1) O WSUS permite que organizações baixem, aprovem e distribuam atualizações de software para seus computadores de forma centralizada e controlada.
2) O WSUS funciona como um servidor privado do Microsoft Update, permitindo que atualizações sejam baixadas para a rede interna e instaladas nos computadores clientes de acordo com as aprovações e configurações administrativas.
3) A arquitetura do WSUS deve levar em conta a localização dos escritórios, departamentos e necessidades de cada rede para que as atualizações possam
1. Gerenciando atualizações de software
Windows Server Update Services (WSUS)
O WSUS permite que você baixe, aprove (depois de testá-las) e distribua atualizações por toda a
organização – independentemente de quantos computadores clientes você gerencia.
Visão geral do WSUS
O Windows Server Update Services (WSUS) é uma versão privada do serviço Microsoft Update, a partir
do qual os computadores do Windows automaticamente baixam as atualizações. Como você pode
executar o WSUS na sua própria rede interna e utilizá-lo para distribuir as atualizações aos seus
computadores, você pode utilizar a largura de banda mais eficientemente e manter o controle total em
relação às atualizações instaladas no computador cliente.
Ao executar o WSUS, ele se conecta ao site Microsoft Update, baixa as informações sobre atualizações
disponíveis e adiciona-as a uma lista de atualizações que exigem aprovação administrativa. Depois que
um administrador aprova e priorizam essas atualizações (um processo que você pode automatizar
inteiramente), o WSUS disponibiliza-as automaticamente aos computadores clientes. Então, o cliente
do Windows Update (quando apropriadamente configurado) verifica o servidor WSUS, baixa
automaticamente e, opcionalmente, instala as atualizações aprovadas. Você pode distribuir o WSUS a
múltiplos servidores e localizações para abranger as necessidades das empresas de pequeno e grande
porte.
Windows Update Client
O cliente do Windows Update é o componente dos clientes WSUS que recupera o software a partir do
servidor WSUS, verifica a assinatura digital e o hash Secure Hash Algorithm (SHA1), notifica o usuário
de que a atualização está disponível e instala o software (se configurado para fazer isso). O cliente do
Windows Update instala as atualizações em um horário agendado e, se necessário, pode reiniciar
automaticamente o computador. Se o computador estiver desativado nesse horário, as atualizações
podem ser instaladas assim que o computador for ativado. Se o hardware do computador suportar
esse processo, o Windows Update pode ligar um computador e instalar as atualizações no horário
especificado.
NOTA Cliente WSUS nas versões anteriores do Windows
No Windows XP e no Windows 2000, o componente cliente do WSUS chama-se cliente de atualizações
automáticas (Automatic Updates client).
Como as configurações do Windows Update devem ser aplicadas a todos os computadores na
organização, as diretivas de grupo costumam ser a melhor maneira de distribuir as configurações. As
configurações do Windows Update estão localizadas em Computer
ConfigurationPoliciesAdministrative TemplatesWindows ComponentsWindows Update.
As configurações do Windows Update Group Policy são:
Specify Intranet Microsoft Update Service Location Especifica a localização do seu servidor
WSUS.
Configure Automatic Updates Especifica se os computadores clientes receberão atualizações
de segurança e outros downloads importantes por meio do serviço Windows Update. Você
também utiliza essa especificação para configurar se o usuário é solicitado a instalar as
atualizações ou se o cliente do Windows Update as instala automaticamente (e em que horário
isso ocorre).
Automatic Updates Detection Frequency Especifica com que frequência o cliente do
Windows Update verifica novas atualizações. Por padrão, essa frequência é uma hora
aleatória entre 17 e 22 horas.
Allow Non-Administrators To Receive Update Notifications Determina se todos os
usuários ou somente os administradores receberão notificações de atualização. Não
administradores podem instalar atualizações utilizando o cliente do Windows Update.
Allow Automatic Updates Immediate Installation Especifica se o Windows Update vai
instalar imediatamente as atualizações que não exigem que o computador seja reiniciado.
2. Turn On Recommended Updates Via Automatic Updates Determina se os computadores
clientes instalam tanto atualizações críticas quanto recomendadas, que poderiam incluir driver
atualizados.
No Auto-Restart For Scheduled Automatic Updates Installations Especifica se, para
concluir uma instalação agendada, o Windows Update vai esperar que o computador seja
reiniciado por qualquer usuário conectado em vez de fazer com que o computador seja
reiniciado automaticamente.
