Descargar e instalar parches

Para instalar los parches y actualizaciones, Cytomic Patch utiliza la infraestructura de tareas implementada en Advanced EDR.

Requisitos de funcionamiento

La instalación de parches publicados por Microsoft utiliza el servicio Windows Update en el equipo del usuario o servidor. Sin embargo, para no solapar la actividad de Cytomic Patch con la del servicio Windows Updates, es recomendable que la configuración de éste se establezca de forma que no tenga actividad en el equipo.  Consulta Configuración general

Permisos necesarios

La cuenta de usuario utilizada para acceder a la consola web tiene que tener asignado el permiso Instalar, desinstalar y excluir parches a su rol. Para obtener más información sobre el sistema de permisos consulta Gestión de roles y permisos .

Descarga de parches y ahorro de ancho de banda

Antes de la instalación de un parche, es necesaria su descarga desde los servidores del proveedor de software. Esta descarga se produce de forma transparente e independiente en cada equipo cuando se lanza la tarea de instalación. Para minimizar el ancho de banda consumido se puede aprovechar la infraestructura de equipos caché instalada en la red del cliente.

Limitación de la descarga de parches a través de equipos caché y proxy

La descarga de los parches puede realizarse directamente desde Internet o también a través de un equipo caché o proxy de Advanced EDR. Consulta Configuración de las descargas mediante equipos caché y Configuración de listas de acceso a través de proxy.

Según el sistema operativo instalado en el equipo, hay limitaciones a la hora de utilizar un método de descarga u otro;

• Equipos con sistema operativo Windows o macOS: pueden descargar parches a través de equipos caché e Internet. No pueden descargar parches a través de proxy de Advanced EDR

• Equipos con sistema operativo Linux: utilizan el gestor de paquetes propio de la distribución para hacer la descarga de los parches desde Internet. No pueden descargar parches a través de equipos caché ni proxy de Advanced EDR.

Los equipos caché almacenan los parches durante un periodo máximo de 30 días, transcurrido el cual se eliminarán. Si un equipo solicita a un equipo caché la descarga de un parche y éste no lo tiene en su repositorio, el equipo solicitante dará un tiempo al equipo caché para que lo descargue. Este tiempo depende del tamaño del parche a descargar. Si no es posible la descarga, el equipo solicitante la iniciará de forma directa.

Una vez aplicados los parches en los equipos, éstos se borrarán del medio de almacenamiento donde residen.

Tipos de tareas de instalación parches

• Inmediatas (opción Instalar): instala el parche en el momento sin necesidad de completar toda la configuración de la tarea, pero no reinicia el equipo del usuario, aunque sea requisito para completar la instalación. Las tareas inmediatas inician la descarga de los parches necesarios en el momento en que éstas se crean, de forma que puede darse un alto consumo de ancho de banda si afectan a muchos equipos, o el volumen de la descarga es alto.

• Programadas (programar instalación): permite configurar todos los parámetros de la actualización de parches. Si varias tareas coinciden en el mismo momento de inicio se introduce un retardo aleatorio de hasta un máximo de 2 minutos para evitar el solapamiento de descargas y minimizar el consumo de ancho de banda.

Interrupción de las tareas de instalación de parches

Las tareas de instalación de parches pueden cancelarse si el proceso de instalación en el equipo no se ha iniciado todavía. Si la instalación ya ha comenzado no se podrá cancelar la tarea, ya que podría causar errores en los equipos.

Envío de parches según el sistema operativo del equipo

Aunque el administrador establezca como destinatario un equipo incompatible con el tipo de parche a instalar, el equipo solo recibirá los parches correspondientes a su sistema operativo.

Instalación de parches de sistema operativo en equipos macOS

Algunos parches de sistema operativo para equipos macOS fuerzan el reinicio del equipo para finalizar su instalación, independientemente de las opciones de reinicio seleccionadas en la configuración de las tareas de instalación de parches.

Estos parches incorporan soluciones, arreglos y mejoras del sistema operativo instalado, pero no suponen la actualización total del mismo a una versión mayor superior. Se distinguen porque incluyen el texto SoftwareUpdate en su nombre, visible en la ventana Parche detectado y en el listado Parches disponibles.

Mensajes de advertencia

Dado que la instalación de estos parches conlleva un reinicio automático imprescindible, el usuario y el administrador son advertidos de ello en los siguientes supuestos:

• Si el administrador selecciona alguno de estos parches en el listado de parches disponibles para crear una tarea rápida o una tarea programada, se mostrará un mensaje de advertencia. Si lo acepta, se lanzará la instalación (tarea rápida) o se accederá a la configuración de la tarea (tarea programada). Consulta Desde el listado Parches disponibles.

