NinjaOne Patching: Administración de parches de Windows

Tema

Este artículo describe las funciones de gestión de parches del sistema operativo (SO) disponibles para los terminales Windows gestionados por NinjaOne. También explica cómo activar, configurar y ver la actividad de aplicación de parches.

Entorno

Parcheo de NinjaOne
Microsoft Windows

Descripción

La gestión de parches de NinjaOne le permite crear políticas de parches que buscan y aplican automáticamente nuevos parches del sistema operativo para sus terminales Windows.

Vea tutoriales adicionales en nuestra biblioteca de vídeos.

Seleccione un tema para continuar.

Consideraciones importantes
Activación de Windows Patch Management
Configuración de los ajustes de parches del sistema operativo
Visualización de los intentos de análisis e instalación de parches del sistema operativo
Configuración de un servidor WSUS para su uso con los parches de Windows

Consideraciones importantes

Versiones antiguas de Windows

Debido a que Microsoft ha dejado de ofrecer un punto final del servicio Windows Update obsoleto, Windows Vista y muchas versiones de Windows 7 y Windows Server 2008 no son compatibles con NinjaOne Patch Management.

Puede actualizar los dispositivos que ejecutan Windows 7 SP1, Windows Server 2008 R2 SP1 y Windows Server 2008 SP2 para que funcionen con NinjaOne Patch Management. Consulte el siguiente artículo de Microsoft para obtener más información: Puntos finales basados en SHA-1 de Windows Update descontinuados para dispositivos Windows antiguos (enlace externo)

Mensajes del sistema y control de opciones

Cuando se activa la aplicación de parches del sistema operativo, es posible que aparezca un mensaje que dice «Algunas configuraciones son gestionadas por su organización» en el actualizador de Windows de la máquina.

Cuando se activa la aplicación de parches del sistema operativo, es posible que la opción «Ofrecerme actualizaciones para otros productos de Microsoft cuando actualice Windows» aparezca en gris en la configuración de Windows Update en los equipos locales. Puede gestionar las actualizaciones de los productos de Microsoft a través de la herramienta de aplicación de parches de terceros. Consulte Políticas de NinjaOne: Aplicación de parches de terceros en Windows para obtener más información.

Separación de la programación de análisis y parches

Recomendamos separar los programas de análisis y actualización al menos una hora para que haya tiempo suficiente para que el análisis se complete antes de que comience la actualización. Si programa los ciclos de análisis y actualización para que se ejecuten simultáneamente, o si un ciclo de aplicación comienza antes de que finalice el ciclo de análisis, el análisis se omitirá o se terminará, y el ciclo de actualización tendrá prioridad.

Reinicios pendientes

Si un parche requiere que se reinicie el dispositivo para completarse, NinjaOne mostrará un icono de reinicio pendiente en el dispositivo. Consulte nuestro artículo Reinicios pendientes para obtener más información.

Si hay un reinicio pendiente, las funciones de análisis y aplicación de parches no se ejecutarán en este dispositivo hasta que se complete el reinicio y ya no se muestre el mensaje de reinicio pendiente.

Activación de la gestión de parches de Windows

Debe activar la gestión de parches del sistema operativo Windows antes de utilizarla para gestionar los parches de su sistema operativo Windows.

En NinjaOne, vaya a Administración → Políticas y, a continuación, seleccione una política de Windows en la lista de políticas del agente.

**Figura 1**: Administración → Políticas ( *haga clic para ampliar*)

Se abrirá la página de configuración de la política. Haga clic en la opción Parches del sistema operativo y, a continuación, active el botón de estado. NinjaOne no aplica los cambios hasta que se guarda la política.

