Gerenciando atualizações de software

Windows Server Update Services (WSUS)

O WSUS permite que você baixe, aprove (depois de testá-las) e distribua atualizações por toda a organização – independentemente de quantos computadores clientes você gerencia.

Visão geral do WSUS

O Windows Server Update Services (WSUS) é uma versão privada do serviço Microsoft Update, a partir do qual os computadores do Windows automaticamente baixam as atualizações. Como você pode executar o WSUS na sua própria rede interna e utilizá-lo para distribuir as atualizações aos seus computadores, você pode utilizar a largura de banda mais eficientemente e manter o controle total em relação às atualizações instaladas no computador cliente.Ao executar o WSUS, ele se conecta ao site Microsoft Update, baixa as informações sobre atualizações disponíveis e adiciona-as a uma lista de atualizações que exigem aprovação administrativa. Depois que um administrador aprova e priorizam essas atualizações (um processo que você pode automatizar inteiramente), o WSUS disponibiliza-as automaticamente aos computadores clientes. Então, o cliente do Windows Update (quando apropriadamente configurado) verifica o servidor WSUS, baixa automaticamente e, opcionalmente, instala as atualizações aprovadas. Você pode distribuir o WSUS a múltiplos servidores e localizações para abranger as necessidades das empresas de pequeno e grande porte.

Windows Update Client

O cliente do Windows Update é o componente dos clientes WSUS que recupera o software a partir do servidor WSUS, verifica a assinatura digital e o hash Secure Hash Algorithm (SHA1), notifica o usuário de que a atualização está disponível e instala o software (se configurado para fazer isso). O cliente do Windows Update instala as atualizações em um horário agendado e, se necessário, pode reiniciar automaticamente o computador. Se o computador estiver desativado nesse horário, as atualizações podem ser instaladas assim que o computador for ativado. Se o hardware do computador suportar esse processo, o Windows Update pode ligar um computador e instalar as atualizações no horário especificado.

NOTA Cliente WSUS nas versões anteriores do WindowsNo Windows XP e no Windows 2000, o componente cliente do WSUS chama-se cliente de atualizações automáticas (Automatic Updates client).

Como as configurações do Windows Update devem ser aplicadas a todos os computadores na organização, as diretivas de grupo costumam ser a melhor maneira de distribuir as configurações. As configurações do Windows Update estão localizadas em Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Update.

As configurações do Windows Update Group Policy são:

Specify Intranet Microsoft Update Service Location Especifica a localização do seu servidor WSUS.

Configure Automatic Updates Especifica se os computadores clientes receberão atualizações de segurança e outros downloads importantes por meio do serviço Windows Update. Você também utiliza essa especificação para configurar se o usuário é solicitado a instalar as atualizações ou se o cliente do Windows Update as instala automaticamente (e em que horário isso ocorre).

Automatic Updates Detection Frequency Especifica com que frequência o cliente do Windows Update verifica novas atualizações. Por padrão, essa frequência é uma hora aleatória entre 17 e 22 horas.

Allow Non-Administrators To Receive Update Notifications Determina se todos os usuários ou somente os administradores receberão notificações de atualização. Não administradores podem instalar atualizações utilizando o cliente do Windows Update.

Allow Automatic Updates Immediate Installation Especifica se o Windows Update vai instalar imediatamente as atualizações que não exigem que o computador seja reiniciado.

Turn On Recommended Updates Via Automatic Updates Determina se os computadores clientes instalam tanto atualizações críticas quanto recomendadas, que poderiam incluir driver atualizados.

No Auto-Restart For Scheduled Automatic Updates Installations Especifica se, para concluir uma instalação agendada, o Windows Update vai esperar que o computador seja reiniciado por qualquer usuário conectado em vez de fazer com que o computador seja reiniciado automaticamente.

Re-Prompt For Restart With Scheduled Installations Especifica com que frequência o cliente do Windows Update solicita que usuário reinicie. Dependendo das outras especificações de configuração, os usuários podem ter a opção de adiar uma reinicialização agendada. No entanto, o cliente do Windows Update vai lembrá-los automaticamente da reinicialização com base na frequência especificada nessa configuração.

Delay Restart For Scheduled Installations Especifica quanto tempo o cliente do Windows Update espera antes de reiniciar automaticamente.

