Índice
- Introducción
- Programaciones de análisis
- Programaciones de actualización
- Programaciones perdidas
- Aprobaciones de parches
- Perfiles de parcheo comunes
- Comportamiento de reinicio
Esta guía ofrece información sobre las configuraciones de parches más comunes utilizadas por los socios de NinjaOne y recomienda las mejores prácticas que puede utilizar para mejorar tus resultados de gestión de parches.
Introducción
Cómo configuran los usuarios de NinjaOne los parches de Windows
La gestión de parches es una de las tareas más importantes de un equipo informático. Las empresas invierten importantes recursos en mantener actualizada su infraestructura, pero más de la mitad de las infracciones podrían haberse evitado instalando los parches de software y sistema operativo disponibles.
Además de las implicaciones en materia de seguridad, una estrategia eficaz de aplicación de parches garantiza que los usuarios finales dispongan del software más actualizado y con más funciones para realizar su trabajo.
Sin embargo, si algunas de las organizaciones más grandes y mejor financiadas del mundo tienen dificultades con la gestión de parches, ¿qué posibilidades tienen las pequeñas y medianas empresas con un soporte informático limitado? Sin las herramientas adecuadas, el proceso es lento, complicado, perjudicial para los usuarios finales y propenso a errores.
El software de gestión de parches, como el que incluye NinjaOne, ofrece a los usuarios una visión completa y centralizada de su índice de cumplimiento de parches y automatiza la identificación, descarga y despliegue de parches en todos sus dispositivos gestionados.
NinjaOne te da un control detallado sobre el proceso de aprobación de parches, mejora la tasa de éxito de los parches en la primera pasada y reduce el tiempo que tus técnicos dedican a la aplicación de parches.
Para crear esta guía, hemos trabajado con socios de NinjaOne para entender cómo utilizan las capacidades de gestión de parches de NinjaOne y hemos combinado su experiencia con la nuestra.
En esta guía, compartimos esos conocimientos para que los nuevos socios puedan sacar el máximo partido de la gestión de parches.
Programaciones de análisis
Las políticas de NinjaOne permiten a los usuarios programar análisis de parches independientes del proceso de actualización. La exploración identifica todos los parches aún no instalados en un dispositivo y los clasifica en las categorías «Aprobado», «Pendiente» o «Rechazado» en función de los ajustes de aprobación basados en políticas.
Escaneando horas o días antes de ejecutar una actualización, puedes ajustar manualmente el estado de aprobación de un parche que el proceso de actualización respetará a continuación. Esto es increíblemente útil para parches aprobados manualmente o para evitar parches problemáticos que normalmente se aprobarían automáticamente.
Los parches no se instalan durante el proceso de análisis de parches.
Cuándo programar los análisis
Día de la semana
La mayoría de los socios de NinjaOne programan sus análisis de parches para una vez por semana. Los viernes son, con diferencia, el día más habitual de análisis de parches. La siguiente opción más habitual es realizar un análisis diario. Los análisis diarios de parches utilizan más recursos, pero maximizan el tiempo de que disponen los socios para realizar cambios ad hoc en los parches.
Dom | Lun | Mar | Miér | Jue | Vie | Sáb | Diariamente |
3% | 3% | 5% | 10% | 7% | 40% | 7% | 25% |
Hora del día
La hora más habitual para analizar parches es entre las 17:00 y las 18:00, hora del dispositivo. Muchos usuarios programan los análisis para después de las 18:00 para evitar afectar a los usuarios finales que trabajan más tarde. Aunque el análisis de parches no consume muchos recursos, la mayoría de los análisis se programan fuera del horario laboral habitual para no afectar a los usuarios finales. Los usuarios que programan los análisis en horario laboral pueden hacerlo para capturar el mayor número de dispositivos conectados.