Re-Prompt For Restart With Scheduled Installations Especifica com que frequência o
cliente do Windows Update solicita que usuário reinicie. Dependendo das outras especificações
de configuração, os usuários podem ter a opção de adiar uma reinicialização agendada. No
entanto, o cliente do Windows Update vai lembrá-los automaticamente da reinicialização com
base na frequência especificada nessa configuração.
Delay Restart For Scheduled Installations Especifica quanto tempo o cliente do Windows
Update espera antes de reiniciar automaticamente.
Reschedule Automatic Updates Scheduled Installations Especifica o período de tempo que
o Windows Update espera, depois da inicialização do sistema, antes de continuar com uma
instalação agendada que não foi feita anteriormente. Se você não especificar esse período de
tempo, uma instalação agendada que não foi feita ocorrerá um minuto depois que o
computador for iniciado.
Enable Client-Side Targeting Especifica o grupo do qual o computador é membro. Essa opção
só é útil se você estiver utilizando o WSUS; você não pode utilizar essa opção com o Software
Update Services (SUS), o antecessor do WSUS.
Enabling Windows Update Power Management To Automatically Wake Up The System
To Install Scheduled Updates Se as pessoas na sua organização costumam desligar os
computadores ao fim do expediente, habilite essa especificação para configurar os
computadores que possuem hardware que tem suporte para inicializar automaticamente e
instalar uma atualização no horário agendado. Os computadores somente serão ligados se
houver uma atualização a ser instalada. Se o computador utilizar baterias, será desligado
automaticamente depois de dois minutos.
Allow Signed Updates From An Intranet Microsoft Update Service Location Especifica se
o Windows XP com o Service Pack 1 ou superior vai instalar as atualizações assinadas utilizando
um certificado confiável mesmo se o certificado não for da Microsoft. Essa não é uma
configuração comumente utilizada.
Além disso, as duas configurações a seguir estão disponíveis na mesma localização, sob User
Configuration (que você pode utilizar para especificar as configurações por usuário individual), além
da Computer Configuration:
Do Not Display „Install Updates And Shut Down‟ Option In Shut Down Windows Dialog
Box Especifica se o Windows XP com o Service Pack 2 ou superior mostra a opção de Instalar
os Updates e Desligar.
Do Not Adjust Default Option To „Install Updates And Shut Down‟ In Shut Down
Windows Dialog Box Especifica se o Windows XP com o Service Pack 2 ou superior altera
automaticamente a opção de desligamento padrão para instalar as atualizações e desligar
quando o Windows Update está esperando instalar uma atualização.
Por fim, a última configuração de usuário só está disponível em User ConfigurationAdministrative
TemplatesWindows ComponentsWindows Update:
Remove Access To Use All Windows Update Features Quando habilitada, impede que um
usuário acesse a interface do Windows Update.
Arquitetura WSUS
O WSUS pode abranger desde empresas de pequeno porte até multinacionais. Em geral, você vai
precisar de um único servidor WSUS para cada escritório com mais de 10 computadores e um servidor
WSUS separado para cada diferente departamento de TI que exige controle em relação à maneira
como as atualizações são aprovadas.
Em geral, a redundância não é requerida para servidores WSUS; mas você deve fazer um backup do
banco de dados WSUS e estar preparado para corrigir ou substituir o servidor no espaço de tempo de
uma semana após a falha. Se um servidor WSUS falhar, não haverá nenhum impacto direto sobre os
usuários, e as atualizações raramente são tão urgentes para causar algum impacto, mesmo se a
restauração de um servidor WSUS demorar alguns dias.
3. Organizações com um escritório
Se houver apenas uma localização, você pode utilizar um único servidor WSUS – independentemente
do número total de computadores clientes. O cliente do Windows Update é projetado para compartilhar
a largura de banda e esperar quando a rede está ocupada, assim o impacto de rede deve ser o
mínimo.
Organizações com vários escritórios
Se você utilizasse um único servidor WSUS para suportar clientes em vários escritórios, cada
computador cliente teria de baixar as atualizações pela sua conexão de rede remota. O tamanho das
atualizações, especialmente service packs, pode ser de várias centenas de megabytes. Como as
conexões remotas tendem a ter menos largura de banda do que as conexões de rede local, baixar
grandes atualizações pela rede remota pode afetar o desempenho geral da rede remota. Se a rede
remota tiver baixa largura de banda ou tráfego intenso, os clientes talvez não consigam recuperar as
atualizações imediatamente.
