurado para utilizar SSL 1. En la barra de herramientas de la consola de WSUS, haga clic en OpcionesY haga clic en Opciones de sincronizacin. 2. En el Origen de la actualizacin caja de texto, haga clic en Sincronizar desde un servidor Windows arriba Server Update Services, escriba el nombre del servidor de arriba y el nmero de puerto que utiliza para las conexiones SSL, a continuacin, seleccione la casilla Usar SSL al sincronizar la informacin de actualizacin casilla de verificacin. 3. Bajo Tareas, Haga clic en Guardar configuracin y, a continuacin, haga clic en Aceptar cuando aparezca el cuadro de dilogo de confirmacin.
61
62
63
La implementacin de Microsoft Windows Server Update Services tienen prioridad sobre las opciones definidas por el usuario. Cuando se utiliza polticas administrativas para configurar las actualizaciones automticas, la interfaz de usuario Actualizaciones automticas est deshabilitado en el equipo de destino.
64
Si configurar las actualizaciones automticas para notificar al usuario de cambios que estn listos para ser descargado, se enva la notificacin al registro del sistema y un administrador ha iniciado la sesin de la computadora. Puede utilizar Directiva de grupo para permitir que los usuarios no administradores para difundir este mensaje. Si no hay ningn usuario con credenciales de administrador inicia sesin y no ha permitido que no son administradores para recibir notificaciones, actualizaciones automticas espera un administrador para iniciar sesin antes de ofrecer la notificacin. Por defecto, cada 22 horas, menos un desplazamiento aleatorio, Actualizaciones automticas sondea el servidor WSUS para las actualizaciones aprobadas, si las nuevas actualizaciones se deben instalar, que se descargan. La cantidad de tiempo entre cada ciclo de deteccin pueden ser manipulados desde 1 hasta 22 horas por la directiva de grupo. Puede manipular las opciones de notificacin de la siguiente manera: Si Actualizaciones automticas se configura para notificar al usuario de cambios que est listo para instalar, se enva la notificacin al registro del sistema y el rea de notificacin del equipo cliente. Cuando un usuario con credenciales apropiadas hace clic en el icono de notificacin del rea, Actualizaciones automticas muestra las actualizaciones disponibles para instalar. En este caso, un usuario con las credenciales adecuadas puede ser un iniciado la sesin de administrador o un administrador no concede las credenciales apropiadas por medio de la directiva de grupo. El usuario debe hacer clic en Instalar para que la instalacin pueda continuar. Aparecer un mensaje si la actualizacin requiere el reinicio del equipo para completar la actualizacin. Si el reinicio es requerido, las actualizaciones automticas no se pueden detectar las actualizaciones adicionales hasta que se reinicie el equipo.
Si Actualizaciones automticas se configura para instalar actualizaciones en un horario establecido, las actualizaciones aplicables se descargan y se marca como listo para instalar. Actualizaciones automticas notifica a los usuarios tener las credenciales apropiadas a travs de un icono de notificacin del rea, y un evento se registra en el registro del sistema. Esto indica que el usuario puede instalar las actualizaciones. En el da y la hora, las actualizaciones automticas instala la actualizacin y reinicia el equipo (si es necesario), incluso si no hay un administrador local conectado. Si un administrador local se registra en la computadora y requiere un reinicio actualizaciones, automtico muestra una advertencia y una cuenta atrs para cuando el equipo se reiniciar. De lo contrario, la instalacin se produce en el fondo.
65
Si es necesario reiniciar el equipo, y cualquier usuario se registra en un cuadro de cuenta atrs de dilogo similar en la pantalla, advirtiendo al usuario con sesin iniciada sobre el reinicio inminente. Puede manipular equipo se reinicia con la directiva de grupo. Despus de las nuevas actualizaciones se descargan, las encuestas de Actualizaciones automticas en el servidor WSUS de nuevo para la lista de paquetes aprobados para confirmar que los paquetes de los que descargan siguen siendo vlidas y aprobadas. Esto significa que si un administrador de WSUS elimina las actualizaciones de la lista de actualizaciones aprobadas, mientras que las Actualizaciones automticas se descarga de actualizaciones, slo las actualizaciones que estn siendo aprobados estn instalados. En esta gua Configurar las actualizaciones automticas mediante Directiva de grupo Configurar las actualizaciones automticas en un entorno de Directorio Activo no
La implementacin de Microsoft Windows Server Update Services La siguiente es una lista de las opciones de directiva de grupo para configurar WSUS artculos relacionados con el medio ambiente. Nota En Windows 2000, Directiva de grupo es conocido como el Editor de directivas de grupo. Aunque el nombre cambiado, es la misma herramienta para editar objetos de directiva de grupo. Tambin se conoce comnmente como gpedit.
66
La implementacin de Microsoft Windows Server Update Services continuacin, haga clic en Abrir. 5. En el Aadir / quitar plantillas cuadro de dilogo, haga clic en Cerrar.
67
4. Clic Aceptar.
68
La implementacin de Microsoft Windows Server Update Services equipo, Expanda Plantillas administrativas, Componentes de Windows, y haga clic en Windows Update. 2. En el panel de detalles, haga clic en Activar el lado del cliente objetivo. 3. Clic Activado y escriba el nombre del grupo de equipos en el cuadro. 4. Clic Aceptar.
69
70
71
aplica esta poltica ser comprobar si hay actualizaciones en cualquier lugar entre el 16 y 20 horas. Si el estado se establece en Habilitado, Actualizaciones automticas comprobar si hay actualizaciones disponibles en el intervalo especificado. Si el estado se establece en Deshabilitado o No configurado, Actualizaciones automticas comprobar si hay actualizaciones disponibles en el intervalo predeterminado de 22 horas. Para fijar la frecuencia de deteccin automtica de actualizacin 1. En el Editor de objetos de directiva de grupo, ampliar Configuracin del equipo, Expanda Plantillas administrativas, Componentes de Windows, y haga clic en Windows Update. 2. En el panel de detalles, haga clic en Actualizacin automtica de deteccin de frecuencia, Y establece la opcin. 3. Clic Aceptar.
72
73
74
en el sitio Web pblico de Windows Update. Esto sucede incluso si se ha especificado que las actualizaciones automticas deben obtener la aprobacin actualizaciones de su servidor WSUS. Para eliminar los enlaces y el acceso a Windows Update 1. En el Editor de objetos de directiva de grupo, ampliar Configuracin de usuario, Expanda Plantillas administrativas y, a continuacin, haga clic en el men Inicio y barra de tareas. 2. En el panel de detalles, haga clic en Quitar vnculos y accesos a Windows Update, Y establece la opcin. 3. Clic Aceptar.
La implementacin de Microsoft Windows Server Update Services Opciones de actualizacin de Windows Agente Medio Ambiente Claves del Registro
Nombre de la entrada Valores Tipo de datos
75
ElevateNonAdmins
Rango = 1 | 0 1 = Los usuarios del grupo de seguridad de usuarios se les permite aprobar o rechazar cambios. 0 = Slo los usuarios del grupo de usuarios administradores pueden aprobar o rechazar cambios.
Reg_DWORD
TargetGroup
Nombre del grupo de equipos a los que pertenece el equipo, para implementar en el cliente objetivo, por ejemplo, "TestServers". Esta poltica se combina con TargetGroupEnabled. Rango = 1 | 0 1 = El uso del lado del cliente objetivo. 0 = No usar en el cliente objetivo. Esta poltica se combina con TargetGroup.
Reg_String
TargetGroupEnabled
Reg_DWORD
WUServer
HTTP (S) URL del servidor WSUS utiliza Actualizaciones automticas y (por defecto) llamadas API. Esta poltica se combina con WUStatusServer; tanto se debe establecer en el mismo valor a fin de que sea vlida.
Reg_String
La implementacin de Microsoft Windows Server Update Services WUStatusServer El HTTP (S) URL del servidor al que se envi la informacin de informes de los equipos cliente que utilizan el servidor WSUS configurado por la clave WUServer. Esta poltica se combina con WUServer; tanto se debe establecer en el mismo valor a fin de que sea vlida. Reg_String
76
La implementacin de Microsoft Windows Server Update Services Actualizaciones automticas de claves de configuracin del registro
Nombre de la entrada Rango de valor y su significado
77
Tipo de datos
AUOptions
Rango = 2 | 3 | 4 | 5 | 2 = Notificar antes de descargar. 3 = Descargar automticamente y notificar la instalacin. 4 = automtica descarga e instalacin programada. (Slo es vlido si los valores existen para ScheduledInstallDay y ScheduledInstallTime.) 5 = Actualizaciones automticas es necesario, pero los usuarios finales pueden configurar.
Reg_DWORD
AutoInstallMinorUpdates
Rango = 0 | 1 0 = Tratar las actualizaciones menores, como otras actualizaciones. 1 = instalar silenciosamente actualizaciones menores.
Reg_DWORD
DetectionFrequency
Rango = n, donde n = tiempo en horas (1-22). Tiempo entre los ciclos de deteccin.
Reg_DWORD
DetectionFrequencyEnabled
Rango = 0 | 1 1 = Activar DetectionFrequency. 0 = Desactivar DetectionFrequency personalizado (valor de uso por defecto de 22 horas).
