Esta es la pregunta número uno que recibimos de los administradores de TI que evalúan Deep Freeze. Y honestamente, es la pregunta correcta que hay que hacer.
"Si Deep Freeze borra todos los cambios al reiniciar, ¿cómo diablos mantengo Windows actualizado? ¿Cómo instalo nuevo software? ¿Cómo aplico parches de seguridad?"
Preocupación legítima. Si Deep Freeze realmente borrara todo permanentemente, sería una pesadilla de seguridad: te quedarías ejecutando sistemas obsoletos y vulnerables para siempre. Obviamente, no funciona así.
La respuesta corta: Deep Freeze tiene ventanas de mantenimiento integradas que descongelan temporalmente tus sistemas, aplican actualizaciones y vuelven a congelar automáticamente. Puedes programarlo, automatizarlo y olvidarte de él en gran medida.
Pero la respuesta corta nunca cuenta toda la historia. Vamos a repasar exactamente cómo funciona esto, cuáles son tus opciones y los errores que hemos visto cometer a los administradores a lo largo de los años.
Por qué las actualizaciones no se conservan por defecto (y por qué ese es el punto)
Primero, entendamos qué está sucediendo realmente bajo el capó.
Cuando Deep Freeze está activo, lo que llamamos el estado "Congelado", redirige todas las operaciones de escritura a una tabla de asignación temporal en lugar del disco duro real. Los datos originales del sistema permanecen intactos. Cuando reinicias, Deep Freeze descarta esa tabla de asignación y la línea base original reaparece.
Esto es exactamente lo que hace que Deep Freeze sea tan efectivo. El malware no puede persistir. Los errores del usuario se borran. La deriva de la configuración es imposible. Cada reinicio vuelve a tu estado conocido y bueno.
Pero también significa que si instalas actualizaciones de Windows mientras está congelado, esas actualizaciones solo existen en la tabla de asignación temporal. Reinicias, y se han ido: el sistema vuelve a su estado anterior (sin parches).
Esto no es un error. Es la característica principal. La pregunta es: ¿cómo permites selectivamente que ciertos cambios (como las actualizaciones) se vuelvan permanentes mientras te proteges contra todo lo demás?
Ahí es donde entra el modo de mantenimiento.
Cómo funciona el modo de mantenimiento: Descongelar, Actualizar, Volver a congelar
El concepto fundamental es sencillo: para realizar cambios permanentes en un sistema congelado, lo "descongelas" temporalmente. Mientras está descongelado, el sistema se comporta como cualquier máquina Windows normal: los cambios se escriben directamente en el disco y persisten en los reinicios. Cuando terminas, lo vuelves a congelar, y ese nuevo estado se convierte en la línea base.
Puedes hacerlo manualmente: inicia sesión, introduce tu contraseña de administrador, descongela la máquina, ejecuta tus actualizaciones y luego vuelve a congelar. Todos lo hemos hecho en un apuro. Pero la descongelación manual no escala. Si administras 50, 200 o 2.000 máquinas, necesitas automatización.
Deep Freeze proporciona varias formas de automatizar esto:
Períodos de descongelación programada.Defines una ventana, por ejemplo, todos los miércoles a las 2 AM, cuando la máquina se reinicia automáticamente en un estado descongelado. Durante esta ventana, se ejecutan tus actualizaciones. Cuando la ventana se cierra, la máquina se reinicia y se vuelve a congelar con la nueva línea base.
Tareas de Windows Update.Deep Freeze Cloud y Enterprise tienen un tipo de tarea dedicado para Windows Update. Es más inteligente que una simple ventana de descongelación: puede descargar actualizaciones mientras aún está congelado (almacenándolas localmente en caché), luego descongelarse solo el tiempo suficiente para instalarlas. Una vez que la instalación se completa, se vuelve a congelar automáticamente. No se requiere una hora de finalización fija.
Tareas de Archivo por Lotes.Para actualizaciones de software de terceros o scripts personalizados, puedes programar archivos por lotes para que se ejecuten durante los períodos de descongelación. Deep Freeze descongela la máquina, ejecuta tu script y luego vuelve a congelar cuando se completa.
Descongelación bajo demanda.Desde la consola o la aplicación móvil, puedes activar manualmente una descongelación en máquinas o grupos específicos. Útil para parches de emergencia o instalaciones de software únicas.
La clave es esta: Deep Freeze no lucha contra las actualizaciones, te da un control preciso sobre cuándo y cómo ocurren.
