Descargar e instalar parches

La cuenta de usuario que utilizas para acceder a la consola web debe tener asignado el permiso Instalar, desinstalar y excluir parches a su rol. Para obtener información sobre el sistema de permisos, consulta Gestión de roles y permisos .

Las tareas de Cytomic Patch establecen la franja horaria en la que se instalará la lista de parches descubiertos, las condiciones que se tienen que cumplir para su instalación y el software que finalmente será parcheado. Las tareas pueden ser:

  • Inmediatas (opción Instalar): instalan los parches en el momento que las defines, sin necesidad de completar toda la configuración de la tarea. Las tareas inmediatas no reinician el equipo del usuario, aunque sea requisito para completar la instalación de los parches. Ten en cuenta que estas tareas inician la descarga de los parches en el momento en que las creas, de modo que pueden generar un alto consumo de ancho de banda puntualmente.

  • Programadas (programar instalación): establecen todos los parámetros de la actualización de parches. Si varias tareas coinciden en el mismo momento de inicio, Cytomic Patch introduce un retardo aleatorio de un máximo de 2 minutos para evitar el solapamiento de descargas.

Algunos parches requieren el servicio Windows Update para instalarse. Para que Cytomic Patch pueda usar de forma exclusiva el servicio, desactiva Windows Updates en la configuración de Cytomic Patch.  Consulta Configurar el descubrimiento de parches

Aunque establezcas como destinatario un equipo incompatible con el tipo de parche que vas a instalar, el equipo solo recibirá los parches correspondientes a su sistema operativo.

Este tema trata:

Ahorro de ancho de banda al descargar parches

Para minimizar el ancho de banda consumido en la descarga de parches, asigna el rol caché a los equipos de la red o utiliza proxies. Consulta Configuración de las descargas mediante equipos caché y Configuración de listas de acceso a través de proxy.

Los equipos con el rol de caché almacenan los parches durante un periodo máximo de 30 días, transcurrido el cual los eliminarán. Si un equipo solicita a un equipo caché descargar un parche y éste no lo tiene en su repositorio, el equipo solicitante esperará un tiempo a que el equipo caché complete la descarga. Si no es posible la descarga, el equipo solicitante la iniciará de forma directa.

Los parches se borran del medio de almacenamiento donde residen una vez aplicados.

Limitación de la descarga de parches a través de equipos caché y proxy

  • Equipos con sistema operativo Windows o macOS: descargan parches desde equipos con el rol de caché y desde Internet. No descargan parches desde equipos con el rol de proxy Advanced EPDR.

  • Equipos con sistema operativo Linux: utilizan el gestor de paquetes propio de la distribución para descargar los parches desde Internet. No descargan parches desde equipos con el rol de caché ni proxy de Advanced EPDR.

Secuenciar parches

Para evitar o posponer la instalación de parches problemáticos en los equipos que administras, configura tareas programada que establecen las condiciones de instalación:

  • Parche publicado hace más de X días: retrasa la instalación de parches a un número de días desde su publicación.

  • Parche instalado correctamente en un mínimo de X endpoints: retrasa la instalación de parches hasta que se ha instalado en un número de equipos de la red.

  • La instalación del parche ha fallado en menos de X endpoints: instala los parches si su despliegue no ha fallado previamente en un número de equipos de la red.

  • Parche instalado correctamente en el primer endpoint durante al menos X dias: instala el parche si la primera instalación correcta fue hace un número de días.

Secuenciar tareas de instalación de parches con equipos de prueba

Crea dos tareas independientes, una para cada tipo de equipo:

  • Tarea para equipos de prueba: tarea sin condiciones para probar la instalación de parches que habilitará o no la ejecución de la segunda tarea. Para designar equipos de prueba, consulta Configurar una tarea de descarga e instalación de parches.

  • Tarea para equipos de uso normal: tarea con condiciones asignadas. Dependiendo del resultado de la tarea para los equipos de prueba, esta tarea instalará o no los parches en los equipos de uso normal.

Secuenciar tareas de instalación de parches sin equipos de prueba

Crea una tarea para los equipos de uso normal con las condiciones que te interesan. Ten en cuenta que algunas condiciones no se podrán cumplir nunca, a no ser que ejecutes instalaciones manuales de parches. Por ejemplo, la condición Parche instalado correctamente en un mínimo de X endpoints nunca se cumplirá si no hay una tarea automática que instale los parches sobre un grupo de equipos, o si no ejecutas instalaciones inmediatas con éxito sobre un número suficiente de equipos.

Instalar parches de sistema operativo en equipos macOS

Los parches de tipo SoftwareUpdate fuerzan el reinicio del equipo para finalizar su instalación, independientemente de las opciones de reinicio que has seleccionado en la configuración de las tareas de instalación de parches. Estos parches incluyen el texto SoftwareUpdate en su nombre, visible en la ventana Parche detectado y en el listado Parches disponibles. Consulta Parches disponibles.