**Figura 2**: Habilitar los parches del sistema operativo ( *haga clic para ampliar*)

Configure los ajustes de parches del sistema operativo y haga clic en Guardar. Consulte la sección Configuración de los ajustes de parches del sistema operativo de este artículo para obtener más información.
- Después de guardar, NinjaOne envía un ejecutable personalizado llamado NinjaOrbit.exe a todos los terminales de la política, que controla la gestión de parches para esos equipos.
- Una vez que los dispositivos finales instalan el ejecutable personalizado, ejecutan un análisis silencioso. NinjaOne no genera entradas en el feed de actividad para este análisis silencioso inicial.

Configuración de los ajustes de parches del sistema operativo

La configuración de parches del sistema operativo incluye opciones para configurar el análisis y la aplicación de parches, así como la instalación y el mantenimiento del software necesario. Cuando termine la configuración, haga clic en Guardar para aplicar la nueva configuración.

**Figura 3**: Configuración de parches del sistema operativo ( *haga clic para ampliar*)

Configuración de parches del sistema operativo (sin aprobación)

La configuración de la parte superior de la pantalla incluye opciones para configurar el análisis, la aplicación de parches y la ejecución de automatizaciones antes y después de las actualizaciones. Cuando haya terminado la configuración, haga clic en Guardar para aplicar la nueva configuración. En la siguiente tabla se describe cada configuración.

