Automatizar la gestión de parches en el entorno sin agente

El objetivo de cualquier grupo de TI es centralizar y automatizar los procesos para reducir la cantidad de trabajo necesario para mantener el entorno. El objetivo de Ivanti es proporcionar herramientas y soluciones para ayudarle a conseguir este nivel de automatización. Esta sección discutirá maneras de ayudarle a automatizar el proceso de gestión de parches.

Automatizar la detección de equipos

El primer objetivo en la automatización del proceso de parches es crear sus grupos de equipos de la manera más dinámica posible. La manera más fácil de lograr esto es utilizar Active Directory. Si agrupa los equipos de su entorno del mismo modo, gestionará los parches de equipos, puede usar las áreas de OU del grupo de equipos. Cada vez que el grupo de equipos se utiliza, "hablará" con Active Directory y extraerá la lista actual de equipos del OU. Se puede decir lo mismo sobre el uso del área de dominios, pero eso puede suponer más de lo que desea en un proceso automatizado. Otro modo de crear grupos dinámicos fácilmente es por rango de IP. Los equipos que se encuentren en esos rangos se capturarán siempre que realice un nuevo análisis.

Plantilla de análisis

Cuando empezamos a hablar sobre automatización, es necesario considerar qué se enviará. La mayoría de empresas tienen procesos de aprobación definidos de manera informal para los parches. Según sus necesidades, deberá decidir lo que mejor funciona en su situación. Si le preocupan todos los parches de seguridad, independientemente del producto, puede utilizar la plantilla de Análisis de parches de seguridad predefinida que está incluida en el producto. La próxima vez que se utilice, las nuevas versiones de archivos de datos XML incluirán automáticamente los parches de seguridad de esta plantilla de análisis.

Esto puede ser adecuado para su entorno de usuario final, pero para automatizar los parches del servidor, es mejor utilizar un grupo de parches. El grupo de parches o la lista de parches aprobados le permite definir una lista de parches específicos para analizar. Esto se puede vincular a la plantilla de análisis y luego programarse para analizar con despliegue automático para automatizar el proceso de parches de inicio a fin. Cuando se publican nuevos parches, puede evaluar y determinar qué parches se aprueban para desplegarlos en su entorno y actualizar el grupo de parches o la lista de parches aprobada con los nuevos parches. Un análisis programado tendrá en cuenta estos cambios analizando y desplegando los parches ausentes de la lista de parches.

En la siguiente captura de pantalla puede ver la pestaña Filtrado de la plantilla de análisis. Puede usar el filtro Línea de base o Excepciones para especificar una lista de parches aprobada o uno o más grupos de parches que representen en conjunto un conjunto de parches de línea base. La sección que sigue explica cómo crear un grupo de parches o una lista de parches.

Grupos de parches

Cuando Security Controls utiliza un grupo de parches para analizar los parches seleccionados, siempre analiza y genera informes del estado de todos los niveles de productos. También deshabilitará la sustitución del parche, lo que significa que mostrará que faltan los parches anteriores que se han reemplazado con parches posteriores.

Para crear un nuevo grupo de parches, en el menú principal, seleccione Nuevo > Parche de Windows > Grupo de parches. Esto presenta el diálogo Vista de parches. Los grupos de parches existentes se muestran en el panel inferior. Utilice los filtros de Ver parches para reducir la lista de parches que se muestran en el panel superior. Haga clic con el botón derecho sobre el parche o parches deseados, seleccione Agregar a grupo de parches y escoja un nombre para el grupo de parches. El grupo de parches se guarda automáticamente.

Puede crear un Smart Filter que identifica todos los parches de seguridad crítica del proveedor actual. A partir de ahora, para cada publicación de parches solo deberá utilizar Smart Filter y, desde la vista filtrada, seleccionar todos y agregarlos al grupo de parches existentes, creando fácilmente un proceso repetible que solo se tarda unos minutos en mantener.

En la plantilla de análisis de parches, en el área Línea de base o Excepciones, haga clic en el botón explorar y seleccione los grupos de parches que quiera utilizar. Ahora la plantilla de análisis está configurada para analizar una lista específica de parches.

Si elige utilizar una lista de parches aprobados, todo lo que debe hacer es crear un archivo de texto e introducir parches por número de KN, un parche por línea. En el área Línea de base o Excepciones de su plantilla de análisis, haga clic sobre el botón de explorar del cuadro Archivo y acceda al archivo de texto. Este archivo se distribuye fácilmente a varias consolas para facilitar el uso y simplificar la aprobación de parches en varias consolas.

Ejemplo de lista de parches aprobada:

Q123456

Q234567

Q345678

Plantilla del despliegue

En su plantilla de despliegue querrá configurar las opciones de reinicio para que cumplan con las necesidades del grupo que pretende automatizar. Si trabaja con un entorno de usuario final, es posible que quiera ajustar las opciones de reinicio para que sean más flexibles y que funcionen cuando la gente que trabaja hasta tarde no se encuentre trabajando. Por ejemplo, en la pestaña Reinicio posterior al despliegue, en el área Programar reinicio especifique En la próxima hora especificada. También puede habilitar la casilla Ampliar tiempo de espera.

