El parche acumulativo KB5033373 está generando reinicios inesperados y pérdidas de servicio en Windows Server 2016. En este artículo aprenderás cómo bloquearlo de forma segura y reversible sin recurrir a descargas de origen dudoso, empleando herramientas oficiales y métodos de administración centralizada.
Por qué este parche resulta problemático
Administradores de centros de datos y entornos on‑prem han reportado que KB5033373 desencadena bucles de arranque, pantallas azules relacionadas con win32kfull.sys y corrupción de controladores de dominio. Aunque Microsoft investiga la causa, mantener los sistemas productivos estables exige impedir la instalación automática del paquete afectado.
Concepto clave: ocultar actualizaciones en Windows Update
Windows Update dispone internamente de un atributo llamado IsHidden. Cuando un parche se marca como oculto, el agente de actualización lo ignora en los ciclos de exploración posteriores. La forma más sencilla de cambiar este atributo sin WSUS consiste en ejecutar el solucionador de problemas oficial denominado wushowhide.diagcab, conocido como Show or Hide Updates Troubleshooter.
Uso del asistente Show or Hide Updates
El archivo wushowhide.diagcab continúa alojado en la infraestructura de descargas de Microsoft. Aun sin disponer de un enlace en la IU, el paquete permanece firmado digitalmente y es totalmente legítimo.
- Copie el archivo en cada servidor afectado y ábralo con privilegios de Administrador.
- Seleccione la opción Hide updates.
- Localice
2024-12 Cumulative Update for Windows Server 2016 for x64-based Systems (KB5033373)y active la casilla. - Pulse Next y espere a que aparezca la confirmación de que la actualización ha sido ocultada.
- Cierre el asistente y ejecute
wuauclt /detectnowo reinicie el servicio wuauserv para forzar una nueva detección.
Ventajas principales
- Herramienta mantenida por Microsoft, sin riesgo de malware.
- No altera directivas de grupo ni requiere consola WSUS.
- Ocultar es reversible: basta con volver a abrir el asistente, elegir Show hidden updates y desmarcar el parche.
Limitaciones a considerar
- La acción es local; hay que repetirla en cada host.
- Si Microsoft republica la corrección con un nuevo identificador KB, será necesario ocultarla de nuevo.
- No genera eventos de auditoría centralizados en el visor de sucesos.
Métodos alternativos para grandes infraestructuras
Rechazar el parche mediante WSUS o Microsoft Configuration Manager
En entornos con WSUS, basta con hacer clic derecho en el parche y seleccionar Decline. En ConfigMgr, crea una regla de ADR que excluya el número KB o ajusta el anillo piloto para que solo incluya equipos de laboratorio. Con ello obtienes:
- Bloqueo centralizado sin intervención manual en servidores.
- Informes de cumplimiento y alertas si alguien instala el parche manualmente.
Aplicar una directiva de grupo para controlar la instalación automática
La configuración Configurar Actualizaciones automáticas = 3 (Download and Notify) obliga a un administrador a aprobar cada parche desde la GUI de Windows Update. Combinada con una notificación por correo, proporciona una última línea de defensa cuando no existe WSUS:
Ruta GPO:
Directiva de Equipo > Plantillas administrativas > Componentes de Windows > Windows Update
Automatizar con PowerShell y el módulo PSWindowsUpdate
PSWindowsUpdate expone la función Hide-WindowsUpdate que modifica directamente la propiedad IsHidden. El siguiente script distribuye la acción a un conjunto de servidores:
# Lista de hosts en CSV: servidores.csv
Formato: ServerName
Import-Module PSWindowsUpdate
$kb = "KB5033373"
$servers = Import-Csv .\servidores.csv
$credential = Get-Credential "DOMINIO\Admin"
foreach (\$s in \$servers) {
Invoke-Command -ComputerName \$s.ServerName -Credential \$credential -ScriptBlock {
Param(\$kb)
Write-Host "\[\$env\:COMPUTERNAME] Ocultando \$kb..."
Hide-WindowsUpdate -KBArticleID \$kb -AcceptAll -Verbose
} -ArgumentList \$kb
}La función devuelve un objeto con ResultCode = Succeeded cuando la operación se completa; registra también un evento ID = 19 en Microsoft-Windows-WindowsUpdateClient/Operational, útil para auditoría.
Comparativa de métodos
| Método | Escenario ideal | Ventajas | Desventajas |
|---|---|---|---|
| Show or Hide Updates | Hasta 10 servidores sin WSUS | Rápido, reversible, oficial | Acción manual y local |
| WSUS/ConfigMgr | Granja con cientos de hosts | Gestión central, reporting | Infraestructura adicional |
| Directiva GPO con notificación | Entornos híbridos sin WSUS | Sencillo de configurar | La decisión final es humana |
| PSWindowsUpdate | Automatización vía CI/CD | Scripting flexible, logs | Requiere módulo externo |
Comprobación de que el parche está bloqueado
Para cerciorarte, ejecuta:
Get-WindowsUpdate -KBArticleID KB5033373 -IsHidden
El comando debe devolver True. En WSUS, el reporte de estado mostrará los equipos con “Not Applicable”. Además, verifica en C:\Windows\WindowsUpdate.log la línea Update KB5033373 is hidden, skipping download.
Rehabilitar la actualización una vez solucionado el problema
Microsoft publicará eventualmente un parche revisado o una solución. Para revertir:
- Abre wushowhide.diagcab y elige Show hidden updates.
- Desmarca KB5033373.
- Ejecuta
wuauclt /updatenowoUsoClient StartScanpara forzar la descarga. - Reinicia el servidor en la ventana de mantenimiento.
Preguntas frecuentes
¿El asistente Show or Hide Updates funciona en Server Core?
No, el archivo .diagcab requiere subsistema gráfico. En Server Core utiliza el método de PowerShell o rechaza el parche en WSUS.
¿Ocultar una actualización afecta parches de seguridad relacionados?
Solo se omite el paquete específico. Si Microsoft lanza otro acumulativo que subsume los mismos componentes, aparecerá con su nuevo identificador y tendrás que evaluarlo caso por caso.
¿Puedo bloquear el parche editando el registro?
Modificar directamente HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate no está soportado y complica futuras auditorías. Es mejor usar las APIs del agente de Windows Update a través de PowerShell o el asistente.
Conclusión
Evitar la instalación de KB5033373 es una medida prudente mientras Microsoft publica una corrección. Para entornos pequeños, el asistente Show or Hide Updates ofrece la ruta más rápida y segura. En infraestructuras extensas, WSUS, una directiva de grupo restrictiva o PowerShell automatizado proporcionan un control granular y trazable. Selecciona la estrategia que se alinee con tu modelo de operación y mantén una revisión periódica de los parches ocultos para activar su despliegue cuando se resuelvan los problemas.