• Si el administrador al configurar la tarea selecciona macOS en Instalar parches de los siguientes productosse mostrará un mensaje advirtiendo del reinicio y preguntando si quiere incluir estos parches en la tarea. Por defecto, esta opción está desactivada. Consulta Configuración de una tarea de instalación de parches.

• En los equipos destinatarios de la tarea, se le mostrará al usuario un mensaje advirtiendo de que la instalación está en curso y que implica reinicio.

Instalación en equipos macOS con arquitectura Apple

En el caso de los equipos macOS con arquitectura Apple, para instalar parches de sistema operativo es necesario escribir las credenciales de Volume Owner.

• Si las credenciales son correctas: en la columna Instalación del listado Parches disponibles se mostrará Pendiente de reinicio. Cuando se complete la instalación del parche, el equipo se reiniciará automáticamente y el parche desaparecerá del listado.

• Si el usuario cancela la instalación: el equipo se mostrará junto a un código de error en la ventana de resultado de la tarea. Consulta Resultados de una tarea

Si la tarea de instalación para equipos macOS con arquitectura Apple incluye otros parches para cuya instalación no son necesarias credenciales, su instalación se llevará a cabo con normalidad.

Instalación en equipos macOS con arquitectura Intel

En este caso no es necesario escribir credenciales. En el equipo destinatario de la tarea se mostrará un mensaje advirtiendo de que la instalación del parche está en curso y de que cuando finalice se reiniciará el equipo.

Dado que no es posible posponer el reinicio automático, es muy recomendable salvar y cerrar los archivos que se están utilizando.

Acceso a la instalación de parches en la consola

Desde el listado Parches disponibles

• Selecciona el menú superior Estado.

• En la sección Mis listados del panel lateral, haz clic en Añadir y selecciona el listado Parches disponibles

• Utiliza las herramientas de filtrado para acotar la búsqueda.

• Selecciona las casillas de los equipos – parches a instalar.

• Para crear una tarea rápida, haz clic en Instalar en la barra superior de herramientas. Para crear una tarea programada, haz clic en Programar instalación. Para configurar una tarea programada consulta Configuración de una tarea de instalación de parches.

Si entre los parches elegidos para su instalación hay alguno de tipo sistema operativo para macOS que requiera reinicio automático, se mostrará un mensaje advirtiendo de ello. Consulta Instalación de parches de sistema operativo en equipos macOS

Desde el listado Parches disponibles por equipo

• Selecciona el menú superior Estado.

• En la sección Mis listados del panel lateral, haz clic en Añadir y selecciona el listado Parches disponibles por equipos

• Utiliza las herramientas de filtrado para acotar la búsqueda.

• Haz clic en el menú contextual asociado al parche. Se mostrará el listado Parches disponibles. Consulta Desde el listado Parches disponibles.

Desde el árbol de equipos

• Selecciona el menú superior Equipos y haz clic en la pestaña Carpetas del árbol de equipos situado en el panel izquierdo.

• Para instalar parches en un grupo de equipos haz clic en el menú de contexto del grupo y selecciona Visualizar parches disponibles. Se mostrará el listado Parches disponibles. Consulta Desde el listado Parches disponibles.

• Para programar la instalación de parches en un grupo de equipos haz clic en el menú de contexto del grupo y selecciona Programar instalación de parches. Se creará una nueva tarea de instalación de parches. Para configurarla consulta Configuración de una tarea de instalación de parches.

Desde el listado del árbol de equipos

• Selecciona el menú superior Equipos y haz clic en la pestaña Carpetas del árbol de equipos situado en el panel izquierdo.

• Selecciona el grupo de equipos y haz clic en las casillas de selección del listado de equipos.

• Para instalar parches, si has seleccionado un solo equipo haz clic en el menú de contexto asociado al equipo y selecciona Visualizar parches disponibles. Si has seleccionado varios, haz clic en Visualizar parches disponiblesen la barra superior de herramientas. Se mostrará el listado Parches disponibles. Consulta Desde el listado Parches disponibles.

• Para programar la instalación de grupos de parches, si has seleccionado un solo equipo haz clic en el menú de contexto asociado al equipo y selecciona Programar instalación de parches. Si has seleccionado varios, haz clic en Programar instalación de parchesen la barra superior de herramientas. Se creará una nueva tarea de instalación de parches. Para configurarla consulta Configuración de una tarea de instalación de parches.