Configuración	Descripción
Modo	NinjaOne ofrece dos modos para la gestión de parches de Windows: NinjaOne gestiona los parches del sistema operativo:NinjaOnegestiona completamente los programas de análisis y actualización de parches, los estados de aprobación de categorías de parches y las anulaciones de parches. Recomendamos este modo para hacer cumplir el cumplimiento de los parches en todos los dispositivos de la política. Configurar los ajustes de Windows Update a través de NinjaOne: Configure NinjaOne para enviar los ajustes de Windows Update a los dispositivos a través de la configuración del registro. Si selecciona esta configuración, NinjaOne sustituirá las demás opciones de configuración de parches del sistema operativo visibles por las siguientes opciones de Windows Update: Descargar las actualizaciones recomendadas, pero permitir al usuario elegir cuándo instalarlas Descargar las actualizaciones recomendadas e instalarlas según un calendario Notificar al usuario las actualizaciones recomendadas, pero no descargarlas Desactivar Windows Update Si configura su política para Configurar los ajustes de Windows Update a través de NinjaOne, NinjaOne no podrá instalar actualizaciones de parches en el dispositivo. Para ejecutar actualizaciones de parches, cambie la política a Controlar la gestión de parches de Windows.
Programación de análisis	Este conjunto de parámetros determina cuándo el dispositivo buscará nuevos parches disponibles. Programación: utilice el menú desplegable para elegir la frecuencia de análisis. Días: si el intervalo de análisis es superior a un día, seleccione los días de la semana en los que el sistema debe realizar el análisis. NinjaOne solo aplica parches a los dispositivos en los días seleccionados. Si no selecciona ningún día, el sistema mostrará un mensaje de error. Hora y zona horaria: seleccione la hora del día y la zona horaria adecuada para realizar el análisis. De forma predeterminada, los análisis comienzan a las 8 a. m. hora local del dispositivo y las actualizaciones comienzan a las 5 p. m. hora local del dispositivo. Estos valores predeterminados solo se aplican a las nuevas políticas. Escalonamiento: establezca un intervalode escalonamiento para distribuir los tiempos de instalación de los parches entre sus dispositivos y evitar actualizaciones simultáneas. Para obtener más información, consulte NinjaOne Patch Management: equilibrar la carga de las instalaciones de parches con la función de escalonamiento. Duración: especifique cuánto tiempo se ejecutarán las acciones de análisis antes de que NinjaOne las termine. Ejecutar análisis inmediatamente, si se omite: seleccione esta opción para ejecutar un análisis inmediatamente si el sistema omite un análisis programado. Activar automáticamente el sistema: esta opción enciende el sistema para los ciclos de análisis y aplicación. Cuando se activa, una función de la API de Windows establece una hora de activación para los dispositivos en estado de suspensión. El sistema debe tener activados los temporizadores de activación para que esta función funcione.
Actualizar programación	Esta configuración especifica cuándo NinjaOne debe aplicar las actualizaciones que encuentra durante el escaneo. Programación: utilice el menú desplegable para elegir la frecuencia de actualización. Días: si el intervalo de actualización es superior a un día, seleccione los días de la semana en los que el sistema debe realizar el análisis. Los dispositivos solo se actualizan los días seleccionados. Si no selecciona ningún día, NinjaOne mostrará un mensaje de error. Hora y zona horaria: seleccione la hora del día y la zona horaria adecuada para realizar el análisis. De forma predeterminada, los análisis comienzan a las 8 a. m. hora local del dispositivo y las actualizaciones comienzan a las 5 p. m. hora local del dispositivo. Estos valores predeterminados solo se aplican a las nuevas políticas. Escalonar: establezca un intervalode escalonamiento para distribuir los tiempos de instalación de parches entre sus dispositivos y evitar actualizaciones simultáneas. Para obtener más información, consulte NinjaOne Patch Management: equilibrar la carga de las instalaciones de parches con la función Escalonar. Duración: especifique cuánto tiempo se ejecutarán las acciones de actualización antes de que NinjaOne las finalice. Ejecutar la actualización inmediatamente si se ha omitido: seleccione esta casilla de verificación para ejecutar una actualización inmediatamente si el sistema omite una actualización programada. Activar automáticamente el sistema: esta opción activa el sistema para aplicar parches y ciclos. Cuando se activa, esta opción utiliza una función de la API de Windows para establecer una hora de activación para los dispositivos en estado de suspensión. El sistema debe tener activados los temporizadores de activación para que esta función funcione. Preparar