Como gestionar actualizaciones de Windows en entornos empresariales
Para gestionar actualizaciones de Windows en una empresa necesitas una herramienta de despliegue centralizado como WSUS (on-premise) o Microsoft Intune (cloud), grupos de prueba piloto que validen cada actualizacion antes del despliegue masivo, ventanas de mantenimiento fuera del horario laboral y politicas de aplazamiento que retrasen las actualizaciones de funcionalidad 30 dias y las de seguridad un maximo de 7 dias. Esta estrategia evita reinicios inesperados en horario productivo y garantiza que todos los equipos esten protegidos frente a vulnerabilidades conocidas.
Las actualizaciones de Windows en entornos empresariales no pueden tratarse como en un equipo domestico. Segun el Ponemon Institute, el 57 % de las brechas de seguridad explotan vulnerabilidades para las que ya existia un parche disponible que no fue aplicado a tiempo (Ponemon Institute, Cost of a Data Breach Report 2024). Microsoft publica una media de 60-80 parches mensuales en su ciclo Patch Tuesday, incluyendo correcciones criticas de seguridad que afectan a servicios empresariales como Active Directory, Exchange y Microsoft 365 (Microsoft Security Response Center, Patch Tuesday Summary 2024).
Cuando una empresa tiene 10, 50 o 200 equipos, dejar que cada usuario gestione sus actualizaciones individualmente genera tres problemas graves: equipos desprotegidos que abren vectores de ataque, reinicios forzados que interrumpen el trabajo en horas criticas y aplicaciones que dejan de funcionar tras una actualizacion no probada. Un enfoque centralizado elimina estos riesgos y proporciona visibilidad completa del estado de seguridad de toda la flota.
Auditoria previa del parque informatico
Antes de implementar cualquier herramienta de gestion, necesitas un inventario completo y actualizado de tu parque informatico. Sin esta informacion, no puedes planificar un despliegue fiable.
Recopila los siguientes datos de cada equipo:
- Version de Windows (10, 11) y edicion (Pro, Enterprise).
- Build number actual (ejecuta
winveren cada equipo). - Estado de parches: fecha de la ultima actualizacion instalada.
- Aplicaciones criticas instaladas que podrian verse afectadas por actualizaciones.
- Tipo de conexion: red local, VPN o acceso remoto.
En entornos con Active Directory, puedes obtener esta informacion de forma automatizada con PowerShell:
# Obtener version de Windows de todos los equipos del dominio
Get-ADComputer -Filter * -Properties OperatingSystem, OperatingSystemVersion |
Select-Object Name, OperatingSystem, OperatingSystemVersion |
Export-Csv -Path "C:\Informes\inventario_equipos.csv" -NoTypeInformationPara verificar el estado de actualizaciones en un equipo remoto:
# Consultar ultimas actualizaciones instaladas
Get-HotFix -ComputerName "NOMBRE-PC" |
Sort-Object InstalledOn -Descending |
Select-Object -First 10 HotFixID, Description, InstalledOnWSUS vs Intune: cuando usar cada herramienta
La eleccion entre WSUS y Microsoft Intune depende de la infraestructura existente, el modelo de trabajo de la empresa y el presupuesto disponible.
WSUS (Windows Server Update Services)
WSUS es la solucion on-premise de Microsoft para la gestion centralizada de actualizaciones. Requiere un Windows Server en la red local.
Ventajas: descarga cada actualizacion una sola vez y la distribuye localmente (ahorra ancho de banda), control granular sobre que actualizaciones se aprueban, integracion nativa con Active Directory y GPO, sin coste de licencia adicional si ya tienes Windows Server.
Limitaciones: solo gestiona equipos que se conectan a la red corporativa (o via VPN), no gestiona aplicaciones de terceros, la consola de administracion es antigua y poco intuitiva, requiere mantenimiento del servidor (espacio en disco, limpieza periodica).
Ideal para: empresas con infraestructura on-premise, Active Directory y equipos que trabajan predominantemente desde la oficina.
Microsoft Intune
Intune es la solucion cloud de Microsoft integrada en Microsoft 365 y Azure AD (ahora Entra ID). No requiere servidor on-premise.
Ventajas: gestiona equipos en cualquier ubicacion (oficina, domicilio, movilidad), interfaz moderna en el centro de administracion de Microsoft Endpoint Manager, gestiona Windows Update for Business, aplicaciones y politicas de seguridad desde una unica consola, informes de cumplimiento detallados y actualizados en tiempo real.
Limitaciones: requiere licencia Microsoft 365 Business Premium, E3 o E5 (o Intune standalone), descarga las actualizaciones desde Microsoft directamente en cada equipo (mayor consumo de ancho de banda), curva de aprendizaje inicial mas pronunciada.
Ideal para: empresas con trabajo hibrido o remoto, entornos basados en Microsoft 365 y organizaciones que buscan reducir infraestructura on-premise.
