KB5031043: procedimiento para seguir recibiendo actualizaciones de seguridad después de que finalice el soporte extendido el 10 de octubre de 2023

Introducción

Este artículo se aplica a los clientes que compran actualizaciones de seguridad extendida (ESU) para las siguientes versiones y ediciones de Windows Server 2012:

• Windows Server 2012 R2 Standard, Datacenter y Sistemas incrustados

• Windows Server 2012 Standard, centros de datos y sistemas incrustados

Procedure

Para seguir recibiendo actualizaciones de seguridad después del 10 de octubre de 2023, sigue estos pasos:

1. Para todos los servidores de Windows Server 2012 y Windows Server 2012 R2, debe tener instaladas las siguientes actualizaciones. Si usa Windows Update, se le ofrecerán estas actualizaciones automáticamente según sea necesario. 

   IMPORTANTE Debes reiniciar el dispositivo después de instalar las siguientes actualizaciones necesarias.

   • Para Windows Server 2012 R2, debes tener instalada la actualización de pila de mantenimiento (SSU) (KB5029368) con fecha 8 de agosto de 2023 o una SSU posterior.  Para más información sobre las actualizaciones más recientes de la SSU, consulte ADV990001 | Actualizaciones más recientes de la pila de servicio.

   • Por Windows Server 2012, debe tener instalada la actualización de la pila de mantenimiento (SSU) (KB5029369) con fecha 8 de agosto de 2023 o una SSU posterior.  Para más información sobre las actualizaciones más recientes de la SSU, consulte ADV990001 | Actualizaciones más recientes de la pila de servicio.

2. Descargue e instale el Paquete de preparación de licencias de Actualizaciones de seguridad extendida (ESU). Para más información al respecto, consulte los siguientes artículos en Microsoft Knowledge Base:

   IMPORTANTE Si no se te ofrecen las últimas actualizaciones acumulativas (actualizaciones de seguridad), debes instalar la siguiente actualización.

   NOTAS

   • El paquete de preparación de licencias no es necesario para obtener actualizaciones de ESU de Windows Server 2012 o Windows Server 2012 R2 en Azure, Azure Arc o Azure Stack HCI, versión 22H2.

   • Windows Server 2012 y Windows Server 2012 equipos R2 que tienen un paquete acumulativo mensual fechado el 12 de julio de 2022 o después instalados no es necesario instalar el paquete de preparación de licencias.

   • Windows Server 2012 y Windows Server 2012 equipos R2 que ejecutan la versión de versión sin actualizaciones instaladas o que tienen instaladas algunas actualizaciones con fecha anterior al 12 de julio de 2022 deben tener instalado el paquete de preparación de licencias desde Windows Server Update Services (WSUS) o Catálogo de Microsoft Update (consulte KB5017220 o KB5017221).

   • Los clientes que usan Scan Cab para instalar la actualización del 14 de noviembre de 2023 (KB5032247 o KB5032249) necesitan descargar el paquete de preparación de licencias desde el Catálogo de Microsoft Update (consulta KB5017220 o KB5017221) e instalar el paquete manualmente.

   • Para obtener Windows Server 2012 R2, consulte el Paquete de preparación de licencias de Novedades de seguridad extendida (ESU) con fecha 10 de agosto de 2022 (KB5017220).

   • Para obtener Windows Server 2012, consulte el paquete de preparación de licencias de Novedades de seguridad extendida (ESU) con fecha 10 de agosto de 2022 (KB5017221).

3. Siga uno de estos pasos.

   Después de completar correctamente los pasos, puedes seguir descargando las actualizaciones mensuales a través de los canales habituales de Windows Update, WSUS y catálogo de Microsoft Update. Puede seguir implementando las actualizaciones con la solución de administración de actualizaciones que prefiera.

   Pasos para Azure

   Puede migrar los servidores locales que ejecutan una versión de Windows Server que ha alcanzado o que está casi llegando a la finalización del soporte extendido a Azure, donde puede seguir ejecutándolos como máquinas virtuales.
   
   Para obtener más información sobre la migración a Azure, consulta Introducción a la Novedades de seguridad extendida para Windows Server.

   Pasos para Azure Stack HCI

   1. Activar la compatibilidad de SO heredada para la verificación de azure VM.
      
      Sigue estas instrucciones para activar la compatibilidad de SO heredada para la verificación de azure VM:

      • Uso de Windows Admin Center: Administrar el soporte técnico del SO heredado con Windows Admin Center

      • Usar PowerShell: Administrar la compatibilidad del so heredado con PowerShell

   2. Habilitar el acceso para nuevas máquinas virtuales
      
      También debe habilitar el acceso de compatibilidad de so heredado para cada máquina virtual que requiera ESU. Siga estas instrucciones:

      • Uso de Windows Admin Center: administrar el acceso de soporte técnico del sistema operativo heredado para las máquinas virtuales( Windows Admin Center. Comprueba que las máquinas virtuales DEU aparecen como Activas en la pestaña VM.