Reschedule Automatic Updates Scheduled Installations Especifica o período de tempo que o Windows Update espera, depois da inicialização do sistema, antes de continuar com uma instalação agendada que não foi feita anteriormente. Se você não especificar esse período de tempo, uma instalação agendada que não foi feita ocorrerá um minuto depois que o computador for iniciado.

Enable Client-Side Targeting Especifica o grupo do qual o computador é membro. Essa opção só é útil se você estiver utilizando o WSUS; você não pode utilizar essa opção com o Software Update Services (SUS), o antecessor do WSUS.

Enabling Windows Update Power Management To Automatically Wake Up The System To Install Scheduled Updates Se as pessoas na sua organização costumam desligar os computadores ao fim do expediente, habilite essa especificação para configurar os computadores que possuem hardware que tem suporte para inicializar automaticamente e instalar uma atualização no horário agendado. Os computadores somente serão ligados se houver uma atualização a ser instalada. Se o computador utilizar baterias, será desligado automaticamente depois de dois minutos.

Allow Signed Updates From An Intranet Microsoft Update Service Location Especifica se o Windows XP com o Service Pack 1 ou superior vai instalar as atualizações assinadas utilizando um certificado confiável mesmo se o certificado não for da Microsoft. Essa não é uma configuração comumente utilizada.

Além disso, as duas configurações a seguir estão disponíveis na mesma localização, sob User Configuration (que você pode utilizar para especificar as configurações por usuário individual), além da Computer Configuration:

Do Not Display ‘Install Updates And Shut Down’ Option In Shut Down Windows Dialog Box Especifica se o Windows XP com o Service Pack 2 ou superior mostra a opção de Instalar os Updates e Desligar.

Do Not Adjust Default Option To ‘Install Updates And Shut Down’ In Shut Down Windows Dialog Box Especifica se o Windows XP com o Service Pack 2 ou superior altera automaticamente a opção de desligamento padrão para instalar as atualizações e desligar quando o Windows Update está esperando instalar uma atualização.

Por fim, a última configuração de usuário só está disponível em User Configuration\Administrative Templates\Windows Components\Windows Update:

Remove Access To Use All Windows Update Features Quando habilitada, impede que um usuário acesse a interface do Windows Update.

Arquitetura WSUS

O WSUS pode abranger desde empresas de pequeno porte até multinacionais. Em geral, você vai precisar de um único servidor WSUS para cada escritório com mais de 10 computadores e um servidor WSUS separado para cada diferente departamento de TI que exige controle em relação à maneira como as atualizações são aprovadas.Em geral, a redundância não é requerida para servidores WSUS; mas você deve fazer um backup do banco de dados WSUS e estar preparado para corrigir ou substituir o servidor no espaço de tempo de uma semana após a falha. Se um servidor WSUS falhar, não haverá nenhum impacto direto sobre os usuários, e as atualizações raramente são tão urgentes para causar algum impacto, mesmo se a restauração de um servidor WSUS demorar alguns dias.Organizações com um escritórioSe houver apenas uma localização, você pode utilizar um único servidor WSUS – independentemente do número total de computadores clientes. O cliente do Windows Update é projetado para compartilhar a largura de banda e esperar quando a rede está ocupada, assim o impacto de rede deve ser o mínimo.

Organizações com vários escritóriosSe você utilizasse um único servidor WSUS para suportar clientes em vários escritórios, cada computador cliente teria de baixar as atualizações pela sua conexão de rede remota. O tamanho das atualizações, especialmente service packs, pode ser de várias centenas de megabytes. Como as conexões remotas tendem a ter menos largura de banda do que as conexões de rede local, baixar grandes atualizações pela rede remota pode afetar o desempenho geral da rede remota. Se a rede remota tiver baixa largura de banda ou tráfego intenso, os clientes talvez não consigam recuperar as atualizações imediatamente.Para permitir que os clientes recuperem as atualizações a partir da sua rede local, configure um servidor WSUS em cada localização e configure os servidores WSUS para recuperar atualizações em uma hierarquia dos servidores pais. Para melhores resultados, utilize uma hierarquia que espelhe a arquitetura da WAN e, ao mesmo tempo, minimize o número de níveis nessa hierarquia. A Figura 9-1 ilustra uma arquitetura WAN típica e a Figura 9-2 demonstra um projeto WSUS eficiente para essa arquitetura.