las actualizaciones antes del inicio programado: seleccione esta casilla para que el sistema prepare y coloque las actualizaciones antes de la hora programada para la actualización. Las actualizaciones de controladores no admiten la preparación previa. Omitir en conexiones medidas: cuando está activada, NinjaOne muestra un error en el feed de actividad si se intenta un ciclo de actualización en un dispositivo que utiliza una conexión medida. Modo de mantenimiento: Ocultar notificaciones: seleccione esta opción para evitar que NinjaOne envíe alertas provocadas por acciones que se producen durante la actualización (como el reinicio de dispositivos). Puede ajustar esta configuración seleccionando las casillas Ocultar alertas de condiciones y Ocultar canales de notificación. Consulte Plataforma NinjaOne: Modo de mantenimiento para obtener más información.
Ejecución previa y posterior a la automatización	Esta configuración le permite añadir automatizaciones que se ejecutarán antes (pre) o después (post) de la instalación del parche. Utilice scripts previos al parcheo para validar los requisitos previos o preparar el sistema antes de que comience el parcheo. Utilice scripts posteriores a la aplicación de parches para realizar tareas de limpieza o verificación después. Haga clic en Añadir para seleccionar automatizaciones de la biblioteca de automatizaciones. Consulte NinjaOne: Automatizaciones programadas para obtener más información. Seleccione Cancelar la actualización del parche si el script previo devuelve un mensaje de error para cancelar automáticamente el trabajo de aplicación de parches si el script previo falla.
Notificaciones de actualización	Elija cómo NinjaOne notifica a los usuarios cuando necesita actualizar software que no puede parchear en segundo plano. La configuración actual se mostrará como un enlace en esta sección. Haga clic en el enlace para ver las siguientes opciones adicionales: Notificar al usuario, cerrar el software y actualizar Cerrar automáticamente el software y actualizar No cerrar el software abierto
Opciones de reinicio: Usuario conectado	Esta configuración le permite especificar el comportamiento de reinicio y las indicaciones para los usuarios que hayan iniciado sesión en un dispositivo recién parcheado: Solicitar reinicio hasta que se acepte: NinjaOne mostrará un mensaje en pantalla indicando al usuario que reinicie y permita que se complete la actualización. Utilice las opciones de programación para determinar la frecuencia de las solicitudes. Seleccione la casilla de verificación Forzar reinicio después de para establecer el número de avisos antes de que NinjaOne reinicie automáticamente el dispositivo. Seleccione la casilla de verificación Cuadro de diálogo de reinicio personalizado para sustituir el mensaje predeterminado por su propio texto. Notificar al usuario y, a continuación, reiniciar: elija esta opción para enviar una notificación al usuario y, a continuación, reiniciar automáticamente el equipo y completar la actualización. Consulte NinjaOne Endpoint Management: canales de notificación y alertas para obtener más información. Utilice las opciones de programación para determinar cuánto tiempo debe esperar NinjaOne antes de enviar la notificación y activar el reinicio. Reiniciar automáticamente: esta opción indica a NinjaOne que reinicie el dispositivo una vez completada la instalación de la actualización. Utilice las opciones de programación para determinar cuánto tiempo debe esperar NinjaOne antes de reiniciar el dispositivo. No hacer nada: NinjaOne no realizará ninguna acción de reinicio automático en el dispositivo. Periodo: si ha seleccionado Solicitar al usuario que reinicie hasta que se acepte el reinicio, utilice estos campos para especificar la frecuencia de las solicitudes. Seleccione la casilla de verificación para forzar el reinicio después de un número específico de solicitudes. Cuadro dediálogo de reinicio: seleccione esta casilla de verificación para añadir texto personalizado a la solicitud de reinicio. Si un usuario final interactúa con una solicitud de reinicio, NinjaOne mostrará una actividad en el feed de actividad. Consulte Feed de notificaciones de actividad del dispositivo y del sistema para obtener más información.
Opciones de reinicio: Sin usuario conectado	Esta configuración le permite especificar el comportamiento de reinicio y solicitud para dispositivos recién parcheados sin usuarios conectados: Intentar reiniciar hasta que se complete con éxito: NinjaOne seguirá intentando reiniciar el dispositivo, incluso si los reinicios fallan, hasta que se complete la acción. Utilice las opciones de programación para determinar la frecuencia de los intentos de reinicio. Reiniciar inmediatamente: NinjaOne reiniciará el dispositivo cuando la actualización esté lista. No hacer nada: NinjaOne no tomará ninguna medida para reiniciar el dispositivo.

