Gerenciando atualizações de softwareWindows Server Update Services (WSUS)O WSUS permite que você baixe, aprove (depois de ...
 Turn On Recommended Updates Via Automatic Updates Determina se os computadoresclientes instalam tanto atualizações críti...
Organizações com um escritórioSe houver apenas uma localização, você pode utilizar um único servidor WSUS – independenteme...
Nessa arquitetura, apenas o servidor WSUS de Boston recuperaria as atualizações diretamente daMicrosoft. Todo o gerenciame...
Approval and configuration replication Se houver múltiplos servidores WSUS e vocêconfigurar esses servidores para recupera...
Microsoft Baseline Security Analyzer (MBSA) O MBSA é uma ferramenta automatizada deauditoria de segurança que identifica a...
Como configurar os Windows Server Update ServicesDepois de instalar o WSUS e começar a sincronização, configure o WSUS, se...
 Automatic Approvals Configure as atualizações para a aprovação automática. Por exemplo,você pode configurar atualizações...
Qualquer que seja a abordagem utilizada, você deve primeiro utilizar o console Update Services paracriar grupos de computa...
2. No painel de detalhes, dê um clique duplo em Specify Intranet Microsoft Update ServiceLocation. A caixa de diálogo Spec...
4. Na lista suspensa Status, selecione Any. Clique em Refresh para exibir as atualizações.NOTA Classificando as atualizaçõ...
Próximos SlideShares
Carregando em…5
×

Wsus

1.828 visualizações

Publicada em

0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
1.828
No SlideShare
0
A partir de incorporações
0
Número de incorporações
3
Ações
Compartilhamentos
0
Downloads
53
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Wsus

  1. 1. Gerenciando atualizações de softwareWindows Server Update Services (WSUS)O WSUS permite que você baixe, aprove (depois de testá-las) e distribua atualizações por toda aorganização – independentemente de quantos computadores clientes você gerencia.Visão geral do WSUSO Windows Server Update Services (WSUS) é uma versão privada do serviço Microsoft Update, a partirdo qual os computadores do Windows automaticamente baixam as atualizações. Como você podeexecutar o WSUS na sua própria rede interna e utilizá-lo para distribuir as atualizações aos seuscomputadores, você pode utilizar a largura de banda mais eficientemente e manter o controle total emrelação às atualizações instaladas no computador cliente.Ao executar o WSUS, ele se conecta ao site Microsoft Update, baixa as informações sobre atualizaçõesdisponíveis e adiciona-as a uma lista de atualizações que exigem aprovação administrativa. Depois queum administrador aprova e priorizam essas atualizações (um processo que você pode automatizarinteiramente), o WSUS disponibiliza-as automaticamente aos computadores clientes. Então, o clientedo Windows Update (quando apropriadamente configurado) verifica o servidor WSUS, baixaautomaticamente e, opcionalmente, instala as atualizações aprovadas. Você pode distribuir o WSUS amúltiplos servidores e localizações para abranger as necessidades das empresas de pequeno e grandeporte.Windows Update ClientO cliente do Windows Update é o componente dos clientes WSUS que recupera o software a partir doservidor WSUS, verifica a assinatura digital e o hash Secure Hash Algorithm (SHA1), notifica o usuáriode que a atualização está disponível e instala o software (se configurado para fazer isso). O cliente doWindows Update instala as atualizações em um horário agendado e, se necessário, pode reiniciarautomaticamente o computador. Se o computador estiver desativado nesse horário, as atualizaçõespodem ser instaladas assim que o computador for ativado. Se o hardware do computador suportaresse processo, o Windows Update pode ligar um computador e instalar as atualizações no horárioespecificado.NOTA Cliente WSUS nas versões anteriores do WindowsNo Windows XP e no Windows 2000, o componente cliente do WSUS chama-se cliente de atualizaçõesautomáticas (Automatic Updates client).Como as configurações do Windows Update devem ser aplicadas a todos os computadores naorganização, as diretivas de grupo costumam ser a melhor maneira de distribuir as configurações. Asconfigurações do Windows Update estão localizadas em ComputerConfigurationPoliciesAdministrative TemplatesWindows ComponentsWindows Update.As configurações do Windows Update Group Policy são: Specify Intranet Microsoft Update Service Location Especifica a localização do seu servidorWSUS. Configure Automatic Updates Especifica se os computadores clientes receberão atualizaçõesde segurança e outros downloads importantes por meio do serviço Windows Update. Vocêtambém utiliza essa especificação para configurar se o usuário é solicitado a instalar asatualizações ou se o cliente do Windows Update as instala automaticamente (e em que horárioisso ocorre). Automatic Updates Detection Frequency Especifica com que frequência o cliente doWindows Update verifica novas atualizações. Por padrão, essa frequência é uma horaaleatória entre 17 e 22 horas. Allow Non-Administrators To Receive Update Notifications Determina se todos osusuários ou somente os administradores receberão notificações de atualização. Nãoadministradores podem instalar atualizações utilizando o cliente do Windows Update. Allow Automatic Updates Immediate Installation Especifica se o Windows Update vaiinstalar imediatamente as atualizações que não exigem que o computador seja reiniciado.