Para permitir que os clientes recuperem as atualizações a partir da sua rede local, configure um
servidor WSUS em cada localização e configure os servidores WSUS para recuperar atualizações em
uma hierarquia dos servidores pais. Para melhores resultados, utilize uma hierarquia que espelhe a
arquitetura da WAN e, ao mesmo tempo, minimize o número de níveis nessa hierarquia. A Figura 9-1
ilustra uma arquitetura WAN típica e a Figura 9-2 demonstra um projeto WSUS eficiente para essa
arquitetura.
4. Nessa arquitetura, apenas o servidor WSUS de Boston recuperaria as atualizações diretamente da
Microsoft. Todo o gerenciamento das atualizações seria realizado no servidor WSUS de Boston e todos
os outros servidores WSUS seriam configurados como réplicas. Os servidores downstream
recuperariam as atualizações a partir dos servidores upstream; por exemplo, Los Angeles (o servidor
downstream) recuperaria as atualizações de Boston (o servidor upstream). De maneira semelhante,
Argentina é considerada um servidor downstream para Costa Rica.
Para fornecer atualizações a pequenos escritórios que não podem suportar um servidor WSUS local,
configure os computadores clientes para baixar as atualizações a partir do servidor WSUS mais
próximo. Se o escritório tiver uma conexão rápida com a Internet, pense em implantar uma réplica do
WSUS que não armazena as atualizações localmente e, em vez disso, direciona os computadores
clientes para que eles recuperem as atualizações diretamente da Microsoft.
Organizações com vários departamentos de TI
A arquitetura demonstrada na seção anterior mostra um exemplo ideal que raramente é realista: uma
multinacional inteira gerenciada por um único departamento de TI. A maioria das organizações tem
departamentos de TI separados, com seus próprios processos e diretivas, que insistirão em controlar
quais atualizações são implantadas nos computadores clientes que gerenciam.
Nas organizações com departamentos de TI distribuídos, você pode projetar a arquitetura WSUS
exatamente como descrito na seção anterior. A única diferença é a configuração – em vez de
configurar cada servidor WSUS como uma réplica, configure os servidores WSUS como autônomos, o
que leva em conta as aprovações e o gerenciamento em cada servidor específico. Os passos de
configuração exigidos são descritos na Lição 2, “Utilizando o Windows Server Update Services”.
Requisitos do WSUS
Ao planejar a implantação do WSUS, tenha em mente os seguintes requisitos:
O servidor WSUS deve estabelecer conexões HTTP com a Internet (especificamente, com o site
Microsoft Update). Se a conexão utilizar um servidor proxy, você vai precisar fornecer as
credenciais (se necessário).
Os servidores WSUS downstream devem estabelecer conexões com os servidores WSUS
upstream, utilizando o HTTP (porta TCP 80) ou, se você tiver um certificado SSL instalado, o
HTTPS (porta TCP 443).
Os computadores clientes precisam se conectar a partir da sua intranet utilizando HTTP ou
HTTPS.
O sistema operacional do computador cliente deve ser um dos seguintes:
Windows 2000 com Service Pack 3 ou Service Pack 4
Windows XP Professional
Windows Vista
Windows Server 2003
Windows Server 2008
OBS.:
Se os computadores clientes permanecerem desconectados da rede por um longo período de tempo
(por exemplo, se um professor tirar uma licença de um ano ou se um funcionário trabalhar em casa
por meses e não se conectar à rede privada virtual [VPN]), o cliente não será capaz de baixar as
atualizações. Pense em configurar o computador para instalar automaticamente as atualizações
diretamente da Microsoft ou, utilizando a NAP, exigir que os computadores tenham as atualizações
antes de se conectarem à intranet.
Planejando a instalação do WSUS
Durante o processo de instalação do WSUS, você terá de tomar várias decisões cruciais:
Update source O WSUS pode recuperar atualizações diretamente do site Microsoft Update ou
de outro servidor WSUS na sua própria rede. Em geral, você deve escolher o método que tem a
largura de banda mais eficiente. Se dois servidores WSUS estiverem conectados por meio de
uma rede local de alta velocidade, faça com que um desses servidores recupere as atualizações
da Microsoft Update e o outro servidor recupere as atualizações do primeiro. Se houver
servidores WSUS em três escritórios remotos vinculados via VPNs pela Internet, seria mais
eficiente que cada um baixasse as atualizações diretamente da Microsoft – uma vez que, de
qualquer maneira, as atualizações teriam de cruzar as conexões Internet individuais. Sua
arquitetura WSUS define o esquema exato, com os servidores downstream configurados para
recuperarem as atualizações a partir dos servidores upstream.
