Creación de tareas de parches nuevas

Las tareas de parches se utilizan para definir cómo y cuándo se van a analizar los equipos de destino para detectar parches ausentes. También se pueden utilizar opcionalmente para desplegar los parches identificados como ausentes. Para que los agentes asignados a una directiva realicen tareas de parches, es necesario crearlas.

Según los sistemas operativos compatibles con su empresa, puede crear tareas de parches para equipos de Windows, de Linux, o para ambos. Existen tareas de parcheado independientes para el parcheado de Linux basado en contenido y sin contenido. Se pueden crear varias tareas de parches para una directiva de agente. Las tareas pueden expandirse y contraerse utilizando el icono () situado en la barra del título de tarea. Esto permite ver solo la tarea en la que se está trabajando en un momento dado.

Aunque teóricamente se puede crear un número ilimitado de tareas de gestión de amenazas para las directivas de agente, en la práctica hay un límite. Por ejemplo, puede resultar difícil seguir y gestionar una política si contiene demasiadas tareas de parches. También puede ser problemático si se habilita el despliegue de parches en varias tareas de parches distintas. Esto se debe a que, mientras que los análisis son relativamente transparentes para el usuario, los despliegues de parches no lo son ya que a menudo implican el reinicio del equipo. Además, se corre el riesgo de que se produzcan varios despliegues en un equipo al mismo tiempo.

Las tareas de parches de los agentes se configuran en la pestaña Parches. Se puede editar una tarea de parches que ya existe, o se puede crear una nueva haciendo clic en Agregar tarea de parches de Windows o Agregar una tarea de parches de Linux. Asegúrese de asignar a la tarea un nombre descriptivo, ya que será el nombre que los usuarios verán en el programa cliente de Windows.

Configuración de tareas de parches de Windows

Mediante la programación de parches se especifica la frecuencia con la que se van ejecutar las tareas en los equipos de destino. Permite ejecutar periódicamente tareas a una hora determinada o utilizar un patrón de periodicidad. Cada agente cuenta con un programador integrado. El programador comprueba la información de parches nuevos inmediatamente antes de comenzar una tarea de parches programada.

El programador del agente serializará las ejecuciones del mismo motor de agente. Por ejemplo, si define una política con dos tareas de parches que se inician a la 1:00 AM, no se iniciarán a la 1:00; sino que se serializarán (se ejecutarán una detrás de otra).

Campo

Descripción

Usar programa

Si se habilita, la tarea se ejecutará de manera regular en los equipos con agente, según la configuración del programa. Si no se habilita, la configuración del programa se ignorará y la tarea deberá iniciarse manualmente desde la consola o en el equipo con agente.

En horas

permite programar la tarea para que se ejecute cada hora.

  • Ejecutar cada n horas: se puede indicar exactamente cuántas horas deben transcurrir entre análisis. Los valores válidos son 1 - 100 horas.
  • Iniciar a esta hora: el primer análisis comenzará a la hora especificada. Los siguientes análisis se ejecutarán con el intervalo especificado en Ejecutar cada n horas.

En días

Indica que la tarea se ejecutará los días especificados, a la hora elegida. Por ejemplo, si se utiliza esta opción, se puede ejecutar un análisis todos los días a medianoche, todos los sábados a las 21:00, todos los primeros domingos de cada mes a la 01:00, etc.

También puede utilizar la opción Diario para programar una tarea junto con eventos mensuales frecuentes, como Patch Tuesday de Microsoft. Por ejemplo, puede programar un análisis de parches mensual para que se ejecute el día después de Patch Tuesday, especificando El segundo martes y utilizando la opción Agregar retraso (días) para retrasar la tarea un día.

Hacer aleatoria la hora programada (minutos)

Pospone la hora en que se ejecuta la tarea para no sobrecargar la consola o el servidor de distribución con solicitudes simultáneas de descargas de archivos de parches, motores de análisis, etc.

Ejecutar al arrancar si se omitió la programación

si se omite una tarea programada mientras un equipo de destino está apagado, esta opción hace que esa tarea se ejecute automáticamente al volver a arrancar el equipo. La tarea se ejecutará inmediatamente a menos que se marque la casilla de verificación Retardo después del arranque (minutos), en cuyo caso se retrasará en la cantidad de minutos que se especifique.