Cytomic Patch advierte de la instalación de un parche de tipo SoftwareUpdate:

  • Si seleccionas un parche SoftwareUpdate en un listado, la consola Web mostrará un mensaje de advertencia cuando crees la tarea.

  • Si en una tarea de instalación seleccionas parches macOS de tipo SoftwareUpdate, la consola Web mostrará un mensaje que advierte del reinicio y pregunta si quieres incluir estos parches en la tarea. Consulta Configurar una tarea de descarga e instalación de parches.

  • En los equipos destinatarios del parche, software de seguridad mostrará al usuario un mensaje advirtiendo de que la instalación está en curso y que implicará un reinicio cuando termine.

Instalación en equipos macOS con arquitectura Apple Silicon

En el caso de los equipos macOS con arquitectura Apple Silicon(con microprocesadores M1, M2, M3...), para instalar parches SoftwareUpdate es necesario escribir las credenciales de la cuenta Volume Owner.

  • Si las credenciales son correctas: en la columna Instalación del listado Parches disponibles se mostrará Pendiente de reinicio. Cuando se complete la instalación del parche, el equipo se reiniciará automáticamente y el parche desaparecerá del listado.

  • Si el usuario cancela la instalación: el equipo se mostrará junto a un código de error en la ventana de resultado de la tarea. Consulta Resultados de una tarea

Instalación en equipos macOS con arquitectura Intel

No requiere escribir credenciales. En el equipo mostrará un mensaje que advierte de la instalación del parche y del reinicio cuando finalice.

Ya que no es posible posponer este reinicio automático, es muy recomendable que el usuario salve los archivos abiertos.

Establecer los destinatarios de una tarea de instalación de parches

Buscar parches para instalar en equipos específicos

Listado Parches disponibles por equipos

Para crear una tarea de instalación de parches con algunos de los parches descubiertos:

  • Selecciona el menú superior Estado.

  • En la sección MIS LISTADOS del panel lateral, haz clic en el enlace Añadir. Se abrirá la ventana Añadir listado.

  • En la sección Gestión de parches, selecciona el listado Parches disponibles por equipos.

  • Utiliza las herramientas de filtrado para acotar la búsqueda de parches. Consulta Herramienta de filtrado.

  • Haz clic en el menú de contexto junto al parche de tu interés. Se abrirá un menú de contexto.

  • Selecciona Visualizar Equipos con el parche disponible. Se abrirá el listado Parches disponibles filtrado por los parches disponibles para instalar en el equipo.

  • Selecciona las casillas junto a los parches que quieres instalar. Se mostrará la barra superior de herramientas.

  • Para crear una tarea rápida:

    • Selecciona Instalar en la barra superior de herramientas. Se abrirá un cuadro de diálogo de advertencia.

    • Haz clic en Aceptar. Se creará una nueva tarea de instalación de parches inmediata.

  • Para crear una tarea programada:

Buscar equipos para instalar específicos

Para crear una tarea de instalación de parches con algunos de los parches descubiertos en equipos que pertenecen a un grupo:

Árbol de carpetas para instalar parches

  • En el menú superior, selecciona Equipos. Se abrirá el listado de equipos.

  • En el panel lateral, haz clic en la pestaña . Se mostrarán los grupos de tu organización.

  • Haz clic en el icono junto al grupo de tu interés. Se abrirá un menú de contexto.

  • Selecciona Visualizar parches disponibles. Se mostrará el listado Parches disponiblescon el listado de equipos que pertenecen al grupo.

  • Utiliza las herramientas de filtrado para acotar la búsqueda de parches. Consulta Herramienta de filtrado.

  • Selecciona la casilla junto a los equipos que quieres instalar. Se mostrará la barra superior de herramientas.

  • Para crear una tarea rápida:

    • Selecciona Instalar en la barra superior de herramientas. Se abrirá un cuadro de diálogo de advertencia.

    • Haz clic en Aceptar. Se creará una nueva tarea de instalación de parches inmediata.

  • Para crear una tarea programada:

Para crear una tarea de instalación de parches con algunos de los parches descubiertos en algunos equipos específicos:

Árbol de carpetas para instalar parches

  • En el menú superior, selecciona Equipos. Se abrirá el listado de equipos.

  • En el panel lateral, haz clic en la pestaña . Se mostrarán los grupos de tu organización.

  • Selecciona el grupo de equipos. El listado se actualizará con los equipos que pertenecen al grupo.

  • Selecciona la casilla junto al equipo que quieres instalar parches.

  • Haz clic en el icono junto al equipo. Se abrirá un menú de contexto.

  • Selecciona Visualizar parches disponibles. Se abrirá el listado Parches disponibles con los parches disponibles para el equipo.