5. Approval and configuration replication Se houver múltiplos servidores WSUS e você
configurar esses servidores para recuperar as atualizações a partir de um dos
servidores WSUS, você também poderá optar por sincronizar aprovações, configurações,
computadores e grupos, a partir do servidor WSUS pai. Essencialmente, isso torna o servidor
WSUS filho uma réplica perfeita. Se você configurar um servidor como uma réplica, não
será necessário aprovar as atualizações no servidor de réplica. Se configurar um servidor
como autônomo, você deverá aprovar as atualizações manualmente nos servidores WSUS – o
que é útil para dar a múltiplos departamentos de TI um controle independente.
Update storage O WSUS pode copiar as atualizações da Microsoft e armazenálas localmente
ou direcioná-las aos computadores clientes para que eles baixem as atualizações diretamente
da Microsoft. Se você optar por armazenar as atualizações localmente, o servidor WSUS
exigirá pelo menos 6 GB de espaço livre em disco (embora o tamanho real possa ser bem
maior, dependendo de quantas atualizações a Microsoft lança e de quantos idiomas são
necessários). Armazenar as atualizações localmente pode reduzir significativamente a
largura de banda de Internet utilizada pelas atualizações, permitindo aos clientes recuperá-las
por meio da rede local.
Database Por padrão, o WSUS armazenará a lista de atualizações (incluindo quais atualizações
você quer implantar e outras configurações) em um Windows Internal Database. O processo
de configuração do WSUS requer pelo menos 3 GB de espaço livre em disco para armazenar
o Windows Internal Database, embora em geral o tamanho real esteja mais próximo de 1 GB. O
Windows Internal Database funciona para a maioria dos propósitos, mas você também
pode utilizar um servidor de banco de dados existente (como um Microsoft SQL Server) no
computador local ou em um computador remoto.
NOTA Localização padrão do banco de dados WSUS
Por padrão, o banco de dados está localizado em C:WSUSUpdateServicesDbFilesSUSDB.mdf.
Web site selection O WSUS exige o IIS porque os computadores clientes recuperam as
atualizações utilizando HTTP ou HTTPS (se você tiver um certificado SSL como um adquirido de
uma autoridade de certificação pública ou gerado por uma autoridade de certificação do
Windows Server 2008). Se não utilizar o IIS para nenhum outro propósito no servidor
WSUS, você poderá utilizar o site padrão IIS existente. Do contrário, crie um novo site
especificamente para o WSUS.
Languages Muitas atualizações são específicas a um idioma. Para minimizar o uso de
espaço em disco, escolha baixar apenas os idiomas que são requeridos pelos computadores
clientes que acessarão o servidor WSUS. Você deve evitar selecionar todos os idiomas, porque o
espaço de armazenamento total e a largura de banda requeridos serão bem altos.
Products O Microsoft Update pode fornecer atualizações a uma ampla variedade de produtos,
além dos principais sistemas operacionais Windows. Por exemplo, o Microsoft Update distribui
atualizações para Exchange Server, ISA Server, SQL Server e Office. Selecione apenas os
aplicativos e sistemas operacionais utilizados dentro da sua organização para minimizar o
espaço em disco requerido.
Auditando as atualizações
Depois de implantar o WSUS, alguns computadores clientes poderiam ainda não ter as atualizações
porque a instalação das atualizações falhou, o computador cliente foi mal configurado (ou não é parte
do seu domínio do Active Directory) ou o computador cliente estava desconectado da rede por um
longo período de tempo. Você pode utilizar várias técnicas para identificar os computadores que não
têm as atualizações:
Windows Update console Você pode utilizar o nó Computers And Reports para identificar
clientes WSUS que não instalaram as atualizações aprovadas.
Microsoft System Center Configuration Manager 2007 (Configuration Manager 2007)
O Configuration Manager 2007 é a versão mais recente do Microsoft Systems Management
Server (SMS). O Configuration Manager 2007, como o SMS, pode fornecer informações
detalhadas sobre as atualizações e os aplicativos instalados nos computadores gerenciados. O
Configuration Manager 2007 é mais adequado para empresas com um domínio do Active
Directory. Para informações adicionais sobre o Configuration Manager 2007, visite
http://www.microsoft.com/smserver/.