Nessa arquitetura, apenas o servidor WSUS de Boston recuperaria as atualizações diretamente da Microsoft. Todo o gerenciamento das atualizações seria realizado no servidor WSUS de Boston e todos os outros servidores WSUS seriam configurados como réplicas. Os servidores downstream recuperariam as atualizações a partir dos servidores upstream; por exemplo, Los Angeles (o servidor downstream) recuperaria as atualizações de Boston (o servidor upstream). De maneira semelhante, Argentina é considerada um servidor downstream para Costa Rica.

Para fornecer atualizações a pequenos escritórios que não podem suportar um servidor WSUS local, configure os computadores clientes para baixar as atualizações a partir do servidor WSUS mais próximo. Se o escritório tiver uma conexão rápida com a Internet, pense em implantar uma réplica do WSUS que não armazena as atualizações localmente e, em vez disso, direciona os computadores clientes para que eles recuperem as atualizações diretamente da Microsoft.

Organizações com vários departamentos de TIA arquitetura demonstrada na seção anterior mostra um exemplo ideal que raramente é realista: uma multinacional inteira gerenciada por um único departamento de TI. A maioria das organizações tem departamentos de TI separados, com seus próprios processos e diretivas, que insistirão em controlar quais atualizações são implantadas nos computadores clientes que gerenciam.Nas organizações com departamentos de TI distribuídos, você pode projetar a arquitetura WSUS exatamente como descrito na seção anterior. A única diferença é a configuração – em vez de configurar cada servidor WSUS como uma réplica, configure os servidores WSUS como autônomos, o que leva em conta as aprovações e o gerenciamento em cada servidor específico. Os passos de configuração exigidos são descritos na Lição 2, “Utilizando o Windows Server Update Services”.

Requisitos do WSUSAo planejar a implantação do WSUS, tenha em mente os seguintes requisitos:

O servidor WSUS deve estabelecer conexões HTTP com a Internet (especificamente, com o site Microsoft Update). Se a conexão utilizar um servidor proxy, você vai precisar fornecer as credenciais (se necessário).

Os servidores WSUS downstream devem estabelecer conexões com os servidores WSUS upstream, utilizando o HTTP (porta TCP 80) ou, se você tiver um certificado SSL instalado, o HTTPS (porta TCP 443).

Os computadores clientes precisam se conectar a partir da sua intranet utilizando HTTP ou HTTPS.

O sistema operacional do computador cliente deve ser um dos seguintes:

Windows 2000 com Service Pack 3 ou Service Pack 4 Windows XP Professional Windows Vista Windows Server 2003 Windows Server 2008

OBS.:

Se os computadores clientes permanecerem desconectados da rede por um longo período de tempo (por exemplo, se um professor tirar uma licença de um ano ou se um funcionário trabalhar em casa por meses e não se conectar à rede privada virtual [VPN]), o cliente não será capaz de baixar as atualizações. Pense em configurar o computador para instalar automaticamente as atualizações diretamente da Microsoft ou, utilizando a NAP, exigir que os computadores tenham as atualizações antes de se conectarem à intranet.

Planejando a instalação do WSUSDurante o processo de instalação do WSUS, você terá de tomar várias decisões cruciais:

Update source O WSUS pode recuperar atualizações diretamente do site Microsoft Update ou de outro servidor WSUS na sua própria rede. Em geral, você deve escolher o método que tem a largura de banda mais eficiente. Se dois servidores WSUS estiverem conectados por meio de uma rede local de alta velocidade, faça com que um desses servidores recupere as atualizações da Microsoft Update e o outro servidor recupere as atualizações do primeiro. Se houver servidores WSUS em três escritórios remotos vinculados via VPNs pela Internet, seria mais eficiente que cada um baixasse as atualizações diretamente da Microsoft – uma vez que, de qualquer maneira, as atualizações teriam de cruzar as conexões Internet individuais. Sua arquitetura WSUS define o esquema exato, com os servidores downstream configurados para recuperarem as atualizações a partir dos servidores upstream.