 

Campo Descripción

Plantilla de análisis de parches

Es necesario especificar qué plantilla va a utilizar el agente cuando realice un análisis de parches. Las plantillas de análisis de parches determinan exactamente qué se va a analizar y qué se va a ignorar durante los análisis. La lista de plantillas disponibles para seleccionar incluirá dos plantillas predefinidas (Análisis de parches de seguridad y Todos los parches) más todas las plantillas personalizadas que se hayan definido. También se puede hacer lo siguiente:

  • Nuevo: permite crear plantillas de análisis de parches nuevas partiendo de cero.
  • Editar: permite editar plantillas de análisis de parches personalizadas que ya existen. Las plantillas predefinidas no pueden editarse. Si se edita y se guarda una plantilla utilizada por una directiva de agente, los agentes que usen esa plantilla se actualizarán la próxima vez que se pongan en contacto con la consola.

Si hace clic en Nueva o en Editar, aparecerá el cuadro de diálogo Plantilla de análisis de parches. Para obtener más información sobre cómo configurar una plantilla, consulte Creación de plantillas de análisis de parches nuevas.

Las funciones de despliegue automático y correo electrónico automático de las plantillas de análisis de parches no son compatibles con Security Controls Agent. Si se habilitan estas funciones, se ignorarán.

Plantilla del despliegue

Es necesario especificar qué plantilla va a utilizar el agente cuando realice un despliegue de parches. La lista de plantillas disponibles para seleccionar incluirá las plantillas de despliegue predefinidas (Agente estándar, Estándar y Máquina virtual estándar) más todas las plantillas personalizadas que se hayan definido. También se puede hacer lo siguiente:

  • Nuevo: permite crear plantillas de despliegue nuevas partiendo de cero.
  • Editar: permite editar plantillas de despliegue personalizadas que ya existen. Las plantillas de despliegue predefinidas no pueden editarse. Si se edita y se guarda una plantilla utilizada por una directiva de agente, los agentes que usen esa plantilla se actualizarán la próxima vez que se pongan en contacto con la consola.

Si hace clic en Nueva o en Editar, aparecerá el cuadro de diálogo Plantilla de despliegue. Para obtener más información sobre cómo configurar una plantilla, consulte Creación de plantillas de despliegue.

Las opciones Notificaciones de correo electrónico automáticas, Acciones personalizadas y Servidor de distribución que pueden especificarse en las plantillas de despliegue no aplican a Security Controls Agent.

Desplegar parches

Si desea que el agente despliegue de forma automática los parches identificados como ausentes por el análisis de parches, marque esta casilla de verificación.

Cuando los agentes realizan despliegues de parches, solo despliegan los parches que cumplen las siguientes condiciones:

  • Los ha detectado la plantilla de análisis de parches.
  • Se ha informado que están ausentes.
  • Definido como Parches aprobados.

Los parches aprobados pueden ser todos los parches detectados como ausentes en el análisis o solo los parches definidos en un grupo de parches, y/o los parches considerados críticos por el proveedor. La lista de parches aprobados definida aquí queda vinculada a esta tarea de parches en particular. Ninguna otra tarea de parches de la directiva de agente utilizará esta lista.

  • Todos los parches detectados como ausentes: especifica que todos los parches identificados como ausentes son elegibles para el despliegue.
  • Grupo de parches: el agente solo despliega los parches que hay en el grupo de parches especificado. Si el análisis detecta parches ausentes que no están incluidos en este grupo, dichos parches no se desplegarán.

    • Más todos los parches críticos de los proveedores: especifica que, además de los parches definidos en el grupo de parches, la lista de parches aprobados para el despliegue también debe incluir todos los parches identificados como críticos por el proveedor. De este modo se tiene la seguridad de saber que, si el grupo de parches no está actualizado, siempre se desplegarán los parches críticos nuevos.

    Para desplegar solo los parches críticos del proveedor, marque esta casilla de verificación y a continuación, especifique un grupo de parches vacío en el cuadro Grupo de parches.