Reg_DWORD
La implementacin de Microsoft Windows Server Update Services NoAutoRebootWithLoggedOnUsers Rango = 0 | 1; 1 = usuario registrado tiene que elegir si desea o no reiniciar su ordenador. 0 = Actualizaciones automticas notifica al usuario que el equipo se reiniciar en 5 minutos. NoAutoUpdate Rango = 0 | 1 0 = Habilitar las actualizaciones automticas. 1 = deshabilitar las actualizaciones automticas. RebootRelaunchTimeout Rango = n, donde n = tiempo en minutos (1 hasta 1440). Tiempo entre la llev de nuevo por un reinicio programado. RebootRelaunchTimeoutEnabled Rango = 0 | 1 1 = Activar RebootRelaunchTimeout. 0 = Desactivar RebootRelaunchTimeout personalizado (valor de uso por defecto de 10 minutos). RebootWarningTimeout Rango = n, donde n = tiempo en minutos (1-30). Duracin, en minutos, de la cuenta atrs de advertencia reiniciar despus de instalar actualizaciones con una fecha lmite o actualizaciones programadas.
78
Reg_DWORD
Reg_DWORD
Reg_DWORD
Reg_DWORD
Reg_DWORD
La implementacin de Microsoft Windows Server Update Services RebootWarningTimeoutEnabled Rango = 0 | 1 1 = Activar RebootWarningTimeout. 0 = Desactivar RebootWarningTimeout personalizado (valor de uso por defecto de 5 minutos). RescheduleWaitTime Rango = n, donde n = tiempo en minutos (1-60). Tiempo, en minutos, que las actualizaciones automticas deben esperar en el arranque antes de aplicar las actualizaciones de un tiempo de instalacin se perdi programado. Tenga en cuenta que esta poltica se aplica slo a las instalaciones previstas, no los plazos. Actualizaciones, cuyos plazos han vencido siempre deben instalarse lo ms pronto posible. RescheduleWaitTimeEnabled Rango = 0 | 1 1 = Activar RescheduleWaitTime 0 = Desactivar RescheduleWaitTime (el intento de la instalacin se perdi durante el tiempo de instalacin programada siguiente).
79
Reg_DWORD
Reg_DWORD
Reg_DWORD
La implementacin de Microsoft Windows Server Update Services ScheduledInstallDay Rango = 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7| 0 = Todos los das. Del 1 al 7 = El da de la semana desde el domingo (1) a sbado (7). (Slo es vlido si AUOptions es igual a 4.) ScheduledInstallTime Rango = n, donde n = la hora del da en formato de 24 horas (0-23). El valor WUServer no se respeta a menos que esta clave se establece.
80
Reg_DWORD
Reg_DWORD
UseWUServer
Reg_DWORD
Detectnow Opcin
Dado que la espera para la deteccin de comenzar puede ser un proceso que consume tiempo, una opcin que se ha agregado para que pueda iniciar la deteccin de inmediato. En uno de los equipos con el nuevo cliente de actualizacin automtica instalada, ejecute el siguiente comando en el smbolo del sistema: wuauclt.exe / detectnow
81
Resetauthorization Opcin
WSUS utiliza una cookie en los equipos cliente para almacenar diversos tipos de informacin, incluida la pertenencia de grupo de equipos al cliente objetivo se utiliza. Por defecto esta cookie caduca una hora despus de WSUS que crea. Si est utilizando el lado del cliente objetivo y la pertenencia al grupo el cambio, utilizar esta opcin en combinacin con detectnow a punto de expirar la cookie, iniciar la deteccin, y han de actualizacin de WSUS equipo pertenencia al grupo. Tenga en cuenta que la hora de combinar los parmetros, se pueden utilizar slo en el orden siguiente: wuauclt.exe / resetauthorization / detectnow
82
que preocuparse por la configuracin de horario de juego, los productos y las clasificaciones, el origen, o un servidor proxy, ya que la operacin de importacin se evita la necesidad de estos ajustes. El ajuste para la descarga diferida de cambios no tiene ningn efecto en el servidor de importacin. Si est utilizando la opcin de descarga en diferido en el servidor de exportacin, debe aprobar las actualizaciones para que puedan ser descargados antes de tomar el siguiente paso, que es la migracin de las actualizaciones del servidor de importacin. En segundo lugar, las actualizaciones de copia del sistema de archivos del servidor de exportacin para el sistema de archivos del servidor de importacin. De manera predeterminada, las actualizaciones se guardan en la carpeta siguiente: UnidadDeInstalacinDeWSUS: \ WSUS \ \ WSUSContent Puede utilizar la Utilidad de copia de seguridad de Windows o el software de copia de seguridad sea cual sea su organizacin conoce a copiar los archivos. Al copiar archivos en el servidor de importacin, debe mantener la estructura de carpetas de todas las carpetas en WSUSContent \. Asegrese de que las actualizaciones aparecen en la carpeta en el servidor de importacin que ha sido designado para almacenar actualizaciones, esta denominacin se suele hacer durante el proceso de configuracin. Tambin debe considerar el uso de un sistema de copia de seguridad incremental para limitar la cantidad de datos que necesita para mover cada vez que se actualiza el servidor de la red desconectado. En tercer lugar, los metadatos de actualizacin de exportacin de la base de datos en el servidor de exportacin y la importacin en la base de datos en el servidor de importacin. A lograr la importacin y exportacin de metadatos mediante el uso de la WSUSutil.exe utilidad de lnea de comandos mencionados en La migracin de lnea de comandos. Usted puede encontrar WSUSutil.exe en la subcarpeta de herramientas en la que instal WSUS. Usted debe ser un miembro del grupo de administradores local en el servidor WSUS para exportar o importar metadatos, tanto en las operaciones slo se pueden ejecutar desde el servidor WSUS s mismo. Slo se puede ejecutar WSUSutil.exe en una plataforma de 32 bits. Usted debe copiar las actualizaciones al sistema de archivos del servidor de importacin antes de importar los metadatos. Si WSUS encuentra metadatos para una actualizacin que no est en el sistema de archivos, la consola de WSUS muestra que la actualizacin no se puede descargar. Este tipo de problema se puede solucionar mediante la copia de la actualizacin en el sistema de archivos del servidor de importacin y otra vez tratando de implementar la actualizacin. Aunque puede utilizar copias de seguridad incrementales para mover los archivos de actualizacin en el servidor de importacin, no se puede mover los metadatos de
La implementacin de Microsoft Windows Server Update Services actualizacin gradual. WSUSutil.exe las exportaciones de todos los metadatos de la base de datos de WSUS durante la operacin de exportacin. En esta gua Paso 1 de Importacin y Exportacin: Opciones de concordancia avanzada Paso 2 Importar y Exportar: Copia de actualizaciones de sistema de archivos Paso 3 Importar y Exportar: Copia de metadatos de la base de datos
83
84
La implementacin de Microsoft Windows Server Update Services 8. Mueva el archivo de copia de seguridad que acaba de crear en el servidor de importacin.
85
Para restaurar las actualizaciones de un archivo en el sistema de archivos del servidor de importacin 1. En el servidor WSUS de importacin, haga clic en Comienzo, A continuacin, haga clic en Ejecutar. 2. En el Ejecutar cuadro de dilogo, escriba ntbackup. El asistente de copia de seguridad o restauracin se inicia por defecto, salvo que est deshabilitado. Puede utilizar este asistente o haga clic en el enlace para trabajar en el modo avanzado y utilizar los pasos siguientes. 3. Haga clic en el Restaurar y administrar medios de comunicacin ficha y seleccione el archivo de copia de seguridad que ha creado en el servidor de exportacin. Si el archivo no aparece, haga clic en Archivo y, a continuacin, haga clic en el archivo de catlogo para aadir la ubicacin del archivo. 4. En Restaurar archivos, Haga clic en Ubicacin alternativa. Esta opcin mantiene la estructura de carpetas de las actualizaciones, todas las carpetas y subcarpetas aparecern en la carpeta que usted designe. Usted debe mantener la estructura de directorios de todas las carpetas en WSUSContent \. 5. Bajo Ubicacin alternativa, Especificar la carpeta en la que las actualizaciones se almacenan en el servidor de importacin. De manera predeterminada, WSUS almacena las actualizaciones en unidadDeInstalacinDeWSUS: \ WSUS \ \ WSUSContent. Actualizaciones deben aparecer en la carpeta en el servidor de importacin designado para contener las actualizaciones, lo que se suele hacer durante la instalacin. 6. Clic Iniciar restauracin. Cuando el cuadro de dilogo Confirmar restauracin, haga clic en OK para iniciar la operacin de restauracin.
86
administradores local en el servidor WSUS para exportar o importar metadatos, tanto en las operaciones slo se pueden ejecutar desde el servidor WSUS s mismo. Importante Nunca importar los datos exportados de una fuente que no sean de confianza. Importar el contenido de una fuente que no confan en riesgo la seguridad de su servidor WSUS. Nota Durante el proceso de importacin o exportacin, el Servicio de actualizacin, el servicio de Windows NT que se basa la aplicacin WSUS, se apaga. Para exportar los metadatos de la base de datos del servidor de exportacin 1. En el smbolo del sistema en el servidor de exportacin, navegue a la carpeta que contiene WSUSutil.exe. 2. Escriba el siguiente: wsusutil.exe exportacinpackagename archivo de registro Por ejemplo: wsusutil.exe exportacin export.cab export.log Es decir, WSUSutil.exe seguido por el comando de exportacin, el nombre de un archivo de exportacin. Cabina, un espacio y el nombre de un archivo de registro. El paquete (archivo. Cab) y el nombre del archivo de registro debe ser nico. WSUSutil.exe crea estos dos archivos, ya que las exportaciones de los metadatos de la base de datos de WSUS. 3. Mueva el paquete de exportacin que acaba de crear en el servidor de importacin. Para importar los metadatos de la base de datos del servidor de importacin 1. En el smbolo del sistema en el servidor de importacin, vaya al directorio que contiene WSUSutil.exe. 2. Escriba el siguiente: wsusutil.exe importacinpackagename archivo de registro Por ejemplo: wsusutil.exe importacin export.cab Import.log
La implementacin de Microsoft Windows Server Update Services Es decir, WSUSutil.exe seguido por el comando de importacin, el nombre de la exportacin. Cab creado durante la operacin de exportacin, un espacio, y el nombre de un archivo de registro. WSUSutil.exe importa los metadatos desde el servidor de exportacin y crea un archivo de registro de la operacin. Nota Puede tomar de 3 a 4 horas de la base de datos para validar el contenido que acaba de ser importados. Por favor, sea paciente.