      • Usar PowerShell: Administrar el acceso de soporte técnico del SO heredado para las máquinas virtuales: PowerShell

   3. Instalar Novedades
      
      de seguridad extendida Una vez configurado el soporte técnico de SO heredado, puedes instalar los Novedades de seguridad extendida gratuitos para las máquinas virtuales aptas en el clúster. Instala las actualizaciones usando tu método de preferencia actual; por ejemplo, Windows Update, Windows Server Update Services (WSUS), Catálogo de Microsoft Update

   Para obtener más información, consulte Novedades de seguridad extendida (ESU) a través de Azure Stack HCI.

   Pasos para Azure Arc

   1. Para servidores de Windows que se ejecutan de forma local sin Azure Arc:

      1. Descargue la clave del complemento ESU MAK desde el portal de VLSC.

      2. Implemente y active la clave del complemento ESU MAK con Slmgr.vbs o herramienta VAMT.

         • Si usa la herramienta VAMT, tendrá que actualizar los archivos de configuración VAMT.

         • La activación en línea o la activación por proxy se pueden usar para implementar y activar la clave del complemento ESU MAK.

         • Si usa la activación en línea, debe asegurarse de que el dispositivo tiene acceso a los puntos de conexión del servidor de activación de Microsoft.

      3. Los pasos para instalar, activar e implementar las ESU para Windows Server 2012 y Windows Server 2012 R2 son los mismos que para Windows Server 2008 y Windows Server 2008 R2.

   2. Para servidores de Windows que se ejecutan de forma local con Azure Arc.

      1. No es necesario implementar una clave MAK si los servidores de Windows se ejecutan en máquinas virtuales (VM) en HCI de Azure o Azure Stack, versión 22H2 o dispositivos que Azure-Arc habilitados y se han registrado para el servicio pay-as-you-go sin claves.

      2. Para implementar la seguridad extendida Novedades habilitado por Azure Arc, debe incorporar los dispositivos a servidores habilitados para Azure Arc implementando el agente de máquina conectada. A continuación, puede aprovisionar y vincular licencias de Extended Security Update a sus servidores habilitados para Azure Arc, lo que ofrece la flexibilidad de un servicio facturado mensual de Azure de pago por uso.

      3. Los servidores habilitados para Azure Arc inscritos para Windows Server 2012 ESU reciben capacidades de Azure Update Management, Machine Configuration y Seguimiento de cambios e inventario sin coste adicional. Para obtener más información, consulte Prepararse para entregar Novedades de seguridad extendida para Windows Server 2012 a través de Azure Arc.

      4. Proporcionar acceso al "microsoft.com/pkiops/certs"
         del punto de conexión Si no puede abrir el acceso a este punto de conexión, puede descargar la CA intermedia (válida hasta 6 meses) en los servidores habilitados para Azure Arc como solución stopgap.

         • Para Azure Commercial Cloud, descargue esta CA intermedia publicada por Microsoft. Instale el certificado descargado como equipo local en Entidades de certificación intermedias\Certificados. Use el siguiente comando para instalar el certificado correctamente:

           certutil -addstore CA 'Microsoft Azure TLS Issuing CA 01 - xsign.crt'

         • Para Azure Government Cloud, descarga esta CA intermedia publicada por Microsoft. Instale el certificado descargado como equipo local en Entidades de certificación intermedias\Certificados. Use el siguiente comando para instalar el certificado correctamente:

           certutil -addstore CA 'Microsoft Azure TLS Issuing CA 02 - xsign.crt'

   Para obtener más información, consulta Ofrecer Novedades de seguridad extendida para Windows Server 2012.

Más información

Si usas Windows Update, la SSU más reciente se te ofrecerá automáticamente si eres cliente de ESU. Para obtener el paquete independiente de la SSU más reciente, búsquelo en el Catálogo de Microsoft Update. Para obtener información general sobre las SSU, consulte Actualizaciones de pila de mantenimiento y Actualizaciones de pila de mantenimiento (SSU): preguntas más frecuentes.

• Para otros productos de Azure, como Azure VMWare, Azure Nutanix Solution, Azure Stack (Hub, Edge) o para imágenes que traigan sus propias imágenes en Azure para Windows Server 2012 o Windows Server 2012 R2, debe implementar la clave de ESU.

• Los recursos de Azure requieren certificados SSL/TLS actualizados para asegurarse de que los puntos de conexión están disponibles y se actualizan.

• Los recursos de Azure requieren conectividad con MetaData Service (IMDS) de instancia de Azure.

Referencias

• ¿Qué es el programa Extended Security Update (ESU)?

• Información general sobre las Novedades de seguridad extendida para Windows Server 2008, 2008 R2, 2012 y 2012 R2

• Saque el máximo partido de Windows Server con estos 5 procedimientos recomendados

• Maximice sus inversiones en Windows Server con nuevas ventajas y más flexibilidad

• Solucionar problemas en la Novedades de seguridad extendida (ESU) | Microsoft Learn

• Windows Server 2012/R2: Novedades de seguridad extendida

• Novedades de seguridad extendida (ESU): activación en línea o proxy

• ¡Los primeros parches de ESU Windows Server 2012/R2 no están! ¿Estás protegido?