  • Nuevo: permite crear grupos de parches nuevos. Para obtener más información, consulte Creación y edición de grupos de parches.
  • Editar: permite hacer modificaciones en el grupo de parches seleccionado. Tenga cuidado, porque todas las modificaciones que se hagan afectarán a las demás plantillas de análisis que utilicen dicho grupo de parches. Si se edita y se guarda un grupo de parches utilizado por una directiva de agente, los agentes que usen esa directiva se actualizarán la próxima vez que se pongan en contacto con la consola.

Si también elige habilitar el despliegue de niveles de productos (consulte la opción Desplegar niveles de producto), en un equipo de agente que falta en los niveles de productos y en los parches, los niveles de producto se desplegarán primero.

Proceso del despliegue de parches

Una vez determinada la lista de parches aprobados, estos se descargan y se instalan según su prioridad. E primer lugar se descargan los parches de seguridad y después los demás tipos de parches. Las descargas tienen lugar en segundo plano utilizando el ancho de banda disponible que no estén usando otras aplicaciones. Las tareas en primer plano, como por ejemplo la navegación por Internet, no se ven afectadas por el proceso de descarga de parches.

A cada tarea de parches se le asigna una ventana de sesenta minutos para descargar los parches ausentes. (Esto forma parte de una ventana de mantenimiento de un total de dos horas que se asigna a la descarga de niveles de productos y parches ausentes) Solo se instalarán los parches que se descarguen correctamente durante esa ventana de sesenta minutos. Si la tarea de parches no puede completar la descarga de todos los parches ausentes durante la ventana de sesenta minutos, se identifican los parches pendientes y se descargarán e instalarán la próxima vez que se ejecute la tarea de parches.

En los equipos con agente que se desconecten de la red durante la descarga de archivos, se suspenderá el proceso y se reanudará automáticamente desde donde se interrumpió una vez que la conexión de red vuelva a estar disponible. Esta técnica se llama punto de control/reinicio y es muy útil para los equipos que se desconectan con frecuencia.

Desplegar niveles de productos

Si desea que el agente despliegue de forma automática los niveles de productos identificados como ausentes por el análisis de parches, marque esta casilla de verificación.

Cuando los agentes realizan despliegues de niveles de productos, solo despliegan los que cumplen las siguientes condiciones:

  1. Los ha detectado la plantilla de análisis de parches.
  2. Se ha informado que están ausentes.
  3. Se han aprobado para el despliegue.

Los niveles de productos aprobados pueden ser todos los niveles de productos detectados como ausentes por un análisis, o pueden estar limitados a los niveles de productos que defina en un grupo de nivel de productos. La lista de niveles de productos aprobados definida aquí queda vinculada a esta tarea de parches en particular. Ninguna otra tarea de parches de la directiva de agente utilizará esta lista.

  • Más información: consulte Acerca de los grupos de niveles de productos, tema de la Ayuda donde se explica cómo utiliza el programa los grupos de niveles de productos.
  • Todos los niveles de productos detectados como ausentes: especifica que todos los niveles de productos identificados como ausentes son elegibles para el despliegue.
  • Grupo de niveles de productos: el agente solo despliega los niveles de productos que hay en el grupo de niveles de productos especificado. Si el análisis detecta niveles de productos ausentes que no están incluidos en este grupo, dichos niveles de productos no se desplegarán.
  • Limitar despliegues (por día): especifica la máxima cantidad de niveles de productos que se pueden desplegar en un equipo en un día. Los niveles de productos pueden tardar bastante tiempo en desplegarse y casi siempre requieren reiniciar el equipo, por lo que se suele mantener esta cantidad más bien baja. Si no se limita la cantidad de despliegues de niveles de productos en un día, se corre el riesgo de sobrecargar los equipos en los que falten una gran cantidad de niveles de productos. En los equipos donde falten más niveles de productos que los especificados como límite, se desplegarán niveles de productos como adicionales la próxima vez que se ejecute la tarea de parches.

    • SUGERENCIA: Tenga en cuenta que, en este caso, por "día" se entiende un día natural y no un período de veinticuatro horas. Esto significa que se cambia de día a medianoche. Si se programase una tarea de parches para ejecutarse cada hora (no recomendado), permitiría maximizar la ventana de mantenimiento nocturno, ya que se desplegaría la máxima cantidad de niveles de productos antes de medianoche y otra vez inmediatamente después.

