Varios administradores han observado que el SSU de junio de 2024 (KB5039334) se instaló solo en Windows Server 2016 aun con las actualizaciones automáticas deshabilitadas. Aquí verás por qué puede ocurrir, si es motivo de preocupación y cómo auditar y controlar este comportamiento sin romper el soporte.
Qué es y por qué aparece
El paquete identificado como KB5039334 es un Servicing Stack Update (SSU) para Windows 10 v1607 y Windows Server 2016. Las SSU son parches que actualizan el “motor” que evalúa, descarga e instala todas las demás actualizaciones de Microsoft. En este caso, KB5039334 sustituye a un SSU anterior (por ejemplo, KB5037016) y prepara el sistema para que pueda seguir recibiendo futuras Cumulative Updates (CU) y parches de seguridad.
Debido a su naturaleza de mantenimiento, a veces una SSU puede instalarse de forma silenciosa incluso cuando se han deshabilitado las instalaciones automáticas de otras actualizaciones. Esto no significa necesariamente que el equipo esté “saltándose” tus políticas: la propia pila de servicio puede considerar crítico actualizarse para poder evaluar correctamente el catálogo de actualizaciones y asegurar que las siguientes correcciones lleguen sin errores de dependencia.
Rol de las actualizaciones de la pila de servicio
La pila de servicio es el conjunto de componentes internos que gestionan Windows Update, DISM y CBS. Sin una pila actualizada, Windows puede fallar al instalar CUs, generar errores de compatibilidad o requerir pasos manuales. Por eso, las SSU suelen marcarse como de alta prioridad y, en ciertos escenarios, se instalan con un tratamiento especial.
Comportamiento cuando las actualizaciones automáticas están deshabilitadas
Aun con políticas que impiden la descarga e instalación automática de la mayoría de parches, la plataforma puede instalar SSU que se consideran imprescindibles para que el proceso de actualización siga funcionando. Es poco frecuente, pero posible. En entornos con Windows Server Update Services (WSUS) o herramientas como Microsoft Endpoint Configuration Manager o Azure Update Management, la SSU puede llegar como prerequisito aprobado de forma implícita o incluida en secuencias de mantenimiento.
¿Debo preocuparme?
En general, no. Una SSU:
- No añade funciones ni cambia tu configuración.
- No altera directivas de grupo ni abre conectividad nueva a Internet.
- Rara vez ocasiona reinicio inmediato; si lo hace, suele ser para reemplazar archivos en uso.
- No se puede desinstalar por diseño, porque forma parte del propio mecanismo de actualización.
Lo importante es comprobar el origen de la instalación y ajustar el control para que tu proceso de parches siga el flujo corporativo previsto.
Cómo verificar qué lo instaló y cuándo
Antes de tocar políticas o servicios, verifica en los registros. Estos pasos funcionan en Windows Server 2016 y no requieren herramientas de terceros.
Visor de eventos
- Abre Event Viewer con privilegios de administrador.
- Navega a Applications and Services Logs → Microsoft → Windows → WindowsUpdateClient → Operational.
- Filtra por Event ID 19 (instalación correcta), 31 (inicio de instalación), 43 o 25 (búsqueda de actualizaciones). En el detalle verás el título del paquete y el origen del contenido.
Registro de Windows Update con PowerShell
Genera un log legible de Windows Update desde ETW para revisar la secuencia completa:
PowerShell
Get-WindowsUpdateLog
Este comando deja WindowsUpdate.log en el escritorio. Busca la cadena 5039334 o Servicing Stack para ubicar la descarga e instalación y, si es posible, el servicio de origen.
Lista de paquetes instalados
Las SSU no siempre aparecen en Get-HotFix ni en wmic qfe. Usa DISM para confirmar su presencia:
CMD
dism /online /get-packages /format:table | findstr /i 5039334
Si quieres ver todas las SSU instaladas, filtra por el nombre genérico:
CMD
dism /online /get-packages /format:table | findstr /i ServicingStack
Comprobación rápida con línea de comandos
Para ver las últimas instalaciones de Windows Update directamente desde consola:
CMD
wevtutil qe Microsoft-Windows-WindowsUpdateClient/Operational /q:"*[System[(EventID=19)]]" /f:text /c:50
Controles recomendados y buenas prácticas
La clave no es bloquear ciegamente, sino dirigir el flujo de parches por la vía corporativa adecuada (WSUS, ConfigMgr o Azure Update Management) y minimizar sorpresas sin impedir SSU necesarias.