  2. 2.  Turn On Recommended Updates Via Automatic Updates Determina se os computadoresclientes instalam tanto atualizações críticas quanto recomendadas, que poderiam incluir driveratualizados. No Auto-Restart For Scheduled Automatic Updates Installations Especifica se, paraconcluir uma instalação agendada, o Windows Update vai esperar que o computador sejareiniciado por qualquer usuário conectado em vez de fazer com que o computador sejareiniciado automaticamente. Re-Prompt For Restart With Scheduled Installations Especifica com que frequência ocliente do Windows Update solicita que usuário reinicie. Dependendo das outras especificaçõesde configuração, os usuários podem ter a opção de adiar uma reinicialização agendada. Noentanto, o cliente do Windows Update vai lembrá-los automaticamente da reinicialização combase na frequência especificada nessa configuração. Delay Restart For Scheduled Installations Especifica quanto tempo o cliente do WindowsUpdate espera antes de reiniciar automaticamente. Reschedule Automatic Updates Scheduled Installations Especifica o período de tempo queo Windows Update espera, depois da inicialização do sistema, antes de continuar com umainstalação agendada que não foi feita anteriormente. Se você não especificar esse período detempo, uma instalação agendada que não foi feita ocorrerá um minuto depois que ocomputador for iniciado. Enable Client-Side Targeting Especifica o grupo do qual o computador é membro. Essa opçãosó é útil se você estiver utilizando o WSUS; você não pode utilizar essa opção com o SoftwareUpdate Services (SUS), o antecessor do WSUS. Enabling Windows Update Power Management To Automatically Wake Up The SystemTo Install Scheduled Updates Se as pessoas na sua organização costumam desligar oscomputadores ao fim do expediente, habilite essa especificação para configurar oscomputadores que possuem hardware que tem suporte para inicializar automaticamente einstalar uma atualização no horário agendado. Os computadores somente serão ligados sehouver uma atualização a ser instalada. Se o computador utilizar baterias, será desligadoautomaticamente depois de dois minutos. Allow Signed Updates From An Intranet Microsoft Update Service Location Especifica seo Windows XP com o Service Pack 1 ou superior vai instalar as atualizações assinadas utilizandoum certificado confiável mesmo se o certificado não for da Microsoft. Essa não é umaconfiguração comumente utilizada.Além disso, as duas configurações a seguir estão disponíveis na mesma localização, sob UserConfiguration (que você pode utilizar para especificar as configurações por usuário individual), alémda Computer Configuration: Do Not Display „Install Updates And Shut Down‟ Option In Shut Down Windows DialogBox Especifica se o Windows XP com o Service Pack 2 ou superior mostra a opção de Instalaros Updates e Desligar. Do Not Adjust Default Option To „Install Updates And Shut Down‟ In Shut DownWindows Dialog Box Especifica se o Windows XP com o Service Pack 2 ou superior alteraautomaticamente a opção de desligamento padrão para instalar as atualizações e desligarquando o Windows Update está esperando instalar uma atualização.Por fim, a última configuração de usuário só está disponível em User ConfigurationAdministrativeTemplatesWindows ComponentsWindows Update: Remove Access To Use All Windows Update Features Quando habilitada, impede que umusuário acesse a interface do Windows Update.Arquitetura WSUSO WSUS pode abranger desde empresas de pequeno porte até multinacionais. Em geral, você vaiprecisar de um único servidor WSUS para cada escritório com mais de 10 computadores e um servidorWSUS separado para cada diferente departamento de TI que exige controle em relação à maneiracomo as atualizações são aprovadas.Em geral, a redundância não é requerida para servidores WSUS; mas você deve fazer um backup dobanco de dados WSUS e estar preparado para corrigir ou substituir o servidor no espaço de tempo deuma semana após a falha. Se um servidor WSUS falhar, não haverá nenhum impacto direto sobre osusuários, e as atualizações raramente são tão urgentes para causar algum impacto, mesmo se arestauração de um servidor WSUS demorar alguns dias.