6. Microsoft Baseline Security Analyzer (MBSA) O MBSA é uma ferramenta automatizada de
auditoria de segurança que identifica as atualizações e configurações ausentes que poderiam
levar a vulnerabilidades de segurança. O MBSA pode varrer redes inteiras, permitindo
identificar os computadores não gerenciados na sua rede. Isso fornece uma vantagem
significativa em relação ao console Windows Update, que só pode informar os clientes
configurados para utilizar o servidor WSUS. Para informações adicionais sobre o MBSA e para
baixar a ferramenta gratuita, visite http://www.microsoft.com/mbsa/.
Network Access Protection (NAP) A NAP, quando combinada com o Validador da integridade
da segurança do Windows (como descrito no Capítulo 8, “Configurando o firewall do Windows e
a Network Access Protection”), pode verificar se os computadores têm as atualizações recentes
instaladas toda vez que eles se conectam à sua rede. No modo de monitoramento somente,
a NAP adiciona um evento ao log de eventos que você pode monitorar, permitindo identificar os
computadores desatualizados. Se você habilitar a imposição de NAP, os computadores
clientes que não atendem aos requisitos de integridade podem ser conectados a uma rede de
remediação na qual precisam aplicar as atualizações exigidas antes de ganhar acesso à rede
privada.
Resumo da lição
O WSUS permite armazenar e distribuir atualizações de software da Microsoft por toda a sua
rede interna, reduzindo o uso da largura de banda de Internet. Além disso, o WSUS fornece
controle total em relação a quando as atualizações são implantadas nos computadores
clientes, permitindo testar as atualizações antes do lançamento.
O cliente do Windows Update recupera as atualizações a partir do servidor WSUS.
Dependendo de como você configurou o liente do Windows Update, ele poderá notificar
o usuário de que a atualização está disponível para a instalação ou instalar automaticamente a
atualização sem interagir com o usuário. Você pode configurar o cliente do Windows
Update utilizando as configurações de diretiva de grupo.
Um único servidor WSUS é suficiente para a maioria das organizações que têm uma única
localização. Em geral, é recomendável implantar um servidor WSUS separado em cada filial
para minimizar o uso da Internet e da rede remota. Servidores WSUS adicionais podem ser
configurados como réplicas (que copiam suas configurações do servidor WSUS upstream) ou
podem ser autônomos (o que permite a departamentos de TI separados tomar suas próprias
decisões sobre quando as atualizações são implantadas).
Vários tipos de problemas podem impedir que os clientes WSUS instalem as atualizações.
Para identificar essas atualizações, utilize o console Update Services, o Configuration
Manager 2007, o MBSA e a NAP.
Lição 2: Utilizando o Windows Server Update Services
Com o Windows Server 2008, você pode instalar o WSUS utilizando o Server Manager e
gerenciá-lo com o console de Update Services. Essa versão mais recente do WSUS inclui um
número significativo de novos recursos e modificações na interface com usuário e, mesmo se você
estiver familiarizado com as versões anteriores, recomendamos que estude esta lição para poder
entender exatamente como gerenciar o software.
Como instalar os Windows Server Update Services
O download do WSUS é gratuito e está disponível em http://www.microsoft.com/wsus. Siga as
instruções disponíveis nessa página Web para instalar a versão mais recente do WSUS para o Windows
Server 2008.
Depois da instalação você deve sincronizar as atualizações a partir do Microsoft Update, seguindo
estes passos:
1. Clique em Start, Administrative Tools e, então, em Microsoft Windows Server Update
Services. O console Update Services aparece.
2. Na árvore do console, selecione o nome do servidor. No painel de detalhes, clique no link
Synchronize Now. A sincronização levará vários minutos (e pode demorar mais de uma hora).
Depois que a sincronização completar, você pode começar a gerenciar o WSUS.
7. Como configurar os Windows Server Update Services
Depois de instalar o WSUS e começar a sincronização, configure o WSUS, seguindo estes passos:
1. Ajuste a configuração WSUS editando as opções WSUS.
2. Configure os grupos de computador para permitir a distribuição de atualizações a diferentes
conjuntos de computadores em diferentes momentos.
3. Configure os computadores clientes para recuperar as atualizações do seu servidor WSUS.
4. Depois de testar as atualizações, aprove-as ou desaprove-as.
5. Examine os relatórios para verificar se as atualizações estão sendo distribuídas com sucesso e
identificar quaisquer problemas.
