viernes, 20 de agosto de 2004

Retrasar la instalación del Service Pack 2 para Windows XP

SP2 Blocker Tool es un conjunto de utilidades facilitado por Microsoft
que permite bloquear temporalmente la instalación automática del
Service Pack 2 para Windows XP.

Como ya comentamos en una entrega anterior, son muchas las empresas
que han recomendado a sus empleados que, de momento, no instalen el
Service Pack 2 para Windows XP, debido a las incompatibilidades que
pueda presentar con las aplicaciones corporativas.

El problema es que, dependiendo de la configuración de los clientes o
por acción directa de los usuarios, en muchos casos la instalación se
llevará a cabo de forma previa e independiente al despliegue oficial,
sin tomar las medidas necesarias para garantizar el funcionamiento
de los sistemas.

Para paliar este problema, Microsoft ha desarrollado y publicado una
herramienta muy simple que impide la instalación automática a través
de sus servicios Windows Update y Automatic Updates. El bloqueo es
temporal, durante un periodo de 120 días (4 meses), contando desde
el pasado 16 de agosto. Es decir, después del 14 de diciembre del
presente año este bloqueo será ignorado por sus servicios de
actualización automática.

El funcionamiento de SP2 Blocker Tool se basa en introducir una nueva
clave en el registro de Windows que sus servicios de actualización
automática comprueban antes de proceder a la instalación del SP2:

HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate
DoNotAllowXPSP2=1

Si el valor DWORD es 1, el bloqueo está activo. Si el valor es distinto
de 1 o la clave no existe, el sistema permite la instalación del SP2.

El kit SP2 Blocker Tool incluye, además de los ejecutables para bloquear
y desbloquear la actualización mediante la comentada clave del registro,
un script de ejemplo que permite hacer esta operación en máquinas
remotas.

Adicionalmente, para las organizaciones que cuenten con políticas de
grupo de Directorio Activo, se facilita también una plantilla ADM
que permite realizar estas operaciones de forma centralizada.

En el caso de que no sea posible aplicar la plantilla ADM, ni el
administrador tenga acceso de forma remota a todas las máquinas,
Microsoft sugiere que se envíe un aviso por e-mail a todos los
usuarios para que ellos mismos apliquen la herramienta.

Ejemplo de mensaje para activar el bloqueo:

---

Hello,

Please click on this link to postpone delivery of a software update
to your computer until your IT organization has tested the update and
certified it for installation on your computer:
http://go.microsoft.com/fwlink/?LinkId=33518

Once you click on the link, please select ‘Open’ in the pop up dialog.
You will then be asked if you want to accept the End-User License
Agreement. After you select ‘Yes,’ you should see a new window briefly
open and close on your computer.

No further action is required. Thank you for your assistance.

Sincerely,

Your IT administrator.

---


A continuación el modelo para desbloquear la instalación del SP2 y
proceder a la actualización:

---

Hello,

Please click on this link to enable delivery of the latest version of
Windows XP to your computer:
http://go.microsoft.com/fwlink/?LinkId=33519

Once you click on the link, please select ‘Open’ in the pop up dialog.
You will then be asked if you want to accept the End-User License
Agreement. After you select ‘Yes,’ you should see a new window briefly
open and close on your computer.

If the window remains open and displays an ‘Action not successfully
completed’ message, please close the window. Once you have done so,
please reply to this message and let me know that you got the ‘Action
not successfully completed’ message.

[If Automatic Updates is not configured on the user’s computer to
automatically check for new updates, include the following paragraph]

If the window went away automatically, you can now go to
http://windowsupdate.microsoft.com and install Windows XP
Service Pack 2.

[If Automatic Updates is configured on the user’s computer to
automatically check for new updates, include the following paragraph]

If the windows went away automatically, Windows XP Service Pack 2
will be automatically downloaded to your computer. Please install it
when the computer notifies you that Windows XP Service Pack 2 has
been downloaded and is ready to install.

Thank you for your assistance.

Sincerely,

Your IT administrator.

---

SP2 Blocker Tool se facilita en inglés, pero funciona sobre cualquier
Windows XP de manera independiente al lenguaje, y se encuentra
disponible en la dirección http://go.microsoft.com/fwlink/?LinkId=33517

El ejecutable XPSP2BlockerTools.EXE, de 96 KB, es un archivo comprimido
que contiene los siguientes archivos:

Blocking delivery of Windows XP SP2 - sample email.doc (e-mail ejemplo)
BlockXPSP2.cmd (script para activación remota)
NOXPSP2Update.adm (plantilla de política de grupo)
Un-Blocking delivery of Windows XP SP2 - sample email.doc (e-mail ejemplo)
XPSP2Blocker.exe (herramienta para escribir clave del registro)

Para aquellos usuarios individuales que quieran aplicar la herramienta,
pero no necesitan el resto de elementos como plantillas o scripts para
redes, pueden utilizar directamente los siguientes enlaces:

BlockXPSP2.exe (para activar el bloqueo)
http://go.microsoft.com/fwlink/?LinkId=33518

UnBlockXPSP2.exe (para desactivar el bloqueo)
http://go.microsoft.com/fwlink/?LinkId=33519


Bernardo Quintero
bernardo@hispasec.com


Más información:

Aplicaciones incompatibles con el Service Pack 2 para Windows XP
http://www.hispasec.com/unaaldia/2122