  3. 3. Organizações com um escritórioSe houver apenas uma localização, você pode utilizar um único servidor WSUS – independentementedo número total de computadores clientes. O cliente do Windows Update é projetado para compartilhara largura de banda e esperar quando a rede está ocupada, assim o impacto de rede deve ser omínimo.Organizações com vários escritóriosSe você utilizasse um único servidor WSUS para suportar clientes em vários escritórios, cadacomputador cliente teria de baixar as atualizações pela sua conexão de rede remota. O tamanho dasatualizações, especialmente service packs, pode ser de várias centenas de megabytes. Como asconexões remotas tendem a ter menos largura de banda do que as conexões de rede local, baixargrandes atualizações pela rede remota pode afetar o desempenho geral da rede remota. Se a rederemota tiver baixa largura de banda ou tráfego intenso, os clientes talvez não consigam recuperar asatualizações imediatamente.Para permitir que os clientes recuperem as atualizações a partir da sua rede local, configure umservidor WSUS em cada localização e configure os servidores WSUS para recuperar atualizações emuma hierarquia dos servidores pais. Para melhores resultados, utilize uma hierarquia que espelhe aarquitetura da WAN e, ao mesmo tempo, minimize o número de níveis nessa hierarquia. A Figura 9-1ilustra uma arquitetura WAN típica e a Figura 9-2 demonstra um projeto WSUS eficiente para essaarquitetura.
  4. 4. Nessa arquitetura, apenas o servidor WSUS de Boston recuperaria as atualizações diretamente daMicrosoft. Todo o gerenciamento das atualizações seria realizado no servidor WSUS de Boston e todosos outros servidores WSUS seriam configurados como réplicas. Os servidores downstreamrecuperariam as atualizações a partir dos servidores upstream; por exemplo, Los Angeles (o servidordownstream) recuperaria as atualizações de Boston (o servidor upstream). De maneira semelhante,Argentina é considerada um servidor downstream para Costa Rica.Para fornecer atualizações a pequenos escritórios que não podem suportar um servidor WSUS local,configure os computadores clientes para baixar as atualizações a partir do servidor WSUS maispróximo. Se o escritório tiver uma conexão rápida com a Internet, pense em implantar uma réplica doWSUS que não armazena as atualizações localmente e, em vez disso, direciona os computadoresclientes para que eles recuperem as atualizações diretamente da Microsoft.Organizações com vários departamentos de TIA arquitetura demonstrada na seção anterior mostra um exemplo ideal que raramente é realista: umamultinacional inteira gerenciada por um único departamento de TI. A maioria das organizações temdepartamentos de TI separados, com seus próprios processos e diretivas, que insistirão em controlarquais atualizações são implantadas nos computadores clientes que gerenciam.Nas organizações com departamentos de TI distribuídos, você pode projetar a arquitetura WSUSexatamente como descrito na seção anterior. A única diferença é a configuração – em vez deconfigurar cada servidor WSUS como uma réplica, configure os servidores WSUS como autônomos, oque leva em conta as aprovações e o gerenciamento em cada servidor específico. Os passos deconfiguração exigidos são descritos na Lição 2, “Utilizando o Windows Server Update Services”.Requisitos do WSUSAo planejar a implantação do WSUS, tenha em mente os seguintes requisitos: O servidor WSUS deve estabelecer conexões HTTP com a Internet (especificamente, com o siteMicrosoft Update). Se a conexão utilizar um servidor proxy, você vai precisar fornecer ascredenciais (se necessário). Os servidores WSUS downstream devem estabelecer conexões com os servidores WSUSupstream, utilizando o HTTP (porta TCP 80) ou, se você tiver um certificado SSL instalado, oHTTPS (porta TCP 443). Os computadores clientes precisam se conectar a partir da sua intranet utilizando HTTP ouHTTPS. O sistema operacional do computador cliente deve ser um dos seguintes: Windows 2000 com Service Pack 3 ou Service Pack 4 Windows XP Professional Windows Vista Windows Server 2003 Windows Server 2008OBS.:Se os computadores clientes permanecerem desconectados da rede por um longo período de tempo(por exemplo, se um professor tirar uma licença de um ano ou se um funcionário trabalhar em casapor meses e não se conectar à rede privada virtual [VPN]), o cliente não será capaz de baixar asatualizações. Pense em configurar o computador para instalar automaticamente as atualizaçõesdiretamente da Microsoft ou, utilizando a NAP, exigir que os computadores tenham as atualizaçõesantes de se conectarem à intranet.Planejando a instalação do WSUSDurante o processo de instalação do WSUS, você terá de tomar várias decisões cruciais:Update source O WSUS pode recuperar atualizações diretamente do site Microsoft Update oude outro servidor WSUS na sua própria rede. Em geral, você deve escolher o método que tem alargura de banda mais eficiente. Se dois servidores WSUS estiverem conectados por meio deuma rede local de alta velocidade, faça com que um desses servidores recupere as atualizaçõesda Microsoft Update e o outro servidor recupere as atualizações do primeiro. Se houverservidores WSUS em três escritórios remotos vinculados via VPNs pela Internet, seria maiseficiente que cada um baixasse as atualizações diretamente da Microsoft – uma vez que, dequalquer maneira, as atualizações teriam de cruzar as conexões Internet individuais. Suaarquitetura WSUS define o esquema exato, com os servidores downstream configurados pararecuperarem as atualizações a partir dos servidores upstream.