Mejores prácticas para actualizaciones de Windows con Deep Freeze
Después de años de dar soporte a organizaciones que ejecutan Deep Freeze a escala, hemos aprendido lo que funciona y lo que causa dolores de cabeza. Aquí está nuestro enfoque recomendado:
Programar el mantenimiento fuera del horario laboral.Esto parece obvio, pero vale la pena decirlo: ejecuta tus ventanas de actualización cuando los usuarios no estén en las máquinas. Para las escuelas, son las noches o los fines de semana. Para las bibliotecas, durante la noche. Para entornos 24/7, encuentra tu ventana de menor uso. Lo último que quieres es que una máquina se reinicie a mitad de sesión.
Usar "Cuando Windows Update se completa" en lugar de horas de finalización fijas.Las primeras versiones de Deep Freeze requerían que establecieras una ventana de mantenimiento fija, por ejemplo, de 2 AM a 4 AM. ¿El problema? A veces las actualizaciones terminan en 20 minutos. A veces tardan tres horas. Si la ventana se cierra antes de que las actualizaciones se completen, corres el riesgo de bucles de arranque o instalaciones incompletas. Las versiones modernas te permiten seleccionar "Cuando Windows Update se completa"; la máquina permanece descongelada hasta que todo esté instalado correctamente, y luego se vuelve a congelar automáticamente. Usa esta opción.
Deja que Deep Freeze descargue las actualizaciones mientras está congelado.Deep Freeze puede almacenar en caché las actualizaciones de Windows incluso cuando el sistema está congelado. La instalación real requiere una descongelación, pero la descarga no. Esto significa que tu ventana de descongelación se dedica a instalar, no a esperar descargas de varios gigabytes. Es significativamente más rápido.
Usa Wake-on-LAN para máquinas apagadas.La administración de energía de Deep Freeze puede despertar máquinas para el mantenimiento programado, incluso si están apagadas. Configura esto para que tus actualizaciones nocturnas realmente ocurran, en lugar de fallar porque alguien apagó el PC.
Considera usar WSUS para un mayor control.Si estás ejecutando un servidor WSUS, Deep Freeze se integra con él. ¿La ventaja? Controlas exactamente qué actualizaciones se envían. La tarea nativa de Windows Update de Deep Freeze aplica actualizaciones críticas y de seguridad por defecto, pero WSUS te permite aprobar parches específicos, posponer actualizaciones de características o probar antes de desplegar ampliamente.
Escalona tus ventanas de mantenimiento.No programes que las 200 máquinas se actualicen exactamente a las 2 AM. Escalonarlas: Grupo A a las 2 AM, Grupo B a las 2:30 AM, y así sucesivamente. Esto reduce la carga en tu red y en los servidores de actualización, y significa que si algo sale mal, lo detectas antes de que afecte a todo el parque.
Programa reinicios incluso sin actualizaciones.Incluso si no hay actualizaciones pendientes, los reinicios periódicos restauran tu línea base congelada y borran cualquier dato de sesión acumulado. Muchas organizaciones programan reinicios diarios o semanales como práctica estándar.
Actualizar software de terceros sin romper cosas
Windows Update se encarga del sistema operativo. Pero, ¿qué pasa con Chrome, Firefox, Adobe Reader, Java, Zoom y las docenas de otras aplicaciones en tus máquinas?
Se aplica el mismo principio: las actualizaciones deben realizarse mientras está descongelado. Pero las actualizaciones de terceros requieren un poco más de reflexión porque Deep Freeze no las administra directamente.
Opción 1: Usa tus herramientas de implementación existentes.Si ya estás usando SCCM, Intune, PDQ Deploy o similar, sigue usándolas. Programa tus implementaciones para que coincidan con los períodos de descongelación de Deep Freeze. Implementa software mientras está descongelado, y luego deja que Deep Freeze vuelva a congelar con las nuevas aplicaciones en la línea base.
Opción 2: Usa las tareas de Archivo por Lotes de Deep Freeze.Puedes programar archivos por lotes o scripts de PowerShell para que se ejecuten durante los períodos de descongelación. Escribe un script que actualice silenciosamente tus aplicaciones clave, prográmalo como una tarea de Archivo por Lotes, y Deep Freeze se encarga del ciclo de descongelar-ejecutar-volver a congelar automáticamente.
Opción 3: Usa el Actualizador de Software de Deep Freeze Cloud.Si estás en ciertos paquetes de Deep Freeze Cloud, la función Actualizador de Software puede manejar aplicaciones comunes de terceros automáticamente. Busca actualizaciones y las aplica durante las ventanas de mantenimiento.