87
88
Hay algunas limitaciones para el SUS a WSUS migracin. La migracin es slo para las aprobaciones y las actualizaciones en el servidor SUS. No se puede migrar cualquier otra cosa, como servidor proxy o la configuracin de IIS. Este tipo de tareas de configuracin debe ser completado de forma independiente en el servidor WSUS. Adems, la migracin es un proceso unidireccional, no se puede migrar de regreso de WSUS para el SUS. Tambin tenga en cuenta que si la aprobacin se crean en el servidor WSUS antes de la migracin se lleva a cabo la aprobacin, la aprobacin explcita creado son sustituidos por la migracin de las aprobaciones. En esta gua La migracin de lnea de comandos Dos escenarios de migracin Mismo servidor de migracin Migracin del servidor remoto
89
Dependiendo de su actual infraestructura de SUS y las metas para WSUS, puede que tenga que usar estos dos escenarios. Por ejemplo, si tiene dos servidores SUS y desea instalar WSUS en una y luego consolidar la otra, que tendra que utilizar los pasos de los procedimientos de migracin para lograr su objetivo. Estos procesos se muestran en la "Comparacin de SUS a WSUS migracin Escenarios de" ilustracin.
La implementacin de Microsoft Windows Server Update Services Comparativa de SUS a WSUS Escenarios de migracin
90
91
92
wsusutil.exe migratesus / contenido c: \ SUS \ content \ cabs / aprobaciones SUS1 "todos los escritorios" / local_migration.log registro Es decir, WSUSutil.exe seguido por el comando migratesus, un espacio, la / el contenido de lnea de comandos, un espacio, la ubicacin del SUS. Cab, un espacio, el / la aprobacin de lnea de comandos, un espacio, el NetBIOS o nombre de dominio completo (FQDN) del servidor SUS, un espacio, un signo de comillas, el nombre del grupo objetivo de WSUS, otro signo de comillas, un espacio, la opcin / log de lnea de comandos, un espacio, y la nombre del archivo de registro. Para migrar el contenido local y las aprobaciones y las aprobaciones de SUS mapa para el grupo objetivo de todos los equipos en WSUS 1. En el smbolo del sistema, vaya al directorio que contiene WSUSutil.exe. 2. Escriba el siguiente: wsusutil.exe migratesus / contenidoPathToLocalSUSContent / aprobaciones SUSServerName / log nombre de archivo Por ejemplo: wsusutil.exe migratesus / contenido c: \ SUS \ content \ cabs / aprobaciones SUS1 / local_migration.log registro Para migrar slo contenido local 1. En el smbolo del sistema, vaya al directorio que contiene WSUSutil.exe. 2. Escriba el siguiente: wsusutil.exe migratesus / contenidoPathToLocalSUSContent / nombre del archivo de registro Por ejemplo: wsusutil.exe migratesus / contenido c: \ SUS \ content \ cabs / local_migration.log registro Para migrar slo aprobaciones locales 1. En el smbolo del sistema, vaya al directorio que contiene WSUSutil.exe. 2. Escriba el siguiente: wsusutil.exe migratesus / aprobacionesSUSServerName / log nombre de archivo
La implementacin de Microsoft Windows Server Update Services Por ejemplo: wsusutil.exe migratesus / aprobaciones SUS1 / local_migration.log registro Nota Si hay otros servidores SUS en su entorno y que quieren consolidar en este servidor WSUS, termine este procedimiento y prueba, y luego ver el "Paso 2 migracin del servidor remoto: Migrar el contenido y aprobaciones" en la seccin Migracin del servidor remoto para obtener instrucciones sobre la migracin de las aprobaciones de un equipo remoto.
93
La implementacin de Microsoft Windows Server Update Services Aceptar. 3. En IIS, haga clic en el sitio Web de SUS, y haga clic en Parada. Para cambiar de WSUS en el puerto 80 1. Clic Comienzo, A continuacin, haga clic en Ejecutar. 2. En el Abierto caja de texto, escriba inetmgr y, a continuacin, haga clic en Aceptar. 3. En IIS, haga clic en el sitio web de WSUS, y haga clic en Propiedades. 4. En el WSUS Administracin de Bienes cuadro de dilogo, cambie el valor en el puerto TCP 8530 a 80. Nota Si cambia el nmero de puerto despus de instalar WSUS, usted tiene que crear un nuevo acceso directo en el men Inicio con la nueva direccin URL para acceder a la consola de WSUS desde el men Inicio. Consulte Ayuda y soporte para obtener instrucciones sobre la creacin de accesos directos.
94
La implementacin de Microsoft Windows Server Update Services La consolidacin de mltiples servidores SUS y asignacin de aprobaciones de grupos de equipos nicos
95
96
La implementacin de Microsoft Windows Server Update Services "WSUSTargetGroupName" / nombre del archivo de registro Por ejemplo:
97
wsusutil.exe migratesus / content \ \ SUS1 \ content \ cabs / aprobaciones SUS1 "todos los escritorios" / log remote_migration.log Para migrar el contenido local y las aprobaciones y las aprobaciones de SUS mapa para el grupo objetivo de todos los equipos en WSUS 1. En el smbolo del sistema, navegue a la carpeta que contiene WSUSutil.exe. 2. Escriba el siguiente: wsusutil.exe migratesus / contenidoLocationOfRemoteSUSContent / aprobaciones SUSServerName / log nombre de archivo Por ejemplo: wsusutil.exe migratesus / content \ \ SUS1 \ content \ cabs / aprobaciones SUS1 / remote_migration.log registro Para migrar slo el contenido remoto 1. En el smbolo del sistema, navegue a la carpeta que contiene WSUSutil.exe. 2. Escriba el siguiente: wsusutil.exe migratesus / contenidoLocationOfRemoteSUSContent / nombre del archivo de registro Por ejemplo: wsusutil.exe migratesus / content \ \ SUS1 \ content \ cabs / aprobaciones SUS1 / remote_migration.log registro Para migrar slo aprobaciones remotas 1. En el smbolo del sistema, navegue a la carpeta que contiene WSUSutil.exe 2. Escriba el siguiente: wsusutil.exe migratesus / aprobacionesSUSServerName / log nombre de archivo Por ejemplo: wsusutil.exe migratesus / aprobaciones SUS1 / remote_migration.log registro
98
La implementacin de Microsoft Windows Server Update Services WSUSSetup.exede lnea de comandos el parmetro / v "property =" valor ""
99
en la lnea de comandos parmetro es un parmetro de lnea de comandos de la instalacin de WSUS de lnea de comandos tabla de parmetros, donde la propiedad es una propiedad de la instalacin de WSUS tabla de propiedades, y donde el valor es el valor real de la propiedad que se pasa al WSUS. Ambas tablas se pueden encontrar a continuacin. Si usted necesita para pasar un valor a la instalacin de WSUS, utilice el parmetro de lnea de comandos / v junto con una propiedad y su valor. Las propiedades son siempre emparejado con valores. Microsoft Windows Installer requiere valores pasados utilizando un espacio anterior y posterior. Por ejemplo, si desea la instalacin de WSUS para instalar el directorio de contenido de WSUS para D: \ WSUS que se utilice la siguiente sintaxis: WSUSSetup.exe / v "CONTENT_DIR =" D: \ WSUS "" Si necesita ayuda con WSUSutil.exe, puede utilizar el comando de ayuda. Por ejemplo, utilice el siguiente comando para mostrar la lista de parmetros de lnea de comandos: WSUSSetup.exe ayuda La instalacin de WSUS acepta los siguientes parmetros de lnea de comandos. La instalacin de WSUS de lnea de comandos Parmetros
Opcin Descripcin
/Q /U /D
Realizar una instalacin silenciosa. Desinstalar el producto. Tambin desinstala la instancia WMSDE si est instalado. Utilizar el servidor de base de datos existente (la propiedad SQL_INSTANCE definir la instancia de usar). Sobrescribir la base de datos existente. Pantalla de lnea de comandos Ayuda Pasa a los valores especificados en el paquete de Windows Installer (. Msi). Los pares de nombre valor de la propiedad debe cumplir con el formato especificado por Windows Installer. Las propiedades deben estar entre comillas con un espacio inicial y final.
E/S /? /V
La implementacin de Microsoft Windows Server Update Services 100 /F Instalar WSUS en un modo especial diseado para ser utilizado con SQL remota. Esta opcin se utiliza para configurar el front-end de la instalacin de WSUS, que incluye IIS y la ubicacin de almacenamiento de actualizacin. Para obtener ms informacin acerca de SQL remota, consulte Apndice C: SQL remoto. Instalar WSUS en un modo especial diseado para ser utilizado con SQL remota. Esta opcin se utiliza para establecer la base de datos en el servidor back-end SQL. Para obtener ms informacin acerca de SQL remota, consulte Apndice C: SQL remoto. Esta opcin se utiliza en combinacin con una variable de lenguaje le permite forzar el asistente de configuracin para utilizar un lenguaje diferente al que detecta por defecto. Use un punto y seguido de una variable del lenguaje de la mesa del lenguaje Variables para configurar el idioma. Utilice esta opcin para realizar una actualizacin de la versin RC1 de WSUS.
