NinjaOne Patching: Administración de parches de Windows

Tema

Este artículo describe las funciones de gestión de parches del sistema operativo (SO) disponibles para los dispositivos finales de Windows gestionados por NinjaOne. También explica cómo activar, configurar y ver la actividad de aplicación de parches.

Entorno

Parches de NinjaOne
Microsoft Windows

Descripción

La gestión de parches de NinjaOne le permite crear políticas de parches que automáticamente buscan y aplican nuevos parches del SO para sus terminales Windows.

Consulte tutoriales adicionales en nuestra biblioteca de vídeos.

Seleccione un tema para continuar.

Consideraciones importantes
Activación de la gestión de parches de Windows
Configuración de los ajustes de parches del sistema operativo
Visualización de los intentos de análisis e instalación de parches del sistema operativo
Configuración de un servidor WSUS para su uso con la aplicación de parches de Windows

Consideraciones importantes

Versiones antiguas de Windows

Debido a que Microsoft ha dejado de ofrecer un punto de conexión del servicio Windows Update obsoleto, Windows Vista y muchas versiones de Windows 7 y Windows Server 2008 no son compatibles con NinjaOne Patch Management.

Puede actualizar los dispositivos que ejecutan Windows 7 SP1, Windows Server 2008 R2 SP1 y Windows Server 2008 SP2 para que funcionen con NinjaOne Patch Management. Consulte el siguiente artículo de Microsoft para obtener más información: Descontinuación de los puntos finales de Windows Update basados en SHA-1 para dispositivos Windows antiguos (enlace externo)

Mensajes del sistema y control de opciones

Cuando se activa la aplicación de parches del sistema operativo, puede aparecer localmente en el actualizador de Windows del equipo un mensaje que indica: «Algunos ajustes son gestionados por su organización».

Cuando se activa la aplicación de parches del sistema operativo, es posible que la opción «Ofrecerme actualizaciones para otros productos de Microsoft cuando actualice Windows» no esté disponible en la configuración de Windows Update en los equipos locales. Puede gestionar las actualizaciones de los productos de Microsoft a través de la herramienta de aplicación de parches de terceros. Consulte Políticas de NinjaOne: Aplicación de parches de terceros en Windows para obtener más información.

Separación de los horarios de análisis y parches

Recomendamos separar los horarios de análisis y actualización por al menos una hora para permitir tiempo suficiente para que el análisis se complete antes de que comience la actualización. Si programa sus ciclos de análisis y actualización para que se ejecuten simultáneamente, o si un ciclo de aplicación comienza antes de que el ciclo de análisis haya finalizado, el análisis se omitirá o se interrumpirá, y el ciclo de actualización tendrá prioridad.

Reinicios pendientes

Si un parche requiere que el dispositivo se reinicie para completarse, NinjaOne mostrará un icono de reinicio pendiente en el dispositivo. Consulte nuestro artículo Reinicios pendientes para obtener más información.

Si hay un reinicio pendiente, las funciones de análisis y aplicación de parches no se ejecutarán en este dispositivo hasta que se haya completado el reinicio y el mensaje de reinicio pendiente ya no se muestre.

Activación de la gestión de parches de Windows

Debe activar la gestión de parches del sistema operativo Windows antes de utilizarla para gestionar los parches de su sistema operativo Windows.

En NinjaOne, vaya a Administración → Políticas y, a continuación, elija una política de Windows de la lista de políticas de agente.

**Figura 1**: Administración → Políticas ( *haga clic para ampliar*)

Se abre la página de configuración de la política. Haga clic en la opción Parches del sistema operativo y, a continuación, active el conmutador Estado. NinjaOne no aplica los cambios hasta que guarde la política.

**Figura 2**: Habilitación de parches del sistema operativo ( *haga clic para ampliar*)

Configure los ajustes de parches del sistema operativo y, a continuación, haga clic en Guardar. Consulte la sección Configuración de los ajustes de parches del sistema operativo de este artículo para obtener más información.
- Tras guardar, NinjaOne envía un ejecutable personalizado llamado NinjaOrbit.exe a todos los endpoints incluidos en la política, lo que controla la gestión de parches para esos equipos.
- Una vez que los dispositivos de punto final instalan el ejecutable personalizado, ejecutan un análisis silencioso. NinjaOne no genera entradas en el feed de actividad para este análisis silencioso inicial.

