Publicar automáticamente actualizaciones para CVE

Si lo prefiere, puede importar manualmente los CVE y publicar las actualizaciones asociadas una vez y no con frecuencia.

Resumen

La Lista de Vulnerabilidades y exposiciones comunes (CVE) es una referencia pública de vulnerabilidades de ciberseguridad conocidas. Esta lista, que mantiene la MITRE Corporation (mitre.org), cambia constantemente a medida que se detectan nuevas vulnerabilidades. Si su empresa utiliza la lista de CVE, puede ser difícil determinar exactamente las actualizaciones que necesita publicar para proteger sus equipos de amenazas que se identifiquen en la lista.

Por fortuna, Patch for Configuration Manager simplifica este proceso. Puede crear una tarea programada recurrente que automáticamente:

  • Analizar una carpeta que contenga uno o más archivos CVE
  • Determine qué actualizaciones están relacionadas con cada CVE
  • Publique las actualizaciones destinadas a los CVE

Puede tener varias tareas de CVE programadas para cada consola. Un motivo que puede tener para necesitar varias tareas programadas es definir diferentes cadencias para distintos conjuntos de CVE. O puede publicar distintas actualizaciones en distintos Grupos de actualización de software. No hay un límite teórico para el número de tareas programadas recurrentes que puede tener en un momento determinado, pero puede determinar que hay un límite práctico para su sitio.

  1. En el espacio de trabajo Biblioteca de software del gestor de configuración, amplíe la carpeta Actualizaciones de software > Ivanti Patch y haga clic en Programador de automatización.
    • Se muestra un calendario que contiene las tareas programadas de todas las consolas. Las opciones son:
    • Edite una tarea programada haciendo doble clic sobre ella, con el menú contextual o seleccionándola y haciendo clic en Editar
    • Ver el historial de una usando el menú contextual o seleccionándola y haciendo clic en Historial
    • Elimine una con el menú contextual o seleccionándola y haciendo clic en Eliminar

    Sugerencia: también puede administrar las tareas programadas mediante el Programador de tareas de Microsoft.

  2. En la pestaña Inicio, pulse Publicar por CVE.
    Se muestra el diálogo Publicar actualizaciones por CVE.

  3. Especifique un nombre que identifique de forma única el objetivo de esta tarea.
    Este nombre también se mostrará en el calendario de Programador de automatización.
  4. Especifique la ruta de acceso a su carpeta de origen de CVE.
    Esta es la carpeta que contiene sus archivos CVE. Todos los archivos de la carpeta se analizarán para determinar si contienen CVE. Los archivos pueden tener cualquier formato aceptable, como .txt, .xml o .csv. Los CVE duplicados se ignorarán.

    El nombre completo de la ruta de acceso que se introduce en este campo debe ser una ruta UNC.

    Ejemplo: su equipo de seguridad puede usar una herramienta de análisis de vulnerabilidad mensualmente para crear una lista actualizada de CVE. Cada mes solo debe trasladar el nuevo archivo CVE que se ha generado a esta carpeta y dejar que el proceso automatizado se encargue del resto.

  5. Especifique cuándo deberá producirse la tarea y qué acciones se darán.
    • Programar: especifique el día y la hora que se ejecutará la tarea. Una opción es programar una tarea junto con un evento mensual habitual, como Patch Tuesday de Microsoft. Por ejemplo, puede programar una publicación para el día después de Patch Tuesday si especifica El Segundo martes y luego utiliza la opción Agregar retraso (días) para retrasar la tarea un día.

      Una tarea que se programa mediante la opción Agregar retraso (días) se ejecutará durante 12 meses antes de que se pueda volver a programar. Cuando la tarea está en sus últimos tres meses, se generará una alerta y se le pedirá que introduzca las credenciales para volver a programar la tarea. Si introduce sus credenciales, todas las tareas que usen la opción Agregar retraso (días) se reprogramarán otros 12 meses.

    • Usuario que ha iniciado sesión: Si se habilita, especifica que utilizará las credenciales del usuario que haya iniciado sesión para agregar la tarea de publicación a Microsoft Scheduler. El cuadro Usuario se rellena automáticamente, por lo que sólo necesita escribir la contraseña de la cuenta.
    • Usuario diferente: Si se habilita, especifica que desea utilizar la cuenta de otro usuario cuando agregue la tarea de publicación a Microsoft Scheduler. Por ejemplo, puede especificar una cuenta de servicio cuya contraseña no caduque.