Para entornos del servidor, la opción de reinicio recomendado no es tan obvia.

• Es posible que necesite configurar los reinicios para que se produzcan inmediatamente después de la instalación. ¿Por qué? Debido a que, normalmente, ejecutará el análisis y el despliegue en una ventana de mantenimiento y querrá que el reinicio se produzca inmediatamente después. También puede acortar los tiempos de espera de los reinicios para acelerar el proceso, puesto que puede haber gente en los equipos que deberá conocer con antelación las ventanas de mantenimiento.
• Por otra parte, puede elegir No reiniciar nunca después del despliegue aunque normalmente se requiere un reinicio. Esto tiene sentido en situaciones en que la disponibilidad del servidor es muy crítica para su negocio. Puede querer reiniciar manualmente los servidores para que siempre estén disponibles en caso de que algo salga mal durante el proceso de reinicio.

Programar operaciones automáticas

Este paso final es donde todo confluye. Después de configurar los grupos y plantillas, querrá programar los trabajos para que se ejecuten con regularidad. Para programar un trabajo para que se ejecute automáticamente, empiece en la página de inicio o en el grupo de destino. Si empieza desde dentro de un grupo de equipos, haga clic en Ejecutar operación. Verá un diálogo similar al siguiente:

Desde este diálogo, puede ejecutar trabajos ahora, programar para que se ejecute una vez a una hora y fecha específica o programar trabajos recurrentes. También puede elegir desplegar inmediatamente los parches después del análisis. Esta es la opción más importante que trataremos en esta sección. Los grupos de equipos y las plantillas de análisis y despliegue que hemos creado anteriormente han finado lo que queremos analizar y desplegar para nuestro entorno. Con el conocimiento de lo que se enviará, ahora podemos programar el trabajo a ejecutar de principio a fin sin necesidad de gestionar el trabajo de una fase a otra. En la captura de pantalla de arriba verá que hemos definido un análisis recurrente con despliegue inmediato que se ajusta para que se ejecute el segundo miércoles de cada mes. Este es el día después de Patch Tuesday, que casi siempre tendrá nuevos parches que implementar.

Cuando programe trabajos, tenga en cuenta dónde reside la tarea programada. Una análisis programado con despliegue inmediato reside en la consola hasta que se complete el análisis. Una vez completado el análisis, implementará los parches en los equipos y se ejecutarán inmediatamente. El reinicio se programará según la configuración de la plantilla de despliegue y de la hora local del equipo de destino.

Despliegues preconfigurados

En lugar de realizar la proconfiguración y los pasos del despliegue inmediatamente después del análisis, puede decidir que tiene más sentido programar los pasos en horas más adecuadas para su empresa. Por ejemplo, su política de seguridad de empresa puede especificar una ventana de despliegue de parches que empiece a las 10:00 p.m. el sábado. En tal caso, lo mejor sería programar el proceso de despliegue por fases para empezar más temprano ese día, por ejemplo, a las 8:00. Esto dará a Security Controls todo el sábado para crear los paquetes de despliegue y copiarlos en sus equipos de destino. A continuación, podrá programar la ejecución real del paquete de despliegue para que se produzca al principio de la ventana de despliegue. A las 10:00 p.m. Cuando llegan las 22:00, todo estará listo y se llevarán a cabo los despliegues sin retraso en sus equipos de destino.

Favoritos

Un favorito es una combinación de grupo de equipos y plantilla de análisis para que la consola haga referencia cuando ejecuta un trabajo. Puede volver a usar los favoritos para programar varios trabajos para que se ejecuten en horas diferentes. Desde el favorito, puede hacer clic en Ejecutar operación y programar un trabajo de una sola vez o trabajos recurrentes, según necesidad, sin tener que recrear favoritos adicionales.

Informes de correos electrónicos automatizados

Desde su grupo de equipos, plantilla de análisis y plantilla de despliegue, puede configurar informes para que se generen automáticamente y se envíen al destinatario indicado. Cuando se automatiza el parcheado de un entorno, esta es una herramienta eficaz para mantener actualizado el estado del entorno en todo el personal necesario. Se pueden elegir distintos informes que ofrecen diferentes datos para las distintas audiencias y necesidades. Es posible que deba intentarlo algunas veces hasta encontrar lo que mejor se ajusta a sus necesidades de informes.

Para usar la función de correo electrónico automatizado, debe configurar las credenciales de su correo. Para hacerlo, seleccione Herramientas > Opciones > Correo electrónico y proporcione la dirección de su servidor de correo electrónico y la información de autenticación.

Temas relacionados

• Recomendaciones para el software y el hardware de la consola
• Requisitos de puertos y configuración de cortafuegos
• Gestión de entorno distribuido
• Administración de parches sin agente
• Mejor enfoque para aplicar parches en un entorno sin agente
• Gestión de parches basados en agentes
• Opciones de lanzamiento del agente
• Instalar y soportar agentes en equipos de internet
• Nivel de producto basado en el agente y proceso de despliegue de parches
• Guía de supervivencia a Patch Tuesday
• Mantenimiento de la base de datos de Microsoft SQL Server
• Realizar una parcheado en un entorno desconectado