Configuración de aprobación y anulación

Los ajustes de la parte inferior de la pantalla incluyen opciones para:

Establecer aprobaciones automáticas para actualizaciones de seguridad y actualizaciones generales.
Establecer estados de aprobación de actualizaciones avanzadas para controladores de dispositivos y funciones de Windows.
Activar las anulaciones de aprobación de Patch Intelligence AI.
Añadir anulaciones de aprobación a la política de parches.

Opciones de configuración de aprobación

Cada tipo de parche tiene las siguientes opciones de aprobación: Aprobar, Manual y Rechazar.

Aprobar: esta opción aprueba automáticamente todos los parches de esa categoría para su instalación en el siguiente ciclo de actualización.
Manual: cuando se encuentran, los parches de esta categoría aparecerán como pendientes, lo que requiere una aprobación o rechazo manual (ya sea para el dispositivo o para toda la política).
Rechazar: esta opción rechaza automáticamente todos los parches de esa categoría, por lo que NinjaOne no los instalará en el dispositivo.

Explicación de la configuración de aprobación de parches del sistema operativo

Utilice la tabla siguiente para obtener más información sobre cada configuración.

Configuración	Descripción
Aprobaciones de actualizaciones de seguridad	Configure los ajustes de aprobación para vulnerabilidades específicas del producto relacionadas con la seguridad. Microsoft clasifica las vulnerabilidades de seguridad en su boletín de seguridad como críticas, importantes, moderadas o bajas. Recomendamos aplicar inmediatamente las correcciones críticas e importantes. En el caso de las correcciones moderadas, aconsejamos leer el artículo de la base de conocimientos relacionado antes de aplicar el parche. Haga clic en Editar para configurar NinjaOne para que apruebe, rechace o requiera la aprobación manual de los parches automáticamente.
Aprobaciones generales	Configure los ajustes de aprobación para los errores que no están relacionados con la seguridad según la categoría designada por Microsoft. Consulte el artículo de Microsoft sobre la terminología de las actualizaciones de software (enlace externo) para obtener más información. Haga clic en Editar para configurar los siguientes parámetros: Parches/actualizaciones importantes: configure cada categoría como Aprobar, Rechazar, Manual o Aprobar después de un período de tiempo específico, en días. Recomendamos configurar las actualizaciones importantes como Aprobar, lo que permite a NinjaOne aplicar automáticamente todos los parches. Parches/actualizaciones opcionales: establezca cada categoría en Aprobar, Rechazar o Manual. Recomendamos establecer los parches y actualizaciones opcionales en Rechazar. Muchos parches opcionales requieren la intervención del usuario, lo que provocará que la instalación falle si se ejecuta desde la gestión de parches web. Estos parches siguen estando disponibles en máquinas específicas si desea aplicarlos.
Aprobaciones avanzadas	Active y establezca el estado de aprobación para los controladores de dispositivos y las actualizaciones de funciones de Windows, que pueden incluir actualizaciones completas de la versión de Windows. Las actualizaciones de aprobación avanzadas requieren la activación de una configuración adicional. Además, debe activar los botones para el tipo de actualización (controladores o actualizaciones de características). De lo contrario, NinjaOne no intentará aplicar estos parches independientemente del estado de aprobación seleccionado. Como método alternativo para implementar actualizaciones de características, puede instalar el siguiente script personalizado: Script personalizado: Actualizar Windows 10 Build.
Anulaciones de aprobaciones de Patch Intelligence AI	Active los cambios de estado de aprobación para los parches que Patch Intelligence AI considera problemas conocidos o para los parches con estado de precaución. ConsulteParches de NinjaOne: Patch Intelligence AI para obtener más información.
Anulaciones de aprobación	Configure NinjaOne para anular su política de parches para parches específicos. Haga clic en Añadir para abrir el cuadro de diálogo Editar anulaciones de aprobación y, a continuación, busque el nombre del parche. Utilice el segundo menú desplegable para seleccionar si desea aprobar o rechazar el parche. Ejemplos de situaciones en las que los parches aparecerían en la sección Anulaciones: Si la aprobación de la categoría está establecidaen Manual y, a continuación, aprueba o rechaza el parche para la política. Si la aprobación de la categoría está configuradaen Aprobar y, a continuación, rechaza manualmente el parche para la política. Si la aprobación de la categoría está establecida en Rechazar y, a continuación, aprueba manualmente el parche para la política. Los parches con los estados que elija anular aparecerán en la sección Anulaciones. Haga clic en Añadir en el campo Anulaciones para añadir y eliminar anulaciones según sea necesario. Tenga cuidado al ver la página Anulaciones de la política de parches con filtros activados. Si utiliza un filtro y luego hace clic en el botón Borrar todo, esta acción borrará todas las anulaciones (tanto las rechazadas como las aprobadas), no solo las que están filtradas.

Visualización de los intentos de análisis e instalación de parches del sistema operativo

Puede ver los parches encontrados y los parches instalados en la pestaña Panel de control → Parches → Parches del sistema operativo . Utilice el menú desplegable para filtrar por estado del parche (Pendiente, Aprobado, Rechazado, Instalado o Fallido).

Una vez que se ha intentado instalar un parche durante un ciclo de actualización, el sistema lo registra en la pestaña Parches del sistema operativo del panel de control como Instalado o Fallido.