  • Nuevo: permite crear grupos de niveles de productos nuevos. Para obtener más información, consulte Creación y edición de grupos de niveles de productos.
  • Editar: permite hacer modificaciones en el grupo de niveles de productos seleccionado. Tenga cuidado, porque todas las modificaciones que se hagan afectarán a las demás tareas de parches que hagan referencia a dicho grupo de niveles de productos. Además, si edita y guarda un grupo de niveles de productos utilizado por una directiva de agente, los agentes que usen esa directiva se actualizarán la próxima vez que se pongan en contacto con la consola.

Proceso de despliegue de nivele de productos

Si faltan varios niveles de productos en un equipo del agente, solo se instalará un nivel de producto cada vez. La tarea de parches empieza iniciando la descarga de todos los niveles de productos que faltan. Los niveles de productos del sistema operativo son prioritarios en la descarga y el primer nivel de productos que se descarga es el que se instala primero. Una vez instalado correctamente el nivel de productos, el equipo se reinicia, se vuelve a analizar y el proceso se repite hasta que se despliegan todos los niveles de productos o se alcanza el límite diario. Consulte la opción Limitar despliegues (por día).

A cada tarea de parches se le asigna una ventana de sesenta minutos para completar el proceso de descarga > instalación > reinicio > nuevo análisis. (Es parte de una ventana de mantenimiento de un total de dos horas que se asigna a la descarga de niveles de productos y parches ausentes) La tarea de parches activa solo instalará los niveles de productos que se descarguen correctamente durante esa ventana de sesenta minutos. Si la tarea de parches no puede completar la descarga de todos los niveles de productos ausentes durante la ventana de 60 minutos, se identifican los niveles de productos pendientes y se descargarán e instalarán la próxima vez que se ejecute la tarea de parches.

Las descargas tienen lugar en segundo plano utilizando el ancho de banda disponible que no estén usando otras aplicaciones. Las tareas en primer plano, como por ejemplo la navegación por Internet, no se ven afectadas por el proceso de descarga de niveles de productos.

En los equipos con agente que se desconecten de la red durante la descarga de archivos, se suspenderá el proceso y se reanudará automáticamente desde donde se interrumpió una vez que la conexión de red vuelva a estar disponible. Esta técnica se llama punto de control/reinicio y es muy útil para los equipos que se desconectan con frecuencia.

Configuración de tareas de parches de Linux

Para el parcheado de Linux sin contenido, no existe una Configuración de análisis de parches independiente. Cada vez que se ejecuta una tarea de parche de Linux, se lleva a cabo una búsqueda de todos los paquetes y avisos que faltan. A continuación, puede especificar por separado Opciones de despliegue como parte de la tarea de parcheado de Linux. Para el método anterior de aplicación de parches en Linux basado en el contenido, es necesario especificar Analizar y desplegar opciones.

Mediante la programación de parches se especifica la frecuencia con la que se van ejecutar las tareas en los equipos de destino. Permite ejecutar periódicamente tareas a una hora determinada o utilizar un patrón de periodicidad.

Campo

Descripción

Usar programa

Si se habilita, la tarea se ejecutará de manera regular en los equipos con agente, según la configuración del programa. Si no se habilita, la configuración del programa se ignorará y la tarea deberá iniciarse manualmente en el equipo del agente mediante una utilidad de línea de comandos.

En horas

permite programar la tarea para que se ejecute cada hora.

  • Ejecutar cada (horas): puede indicar exactamente cuántas horas deben transcurrir entre análisis. Los valores válidos son 1 - 100 horas.
  • Iniciar a esta hora: el primer análisis comenzará a la hora especificada. Los siguientes análisis se ejecutarán con el intervalo especificado en Ejecutar cada n horas.

En días

Indica que la tarea se ejecutará los días especificados, a la hora elegida. Por ejemplo, si se utiliza esta opción, se puede ejecutar un análisis todos los días a medianoche, todos los sábados a las 21:00, todos los primeros domingos de cada mes a la 01:00, etc.

También puede utilizar la opción Diario para programar una tarea junto con eventos mensuales frecuentes, como Patch Tuesday de Microsoft. Por ejemplo, puede programar un análisis de parches mensual para que se ejecute el día después de Patch Tuesday, especificando El segundo martes y utilizando la opción Agregar retraso (días) para retrasar la tarea un día.