  5. 5. Approval and configuration replication Se houver múltiplos servidores WSUS e vocêconfigurar esses servidores para recuperar as atualizações a partir de um dosservidores WSUS, você também poderá optar por sincronizar aprovações, configurações,computadores e grupos, a partir do servidor WSUS pai. Essencialmente, isso torna o servidorWSUS filho uma réplica perfeita. Se você configurar um servidor como uma réplica, nãoserá necessário aprovar as atualizações no servidor de réplica. Se configurar um servidorcomo autônomo, você deverá aprovar as atualizações manualmente nos servidores WSUS – oque é útil para dar a múltiplos departamentos de TI um controle independente.Update storage O WSUS pode copiar as atualizações da Microsoft e armazenálas localmenteou direcioná-las aos computadores clientes para que eles baixem as atualizações diretamenteda Microsoft. Se você optar por armazenar as atualizações localmente, o servidor WSUSexigirá pelo menos 6 GB de espaço livre em disco (embora o tamanho real possa ser bemmaior, dependendo de quantas atualizações a Microsoft lança e de quantos idiomas sãonecessários). Armazenar as atualizações localmente pode reduzir significativamente alargura de banda de Internet utilizada pelas atualizações, permitindo aos clientes recuperá-laspor meio da rede local.Database Por padrão, o WSUS armazenará a lista de atualizações (incluindo quais atualizaçõesvocê quer implantar e outras configurações) em um Windows Internal Database. O processode configuração do WSUS requer pelo menos 3 GB de espaço livre em disco para armazenaro Windows Internal Database, embora em geral o tamanho real esteja mais próximo de 1 GB. OWindows Internal Database funciona para a maioria dos propósitos, mas você tambémpode utilizar um servidor de banco de dados existente (como um Microsoft SQL Server) nocomputador local ou em um computador remoto.NOTA Localização padrão do banco de dados WSUSPor padrão, o banco de dados está localizado em C:WSUSUpdateServicesDbFilesSUSDB.mdf.Web site selection O WSUS exige o IIS porque os computadores clientes recuperam asatualizações utilizando HTTP ou HTTPS (se você tiver um certificado SSL como um adquirido deuma autoridade de certificação pública ou gerado por uma autoridade de certificação doWindows Server 2008). Se não utilizar o IIS para nenhum outro propósito no servidorWSUS, você poderá utilizar o site padrão IIS existente. Do contrário, crie um novo siteespecificamente para o WSUS.Languages Muitas atualizações são específicas a um idioma. Para minimizar o uso deespaço em disco, escolha baixar apenas os idiomas que são requeridos pelos computadoresclientes que acessarão o servidor WSUS. Você deve evitar selecionar todos os idiomas, porque oespaço de armazenamento total e a largura de banda requeridos serão bem altos.Products O Microsoft Update pode fornecer atualizações a uma ampla variedade de produtos,além dos principais sistemas operacionais Windows. Por exemplo, o Microsoft Update distribuiatualizações para Exchange Server, ISA Server, SQL Server e Office. Selecione apenas osaplicativos e sistemas operacionais utilizados dentro da sua organização para minimizar oespaço em disco requerido.Auditando as atualizaçõesDepois de implantar o WSUS, alguns computadores clientes poderiam ainda não ter as atualizaçõesporque a instalação das atualizações falhou, o computador cliente foi mal configurado (ou não é partedo seu domínio do Active Directory) ou o computador cliente estava desconectado da rede por umlongo período de tempo. Você pode utilizar várias técnicas para identificar os computadores que nãotêm as atualizações:Windows Update console Você pode utilizar o nó Computers And Reports para identificarclientes WSUS que não instalaram as atualizações aprovadas.Microsoft System Center Configuration Manager 2007 (Configuration Manager 2007)O Configuration Manager 2007 é a versão mais recente do Microsoft Systems ManagementServer (SMS). O Configuration Manager 2007, como o SMS, pode fornecer informaçõesdetalhadas sobre as atualizações e os aplicativos instalados nos computadores gerenciados. OConfiguration Manager 2007 é mais adequado para empresas com um domínio do ActiveDirectory. Para informações adicionais sobre o Configuration Manager 2007, visitehttp://www.microsoft.com/smserver/.
