Como ya adelanté en “Seguridad de TI: Generalidades”, para mi la primera trinchera de defensa a los Virus, Malware, Troyanos y demás bichos nocivos es la manutención actualizada de los Sistemas Operativos sobre todo de los basados en Microsoft Windows. Microsoft difunde, al menos una vez al mes, un conjunto de mejoras (patchs) de seguridad de sus programas y sistemas operativos… para la adopción de estas mejoras, Microsoft tiene previsto en la configuración de Windows la opción del bajado de éstas “de alguna manera” (puede ser desatendido, puede ser que alerte únicamente, puede ser que baje el producto pero no lo instale…). En un ambiente corporativo, donde se supone que la administración de TI es centralizada, no puede delegarse a los usuarios la decisión de aplicar o no una mejora de seguridad; adicionalmente si todos los PC tienen configurado el bajado de la mejora en forma automática, cuando ésta llegue se podría colapsar el acceso a Internet con 200 o 300 PCs tratando de ir a downaload.microsoft.com a buscar sus mejoras!
Por lo antes expuesto lo mejor es tener alguna herramienta que permita la administración de las mejoras de los productos de Microsoft en forma centralizada, ordenada y eficiente.
Hay productos comerciales que facilitan la administración y distribución de las mejoras de Microsoft y otros productos, nosotros preferimos usar la herramienta WSUS suministrada por Microsoft ya que es suficiente para lo que necesitábamos y además sin costo.
Para la instalación de WSUS se utilizó un servidor “standard” pero con bastante espacio en disco disponible debido al gran volumen de software a bajar del Website de Microsoft (nosotros bajamos lo relacionado con toda la familia de productos de Windows en español y en inglés y lo relacionado con Office 2003 y 2007). El download inicial fue bastante pesado y lo dejamos haciendo durante varias noches para no molestar el acceso a Internet del día a día, también se configuró WSUS en cuanto a las políticas de autorización por parte nuestra antes de su distribución (por ejemplo no se distribuyeron los Service Pack ya que quisimos que estos se efectuaran bajo nuestro control directo). Por otro lado se implementaron unas políticas de seguridad, distribuidas por el Directorio Activo, para la implementación del “reboot” automático desatendido en caso que hiciese falta.
Inicialmente se había previsto toda una política de prueba de las mejoras ANTES de su implantación en los servidores de producción para evitar que, eventualmente, éstos dejaran de funcionar. Al final esto no pudo llevarse a cabo ya que la implementación era tremendamente engorrosa, hubiese sido necesario tener un departamento completo dedicado a probar las mejoras antes de que llegasen las siguientes… así que, en aras de la simplicidad, lo que hicimos fue asegurarnos que se tomara un Full System Backup el día anterior a la implementación de las mejoras y así poder ejecutar un eventual “roll back” en caso de que hiciese falta.
En una próxima entrega comentaré sobre los resultados de esta experiencia.