¿Ya eres cliente de NinjaOne? Inicia sesión para ver más guías y las últimas actualizaciones.

NinjaOne Patching: Administración de parches de Windows

Tema

Este artículo describe las funciones de gestión de parches del sistema operativo (SO) disponibles para los terminales de Microsoft Windows gestionados por NinjaOne. También explica cómo activar, configurar y visualizar la actividad de aplicación de parches.

Entorno

  • Actualizaciones de NinjaOne
  • Microsoft Windows

Descripción

La gestión de parches de NinjaOne te permite crear políticas de parches que buscan y aplican automáticamente los nuevos parches del SO para tus terminales Windows.

Gestión de parches de Windows (NinjaOne, Inc., 01:36)

Selecciona un tema para continuar.

Consideraciones importantes

Versiones antiguas de Microsoft Windows

Debido a que Microsoft ha dejado de ofrecer un punto de acceso obsoleto del servicio Windows Update, Windows Vista y muchas versiones de Windows 7 y Windows Server 2008 no son compatibles con NinjaOne Patch Management.

Puede actualizar los dispositivos que ejecutan Windows 7 SP1, Windows Server 2008 R2 SP1 y Windows Server 2008 SP2 para que funcionen con NinjaOne Patch Management. Consulte «Descontinuación de los puntos finales de Windows Update basados en SHA-1 para dispositivos Windows más antiguos»(enlace externo) para obtener más información sobre cómo actualizar versiones antiguas de Windows para que sean compatibles con NinjaOne Patch Management.

Mensajes del sistema y control de opciones

Cuando se activa la aplicación de parches del sistema operativo, puede aparecer localmente en el programa de actualización de Windows del equipo un mensaje que indique: «Algunos ajustes los gestiona su organización».

Cuando se activa la aplicación de parches del sistema operativo, es posible que la opción «Ofrecerme actualizaciones para otros productos de Microsoft cuando actualice Windows» no esté disponible en la configuración de Windows Update en los equipos locales. Puede gestionar las actualizaciones de los productos de Microsoft a través de la herramienta de aplicación de parches de terceros (3PP). Consulte

Figura 1: Administración → Políticas ( haz clic para ampliar)
  1. Se abrirá la página de configuración de la política. Haz clic en la opción «Parches del sistema operativo » y, a continuación, activa el interruptor «Estado ». NinjaOne no aplica los cambios hasta que guardes la política.
Figura 2: Parches del sistema operativo → Habilitar parches del sistema operativo ( haz clic para ampliar)
  1. Configure los ajustes de parches del sistema operativo y, a continuación, haga clic en Guardar. Consulte la sección «Configuración de los ajustes de parches del sistema operativo » de este artículo para obtener más información.
    • Tras guardar, NinjaOne enviará un ejecutable personalizado llamado NinjaOrbit.exe a todos los terminales incluidos en la política, lo que controla la gestión de parches para esos equipos.
    • Una vez que los dispositivos finales hayan instalado el ejecutable personalizado, se ejecutará un análisis silencioso. NinjaOne no generará entradas en el feed de actividad para este análisis silencioso inicial.

Configuración de los ajustes de parches del sistema operativo

Los ajustes de la parte superior de la página «Actualizaciones del sistema operativo» incluyen opciones de configuración para el análisis, la aplicación de parches y la ejecución de automatizaciones antes y después de las actualizaciones. Cuando termines la configuración, haz clic en «Guardar» para aplicar los nuevos ajustes. La siguiente tabla describe cada ajuste.

Figura 3: Ajustes de configuración de parches del sistema operativo ( haz clic para ampliar)

Utilice la tabla siguiente para obtener más información sobre cada opción.

ParámetroDescripción
Modo

NinjaOne ofrece dos modos para la gestión de parches de Windows:

  • NinjaOne gestiona los parches del sistema operativo: NinjaOne gestiona íntegramente los programas de análisis y actualización de parches, los estados de aprobación de las categorías de parches y las excepciones de parches. Recomendamos este modo para garantizar el cumplimiento de los parches en todos los dispositivos incluidos en la política.
  • Configurar los ajustes de Windows Update a través de NinjaOne: configura NinjaOne para que aplique los ajustes de Windows Update a los dispositivos mediante la configuración del Registro. Si seleccionas esta opción, NinjaOne sustituirá las demás opciones de configuración de parches del sistema operativo visibles por las siguientes opciones de Windows Update:
    • Descargar las actualizaciones recomendadas, pero permitir al usuario elegir cuándo instalarlas
    • Descargar las actualizaciones recomendadas e instalarlas según un calendario
    • Notificar al usuario las actualizaciones recomendadas, pero no descargarlas
    • Desactivar Windows Update

Si configura su política en «Configurar los ajustes de Windows Update a través de NinjaOne», NinjaOne no podrá instalar las actualizaciones de parches en el dispositivo.