Como configurar as opções WSUS
Embora o assistente de configuração solicite que você configure as opções WSUS mais importantes,
especifique as outras opções depois da configuração inicial selecionando o nó Options, no console
Update Services, como mostrado na Figura 9-3.
Você pode configurar as opções nas seguintes categorias:
Update Source And Proxy Server Configure o servidor WSUS upstream ou o servidor WSUS
para recuperar as atualizações da Microsoft. Você configura esses servidores durante a
instalação e só precisa alterá-la se modificar a arquitetura WSUS.
Products And Classifications Escolha os produtos da Microsoft para os quais o WSUS baixará
as atualizações. Você deve atualizar essas configurações quando começa a dar suporte a
um novo produto ou quando para de dar suporte a um produto existente (como uma versão
anterior do Microsoft Office).
Update Files And Languages Selecione onde as atualizações são armazenadas e em quais
idiomas baixar as atualizações.
Synchronization Schedule Configure se o WSUS sincroniza automaticamente as atualizações
do servidor upstream e com que frequência.
8. Automatic Approvals Configure as atualizações para a aprovação automática. Por exemplo,
você pode configurar atualizações críticas para serem automaticamente aprovadas. Você deve
utilizar isso somente se tiver decidido não testar a compatibilidade das atualizações – uma
decisão arriscada que pode levar a problemas de compatibilidade com computadores de
produção.
Computers Escolha se é preciso posicionar computadores em grupos utilizando o console
Update Services ou configurações de registro e diretivas de grupo. Para informações
adicionais, consulte a próxima seção, “Como configurar grupos de computador”.
Server Cleanup Wizard Ao longo do tempo, o WSUS acumulará atualizações que não são
mais necessárias e computadores que não mais estão ativos. Esse assistente ajuda a remover
as atualizações e os computadores desatualizados e desnecessários, liberando espaço em disco
(se você armazenar as atualizações localmente) e reduzindo o tamanho do banco de dados
WSUS.
Reporting Rollup Por padrão, os servidores downstream recuperam as informações de
relatório dos servidores upstream, agregando dados de relatório. Você pode utilizar essa opção
para que cada servidor configure o gerenciamento dos seus próprios dados de relatório.
Email Notifications O WSUS pode enviar um email quando as novas atualizações são
sincronizadas, informando aos administradores que elas devem ser avaliadas, testadas e
aprovadas. Além de configurar essas notificações por email, utilize essa opção para enviar
relatórios diários ou semanais sobre o status.
Microsoft Update Improvement Program Desabilitada por padrão, você pode habilitar essa
opção para enviar à Microsoft alguns detalhes de alto nível sobre as atualizações na sua
organização, incluindo o número de computadores e quantos computadores instalaram cada
atualização com ou sem sucesso. A Microsoft pode utilizar essas informações para aprimorar o
processo de atualização.
Personalization Nessa página, você pode configurar se o servidor exibe dados dos servidores
downstream nos relatórios. Você também pode selecionar quais itens são mostrados na lista To
Do que aparece ao selecionar o nome do servidor WSUS no console Update Services.
WSUS Server Configuration Wizard Permite reconfigurar o WSUS com a interface do
assistente utilizada para a configuração inicial. Em geral, é mais fácil especificar as
configurações individuais que você precisa.
Como configurar grupos de computador
Na maioria dos ambientes, você não vai implantar todas as atualizações para todos os clientes ao
mesmo tempo. Para que você tenha controle sobre quando os computadores recebem as
atualizações, o WSUS 3.0 permite configurar grupos de computadores e implantar atualizações em
um ou mais grupos. Você poderia criar grupos adicionais para diferentes modelos de
computadores ou diferentes organizações, dependendo inteiramente do processo que você utiliza
para implantar as atualizações. No geral, você vai criar grupos de computador para cada etapa do
processo de implantação das atualizações, que deve se parecer com isto:
Testes Implante as atualizações para os computadores em um ambiente de teste. Isso
permitirá verificar se o mecanismo de distribuição das atualizações funciona apropriadamente.
Então, você pode testar seus aplicativos em um computador depois que as atualizações foram
instaladas.
Piloto Depois do teste, você vai implantar as atualizações em um grupo-piloto. Em geral, o
grupo-piloto é um conjunto de computadores que pertencem ao departamento de TI ou outro
grupo de computadores capazes de identificar e resolver problemas.
Produção Se a implantação-piloto der certo e não houver nenhum problema informado depois
de uma semana ou mais, você poderá implantar as atualizações nos computadores de produção
com menos riscos de problemas de compatibilidade.
