Cada mes Microsoft publica actualizaciones en distintos canales. El canal más común para los administradores es el corporativo, que es cada segundo martes del mes. Este canal es el que sincroniza automáticamente con Windows Server Update Services (WSUS) y, en consecuencia, con SCCM (Configuration Manager).
Pero en ocasiones puede surgir un error crítico que nos nos permita esperarnos a que dicho canal esté actualizado y debemos desplegar actualizaciones de otros canales como el out-of-band, que no están en WSUS o SCCM. ¿Cómo despliego estas actualizaciones si no puedo desplegar desde SCCM o WSUS? A continuación explicamos cómo importar actualizaciones manualmente en SCCM y WSUS para distribuirlas. Compruebe este otro artículo si encontró un error al importar actualizaciones a WSUS.
TL;DR
Fix PrintNightmare – CVE-2021-34527- Julio 2021:
Existe una vulnerabilidad de ejecución código remoto cuando el servicio de cola de impresión de Windows realiza incorrectamente operaciones con archivos privilegiados. Un atacante que aproveche con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de SYSTEM.
Microsoft ha publicado actualizaciones de seguridad para abordar esta vulnerabilidad. Podéis leer la solución a PrintNightmare (CVE-2021-34527) aquí.
Las actualizaciones de seguridad publicadas el 6 de julio de 2021 contienen protecciones para CVE-2021-1675 y el exploit sobre Windows Print Spooler conocido como «PrintNightmare», documentado en CVE-2021-34527:
- Windows 10, versión 21H1(KB5004945)
- Windows 10, versión 20H2(KB5004945)
- Windows 10, versión 2004 (KB5004945)
- Windows 10, versión 1909 (KB5004946)
- Windows 10, versión 1809 (KB5004947)
- Windows 10, versión 1607 (KB5004948)
- Windows 10, versión 1507 (KB5004950)
- Windows 8.1 (Monthly Rollup / Security Only)
- Windows 7 (Monthly Rollup / Security Only)
- Windows Server 2019 (KB5004947)
- Windows Server 2016 (KB5004948)
- Windows Server 2012 R2 (Monthly Rollup / Security Only)
- Windows Server 2012 (Monthly Rollup / Security Only)
- Windows Server 2008 R2 (Monthly Rollup / Security Only)
- Windows Server 2008 (Monthly Rollup / Security Only)
Todas estas actualizaciones son out-of-band y deben ser aplicadas siguiente el procedimiento de este artículo de Importar actualizaciones manualmente en WSUS y SCCM. Windows Server 2000 y Windows Server 2003 no tienen soporte.
Nota previa bug impresoras – Marzo 2021:
Microsoft, Kyocera, Ricoh y otros fabricantes de impresoras ha reportado que los parches de marzo del 2021 para Windows 10 crean problemas con las impresoras y provocan pantallazos azules al intentar imprimir. Esta guía te guiará en cómo importar manualmente las nuevas actualizaciones out-of-band lanzadas el 15/03/2021 para solventar el error APC_INDEX_MISMATCH:
- Windows 10, versión 20H2 – Antiguo parche: (KB5000802) – Nuevo parche: (KB5001567)
- Windows 10, versión 2004 – Antiguo parche: (KB5000802) – Nuevo parche: (KB5001567)
- Windows 10, versión 1909 – Antiguo parche: (KB5000808) – Nuevo parche: (KB5001566)
- Windows 10, versión 1809 – Antiguo parche: (KB5000822) – Nuevo parche: (KB5001568)
- Windows 10, versión 1803 – Antiguo parche: (KB5000809) – Nuevo parche: (KB5001565)
Nota previa bug VPN y Proxies – Marzo 2020:
Desde Microsoft han reportado que los parches de febrero y marzo para Windows 10 creaban problemas con las conexiones VPN y los proxies configurados manualmente y autoconfigurados. Esta guía sirve para distribuir los parches opcionales out-of-band lanzados el 30/03/2020 para solventar el bug:
- Windows 10, versión 1909 (KB4554364)
- Windows 10, versión 1903 (KB4554364)
- Windows 10, versión 1809 (KB4554354)
- Windows 10, versión 1803 (KB4554349)
- Windows 10, versión 1709 (KB4554342)
Requisitos para Importar actualizaciones en SCCM y WSUS:
- Un Servidor WSUS con acceso a Internet para importar los metadatos desde Microsoft y descargar las actualizaciones.
- Internet Explorer con el add-on «Microsoft Update Catalog». De no tenerlo instalado, nos solicitará realizarlo durante el procedimiento.
- Permisos de administrador sobre el Servidor WSUS.
Cómo importar actualizaciones manualmente en WSUS:
Para empezar, deberemos abrir Windows Server Update Services con permisos de administrador:
Una vez abierto Windows Server Update Services, escogemos «Updates» en el panel izquierdo e «Import Updates…» en el derecho:
Se abrirá Internet Explorer. De no tenerlo ya instalado, instalamos en Internet Explorer el add-on «Microsoft Update Catalog» desde la siguiente notificación:
Hacemos click en «Install«:
Con el add-on instalado y tras recargar la página, ya veremos la caja de búsqueda donde deberemos introducir la ID de la actualización a importar (por ejemplo «4522011») hacer click en «Search«:
Identificamos en los resultados de la búsqueda las actualizaciones a importar y hacemos click en «Add» o «Add All» según nuestras necesidades:
Una vez añadidas para importar veremos que el estado a cambiado a «Remove» y «Remove All». De requerirlo, podemos quitar las que queramos:
Ya añadidas todas las actualizaciones que necesitamos, hacemos click en «view basket«, confirmamos que las actualizaciones sean las deseadas y hacemos click en «Import» con el check de «Import directly into Windows Server Update Services» marcado.
