Serviços de atualização do Windows Server ou WSUS

O que é o Windows Server Update Services (WSUS)?

O Windows Server Update Services (WSUS) é uma função de servidor Windows que pode agendar, gerenciar e implantar atualizações, service packs, patches e hotfixes para servidores Windows, sistemas operacionais (SO) clientes e outros softwares da Microsoft. Ele permite que os administradores do sistema controlem quando e como os sistemas instalam atualizações e fornece um ponto central para os clientes obterem atualizações. Ele foi projetado para uso em pequenas e médias empresas. Geralmente não há custo adicional para adicionar o WSUS a uma rede Windows.

Instalado no Microsoft Windows Server, o WSUS é uma ferramenta simples que os administradores de sistema usam para gerenciar atualizações do Microsoft Windows. Ele está disponível para várias versões do Windows Server e de sistemas operacionais clientes, como Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, 2016, 2019 e Windows Server 2022. Todos os sistemas operacionais clientes Microsoft com suporte podem usar o WSUS, incluindo Janelas 8.1, 10 e 11.

Aplicações práticas e benefícios do WSUS

O WSUS permite que uma organização controle quando e como seus dispositivos Windows recebem atualizações e patches do sistema operacional. As aplicações práticas e os benefícios do WSUS incluem o seguinte:

• Atualizações automáticas. O WSUS permite atualizações automáticas dentro de parâmetros específicos. Sem o WSUS, os clientes instalam as atualizações assim que elas são disponibilizadas pela Microsoft. Isso pode fazer com que os clientes tenham diferentes níveis de patch ou instalem patches que quebram o software ou são instalados durante o dia de trabalho, causando tempo de inatividade dos funcionários.
• Teste e aprovação. O uso do WSUS dá aos administradores de sistema tempo para testar se as atualizações funcionam com sua rede e não introduzem problemas de compatibilidade. Também permite instalar atualizações durante um período de manutenção para que o trabalho de produção não seja afetado. Por exemplo, uma organização gostaria de evitar a instalação de atualizações no departamento de contabilidade durante a preparação de impostos.
• Relatórios e monitoramento. O WSUS fornece relatórios sobre atualizações do Windows em uma organização. Os administradores de sistema podem usar essas informações para verificar se todos os clientes estão instalando atualizações de segurança corretamente e se as mesmas atualizações foram aplicadas. Isso garante que os sistemas tenham os patches de segurança corretos, reduzindo a vulnerabilidade geral da rede.
• Gerenciamento centralizado de atualizações. Sem o WSUS, todos os clientes vão diretamente aos servidores da Microsoft para baixar atualizações. Em redes com muitos clientes ou baixa largura de banda, isso pode causar uso excessivo da Internet e impactar a produtividade. Com o WSUS atuando como ponto central, o servidor baixa apenas uma cópia da atualização da Microsoft e todos os clientes podem obter a atualização a partir daí. Essa abordagem faz melhor uso das conexões LAN de alta velocidade e reduz o uso geral da Internet. O WSUS oferece suporte a vários idiomas e pode disponibilizar informações para esses idiomas de forma seletiva.
• Atualizações personalizadas. O WSUS permite que os administradores organizem atualizações em categorias personalizadas com base em critérios como importância, tipo ou produto.
• Conservação de largura de banda. Ao baixar as atualizações uma vez para o servidor WSUS e depois distribuí-las internamente, por exemplo, por meio de um servidor downstream, as organizações podem conservar a largura de banda da internet. Isto é particularmente útil para grandes organizações com muitos computadores, onde o download de atualizações individualmente pode sobrecarregar os recursos da rede.
• Conformidade e segurança. O WSUS ajuda as organizações a manter a conformidade com os padrões e regulamentos de segurança, garantindo que todos os sistemas estejam atualizados com os patches e correções de segurança mais recentes. Isto é crucial para proteger dados confidenciais e mitigar riscos de segurança.

Requisitos de banco de dados WSUS

Ao planejar a implantação do WSUS, as organizações devem considerar seus requisitos de hardware e de banco de dados, que dependem do número de computadores clientes que estão sendo atualizados na organização.