Desde el menú superior Tareas

En el menú superior selecciona Tareas, haz clic en Añadir tarea y selecciona Instalar parches.

Configuración de una tarea de instalación de parches

• Escribe la información general de la tarea en los campos Nombre y Descripción.

• Si la tarea no tiene destinatarios activados, haz clic en el enlace Destinatarios (No se ha asignado a ningún equipo) para abrir una ventana nueva donde seleccionar los equipos que recibirán la tarea configurada.

• Para acceder a la ventana de selección de equipos, es necesario guardar previamente la tarea. Si la tarea no ha sido guardada, se mostrará una ventana de advertencia.

• Si quieres enviar la tarea de instalación de parches solo a los equipos de prueba que has designado en la red, desplaza el cursor deslizante Ejecutar la tarea solo en equipos de prueba. El rol de equipo de prueba se asigna en la configuración de Cytomic Patch asignada al equipo. Consulta Funcionalidades de Cytomic Patch.

• Selecciona el tipo de equipos que recibirán la tarea: Estación, Portátil o Servidor.

• Haz clic en el botón para agregar equipos individuales o grupos de equipos, y en el botón para eliminarlos.

• En la ventana Editar tarea, haz clic en el botón Ver equipos para verificar los equipos que recibirán la tarea.

• Indica la programación horaria de la tarea. Se establece mediante dos parámetros:

  • Empieza: marca el inicio de la tarea.

  • Valor	Descripción
    Lo antes posible (activado)	La tarea se lanza en el momento si el equipo está disponible (encendido y accesible desde la nube), o cuando se encuentre disponible dentro del margen definido en el desplegable Equipo apagado.
    Lo antes posible (desactivado)	La tarea se lanza en la fecha seleccionada en el calendario, indicando si se tiene en cuenta la hora del equipo o la hora del servidor Advanced EDR.
    Equipo apagado	Si el equipo está apagado o inaccesible, la tarea no se podrá lanzar. El sistema de programación de tareas permite establecer la caducidad de la tarea en función del intervalo de tiempo definido por el administrador, desde 0 (la tarea caduca de forma inmediata si el equipo no está disponible) a infinito (la tarea siempre está activa y se espera a que el equipo esté disponible de forma indefinida): No ejecutar: la tarea se cancela si en el momento del lanzamiento el equipo no está encendido o no es accesible. Dar un margen de: define un intervalo de tiempo dentro del cual, si el equipo inicialmente no estaba disponible y vuelve a estarlo, la tarea será lanzada. Ejecutar cuando se encienda: no establece ningún intervalo de tiempo sino que se espera de forma indefinida a que el equipo esté accesible para lanzar la tarea.
    Comportamiento del inicio de la tarea si el equipo no está disponible

  • Frecuencia: establece un intervalo de repetición cada día, semana, mes o año tomando como referencia la fecha indicada en el campo Empieza:

  • Valor	Descripción
    Ejecución única	La tarea se ejecuta de forma puntual a la hora indicada en el campo Empieza.
    Diaria	La tarea se ejecuta todos los días a la hora indicada en el campo Empieza.
    Semanal	Haz clic en las casillas de selección para establecer la ejecución de la tarea en los días de la semana elegidos, a la hora indicada en el campo Empieza.
    Mensual	Elige una de las opciones: Ejecutar la tarea un día concreto de cada mes. Si se eligen los días 29, 30 o 31 y el mes no tiene esos días, la tarea se ejecuta el último día del mes. Ejecutar la tarea el primer, segundo, tercer, cuarto o ultima día de la semana de cada mes.
    Configuración de la frecuencia de la tarea

• En Parches de seguridad indica el nivel de criticidad de los parches a instalar.

• En Instalar parches de los siguiente productos, el árbol de productos aparece ordenado por sistemas operativos. Cada sistema operativo contiene los parches disponibles para él. Indica qué productos recibirán parches utilizando las casillas de selección en el árbol de productos.

  Si entre los parches elegidos para su instalación hay alguno de tipo sistema operativo para macOS que requiera reinicio automático, se mostrará un mensaje para que selecciones si deseas incluir este tipo de parches en la tarea. Consulta Instalación de parches de sistema operativo en equipos macOS

  Dado que el árbol de productos es un recurso vivo que cambia a lo largo del tiempo, ten en cuenta las siguientes reglas al seleccionar los elementos del árbol:

  • Al seleccionar un nodo se marcarán todos sus nodos hijos y sus descendientes. Por ejemplo, al seleccionar Adobe se seleccionarán todos los nodos que quedan por debajo de este nodo.