  • Utiliza las herramientas de filtrado para acotar la búsqueda de parches. Consulta Herramienta de filtrado.

  • Selecciona las casillas junto a los parches quieres instalar. Se mostrará la barra superior de herramientas.

  • Para crear una tarea rápida:

    • Selecciona Instalar en la barra superior de herramientas. Se abrirá un cuadro de diálogo de advertencia.

    • Haz clic en Aceptar. Se creará una nueva tarea de instalación de parches inmediata.

  • Para crear una tarea programada:

Instalar todos los parches descubiertos en equipos

Para crear una tarea que instale automáticamente todos los parches descubiertos en los equipos que pertenecen a un grupo:

Árbol de carpetas para instalar parches

  • En el menú superior, selecciona Equipos. Se abrirá el listado de equipos.

  • En el panel lateral, haz clic en la pestaña . Se mostrarán los grupos de tu organización.

  • Haz clic en el icono junto al grupo de tu interés. Se abrirá un menú de contexto.

  • Selecciona Programar instalación de parches.... Se abrirá la ventana Editar tarea con el grupo elegido como destinatario. Consulta Configurar una tarea de descarga e instalación de parches.

Para crear una tarea que instale automáticamente todos los parches descubiertos en equipos específicos:

Listado de carpetas para instalar parches

  • En el menú superior, selecciona Equipos. Se abrirá el listado de equipos.

  • En el panel lateral, haz clic en la pestaña . Se mostrarán los grupos de tu organización.

  • Selecciona el grupo de equipos de tu interés. El listado se actualizará con los equipos que pertenecen al grupo.

  • Selecciona las casillas junto a los equipos quieres instalar los parches descubiertos. Se mostrará la barra superior de herramientas.

  • Haz clic en Programar instalación... . Se abrirá un cuadro de diálogo de advertencia.

  • Haz clic en Aceptar. Se abrirá la ventana Editar tarea con los grupos elegidos como destinatarios. Consulta Configurar una tarea de descarga e instalación de parches.

Para crear una tarea que instale automáticamente todos los parches descubiertos sin especificar los equipos:

Crear una tarea para instalar parches

Configurar una tarea de descarga e instalación de parches

La configuración de la tarea establece cuando se inicia la descarga de parches en el equipo y, si es necesario, cuando lo reiniciará para aplicarlos:

  • Escribe el Nombre y Descripción en las cajas de texto.

  • Para asignar o modificar los destinatarios de la tarea:

    • haz clic en el enlace del apartado Destinatarios. Se abrirá la ventana Destinatarios.

  • Si la tarea no ha sido previamente guardada, se mostrará una ventana de advertencia. Haz clic en Aceptar.

    • Para enviar la tarea de instalación de parches únicamente a los equipos de prueba que has designado en la red, haz clic en el botón de alternancia Ejecutar la tarea solo en equipos de prueba.

    • Selecciona el tipo de equipos que recibirán la tarea: Estación, Portátil o Servidor.

    • Para agregar destinatarios (equipos individuales o grupos de equipos), haz clic en el botón .

    • Para eliminar destinatarios, haz clic en el icono .

    • Haz clic en el icono . Se mostrará la ventana Editar tarea.

  • Para verificar los equipos que recibirán la tarea, haz clic en el botón Ver equipos. Se abrirá un listado con los equipos que recibirán la tarea.

  • Configura la programación horaria de la tarea:

    • Empieza: marca el inicio de la tarea.

    • Valor Descripción

      Lo antes posible (activado)

      La tarea se lanza en el momento si el equipo está disponible (encendido y accesible desde la nube).

      Lo antes posible (desactivado)

      La tarea se lanza en la fecha y hora seleccionada en el calendario. Selecciona la casilla para especificar la Hora local del dispositivo.

      Equipo apagado

      Si el equipo está apagado o es inaccesible, la tarea no se ejecutará. En este caso puedes establecer la caducidad de la tarea:

      • No ejecutar: la tarea se cancela si en el momento de su ejecución el equipo no está encendido o no es accesible.

      • Dar un margen de: define un intervalo para ejecutar la tarea si el equipo vuelve a estar disponible.

      • Ejecutar cuando se encienda: espera de forma indefinida a que el equipo esté accesible para ejecutar la tarea.

      Comportamiento del inicio de la tarea si el equipo no está disponible

    • Frecuencia: selecciona en la lista desplegable el intervalo de repetición de la tarea:

    • Valor Descripción

      Ejecución única

      La tarea se ejecuta a la hora indicada en la sección Empieza.

      Diaria

      La tarea se ejecuta todos los días a la hora indicada la sección Empieza.

      Semanal

      Selecciona las casillas junto a los días de la semana en los que se ejecutará la tarea, a la hora indicada en la sección Empieza.