Você pode configurar grupos de computador de uma destas duas maneiras:
Server-side Targeting Mais adequado a organizações de pequeno porte, você adiciona computadores
a grupos de computador utilizando manualmente o console Update Services.
Client-side Targeting Mais adequado a grandes organizações, você utiliza as especificações de
diretiva de grupo para configurar os computadores como parte de um grupo de computadores. Os
computadores são automaticamente adicionados ao grupo de computadores correto quando se
conectam ao servidor WSUS.
9. Qualquer que seja a abordagem utilizada, você deve primeiro utilizar o console Update Services para
criar grupos de computador. Por padrão, há um único grupo de computadores: All Computers. Para
criar grupos adicionais, siga estes passos:
1. Clique em Start, Administrative Tools e, então, em Microsoft Windows Server Update
Services. O console Update Services aparece.
2. Na árvore do console, expanda Computers e clique com o botão direito do mouse em All
Computers (ou no grupo de computadores em que você quer aninhar o novo grupo de
computadores). Escolha Add Computer Group. A caixa de diálogo Add Computer Group aparece.
3. Digite um nome para o grupo de computadores e clique em Add.
4. Repita os passos 2 e 3 para criar o número de grupos de computadores necessário.
Server-side Targeting Para adicionar computadores a um grupo utilizando Serverside Targeting, siga
estes passos:
1. Na árvore do console do console Update Services, expanda Computers, All Computers e
selecione Unassigned Computers. Então, no painel de detalhes, clique com o botão direito do
mouse no computador que você quer atribuir a um grupo (você também pode selecionar
múltiplos computadores clicando e mantendo pressionada a tecla Ctrl) e escolha Change
Membership.
2. Na caixa de diálogo Set Computer Group Membership, marque a caixa de seleção para cada
grupo ao qual você quer atribuir o(s) computador(es). Clique em OK.
Os computadores que você selecionou serão movidos para os grupos de computador especificados.
Client-side Targeting Utilize os objetos Group Policy (GPO) para adicionar computadores a grupos
de computadores ao utilizar Client-side Targeting. Primeiro, configure o servidor WSUS para
Client-side Targeting, seguindo estes passos:
1. Clique em Start, Administrative Tools e, então, em Microsoft Windows Server Update
Services. O console Update Services aparece.
2. Na árvore do console, selecione Options. No painel de detalhes, clique em Computers.
3. Na caixa de diálogo Computers, selecione Use Group Policy Or Registry Settings On
Computers. Então, clique em OK.
Em seguida, configure os GPOs para adicionar os computadores ao grupo de computadores correto.
Você terá de criar GPOs separados para cada grupo de computadores e configurar cada um deles para
que seja aplicado apenas aos computadores apropriados.
1. Abra o GPO no Group Policy Management Editor.
2. Na árvore do console, selecione o nó Computer ConfigurationPoliciesAdministrative
TemplatesWindows ComponentsWindows Update.
3. No painel de detalhes, dê um clique duplo na diretiva Enable Client-Side Targeting.
4. Na caixa de diálogo Enable Client-Side Targeting Properties, selecione Enabled. Então, digite
o nome do grupo de computadores ao qual você quer adicionar o computador e clique em
OK.
Depois que os computadores clientes aplicam as configurações de diretiva de grupo,
reiniciam os serviços do Windows Update e contatam o servidor WSUS, eles são adicionados
automaticamente ao grupo especificado.
Como configurar computadores clientes
A seção “Cliente do Windows Update”, na Lição 1, “Entendendo o Windows Server Update
Services”, descreveu as diferentes especificações de diretiva de grupo disponíveis para configurar a
maneira como os clientes recuperam as atualizações. Os passos a seguir fornecem instruções para
realizar a quantidade mínima da configuração necessária (suficiente para muitas organizações) para
que clientes WSUS baixem as atualizações a partir do seu servidor WSUS.
1. Abra o GPO que você quer utilizar para distribuir as especificações de configuração. No Group
Policy Management Editor, selecione o nó Computer ConfigurationPoliciesAdministrative
TemplatesWindows ComponentsWindows Update.
10. 2. No painel de detalhes, dê um clique duplo em Specify Intranet Microsoft Update Service
Location. A caixa de diálogo Specify Intranet Microsoft Update Service Location Properties
aparece.
3. Selecione Enabled. Nas caixas de diálogo Set The Intranet Update Service For Detecting
Updates e Set The Intranet Statistics Server, digite http://nome_do_servidor_WSUS. Clique
em OK.