Approval and configuration replication Se houver múltiplos servidores WSUS e você configurar esses servidores para recuperar as atualizações a partir de um dos servidores WSUS, você também poderá optar por sincronizar aprovações, configurações, computadores e grupos, a partir do servidor WSUS pai. Essencialmente, isso torna o servidor WSUS filho uma réplica perfeita. Se você configurar um servidor como uma réplica, não será necessário aprovar as atualizações no servidor de réplica. Se configurar um servidor

como autônomo, você deverá aprovar as atualizações manualmente nos servidores WSUS – o que é útil para dar a múltiplos departamentos de TI um controle independente.

Update storage O WSUS pode copiar as atualizações da Microsoft e armazenálas localmente ou direcioná-las aos computadores clientes para que eles baixem as atualizações diretamente da Microsoft. Se você optar por armazenar as atualizações localmente, o servidor WSUS exigirá pelo menos 6 GB de espaço livre em disco (embora o tamanho real possa ser bem maior, dependendo de quantas atualizações a Microsoft lança e de quantos idiomas são necessários). Armazenar as atualizações localmente pode reduzir significativamente a largura de banda de Internet utilizada pelas atualizações, permitindo aos clientes recuperá-las por meio da rede local.

Database Por padrão, o WSUS armazenará a lista de atualizações (incluindo quais atualizações você quer implantar e outras configurações) em um Windows Internal Database. O processo de configuração do WSUS requer pelo menos 3 GB de espaço livre em disco para armazenar o Windows Internal Database, embora em geral o tamanho real esteja mais próximo de 1 GB. O Windows Internal Database funciona para a maioria dos propósitos, mas você também pode utilizar um servidor de banco de dados existente (como um Microsoft SQL Server) no computador local ou em um computador remoto.

NOTA Localização padrão do banco de dados WSUSPor padrão, o banco de dados está localizado em C:\WSUS\UpdateServicesDbFiles\SUSDB.mdf.

Web site selection O WSUS exige o IIS porque os computadores clientes recuperam as atualizações utilizando HTTP ou HTTPS (se você tiver um certificado SSL como um adquirido de uma autoridade de certificação pública ou gerado por uma autoridade de certificação do Windows Server 2008). Se não utilizar o IIS para nenhum outro propósito no servidor WSUS, você poderá utilizar o site padrão IIS existente. Do contrário, crie um novo site especificamente para o WSUS.

Languages Muitas atualizações são específicas a um idioma. Para minimizar o uso de espaço em disco, escolha baixar apenas os idiomas que são requeridos pelos computadores clientes que acessarão o servidor WSUS. Você deve evitar selecionar todos os idiomas, porque o espaço de armazenamento total e a largura de banda requeridos serão bem altos.

Products O Microsoft Update pode fornecer atualizações a uma ampla variedade de produtos, além dos principais sistemas operacionais Windows. Por exemplo, o Microsoft Update distribui atualizações para Exchange Server, ISA Server, SQL Server e Office. Selecione apenas os aplicativos e sistemas operacionais utilizados dentro da sua organização para minimizar o espaço em disco requerido.

Auditando as atualizaçõesDepois de implantar o WSUS, alguns computadores clientes poderiam ainda não ter as atualizações porque a instalação das atualizações falhou, o computador cliente foi mal configurado (ou não é parte do seu domínio do Active Directory) ou o computador cliente estava desconectado da rede por um longo período de tempo. Você pode utilizar várias técnicas para identificar os computadores que não têm as atualizações:

Windows Update console Você pode utilizar o nó Computers And Reports para identificar clientes WSUS que não instalaram as atualizações aprovadas.

Microsoft System Center Configuration Manager 2007 (Configuration Manager 2007) O Configuration Manager 2007 é a versão mais recente do Microsoft Systems Management Server (SMS). O Configuration Manager 2007, como o SMS, pode fornecer informações detalhadas sobre as atualizações e os aplicativos instalados nos computadores gerenciados. O Configuration Manager 2007 é mais adequado para empresas com um domínio do Active Directory. Para informações adicionais sobre o Configuration Manager 2007, visite http://www.microsoft.com/smserver/.