      La cuenta debe:

      • Tener derechos de Inicio de sesión como un trabajo por lotes.
      • Ser miembro del grupo de administradores de WSUS en el servidor de WSUS.
      • Ser miembro del grupo de administradores locales del Servidor WSUS si se trata de un servidor remoto.

      Cuando se especifique un usuario diferente, deberá indicar si las credenciales son necesarias para autenticar un servidor proxy.

      • Requiere autenticación proxy: usar estas credenciales: Si se habilita, indica que las credenciales del servidor proxy son necesarias cuando se utiliza la cuenta del usuario. Si selecciona Igual que arriba, se utilizarán las credenciales de la cuenta del usuario como credenciales de proxy. Si selecciona Credenciales siguientes, puede proporcionar unas credenciales proxy diferentes.
      • Nombre de usuario: Escriba el nombre de usuario de una cuenta del servidor proxy. Quizás sea necesario especificar un dominio como parte del nombre de usuario (por ejemplo, midominio\mi.nombre).
      • Contraseña: Escriba la contraseña para la cuenta del servidor del proxy.
    • Ejecutar la tarea programada fuera de línea: Si se habilita, la tarea de publicación programada ejecutará en el modo fuera de línea. Esto quiere decir que la consola no intentará descargar los archivos de actualización seleccionados. Para que la publicación se realice correctamente, las actualizaciones ya deben encontrarse en la Carpeta fuente local.

      Esta casilla se marca automáticamente si se habilita Ejecutar desconectado en la pestaña Opciones fuera de línea.

    • Aceptar todos las actualizaciones de metadatos del catálogo: Marque esta casilla, si desea actualizar automáticamente WSUS con las revisiones de metadatos que estén disponibles para las actualizaciones que se hayan publicado previamente.
    • Sincronizar actualizaciones: Si desea que el Administrador de configuración se sincronice automáticamente con la base de datos de WSUS, como parte de su tarea, marque esta casilla de verificación. Esto hará que se lleve a cabo una sincronización gradual. Si no marca esta casilla, las actualizaciones publicadas no estarán disponibles para su despliegue hasta que se lleve a cabo el proceso de sincronización programado con regularidad. La sincronización también se puede iniciar seleccionando la pestaña Inicio y, a continuación, haciendo clic en Sincronizar actualizaciones de software.
    • Publicar sólo metadatos: Si se activa, se publicará la lógica de detección de la actualización, pero no los binarios de actualización de software. Esto se suele llevar a cabo cuando se desea detectar si los clientes necesitan una actualización y asegurarse de que la actualización no se puede instalar. Esto es útil únicamente en situaciones y configuraciones del servidor específicas.

      Si edita una actualización que se publicó sólo como metadatos, la actualización original se eliminará y la actualización editada se publicará como sólo metadatos. Esto significa que el número de revisión de estas actualizaciones siempre será 1. Una actualización que se publica como sólo metadatos no se puede volver a firmar porque no tiene contenido para firmar. Si se intenta volver a firmar, resultará en un mensaje de advertencia en el archivo de registro.

    • Opciones del grupo de actualización de software: el Gestor de configuración proporciona el uso de grupos de actualización de software para ayudarle a organizar y desplegar sus actualizaciones de software. Las actualizaciones que se publican con Patch for Configuration Manager se pueden agregar automáticamente a un grupo actualizado de software nuevo o existente.

      Puede elegir una de las opciones siguientes:

      • No agregar actualizaciones a un Grupo de actualización de software: ninguna de la actualizaciones de la tarea programada se agregará a un grupo de actualización de software.
      • Agregue todas las actualizaciones a un Grupo de actualización de software: todas las actualizaciones especificadas de la tarea programada se agregarán a un grupo de actualización de software.
      • Agregue solo las actualizaciones nuevas publicadas a un Grupo de actualización de software: solo se agregarán las actualizaciones nuevas publicadas especificadas de la tarea programada a un grupo de actualización de software.