Políticas de grupo clave
Configura estas directivas en Plantillas administrativas → Componentes de Windows → Windows Update según tu modelo de gobierno:
| Directiva | Ruta | Valor recomendado | Efecto esperado | Clave de registro |
|---|---|---|---|---|
| Configurar actualizaciones automáticas | Windows Update | Deshabilitada si tu política es no instalar automáticamente en servidores. | Evita que el sistema descargue e instale CUs sin intervención. | HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate=1 |
| Especificar la ubicación del servicio Microsoft Update en la intranet | Windows Update | Habilitada con tus URL de WSUS para detección e informes. | Fuerza que el equipo consulte WSUS en lugar de Internet. | HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUServer y WUStatusServer |
| No conectarse a ubicaciones de Windows Update en Internet | Windows Update | Habilitada en entornos aislados o estrictos. | Evita que el sistema acuda a Microsoft Update si WSUS no responde. | HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotConnectToWindowsUpdateInternetLocations=1 |
| Quitar el acceso para utilizar todas las características de Windows Update | Windows Update | Habilitada cuando no se permite uso interactivo. | Oculta la interfaz y reduce acciones de usuario que rompan la política. | Varias claves bajo ...WindowsUpdate; aplica a la UI. |
| Permitir la instalación inmediata de actualizaciones automáticas | Windows Update | Deshabilitada para impedir instalaciones silenciosas de parches no disruptivos. | Evita instalaciones en segundo plano fuera de ventana de mantenimiento. | HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\AutoInstallMinorUpdates=0 |
| Habilitar cliente en intranet | Windows Update | Habilitada si usas WSUS, con UseWUServer=1. | Redirige la búsqueda y reporte hacia WSUS. | HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\UseWUServer=1 |
Nota: evita “endurecer” deshabilitando servicios básicos como wuauserv. Esa práctica genera errores en auditoría, rompe la evaluación de cumplimiento y no evita por completo que una SSU crítica se prepare para instalarse cuando el servicio vuelva a iniciar.
Configuración de WSUS o herramientas de gestión
- Asegúrate de aprobar explícitamente las SSU cuando aparezcan, siguiendo tu calendario.
- Habilita solo las clasificaciones y productos necesarios para Server 2016; mantener la lista limitada acelera la evaluación.
- Si empleas grupos de equipos, aplica las aprobaciones de SSU primero en un anillo piloto y después en producción.
Tareas y servicios a revisar
En Programador de tareas revisa Microsoft → Windows → UpdateOrchestrator y WindowsUpdate. No elimines tareas del sistema; limítate a validar que las ejecuta tu ventana de mantenimiento. Comprueba también los servicios Windows Update y Update Orchestrator Service. El control se ejerce por GPO y WSUS, no por desinstalar componentes.
Estrategia de control sin romper el soporte
Bloquear permanentemente las SSU es una mala idea: son prerequisitos de CUs que corrigen vulnerabilidades. La estrategia recomendada es:
- Permitir SSU aprobadas y verificar su despliegue piloto.
- Mantener CUs controladas por WSUS o tu gestor de parches.
- Evitar conectividad directa a Internet desde servidores que deban cumplir aislamiento.
- Auditar cada instalación inesperada para entender su origen real.
Procedimientos paso a paso
Entorno con WSUS
- Aplica las GPO de redirección hacia WSUS y deshabilita instalaciones automáticas según tu estándar.
- En WSUS, sincroniza y aprueba la SSU cuando corresponda (idealmente primero en un grupo piloto).
- Revisa que el servidor reporte estado a WSUS y que la SSU figure como Installed.
- Si aparece instalada sin aprobación explícita, revisa si existe una regla de aprobación automática para Critical Updates.
Entorno aislado
- Habilita la política que impide conectarse a ubicaciones en Internet y define WSUS local o deja el servidor sin origen de actualizaciones si la seguridad lo exige.
- Para mantenimiento planificado, utiliza paquetes independientes
.msuen un repositorio interno y ejecuta la instalación durante la ventana acordada. - Valida el resultado con DISM y el visor de eventos.
Entorno pequeño con control manual
- Establece GPO para notificar pero no descargar ni instalar, o deshabilitar instalaciones automáticas.
- Durante la ventana de mantenimiento, ejecuta manualmente el instalador de la CU y, si procede, la SSU correspondiente en primer lugar.
- Documenta fecha, origen y resultado de cada instalación para auditoría.
Preguntas frecuentes
¿Puede una SSU instalarse “a la fuerza”? En escenarios limitados, sí. La pila de servicio puede actualizarse para mantener la salud del mecanismo de Windows Update. No es lo habitual, pero sucede.
¿Se puede desinstalar? No. Las SSU son permanentes; están diseñadas para mejorar estabilidad y compatibilidad.
¿Rompe mis controles de seguridad? No debería. No añade roles ni cambia políticas. Si te preocupa la procedencia, audita el origen en los registros y confirma que el servidor no consultó Internet cuando no debía.
