Procedimientos recomendados para las actualizaciones de software en Configuration Manager

Se aplica a: Configuration Manager (rama actual)

En este artículo se incluyen los procedimientos recomendados para las actualizaciones de software en Configuration Manager. La información se ordena en procedimientos recomendados para la instalación inicial y para las operaciones en curso.

Procedimientos recomendados de instalación

Use los siguientes procedimientos recomendados al instalar actualizaciones de software en Configuration Manager.

Uso de una base de datos WSUS compartida para puntos de actualización de software

Al instalar más de un punto de actualización de software en un sitio primario, use la misma base de datos WSUS para cada punto de actualización de software en el mismo bosque de Active Directory. Si comparte la misma base de datos, mitiga significativamente, pero no elimina por completo, el impacto en el rendimiento del cliente y la red que podría experimentar cuando los clientes cambian a un nuevo punto de actualización de software. Todavía se produce un examen delta cuando un cliente cambia a un nuevo punto de actualización de software que comparte una base de datos con el punto de actualización de software anterior, pero el examen es mucho menor que si el servidor WSUS tiene su propia base de datos. Para obtener más información sobre el cambio de punto de actualización de software, consulte Cambio de punto de actualización de software.

Importante

Comparta también las carpetas de contenido de WSUS locales cuando use una base de datos WSUS compartida para puntos de actualización de software.

Para obtener más información sobre cómo compartir la base de datos WSUS, consulte las siguientes entradas de blog:

• Implementación de un SUSDB compartido para Configuration Manager puntos de actualización de software

• Consideraciones para varias instancias de WSUS que comparten una base de datos de contenido al usar Configuration Manager.

Cuando Configuration Manager y WSUS usan la misma SQL Server, configure una para usar una instancia con nombre y la otra para usar la instancia predeterminada.

Cuando las bases de datos Configuration Manager y WSUS comparten la misma instancia de SQL Server, no puede determinar fácilmente el uso de recursos entre las dos aplicaciones. Use diferentes instancias de SQL Server para Configuration Manager y WSUS. Esta configuración facilita la solución y diagnóstico de problemas de uso de recursos que pueden producirse para cada aplicación.

Especificar la configuración "Almacenar actualizaciones localmente"

Al instalar WSUS, seleccione la configuración de Almacenar actualizaciones localmente. Esta configuración hace que WSUS descargue los términos de licencia asociados a las actualizaciones de software. Descarga los términos durante el proceso de sincronización y los almacena en la unidad de disco duro local para el servidor WSUS. Si no selecciona esta configuración, es posible que los equipos cliente no cumplan los exámenes de cumplimiento en busca de actualizaciones de software que tengan términos de licencia. El componente Administrador de sincronización de WSUS del punto de actualización de software comprueba que esta configuración está habilitada cada 60 minutos, de forma predeterminada.

Configuración de los puntos de actualización de software para usar TLS/SSL

La configuración de servidores de Windows Server Update Services (WSUS) y sus puntos de actualización de software correspondientes para usar TLS/SSL puede reducir la capacidad de un posible atacante de poner en peligro de forma remota un cliente y elevar los privilegios. Para asegurarse de que se han implementado los mejores protocolos de seguridad, se recomienda encarecidamente usar el protocolo TLS/SSL para ayudar a proteger la infraestructura de actualización de software. Para obtener más información, consulte el tutorial Configurar un punto de actualización de software para usar TLS/SSL con un certificado PKI.

Procedimientos recomendados operativos

Use los siguientes procedimientos recomendados al usar actualizaciones de software:

Limitar las actualizaciones de software a 1000 en una única implementación de actualización de software

Limite el número de actualizaciones de software a 1000 en cada implementación de actualizaciones de software. Al crear una regla de implementación automática, compruebe que los criterios especificados no dan lugar a más de 1000 actualizaciones de software. Si implementa manualmente las actualizaciones de software, no seleccione más de 1000 actualizaciones.

Cree un nuevo grupo de actualizaciones de software cada vez que se ejecute una ADR para "Patch Tuesday" y para implementaciones generales.

Hay un límite de 1000 actualizaciones de software en una implementación. Al crear una regla de implementación automática (ADR), se especifica si se debe usar un grupo de actualizaciones existente o crear un nuevo grupo de actualizaciones cada vez que se ejecute la regla. Si especifica criterios en una ADR que da como resultado varias actualizaciones de software y la regla se ejecuta según una programación periódica, cree un nuevo grupo de actualizaciones de software cada vez que se ejecute la regla. Este comportamiento impide que la implementación supere el límite de 1000 actualizaciones de software por implementación.

Uso de un grupo de actualizaciones de software existente para las ADR para las actualizaciones de definiciones de Endpoint Protection

Cuando use una ADR para implementar actualizaciones de definiciones de Endpoint Protection con frecuencia, use siempre un grupo de actualizaciones de software existente. De lo contrario, la ADR podría crear cientos de grupos de actualizaciones de software a lo largo del tiempo. Los publicadores de actualizaciones de definiciones suelen establecer que las actualizaciones de definición expiren cuando se reemplazan por cuatro actualizaciones más recientes. Por lo tanto, el grupo de actualizaciones de software creado por la ADR nunca contiene más de cuatro actualizaciones de definición para el publicador: una activa y tres reemplazadas.

Consulta también

Planificar las actualizaciones de software