Programaciones de análisis y actualización

Estos conjuntos de parámetros determinan cuándo el dispositivo buscará nuevos parches disponibles y cuándo aplicará dichas actualizaciones.

  • Programación: utiliza el menú desplegable para elegir la frecuencia de análisis o actualización. En función del intervalo seleccionado, elige los días, semanas o meses en los que NinjaOne realizará la acción. NinjaOne solo aplica parches a los dispositivos en los días seleccionados. Si no seleccionas ningún día, NinjaOne mostrará un mensaje de error.
  • Hora y zona horaria: Selecciona la hora del día y la zona horaria adecuada para realizar la acción. De forma predeterminada, las búsquedas comienzan a las 8:00 h, hora local del dispositivo, y las actualizaciones comienzan a las 17:00 h, hora local del dispositivo. Estos valores predeterminados solo se aplican a las políticas nuevas.
  • Escalonamiento: Establece un intervalo de escalonamiento para distribuir los tiempos de instalación de parches entre tus dispositivos y evitar actualizaciones simultáneas. Para obtener más información, consulta «Gestión de parches de NinjaOne: Equilibrio de carga en las instalaciones de parches con la función de escalonamiento».
  • Duración: Especifica cuánto tiempo se ejecutarán las acciones de análisis o actualización antes de que NinjaOne las interrumpa.
  • Ejecutar el análisis inmediatamente si se ha omitido: Selecciona esta opción para ejecutar un análisis o una actualización inmediatamente si el dispositivo omite una acción programada.
  • Preparar las actualizaciones antes de la hora de inicio programada: marca esta casilla para que NinjaOne prepare y coloque las actualizaciones antes de la hora programada para la actualización. Las actualizaciones de controladores no admiten la preparación previa.
  • Activar automáticamente el sistema: esta opción enciende el dispositivo para los ciclos de análisis y actualización. Cuando se activa, una función de la API de Windows establece una hora de activación para los dispositivos que se encuentran en estado de suspensión. Para que esta función funcione, el dispositivo debe tener activados los temporizadores de activación.
  • Omitir en conexiones con límite de datos: cuando está activada, NinjaOne muestra un error en el feed de actividad si se intenta realizar un ciclo de actualización en un dispositivo que utiliza una conexión con límite de datos.
  • Modo de mantenimiento: Suprimir notificaciones: Selecciona esta opción para evitar que NinjaOne envíe alertas provocadas por acciones que se produzcan durante la actualización (como los reinicios del dispositivo). Puedes ajustar esta configuración marcando las casillas «Suprimir alertas de condiciones » y «Suprimir canales de notificación ». Consulta «Plataforma NinjaOne: Modo de mantenimiento » para obtener más información.
Ejecución previa y posterior a la automatización

Esta configuración le permite añadir automatizaciones que se ejecutarán antes (pre) o después (post) de la instalación del parche.

  • Utilice scripts previos a la aplicación de parches para validar los requisitos previos o preparar el dispositivo antes de que comience la aplicación de parches.
  • Utilice scripts posteriores a la aplicación de parches para realizar tareas de limpieza o verificación una vez finalizada la instalación.

Haga clic en «Añadir» para seleccionar automatizaciones de la biblioteca de automatizaciones. Consulte NinjaOne: automatizaciones programadas » para obtener más información.

Seleccione «Cancelar la actualización del parche si el script previo devuelve un mensaje de error» para cancelar automáticamente el trabajo de aplicación de parches si el script previo falla.

Notificaciones de actualización

Elige cómo NinjaOne notifica a los usuarios cuando necesita actualizar software que no puede parchear en segundo plano. La configuración actual aparecerá como un enlace en esta sección. Haz clic en el enlace para ver las siguientes opciones adicionales:

  • Notificar al usuario, cerrar el software y actualizar
  • Cerrar automáticamente el software y actualizar
  • No cerrar el software abierto
Opciones de reinicio: usuario conectado

Estos ajustes te permiten especificar el comportamiento de reinicio y las indicaciones para los usuarios que hayan iniciado sesión en un dispositivo recién parcheado:

  • Solicitar el reinicio hasta que se acepte: NinjaOne mostrará un mensaje en pantalla indicando al usuario que reinicie el dispositivo para que la actualización se complete. 
    • Utiliza las opciones de programación para determinar la frecuencia de los avisos. 
    • Marque la casilla «Forzar reinicio después de» para establecer el número de avisos antes de que NinjaOne reinicie automáticamente el dispositivo. NinjaOne mostrará la programación de avisos elegida en esta sección. 
    • Marque la casilla de verificación «Cuadro de diálogo de reinicio personalizado» para sustituir el mensaje predeterminado por su propio texto.
  • Notificar al usuario y, a continuación, reiniciar: elija esta opción para enviar una notificación al usuario y, a continuación, reiniciar automáticamente el equipo y completar la actualización. Consulte «NinjaOne Endpoint Management: Canales de notificación y alertas» para obtener más información. Utilice las opciones de programación para determinar cuánto tiempo debe esperar NinjaOne antes de enviar la notificación y activar el reinicio.
  • Reiniciar automáticamente: esta opción indica a NinjaOne que reinicie el dispositivo una vez completada la instalación de la actualización. Utilice las opciones de programación para determinar cuánto tiempo debe esperar NinjaOne antes de reiniciar el dispositivo.
  • No hacer nada: NinjaOne no realizará ninguna acción de reinicio automático en el dispositivo.
  • Período: si ha seleccionado «Solicitar al usuario que reinicie hasta que acepte el reinicio», utilice estos campos para especificar la frecuencia de las solicitudes. Marque la casilla de verificación para forzar un reinicio tras un número específico de solicitudes.
  • Cuadro de diálogo de reinicio personalizado: Marca esta casilla para añadir texto personalizado al aviso de reinicio. Consulta la sección «Creación de un aviso de reinicio personalizado» de este artículo para obtener más información.

Si un usuario final interactúa con un aviso de reinicio, NinjaOne mostrará una actividad en el feed de actividades. Consulta «Feed de notificaciones de actividad del dispositivo y del sistema » para obtener más información.

Opciones de reinicio: sin usuarios conectados

Estos ajustes le permiten especificar el comportamiento de reinicio y de avisos para los dispositivos recién actualizados en los que no haya ningún usuario conectado:

  • Intentar reiniciar hasta que se consiga: NinjaOne seguirá intentando reiniciar el dispositivo, incluso si los reinicios fallan, hasta que la acción se complete. Utilice las opciones de programación para determinar la frecuencia de los intentos de reinicio.
  • Reiniciar inmediatamente: NinjaOne reiniciará el dispositivo cuando la actualización esté lista.
  • No hacer nada: NinjaOne no tomará ninguna medida para reiniciar el dispositivo.

Creación de un mensaje de reinicio personalizado

Si seleccionas «Cuadro de diálogo de reinicio personalizado» al configurar los ajustes de «Opciones de reinicio: usuario conectado», NinjaOne abrirá una ventana de diálogo de reinicio personalizado, que te permitirá introducir un título para tu mensaje y un mensaje de solicitud de reinicio personalizado. Puedes dar formato a este mensaje utilizando etiquetas HTML.

Figura 4: Cuadro de diálogo de reinicio personalizado ( haz clic para ampliar)

Configuración de aprobación y anulación

La configuración de la parte inferior de la página «Parches del sistema operativo » incluye opciones para:

  • Establecer aprobaciones automáticas para actualizaciones de seguridad y actualizaciones generales.
  • Configurar estados avanzados de aprobación de actualizaciones para controladores de dispositivos y características de Windows.
  • Activar las anulaciones de aprobación de Patch Intelligence AI.
  • Añadir excepciones de aprobación a la política de parches.
Opciones de configuración de aprobación

Cada tipo de parche tiene las siguientes opciones de aprobación: Aprobar, Manual y Rechazar.

  • Aprobar: esta opción aprueba automáticamente todos los parches de esa categoría para su instalación en el siguiente ciclo de actualización.
  • Manual: cuando se encuentren, los parches de esta categoría aparecerán como pendientes, lo que requerirá su aprobación o rechazo manual (ya sea para el dispositivo o para toda la política).
  • Rechazar: esta opción rechaza automáticamente todos los parches de esa categoría, por lo que NinjaOne no los instalará en el dispositivo.
Figura 5: Configuración de aprobación y anulación ( haz clic para ampliar)

Utilice la tabla siguiente para obtener más información sobre cada configuración.

ConfiguraciónDescripción
Aprobaciones de actualizaciones de seguridad

Configure los ajustes de aprobación para vulnerabilidades relacionadas con la seguridad específicas de cada producto.