      Mensual

      Haz clic en el botón de radio para:

      • Ejecutar la tarea un día concreto de cada mes. Si eliges los días 29, 30 o 31 y el mes no tiene esos días, la tarea se ejecutará el último día del mes.

      • Ejecutar la tarea el primer, segundo, tercer, cuarto o ultima día de la semana de cada mes.

      Configuración de la frecuencia de la tarea

  • En Parches de seguridad indica el nivel de criticidad de los parches que quieres instalar.

  • En Instalar parches de los siguiente productos, el árbol de productos muestra los programas que Cytomic Patch parchea, ordenados por sistema operativo. Para indicar qué productos recibirán parches, selecciona las casillas junto al producto que quieres parchear.

    El árbol de productos es un recurso que cambia a lo largo del tiempo sin aviso. Si seleccionas un nodo, se marcarán todos sus nodos hijos y sus descendientes, y si posteriormente Cytomic Patch agrega de forma automática un nuevo nodo hijo en la rama seleccionada, este nodo también quedará seleccionado de forma automática.
    El árbol de productos se evalúa en el momento en que se ejecuta la tarea, no en el momento en que se crea. Si Cytomic Patch agrega una nueva entrada después de configurar una tarea de parcheo, y la entrada se selecciona automáticamente, la tarea instalará los parches asociados a ese nuevo programa cuando se ejecute.

  • Establece las opciones de reinicio si la instalación del parche lo requiere:

    • No reiniciar automáticamente: al terminar la tarea de instalación de parches se le muestra al usuario una ventana con las opciones Reiniciar ahora y Recordar más tarde. Si elige Recordar más tarde, se volverá a mostrar a las 24 horas siguientes.

      A los equipos con sistema operativo Linux sin entorno gráfico, se les enviará un mensaje informando de la necesidad de reiniciar para completar la instalación del parche.

    • Reiniciar automáticamente: consulta Reiniciar automáticamente el equipo

  • Haz clic en Guardar. La tarea aparecerá en el listado de tareas configuradas, pero mostrará la etiqueta Sin publicar, indicando que no está activa.

  • Haz clic en el enlace Publicar. La tarea se añadirá al programador de Advanced EPDR.

Cuando dos o más tareas de instalación de parches que requieren reinicio se solapan en el tiempo, Advanced EPDR reiniciará el equipo cuando lo indique la tarea que tenga establecido el intervalo más cercano para evitar posponer el reinicio indefinidamente si se encadenan varias tareas de instalación de parches.

Reiniciar automáticamente el equipo

Para reiniciar automáticamente el equipo si alguno de los parches descargados lo requiere:

  • Selecciona en la lista desplegable el tipo de equipos que se reiniciarán:

    • Reiniciar automáticamente solo las estaciones de trabajo: el administrador deberá reiniciar manualmente los servidores.

    • Reiniciar automáticamente solo los servidores: el usuario deberá reiniciar manualmente las estaciones de trabajo.

    • Reiniciar automáticamente tanto las estaciones de trabajo como los servidores: los servidores y las estaciones de trabajo se reiniciaran automáticamente.

  • Para establecer un intervalo de reinicio a partir del momento en que el equipo finaliza la descarga de parches:

    • Selecciona Ofrecer un margen de tiempo antes de forzar el reinicio.

    • En el desplegable, selecciona el tiempo que transcurrirá entre la finalización de la descarga y el reinicio.

    • Conforme se acerque el momento de reinicio, el software de seguridad mostrará un aviso. Si el sistema operativo utiliza un entorno de ventanas, el aviso incluirá el botón Reiniciar ahora. Cuanto más se acerque el momento del reinicio automático, el mensaje se mostrará más frecuentemente y en primer plano sin posibilidad de minimizarlo.

  • Para reiniciar el equipo en el intervalo configurado en la ventana de mantenimiento asignada al equipo, selecciona Reiniciar solo durante las ventanas de mantenimiento definidas. Consulta Configuración de Ventanas de mantenimiento.

Si está activada, Ventanas de mantenimiento sobrescribe la configuración de reinicio definida en las tareas Instalar parches. Comprueba que la configuración asignada a los equipos definida en Ventanas de mantenimiento es la correcta.

Interrumpir la instalación de parches

Puedes cancelar las tareas de instalación de parches si la instalación no se ha iniciado. Si la instalación ha comenzado no podrás cancelar la tarea, ya que podría causar errores en los equipos.

Para interrumpir una tarea de instalación de parches:

  • En el menú superior, selecciona Tareas.

  • Haz clic en el enlace Cancelar de la tarea que quieres interrumpir. Se abrirá una cuadro de dialogo de advertencia.

  • Haz clic en Aceptar. La tarea mostrara el estado Cancelada y podrás ver los resultados parciales hasta el momento de la cancelación.