Consejo crítico: desactiva las actualizaciones automáticas dentro de las aplicaciones.Muchas aplicaciones intentan actualizarse automáticamente. En una máquina congelada, estas actualizaciones se descargan, se instalan parcialmente, luego desaparecen al reiniciar, desperdiciando ancho de banda y potencialmente causando un comportamiento extraño. Desactiva las funciones de actualización automática dentro de las propias aplicaciones y administra las actualizaciones centralmente durante los períodos de descongelación en su lugar.
Las definiciones de antivirus son un caso especial.Tu software antivirus probablemente actualiza las definiciones varias veces al día. Algunos productos antivirus pueden almacenar definiciones en una partición Descongelada (más sobre eso a continuación), lo que permite que las actualizaciones persistan sin descongelar todo el sistema. Alternativamente, programa las actualizaciones de definiciones durante tus períodos de descongelación. Coordina con la documentación de tu proveedor de antivirus para obtener los mejores resultados.
Errores comunes que causan dolores de cabeza
Hemos estado dando soporte a implementaciones de Deep Freeze durante casi 30 años. Estos son los errores relacionados con las actualizaciones que vemos con más frecuencia:
Actualizar mientras está congelado y preguntarse por qué no funcionó.Esto sucede más de lo que crees, especialmente con administradores nuevos. Instalan actualizaciones, reinician, y las actualizaciones desaparecen. Luego instalan de nuevo, reinician de nuevo, mismo resultado. Comprueba tu estado de congelación antes de ejecutar las actualizaciones. El icono del oso polar en la bandeja del sistema te lo indica: animado significa congelado, estático significa descongelado.
Olvidarse de volver a congelar después de descongelar manualmente.Descongelas una máquina para instalar algo, te distraes y la dejas descongelada durante días. Esa máquina ahora no está protegida: acumula cambios, potencialmente contrae malware, se desvía de tu línea base. Siempre vuelve a congelar inmediatamente cuando termines. Si tiendes a olvidarte, usa períodos de descongelación programada con recongelación automática en lugar de descongelación manual.
Establecer ventanas de mantenimiento fijas que son demasiado cortas.Una ventana de dos horas puede estar bien para el martes de parches mensual. Pero si una máquina ha estado apagada durante semanas y tiene docenas de actualizaciones pendientes, dos horas no serán suficientes. Usa la opción "Cuando Windows Update se completa" para evitar este problema por completo.
No probar las actualizaciones antes del despliegue masivo.Esto no es específico de Deep Freeze, pero también es importante aquí. Prueba las actualizaciones en un grupo piloto primero. Si algo falla, querrás saberlo antes de que afecte a todo tu parque.
Ignorar las actualizaciones de características de Windows.A partir de Windows 10, Microsoft lanza actualizaciones de características importantes una o dos veces al año. Son grandes, consumen mucho tiempo y a veces cambian las cosas significativamente. Deep Freeze las maneja, pero debes planificar ventanas de mantenimiento más largas y considerar posponerlas hasta que hayas probado a fondo.
Usar herramientas de actualización de terceros sin coordinación.Deep Freeze suprime el servicio de Windows Update mientras está congelado para evitar conflictos. Si estás utilizando una herramienta de parcheo de terceros que depende de Windows Update, puede que no funcione correctamente a menos que se ejecute durante los períodos de descongelación. Coordina tus herramientas con tu calendario de mantenimiento de Deep Freeze.
Una nota sobre ThawSpaces y particiones descongeladas
Quizás te estés preguntando: ¿hay alguna forma de mantener ciertos datos persistentes sin descongelar todo el sistema?
Sí. Deep Freeze ofrece ThawSpaces y particiones descongeladas para este propósito exacto.
ThawSpacesson particiones virtuales que permanecen escribibles incluso cuando el sistema está congelado. Los datos guardados en un ThawSpace persisten en los reinicios. Son útiles para cosas como documentos de usuario, definiciones de antivirus o datos de aplicaciones que necesitan sobrevivir a los reinicios.
Particiones Descongeladasson unidades completas que Deep Freeze ignora. Si tu máquina tiene una unidad D: configurada como Descongelada, cualquier cosa guardada allí persiste independientemente del estado de congelación.
Sin embargo, y esto es importante, no puedes usar ThawSpaces o particiones descongeladas para hacer que las actualizaciones de Windows sean persistentes. Los archivos del sistema de Windows residen en la partición del sistema congelada. Las actualizaciones necesitan modificar esos archivos, lo que requiere descongelar la partición del sistema en sí.
Los ThawSpaces son para datos de usuario y datos de aplicaciones específicas. Las actualizaciones del sistema requieren períodos de descongelación adecuados.
Preguntas frecuentes
¿Pueden las actualizaciones de Windows instalarse de forma completamente automática?