4. Dê um clique duplo em Configure Automatic Updates. A caixa de diálogo Configure
Automatic Updates Properties aparece.
5. Selecione Enabled. Especifique as configurações de atualizações automáticas. Por exemplo,
para instalar as atualizações automaticamente, na lista suspensa Configure Automatic Updating
selecione 4 – Auto Download And Schedule The Install. Clique em OK.
Com essas especificações de diretiva de grupo habilitadas, os clientes vão recuperar e,
opcionalmente, instalar as atualizações a partir do seu servidor WSUS.
Como aprovar atualizações
A menos que você tenha configurado a aprovação automática, as atualizações não são aprovadas por
padrão. Para aprovar manualmente as atualizações, siga estes passos:
1. Clique em Start, Administrative Tools e, então, em Microsoft Windows Server Update
Services. O console Update Services aparece.
2. Na árvore do console, expanda o nome do servidor e, então, expanda Updates. Selecione
uma das seguintes opções:
All Updates Exibe todas as atualizações. Essa é a opção mais conveniente para aprovar as
atualizações.
Critical Updates Exibe apenas as atualizações críticas, que são atualizações de alta prioridade,
como correções de bugs, não relacionadas à segurança.
Security Updates Exibe apenas as atualizações que corrigem problemas de segurança
conhecidos.
WSUS Updates Exibe as atualizações relacionadas ao processo de atualização.
3. Na barra de ferramentas em cima do painel de detalhes, na lista suspensa Approval,
selecione Unapproved, como mostrado na Figura 9-4. Você também pode utilizar essa lista para
exibir as atualizações que aprovou ou não.
11. 4. Na lista suspensa Status, selecione Any. Clique em Refresh para exibir as atualizações.
NOTA Classificando as atualizações
Para classificar as atualizações a fim de que as mais recentes apareçam no topo da lista, clique com o
botão direito do mouse nos cabeçalhos de coluna e selecione a coluna Release Date. Então,
clique no cabeçalho da coluna Release Date para classificar por essa data.
5. Selecione as atualizações que você quer aprovar. Você pode selecionar múltiplas atualizações
clicando e mantendo pressionada a tecla Ctrl para cada atualização. Alternativamente, você
pode selecionar várias atualizações clicando na primeira atualização e, então, clicando e
mantendo pressionada a tecla Shift na última atualização. Pressione Ctrl+A para selecionar
todas as atualizações. Clique com o botão direito do mouse nas atualizações selecionadas e,
depois, escolha Approve (para distribuir a atualização aos clientes na próxima vez que eles
verificarem as atualizações) ou Decline (para impedir a distribuição das atualizações).
6. Se a caixa de diálogo Approve Updates aparecer, selecione o grupo de computadores ao qual
você quer aplicar as atualizações e escolha Approved For Install. Repita isso para aplicar a
atualização a múltiplos computadores. Clique em OK depois de concluir.
7. Para definir um prazo final (depois do qual uma atualização deve ser instalada sem que os
usuários possam adiar a atualização), clique com o botão direito do mouse no grupo de
computadores, escolha Deadline e selecione o prazo final.
8. Clique em OK.
9. Se um acordo de licenciamento aparecer, clique em I Accept.
NOTA Removendo atualizações
Se você aplicou atualizações aos computadores anteriormente, escolha Approved For Removal para
remover a atualização. Entretanto, a maioria das atualizações não suporta a remoção automatizada e o
WSUS informará um erro na caixa de diálogo Approval Progress. Para remover essas
atualizações, siga as instruções em “Como remover atualizações”, mais adiante nesta lição.
A caixa de diálogo Approval Progress aparece à medida que o WSUS aplica as atualizações.
10. Examine quaisquer erros exibidos na caixa de diálogo Approval Progress e, então, clique em
Close.
Como recusar atualizações
Depois de aprovar as atualizações necessárias, você pode recusar as atualizações que não quer
instalar nos computadores. A recusa de atualizações não afeta diretamente os computadores
clientes; simplesmente, ajuda a organizar as atualizações no console WSUS.
Para recusar atualizações, siga estes passos:
1. No console Update Services, clique com o botão direito do mouse na atualização que você quer
recusar e escolha Decline.
2. Na caixa de diálogo Decline Update, clique em Yes.
Para revisar as atualizações que foram recusadas, na lista suspensa Approval no console Windows
Update, selecione Declined. Clique então em Refresh.