  6. 6. Microsoft Baseline Security Analyzer (MBSA) O MBSA é uma ferramenta automatizada deauditoria de segurança que identifica as atualizações e configurações ausentes que poderiamlevar a vulnerabilidades de segurança. O MBSA pode varrer redes inteiras, permitindoidentificar os computadores não gerenciados na sua rede. Isso fornece uma vantagemsignificativa em relação ao console Windows Update, que só pode informar os clientesconfigurados para utilizar o servidor WSUS. Para informações adicionais sobre o MBSA e parabaixar a ferramenta gratuita, visite http://www.microsoft.com/mbsa/.Network Access Protection (NAP) A NAP, quando combinada com o Validador da integridadeda segurança do Windows (como descrito no Capítulo 8, “Configurando o firewall do Windows ea Network Access Protection”), pode verificar se os computadores têm as atualizações recentesinstaladas toda vez que eles se conectam à sua rede. No modo de monitoramento somente,a NAP adiciona um evento ao log de eventos que você pode monitorar, permitindo identificar oscomputadores desatualizados. Se você habilitar a imposição de NAP, os computadoresclientes que não atendem aos requisitos de integridade podem ser conectados a uma rede deremediação na qual precisam aplicar as atualizações exigidas antes de ganhar acesso à redeprivada.Resumo da lição O WSUS permite armazenar e distribuir atualizações de software da Microsoft por toda a suarede interna, reduzindo o uso da largura de banda de Internet. Além disso, o WSUS fornececontrole total em relação a quando as atualizações são implantadas nos computadoresclientes, permitindo testar as atualizações antes do lançamento. O cliente do Windows Update recupera as atualizações a partir do servidor WSUS.Dependendo de como você configurou o liente do Windows Update, ele poderá notificaro usuário de que a atualização está disponível para a instalação ou instalar automaticamente aatualização sem interagir com o usuário. Você pode configurar o cliente do WindowsUpdate utilizando as configurações de diretiva de grupo. Um único servidor WSUS é suficiente para a maioria das organizações que têm uma únicalocalização. Em geral, é recomendável implantar um servidor WSUS separado em cada filialpara minimizar o uso da Internet e da rede remota. Servidores WSUS adicionais podem serconfigurados como réplicas (que copiam suas configurações do servidor WSUS upstream) oupodem ser autônomos (o que permite a departamentos de TI separados tomar suas própriasdecisões sobre quando as atualizações são implantadas). Vários tipos de problemas podem impedir que os clientes WSUS instalem as atualizações.Para identificar essas atualizações, utilize o console Update Services, o ConfigurationManager 2007, o MBSA e a NAP.Lição 2: Utilizando o Windows Server Update ServicesCom o Windows Server 2008, você pode instalar o WSUS utilizando o Server Manager egerenciá-lo com o console de Update Services. Essa versão mais recente do WSUS inclui umnúmero significativo de novos recursos e modificações na interface com usuário e, mesmo se vocêestiver familiarizado com as versões anteriores, recomendamos que estude esta lição para poderentender exatamente como gerenciar o software.Como instalar os Windows Server Update ServicesO download do WSUS é gratuito e está disponível em http://www.microsoft.com/wsus. Siga asinstruções disponíveis nessa página Web para instalar a versão mais recente do WSUS para o WindowsServer 2008.Depois da instalação você deve sincronizar as atualizações a partir do Microsoft Update, seguindoestes passos:1. Clique em Start, Administrative Tools e, então, em Microsoft Windows Server UpdateServices. O console Update Services aparece.2. Na árvore do console, selecione o nome do servidor. No painel de detalhes, clique no linkSynchronize Now. A sincronização levará vários minutos (e pode demorar mais de uma hora).Depois que a sincronização completar, você pode começar a gerenciar o WSUS.