Configuración de los ajustes de parches del sistema operativo

Los ajustes de la parte superior de la página «Parches del sistema operativo» incluyen opciones de configuración para el análisis, la aplicación de parches y la ejecución de automatizaciones antes y después de las actualizaciones. Cuando termine la configuración, haga clic en Guardar para aplicar los nuevos ajustes. La siguiente tabla describe cada ajuste.

**Figura 3**: Ajustes de parches del sistema operativo ( *haga clic para ampliar*)

Utilice la tabla siguiente para obtener más información sobre cada configuración.

Configuración	Descripción
Modo	NinjaOne ofrece dos modos para la gestión de parches de Windows: NinjaOne gestiona los parches del sistema operativo: NinjaOne gestiona íntegramente los programas de análisis y actualización de parches, los estados de aprobación de las categorías de parches y las anulaciones de parches. Recomendamos este modo para garantizar el cumplimiento de los parches en todos los dispositivos incluidos en la política. Configurar los ajustes de Windows Update a través de NinjaOne: Configure NinjaOne para que envíe los ajustes de Windows Update a los dispositivos a través de la configuración del Registro. Si selecciona esta opción, NinjaOne sustituirá las demás opciones de configuración de parches del sistema operativo visibles por las siguientes opciones de Windows Update: Descargar las actualizaciones recomendadas, pero permitir al usuario elegir cuándo instalarlas Descargar las actualizaciones recomendadas e instalarlas según un calendario Notificar al usuario las actualizaciones recomendadas, pero no descargarlas Desactivar Windows Update Si configura su política en «Configurar los ajustes de Windows Update a través de NinjaOne», NinjaOne no podrá instalar actualizaciones de parches en el dispositivo.
Programaciones de análisis y actualización	Estos conjuntos de parámetros determinan cuándo el dispositivo buscará nuevos parches disponibles y cuándo aplicará esas actualizaciones. Programación: Utilice el menú desplegable para elegir la frecuencia de análisis o actualización. Días: si el intervalo de análisis o actualización es superior a un día, seleccione los días de la semana en los que el sistema debe realizar la acción. NinjaOne solo aplica parches a los dispositivos en los días seleccionados. Si no selecciona ningún día, el sistema mostrará un mensaje de error. Hora y zona horaria: Seleccione la hora del día y la zona horaria adecuada para realizar la acción. De forma predeterminada, las búsquedas comienzan a las 8:00 a. m., hora local del dispositivo, y las actualizaciones comienzan a las 5:00 p. m., hora local del dispositivo. Estos valores predeterminados solo se aplican a las políticas nuevas. Escalonamiento: Establezca un intervalode escalonamiento para distribuir los tiempos de instalación de parches entre sus dispositivos y evitar actualizaciones simultáneas. Para obtener más información, consulte las instalaciones de parches con la función de escalonamiento. Duración: Especifique cuánto tiempo se ejecutarán las acciones de análisis o actualización antes de que NinjaOne las finalice. Ejecutar el análisis inmediatamente, si se omite: Seleccione esta opción para ejecutar un análisis o una actualización inmediatamente si el sistema omite una acción programada. Activar el sistema automáticamente: esta opción enciende el sistema para los ciclos de análisis y actualización. Cuando se activa, una función de la API de Windows establece una hora de activación para los dispositivos en estado de suspensión. El sistema debe tener activados los temporizadores de activación para que esta función funcione. Preparar actualizaciones antes del inicio programado: Seleccione esta casilla para que el sistema prepare y coloque las actualizaciones antes de la hora programada para la actualización. Las actualizaciones de controladores no admiten la preparación previa. Omitir en conexiones con límite de datos: cuando está activada, NinjaOne muestra un error en el feed de actividad si se intenta un ciclo de actualización en un dispositivo que utiliza una conexión con límite de datos. Modo de mantenimiento: Suprimir notificaciones: Seleccione esta opción para evitar que NinjaOne envíe alertas causadas por acciones que se produzcan durante la actualización (como reinicios del dispositivo). Puede ajustar esta configuración seleccionando las casillas de verificación Suprimir alertas de condición y Suprimir canales de notificación. Consulte Plataforma NinjaOne: Modo de mantenimiento para obtener más información.