Microsoft Baseline Security Analyzer (MBSA) O MBSA é uma ferramenta automatizada de auditoria de segurança que identifica as atualizações e configurações ausentes que poderiam levar a vulnerabilidades de segurança. O MBSA pode varrer redes inteiras, permitindo identificar os computadores não gerenciados na sua rede. Isso fornece uma vantagem significativa em relação ao console Windows Update, que só pode informar os clientes configurados para utilizar o servidor WSUS. Para informações adicionais sobre o MBSA e para baixar a ferramenta gratuita, visite http://www.microsoft.com/mbsa/.

Network Access Protection (NAP) A NAP, quando combinada com o Validador da integridade da segurança do Windows (como descrito no Capítulo 8, “Configurando o firewall do Windows e a Network Access Protection”), pode verificar se os computadores têm as atualizações recentes

instaladas toda vez que eles se conectam à sua rede. No modo de monitoramento somente, a NAP adiciona um evento ao log de eventos que você pode monitorar, permitindo identificar os computadores desatualizados. Se você habilitar a imposição de NAP, os computadores clientes que não atendem aos requisitos de integridade podem ser conectados a uma rede de remediação na qual precisam aplicar as atualizações exigidas antes de ganhar acesso à rede privada.

Resumo da lição

O WSUS permite armazenar e distribuir atualizações de software da Microsoft por toda a sua rede interna, reduzindo o uso da largura de banda de Internet. Além disso, o WSUS fornece controle total em relação a quando as atualizações são implantadas nos computadores clientes, permitindo testar as atualizações antes do lançamento.

O cliente do Windows Update recupera as atualizações a partir do servidor WSUS. Dependendo de como você configurou o liente do Windows Update, ele poderá notificar o usuário de que a atualização está disponível para a instalação ou instalar automaticamente a atualização sem interagir com o usuário. Você pode configurar o cliente do Windows Update utilizando as configurações de diretiva de grupo.

Um único servidor WSUS é suficiente para a maioria das organizações que têm uma única localização. Em geral, é recomendável implantar um servidor WSUS separado em cada filial para minimizar o uso da Internet e da rede remota. Servidores WSUS adicionais podem ser configurados como réplicas (que copiam suas configurações do servidor WSUS upstream) ou podem ser autônomos (o que permite a departamentos de TI separados tomar suas próprias decisões sobre quando as atualizações são implantadas).

Vários tipos de problemas podem impedir que os clientes WSUS instalem as atualizações. Para identificar essas atualizações, utilize o console Update Services, o Configuration Manager 2007, o MBSA e a NAP.

Lição 2: Utilizando o Windows Server Update Services

Com o Windows Server 2008, você pode instalar o WSUS utilizando o Server Manager e gerenciá-lo com o console de Update Services. Essa versão mais recente do WSUS inclui um número significativo de novos recursos e modificações na interface com usuário e, mesmo se você estiver familiarizado com as versões anteriores, recomendamos que estude esta lição para poder entender exatamente como gerenciar o software.

Como instalar os Windows Server Update Services

O download do WSUS é gratuito e está disponível em http://www.microsoft.com/wsus. Siga as instruções disponíveis nessa página Web para instalar a versão mais recente do WSUS para o Windows Server 2008.Depois da instalação você deve sincronizar as atualizações a partir do Microsoft Update, seguindo estes passos:

1. Clique em Start, Administrative Tools e, então, em Microsoft Windows Server Update Services. O console Update Services aparece.2. Na árvore do console, selecione o nome do servidor. No painel de detalhes, clique no link Synchronize Now. A sincronização levará vários minutos (e pode demorar mais de uma hora). Depois que a sincronização completar, você pode começar a gerenciar o WSUS.

Como configurar os Windows Server Update Services

Depois de instalar o WSUS e começar a sincronização, configure o WSUS, seguindo estes passos:

1. Ajuste a configuração WSUS editando as opções WSUS.2. Configure os grupos de computador para permitir a distribuição de atualizações a diferentes conjuntos de computadores em diferentes momentos.3. Configure os computadores clientes para recuperar as atualizações do seu servidor WSUS.4. Depois de testar as atualizações, aprove-as ou desaprove-as.5. Examine os relatórios para verificar se as atualizações estão sendo distribuídas com sucesso e identificar quaisquer problemas.

Como configurar as opções WSUS

Embora o assistente de configuração solicite que você configure as opções WSUS mais importantes, especifique as outras opções depois da configuração inicial selecionando o nó Options, no console Update Services, como mostrado na Figura 9-3.

