Uso del archivo cab de Windows

En el marco de los análisis iniciados por sus escaneos de vulnerabilidades, Cyberwatch puede transferir un archivo de dependencias de actualizaciones proporcionado por Microsoft conocido como wsusscn2.cab.

Este archivo permite ejecutar el equivalente de un análisis de Windows Update en modo desconectado.

El archivo cab contiene información sobre la mayoría de los parches para Windows y para las aplicaciones Microsoft distribuidas por Windows Update.

La principal problemática vinculada al uso de este archivo para los análisis es su tamaño. Actualmente representa una transferencia de más de 900 MB, por lo que la distribución de este archivo en cada activo puede ser compleja.

Activos para los que se recomienda un análisis WUA

Los análisis mediante WUA (Windows Update Agent) permiten aportar información sobre las KB disponibles de ciertos activos.

El análisis de algunas configuraciones de activos Windows requiere el uso de WUA para ser completo. Esto afecta a los activos Windows que cumplan al menos una de estas condiciones:

  • sistemas antiguos Windows Server 2012 o anterior
  • sistemas antiguos Windows 7 o anterior
  • cualquier sistema Windows con una aplicación Microsoft instalada por MSI cuyas actualizaciones se gestionan por KB

Condiciones de transferencia del archivo cab para los escaneos Cyberwatch

Los análisis de Cyberwatch requieren el uso del archivo cab solo para escanear ciertas configuraciones específicas de activos Windows. Esta transferencia, cuando es necesaria, será independiente del modo de escaneo (con agente, conexión en modo sin agente, air gap…) utilizado.

La transferencia del archivo cab tendrá lugar únicamente en los activos Windows que no tengan acceso a Internet o para los que un análisis mediante Windows Update no sea posible.

En el caso de que el análisis por WUA no sea posible y que la transferencia del archivo cab no sea deseada o resulte imposible, esto tendrá como consecuencia:

  • para sistemas antiguos, el análisis de las KB faltantes relativas al sistema operativo y a las aplicaciones Microsoft será incompleto
  • para sistemas recientes con aplicaciones Microsoft, el análisis de las KB vinculadas a estas aplicaciones será incompleto

Ubicación del archivo cab

Escaneos en modo con o sin agente

En el caso de un escaneo en modo con o sin agente, el archivo cab se guardará en el directorio C:\Windows\System32\config\systemprofile\AppData\Roaming\Cyberwatch.

Escaneos en modo air gap

Para los análisis en modo air gap, la interfaz Cyberwatch ofrece una opción que permite “Descargar el archivo de análisis Windows sin conexión”. Esta opción permite descargar el archivo cab de Microsoft para poder utilizarlo en los análisis air gap.

La ejecución del script WUA con archivo cab queda a elección del usuario, pero permitirá en los casos mencionados anteriormente disponer de un análisis más completo del sistema.

Desactivación de la transferencia del archivo cab en Cyberwatch

La desactivación de la transferencia del archivo cab en un activo o un conjunto de activos se realiza mediante el uso de las políticas de análisis, desactivando la ejecución del escaneo de vulnerabilidades Windows con WUA.

La desactivación de esta transferencia requiere la activación de la funcionalidad de análisis personalizados.

A continuación se muestra un ejemplo de procedimiento paso a paso para desactivar la ejecución del escaneo de vulnerabilidades Windows con WUA en un conjunto de activos:

  1. Crear una política de análisis desde el menú Configuración > Políticas de análisis haciendo clic en el botón Añadir
  2. Definir el nombre y la ventana de análisis autorizada
  3. En la sección “Scripts de análisis”, hacer clic en el botón “Añadir un análisis personalizado”
  4. Seleccionar como análisis “Escaneo de vulnerabilidades Windows con WUA”
  5. Definir el periodo del escaneo en “Nunca”
  6. Hacer clic en el botón “Guardar”

Esta política, una vez asignada a los activos deseados, desactivará la ejecución del script de análisis responsable de la transferencia del archivo cab.

No dude en consultar la documentación de políticas de análisis para obtener más información sobre el uso de las políticas de análisis.

Volver arriba

English Français Español