MENU
  1. Inicio
  2. Windows
  3. Windows Server
  4. Cómo impedir que Windows Server 2019 ofrezca el KB 5038549 en Windows Update

Cómo impedir que Windows Server 2019 ofrezca el KB 5038549 en Windows Update

Windows Server

Cuando un parche acumulativo aparece una y otra vez en la cola de Windows Update puede interrumpir las ventanas de mantenimiento, provocar reinicios inesperados y, en el peor de los casos, dejar a medias la automatización “sin manos” de tu granja de servidores. Este artículo explica, paso a paso y con varios enfoques, cómo evitar que Windows Server 2019 vuelva a ofrecer la actualización KB 5038549 después de haber aplicado el paquete fuera de banda KB 5037425.

Índice

Cómo funcionan las detecciones de Windows Update

Para entender por qué un parche que ya no es relevante continúa mostrándose, conviene repasar el mecanismo de detección:

  • Catálogo local: cada agente de WU almacena un inventario de actualizaciones instaladas y pendientes.
  • Evaluación de requisitos: el agente compara ese inventario con la lista de actualizaciones aplicables descargada desde Microsoft Update (o tu servicio WSUS).
  • Resincronización periódica: si el catálogo local arroja errores de consistencia, el servicio fuerza una nueva evaluación tras un tiempo máximo de 24 horas.

Mientras el agente “piense” que KB 5038549 es aplicable, lo mostrará en la interfaz hasta que intervengas o hasta que la resincronización corrija el estado.

Método recomendado: directiva «Configure Automatic Updates»

El procedimiento más fiable, y además documentado, consiste en cambiar el comportamiento de descarga automática:

Paso a paso en el Editor de directivas

  1. Abre gpedit.msc.
  2. Navega hasta Computer Configuration ▸ Administrative Templates ▸ Windows Components ▸ Windows Update.
  3. Haz doble clic en Configure Automatic Updates.
  4. Marca Enabled.
  5. En Options selecciona 2 – Notify for download and notify for install.
  6. Aplica los cambios y cierra el editor.

Resultado práctico: la actualización aparece notificada, pero no se descarga ni se instala en segundo plano. Si administras decenas de máquinas, vincula la directiva a la OU correspondiente o empújala mediante Intune para garantizar uniformidad.

Ventajas de este enfoque

  • No requiere herramientas externas.
  • Respeta el ciclo normal de Windows Update; simplemente mueve la acción final al operador humano.
  • Reversible con la misma facilidad: basta con cambiar la opción a «4 – Auto download and schedule the install» cuando quieras restablecer el comportamiento predeterminado.

Método exprés: ocultar el KB con wushowhide

Si necesitas una solución puntual sin retocar directivas, Microsoft ofrece la herramienta wushowhide.diagcab. Su interfaz es muy sencilla:

  1. Ejecuta el diagnóstico.
  2. Elige Hide updates.
  3. Marca KB 5038549 y finaliza el asistente.

El parche cambia a estado Hidden y deja de aparecer en la lista. Ten en cuenta que:

  • Solo afecta al equipo donde lo hayas ocultado.
  • El parche se mantendrá oculto incluso tras rescans, a menos que lo desocultes explícitamente.

Método scriptable: módulo PSWindowsUpdate

Para quienes prefieren la línea de comandos o administran por PowerShell Remoting:

# Requiere privilegios de administrador
Install-Module -Name PSWindowsUpdate
Import-Module PSWindowsUpdate
Hide-WindowsUpdate -KBArticleID KB5038549 -Confirm:$false

Ventajas: integrable en scripts de arranque, GPO Scripts o runbooks de Azure Automation. Además, puedes invertir la operación con Show-WindowsUpdate si más adelante necesitas instalar el KB.