Sí. Configura una tarea de Windows Update en Faronics Cloud Deep Freeze, configúrala para que se ejecute durante el horario no laboral y selecciona "Cuando Windows Update se complete". Deep Freeze descargará las actualizaciones mientras está congelado, se descongelará automáticamente a la hora programada, instalará las actualizaciones, manejará cualquier reinicio necesario y se volverá a congelar al finalizar. No se requiere intervención manual.
¿Con qué frecuencia debo programar las ventanas de mantenimiento?
Depende de tu entorno. La mayoría de las organizaciones programan tareas de Windows Update semanalmente, a menudo coincidiendo con el Patch Tuesday (el segundo martes de cada mes) más una o dos ejecuciones adicionales para capturar cualquier cosa que requiera múltiples reinicios. Para entornos con uso intensivo o alta sensibilidad de seguridad, considera ejecutar el mantenimiento dos veces por semana. Para entornos de menor riesgo, quincenalmente puede ser suficiente.
¿Pueden los usuarios actualizar el software por sí mismos?
Por defecto, no, y eso es intencional. Cualquier software que los usuarios instalen mientras está congelado desaparecerá al reiniciar. Si quieres que los usuarios puedan instalar software persistente, necesitarías darles acceso a la descongelación, lo que anula el propósito de protección. Mejor práctica: deja que los usuarios soliciten software a través de tus canales de TI habituales y despliégalo centralmente durante las ventanas de mantenimiento.
¿Qué pasa si una máquina se pierde su ventana de mantenimiento?
Si una máquina está apagada durante su mantenimiento programado, las actualizaciones no se ejecutarán. Opciones: habilita Wake-on-LAN para que Deep Freeze pueda despertar la máquina, o programa una ventana de "recuperación" durante las horas diurnas como respaldo. Faronics Cloud Deep Freeze muestra el estado de las tareas de mantenimiento en la consola, por lo que puedes identificar las máquinas que se perdieron su ventana.
¿Cómo manejo las máquinas que necesitan diferentes horarios de actualización?
Crea múltiples políticas. Deep Freeze te permite definir diferentes configuraciones para diferentes grupos de máquinas. Tus laboratorios de computación podrían actualizarse semanalmente los miércoles, mientras que los PCs públicos de la biblioteca se actualizan diariamente durante la noche. Configura grupos en tu consola y asigna las políticas apropiadas a cada uno.
¿Qué pasa con WSUS? ¿Funciona Deep Freeze con él?
Sí. Puedes configurar Deep Freeze para que obtenga actualizaciones de tu servidor WSUS en lugar de directamente de Microsoft. La ventaja es el control: WSUS te permite aprobar actualizaciones específicas, probar antes de desplegar y administrar qué actualizaciones llegan a qué máquinas. Deep Freeze instalará todas las actualizaciones aprobadas por WSUS durante la ventana de mantenimiento.
¿Puedo actualizar Deep Freeze mientras el sistema está congelado?
No. Las actualizaciones de Deep Freeze requieren que el sistema esté descongelado. Puedes enviar actualizaciones de Deep Freeze desde la consola durante las ventanas de mantenimiento, o programarlas como parte de tu ciclo de mantenimiento regular.
En resumen: las actualizaciones y Deep Freeze funcionan juntos
La preocupación de que Deep Freeze impida las actualizaciones es una de las objeciones más comunes que escuchamos: y una de las más fáciles de abordar.
Sí, Deep Freeze borra los cambios por defecto. Ese es el propósito. Pero también te da ventanas controladas para hacer cambios permanentes cuando los necesitas. Las actualizaciones se descargan mientras está congelado. Las máquinas se descongelan automáticamente en los horarios programados. Las actualizaciones se instalan. Las máquinas se vuelven a congelar con la línea base actualizada.
¿El resultado? Obtienes los beneficios de seguridad y consistencia de la restauración al reiniciar, mientras mantienes sistemas completamente parcheados y actualizados. No tienes que elegir.
Configura tus ventanas de mantenimiento correctamente, usa las funciones de automatización que hemos incorporado, y las actualizaciones se convierten en un problema menor. Tenemos organizaciones ejecutando miles de máquinas congeladas con parches totalmente automatizados. Funciona.
Si todavía no estás seguro de cómo funcionaría esto en tu entorno, obtén una prueba y pruébalo. Configura una ventana de mantenimiento, ejecuta algunas actualizaciones, ve cómo funciona el proceso en la práctica. Eso vale más que cualquier documentación.
¿Listo para verlo en acción?
Prueba Faronics Cloud Deep Freeze gratis durante 30 días. Configura una ventana de mantenimiento, ejecuta algunas actualizaciones y comprueba lo fluido que es.