/B
/L
/G
Use las siguientes propiedades para configurar WSUS con el parmetro de lnea de comandos / v. Las propiedades de instalacin de WSUS
Instalador de Windows Propiedad Descripcin
CONTENT_DIR
El directorio donde se almacenar el contenido. Debe ser una unidad NTFS y puede ser una unidad no local de red asignada. Por defecto es unidadDeInstalacinDeWSUS: \ WSUS \ WSUSContent, donde unidadDeInstalacinDeWSUS es la unidad local con mayor espacio libre.
La implementacin de Microsoft Windows Server Update Services 101 CONTENT_LOCAL Si se establece en "1" de los archivos. Cab se almacenan de forma local (esto es el valor por defecto). Si se pone a "0" en los equipos cliente se redirige al servidor de Microsoft Update para descargar los archivos. Cab. Instance_name El nombre de la instancia de SQL Server que se utilizar. Si una instancia existente no est presente, el valor por defecto es "WSUS". El directorio donde se almacena la base de datos WMSDE. El directorio debe estar en una unidad NTFS. El valor predeterminado es unidad: \ WSUS, donde unidad es la unidad local con mayor espacio libre. RETAIN_DATA Esta opcin se utiliza durante la desinstalacin de definir qu datos se deben a la izquierda. RETAIN_DATA = 0 - Eliminar todo. RETAIN_DATA = 1 - Salga de la base de datos. RETAIN_DATA = 2 - Agregar los registros. RETAIN_DATA = 3 - Salga de la base de datos y registros. RETAIN_DATA = 4 - Agregar el contenido. RETAIN_DATA = 5 - Salga de la base de datos y contenido. RETAIN_DATA = 6 - Agregar los registros y el contenido. RETAIN_DATA = 7 - todo lo que queda (por defecto). Use las siguientes propiedades en combinacin con la opcin / l.
WMSDE_DIR
La implementacin de Microsoft Windows Server Update Services 102 Las variables del lenguaje
Variable Nombre de idioma
CHS CHT CSY DEU ENU ESN FRA HUN ITA JPN KOR LND PLK PTB PTG RUS SVE TRK
Chino simplificado Tradicional china Checo Alemn Ingls Espaol Francs Hngaro Italiano Japons Coreano Holands Polaco Portugus-Brasil Portugus-Portugal Ruso Sueco Turco
La implementacin de Microsoft Windows Server Update Services 103 ejecutar la instalacin de WSUS. En esta seccin se da paso a paso las instrucciones para realizar esta tarea. Instalacin de MSDE en Windows 2000 Server es un proceso de cuatro pasos. Primero, usted debe descargar y expandir el archivo de MSDE en una carpeta en el servidor WSUS. Luego, utilice un smbolo del sistema y las opciones de lnea de comandos para ejecutar la instalacin de MSDE, defina la contrasea del administrador, y asignar WSUS como nombre de instancia. Entonces, cuando la instalacin de MSDE termine, debe comprobar que la instancia de WSUS se ejecuta como un servicio de Windows NT. Por ltimo, debe agregar un parche de seguridad para MSDE para proteger su servidor WSUS.
La implementacin de Microsoft Windows Server Update Services 105 Para comprobar que la instancia de WSUS de MSDE instalada 1. Clic Comienzo, A continuacin, haga clic en Ejecutar. 2. En el Abierto caja de texto, escriba services.msc y haga clic en Aceptar. 3. Desplcese por la lista de servicios, y verificar que el servicio de llamada MSSQL $ WSUS existe. MSSQL $ WSUS
La implementacin de Microsoft Windows Server Update Services 106 Para instalar SQL Server 2000 (32-bit) Parche de seguridad MS03-031 1. Haga doble clic en SQL Server 2000 (32-bit) Parche de seguridad MS03-031 (KB815495-SQL2000-8.00.0818-ESN.exe). 2. En el Bienvenida pgina, haga clic en Siguiente. 3. Lea el Acuerdo de Licencia, haga clic en Acepto los trminos y condiciones de licencia, A continuacin, haga clic en Siguiente. 4. En el Instancia para la actualizacin pgina, utilice el cuadro Instancia para seleccionar la instancia de WSUS, a continuacin, haga clic en Siguiente. Ejemplo, para actualizar la pgina
5. En el Modo de autenticacin pgina, seleccione la autenticacin de Windows, a continuacin, haga clic en Siguiente. Pgina de autenticacin de modo
6. En el Listo para instalar pgina, haga clic en Instalar. Listo para instalar
La implementacin de Microsoft Windows Server Update Services 110 despus de la instalacin se ha completado. Configuracin de base de datos se lleva a cabo en Paso 2: instalar WSUS en el equipo back-end. Iniciar manualmente el servicio de actualizacin es una de las tareas que cumplir en Paso 3: configurar el equipo frontend para usar el equipo back-end. Durante la instalacin, asegrese de tomar nota en la que la intencin de almacenar las actualizaciones. En el que almacenar las actualizaciones dicta cmo configurar el equipo back-end en Paso 2: instalar WSUS en el equipo back-end. Para ms informacin sobre el hardware, el disco duro y software, consulte Instale el servidor WSUS. Para instalar WSUS en el equipo front-end 1. En el smbolo del sistema, navegue a la carpeta que contiene el programa de instalacin de WSUS, y escriba: WSUSSetup.exe / f 2. En el Bienvenida pgina del asistente, haga clic en Siguiente. 3. Lea los trminos del contrato de licencia, haga clic en Acepto los trminos del Contrato de Licencia, A continuacin, haga clic en Siguiente. 4. En el Seleccione Fuente de actualizacin pgina, puede especificar que los equipos cliente recibir actualizaciones. Si hace clic en Almacenar actualizaciones localmente, las actualizaciones se almacenarn en WSUS y usted puede seleccionar una ubicacin en el sistema de archivos para almacenarlos. Si no almacenar las actualizaciones localmente, los equipos cliente se conectan a Microsoft Update para obtener actualizaciones aprobadas. Para leer ms acerca de las opciones de almacenamiento de actualizacin, consulte Determine dnde almacenar actualizaciones anteriormente en esta gua. Haga sus selecciones y haga clic en Siguiente. Si hace clic en Almacenar actualizaciones localmente, hacer una nota de la cadena que se utiliza para identificar la ubicacin para el almacenamiento de actualizacin local. Debe utilizar la misma cadena cuando se prepara el equipo back-end. Seleccione la pgina origen de la actualizacin
5. En el Seleccin de sitio Web pgina, se especifica el sitio Web que utiliza WSUS. Para ms informacin, consulte Instalacin y configuracin de IIS anteriormente en esta gua. Tenga en cuenta dos direcciones URL importantes: la direccin URL a punto los equipos cliente de WSUS y el URL para la consola de WSUS donde se configurar WSUS. Sitio Web Pgina de seleccin
6. En el Preparado para instalar Windows Server Update Services pgina, haga clic en Siguiente. Preparado para instalar Windows Server Update Services pgina
7. Si la pgina final confirma que la instalacin de WSUS se ha realizado con xito, haga clic en Terminar.
La implementacin de Microsoft Windows Server Update Services 114 SQL para identificar la forma de almacenamiento de actualizacin se est manejando en el equipo front-end. Estas opciones de instalacin de WSUS como la parte de atrs de un mando a distancia par SQL, pasando por alto la mayor parte de la instalacin, excepto para la parte de configuracin de base de datos. Despus de completada la instalacin, debe configurar los permisos en el equipo back-end. Para ms informacin sobre el hardware, el disco duro y software, consulte Instale el servidor WSUS. Paso 2 contiene los siguientes procedimientos: Instale WSUS en el equipo back-end Ejecutar un script SQL para identificar la forma de almacenamiento de actualizacin se est manejando en el equipo front-end Configurar permisos en el equipo back-end Para instalar WSUS en el equipo back-end 1. En el smbolo del sistema, navegue a la carpeta que contiene el programa de instalacin de WSUS, y escriba el siguiente comando: WSUSSetup.exe / b 2. En el Bienvenida pgina del asistente, haga clic en Siguiente. 3. Lea los trminos del contrato de licencia, haga clic en Acepto los trminos del Contrato de Licencia, A continuacin, haga clic en Siguiente. 4. En el Opciones de base de datos pgina, seleccionar el software utilizado para administrar la base de datos de WSUS. Debe hacer clic en Usar un servidor de base de datos existente en este equipo. Seleccione el nombre de la instancia de la caja de SQL nombre de la instancia, y luego haga clic en Siguiente. 5. En el Conectar a la instancia de SQL Server pgina, esperar a que se le solicite para la correcta conexin con el servidor SQL, a continuacin, haga clic en Siguiente. Conexin a la pgina de instancia de SQL Server
6. En el Configuracin de Actualizacin pgina, se especifica la funcin de gestin de este servidor WSUS. Si desea una topologa de administracin central, o si este no es el primer servidor WSUS de la red, introduzca el nombre del servidor WSUS arriba aqu. Si este es el primer servidor WSUS de la red o desea una topologa de administracin distribuida, omita esta pantalla. Haga su seleccin y haga clic en Siguiente. Para obtener ms informacin acerca de las funciones de administracin, consulte Elegir un estilo de gestin. Configuracin de la pgina de Actualizacin
7. En el Preparado para instalar Windows Server Update Services pgina, haga clic en Siguiente. 8. Si la pantalla final confirma que la instalacin de WSUS se ha realizado con xito, haga clic en Terminar. Una vez que se instala WSUS en el equipo back-end, debe ejecutar un script SQL para identificar la forma de almacenamiento de actualizacin se est manejando en el equipo front-end. La sintaxis de la secuencia de comandos SQL se ejecuta depende de si los equipos cliente est recibiendo actualizaciones de forma local desde el equipo front-end o descargar las actualizaciones directamente desde Microsoft. Que estableci que los clientes obtener las actualizaciones durante la instalacin de WSUS en el equipo frontend. Si usted no puede recordar cmo haya configurado el equipo front-end, se puede encontrar mediante la lectura del archivo de registro ubicado en el equipo front-end aqu: % Programfiles%\ Update Services \ Logfiles \ WSUSSetup_InstallDate.log donde InstallDate es la fecha ha instalado WSUS. En este archivo se necesita el valor para dos claves:
La implementacin de Microsoft Windows Server Update Services 117 HostOnMu LocalContentCacheLocation Para identificar en el equipo back-end de almacenamiento como de actualizacin se est manejando en el equipo front-end En el smbolo del sistema, escriba uno de los siguientes comandos, dependiendo de cmo configurar el equipo front-end: Si opta por el almacenamiento local en el equipo front-end, escriba: "% Programfiles% \ Update Services \ tools \ osql \ osql.exe"SSQLServerName-E-b-n-Q "USO SUSDB ACTUALIZACIN dbo.tbConfigurationA JUEGO HostOnMu = '0 'UPDATE LocalContentCacheLocation JUEGO dbo.tbConfigurationB = Valor N'LocalContentCacheLocation" whereSQLServerName es el nombre de la instancia de SQL Server que contiene la base de datos SUSDB, en% ProgramFiles% es la ubicacin de la carpeta Archivos de programa del equipo front-end, y donde el valor LocalContentCacheLocation es la cadena real para identificar en qu parte del sistema de archivos del equipo front-end para almacenar el contenido, con \ WSUSContent se aade al final. Por ejemplo, si usted utiliza C: \ WSUS en el equipo front-end, escriba C: \ WSUS \ WSUSContent. No utilice una ubicacin de red o una ruta UNC. No agregue una barra diagonal inversa (\). Si opta por el almacenamiento remoto de Microsoft Update, escriba lo siguiente: "% Programfiles% \ Update Services \ tools \ osql \ osql.exe"SSQLServerName-E-b-n-Q "USO SUSDB ACTUALIZACIN dbo.tbConfigurationA JUEGO HostOnMu = '1 'UPDATE dbo.tbConfigurationB JUEGO LocalContentCacheLocation = N"% ProgramFiles% \ Update Services \ WsusContent " donde SQLServerName es el nombre de la instancia de SQL Server en el equipo back-end, y en% ProgramFiles% es la ubicacin de la carpeta Archivos de programa del equipo front-end.