Os vários requisitos de banco de dados para uma implementação do WSUS incluem o seguinte:

• Requisitos de software de banco de dados. O Microsoft SQL Server Express 2008 R2 tem uma restrição de tamanho de banco de dados de 10 GB, que normalmente deve atender às necessidades do WSUS. No entanto, optar por este banco de dados em vez do Banco de Dados Interno do Windows (WID) não oferece nenhum benefício significativo. Um banco de dados WID tem um requisito mínimo de RAM de 2 GB além dos requisitos de sistema padrão do Windows Server.
• Tamanho e conteúdo do banco de dados. As atualizações consistem em metadados que detalham a descrição da atualização e os arquivos necessários para instalá-la. Os metadados de atualização geralmente são muito menores que a atualização real e são armazenados no banco de dados do WSUS. No entanto, os arquivos de atualização são armazenados em um servidor WSUS local ou em um servidor Web do Microsoft Update.
• Requisitos mínimos de hardware. A Microsoft recomenda um mínimo de 2 GB de RAM e 40 GB de espaço de armazenamento para o servidor WSUS. No entanto, as empresas normalmente usam um mínimo de 64 GB de RAM e mais de 1 TB de conteúdo do WSUS.
• Requisitos adicionais de hardware. Para o WSUS, são necessários 2 GB adicionais de RAM além dos requisitos padrão do servidor e de todos os outros serviços ou software. É recomendável usar um servidor independente ou uma máquina virtual dedicada ao WSUS, juntamente com uma instância do SQL ou SQL Express para o banco de dados.

Requisitos de licença e sistema operacional WSUS

O WSUS não requer licença adicional para o servidor. Os clientes que se conectam ao WSUS exigem apenas uma licença de acesso para cliente (CAL) do Windows Server. Como a maioria das organizações já adquire o Windows Server e CALs, o WSUS geralmente não traz nenhum custo adicional para elas.

O WSUS oferece suporte apenas a produtos Microsoft, como atualizações do Windows e Microsoft Office. Não permite que os administradores instalem novos softwares ou atualizem outros produtos, como o Google Chrome. Também não é compatível com outros sistemas operacionais, como macOS ou Linux.

Como usar o WSUS

Abaixo está o processo passo a passo de como usar e configurar o WSUS:

Etapa 1: instalar o WSUS

O WSUS é instalado em um servidor upstream como uma função de servidor usando o Microsoft Windows Server Manager. Este servidor fornece funcionalidade para gerenciar e distribuir atualizações por meio de um console de gerenciamento.

Assim que o recurso for ativado, ele estará disponível para uso. Possui alguns pré-requisitos, incluindo .NET, Microsoft Report Viewer, Internet Information Services e um banco de dados como Windows Internal Database ou SQL. Todos esses pré-requisitos estão disponíveis gratuitamente no Windows Server.

Dependendo do tamanho da rede, o WSUS pode ser um único servidor ou vários servidores trabalhando juntos. Os servidores WSUS podem obter conteúdo e configurações atualizados uns dos outros. Isso permite que redes extremamente grandes e diferentes locais de escritórios tenham cada um seu próprio servidor. As organizações também podem usar o WSUS desconectado da internet. Dessa forma, redes altamente seguras podem receber patches periódicos sem expor a rede à internet.

Etapa 2: configuração do cliente

Não basta implantar um servidor WSUS em uma rede; os clientes devem ser configurados para se conectar a ele em vez da atualização da Microsoft. Os administradores de sistema geralmente configuram o cliente usando a Política de Grupo, mas também podem configurá-lo por meio do Microsoft System Center Configuration Manager (SCCM), do gerenciamento de dispositivos móveis ou manualmente com chaves de registro. As configurações podem ser definidas por meio de objetos de política de grupo se o Active Directory for usado.

Os administradores podem configurar como os clientes instalam atualizações, se devem reinicializar após a instalação e notificar os usuários sobre atualizações.

Etapa 3: gerenciar atualizações

O Windows Update Agent executa ações no cliente para instalar atualizações. Ele se conecta ao servidor WSUS e verifica as atualizações necessárias, baixando-as e instalando-as. O download usa o Serviço Inteligente de Transferência de Fundo do Microsoft Windows para otimizar o uso da largura de banda.