Segun Microsoft, Intune gestiona ya mas de 200 millones de dispositivos a nivel global, y su adopcion en PYMEs se ha duplicado desde 2022 gracias a la expansion del trabajo hibrido (Microsoft Ignite, Endpoint Management Keynote 2024).
Despliegue por fases: del piloto a produccion
Un despliegue de actualizaciones sin fases de validacion es una receta para incidencias masivas. La mejor practica es crear anillos de despliegue que progresivamente cubran toda la organizacion.
Grupo 1: Piloto IT (dia 0-3)
Incluye 3-5 equipos del departamento de IT. Estos equipos reciben las actualizaciones inmediatamente tras la publicacion del Patch Tuesday (segundo martes de cada mes). El equipo tecnico valida que no hay problemas de compatibilidad con las aplicaciones criticas de la empresa.
Grupo 2: Early adopters (dia 3-7)
Incluye 10-15 equipos de departamentos no criticos. Si el piloto IT no detecta problemas, este grupo recibe las actualizaciones automaticamente. Monitorizacion activa durante 48 horas tras el despliegue.
Grupo 3: Produccion general (dia 7-14)
El resto de equipos de la empresa. Solo reciben las actualizaciones tras la validacion exitosa en los dos grupos anteriores. Se despliegan en la ventana de mantenimiento programada (noches o fines de semana).
Grupo 4: Equipos criticos (dia 14-21)
Servidores, equipos de contabilidad en periodos de cierre y sistemas que no toleran interrupciones. Reciben las actualizaciones con el maximo aplazamiento permitido y siempre con un plan de rollback preparado.
Configuracion de politicas de aplazamiento
Las politicas de aplazamiento controlan cuanto tiempo se retrasan las actualizaciones respecto a su fecha de publicacion. La recomendacion de Microsoft para entornos empresariales es:
- Actualizaciones de seguridad (quality updates): aplazamiento maximo de 7 dias para el grupo de produccion general. No aplazar mas, ya que cada dia sin el parche es un dia de exposicion a vulnerabilidades conocidas.
- Actualizaciones de funcionalidad (feature updates): aplazamiento de 30 dias para produccion general y hasta 90 dias para equipos criticos. Estas actualizaciones cambian funcionalidades de Windows y tienen mayor riesgo de incompatibilidad.
Configuracion via GPO (WSUS)
En un entorno con Active Directory y WSUS, configura las politicas de grupo en la siguiente ruta:
Configuracion del equipo > Directivas > Plantillas administrativas >
Componentes de Windows > Windows Update > Windows Update for BusinessPoliticas clave:
- Seleccionar cuando se reciben actualizaciones de calidad: establece el numero de dias de aplazamiento.
- Seleccionar cuando se reciben actualizaciones de caracteristicas: establece el aplazamiento para feature updates.
- Configurar actualizaciones automaticas: valor 4 (descarga automatica y programar la instalacion).
- Especificar la ubicacion del servicio de actualizaciones de la intranet: apunta al servidor WSUS.
Ruta del registro de Windows equivalente:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
- WUServer: http://wsus-server:8530
- WUStatusServer: http://wsus-server:8530
- DeferQualityUpdates: 1
- DeferQualityUpdatesPeriodInDays: 7
- DeferFeatureUpdates: 1
- DeferFeatureUpdatesPeriodInDays: 30Configuracion via Intune
En el centro de administracion de Microsoft Endpoint Manager:
- Navega a Dispositivos > Windows > Anillos de actualizacion de Windows 10 y posteriores.
- Crea un perfil por cada grupo de despliegue.
- Configura el periodo de aplazamiento de calidad y funcionalidad para cada anillo.
- Establece la ventana de mantenimiento (hora de inicio y duracion).
- Configura el comportamiento de reinicio: solicitar al usuario con cuenta atras de 15 minutos.
- Asigna cada perfil al grupo de Azure AD correspondiente.
Ventanas de mantenimiento y reinicios controlados
Las ventanas de mantenimiento definen el periodo en el que los equipos pueden instalar actualizaciones y reiniciarse. Configura ventanas que no interfieran con la actividad productiva:
- Oficinas con horario estandar: ventana de 22:00 a 06:00 entre semana.
- Turnos rotativos: adapta las ventanas al turno con menor actividad.
- Equipos portatiles: la actualizacion se instala cuando el equipo se conecta durante la ventana definida. Configura un periodo de gracia de 48 horas para usuarios moviles.
Comunica a los usuarios con antelacion las fechas de despliegue y el comportamiento esperado (reinicio automatico o manual).
Informes de cumplimiento y monitorizacion
La gestion de actualizaciones no termina con el despliegue. Necesitas informes que muestren el estado de cumplimiento de toda la flota.
En WSUS
La consola de WSUS proporciona informes de estado por equipo y por actualizacion. Exporta informes semanales para identificar equipos que no se actualizan.
En Intune
Navega a Informes > Windows Updates para ver el porcentaje de equipos actualizados, equipos con errores de instalacion y equipos pendientes de reinicio. Configura alertas para equipos que lleven mas de 14 dias sin actualizar.