La implementacin de Microsoft Windows Server Update Services 119 5. En Seleccionar usuarios, equipos o grupos, Haga clic en Tipos de objetos. 6. En Tipos de objetos, Haga clic en equipos, a continuacin, haga clic en Aceptar. Tipos de objetos Cuadro de dilogo
7. En Seleccionar usuarios, equipos o grupos, Introduzca el nombre del equipo front-end, y luego haga clic en Aceptar. Seleccionar usuarios, equipos o grupos el cuadro de dilogo
La implementacin de Microsoft Windows Server Update Services 120 8. En el Administradores de WSUS Propiedades cuadro de dilogo, haga clic en Aceptar.
6. En Tipo de grupo, Haga clic en Seguridad, a continuacin, haga clic en Aceptar. Un grupo de seguridad global se crea. 7. Haga doble clic en el grupo de seguridad global que acaba de crear. 8. En el cuadro de dilogo Propiedades del grupo, haga clic en el Miembros ficha. 9. Clic Aadir. 10. En Seleccionar usuarios, contactos o equipos, Haga clic en Tipos de objetos. 11. En Tipos de objetos, Haga clic en equipos, a continuacin, haga clic en Aceptar. 12. En Escriba los nombres de objeto que desea seleccionar (ejemplos), Introduzca el nombre del equipo front-end, y luego haga clic en Aceptar. 13. En el cuadro de grupo de seguridad global de dilogo de propiedades, haga clic en Aceptar. Para establecer los permisos en Windows 2000 Server back-end equipo 1. En el equipo back-end, haga clic en Comienzo, Seleccione Herramientas
La implementacin de Microsoft Windows Server Update Services 122 administrativas y, a continuacin, haga clic en Administracin de equipos. 2. En el rbol, expanda Usuarios y grupos locales, A continuacin, haga clic en Grupos. 3. En el panel de detalles, haga doble clic Administradores de WSUS. 4. En el Administradores de WSUS Propiedades cuadro de dilogo, haga clic en Agregar. 5. En Seleccionar usuarios o grupos, Seleccione el dominio de la mirada en la lista desplegable. Seleccionar usuarios o grupos del cuadro de dilogo
6. Haga doble clic en el grupo de seguridad global que ha creado en el procedimiento anterior, a continuacin, haga clic en Aceptar. 7. En el Administradores de WSUS Propiedades cuadro de dilogo, haga clic en Aceptar.
La directiva de auditora
Habilitar los eventos de auditora para asegurar que los registros adecuados se recogen para las actividades del sistema. Configuracin de directiva de auditora
Opcin Definicin de la seguridad Establecimiento de Justificacin
xito, el fracaso
La auditora de eventos de inicio de sesin correcto y no proporciona datos tiles sobre fuerza bruta contrasea intentos. Auditora de gestin de eventos de xito y fracaso en cuenta las pistas las actividades de gestin. Esto slo es importante para los controladores de dominio que ejecuta el servicio de Active Directory.
xito, el fracaso
Sin auditora
La implementacin de Microsoft Windows Server Update Services 125 Los eventos de auditora de inicio de sesin xito, el fracaso La auditora de eventos de inicio de sesin correcto y no proporciona datos tiles sobre fuerza bruta contrasea intentos. Acceso a la auditora de objetos es innecesario y crea muchos registros innecesarios para la actividad de WSUS. La auditora de cambios en las polticas exitosas y fallidas pistas de las actividades de gestin. Auditora para el uso de privilegios de xito y fracaso seguimiento de las actividades del administrador. El seguimiento de procesos, eventos no son necesarios para las implementaciones de WSUS. De auditora para los eventos del sistema de xito y fracaso seguimiento de las actividades del sistema.
Sin auditora
xito, el fracaso
xito, el fracaso
Sin auditora
xito, el fracaso
Opciones de seguridad
Configurar Windows Server 2003 configuracin de seguridad para garantizar la seguridad y la funcionalidad opcional. Configuracin de opciones de seguridad
Activado
Debido a que es necesario contar con un administrador, la cuenta de administrador debe ser habilitado para que los usuarios autorizados. Debido a que es riesgoso tener cuentas de clientes, la cuenta de invitado debe desactivarse si las exigencias especficas. Cuentas con contraseas en blanco aumentan significativamente la probabilidad de ataques basados en red. Cambio de nombre de la cuenta de administrador fuerzas de un individuo malicioso que adivinar el nombre de cuenta y contrasea. Tenga en cuenta que a pesar de que la cuenta se puede cambiar, se sigue utilizando el mismo SID bien conocidos, y hay herramientas disponibles para identificar rpidamente esto y proporcionar el nombre.
Discapacitado
Cuentas: limitar el uso de cuentas locales con contraseas en blanco slo para iniciar la consola Cuentas: cambiar el administrador
Activado
No definido
La implementacin de Microsoft Windows Server Update Services 127 Cuentas: cambiar Invitado No definido Debido a que la cuenta de invitado est deshabilitada por defecto, y nunca debe estar activado, cambiar el nombre de la cuenta no es importante. Sin embargo, si una organizacin decide habilitar la cuenta Invitado y utilizarlo, se debe cambiar el nombre de antemano. Este ajuste debe ser habilitado para que se realice la auditora en el Visor de sucesos. La configuracin de auditora se puede configurar en No est definido, el xito o el fracaso en la vista de eventos. Por razones de seguridad, esta opcin debe estar habilitada para que los auditores estarn al tanto de los usuarios crear copias de seguridad de los datos potencialmente sensibles. Al activar esta opcin se cierra el sistema si no puede registrar auditoras. Esto puede ayudar a prevenir la perdida eventos de auditora. Permite que los archivos de registro muy grandes en una particin separada ayuda a mitigar esto.
Activado
Activado
Discapacitado
La implementacin de Microsoft Windows Server Update Services 128 Dispositivos: permitir el desbloqueo sin tener que iniciar sesin Discapacitado Al desactivar esta opcin garantiza que slo los usuarios autenticados pueden acoplar y desacoplar las computadoras. Esta opcin no suele ser til para imgenes de escritorio. Debido a que el sistema de Windows GDI ejecuta en espacio de kernel, que permite al usuario instalar un controlador de impresora podra dar lugar a privilegios elevados. Al activar esta opcin evita que los usuarios remotos acceder a los locales de CDROM, que puede contener informacin confidencial. En situaciones en las que se encuentra fsicamente el servidor seguro y autenticacin de la contrasea es requerida por la consola de recuperacin, esta opcin se puede activar para facilitar la recuperacin del sistema.
Dispositivos: permitir formatear y expulsar medios extrables Dispositivos: impedir que los usuarios de la instalacin de los controladores de impresora
Los administradores
Activado
Dispositivos: restringir el acceso a CD-ROM con sesin iniciada localmente slo al usuario Dispositivos: restringir el acceso disquete con sesin iniciada localmente slo al usuario
Activado
Activado
La implementacin de Microsoft Windows Server Update Services 129 Dispositivos: comportamiento de instalacin de los controladores sin firma Avisar pero permitir la instalacin La mayora del software controlador est firmado. Los administradores no deberan instalar los controladores sin firma a menos que el origen y la autenticidad se puede verificar y que el software ha sido probado en un entorno de primera. Dado que slo los administradores de alto nivel va a trabajar en estos sistemas, se puede dejar esta cuestin a su discrecin. La posibilidad de programar tareas debe limitarse a los administradores. Esta opcin slo se aplica a los controladores de dominio. Al activar esta opcin permite que las cuentas de la mquina para cambiar automticamente sus contraseas. Si el controlador de dominio se sabe que admite el cifrado del canal seguro, esta opcin puede ser habilitada para proteger contra ataques de red local. Al activar esta opcin ofrece la mxima flexibilidad al tiempo que permite la mxima seguridad cuando el servidor lo admite.