Você pode configurar as opções nas seguintes categorias:

Update Source And Proxy Server Configure o servidor WSUS upstream ou o servidor WSUS para recuperar as atualizações da Microsoft. Você configura esses servidores durante a instalação e só precisa alterá-la se modificar a arquitetura WSUS.

Products And Classifications Escolha os produtos da Microsoft para os quais o WSUS baixará as atualizações. Você deve atualizar essas configurações quando começa a dar suporte a um novo produto ou quando para de dar suporte a um produto existente (como uma versão anterior do Microsoft Office).

Update Files And Languages Selecione onde as atualizações são armazenadas e em quais idiomas baixar as atualizações.

Synchronization Schedule Configure se o WSUS sincroniza automaticamente as atualizações do servidor upstream e com que frequência.

Automatic Approvals Configure as atualizações para a aprovação automática. Por exemplo, você pode configurar atualizações críticas para serem automaticamente aprovadas. Você deve utilizar isso somente se tiver decidido não testar a compatibilidade das atualizações – uma decisão arriscada que pode levar a problemas de compatibilidade com computadores de produção.

Computers Escolha se é preciso posicionar computadores em grupos utilizando o console Update Services ou configurações de registro e diretivas de grupo. Para informações adicionais, consulte a próxima seção, “Como configurar grupos de computador”.

Server Cleanup Wizard Ao longo do tempo, o WSUS acumulará atualizações que não são mais necessárias e computadores que não mais estão ativos. Esse assistente ajuda a remover as atualizações e os computadores desatualizados e desnecessários, liberando espaço em disco (se você armazenar as atualizações localmente) e reduzindo o tamanho do banco de dados WSUS.

Reporting Rollup Por padrão, os servidores downstream recuperam as informações de relatório dos servidores upstream, agregando dados de relatório. Você pode utilizar essa opção para que cada servidor configure o gerenciamento dos seus próprios dados de relatório.

Email Notifications O WSUS pode enviar um email quando as novas atualizações são sincronizadas, informando aos administradores que elas devem ser avaliadas, testadas e aprovadas. Além de configurar essas notificações por email, utilize essa opção para enviar relatórios diários ou semanais sobre o status.

Microsoft Update Improvement Program Desabilitada por padrão, você pode habilitar essa opção para enviar à Microsoft alguns detalhes de alto nível sobre as atualizações na sua organização, incluindo o número de computadores e quantos computadores instalaram cada atualização com ou sem sucesso. A Microsoft pode utilizar essas informações para aprimorar o processo de atualização.

Personalization Nessa página, você pode configurar se o servidor exibe dados dos servidores downstream nos relatórios. Você também pode selecionar quais itens são mostrados na lista To Do que aparece ao selecionar o nome do servidor WSUS no console Update Services.

WSUS Server Configuration Wizard Permite reconfigurar o WSUS com a interface do assistente utilizada para a configuração inicial. Em geral, é mais fácil especificar as configurações individuais que você precisa.

Como configurar grupos de computador

Na maioria dos ambientes, você não vai implantar todas as atualizações para todos os clientes ao mesmo tempo. Para que você tenha controle sobre quando os computadores recebem as atualizações, o WSUS 3.0 permite configurar grupos de computadores e implantar atualizações em um ou mais grupos. Você poderia criar grupos adicionais para diferentes modelos de computadores ou diferentes organizações, dependendo inteiramente do processo que você utiliza para implantar as atualizações. No geral, você vai criar grupos de computador para cada etapa do processo de implantação das atualizações, que deve se parecer com isto:

Testes Implante as atualizações para os computadores em um ambiente de teste. Isso permitirá verificar se o mecanismo de distribuição das atualizações funciona apropriadamente. Então, você pode testar seus aplicativos em um computador depois que as atualizações foram instaladas.

Piloto Depois do teste, você vai implantar as atualizações em um grupo-piloto. Em geral, o grupo-piloto é um conjunto de computadores que pertencem ao departamento de TI ou outro grupo de computadores capazes de identificar e resolver problemas.

Produção Se a implantação-piloto der certo e não houver nenhum problema informado depois de uma semana ou mais, você poderá implantar as atualizações nos computadores de produção com menos riscos de problemas de compatibilidade.