Se abrirá un pop-up automáticamente (de no aparecer es posible que estén siendo bloqueados por alguna política y deberíamos permitirlo temporalmente) donde veremos el estado de cada actualización en la columna de «Progress«. Una vez estén todos en estado «Done» podremos cerrar la ventana haciendo click en «Close«:
Comprobar que las actualizaciones están disponibles en WSUS:
Abrimos de nuevo Windows Server Update Services, escogemos «Updates» en el panel izquierdo y desplegamos la ventana «All Updates«. Podemos verificar manualmente que están los KBs deseados y usar un buscador mediante «Search…» en el panel derecho:
Forzar sincronización de la base de datos de SCCM con WSUS:
El siguiente y último paso será el forzar la sincronización de la base de datos de SCCM con WSUS. De esta forma, tendremos las actualizaciones en SCCM para poder distribuir a los equipos. Para ello:
- Abrimos la consola de SCCM.
- Click en «Software Library«.
- Extendemos «Software Updates«.
- Seleccionamos «All Software Updates«, click derecho y escogemos «Synchronize Software Updates«:
Aparecerá un pop-up. Confirmamos que queremos ejecutar la sincronización haciendo click en «Yes»:
Podemos confirmar que se están importando las actualizaciones mediante el log «wsyncmgr.log» ubicado en «%ruta_instalación_SCCM%\Logs\wsyncmgr.log»:
1 2 3 4 5 6 7 8 9 | sync: SMS synchronizing updates, processed 0 out of 7 items (0%) $$<SMS_WSUS_SYNC_MANAGER><09-26-2019 19:39:49.555-120><thread=6780 (0x1A7C)> Synchronizing update 613b6dae-5fc9-4f88-b75e-9d7d8decc91c - 2019-09 Cumulative Security Update for Internet Explorer 11 for Windows 7 for x64-based systems (KB4522007) $$<SMS_WSUS_SYNC_MANAGER><09-26-2019 19:39:49.598-120><thread=6780 (0x1A7C)> Synchronizing update f1711de1-0244-4900-9837-8717b72c6bfc - 2019-09 Cumulative Update for Windows 10 Version 1803 for x86-based Systems (KB4522014) $$<SMS_WSUS_SYNC_MANAGER><09-26-2019 19:39:50.325-120><thread=6780 (0x1A7C)> Synchronizing update e6d23270-c2dc-4597-b7f9-aee866582ac6 - 2019-09 Cumulative Update for Windows 10 Version 1703 for x86-based Systems (KB4522011) $$<SMS_WSUS_SYNC_MANAGER><09-26-2019 19:39:51.031-120><thread=6780 (0x1A7C)> Synchronizing update ce9a3561-2cb8-403b-9e1f-a9ee3bb29f80 - 2019-09 Cumulative Security Update for Internet Explorer 11 for Windows 7 for x86-based systems (KB4522007) $$<SMS_WSUS_SYNC_MANAGER><09-26-2019 19:39:51.669-120><thread=6780 (0x1A7C)> Synchronizing update e80f39ae-26e6-447f-988c-d0eecd7e988d - 2019-09 Cumulative Update for Windows 10 Version 1703 for x64-based Systems (KB4522011) $$<SMS_WSUS_SYNC_MANAGER><09-26-2019 19:39:52.391-120><thread=6780 (0x1A7C)> Synchronizing update f818452d-647a-41c3-bd23-75241c381b62 - 2019-09 Cumulative Update for Windows 10 Version 1803 for x64-based Systems (KB4522014) $$<SMS_WSUS_SYNC_MANAGER><09-26-2019 19:39:53.076-120><thread=6780 (0x1A7C)> Synchronizing update a227b23d-9f5e-4256-baf8-149c3e117c2b - Security Intelligence Update for Windows Defender Antivirus - KB2267602 (Version 1.303.217.0) $$<SMS_WSUS_SYNC_MANAGER><09-26-2019 19:39:53.698-120><thread=6780 (0x1A7C)> sync: SMS synchronizing updates, processed 7 out of 7 items (100%) $$<SMS_WSUS_SYNC_MANAGER><09-26-2019 19:40:30.213-120><thread=6780 (0x1A7C)> |
De esta forma ya estarían los parches de WSUS listos en SCCM para distribuir como cualquier otro parche que tengamos en la Consola de SCCM.
me sale el siguiente error al importar las actualizaciones
Error Algunas actualizaciones no se pueden importar.
[Número de error: 80131509]
Las siguientes causas y soluciones son comunes a este problema:
Si utiliza proxy, asegúrese de que es el mismo que utiliza el servidor de Windows Server Update Services (WSUS).
Es posible que el servidor de WSUS no esté configurado correctamente. Póngase en contacto con el administrador de WSUS.
Para las opciones de autoayuda:
Preguntas más frecuentes
Ayuda y soporte técnico
alguien sabe que puede ser????
Hola Ernesto. Aquí tienes cómo solucionarlo: WSUS: Error importar actualizaciones Microsoft Update Catalog
Debes crear una clave de registro y reiniciar el servidor. Espero que te sea de ayuda 😁