Controlador de dominio: Permitir a los operadores de servidor programar tareas Controlador de dominio: requisitos de firma de servidor LDAP Controlador de dominio: no permitir los cambios de contrasea de la cuenta
Discapacitado
No definido
Discapacitado
Discapacitado
Miembro de dominio: descifrar digitalmente datos de canal seguro (cuando sea posible)
Activado
La implementacin de Microsoft Windows Server Update Services 130 Miembro de dominio: firmar digitalmente datos de canal seguro (cuando sea posible) Activado Al activar esta opcin ofrece la mxima flexibilidad al tiempo que permite la mxima seguridad cuando el servidor lo admite. Al desactivar esta opcin permite que las cuentas de la mquina para cambiar automticamente sus contraseas. Contraseas con menos frecuencia cambiado son ms fciles de romper que las contraseas que se cambian con mayor frecuencia. Al activar esta opcin permite establecer claves de alta seguridad de sesin para todos los equipos que ejecutan Windows 2000 o posterior. Ocultando el ltimo nombre de usuario debe ser permitido, sobre todo cuando la cuenta de usuario administrador se cambia el nombre. Esto ayuda a evitar que un transente de la determinacin de los nombres de cuenta.
Discapacitado
30 das
Activado
Activado
La implementacin de Microsoft Windows Server Update Services 131 Inicio de sesin interactivo: no requerir Ctrl + Alt + Supr Discapacitado Las teclas CTRL + ALT + SUPR secuencia es interceptada en un nivel inferior a modo de usuario se permite a los programas de gancho. Que requiere esta secuencia de inicio de sesin en una caracterstica de seguridad diseada para evitar que un programa caballo de Troya disfrazado como el inicio de sesin de Windows de la captura de contraseas de los usuarios. Un mensaje de advertencia legal adecuado y debe mostrarse de acuerdo con la poltica de seguridad corporativa. Un mensaje de advertencia legal adecuado y debe mostrarse de acuerdo con la poltica de seguridad corporativa.
Inicio de sesin interactivo: mensaje de texto a los usuarios intentan iniciar una sesin inicio de sesin interactivo: ttulo del mensaje para los usuarios intentan iniciar una sesin
La implementacin de Microsoft Windows Server Update Services 132 Inicio de sesin interactivo: nmero de inicios de sesin previos en la cach (en caso que el controlador de dominio no est disponible) 10 inicios de sesin Esta opcin es por lo general slo es adecuado para porttiles que podran ser desconectados de su dominio. Tambin presenta un riesgo de seguridad para algunos tipos de servidores, tales como servidores de aplicaciones. Si un servidor est comprometido, y los inicios de sesin de dominio se almacenan en cach, el atacante podra usar esta informacin almacenada localmente para obtener las credenciales de nivel de dominio. Password debe estar alineada de acuerdo a la Poltica de Seguridad Corporativa. Al activar esta opcin permite una cuenta de controlador de dominio para desbloquear cualquier estacin de trabajo. Esto slo se debe permitir a la cuenta de administrador local en el equipo. Si este sistema no va a utilizar las tarjetas inteligentes, esta opcin no es necesaria. Si este sistema no va a utilizar las tarjetas inteligentes, esta opcin no es necesaria.
Inicio de sesin interactivo: pedir al usuario cambiar la contrasea antes de la expiracin Inicio de sesin interactivo: requerir la autenticacin del controlador de dominio para desbloquear el equipo
14 das
Activado
Inicio de sesin interactivo: necesita una tarjeta inteligente Inicio de sesin interactivo: comportamiento de extraccin de tarjeta inteligente
No definido
No definido
La implementacin de Microsoft Windows Server Update Services 133 Microsoft Network Client: firmar digitalmente las comunicaciones (siempre) Discapacitado Para los sistemas de comunicacin a los servidores que no admiten la firma SMB, esta opcin debe estar deshabilitada. Sin embargo, si la autenticidad de paquetes se requiere, esto puede ser activado. Para los sistemas de comunicacin a los servidores que dan soporte a la firma SMB, esta opcin debe estar habilitada. Si esta opcin est activada, el servidor SMB de otros fabricantes podra negociar un dialecto que no es compatible con funciones criptogrficas. Autenticacin se realiza usando contraseas en texto plano. Esto debe ser un valor apropiado para el sistema del usuario final de manera que las conexiones inactivas no se detienen, el consumo de recursos. Para los sistemas de comunicacin a los servidores que no admiten la firma SMB, esta opcin debe estar deshabilitada. Sin embargo, si la autenticidad de paquetes se requiere, esto puede ser activado.
Microsoft Network Client: firmar digitalmente las comunicaciones (si el servidor lo permite) Microsoft cliente de red: Enviar contrasea no cifrada para conectar SMB
Activado
Discapacitado
15 minutos
Discapacitado
La implementacin de Microsoft Windows Server Update Services 134 Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el cliente est de acuerdo) Activado Para los sistemas de comunicacin a los servidores que no admiten la firma SMB, esta opcin debe estar deshabilitada. Sin embargo, si la autenticidad de paquetes se requiere, esto puede ser activado. Al activar esta opcin evita que los usuarios inicien sesin despus de las horas autorizadas. Esta opcin es muy importante para asegurar la red de Windows. Si la desactiva, restringe severamente la capacidad otorgada a un usuario que se conecta con una sesin nula. Esta opcin es muy importante para asegurar la red de Windows. Lo que le restringe severamente la capacidad otorgada a un usuario que se conecta con una sesin nula. Porque "todos" ya no est en el token del usuario annimo, el acceso a IPC $ no est permitida. Los tubos que se establecen explcitamente para permitir annimos son inaccesibles debido a la conexin de rbol SMB para compartir esta falla.
Servidor de red Microsoft: desconectar a los clientes cuando el tiempo de sesin El acceso de red: permitir SID / nombre annima traduccin
Activado
Discapacitado
La implementacin de Microsoft Windows Server Update Services 135 Acceso a redes: no permitir Activado enumeraciones annimas de cuentas y recursos compartidos SAM Esta opcin es muy importante para asegurar la red de Windows. Lo que le restringe severamente la capacidad otorgada a un usuario que se conecta con una sesin nula. Porque "todos" ya no est en el token del usuario annimo, el acceso a IPC $ no est permitida. Los tubos que se establecen explcitamente para permitir annimos son inaccesibles debido a la conexin de rbol SMB para compartir esta falla. Al activar esta opcin evita el almacenamiento de contraseas sensibles en cach de las computadoras. Los usuarios annimos no deberan tener acceso a las computadoras. Las canalizaciones con nombre se debe restringir de forma annima. Restriccin de canalizaciones con nombre se rompe algn sistema de inter-procesos, tales como la impresin en red. Rutas de registro se debe restringir el acceso remoto a menos que por circunstancias de vigilancia.
Acceso a redes: no permitir el almacenamiento de credenciales o NET Passport para la autenticacin de red. Acceder a la red: deja los permisos de Todos para aplicarse a usuarios annimos Acceder a la red: canalizaciones con nombre accesibles annimamente
Activado
Discapacitado
No definido
No definido
La implementacin de Microsoft Windows Server Update Services 136 Acceder a la red: Acciones que se pueden acceder de forma annima Ninguno Las acciones no deben tener acceso de forma annima.
Acceder a la red: compartir y Slo invitado - los usuarios Lmite de todas las cuentas modelo de seguridad para locales se autentican como locales a los privilegios de las cuentas locales invitados Invitado. Seguridad de red: no almacenar valor de hash de LAN Manager en el prximo cambio de contrasea Activado Al habilitar esta funcin elimina el ms dbil hashes de LAN Manager, reduciendo la probabilidad de ataques de contrasea de oler el hash dbil sobre el nombre del archivo o base de datos local SAM. Esta opcin debe ser habilitada como parte de la poltica aceptable. El envo de LM es menos seguro que NTLM, y slo debe habilitarse si el sistema se comunica con los equipos que ejecutan Windows 95 o Windows 98. Adems, el uso de NTLMv2 nicamente, sin embargo, los equipos que ejecutan Windows 95, Windows 98 o NT 4.0 sin el parche de Windows no ser capaz de comunicarse con los servidores que ejecutan NTLMv2.
Seguridad de red: Fuerza de Activado cierre de sesin cuando el tiempo de sesin Seguridad de red: LAN Manager nivel de autenticacin Enviar slo respuesta NTLMv2
La implementacin de Microsoft Windows Server Update Services 137 Seguridad de red: requisitos de firma de cliente LDAP Negociar la firma Requiere la firma de la hora de autenticar a los servidores LDAP parte de terceros. Esto evita que los ataques contra los deshonestos servidores LDAP y texto claro presentacin de contraseas a travs de la red. El hash NTLM contener la debilidad que los ataques pueden explotar. Activado, estos requisitos fortalecer los algoritmos de autenticacin para Windows. El hash NTLM contener la debilidad que los ataques pueden explotar. Activado, estos requisitos fortalecer los algoritmos de autenticacin de Windows. Si de inicio de sesin administrativo automtico est activado, un usuario malicioso que tiene acceso a la consola podra simplemente reiniciar el ordenador y obtener privilegios de administrador. Sin embargo, una organizacin puede activar esta funcin si el equipo es un servidor fsicamente seguro, lo que permite el acceso al sistema, si la contrasea del administrador se olvida.