00:00 – 8:50 | 9:00 – 16:59 | 17:00 – 23:59 |
16% | 24% | 60% |
Duración del análisis
La mayoría de los usuarios de NinjaOne no establecen una duración de análisis, lo que permite que los análisis tomen el tiempo que sea necesario. Para los que sí limitan la duración, las opciones más comunes son 9 horas, 6 horas y 3 horas. Las duraciones de los análisis pueden utilizarse cuando se asume una nueva infraestructura, o cuando usuarios de varias zonas horarias necesitan acceder a un servidor y la ventana de parcheo debe ser más corta para minimizar el impacto en el usuario final.
1 hora | 2 horas | 3 horas | 4 horas | 5 horas | 6 horas | 7 horas | 8 horas | Más de 9 horas | ∞ |
0% | 0% | 1% | 1% | 1% | 3% | 0% | 0% | 10% | 85% |
Programaciones de actualización
El programa de actualización de NinjaOne busca primero los parches disponibles y luego descarga y aplica tanto los parches recién descubiertos como los ya identificados mediante un análisis de parches basada en las configuraciones de aprobación de la política y cualquier anulación aplicable. A continuación, la gestión de parches de NinjaOne realiza un análisis adicional para finalizar el proceso.
El estado de aprobación de la política aplicada se puede anular para dispositivos individuales o para políticas enteras, siempre que un análisis lo identifique antes de aplicarlo.
Una vez que un parche ha intentado instalarse durante un ciclo de actualización, se clasificará en el panel de parches del SO «Instalado» o «Fallido».
Cuándo programar las actualizaciones
Día de la semana
Los parches suelen aplicarse los fines de semana para no interrumpir a los usuarios finales. También son habituales los viernes, normalmente fuera del horario laboral. Tras la incorporación inicial del dispositivo, muchos usuarios también aplican parches diariamente en un esfuerzo por minimizar el tiempo en que los endpoints son vulnerables.
Dom | Lun | Mar | Miér | Jue | Vie | Sáb | Diariamente |
19% | 4% | 5% | 9% | 10% | 15% | 19% | 19% |
Hora del día
La hora más habitual para iniciar el proceso de aplicación de parches es entre las 17:00 y las 18:00, hora del dispositivo. Muchos usuarios programan sus actualizaciones después de las 18:00 para no afectar a los usuarios finales que trabajan más tarde. Dado que la aplicación de parches consume más recursos y suele requerir un reinicio, la mayoría de las actualizaciones se programan fuera del horario laboral.
00:00 – 8:50 | 9:00 – 16:59 | 17:00 – 23:59 |
33% | 18% | 48% |
Duración de la actualización
La mayoría de los usuarios de NinjaOne no establecen una duración de aplicación de parches, lo que permite que las actualizaciones tarden el tiempo que sea necesario. En el caso de las que sí limitan la duración, la mayoría limitan las actualizaciones a cuatro horas o menos.
1 hora | 2 horas | 3 horas | 4 horas | Más de 5 horas | ∞ |
3% | 5% | 4% | 5% | 10% | 74% |
Programaciones perdidas
NinjaOne permite a los usuarios recuperar análisis o actualizaciones si se han omitido. Esto ocurre con mayor frecuencia si el dispositivo está apagado cuando estaba previsto que comenzara el análisis o la actualización.
Las opciones de análisis y actualización del formato se pueden activar por separado.
Los análisis de comparación y las actualizaciones se ejecutan tan pronto como el agente NinjaOne se registra en el servidor.
Recuperar los análisis y actualizaciones perdidos
Análisis perdidos
Casi la mitad de los usuarios de NinjaOne recuperan automáticamente los parches no analizados. Esta función es especialmente útil para quienes suelen analizar fuera del horario laboral, cuando hay más dispositivos apagados.
Comparar análisis | No compares el análisis |
51% | 49% |
Actualizaciones perdidas
Recuperar actualizaciones no realizadas es menos habitual que recuperar análisis. Es más probable que las actualizaciones fuera de plazo interrumpan a los usuarios finales, ya sea por la utilización de recursos o por la necesidad de reiniciar el dispositivo tras la actualización.