¿Requiere reinicio? Normalmente no, pero algunas SSU pueden solicitarlo según el estado de los binarios del sistema.
¿Por qué no la veo en los listados habituales? Porque las SSU no siempre aparecen en Get-HotFix. Usa DISM para listarlas.
Scripts útiles
Comprobación rápida en PowerShell de la SSU y metadatos de instalación:
PowerShell
Ejecutar en consola elevada
$kb = "5039334"
Write-Host "Buscando paquete SSU KB\$kb..." -ForegroundColor Cyan
\$packages = (dism /online /get-packages /format\:table) 2>&1
\$hit = \$packages | Select-String -SimpleMatch \$kb
if (\$hit) {
"Encontrado: \$(\$hit.Line)"
} else {
"No se encontró el paquete en la salida de DISM."
}
"Eventos recientes de instalación:"
wevtutil qe Microsoft-Windows-WindowsUpdateClient/Operational /q:"\*\[System\[(EventID=19)]]" /f\:text /c:15 Errores frecuentes
- Deshabilitar servicios del sistema: dejar
wuauservinhabilitado “rompe” el inventario y hace más difícil diagnosticar. Usa GPO y WSUS para el control real. - Bloquear todas las SSU: impide instalar CUs posteriores, dejando al servidor sin parches críticos.
- Confiar solo en la UI: muchas SSU no aparecen en el panel de “Programas y características”. Consulta siempre DISM y eventos.
Indicadores para diferenciar el origen
Al revisar los registros, fíjate en estas pistas:
- Origen del contenido: el evento suele indicar si provino de Microsoft Update o de un servidor de intranet.
- Coincidencias temporales: ¿hubo una tarea de orquestación durante la ventana de mantenimiento o justo tras aplicar una CU?
- Políticas efectivas: confirma con
gpresult /hque las GPO esperadas están aplicadas en el servidor.
Comparativa rápida
| Característica | SSU | CU |
|---|---|---|
| Objetivo | Mantener la pila de servicio | Corregir y mejorar el sistema |
| Desinstalable | No | Generalmente sí |
| Frecuencia | Ocasional | Mensual |
| Visibilidad | Puede no aparecer en listados comunes | Visible en historial y herramientas |
| Dependencia | Requerida por CUs futuras | Puede requerir SSU previa |
Checklist de auditoría
- Confirma la instalación en DISM y obtén el número de build antes y después.
- Extrae eventos de instalación, inicio y búsqueda en WindowsUpdateClient.
- Valida GPO efectivas y que el equipo apunte a WSUS si corresponde.
- Comprueba que no hay tareas personalizadas que ejecuten
dismowusafuera de agenda. - Documenta fecha, hora, usuario de contexto y origen del contenido.
Buenas prácticas para parches en servidores
- Define una ventana de mantenimiento y respétala con disciplina.
- Utiliza anillos de despliegue: piloto, preproducción y producción.
- Aprueba las SSU de forma anticipada para evitar cuellos de botella cuando llegue la CU mensual.
- Mantén una línea base de GPO específica para servidores y otra para equipos de usuario.
- Centraliza los registros y alertas de Windows Update en tu SIEM.
Resumen operativo
Sí, puede instalarse automáticamente una SSU como KB5039334 incluso con las actualizaciones automáticas deshabilitadas, porque su propósito es mantener estable el mecanismo de Windows Update. En la mayoría de los casos, dejarla instalada es lo correcto. Verifica el origen en los registros, confirma que tus GPO y WSUS están aplicados como esperas y ajusta reglas de aprobación si buscas un control aún más estricto. Evita bloquear SSU de forma permanente: son la base para seguir aplicando parches de seguridad en Windows Server 2016.
Guía rápida de acciones
- Comprueba con DISM y eventos que la SSU esté instalada y registra la hora exacta.
- Revisa GPO y que el equipo consulte solo tu origen autorizado de actualizaciones.
- Audita reglas de aprobación automática en WSUS o tu gestor de parches.
- Planifica la próxima ventana para validar CUs que dependan de esta SSU.
Comandos de referencia
PowerShell
Generar log legible de Windows Update
Get-WindowsUpdateLog
CMD
Confirmar presencia del paquete
dism /online /get-packages /format:table | findstr /i 5039334
CMD
Últimos eventos de instalación
wevtutil qe Microsoft-Windows-WindowsUpdateClient/Operational /q:"*[System[(EventID=19)]]" /f:text /c:20
CMD
Validar políticas efectivas
gpresult /h C:\Temp\gpresult.html
Con estas pautas podrás explicar con claridad a auditoría o al equipo de ciberseguridad por qué apareció la SSU, demostrar su origen y mantener la gobernanza de parches sin sacrificar la capacidad de actualizar Windows Server 2016.