Você pode configurar grupos de computador de uma destas duas maneiras:

Server-side Targeting Mais adequado a organizações de pequeno porte, você adiciona computadores a grupos de computador utilizando manualmente o console Update Services.Client-side Targeting Mais adequado a grandes organizações, você utiliza as especificações de diretiva de grupo para configurar os computadores como parte de um grupo de computadores. Os computadores são automaticamente adicionados ao grupo de computadores correto quando se conectam ao servidor WSUS.

Qualquer que seja a abordagem utilizada, você deve primeiro utilizar o console Update Services para criar grupos de computador. Por padrão, há um único grupo de computadores: All Computers. Para criar grupos adicionais, siga estes passos:

1. Clique em Start, Administrative Tools e, então, em Microsoft Windows Server Update Services. O console Update Services aparece.2. Na árvore do console, expanda Computers e clique com o botão direito do mouse em All Computers (ou no grupo de computadores em que você quer aninhar o novo grupo de computadores). Escolha Add Computer Group. A caixa de diálogo Add Computer Group aparece.3. Digite um nome para o grupo de computadores e clique em Add.4. Repita os passos 2 e 3 para criar o número de grupos de computadores necessário.

Server-side Targeting Para adicionar computadores a um grupo utilizando Serverside Targeting, siga estes passos:

1. Na árvore do console do console Update Services, expanda Computers, All Computers e selecione Unassigned Computers. Então, no painel de detalhes, clique com o botão direito do mouse no computador que você quer atribuir a um grupo (você também pode selecionar

múltiplos computadores clicando e mantendo pressionada a tecla Ctrl) e escolha Change Membership.2. Na caixa de diálogo Set Computer Group Membership, marque a caixa de seleção para cada grupo ao qual você quer atribuir o(s) computador(es). Clique em OK.

Os computadores que você selecionou serão movidos para os grupos de computador especificados.

Client-side Targeting Utilize os objetos Group Policy (GPO) para adicionar computadores a grupos de computadores ao utilizar Client-side Targeting. Primeiro, configure o servidor WSUS para Client-side Targeting, seguindo estes passos:

1. Clique em Start, Administrative Tools e, então, em Microsoft Windows Server Update Services. O console Update Services aparece.2. Na árvore do console, selecione Options. No painel de detalhes, clique em Computers.3. Na caixa de diálogo Computers, selecione Use Group Policy Or Registry Settings OnComputers. Então, clique em OK.

Em seguida, configure os GPOs para adicionar os computadores ao grupo de computadores correto. Você terá de criar GPOs separados para cada grupo de computadores e configurar cada um deles para que seja aplicado apenas aos computadores apropriados.

1. Abra o GPO no Group Policy Management Editor.2. Na árvore do console, selecione o nó Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Update.3. No painel de detalhes, dê um clique duplo na diretiva Enable Client-Side Targeting.4. Na caixa de diálogo Enable Client-Side Targeting Properties, selecione Enabled. Então, digite o nome do grupo de computadores ao qual você quer adicionar o computador e clique em OK.

Depois que os computadores clientes aplicam as configurações de diretiva de grupo, reiniciam os serviços do Windows Update e contatam o servidor WSUS, eles são adicionados automaticamente ao grupo especificado.

Como configurar computadores clientes

A seção “Cliente do Windows Update”, na Lição 1, “Entendendo o Windows Server Update Services”, descreveu as diferentes especificações de diretiva de grupo disponíveis para configurar a maneira como os clientes recuperam as atualizações. Os passos a seguir fornecem instruções para realizar a quantidade mínima da configuração necessária (suficiente para muitas organizações) para que clientes WSUS baixem as atualizações a partir do seu servidor WSUS.

1. Abra o GPO que você quer utilizar para distribuir as especificações de configuração. No Group Policy Management Editor, selecione o nó Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Update.2. No painel de detalhes, dê um clique duplo em Specify Intranet Microsoft Update Service Location. A caixa de diálogo Specify Intranet Microsoft Update Service Location Properties aparece.3. Selecione Enabled. Nas caixas de diálogo Set The Intranet Update Service For Detecting Updates e Set The Intranet Statistics Server, digite http://nome_do_servidor_WSUS. Clique em OK.4. Dê um clique duplo em Configure Automatic Updates. A caixa de diálogo Configure Automatic Updates Properties aparece.5. Selecione Enabled. Especifique as configurações de atualizações automáticas. Por exemplo, para instalar as atualizações automaticamente, na lista suspensa Configure Automatic Updating selecione 4 – Auto Download And Schedule The Install. Clique em OK.