      Las opciones siguientes solo se aplican si elige agregar actualizaciones a un grupo de actualización de software:

      • Nombre: si quiere que las actualizaciones publicadas se agreguen a un grupo de actualizaciones de software existente, seleccione el nombre del grupo en la lista desplegable. También puede escribir las primeras letras del nombre hasta que se muestre el grupo correcto. Si desea especificar un nuevo grupo, seleccione Nuevo en la lista desplegable y proporcione un nombre de grupo único y una descripción.
      • Descripción: este campo describe el objetivo del grupo de actualizaciones de software especificado. La descripción se define cuando se crea el grupo y no se puede modificar aquí.

      Las actualizaciones se agregarán al grupo de actualizaciones de software después de completar el proceso de publicación y después de llevar a cabo una sincronización.

      • Crear un nuevo Grupo de actualización de software cada vez que esta tarea publique actualizaciones: se creará un Grupo de actualización de software único para cada publicación. Se asignará un nombre al grupo según el nombre de la tarea y la fecha y hora en que se produzca la publicación.
    • Opciones de despliegue: esta área da la opción de que Patch for Configuration Manager despliegue rápidamente las actualizaciones publicadas en sus puntos terminales. Las actualizaciones estarán disponibles en sus puntos terminales inmediatamente después del despliegue. Para obtener más información sobre despliegues, consulte Despliegue optimizado de actualizaciones de terceros.
      • Desplegar actualizaciones tras la publicación: si quiere especificar opciones de despliegue, marque esta casilla. Para que esta casilla esté disponible para selección, en la sección Opciones de publicación debe habilitar la opción Sincronizar actualizaciones y elegir agregar actualizaciones a un grupo de actualización de software.
      • Perfil de despliegue: el perfil de despliegue que se usará cuando se desplieguen las actualizaciones seleccionadas.
      • Paquete de despliegues: especifica dónde se preconfigurará para su distribución. El Gestor de configuración utiliza un paquete de despliegue para trasladar el contenido a un punto de distribución, que a continuación se fuerza en los puntos terminales.
      • Fecha límite del despliegue tras la publicación: le permite especificar una fecha y hora específicas en que se deberá iniciar el proceso de despliegue.
      • Retrasar la aplicación de la fecha límite de acuerdo con la preferencia del usuario: si se habilita, se respetarán las horas de trabajo que haya establecido el usuario y el proceso de despliegue no se iniciará hasta que esté fuera de las horas establecidas.
      • Ejecutar un ciclo de evaluación de despliegue de actualizaciones después de actualización requiere reiniciar el sistema: si se habilita, después de desplegar una actualización que requiera un reinicio, el cliente llevará a cabo otra evaluación en busca de actualizaciones ausentes después de completar el reinicio.
    • Publicar solo las actualizaciones que: le permite especificar qué actualizaciones relacionadas con CVE desea publicar de manera recurrente. Puede elegir una ambas opciones:
      • Aplicar a productos instalados en mis puntos terminales: si se habilita, solo se publicarán las actualizaciones que se apliquen a productos que estén instalados actualmente en los equipos de clientes.
      • Equiparar este filtro: puede elegir el filtro predeterminado denominado *Último sin publicar o cualquiera de sus filtros personalizados.

      Ejemplo 1: Para publicar todas las actualizaciones que no se ha publicado anteriormente y que no se hayan sustituido, seleccione el filtro *Última no publicada. Esta es una manera sencilla de publicar automáticamente actualizaciones nuevas con regularidad.

      Ejemplo 2: Imagine que ha creado antes un filtro personalizado que identifica todas las actualizaciones importantes que no se han publicado para los productos que utiliza su empresa. Tan sólo tendrá que seleccionar dicho filtro para publicar sólo esas actualizaciones periódicamente.

      Si una actualización contiene paquetes diferentes para cada idioma, sólo se publicarán aquellas versiones de idiomas que se hayan especificado en la pestaña Idiomas.

  6. Haga clic en Agregar tarea.
  7. Revisar el calendario de Programador de automatización para verificar que la tarea se programa en la fecha y hora correctas.
  8. (Opcional) Utilice la herramienta de Registro de seguimiento del Administrador de configuración para abrir el archivo AutoPublish.log y monitorice el proceso de publicación.

    Todos los trabajos programados una sola vez o periódicas que se publican en WSUS se escriben en el archivo AutoPublish.log. El registro se encuentra en el directorio \Users\<user name>\Ivanti\Patch