Ejecución previa y posterior a la automatización	Esta configuración le permite añadir automatizaciones que se ejecutarán antes (pre) o después (post) de la instalación del parche. Utilice scripts previos a la aplicación de parches para validar los requisitos previos o preparar el sistema antes de que comience la aplicación de parches. Utilice scripts posteriores a la aplicación de parches para realizar tareas de limpieza o verificación posteriormente. Haga clic en Añadir para seleccionar automatizaciones de la Biblioteca de automatizaciones. Consulte NinjaOne: Automatizaciones programadas para obtener más información. Seleccione Cancelar la actualización del parche si el script previo devuelve un mensaje de error para cancelar automáticamente el trabajo de aplicación de parches si el script previo falla.
Notificaciones de actualización	Elija cómo NinjaOne notifica a los usuarios cuando necesita actualizar software que no puede parchear en segundo plano. La configuración actual aparecerá como un enlace en esta sección. Haga clic en el enlace para ver las siguientes opciones adicionales: Notificar al usuario, cerrar el software y actualizar Cerrar automáticamente el software y actualizar No cerrar el software abierto
Opciones de reinicio: usuario conectado	Esta configuración te permite especificar el comportamiento de reinicio y las indicaciones para los usuarios que hayan iniciado sesión en un dispositivo recién parcheado: Solicitar el reinicio hasta que se acepte: NinjaOne mostrará un mensaje en pantalla indicando al usuario que reinicie el dispositivo y permita que se complete la actualización. Utilice las opciones de programación para determinar la frecuencia de los avisos. Seleccione la casilla de verificación Forzar reinicio después de para establecer el número de avisos antes de que NinjaOne reinicie automáticamente el dispositivo. Seleccione la casilla de verificación «Diálogo de reinicio personalizado » para sustituir el mensaje predeterminado por su propio texto. Notificar al usuario y luego reiniciar: elija esta opción para enviar una notificación al usuario y, a continuación, reiniciar automáticamente el equipo y completar la actualización. Consulte NinjaOne Endpoint Management: Canales de notificación y alertas para obtener más información. Utilice las opciones de programación para determinar cuánto tiempo debe esperar NinjaOne antes de enviar la notificación y activar el reinicio. Reiniciar automáticamente: esta opción indica a NinjaOne que reinicie el dispositivo una vez completada la instalación de la actualización. Utilice las opciones de programación para determinar cuánto tiempo debe esperar NinjaOne antes de reiniciar el dispositivo. No hacer nada: NinjaOne no realizará ninguna acción de reinicio automático en el dispositivo. Periodo: Si ha seleccionado Solicitar al usuario que reinicie hasta que acepte el reinicio, utilice estos campos para especificar la frecuencia de las solicitudes. Marque la casilla para forzar un reinicio tras un número específico de solicitudes. Cuadro dediálogo de reinicio: Seleccione esta casilla de verificación para añadir texto personalizado al aviso de reinicio. Si un usuario final interactúa con un aviso de reinicio, NinjaOne mostrará una actividad en el feed de actividades. Consulte Feed de notificaciones de actividad del dispositivo y del sistema para obtener más información.
Opciones de reinicio: Sin usuarios conectados	Esta configuración le permite especificar el comportamiento de reinicio y solicitud para dispositivos recién parcheados sin usuarios conectados: Intentar reiniciar hasta que se complete: NinjaOne seguirá intentando reiniciar el dispositivo, incluso si los reinicios fallan, hasta que se complete la acción. Utilice las opciones de programación para determinar la frecuencia de los intentos de reinicio. Reiniciar inmediatamente: NinjaOne reiniciará el dispositivo cuando la actualización esté lista. No hacer nada: NinjaOne no tomará ninguna medida para reiniciar el dispositivo.

