Configurar el firewall para las actualizaciones Windows 11
Las actualizaciones Windows 11 son esenciales para la seguridad, el rendimiento y la compatibilidad. Sin embargo, a menudo, las actualizaciones fallan no por el sistema operativo, sino por configuraciones restrictivas de los firewalls y servidores proxy. Microsoft ha publicado recientemente recomendaciones actualizadas sobre la configuración del firewall y toda la infraestructura de red para permitir el correcto funcionamiento del servicio Windows Update.
En este artículo aprenderás cómo configurar el firewall y el proxy de manera que Windows 11 reciba las actualizaciones sin interrupciones, evitando errores de conectividad, bloqueos de descarga y problemas de cumplimiento.
¿Por qué surgen problemas con Windows Update?
En entornos empresariales, el tráfico hacia Internet a menudo es filtrado por firewalls de nueva generación, proxies HTTPS y sistemas de inspección TLS. Aunque estas medidas aumentan la seguridad, pueden interferir con los mecanismos de seguridad integrados en Windows Update. Microsoft recomienda evitar la interceptación del tráfico hacia los endpoints oficiales de actualización, ya que el servicio valida certificados y conexiones cifradas para prevenir ataques de tipo man-in-the-middle.
Cuando un firewall bloquea ciertos subdominios de Microsoft o cuando un proxy reescribe los certificados TLS, los clientes Windows 11 pueden mostrar síntomas como:
- actualizaciones que permanecen en estado “Descargando”;
- códigos de error de Windows Update;
- imposibilidad de descargar actualizaciones acumulativas;
- problemas con Microsoft Defender y actualizaciones de definiciones;
- fallos en las actualizaciones para Microsoft Store y controladores.
El principio recomendado por Microsoft
Microsoft recomienda permitir el acceso directo a los endpoints de Windows Update y excluirlos de los procesos de inspección TLS o SSL Decryption. En lugar de depender de direcciones IP fijas, las organizaciones deberían permitir el acceso basado en los dominios y subdominios oficiales de Microsoft, ya que la infraestructura en la nube cambia con frecuencia.
Este modelo ofrece dos ventajas importantes:
- mantiene la integridad de las verificaciones criptográficas realizadas por Windows Update;
- reduce el número de incidentes generados por los cambios en la infraestructura de Microsoft.
Configuración del firewall para Windows 11
Para un funcionamiento óptimo, el firewall debe permitir conexiones HTTPS salientes hacia los servicios de Windows Update.
Recomendaciones esenciales para la configuración del firewall
- Permite el tráfico HTTPS (puerto 443) hacia los endpoints de Windows Update.
- Evita bloquear subdominios de Microsoft utilizados para la distribución de actualizaciones.
- No realices inspección SSL para el tráfico de Windows Update.
- Verifica regularmente las listas oficiales de endpoints de Microsoft, ya que pueden ser actualizadas.
En organizaciones que utilizan soluciones como Palo Alto, Fortinet, Check Point o Cisco Secure Firewall, se recomienda crear políticas dedicadas para los servicios de Microsoft Update, separadas de las políticas generales de navegación web.
Configuración del proxy
Los proxies son una de las causas más comunes de problemas de actualización en Windows 11.
Windows utiliza varios mecanismos para la configuración del proxy, incluyendo WinINET y WinHTTP. Una configuración incorrecta puede dar lugar a situaciones en las que el navegador funciona normalmente, pero Windows Update no puede comunicarse con los servicios de Microsoft.
Mejores prácticas
- Utiliza configuraciones de proxy a nivel de sistema, no solo a nivel de usuario.
- Asegúrate de que los servicios de Windows puedan acceder al proxy incluso antes de la autenticación del usuario.
- Verifica la sincronización entre las configuraciones de WinINET y WinHTTP.
- Evita proxies que modifiquen certificados TLS para el tráfico de Windows Update.
Microsoft subraya que muchos servicios de Windows se ejecutan en contextos diferentes al del usuario conectado, por lo que una configuración exclusivamente por usuario puede generar errores difíciles de diagnosticar.
Optimización de la entrega y su impacto en la red
Windows 11 utiliza el servicio de Optimización de Entrega para acelerar la distribución de actualizaciones y reducir el consumo de ancho de banda. Este permite la descarga de paquetes tanto de Microsoft como de otros dispositivos autorizados en la red.
Para las organizaciones, se recomienda evaluar las políticas de Optimización de Entrega para que:
- las actualizaciones se distribuyan de manera eficiente entre las estaciones locales;
- se reduzca el consumo de Internet;
- las actualizaciones se entreguen más rápidamente en sucursales y ubicaciones remotas.
Cómo verificar si el firewall bloquea Windows Update
Si tienes problemas de actualización, verifica lo siguiente:
1. Prueba la conectividad HTTPS
Confirma que los dispositivos pueden acceder a los endpoints de Microsoft sin errores de certificado.
2. Analiza los registros del firewall
Busca conexiones rechazadas a dominios de Microsoft utilizados por Windows Update.
3. Verifica la configuración del proxy
Compara las configuraciones de WinHTTP y WinINET y valida el acceso de los servicios del sistema.
4. Examina el registro de Windows Update
Los registros pueden indicar problemas de autenticación TLS, resolución DNS o acceso a través del proxy.
La base de un proceso de actualización Windows 11 estable y seguro
Una configuración correcta del firewall y del proxy es la base de un proceso de actualización Windows 11 estable y seguro. La recomendación principal de Microsoft es clara: permite el acceso a los endpoints oficiales de Windows Update, evita la interceptación TLS y utiliza configuraciones de proxy compatibles con los servicios del sistema.
Para las organizaciones que buscan cumplimiento, seguridad y reducción de tiempos de administración, la implementación de estas buenas prácticas puede eliminar la mayoría de los incidentes relacionados con las actualizaciones Windows 11 y asegurar una experiencia predecible para los usuarios y los equipos de TI.
Fuente: microsoft.com