Con PowerShell
Genera un informe rapido del estado de actualizaciones en equipos remotos:
# Verificar equipos pendientes de reinicio tras actualizacion
$equipos = Get-ADComputer -Filter * | Select-Object -ExpandProperty Name
foreach ($equipo in $equipos) {
try {
$reinicio = Invoke-Command -ComputerName $equipo -ScriptBlock {
Test-Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\RebootPending"
} -ErrorAction Stop
if ($reinicio) {
Write-Output "$equipo - REINICIO PENDIENTE"
}
} catch {
Write-Output "$equipo - NO ACCESIBLE"
}
}Problemas frecuentes y solucion
- Actualizaciones no se descargan: reinicia el servicio Windows Update con
net stop wuauserv && net start wuauserv. Si persiste, elimina el contenido deC:\Windows\SoftwareDistribution\Downloady reinicia el servicio. En entornos con WSUS, verifica que el equipo puede resolver el nombre del servidor WSUS. - Instalacion se atasca en un porcentaje: ejecuta el solucionador de problemas integrado en Configuracion > Solucion de problemas > Windows Update. Si no se resuelve, revisa el log
C:\Windows\Logs\CBS\CBS.logpara identificar el componente que falla. El comandoDISM /Online /Cleanup-Image /RestoreHealthrepara la imagen del sistema. - Reinicios forzados durante el horario laboral: verifica que las politicas de GPO o Intune tienen correctamente configurada la ventana de mantenimiento. Comprueba la ruta del registro
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AUpara confirmar que los valores se aplican correctamente. - Una actualizacion rompe una aplicacion: desinstala la actualizacion problematica con
wusa /uninstall /kb:XXXXXXX /quiety anadela a la lista de exclusion en WSUS o Intune hasta que el proveedor de la aplicacion publique una correccion. - Equipos remotos no reciben actualizaciones de WSUS: los equipos fuera de la red corporativa no pueden conectar con WSUS. Considera migrar estos equipos a Intune o configurar una VPN siempre activa (Always On VPN).
- WSUS ocupa demasiado disco: ejecuta el asistente de limpieza del servidor WSUS (Server Cleanup Wizard) mensualmente para eliminar actualizaciones expiradas, sustituidas y equipos obsoletos.
Preguntas frecuentes
Por que no dejar las actualizaciones automaticas por defecto? Porque en un entorno empresarial una actualizacion puede romper una aplicacion critica como un ERP, un software de contabilidad o un driver de impresora especifico. El despliegue por fases permite detectar estos problemas en el grupo piloto antes de que afecten a toda la organizacion. Ademas, los reinicios no controlados pueden interrumpir operaciones en curso.
WSUS o Intune, cual elegir? WSUS si tienes Windows Server on-premise, Active Directory y la mayoria de equipos trabajan desde la oficina. Intune si usas Microsoft 365, tienes trabajadores remotos o hibridos y quieres gestionar actualizaciones, aplicaciones y seguridad desde una unica consola cloud. Muchas empresas en transicion usan ambos simultaneamente con co-gestion a traves de SCCM/Configuration Manager.
Cuanto tiempo puedo aplazar una actualizacion de seguridad? Microsoft permite aplazar actualizaciones de calidad hasta 30 dias, pero no se recomienda superar los 7 dias en entornos de produccion. Segun el NIST Cybersecurity Framework, las vulnerabilidades criticas deben parchearse en un plazo maximo de 15 dias (NIST, SP 800-40 Rev 4, Guide to Enterprise Patch Management Planning). Cada dia de retraso es un dia de exposicion a exploits conocidos.
Afecta al rendimiento de los equipos? El impacto es minimo si programas los despliegues fuera de horario laboral. Durante la instalacion, el equipo puede experimentar lentitud temporal. Con WSUS la descarga es local (rapida), mientras que con Intune cada equipo descarga desde los servidores de Microsoft (puede impactar en el ancho de banda si muchos equipos actualizan simultaneamente). Configura Delivery Optimization en modo LAN para mitigar este problema.
Que pasa con las actualizaciones de drivers? Tanto WSUS como Intune permiten gestionar actualizaciones de drivers de forma separada. La recomendacion es no desplegar drivers automaticamente y aprobarlos manualmente tras probar en el grupo piloto, especialmente drivers de GPU, impresoras y dispositivos de red.
En IBERSYA gestionamos las actualizaciones de Windows de nuestros clientes con WSUS e Intune segun la infraestructura de cada empresa. Configuramos grupos de despliegue por fases, politicas de aplazamiento ajustadas al riesgo de cada organizacion, ventanas de mantenimiento fuera de horario productivo y monitorizacion post-despliegue con Zabbix para verificar que todos los equipos se actualizan correctamente. Si quieres olvidarte de las actualizaciones y garantizar que tus equipos estan siempre protegidos sin interrupciones, contacta con nosotros para una auditoria de tu parque informatico.