Red de seguridad: seguridad Necesita seguridad de de sesin mnima para sesin NTLMv2 servidores NTLM basados en SSP (incluyendo RPC seguro) Red de seguridad: seguridad Necesita seguridad de de sesin mnima para sesin NTLMv2 servidores NTLM basados en SSP (incluyendo RPC seguro) Consola de recuperacin: permitir el inicio de sesin administrativo automtico Discapacitado
La implementacin de Microsoft Windows Server Update Services 138 Consola de recuperacin: permitir la copia de disquetes y el acceso a todas las unidades y carpetas Discapacitado La consola de recuperacin puede ser utilizado como un mtodo de ataque para tener acceso a los archivos de base de datos SAM en lnea, por lo tanto, esta opcin debe estar habilitada para evitar que los archivos se copian en un disquete. Esta opcin se utiliza para evitar que los usuarios sin cuentas vlidas desde el cierre del sistema, y es una buena medida preventiva. Borrar el archivo de paginacin de la memoria al apagar el equipo puede ayudar a prevenir el anlisis fuera de lnea del archivo, que puede contener informacin confidencial de la memoria del sistema, tales como contraseas. Sin embargo, en situaciones en las que se encuentra fsicamente el equipo seguro, esto puede ser activado para poder reducir el tiempo necesario para reiniciar el sistema. Proteger los secretos criptogrficos locales ayuda a prevenir la escalada de privilegios a travs de la red, una vez que el acceso a un sistema se obtiene.
Apagado: Permitir que el sistema se apague sin tener que iniciar sesin
Discapacitado
Discapacitado
Criptografa de sistema: la proteccin fuerte de clave para claves del usuario en la computadora
La implementacin de Microsoft Windows Server Update Services 139 Criptografa de sistema: usar No definido algoritmos compatibles FIPS para codificacin, algoritmos hash y firma Objetos de sistema: propietario predeterminado para objetos creados por miembros del grupo de administradores Objetos de sistema: requerir diferenciacin de maysculas caso de que no sean Windows subsistemas Configuracin del sistema: Subsistemas opcionales Los administradores de grupos Requieren algoritmos ms fuertes, estndar y compatible para codificacin, algoritmos hash y firma. Slo los administradores deben tener acceso a los archivos creados.
Discapacitado
Requieren de maysculas y minsculas para subsistemas no son de Windows, como las contraseas UNIX. La capa de ejecucin POSIX ha tenido mltiples exploits locales en el pasado, y debe ser desactivada a menos que requerido por el software de terceros. Es extremadamente raro que POSIX a ser requerido por paquetes de software comercial. Cuando las reglas de certificado se crean, lo que permite esta opcin hace cumplir las polticas de restriccin de software que controlan una CRL para asegurarse de que el certificado del software y la firma son vlidos.
Configuracin del sistema: usar reglas de certificado en archivos ejecutables de Windows para las polticas de restriccin de software
No definido
100.489 kilobytes
Un registro de eventos permite a los administradores de grandes tiendas y bsqueda de eventos problemtico y sospechoso. Un registro de eventos permite a los administradores de grandes tiendas y bsqueda de eventos problemtico y sospechoso. Un registro de eventos permite a los administradores de grandes tiendas y bsqueda de eventos problemtico y sospechoso. Las cuentas de invitado no debe ser capaz de acceder a informacin sensible en el registro de eventos. Las cuentas de invitado no debe ser capaz de acceder a informacin sensible en el registro de eventos. Las cuentas de invitado no debe ser capaz de acceder a informacin sensible en el registro de eventos.
100.489 kilobytes
100.489 kilobytes
Evitar que el grupo de invitados locales tenga acceso al registro de la aplicacin Evitar que el grupo de invitados locales tenga acceso al registro de seguridad Evitar que el grupo de invitados locales tenga acceso al registro del sistema
Activado
Activado
Activado
La implementacin de Microsoft Windows Server Update Services 141 Conservar el registro de aplicacin 7 Das Despus de una semana, los registros deben ser almacenados en un servidor de registro centralizado. Despus de una semana, los registros deben ser almacenados en un servidor de registro centralizado. Despus de una semana, los registros deben ser almacenados en un servidor de registro centralizado. Sobrescribir los registros de auditora, segn sea necesario cuando los archivos de registro se han llenado. Sobrescribir los registros de auditora, segn sea necesario cuando los archivos de registro se han llenado. Sobrescribir los registros de auditora, segn sea necesario cuando los archivos de registro se han llenado.
7 Das
7 Das
De alerta
Discapacitado
El servicio de alerta es de mayor utilidad cuando el administrador se registra en la red y quiere ser notificado de los hechos. Para equipos que ejecutan WSUS, el servicio no es necesario. Este servicio slo es necesario la instalacin de nuevas aplicaciones para el medio ambiente con Active Directory. Este servicio es necesario para apoyar a un entorno operativo con todos los parches. Este servicio es necesario para el medio ambiente WSUS. El sistema de eventos COM + puede ser utilizado en la aplicacin basada en Web. El servicio Examinador de equipos se requiere en las estaciones de trabajo interactivo. DHCP es necesario tener una direccin IP en el servidor WSUS. DFS se usa para compartir archivos a travs de servidores mltiples, que no es necesario para WSUS.
Gestin de aplicaciones
Manual
Actualizaciones automticas
Automtico
Portafolios
Discapacitado
Sistema COM +
Manual
Examinador de equipos
Automtico
Cliente DHCP
Automtico
Discapacitado
La implementacin de Microsoft Windows Server Update Services 143 Cliente de seguimiento de vnculos distribuidos Discapacitado Este servicio slo es apropiado si un dominio se ha configurado seguimiento de vnculos distribuidos. Este servicio slo es apropiado si un dominio se ha configurado seguimiento de vnculos distribuidos. Este servicio slo es apropiado si un dominio se ha configurado seguimiento de vnculos distribuidos. DNS es necesario para la direccin IP a la resolucin de nombres. El servicio de registro de eventos es importante para el registro de eventos en el sistema y proporciona informacin de auditora crtico. Este servicio se utiliza para la replicacin de archivos y la sincronizacin, que no es necesario que WSUS. Este servicio es necesario para la administracin de WSUS. Este servicio es utilizado por IIS. Este servicio slo tiene que ser habilitado en los controladores de dominio. Este servicio es necesario si el cortafuegos ICF locales se est utilizando.
Discapacitado
Discapacitado
Cliente DNS
Automtico
Registro de eventos
Automtico
De replicacin de archivos
Discapacitado
De administracin de IIS
Automtico
Manual Discapacitado
Manual
La implementacin de Microsoft Windows Server Update Services 144 Servicios IPSEC Centro de distribucin de claves Kerberos Automtico Discapacitadas, a menos que funciona como un controlador de dominio Este servicio es necesario si IPsec se ha utilizado. Este servicio est activado por defecto con el fin de unirse y autenticar a los controladores de dominio de Windows Server 2003. Este servicio se utiliza en sistemas donde se debe de licencias de aplicaciones de seguimiento. Este servicio se utiliza en la gestin de disco lgico. Este servicio se utiliza en la gestin de disco lgico. Este servicio slo es necesario si NetBIOS mensajera se est utilizando. Este servicio es necesario pertenecer a un dominio. NetMeeting es una aplicacin que permite la colaboracin en la red. Se utiliza en estaciones de trabajo interactivas, y debe ser desactivado para los servidores, ya que presenta un riesgo de seguridad. Este servicio permite conexiones de red se gestiona de forma centralizada.
Discapacitado
Net Logon
Automtico
Conexiones de red
Manual
La implementacin de Microsoft Windows Server Update Services 145 DDE de red Discapacitado DDE de red es una forma de comunicacin entre procesos (IPC) a travs de redes. Ya que abre recursos compartidos de red y permite el acceso remoto a los recursos locales, debe ser desactivada a menos que explcitamente sea necesario. DDE de red es una forma de comunicacin entre procesos (IPC) a travs de redes. Ya que abre recursos compartidos de red y permite el acceso remoto a los recursos locales, debe ser desactivada a menos que explcitamente sea necesario. La seguridad de NTLM de proveedor de soporte es necesario para autenticar a los usuarios de la llamada a procedimiento remoto (RPC) que utilizan transportes como TCP y UDP. Este servicio slo es necesario cuando los registros y las alertas se utilizan. Plug and Play es necesario si utiliza el sistema Plug-andPlay de dispositivos de hardware. Este servicio es necesario si el sistema es utilizado para la impresin.
Discapacitado
Manual
Manual
Automtico
Cola de impresin
Discapacitado
La implementacin de Microsoft Windows Server Update Services 146 Protected Storage Automtico Este servicio debe ser activado por el servicio de administracin de IIS depende de ello. Activar este servicio slo para los servidores de RAS. Activar este servicio slo para los servidores de RAS. Este servicio es necesario para las comunicaciones de RPC. Este servicio es necesario para las comunicaciones de RPC. Registro remoto es un objetivo clave para los atacantes, los virus y gusanos, y se debe establecer el manual a menos que sea necesario, donde el servidor puede habilitar. Para un servidor dinmico, este servicio es necesario. Activar este servicio slo para los servidores de RAS. Este servicio debe ser activado, ya que gestiona las cuentas locales. Este servicio se puede activar o desactivar segn sea necesario. El servicio es compatible con archivos, impresoras y canalizaciones con nombre para compartir en la red para este equipo.
