Automatizando el parcheado de Windows 10

Lo primero que necesitamos es tener unas colecciones donde desplegar nuestros updates. Vamos a
simular que lo que tenemos entre manos es un entorno en condiciones donde, donde tendremos 2
colecciones. Una para entorno pre-producción y otro para producción.

Por qué hacemos esto? Pues es sencillo, lo normal es poder testear las cosas antes de sacarlas a
producción. Es posible que un parche haga que nos deje de funcionar alguna funcionalidad o
aplicación. Por lo que siempre es bueno tener un entorno de testeo.

En el caso que a fase de testing sea satisfactoria, podemos desplegar automáticamente en

producción nuestros updates con “X” días de retraso.

El primer paso es crear las colecciones. Podemos hacerlo a mano o bien, mediante queries WQL.
En mi caso he seleccionado la segunda opción ya que es más profesional. La querie que he
preparado es:

select
SMS_R_SYSTEM.ResourceID,SMS_R_SYSTEM.ResourceType,SMS_R_SYSTEM.Name,SMS
_R_SYSTEM.SMSUniqueIdentifier,SMS_R_SYSTEM.ResourceDomainORWorkgroup,SMS_R_
SYSTEM.Client from SMS_R_System where SMS_R_System.OperatingSystemNameandVersion
like "Microsoft Windows NT Workstation 10%"

Ahora que tenemos ya nuestra colección con dispositivos con windows 10 instalado, vamos a
trabajar el Automatic Deplyment Rule (ADR). Para ello nos vamos a:

Software Library > Overview > Software Updates > Automatic Deployment Rules

Creamos una pulsando en el botón de Automatic Deployment Rules

Lo cuál nos abrirá el Wizard de creación de la regla. Aquí rellenaremos los siguientes campos:

Name: Windows 10 Patching

Description: www.nosolohacking.info
Colección: Test ADR
El siguiente paso del Wizard selecciomos que de manera automática haga el despliegue de parches
encontrados y acepte los terminos de licencia si hubiera.
Es el momento de seleccionar mediante filtros qué actualizaciones queremos desplegar.

En mi caso he seleccionado las que el idioma sea inglés, el producto Windows 10, no estén
superseeded y en clasificación he seleccionado todas. Vosotros seleccionar el criterio que
consideréis.
El siguiente paso es seleccionar la periodicidad con la que realizar las búsquedas. En mi caso lo
vamos a hacer mensual, el segundo Martes de cada mes y el tiempo de comienzo que más se ajuste
a nuestro entorno. El truco es que nuestro SUP se haya sincronizado antes que se ejecute.
Podemos establecer cuándo queremos que esté disponible y cuando queremos que sea el deadline.
En mi caso lo pongo ambos como lo antes posible.
Lo siguiente es definir la experiencia de usuario. Aquí solo voy a tocar cómo queremos que el
usuario sea notificado y que fuerce las comprobaciones de despliegues después del reinicio en caso
que requiera reiniciar el PC.
En cuanto a las alertas no configuro nada y en la parte de los paquetes de despliegue, en mi caso
voy a crear uno nuevo, porque esto es para un test para este artículo, Vosotros podéis o bien crear
uno, o usar uno existente.
A continuación, seleccionamos el DP y después de dónde queremos que descargue las
actualizaciones. Yo lo dejare por defecto.
Y le damos siguiente hasta finalizar el asistente.

Configurar el despliegue con “X” días de diferencia.

Una vez hemos creado la regla, lo que tenemos que hacer es desplegar los updates con “X” días de
retraso sobre producción. Para ello, seleccionamos “Add Deployment” sobre la regla que hemos
creado.

Nos abrirá otro asistente en el cual, en el primer paso nos pide que indiquemos uan colección. Aquí
especificamos nuestra colección de producción.
El siguiente paso que modificamos es el de Deployment Schedule, en el que especificamos el
número de días de retraso respecto a la que hemos creado anteriormente. Yo he elegido 15 días,
vosotros lo que consideréis.
En user experience, lo mismo que la otra vez.
Y finalizamos el asistente y ya tenemos nuestro ADR configurado para desplegar los updates en dos
colecciones distintas con 15 días de diferencia entre ellas.#

Solo faltaría elegir el paquete. En el caso de no tener ninguno creado le podemos dar a “Create New
Deployment Package”

En el caso de tener que hacer troubleshooting el log indicado para investigar es el que se llama:
ruleengine.log