  7. 7. Como configurar os Windows Server Update ServicesDepois de instalar o WSUS e começar a sincronização, configure o WSUS, seguindo estes passos:1. Ajuste a configuração WSUS editando as opções WSUS.2. Configure os grupos de computador para permitir a distribuição de atualizações a diferentesconjuntos de computadores em diferentes momentos.3. Configure os computadores clientes para recuperar as atualizações do seu servidor WSUS.4. Depois de testar as atualizações, aprove-as ou desaprove-as.5. Examine os relatórios para verificar se as atualizações estão sendo distribuídas com sucesso eidentificar quaisquer problemas.Como configurar as opções WSUSEmbora o assistente de configuração solicite que você configure as opções WSUS mais importantes,especifique as outras opções depois da configuração inicial selecionando o nó Options, no consoleUpdate Services, como mostrado na Figura 9-3.Você pode configurar as opções nas seguintes categorias: Update Source And Proxy Server Configure o servidor WSUS upstream ou o servidor WSUSpara recuperar as atualizações da Microsoft. Você configura esses servidores durante ainstalação e só precisa alterá-la se modificar a arquitetura WSUS. Products And Classifications Escolha os produtos da Microsoft para os quais o WSUS baixaráas atualizações. Você deve atualizar essas configurações quando começa a dar suporte aum novo produto ou quando para de dar suporte a um produto existente (como uma versãoanterior do Microsoft Office). Update Files And Languages Selecione onde as atualizações são armazenadas e em quaisidiomas baixar as atualizações. Synchronization Schedule Configure se o WSUS sincroniza automaticamente as atualizaçõesdo servidor upstream e com que frequência.
  8. 8.  Automatic Approvals Configure as atualizações para a aprovação automática. Por exemplo,você pode configurar atualizações críticas para serem automaticamente aprovadas. Você deveutilizar isso somente se tiver decidido não testar a compatibilidade das atualizações – umadecisão arriscada que pode levar a problemas de compatibilidade com computadores deprodução. Computers Escolha se é preciso posicionar computadores em grupos utilizando o consoleUpdate Services ou configurações de registro e diretivas de grupo. Para informaçõesadicionais, consulte a próxima seção, “Como configurar grupos de computador”. Server Cleanup Wizard Ao longo do tempo, o WSUS acumulará atualizações que não sãomais necessárias e computadores que não mais estão ativos. Esse assistente ajuda a removeras atualizações e os computadores desatualizados e desnecessários, liberando espaço em disco(se você armazenar as atualizações localmente) e reduzindo o tamanho do banco de dadosWSUS. Reporting Rollup Por padrão, os servidores downstream recuperam as informações derelatório dos servidores upstream, agregando dados de relatório. Você pode utilizar essa opçãopara que cada servidor configure o gerenciamento dos seus próprios dados de relatório. Email Notifications O WSUS pode enviar um email quando as novas atualizações sãosincronizadas, informando aos administradores que elas devem ser avaliadas, testadas eaprovadas. Além de configurar essas notificações por email, utilize essa opção para enviarrelatórios diários ou semanais sobre o status. Microsoft Update Improvement Program Desabilitada por padrão, você pode habilitar essaopção para enviar à Microsoft alguns detalhes de alto nível sobre as atualizações na suaorganização, incluindo o número de computadores e quantos computadores instalaram cadaatualização com ou sem sucesso. A Microsoft pode utilizar essas informações para aprimorar oprocesso de atualização. Personalization Nessa página, você pode configurar se o servidor exibe dados dos servidoresdownstream nos relatórios. Você também pode selecionar quais itens são mostrados na lista ToDo que aparece ao selecionar o nome do servidor WSUS no console Update Services. WSUS Server Configuration Wizard Permite reconfigurar o WSUS com a interface doassistente utilizada para a configuração inicial. Em geral, é mais fácil especificar asconfigurações individuais que você precisa.Como configurar grupos de computadorNa maioria dos ambientes, você não vai implantar todas as atualizações para todos os clientes aomesmo tempo. Para que você tenha controle sobre quando os computadores recebem asatualizações, o WSUS 3.0 permite configurar grupos de computadores e implantar atualizações emum ou mais grupos. Você poderia criar grupos adicionais para diferentes modelos decomputadores ou diferentes organizações, dependendo inteiramente do processo que você utilizapara implantar as atualizações. No geral, você vai criar grupos de computador para cada etapa doprocesso de implantação das atualizações, que deve se parecer com isto: Testes Implante as atualizações para os computadores em um ambiente de teste. Issopermitirá verificar se o mecanismo de distribuição das atualizações funciona apropriadamente.Então, você pode testar seus aplicativos em um computador depois que as atualizações foraminstaladas. Piloto Depois do teste, você vai implantar as atualizações em um grupo-piloto. Em geral, ogrupo-piloto é um conjunto de computadores que pertencem ao departamento de TI ou outrogrupo de computadores capazes de identificar e resolver problemas. Produção Se a implantação-piloto der certo e não houver nenhum problema informado depoisde uma semana ou mais, você poderá implantar as atualizações nos computadores de produçãocom menos riscos de problemas de compatibilidade.Você pode configurar grupos de computador de uma destas duas maneiras:Server-side Targeting Mais adequado a organizações de pequeno porte, você adiciona computadoresa grupos de computador utilizando manualmente o console Update Services.Client-side Targeting Mais adequado a grandes organizações, você utiliza as especificações dediretiva de grupo para configurar os computadores como parte de um grupo de computadores. Oscomputadores são automaticamente adicionados ao grupo de computadores correto quando seconectam ao servidor WSUS.