Microsoft clasifica las vulnerabilidades de seguridad en su boletín de seguridad como «Críticas», «Importantes», «Moderadas» o «Bajas». Recomendamos aplicar inmediatamente las correcciones «Críticas » e «Importantes ». En el caso de las correcciones «Moderadas», aconsejamos leer el artículo de la Base de Conocimientos (KB) correspondiente antes de aplicar el parche.

Haga clic en «Editar» para configurar NinjaOne de modo que apruebe, rechace o requiera la aprobación manual de los parches de forma automática.

Aprobaciones generales

Configure los ajustes de aprobación para los errores que no estén relacionados con la seguridad según la categoría designada por Microsoft. Consulte el artículo de Microsoft sobre terminología de actualizaciones de software(enlace externo) para obtener más información.

Haz clic en «Editar» para configurar los siguientes parámetros:

  • Parches/actualizaciones importantes: configura cada categoría como «Aprobar», «Rechazar», «Manual» o «Aprobar tras un periodo de tiempo especificado», en días. Recomendamos configurar las actualizaciones importantes como «Aprobar», lo que permite a NinjaOne aplicar automáticamente todos los parches.
  • Parches/actualizaciones opcionales: configura cada categoría como «Aprobar», «Rechazar» o «Manual». Recomendamos configurar los parches y actualizaciones opcionales como «Rechazar». Muchos parches opcionales requieren la intervención del usuario, lo que provocará que la instalación falle si se ejecuta desde la gestión de parches web. Estos parches siguen estando disponibles en equipos específicos si deseas aplicarlos.
Aprobaciones avanzadas

Active y configure el estado de aprobación para los controladores de dispositivos y las actualizaciones de características de Windows. Haga clic en «Editar» en esta sección para activar o desactivar las aprobaciones avanzadas.

  • Habilitar controladores: Establezca una acción predeterminada para las actualizaciones aprobadas por el fabricante de los controladores de dispositivos instalados.
  • Habilitar actualizaciones de características: Las actualizaciones de características se refieren a adiciones y cambios significativos, que pueden incluir actualizaciones completas de la versión de Windows.

Recomendamos la siguiente configuración, a menos que su caso de uso requiera una configuración diferente:

  • Parches importantes: configúralos en «Aprobar», lo que permite a NinjaOne aplicar automáticamente todos los parches.
  • Parches opcionales: configúralos en «Rechazar». Muchos parches opcionales requieren la intervención del usuario, lo que provocará que la instalación falle si se realiza mediante la gestión automatizada de parches.

Como método alternativo para implementar actualizaciones de funciones, puede instalar el siguiente script personalizado: Script personalizado: Actualizar la compilación de Windows 10.

Anulaciones de las aprobaciones de Patch Intelligence AIActiva los cambios en el estado de aprobación para los parches que la IA de Patch Intelligence considere problemas conocidos, o para los parches con estado «Precaución ». Consulta «NinjaOne Patching: Patch Intelligence AI » para obtener más información.
Anulaciones de aprobación

Configure NinjaOne para anular su política de parches en el caso de parches específicos. Haga clic en «Añadir» para abrir la ventana «Editar anulaciones de aprobación » y, a continuación, busque el nombre del parche. Utilice el segundo menú desplegable para seleccionar si desea aprobar o rechazar el parche.

Ejemplos de situaciones en las que los parches aparecerían en la sección «Anulaciones »:

  • Si la aprobación de la categoría está configurada en «Manual» y, a continuación, apruebas o rechazas el parche para la política.
  • Si la aprobación de la categoría está configurada en «Aprobar» y, a continuación, rechaza manualmente el parche para la política.
  • Si la aprobación de la categoría está configurada en «Rechazar» y, a continuación, aprueba manualmente el parche para la política.

Los parches con los estados que decida anular aparecen en la sección «Anulaciones ». Haga clic en «Añadir» en el campo «Anulaciones » para añadir y eliminar anulaciones según sea necesario.

Ten cuidado al consultar la página «Anulaciones» de la política de parches con filtros aplicados. Si utilizas un filtro y, a continuación, haces clic en el botón «Borrar todo», esta acción borrará todas las anulaciones (tanto las rechazadas como las aprobadas), no solo las que estén filtradas.

Visualización de los análisis de parches del sistema operativo y los intentos de instalación

Puede ver los parches detectados y los instalados en Panel de controlParchesParches del sistema operativo. Utilice el menú desplegable para filtrar por estado del parche (Pendiente, Aprobado, Rechazado, Instalado o Fallido).

