Detectar que equipos de la red no tienen las últimas actualizaciones de windows.

lavtaro

Capo
Se incorporó
11 Diciembre 2007
Mensajes
249
Hola a todos, nuevamente vengo a pedir ayuda, tengo el siguiente problema, como saber de manera centralizada que equipos falta instalar actualizaciones de windows, algo así como el OCS Inventory NG pero que me permita detectar que actualizaciones faltan.

El tema es por que un auditor nos solicitó que por ejemplo en en la imagen se ve que todo está actualizado, pero según el la actualización "22H2 debe estar instalada y que significa una grave falta de seguridad" , ir equipo por equipo revisando se hace complicado.

1667168057805.png


lo mismo este ítem:
1667168198021.png

Según el todos los equipos deben tener activadas la protección de cuentas.

Agradecería mucho su ayuda, el tema de los auditores es que llenan hojas con todos estos detalles, ustedes entienden, saludos y de antemano muchas gracias.
 

Lordnet

Autoridad Ancestral de Transacciones
Se incorporó
11 Junio 2004
Mensajes
2.231
es importante que el equipo TI sepa responder y refutar a los auditores.

el auditor recomienda, no puede exigir. y también debe ser razonable en su exigencia.

por ejemplo que pasa si el sofware de parchado vale 30 mil dólares, ¿irás con el mejor rostro a pedirlo a Gerencia?
a veces solo basta responder con actualizar/reforzar cumplimiento del procedimiento, y ser claro de como se realiza el proceso de parchado de sistema operativo (estaciones de trabajo y servidores), junto con el de escaneo de vulnerabilidades.

además a mi entender, el 22H2 no es crítico, indirectamente lo es en caso de que no lo hayas instalado en diciembre, ya que dejarás de recibir actualizaciones de calidad y seguridad. por algo te dice windows que esta todo bien, aunque no la tengas instalada.

y como dice microsoft, en las empresas debiese ser un despliegue controlado.

Information for commercial customers​

We recommend that commercial organizations begin targeted deployments to validate that their apps, devices and infrastructure work as expected with the new release. Version 22H2 is now available through Windows Server Update Services (including Configuration Manager), Windows Update for Business and the Volume Licensing Service Center (VLSC)[1]. You can find more information on IT tools to support version 22H2 in the Windows IT Pro Blog.

dicho ese disclaimer, la gracia de una herramienta de gestión de parchado la idea es que deje al dia no solo los programas microsoft, si no que tambien los de terceros (Chrome, Java, adobe, oracle, autodesk, etc).


ojalá te sirva.
 
Upvote 0

lavtaro

Capo
Se incorporó
11 Diciembre 2007
Mensajes
249
es importante que el equipo TI sepa responder y refutar a los auditores.

el auditor recomienda, no puede exigir. y también debe ser razonable en su exigencia.

por ejemplo que pasa si el sofware de parchado vale 30 mil dólares, ¿irás con el mejor rostro a pedirlo a Gerencia?
a veces solo basta responder con actualizar/reforzar cumplimiento del procedimiento, y ser claro de como se realiza el proceso de parchado de sistema operativo (estaciones de trabajo y servidores), junto con el de escaneo de vulnerabilidades.

además a mi entender, el 22H2 no es crítico, indirectamente lo es en caso de que no lo hayas instalado en diciembre, ya que dejarás de recibir actualizaciones de calidad y seguridad. por algo te dice windows que esta todo bien, aunque no la tengas instalada.

y como dice microsoft, en las empresas debiese ser un despliegue controlado.



dicho ese disclaimer, la gracia de una herramienta de gestión de parchado la idea es que deje al dia no solo los programas microsoft, si no que tambien los de terceros (Chrome, Java, adobe, oracle, autodesk, etc).


ojalá te sirva.
Hola Don Lordnet, claro que me sirve, muchas gracias por tu ayuda, saludos !!!
 
Upvote 0

lavtaro

Capo
Se incorporó
11 Diciembre 2007
Mensajes
249
no, esa es solo una sugerencia y totalmente opcional, puedes ponerle descartar si es que prefieres seguir usando una cuenta local y no una con correo.
Según él significa la puerta de entrada al secuestro de las bases de datos de la empresa, voy a buscar para documentar y responder vía correo electrónico, saludos y gracias.
 
Upvote 0

dwyer

Sonidista-Computin
Se incorporó
10 Mayo 2005
Mensajes
2.830
Igual una cuenta en línea para empresas lo encuentro mucho más inseguro que una cuenta local. Para eso es mejor que los usuarios estén controlados bajo un DC y así puedes distribuir mediante wsus las actualizaciones y definiciones de virus

Saludos
 
Upvote 0

lavtaro

Capo
Se incorporó
11 Diciembre 2007
Mensajes
249
Igual una cuenta en línea para empresas lo encuentro mucho más inseguro que una cuenta local. Para eso es mejor que los usuarios estén controlados bajo un DC y así puedes distribuir mediante wsus las actualizaciones y definiciones de virus

Saludos
wsus lo voy a revisar, saludos y muchas gracias.
 
Upvote 0

epic

Pro
Se incorporó
11 Febrero 2007
Mensajes
846
Para tener los equipos actualizados automaticamente y tener a la vista que equipos estan ok y cuales no debes instalar el servicio de Windows Server Update Services (WSUS)... tambien te ahorra ancho de banda ya que los PC van a buscar la actualizacion a tu servidor WSUS y toda la actualizacion es en la misma LAN.
 
Upvote 0
Subir