Configuración de los ajustes de aprobación y anulación

Los ajustes de la parte inferior de la página «Parches del sistema operativo » incluyen opciones para:

Establecer aprobaciones automáticas para actualizaciones de seguridad y actualizaciones generales.
Establecer estados avanzados de aprobación de actualizaciones para controladores de dispositivos y características de Windows.
Activar las anulaciones de aprobación de Patch Intelligence AI.
Añadir anulaciones de aprobación a la política de parches.

Opciones de configuración de aprobación

Cada tipo de parche tiene las siguientes opciones de aprobación: Aprobar, Manual y Rechazar.

Aprobar: esta opción aprueba automáticamente todos los parches de esa categoría para su instalación en el siguiente ciclo de actualización.
Manual: cuando se encuentren, los parches de esta categoría aparecerán como pendientes, lo que requerirá su aprobación o rechazo manual (ya sea para el dispositivo o para toda la política).
Rechazar: esta opción rechaza automáticamente todos los parches de esa categoría, por lo que NinjaOne no los instalará en el dispositivo.

**Figura 4**: Configuración de parches del sistema operativo ( *haga clic para ampliar*)

Utilice la tabla siguiente para obtener más información sobre cada configuración.

Configuración	Descripción
Aprobaciones de actualizaciones de seguridad	Configure los ajustes de aprobación para vulnerabilidades específicas del producto relacionadas con la seguridad. Microsoft clasifica las vulnerabilidades de seguridad en su boletín de seguridad como Críticas, Importantes, Moderadas o Bajas. Recomendamos aplicar las correcciones Críticas e Importantes de inmediato. En el caso de las correcciones Moderadas, aconsejamos leer el artículo de la Base de conocimientos (KB) correspondiente antes de aplicar el parche. Haga clic en Editar para configurar NinjaOne para que apruebe, rechace o requiera la aprobación manual de parches automáticamente.
Aprobaciones generales	Configure los ajustes de aprobación para los errores que no estén relacionados con la seguridad según la categoría designada por Microsoft. Consulte el artículo de Microsoft sobre terminología de actualizaciones de software (enlace externo) para obtener más información. Haga clic en Editar para configurar los siguientes parámetros: Parches/actualizaciones importantes: Establezca cada categoría en Aprobar, Rechazar, Manual o en Aprobar tras un periodo de tiempo especificado, en días. Recomendamos establecer las actualizaciones importantes en Aprobar, lo que permite a NinjaOne aplicar automáticamente todos los parches. Parches/actualizaciones opcionales: Establezca cada categoría en Aprobar, Rechazar o Manual. Recomendamos establecer los parches y actualizaciones opcionales en Rechazar. Muchos parches opcionales requieren la intervención del usuario, lo que provocará que la instalación falle si se ejecuta desde la gestión de parches web. Estos parches siguen estando disponibles en máquinas específicas si desea aplicarlos.
Aprobaciones avanzadas	Active y configure el estado de aprobación para los controladores de dispositivos y las actualizaciones de características de Windows. Haga clic en Editar en esta sección para activar o desactivar las aprobaciones avanzadas. Habilitar controladores: Establezca una acción predeterminada para las actualizaciones aprobadas por el fabricante de los controladores de dispositivos instalados. Habilitar actualizaciones de características: Las actualizaciones de características se refieren a adiciones y cambios significativos, que pueden incluir actualizaciones completas de la versión de Windows. Recomendamos la siguiente configuración, a menos que su caso de uso requiera una configuración diferente: Parches importantes: Establezca en Aprobar, lo que permite a NinjaOne aplicar automáticamente todos los parches. Parches opcionales: Establezca en Rechazar. Muchos parches opcionales requieren la intervención del usuario, lo que provocará que la instalación falle si se realiza desde la gestión automatizada de parches. Como método alternativo para implementar actualizaciones de funciones, puede instalar el siguiente script personalizado: Script personalizado: Actualizar la compilación de Windows 10.
Anulaciones de aprobaciones de Patch Intelligence AI	Active los cambios de estado de aprobación para los parches que Patch Intelligence AI considere problemas conocidos, o para los parches con estado de «Precaución ». Consulte NinjaOne Patching: Patch Intelligence AI para obtener más información.
Anulaciones de aprobación	Configure NinjaOne para anular su política de parches en el caso de parches específicos. Haga clic en «Añadir» para abrir la ventana «Editar anulaciones de aprobación » y, a continuación, busque el nombre del parche. Utilice el segundo menú desplegable para seleccionar si desea aprobar o rechazar el parche. Ejemplos de situaciones en las que los parches aparecerían en la sección Anulaciones: Si la aprobación de la categoría está configurada en Manual y, a continuación, aprueba o rechaza el parche para la política. Si la aprobación de la categoría está configurada en Aprobar y, a continuación, rechaza manualmente el parche para la política. Si la aprobación de la categoría está configurada en Rechazar y, a continuación, aprueba manualmente el parche para la política. Los parches con los estados que decida anular aparecen en la sección Anulaciones. Haga clic en Añadir en el campo Anulaciones para añadir y eliminar anulaciones según sea necesario. Tenga cuidado al ver la página Anulaciones de la política de parches con filtros aplicados. Si utiliza un filtro y luego hace clic en el botón Borrar todo, esta acción borrará todas las anulaciones (tanto las rechazadas como las aprobadas), no solo las que están filtradas.

