Si desea leer la segunda parte de esta serie de artículos, por favor vaya a Claves del registro para ajustar Windows Update (Parte 2).
Aunque Windows Update y WSUS son generalmente bastante simples de configurar, a veces se puede obtener un mayor nivel de control sobre ellos haciendo algunas modificaciones menores en el registro de Windows. En este artículo, le mostraré algunas claves del registro que están asociadas con Windows Update. Al mismo tiempo, le mostraré las distintas configuraciones que puede asignar a esas claves del registro.
Antes de empezar
Antes de empezar, tengo que contentar a los abogados diciéndole que modificar el registro de Windows puede ser peligroso. La modificación incorrecta del registro puede destruir Windows y/o sus aplicaciones. Por lo tanto, le recomiendo encarecidamente que realice una copia de seguridad completa del sistema antes de intentar cualquiera de las técnicas que estoy a punto de mostrarle.
Ahora que he conseguido la exención de responsabilidad estándar fuera del camino, hay una cosa más que tengo que decirle antes de empezar. Los ajustes del registro que estoy a punto de mostrar son para las máquinas que están ejecutando Windows XP. Usted puede aplicar los ajustes a las máquinas individuales directamente, o puede aplicar las modificaciones como parte de un script de inicio de sesión. Además, algunas de las claves de las que voy a hablar pueden no existir por defecto. Si quieres utilizar una clave que no existe, tendrás que crearla. También debe tener en cuenta que el comportamiento de Windows Update puede ser controlado por una directiva de grupo, y que si una directiva de grupo está en efecto, puede hacer que se sobrescriban partes del registro después de haber hecho cambios.
Elevación de privilegios
Uno de los problemas de recibir actualizaciones de un servidor WSUS es que los usuarios no pueden aprobar o desaprobar las actualizaciones a menos que sean miembros del grupo de administradores locales. Sin embargo, puede utilizar el registro para dar a los usuarios una elevación de privilegios que les permita aprobar o desaprobar las actualizaciones independientemente de si son o no administradores locales. Por otro lado, también puede negar a los usuarios finales la capacidad de aprobar actualizaciones, reservando ese derecho para los administradores.
La clave del registro que controla este comportamiento es: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\NElevateNonAdmins
La clave ElevateNonAdmins tiene dos valores posibles. El valor predeterminado de 1 permite a los no administradores aprobar o denegar actualizaciones. Si se cambia este valor a 0, sólo los administradores podrán aprobar o denegar actualizaciones.
Grupos de destino
Una de las cosas buenas de WSUS es que permite utilizar la orientación del lado del cliente. La idea detrás de la orientación del lado del cliente es que usted puede configurar diferentes grupos de equipos, y puede desplegar las actualizaciones en una base de grupo. La orientación del lado del cliente no se utiliza por defecto, pero si decide utilizarla, hay dos claves de registro diferentes que tendrá que crear. Una de estas claves habilita la orientación del lado del cliente, mientras que la otra especifica el nombre del grupo de destino al que pertenece el equipo. Ambas claves de registro deben ser creadas en: HKEY_LOCAL_MACHINE\NSOFTWARE\NPolicies\NMicrosoft\NWindows\NWindowsUpdate\
La primera clave es una clave DWORD llamada TargetGroupEnabled. Puede asignar a esta clave un valor de 0, que desactiva la orientación del lado del cliente, o de 1, que permite la orientación del lado del cliente.
La otra clave que tendrá que crear es un valor de cadena llamado TargetGroup. El valor que asignaría a esta clave es el nombre del grupo de destino al que debe asignarse el equipo.
Asignación de un servidor WSUS
Si ha estado involucrado en la creación de redes durante un tiempo, entonces probablemente sabe que los diseños de red tienden a cambiar con el tiempo. Cosas como el crecimiento de la empresa, los nuevos requisitos de seguridad y las reestructuraciones corporativas a menudo obligan a cambiar la red subyacente. Entonces, ¿qué tiene que ver esto con Windows Update? Bueno, WSUS es escalable y puede desplegarse de forma jerárquica. Esto significa que una organización puede tener una multitud de servidores WSUS desplegados. Si un PC se traslada a otra parte de la empresa, es posible que el servidor WSUS para el que se configuró inicialmente ya no sea apropiado para su nueva ubicación. Afortunadamente, se pueden utilizar un par de sencillas modificaciones en el registro para cambiar el servidor WSUS del que el PC obtiene sus actualizaciones.