**Figura 4**: Panel de control → Parches → Parches del sistema operativo ( *haga clic para ampliar*)

Visualización de los dispositivos aplicables para un parche

En el panel de control del sistema o de la organización , puede hacer clic en el número de la columna Dispositivos para generar una lista de los dispositivos a los que se aplica el estado del parche. Por ejemplo, al hacer clic en el número de un parche en la pestaña Aprobados, se muestran los dispositivos para los que NinjaOne lo ha aprobado, pero aún no lo ha instalado.

**Figura 5**: Lista de parches en el panel de control (haga clic para ampliar)

Configuración de un servidor WSUS para su uso con Windows Patching

Un servidor de Windows Server Update Services (WSUS) puede ayudar a reducir el tráfico de red asociado a la aplicación de parches.

Asegúrese de que los objetos de política de grupo (GPO) de WSUS estén desactivados cuando utilice políticas de NinjaOne. De lo contrario, NinjaOne se ajustará a la configuración de GPO. Además, asegúrese de que la aplicación de parches esté activada en el nivel de política.

En NinjaOne, haga clic enAdministración→Organizaciones y, a continuación, seleccione una organización de la lista.

**Figura 6**: Administración → Organizaciones (haga clic para ampliar)

Haga clic en la pestaña Configuración de parches y, a continuación, haga clic en Editar.

**Figura 7**: Parches → Configuración de WSUS ( *haga clic para ampliar*)

Se abrirá el cuadro de diálogo Configuración de WSUS. Haga clic en Usar el siguiente servidor WSUS y, a continuación, utilice el campo Dirección IP/Nombre DNS para seleccionar el servidor. Esta acción restablece las claves de registro actuales en WindowsUpdate e introduce el servidor WSUS.
- Si NinjaOne Agent está instalado en el servidor WSUS: haga clic en Seleccionar y, a continuación, elija el servidor WSUS de la lista.
- Si NinjaOne Agent no está instalado en el servidor WSUS: haga clic en «» (Seleccionar servidor) e introduzca su dirección IP o nombre DNS.

Configure el protocolo y el puerto, y luego seleccione si desea utilizar el servidor de actualización predeterminado de Microsoft si no se puede acceder a WSUS para aplicar los parches. Cuando haya terminado, haga clic en Guardar. La configuración de WSUS recién configurada se mostrará en la interfaz de usuario.

**Figura 8**: Cuadro de diálogo Configuración de WSUS ( *haga clic para ampliar*)

Habilitación del servidor WSUS por ubicación

Puede configurar servidores WSUS en diferentes ubicaciones para optimizar el ancho de banda y la velocidad de prestación del servicio.

En el editor de organización, haga clic en la pestaña Ubicaciones y, a continuación, haga clic en Añadir ubicación.

**Figura 9**: Ubicaciones → Añadir ubicación ( *haga clic para ampliar*)

En la ventana Añadir ubicación, seleccione WSUS y, a continuación, haga clic en Usar configuración a nivel de organización. El servidor utilizará la configuración de WSUS que haya configurado anteriormente.

**Figura 10**: Cuadro de diálogo Añadir ubicación ( *haga clic para ampliar*)

Uso de otra configuración del servidor WSUS basada en la ubicación

Puede establecer una configuración específica para cada dispositivo para un servidor WSUS en otra ubicación.

Usar el servidor de actualización predeterminado de Microsoft: haga clic en esta opción para usar el servidor de actualización predeterminado de Microsoft. Si elige esta opción, NinjaOne restablecerá la configuración existente y se asegurará de que el dispositivo use la nube para aplicar los parches. NinjaOne no aplicará parches a los dispositivos a través de un servidor WSUS.
Usar el siguiente servidor WSUS: seleccione esta opción para configurar estos ajustes para la ubicación. Cuando se seleccione, se abrirán ajustes adicionales en la ventana Añadir ubicación. Configure la dirección IP/nombre DNS, el protocolo y el puerto. Seleccione la casilla Usar el servidor de actualización predeterminado si WSUS no está disponible para recibir actualizaciones directamente de Microsoft si el sistema no puede acceder a su servidor WSUS.