Visualización de los análisis de parches del sistema operativo y los intentos de instalación

Puede ver los parches encontrados y los parches instalados en Panel de control → Parches → Parches del sistema operativo. Utilice el menú desplegable para filtrar por estado del parche (Pendiente, Aprobado, Rechazado, Instalado o Fallido).

Una vez que se intenta instalar un parche durante un ciclo de actualización, el sistema lo registra en la pestaña «Parches del sistema operativo » del panel de control como «Instalado » o «Fallido».

**Figura 5**: Panel de control → Parches → Parches del sistema operativo ( *haga clic para ampliar*)

Visualización de los dispositivos a los que se aplica un parche

En el panel de control de Sistema u Organización , puede hacer clic en el número de la columna Dispositivos para generar una lista de los dispositivos a los que se aplica el estado del parche. Por ejemplo, al hacer clic en el número de un parche en la pestaña Aprobados, se muestran los dispositivos para los que NinjaOne lo ha aprobado, pero aún no lo ha instalado.

**Figura 6**: La lista de parches en el panel de control (haga clic para ampliar)

Configuración de un servidor WSUS para su uso con la aplicación de parches de Windows

Un servidor de Windows Server Update Services (WSUS) puede ayudar a reducir el tráfico de red asociado a la aplicación de parches.

Asegúrese de que los objetos de política de grupo (GPO) de WSUS estén desactivados cuando utilice políticas de NinjaOne. De lo contrario, NinjaOne dará prioridad a la configuración de los GPO. Además, asegúrese de que la aplicación de parches esté activada a nivel de política.

En NinjaOne, haga clic enAdministración→Organizaciones y, a continuación, seleccione una organización de la lista.

**Figura 7**: Administración → Organizaciones (haga clic para ampliar)

Haga clic en la pestaña Configuración de parches y, a continuación, haga clic en Editar.

**Figura 8**: Aplicación de parches → Configuración de WSUS ( *haga clic para ampliar*)

Se abre la ventana Configuración de WSUS. Haga clic en Usar el siguiente servidor WSUS y, a continuación, utilice el campo Dirección IP/Nombre DNS para seleccionar el servidor. Esta acción restablece las claves de registro actuales en Windows Update e introduce el servidor WSUS.
- Si el agente NinjaOne está instalado en el servidor WSUS: haz clic en Seleccionar y, a continuación, elige el servidor WSUS de la lista.
- Si el agente NinjaOne no está instalado en el servidor WSUS: introduzca su dirección IP o nombre DNS.

Configure el protocolo y el puerto, y luego seleccione si desea utilizar el servidor de actualizaciones predeterminado de Microsoft en caso de que no se pueda acceder a WSUS para aplicar parches. Cuando haya terminado, haga clic en Guardar. La configuración de WSUS recién configurada se mostrará en la interfaz de usuario.

**Figura 9**: Ventana de configuración de WSUS ( *haga clic para ampliar*)

Habilitar el servidor WSUS por ubicación

Puede configurar servidores WSUS en diferentes ubicaciones para optimizar el ancho de banda y la velocidad de prestación del servicio.

En el editor de la organización, haga clic en la pestaña Ubicaciones y, a continuación, haga clic en Añadir ubicación.

**Figura 10**: Ubicaciones → Añadir ubicación ( *haga clic para ampliar*)

En la ventana Añadir ubicación, seleccione WSUS y, a continuación, haga clic en Usar configuración a nivel de organización. El servidor utilizará la configuración de WSUS que haya configurado previamente.

**Figura 11**: La ventana Añadir ubicación ( *haga clic para ampliar*)

Uso de otras configuraciones de servidor WSUS basadas en la ubicación

Puede establecer configuraciones específicas del dispositivo para un servidor WSUS en otra ubicación.

Usar el servidor de actualizaciones predeterminado de Microsoft: haz clic en esta opción para utilizar el servidor de actualizaciones predeterminado de Microsoft. Si eliges esta opción, NinjaOne restablecerá la configuración existente y se asegurará de que el dispositivo utilice la nube para la aplicación de parches. NinjaOne no aplicará parches a los dispositivos a través de un servidor WSUS.
Usar el siguiente servidor WSUS: Seleccione esta opción para configurar estos ajustes para la ubicación. Al seleccionarla, se abrirán ajustes adicionales en la ventana Añadir ubicación. Configure la dirección IP/nombre DNS, el protocolo y el puerto. Marque la casilla de verificación Usar el servidor de actualizaciones predeterminado si WSUS no está disponible para recibir actualizaciones directamente de Microsoft si el sistema no puede conectarse a su servidor WSUS.