Método empresarial: WSUS / SCCM / Intune

En entornos gestionados a gran escala, lo lógico es centralizar la decisión:

PlataformaAcción recomendadaResultado
WSUS clásicoDeclinar la actualización o moverla a Not approved.Los agentes la ignorarán durante el escaneo.
Configuration ManagerAñadir KB 5038549 a un Software Update Group con despliegue Expired.El cliente registra el parche como “no aplicable”.
Microsoft IntuneCrear una política de exclusión en Feature updates for Windows 10 and later.El servicio en la nube bloquea la oferta antes de llegar al dispositivo.

Pausar las actualizaciones de calidad con Windows Update for Business

Si prefieres congelar todas las acumulativas durante un periodo concreto—por ejemplo, mientras pasa un pico de trabajo fiscal—puedes valerte de la directiva Select when Quality Updates are received. Define los días de aplazamiento (hasta 35) o bien una pausa fija (hasta 35 días) y, durante ese intervalo, Windows Update se abstendrá de ofrecer cualquier parche de calidad, incluido KB 5038549.

La resincronización automática: por qué a veces el problema desaparece solo

Algunos administradores han observado que, tras unas 24 horas, el paquete deja de mostrarse sin intervención. Esto sucede porque el servicio de Windows Update realiza periódicamente un full scan contra el catálogo global; si detecta que un parche fuera de banda ya ha cubierto los binarios que contiene la acumulativa mensual, la marca como already satisfied. Aunque este comportamiento te saque del apuro, no debes confiar en él ciegamente: el tiempo que tarda depende de la carga de los servidores de actualización y de la programación del maintenance window local.

Cómo revertir un bloqueo

Sea cual sea el mecanismo que hayas elegido, volver a permitir la instalación es sencillo:

  • Directiva de grupo: cambia la opción de descarga automática a un valor 3 o 4.
  • wushowhide: ejecuta de nuevo el asistente y mueve el parche a Show updates.
  • PowerShell: Show-WindowsUpdate -KBArticleID KB5038549
  • WSUS/SCCM/Intune: marca el parche como Approved o retira la exclusión.

En todos los casos, forza un nuevo escaneo con wuauclt /detectnow o USOClient StartScan para acelerar la detección.

Buenas prácticas para evitar sorpresas en producción

  • Prueba las actualizaciones en un anillo piloto antes de bloquear o aprobar masivamente.
  • Documenta siempre la razón por la que escondes un KB; con el tiempo, el contexto se olvida.
  • Integra alertas en tu sistema de monitorización para detectar descensos en el nivel de parcheo.
  • No dejes bloqueos permanentes: revisa al menos cada Patch Tuesday si sigue siendo necesaria la exclusión.

Preguntas frecuentes

¿Ocultar un parche afecta a la generación siguiente de acumulativas? No. Cada actualización acumulativa es independiente; la próxima publicación mensual volverá a evaluarse como aplicable.“` ¿Puedo bloquear solo en servidores y dejarlo disponible en estaciones de trabajo? Sí. Utiliza GPO con filtrado de seguridad o grupos de recopilación en SCCM/Intune. ¿Qué ocurre si oculto el parche y más tarde Microsoft publica una revisión crítica? El nuevo parche tendrá un número KB diferente. Deberás evaluarlo y aprobarlo de acuerdo con tu proceso habitual. “`

Conclusión

Controlar qué actualizaciones llegan y cuándo lo hacen es crucial para mantener la estabilidad de Windows Server 2019. Con los métodos descritos —desde la simple directiva de grupo hasta la gestión centralizada con WSUS o Intune— puedes evitar que KB 5038549 se instale antes de tiempo y, al mismo tiempo, conservar la capacidad de revertir la decisión cuando tu ventana de mantenimiento esté lista. La clave es escoger la técnica que mejor se integre en tu flujo de administración, documentar el cambio y revisarlo periódicamente para no cargar con bloqueos heredados que ya no aportan valor.

Windows Server
PowerShell Troubleshooting Windows Update Windows Server 2019 WSUS KB5038549
Índice