Comparar actualización | No compares la actualización |
60% | 40% |
Aprobaciones de parches
NinjaOne te da la posibilidad de configurar flujos de trabajo de aprobación para cada una de las cuatro clasificaciones de gravedad de las actualizaciones de seguridad de Microsoft y las siete categorías de actualizaciones de Microsoft. Puedes aprobar automáticamente, rechazar automáticamente o aprobar/rechazar manualmente los parches en función de su categoría.
En las próximas páginas, compartiremos los perfiles de parcheo más comunes que los usuarios de NinjaOne aplican a sus dispositivos.
Aprobaciones de actualizaciones de seguridad
Gravedad | Descripción (de Microsoft) |
Crítico | Una vulnerabilidad cuya explotación podría permitir la ejecución de código sin interacción del usuario. Estos escenarios incluyen malware que se autopropaga (por ejemplo, gusanos de red), o escenarios de uso común inevitables en los que la ejecución de código se produce sin advertencias ni avisos. Esto puede significar navegar por una página web o abrir un correo electrónico. |
Importante | Una vulnerabilidad cuya explotación podría comprometer la confidencialidad, integridad o disponibilidad de los datos del usuario, o la integridad o disponibilidad de los recursos de procesamiento. Estos escenarios incluyen situaciones de uso común en las que el cliente comprometido con advertencias o avisos independientemente de la procedencia, calidad o utilidad del aviso. |
Moderado | El impacto de la vulnerabilidad se ve mitigado en un grado significativo por factores como los requisitos de autenticación o la aplicabilidad únicamente a configuraciones no predeterminadas. |
Bajo | El impacto de la vulnerabilidad se ve ampliamente mitigado por las características del componente afectado. Microsoft recomienda que los clientes evalúen si deben aplicar la actualización de seguridad a los sistemas afectados. |
Actualizar categorías
Gravedad | Descripción (de Microsoft) |
Crítico | Solución muy difundida para un problema específico que soluciona un error crítico y no está relacionado con la seguridad. |
Regular | Una solución ampliamente difundida para un problema específico que resuelve un fallo no crítico y no relacionado con la seguridad. |
Rollup de actualizaciones | Un conjunto acumulativo y probado de revisiones, actualizaciones de seguridad, actualizaciones críticas y actualizaciones agrupadas para facilitar su despliegue. |
Paquetesde servicio | Un conjunto probado y acumulativo de todas las revisiones, actualizaciones de seguridad, actualizaciones críticas y actualizaciones. Además, los paquetes de servicios pueden contener soluciones adicionales para problemas que se encuentran internamente desde el lanzamiento del producto... |
Paquetes de características | Nueva funcionalidad de producto que se distribuye primero fuera del contexto de una versión de producto y que normalmente se incluye en la próxima versión completa del producto. |
Paquete de definiciones | Actualización de software frecuente y de amplia difusión que contiene adiciones a la base de datos de definiciones de un producto. Las bases de datos de definición se utilizan a menudo para detectar objetos con atributos específicos, como código nocivo. |
Unidades | Software que controla la entrada y salida de un dispositivo. |
Actualización de características | Especifica una actualización para las características y funcionalidades de Windows 10. |
Perfiles de parcheo comunes
Perfil de parcheo predeterminado
Muchos de nuestros socios utilizan el perfil de parcheo predeterminado de NinjaOne. Este perfil se centra en equilibrar la automatización que ahorra tiempo con la reducción de riesgos.
Casi todas las aprobaciones en este perfil están automatizadas, aprobando actualizaciones importantes y rechazando actualizaciones opcionales para maximizar el ahorro de tiempo. Los parches opcionales y de baja prioridad se rechazan automáticamente para mantener alta la automatización, pero evitar riesgos operativos.
Las actualizaciones de unidades y funciones están desactivadas en este perfil, ya que este tipo de actualizaciones son más propensas a causar problemas a los usuarios finales.