  • Si seleccionas un nodo y posteriormente Cytomic Patch agrega de forma automática un nuevo nodo hijo en la rama seleccionada, este nodo también quedará seleccionado de forma automática. Por ejemplo, si seleccionas el nodo Adobe se seleccionarán todos sus nodos hijos, y si posteriormente dentro de Adobe Cytomic Patch agrega un nuevo nodo (un nuevo programa o familia de programas), éste quedará seleccionado de forma automática. Por el contrario, si se seleccionan manualmente algunos nodos hijo individuales de Adobe y Cytomic Patch añade un nuevo nodo hijo, éste no se seleccionará de forma automática.

  • Los programas a parchear se evalúan en el momento en que se ejecuta la tarea, no en el momento de su creación o configuración. Esto implica que si Cytomic Patch agrega una nueva entrada en el árbol después de que el administrador haya configurado una tarea de parcheo, y esta entrada es seleccionada de forma automática según la regla del punto anterior, se instalarán los parches asociados a ese nuevo programa en el momento en que se ejecute la tarea.

• Establece las opciones de reinicio en el caso de que sea un requisito reiniciar el puesto de trabajo o servidor para completar la instalación del parche:

  • No reiniciar automáticamente: al terminar la tarea de instalación de parches se le muestra al usuario del equipo una ventana con las opciones Reiniciar ahora y Recordar más tarde. En caso de elegir ésta última, se volverá a mostrar a las 24 horas siguientes.

    A los equipos con sistema operativo Linux sin entorno gráfico, se les enviará un mensaje informando de la necesidad de reiniciar para completar la instalación del parche.

  • Reiniciar automáticamente solo las estaciones de trabajo: elige el intervalo en el que se reiniciarán los equipos de tipo estación de trabajo. Al cumplirse el tiempo establecido, el agente mostrará al usuario del equipo una ventana de aviso con el botón Reiniciar ahora y una cuenta atrás indicando el tiempo restante para el reinicio.

    A los equipos con sistema operativo Linux sin entorno gráfico, se les enviará un mensaje concretando el tiempo restante para el reinicio.

    Conforme el momento de reinicio se vaya acercando, el usuario dejará de poder cerrar la ventana de aviso. Cada 30 minutos, la pantalla se mostrará en primer plano para recordarle al usuario la necesidad del reinicio. Cuando la cuenta atrás se haya completado, el equipo se reiniciará automáticamente.

  • Reiniciar automáticamente solo los servidores: el comportamiento es idéntico a la opción Reiniciar automáticamente solo las estaciones de trabajo pero aplica solo a equipos de tipo servidor.

  • Reiniciar automáticamente tanto las estaciones de trabajo como los servidores: el comportamiento es idéntico a la opción Reiniciar automáticamente solo las estaciones de trabajo pero aplica tanto a estaciones de trabajo como a servidores.

• Haz clic en Guardar. La tarea aparecerá en el listado de tareas configuradas, pero mostrará la etiqueta Sin publicar, indicando que no está activa.

• Haz clic en el enlace Publicar para introducir la tarea en el programador de Advanced EDR, encargado de marcar el momento en que se lanzan las tareas según su configuración.

Cuando dos o más tareas de instalación de parches que requieren reinicio se solapan en el tiempo, Advanced EDR sigue la estrategia de reiniciar el equipo cuando así lo indique la tarea que tenga establecido el intervalo de reinicio más cercano en el tiempo. De esta forma se evita posponer el reinicio del equipo indefinidamente si se encadenan sucesivas tareas de instalación de parches.

Conversión automática de la frecuencia de ejecución e intervalo de reinicio

Las versiones anteriores de Advanced EDR que no soporten la característica de determinar el intervalo de reinicio, lo establecen de forma automática en 4 horas.

Si alguno de los equipos del parque informático tiene instalada una versión anterior del software de seguridad, es posible que no sea capaz de interpretar correctamente las configuraciones de frecuencia establecidas por el administrador en la consola web. En este caso, cada equipo establecerá las siguientes correspondencias para la configuración de la frecuencia en las tareas a ejecutar:

• Tareas diarias: sin cambios.

• Tareas semanales: se omiten los días elegidos por el administrador. La primera ejecución se realiza en la fecha indicada en Empieza y, a partir de este punto, se ejecutará nuevamente cada 7 días.

• Tareas mensuales: se omiten los días elegidos por el administrador. La primera ejecución se realiza en la fecha indicada en Empieza y, a partir de este punto, se ejecutará nuevamente cada 30 días.