En realidad hay dos claves del registro que se utilizan al especificar un servidor WSUS. Ambas claves se encuentran en: HKEY_LOCAL_MACHINE\NSOFTWARE\NPolicies\NMicrosoft\NWindows\NWindowsUpdate\N. La primera clave se llama WUServer. Esta clave del registro contiene un valor de cadena que debe introducirse como la URL del servidor WSUS (ejemplo: http://servername).
La otra clave que tendrá que cambiar es un valor de cadena llamado WUStatusServer. La idea detrás de esta clave es que el PC debe informar de su estado a un servidor WSUS para que éste sepa qué actualizaciones se han aplicado al PC. La clave WUStatusServer normalmente tiene exactamente el mismo valor que la clave WUServer (ejemplo: http://servername).
El Agente de Actualización Automática
Hasta ahora he hablado de cómo conectar el PC a un servidor WSUS específico o a un grupo de destino específico, pero esto es sólo la mitad del proceso. Windows Update utiliza un agente de actualización que realmente instala las actualizaciones. Hay una serie de claves del registro ubicadas en HKEY_LOCAL_MACHINE\NSOFTWARE\NPolicies\NMicrosoft\NWindows\NWindowsUpdate\NAU que controlan el agente de actualización automática.
La primera de estas claves es la clave AUOptions. A este valor DWORD se le puede asignar un valor de 2, 3, 4 o 5. Un valor de 2 indica que el agente debe notificar al usuario antes de descargar las actualizaciones. Un valor de 3 indica que las actualizaciones se descargarán automáticamente y el usuario será notificado de la instalación. Un valor de 4 indica que las actualizaciones deben descargarse e instalarse automáticamente según una programación. Para que esta opción funcione, las claves ScheduledInstallDay y ScheduledInstallTime también deben estar configuradas. Hablaré más sobre estas claves más adelante. Finalmente, un valor de 5 indica que las actualizaciones automáticas son necesarias, pero pueden ser configuradas por los usuarios finales.
La siguiente clave de la que quiero hablar es la clave AutoInstallMinorUpdates. Esta clave puede establecerse con un valor de 0 o 1. Si la clave se establece en 0, las actualizaciones menores se tratan como cualquier otra actualización. Si el valor de la clave es 1, las actualizaciones menores se instalan silenciosamente en segundo plano.
Otra clave relacionada con el Agente de Actualización Automática es la clave DetectionFrequency. Esta clave permite especificar la frecuencia con la que el agente busca actualizaciones. El valor de la clave debe ser un número entero entre 1 y 22, e indica el número de horas entre cada intento de detección.
Una clave del registro relacionada es la clave DetectionFrequencyEnabled. Como su nombre indica, esta clave habilita o deshabilita la función de frecuencia de detección. Si se establece esta clave con un valor de 0, se ignora la clave DetectionFrequency, mientras que si se establece con un valor de 1, el agente utiliza el valor de DetectionFrequency.
La siguiente clave de la que quiero hablar es la clave NoAutoUpdate. Si esta clave tiene un valor de 0, las actualizaciones automáticas están habilitadas. Si el valor de la clave se establece en 1, entonces las actualizaciones automáticas están desactivadas.
La última clave del registro de la que quiero hablar es la clave NoAutoRebootWithLoggedOnUsers. Como probablemente sepa, algunas actualizaciones simplemente no pueden aplicarse sin reiniciar el sistema. Si un usuario está conectado, un reinicio obligatorio del sistema puede ser muy perjudicial. Esto es especialmente cierto si el usuario se ha alejado de su escritorio sin guardar su trabajo. Aquí es donde entra en juego la clave NoAutoRebootWithLoggedOnUsers. A esta tecla se le puede asignar un valor de 0 o 1. Si el valor es 0, los usuarios recibirán un aviso de cinco minutos y luego el sistema se reiniciará automáticamente. Si el valor se establece en 1, entonces los usuarios simplemente recibirán un mensaje pidiéndoles que reinicien sus sistemas, pero pueden reiniciar a su antojo.
Conclusión
Hay un montón más de claves del registro relacionadas con la actualización de Windows. Voy a discutir el resto de ellos en la Parte 2 de esta serie de artículos.
Si desea leer la segunda parte de esta serie de artículos por favor vaya a Claves del Registro para ajustar Windows Update (Parte 2).