Aprobaciones de actualizaciones de seguridad | Estado de aprobación |
Bajo | Rechazar |
Moderado | Manual |
Importante | Aprobar |
Crítico | Aprobar |
Aprobaciones | Importante | Opcional |
Actualizaciones críticas | Aprobar | Rechazar |
Actualizaciones periódicas | Aprobar | Rechazar |
Rollups de actualizaciones | Aprobar | Rechazar |
Paquetes de servicio | Aprobar | Rechazar |
Paquetes de definición | Aprobar | Rechazar |
Aprobaciones Avanzadas | |
Unidades | Deshabilitado |
Actualizaciones de características | Deshabilitado |
Perfil de automatización de aprobación completa
El perfil de automatización completa es el segundo perfil más utilizado por los socios de NinjaOne. Este perfil aprueba automáticamente todos los parches de Microsoft.
Este perfil garantiza que todos los dispositivos asociados a la política estén siempre actualizados, pero expone a los dispositivos a cierto nivel de riesgo operativo debido a parches problemáticos.
La combinación de este perfil con análisis frecuentes de los parches permite a los técnicos evitar riesgos operativos al rechazar los parches problemáticos cuando surgen y antes de que se apliquen.
El emparejamiento de este perfil con dispositivos de prueba también permite observar el resultado de la aplicación de parches antes de desplegarlos en los equipos de producción.
Aprobaciones de actualizaciones de seguridad | Estado de aprobación |
Bajo | Aprobar |
Moderado | Aprobar |
Importante | Aprobar |
Crítico | Aprobar |
Aprobaciones | Importante | Opcional |
Actualizaciones críticas | Aprobar | Aprobar |
Actualizaciones periódicas | Aprobar | Aprobar |
Rollups de actualizaciones | Aprobar | Aprobar |
Paquetes de servicio | Aprobar | Aprobar |
Paquetes de definición | Aprobar | Aprobar |
Aprobaciones Avanzadas | ||
Unidades | Habilitado | Aprobar |
Actualizaciones de características | Habilitado | Aprobar |
Perfil de automatización equilibrado y de bajo riesgo
Este perfil da prioridad al cumplimiento del 100% de los parches al tiempo que intenta minimizar el riesgo operativo equilibrando la automatización con las aprobaciones manuales.
Este perfil requiere más intervención manual para alcanzar el pleno cumplimiento de los parches, pero con la ventaja añadida de que se pueden evitar los parches problemáticos que no son críticos para la seguridad o el funcionamiento de un dispositivo.
Los técnicos tendrán que revisar y aprobar o denegar los parches manuales con regularidad para aprovechar las ventajas de este perfil.
Aprobaciones de actualizaciones de seguridad | Estado de aprobación |
Bajo | Manual |
Moderado | Manual |
Importante | Aprobar |
Crítico | Aprobar |
Aprobaciones | Importante | Opcional |
Actualizaciones críticas | Aprobar | Manual |
Actualizaciones periódicas | Aprobar | Manual |
Rollups de actualizaciones | Aprobar | Manual |
Paquetes de servicio | Aprobar | Manual |
Paquetes de definición | Aprobar | Manual |
Aprobaciones Avanzadas | ||
Unidades | Habilitado | Manual |
Actualizaciones de características | Habilitado | Manual |
Bajo riesgo, bajo perfil de automatización
Este perfil también equilibra la automatización con la intervención manual.
En este caso, los parches opcionales se rechazan automáticamente, mientras que las actualizaciones de seguridad e importantes requieren aprobación manual.
Este perfil intenta automatizar los parches menos importantes y minimizar los riesgos operativos derivados de los parches problemáticos.
Los socios de NinjaOne que utilicen este perfil deberán revisar y aprobar periódicamente los parches pendientes para garantizar la seguridad de los endpoints.
Aprobaciones de actualizaciones de seguridad | Estado de aprobación |
Bajo | Manual |
Moderado | Manual |
Importante | Manual |
Crítico | Manual |
Aprobaciones | Importante | Opcional |
Actualizaciones críticas | Manual | Rechazar |
Actualizaciones periódicas | Manual | Rechazar |
Rollups de actualizaciones | Manual | Rechazar |
Paquetes de servicio | Manual | Rechazar |
Paquetes de definición | Manual | Rechazar |
AprobacionesAvanzadas | ||
Unidades | Habilitado | Manual |
Actualizaciones de características | Habilitado | Manual |
Perfil manual completo
El perfil completo de aplicación manual de parches permite a los técnicos controlar totalmente qué parches se aplican y cuáles no.