Hacer aleatoria la hora programada (minutos)

Pospone la hora en que se ejecuta la tarea para no sobrecargar la consola o el servidor de distribución con solicitudes simultáneas de descargas de archivos de parches, motores de análisis, etc.

Ejecutar al arrancar si se omitió la programación

si se omite una tarea programada mientras un equipo de destino está apagado, esta opción hace que esa tarea se ejecute automáticamente al volver a arrancar el equipo. La tarea se ejecutará inmediatamente a menos que se marque la casilla de verificación Retardo después del arranque (minutos), en cuyo caso se retrasará en la cantidad de minutos que se especifique.

Campo

Descripción

Configuración de análisis de parches de Linux (solo basada en el contenido)

Para parcheado de Linux basado en contenido, debe especificar la configuración que va a utilizar un agente cuando realice un análisis de parches de Linux. La configuración de análisis de parches determina exactamente qué se va a analizar y qué se va a ignorar durante los análisis. La lista de configuraciones disponibles para seleccionar incluirá las dos configuraciones predefinidas (Análisis de parches de seguridad y Análisis de todos los parches) más todas las configuraciones personalizadas que se hayan definido. También se puede hacer lo siguiente:

  • Nuevo: permite crear una nueva configuración de análisis de parches nuevas partiendo de cero.
  • Editar: permite editar una configuración de análisis de parches personalizada que ya existe. No puede editar la configuración predefinida. Si se edita y se guarda una configurada que está usando actualmente una política de agente, los agentes que usen esa política se actualizarán la próxima vez que se pongan en contacto con la consola.

Si hace clic en Nueva o en Editar, aparecerá el cuadro de diálogo Configuración de análisis de parches de Linux. Para obtener más información, consulte Crear y editar una configuración de análisis de parches de Linux.

Configuración de despliegue de parches de Linux

Es necesario especificar qué configuración va a utilizar el agente cuando realice un despliegue de parches. La lista de configuraciones disponibles para seleccionar se incluirán en la configuración de despliegue predefinida (Despliegue de parches de Linux) más las configuraciones personalizadas que ya haya definido. También se puede hacer lo siguiente:

  • Nuevo: permite crear una nueva configuración de despliegue partiendo de cero.
  • Editar: permite editar una configuración de despliegue personalizada que ya existe. La configuración de despliegue predefinida no puede editarse. Si se edita y se guarda una plantilla utilizada por una directiva de agente, los agentes que usen esa plantilla se actualizarán la próxima vez que se pongan en contacto con la consola.

Si hace clic en Nueva o en Editar, aparecerá el cuadro de diálogo Configuración de despliegue de parches de Linux. Para obtener más información, consulte Crear y editar una configuración de despliegue de parches de Linux.

Guardar una política de agente

Campo

Descripción

Guardar y actualizar agentes

Guarda todos los cambios realizados en el archivo de la directiva y lo almacena en la consola. También actualiza todos los equipos con agente que están asignados a esta directiva, de la siguiente forma:

  • Si un equipo con agente está en línea y configurado para estar a la escucha de las actualizaciones de directivas, la directiva actualizada se enviará a ese equipo inmediatamente.
  • Si un equipo con agente está en línea pero no está configurado para estar a la escucha de las actualizaciones de directivas, la directiva actualizada se enviará la próxima vez que el agente se ponga en contacto con la consola.
  • Si un equipo con agente no está en línea, la directiva actualizada se enviará la próxima vez que el agente se ponga en contacto con la consola.

El Editor de directivas de agente se cerrará.

Guardar

Guarda todos los cambios realizados en el archivo de la política y cierra el Editor de políticas del agente. Los cambios no se fuerzan fuera de los agentes que están escuchando.

Cancelar

Indica que va a salir del Editor de directivas de agente sin guardar los últimos cambios. Aparecerá la pregunta "¿Desea guardar los cambios?", lo que da una segunda oportunidad para guardarlos. Si hace clic en , la directiva se guardará y se actualizarán los agentes asociados (igual que con Guardar y actualizar agentes). Si hace clic en No el Editor de políticas de agente se cerrará sin guardar los cambios.