  9. 9. Qualquer que seja a abordagem utilizada, você deve primeiro utilizar o console Update Services paracriar grupos de computador. Por padrão, há um único grupo de computadores: All Computers. Paracriar grupos adicionais, siga estes passos:1. Clique em Start, Administrative Tools e, então, em Microsoft Windows Server UpdateServices. O console Update Services aparece.2. Na árvore do console, expanda Computers e clique com o botão direito do mouse em AllComputers (ou no grupo de computadores em que você quer aninhar o novo grupo decomputadores). Escolha Add Computer Group. A caixa de diálogo Add Computer Group aparece.3. Digite um nome para o grupo de computadores e clique em Add.4. Repita os passos 2 e 3 para criar o número de grupos de computadores necessário.Server-side Targeting Para adicionar computadores a um grupo utilizando Serverside Targeting, sigaestes passos:1. Na árvore do console do console Update Services, expanda Computers, All Computers eselecione Unassigned Computers. Então, no painel de detalhes, clique com o botão direito domouse no computador que você quer atribuir a um grupo (você também pode selecionarmúltiplos computadores clicando e mantendo pressionada a tecla Ctrl) e escolha ChangeMembership.2. Na caixa de diálogo Set Computer Group Membership, marque a caixa de seleção para cadagrupo ao qual você quer atribuir o(s) computador(es). Clique em OK.Os computadores que você selecionou serão movidos para os grupos de computador especificados.Client-side Targeting Utilize os objetos Group Policy (GPO) para adicionar computadores a gruposde computadores ao utilizar Client-side Targeting. Primeiro, configure o servidor WSUS paraClient-side Targeting, seguindo estes passos:1. Clique em Start, Administrative Tools e, então, em Microsoft Windows Server UpdateServices. O console Update Services aparece.2. Na árvore do console, selecione Options. No painel de detalhes, clique em Computers.3. Na caixa de diálogo Computers, selecione Use Group Policy Or Registry Settings OnComputers. Então, clique em OK.Em seguida, configure os GPOs para adicionar os computadores ao grupo de computadores correto.Você terá de criar GPOs separados para cada grupo de computadores e configurar cada um deles paraque seja aplicado apenas aos computadores apropriados.1. Abra o GPO no Group Policy Management Editor.2. Na árvore do console, selecione o nó Computer ConfigurationPoliciesAdministrativeTemplatesWindows ComponentsWindows Update.3. No painel de detalhes, dê um clique duplo na diretiva Enable Client-Side Targeting.4. Na caixa de diálogo Enable Client-Side Targeting Properties, selecione Enabled. Então, digiteo nome do grupo de computadores ao qual você quer adicionar o computador e clique emOK.Depois que os computadores clientes aplicam as configurações de diretiva de grupo,reiniciam os serviços do Windows Update e contatam o servidor WSUS, eles são adicionadosautomaticamente ao grupo especificado.Como configurar computadores clientesA seção “Cliente do Windows Update”, na Lição 1, “Entendendo o Windows Server UpdateServices”, descreveu as diferentes especificações de diretiva de grupo disponíveis para configurar amaneira como os clientes recuperam as atualizações. Os passos a seguir fornecem instruções pararealizar a quantidade mínima da configuração necessária (suficiente para muitas organizações) paraque clientes WSUS baixem as atualizações a partir do seu servidor WSUS.1. Abra o GPO que você quer utilizar para distribuir as especificações de configuração. No GroupPolicy Management Editor, selecione o nó Computer ConfigurationPoliciesAdministrativeTemplatesWindows ComponentsWindows Update.