Todos los parches disponibles para un dispositivo figurarán como pendientes hasta que se aprueben o denieguen.
Aunque sigue siendo mucho más eficiente que la aplicación tradicional de parches, este perfil será el más laborioso de NinjaOne, y podría exponer a los usuarios a riesgos tanto de seguridad como operativos si los parches no se aplican con la suficiente rapidez.
Los usuarios que utilicen este perfil deben tener SOP para comprobar regularmente su cadencia de parcheado.
Aprobaciones de actualizaciones de seguridad | Estado de aprobación |
Bajo | Manual |
Moderado | Manual |
Importante | Manual |
Crítico | Manual |
Aprobaciones | Importante | Opcional |
Actualizaciones críticas | Manual | Manual |
Actualizaciones periódicas | Manual | Manual |
Rollups de actualizaciones | Manual | Manual |
Paquetes de servicio | Manual | Manual |
Paquetes de definición | Manual | Manual |
Aprobaciones Avanzadas | ||
Unidades | Habilitado | Manual |
Actualizaciones de características | Habilitado | Manual |
Comportamiento de reinicio
Para completar las actualizaciones de Windows, a menudo es necesario reiniciar los dispositivos.
Conseguir que los usuarios finales reinicien su dispositivo es casi imposible, por lo que NinjaOne te permite automatizar este proceso.
Las políticas de NinjaOne permiten aplicar diferentes acciones y programaciones para cuando un usuario está o no está conectado.
Usuario conectado
Acciones de reinicio
La mayoría de los usuarios de NinjaOne no utilizarán políticas para forzar un reinicio en los usuarios finales después de parchear, sino que pedirán al usuario que reinicie la máquina. Muchas pólizas no se reinician automáticamente. Un pequeño porcentaje de las políticas obligan a reiniciar.
Acción | Descripción | Frecuencia |
Prompt User | Solicitar al usuario que reinicie hasta que se acepte el reinicio | 65% |
Notificar al usuario | Notificar al usuario que reiniciar después de un período de tiempo | 10% |
Reinicio automático | Reinicio automático tras un periodo de tiempo | 4% |
Ninguno | No hacer nada | 20% |
Reinicio / Tiempo de espera Prompt
El periodo de tiempo más común entre avisos, entre el aviso y el reinicio, o entre la finalización del parche y el reinicio es de 5 minutos. A medida que la acción de reinicio se vuelve más agresiva, también lo hace la línea temporal.
Duración | Prompt | Notificar | Reinicio automático |
5 minutos | 65% | 41% | 76% |
5 – 59 | 9% | 37% | 18% |
60 – 239 | 14% | 13% | 4% |
240+ | 12% | 9% | 6% |
Usuario no conectado
Acciones de reinicio
La mayoría de las políticas de NinjaOne reinician los dispositivos después de la aplicación de parches de forma programada. Como no hay ningún usuario conectado, los reinicios inmediatos son más habituales que cuando los usuarios están conectados.
Acción | Descripción | Frecuencia |
Reiniciar en horario | Notificar al usuario que reiniciar después de un período de tiempo | 67% |
Reiniciar inmediatamente | Reiniciar el dispositivo inmediatamente | 18% |
Ninguno | No hacer nada | 14% |
Programación de reinicio (semanal)
El 12% de las políticas que se reinician diariamente lo harán en los siguientes horarios:
Dom | Lun | Mar | Miér | Jue | Vie | Sáb |
46% | 5% | 5% | 3% | 5% | 8% | 27% |
Programación de reinicio (diario)
El 85% de las políticas que se reinician diariamente lo harán en los siguientes horarios:
00:00 – 8:50 | 9:00 – 16:59 | 17:00 – 23:59 | 18:00 – 23:59 |
19% | 2% | 57% | 22% |