Después de que un parche intente instalarse durante un ciclo de actualización, NinjaOne lo registra en la pestaña «Parches del sistema operativo » del panel de control como «Instalado » o «Fallido».

Figura 6: Panel de control → Parches → Parches del sistema operativo ( haz clic para ampliar)

Visualización de los dispositivos a los que se aplica un parche

En el panel de control de Sistema u Organización , puede hacer clic en el número de la columna «Dispositivos» para generar una lista de los dispositivos a los que se aplica el estado del parche. Por ejemplo, al hacer clic en el número correspondiente a un parche en la pestaña «Aprobados», se muestran los dispositivos para los que NinjaOne lo ha aprobado, pero aún no lo ha instalado.

Figura 7: La lista de parches en el panel de control (haz clic para ampliar)

Configuración de un servidor WSUS para su uso con la aplicación de parches de Windows

Un servidor de Windows Server Update Services (WSUS) puede ayudar a reducir el tráfico de red asociado a la aplicación de parches.

Asegúrese de que los objetos de política de grupo (GPO) de WSUS estén desactivados cuando utilice políticas de NinjaOne. De lo contrario, NinjaOne dará prioridad a la configuración de los GPO. Además, asegúrese de que la aplicación de parches esté activada a nivel de política.
  1. En NinjaOne, haz clic en «Administración»«Organizaciones» y, a continuación, selecciona una organización de la lista.
Figura 8: Administración → Organizaciones (haz clic para ampliar)
  1. Haga clic en la pestaña «Configuración de parches » y, a continuación, haga clic en «Editar».
Figura 9: Aplicación de parches → Configuración de WSUS ( haz clic para ampliar)
  1. Se abrirá la ventana «Configuración de WSUS ». Haz clic en «Usar el siguiente servidor WSUS» y, a continuación, utilizael campo «Dirección IP/nombre DNS » para especificar el servidor. Esta acción restablece las claves de registro actuales en Windows Update e introduce el servidor WSUS.
    • Si el agente NinjaOne está instalado en el servidor WSUS: haz clic en «Seleccionar» y, a continuación, elige el servidor WSUS de la lista.
    • Si el agente NinjaOne no está instalado en el servidor WSUS: introduce su dirección IP o nombre DNS.
  1. Configure el protocolo y el puerto y, a continuación, seleccione si desea utilizar el servidor de actualizaciones predeterminado de Microsoft en caso de que no se pueda acceder a WSUS para aplicar parches. Cuando haya terminado, haga clic en «Guardar». La configuración de WSUS que acaba de establecer se mostrará en la interfaz de usuario.
Figura 10: Ventana «Configuración de WSUS» ( haz clic para ampliar)

Activación del servidor WSUS por ubicación

Puede configurar servidores WSUS en diferentes ubicaciones para optimizar el ancho de banda y la velocidad de prestación del servicio.

  1. En el editor de la organización, haz clic en la pestaña «Ubicaciones » y, a continuación, en «Añadir ubicación».
Figura 11: Ubicaciones → Añadir ubicación ( haz clic para ampliar)
  1. En la ventana «Añadir ubicación », seleccione «WSUS» y, a continuación, haga clic en «Usar configuración a nivel de organización». El servidor utilizará la configuración de WSUS que haya configurado previamente.

Figura 12: La ventana «Añadir ubicación» ( haz clic para ampliar)

Uso de otras configuraciones de servidor WSUS basadas en la ubicación

Puede establecer una configuración específica para cada dispositivo en un servidor WSUS ubicado en otra ubicación.

  • Usar el servidor de actualizaciones predeterminado de Microsoft: haz clic en esta opción para utilizar el servidor de actualizaciones predeterminado de Microsoft. Si eliges esta opción, NinjaOne restablecerá la configuración existente y se asegurará de que el dispositivo utilice la nube para la aplicación de parches. NinjaOne no aplicará parches a los dispositivos a través de un servidor WSUS.
  • Utilizar el siguiente servidor WSUS: Seleccione esta opción para configurar estos parámetros para la ubicación. Al seleccionarla, se abrirán opciones de configuración adicionales en la ventana «Añadir ubicación ». Configure la dirección IP/nombre DNS, el protocolo y el puerto. Marque la casilla «Utilizar el servidor de actualizaciones predeterminado si WSUS no está disponible» para recibir actualizaciones directamente de Microsoft si NinjaOne no puede conectarse a su servidor WSUS.
Figura 13: Configuración de WSUS específica de la ubicación ( haz clic para ampliar)

FAQ

Próximos pasos