Automtica de acceso remoto Connection Manager El acceso remoto Connection Manager Llamada a procedimiento remoto (RPC) Llamada a procedimiento remoto (RPC) Registro remoto
Manual
Manual
Automtico
La implementacin de Microsoft Windows Server Update Services 147 Tarjetas inteligentes Manual Dado que los usuarios no va a utilizar tarjetas inteligentes para la autenticacin de inicio de sesin de dos factores, este servicio es necesario y debe ser o que cuenten con manual. Este servicio es necesario para los eventos de COM +. Este servicio se puede activar / desactivar segn sea necesario. El servicio permite al usuario configurar y programar tareas automatizadas en este equipo. Este servicio se utiliza en redes de Windows para equipos que ejecutan un sistema operativo anterior a Windows Server 2003. Este servicio no es necesario en este entorno porque los dispositivos de telefona no se utilizan. El servicio telnet debe ser desactivada y su uso desaconsejado. Servicios de terminal debe ser activada o desactivada segn sea necesario. Este servicio es necesario si se utiliza una UPS.
Automtico Manual
TCP / IP NetBIOS
Automtico
Telefona
Discapacitado
Telnet
Discapacitado
Manual
Manual
La implementacin de Microsoft Windows Server Update Services 148 Windows Installer Manual Los usuarios pueden optar por utilizar Windows Installer para instalar. Msi en el sistema, y por lo tanto, este servicio se debe establecer en manual. WMI proporciona capacidades ampliadas de administracin. Extensiones de controlador de WMI permitir la supervisin de estado NIC conexin en la barra de tareas. Sincronizacin externa es necesaria para el intercambio de claves Kerberos en entornos de Active Directory. El servicio de estacin de trabajo es necesaria para la creacin de redes de Windows.
Manual
Manual
De hora de Windows
Automtico
Puesto de trabajo
Automtico
TCP / IP endurecimiento
Microsoft recomienda que se endurezca la interfaz TCP / IP de los servidores WSUS. HKLM \ SYSTEM \ CurrentControlSet \ Services \ SynAttackProtect
Definicin de la seguridad Establecimiento de Justificacin
REG_DWORD = 2
REG_DWORD = 1
REG_DWORD = 500
REG_DWORD = 400
REG_DWORD = 0
Impide la creacin de rutas host costoso cuando una redireccin ICMP paquete es recibido.
REG_DWORD = 0
REG_DWORD = 1
La implementacin de Microsoft Windows Server Update Services 150 HKLM \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters \ ipenabledrouter
Definicin de la seguridad Establecimiento de Justificacin
REG_DWORD = 0
URLScan
Use los siguientes ajustes en URLScan para ayudar a proteger la pgina Web de administracin de WSUS. El archivo Urlscan.ini completo se encuentra en el final de este tema.
Opcin ISEC Configuracin Establecimiento de Justificacin
UseAllowVerbs
Utiliza la seccin [AllowVerbs] de Urlscan.ini, que slo permite GET, HEAD y POST.
La implementacin de Microsoft Windows Server Update Services 151 UseAllowExtensions 0 Utiliza la seccin [DenyExtensions] de Urlscan.ini. Permitir lo siguiente: Solicitud de ASP:. Asp, cncer, cdx, asa... Ejecutables:... Bat, cmd, com - Tenga en cuenta que exe debe ser habilitado para WSUS.. Scripts:......... Htw, ida, idq, HTR, IDC, shtm, shtml, stm, la impresora Los archivos estticos:.... Ini, log, pol, dat NormalizeUrlBeforeScan VerifyNormalization 1 1 Canoniza URL antes de su procesamiento. Canoniza URL dos veces y rechazar la solicitud si se produce un cambio. No permite caracteres de bits alta. No permite que los perodos en los caminos. Elimina la informacin del servidor de la cabecera de la respuesta. Permite que el PID en Urlscan.log. Esto permite que la informacin adicional de registro de URLScan. Asegura que URLScan es una alta prioridad.
0 0 1
AllowLateScanning
La implementacin de Microsoft Windows Server Update Services 152 PerDayLogging 1 Especifica que URLScan produce un nuevo registro cada da con la actividad de 'Urlscan.010101.log' la forma. Especifica que URLScan utiliza el RejectResponseUrl o permite que IIS para registrar la solicitud. Especifica que 1K slo pueden ser registrados por la peticin.
UseFastPathReject
LogLongUrls
Administradores: control total Cuenta con servicio de SQL: Control total Sistema: Control total
Estos valores ayudan a garantizar un acceso limitado a clave de registro de la aplicacin a los administradores autorizados o las cuentas del sistema.
Procedimientos almacenados
Eliminar todos los procedimientos almacenados que son innecesarias y que tienen la capacidad para controlar el servidor de base de datos remota. Innecesaria de SQL Server 2000 Procedimientos almacenados
Eliminar el siguiente procedimiento almacenado mediante el siguiente comando: el uso principal ejecutivo sp_dropextendedproc procedimiento almacenado
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty SP_OAStop Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regremovemultistring Xp_regwrite sp_sdidebug xp_availablemedia xp_cmdshell xp_deletemail xp_dirtree xp_dropwebtask xp_dsninfo xp_enumdsn
procedimiento en el que se almacena el nombre del procedimiento almacenado que desea eliminar.
Eliminar todos los procedimientos almacenados que no son necesarios para WSUS y podra dar a los usuarios autorizados la posibilidad de realizar acciones de lnea de comandos en la base de datos.
La implementacin de Microsoft Windows Server Update Services 156 xp_enumerrorlogs xp_enumgroups xp_eventlog xp_findnextmsg xp_fixeddrives xp_getfiledetails xp_getnetname xp_logevent xp_loginconfig xp_makewebtask xp_msver xp_readerrorlog xp_readmail xp_runwebtask xp_sendmail xp_sprintf xp_sscanf xp_startmail xp_stopmail xp_subdirs xp_unc_to_drive
URLScan.ini archivo
La siguiente es una copia del archivo Urlscan.ini completa.
[Opciones] UseAllowVerbs = 1; Si es 1, el uso seccin [AllowVerbs], de lo contrario el uso de la ; [DenyVerbs] seccin.
LoggingDirectory se puede utilizar para especificar el directorio en el que Archivo de registro se crear. Este valor debe ser la ruta absoluta (Es decir, c: \ alguna \ ruta). Si no se especifica, UrlScan crear El registro en el mismo directorio donde se encuentra el archivo UrlScan.dll.
Las entradas en esta seccin imponer lmites a la longitud De piezas permitidas de peticiones lleguen al servidor. Es posible imponer un lmite en la longitud de la El valor de una cabecera de peticin expresa anteponiendo "Max" de la El nombre de la cabecera. Por ejemplo, la entrada siguiente Imponer un lmite de 100 bytes en el valor de la Cabecera 'Content-Type: Max-Content-Type = 100 Para una lista de cabecera y no se especifica un valor mximo, utilice 0 (Es decir, 'Max-User-Agent = 0'). Adems, no los encabezados de lista En esta seccin no ser revisado por los lmites de longitud. Hay tres lmites de caso especial: - MaxAllowedContentLength especifica el mximo permitido El valor numrico de la cabecera de la peticin Content-Length. Para Ejemplo, el establecimiento de este 1000 podra causar cualquier solicitud Con una longitud de contenido que supera los 1000 debe ser rechazada. El valor predeterminado es 30000000. - MaxUrl especifica la longitud mxima de la URL de la solicitud, Sin incluir la cadena de consulta. El valor por defecto es 260 (que Es equivalente a MAX_PATH). - MaxQueryString especifica la longitud mxima de la consulta Cadena. El valor predeterminado es 2048.
MaxAllowedContentLength = 30000000 MaxUrl = 260 MaxQueryString = 2048 [AllowVerbs] ; ; Los verbos (aka mtodos HTTP) se enumeran aqu son los que comnmente se , Procesado por un tpico servidor IIS. ;
mtodos HTTP) se enumeran aqu son utilizados para la servidor IIS a travs de WebDAV. que estas entradas son efectivas si "UseAllowVerbs = 0" la seccin [Options] arriba.
Los encabezados de la solicitud despus de alterar el procesamiento de un Solicitud de que el servidor para procesar la solicitud Como si fuera la intencin de ser una solicitud WebDAV, en lugar De una solicitud para recuperar un recurso.
Traducir: Si: Lock-Token: Transfer-Encoding: [AllowExtensions] ; ; Extensiones se enumeran aqu son de uso comn en un tpico servidor IIS. ; ; Tenga en cuenta que estas entradas son efectivas si "UseAllowExtensions = 1" , Se encuentra en la seccin [Options] arriba.
; Denegar ejecutable que puede ejecutar en el servidor ;. Exe . Bat . Cmd Com. ; Denegar scripts de uso poco frecuente . Htw, mapas de Webhits.dll, parte de Index Server . Ida, mapas de idq.dll, parte de Index Server . Idq, mapas de idq.dll, parte de Index Server . Htr, mapas de ism.dll, un instrumento administrativo heredado . IDC, mapas de Httpodbc.dll, una base de datos existente de herramientas de acceso . Shtm, mapas de ssinc.dll, de lado del servidor incluye . Shtml, mapas de ssinc.dll, de lado del servidor incluye . Stm, mapas de ssinc.dll, de lado del servidor incluye . Impresora, mapas de Msw3prt.dll, de Servicios de Impresin de Internet
[DenyUrlSequences] .. , No permita que los recorridos de directorio . /; No permita punto final de un nombre de directorio \, No deje que las barras invertidas en URL :: No permita el acceso corriente alterna %; No permita escapar despus de la normalizacin Y, no permita que los mltiples procesos CGI para ejecutarse en una sola solicitud