  10. 10. 2. No painel de detalhes, dê um clique duplo em Specify Intranet Microsoft Update ServiceLocation. A caixa de diálogo Specify Intranet Microsoft Update Service Location Propertiesaparece.3. Selecione Enabled. Nas caixas de diálogo Set The Intranet Update Service For DetectingUpdates e Set The Intranet Statistics Server, digite http://nome_do_servidor_WSUS. Cliqueem OK.4. Dê um clique duplo em Configure Automatic Updates. A caixa de diálogo ConfigureAutomatic Updates Properties aparece.5. Selecione Enabled. Especifique as configurações de atualizações automáticas. Por exemplo,para instalar as atualizações automaticamente, na lista suspensa Configure Automatic Updatingselecione 4 – Auto Download And Schedule The Install. Clique em OK.Com essas especificações de diretiva de grupo habilitadas, os clientes vão recuperar e,opcionalmente, instalar as atualizações a partir do seu servidor WSUS.Como aprovar atualizaçõesA menos que você tenha configurado a aprovação automática, as atualizações não são aprovadas porpadrão. Para aprovar manualmente as atualizações, siga estes passos:1. Clique em Start, Administrative Tools e, então, em Microsoft Windows Server UpdateServices. O console Update Services aparece.2. Na árvore do console, expanda o nome do servidor e, então, expanda Updates. Selecioneuma das seguintes opções: All Updates Exibe todas as atualizações. Essa é a opção mais conveniente para aprovar asatualizações. Critical Updates Exibe apenas as atualizações críticas, que são atualizações de alta prioridade,como correções de bugs, não relacionadas à segurança. Security Updates Exibe apenas as atualizações que corrigem problemas de segurançaconhecidos. WSUS Updates Exibe as atualizações relacionadas ao processo de atualização.3. Na barra de ferramentas em cima do painel de detalhes, na lista suspensa Approval,selecione Unapproved, como mostrado na Figura 9-4. Você também pode utilizar essa lista paraexibir as atualizações que aprovou ou não.
  11. 11. 4. Na lista suspensa Status, selecione Any. Clique em Refresh para exibir as atualizações.NOTA Classificando as atualizaçõesPara classificar as atualizações a fim de que as mais recentes apareçam no topo da lista, clique com obotão direito do mouse nos cabeçalhos de coluna e selecione a coluna Release Date. Então,clique no cabeçalho da coluna Release Date para classificar por essa data.5. Selecione as atualizações que você quer aprovar. Você pode selecionar múltiplas atualizaçõesclicando e mantendo pressionada a tecla Ctrl para cada atualização. Alternativamente, vocêpode selecionar várias atualizações clicando na primeira atualização e, então, clicando emantendo pressionada a tecla Shift na última atualização. Pressione Ctrl+A para selecionartodas as atualizações. Clique com o botão direito do mouse nas atualizações selecionadas e,depois, escolha Approve (para distribuir a atualização aos clientes na próxima vez que elesverificarem as atualizações) ou Decline (para impedir a distribuição das atualizações).6. Se a caixa de diálogo Approve Updates aparecer, selecione o grupo de computadores ao qualvocê quer aplicar as atualizações e escolha Approved For Install. Repita isso para aplicar aatualização a múltiplos computadores. Clique em OK depois de concluir.7. Para definir um prazo final (depois do qual uma atualização deve ser instalada sem que osusuários possam adiar a atualização), clique com o botão direito do mouse no grupo decomputadores, escolha Deadline e selecione o prazo final.8. Clique em OK.9. Se um acordo de licenciamento aparecer, clique em I Accept.NOTA Removendo atualizaçõesSe você aplicou atualizações aos computadores anteriormente, escolha Approved For Removal pararemover a atualização. Entretanto, a maioria das atualizações não suporta a remoção automatizada e oWSUS informará um erro na caixa de diálogo Approval Progress. Para remover essasatualizações, siga as instruções em “Como remover atualizações”, mais adiante nesta lição.A caixa de diálogo Approval Progress aparece à medida que o WSUS aplica as atualizações.10. Examine quaisquer erros exibidos na caixa de diálogo Approval Progress e, então, clique emClose.Como recusar atualizaçõesDepois de aprovar as atualizações necessárias, você pode recusar as atualizações que não querinstalar nos computadores. A recusa de atualizações não afeta diretamente os computadoresclientes; simplesmente, ajuda a organizar as atualizações no console WSUS.Para recusar atualizações, siga estes passos:1. No console Update Services, clique com o botão direito do mouse na atualização que você querrecusar e escolha Decline.2. Na caixa de diálogo Decline Update, clique em Yes.Para revisar as atualizações que foram recusadas, na lista suspensa Approval no console WindowsUpdate, selecione Declined. Clique então em Refresh.

×