Com essas especificações de diretiva de grupo habilitadas, os clientes vão recuperar e, opcionalmente, instalar as atualizações a partir do seu servidor WSUS.

Como aprovar atualizações

A menos que você tenha configurado a aprovação automática, as atualizações não são aprovadas por padrão. Para aprovar manualmente as atualizações, siga estes passos:

1. Clique em Start, Administrative Tools e, então, em Microsoft Windows Server Update Services. O console Update Services aparece.2. Na árvore do console, expanda o nome do servidor e, então, expanda Updates. Selecione uma das seguintes opções:

All Updates Exibe todas as atualizações. Essa é a opção mais conveniente para aprovar as atualizações.

Critical Updates Exibe apenas as atualizações críticas, que são atualizações de alta prioridade, como correções de bugs, não relacionadas à segurança.

Security Updates Exibe apenas as atualizações que corrigem problemas de segurança conhecidos.

WSUS Updates Exibe as atualizações relacionadas ao processo de atualização.

3. Na barra de ferramentas em cima do painel de detalhes, na lista suspensa Approval, selecione Unapproved, como mostrado na Figura 9-4. Você também pode utilizar essa lista para exibir as atualizações que aprovou ou não.

4. Na lista suspensa Status, selecione Any. Clique em Refresh para exibir as atualizações.

NOTA Classificando as atualizaçõesPara classificar as atualizações a fim de que as mais recentes apareçam no topo da lista, clique com o botão direito do mouse nos cabeçalhos de coluna e selecione a coluna Release Date. Então, clique no cabeçalho da coluna Release Date para classificar por essa data.

5. Selecione as atualizações que você quer aprovar. Você pode selecionar múltiplas atualizações clicando e mantendo pressionada a tecla Ctrl para cada atualização. Alternativamente, você pode selecionar várias atualizações clicando na primeira atualização e, então, clicando e mantendo pressionada a tecla Shift na última atualização. Pressione Ctrl+A para selecionar todas as atualizações. Clique com o botão direito do mouse nas atualizações selecionadas e, depois, escolha Approve (para distribuir a atualização aos clientes na próxima vez que eles verificarem as atualizações) ou Decline (para impedir a distribuição das atualizações).

6. Se a caixa de diálogo Approve Updates aparecer, selecione o grupo de computadores ao qual você quer aplicar as atualizações e escolha Approved For Install. Repita isso para aplicar a atualização a múltiplos computadores. Clique em OK depois de concluir.

7. Para definir um prazo final (depois do qual uma atualização deve ser instalada sem que os usuários possam adiar a atualização), clique com o botão direito do mouse no grupo de computadores, escolha Deadline e selecione o prazo final.

8. Clique em OK.

9. Se um acordo de licenciamento aparecer, clique em I Accept.

NOTA Removendo atualizaçõesSe você aplicou atualizações aos computadores anteriormente, escolha Approved For Removal para remover a atualização. Entretanto, a maioria das atualizações não suporta a remoção automatizada e o WSUS informará um erro na caixa de diálogo Approval Progress. Para remover essas atualizações, siga as instruções em “Como remover atualizações”, mais adiante nesta lição.

A caixa de diálogo Approval Progress aparece à medida que o WSUS aplica as atualizações.

10. Examine quaisquer erros exibidos na caixa de diálogo Approval Progress e, então, clique em Close.

Como recusar atualizações

Depois de aprovar as atualizações necessárias, você pode recusar as atualizações que não quer instalar nos computadores. A recusa de atualizações não afeta diretamente os computadores clientes; simplesmente, ajuda a organizar as atualizações no console WSUS.

Para recusar atualizações, siga estes passos:

1. No console Update Services, clique com o botão direito do mouse na atualização que você quer recusar e escolha Decline.2. Na caixa de diálogo Decline Update, clique em Yes.

Para revisar as atualizações que foram recusadas, na lista suspensa Approval no console Windows Update, selecione Declined. Clique então em Refresh.