O WSUS exige que algumas portas de rede estejam abertas para funcionar. O servidor deve ser capaz de se comunicar com os servidores do Windows Update na Internet nas portas 80 e 443 para receber pacotes de atualização. Os clientes se conectam ao servidor WSUS nas portas 8530 e 8531 por padrão, embora estas possam ser alteradas.

Etapa 4: testar e aprovar atualizações

Após a sincronização, os administradores deverão revisar as atualizações disponíveis no console do WSUS. Eles podem aprovar atualizações para implantação em grupos específicos de computadores ou em todos os computadores da organização. É recomendável testar as atualizações em um subconjunto de máquinas antes de aprová-las para implantação generalizada.

Etapa 5: automatizar tarefas

O Console de Gerenciamento do WSUS ajuda a automatizar aprovações usando regras, e os administradores podem especificar regras com base em quando uma atualização específica estará disponível, quais produtos têm atualizações disponíveis ou quando uma atualização deve ser aprovada.

Os scripts do Windows PowerShell também podem ser usados para automatizar tarefas como aprovações, limpezas, sincronização e agendamento de instalação de atualizações.

Etapa 6: Monitoramento e relatórios

Os administradores devem usar o console do WSUS para monitorar o status de atualização das máquinas clientes, rastrear instalações com falha e gerar relatórios sobre conformidade atualizada e progresso da implantação.

Etapa 7: manutenção regular

Os administradores devem revisar e instalar periodicamente as atualizações assim que estiverem disponíveis. Além disso, eles devem monitorar o desempenho do servidor WSUS e o uso do espaço em disco. Tarefas periódicas de manutenção do banco de dados também devem ser executadas para manter o desempenho ideal.

Os administradores de sistema podem instalar o Console de Gerenciamento do WSUS usando o PowerShell.

O WSUS pode atualizar software de terceiros?

O WSUS pode atualizar software de terceiros. Através de um procedimento chamado publicação local, os administradores de sistema podem aumentar o uso dos mecanismos de aplicação de patches do WSUS para fornecer correções para programas de terceiros, como Java e Adobe Reader. Este processo envolve o uso de ferramentas auxiliares de administração para publicar pacotes de atualização contendo os binários e seus respectivos certificados no servidor WSUS. Os administradores também podem usar essas tecnologias para enviar software testado e gerado localmente e atualizações personalizadas para computadores clientes.

Além disso, as atualizações de software de terceiros podem ser habilitadas por meio do console do Configuration Manager e os certificados de assinatura de atualização de terceiros podem ser gerenciados automaticamente por meio do WSUS.

É importante entender que o WSUS não oferece suporte nativo ao gerenciamento de patches de terceiros, pois a Microsoft o criou para distribuir patches para produtos Microsoft. No entanto, há inúmeros benefícios em usar o WSUS em vez de técnicas alternativas do WSUS para gerenciamento de patches ao implantar software e atualizações de terceiros. Por exemplo, o WSUS pode distribuir drivers e executáveis de linha de comando de forma nativa, sem exigir que os usuários tenham recursos de administrador.

Gerenciador de configuração do WSUS e do System Center

WSUS e SCCM são ferramentas da Microsoft usadas para gerenciar atualizações dentro de uma organização, mas têm finalidades diferentes e possuem as seguintes características distintivas:

WSUS

• O WSUS gerencia apenas atualizações e patches. Ele se concentra especificamente no gerenciamento e distribuição de atualizações para produtos Microsoft, principalmente sistemas operacionais Windows e software Microsoft.
• Fornece uma plataforma centralizada para baixar, aprovar e implantar atualizações em máquinas Windows dentro de uma organização.
• O WSUS é mais simples de implementar e gerenciar em comparação ao SCCM. Ele se concentra principalmente no gerenciamento de atualizações e é frequentemente usado em conjunto com a Política de Grupo para configurações do cliente.
• O WSUS é adequado para organizações que se preocupam principalmente com o gerenciamento de atualizações do Windows sem a necessidade de recursos avançados de administração de sistemas.
• O WSUS não possui os recursos avançados do SCCM. Ele fornece recursos básicos de relatórios e monitoramento, mas não oferece o mesmo nível de automação, personalização e integração com outras funções de gerenciamento de sistemas.
• O WSUS está disponível gratuitamente e é incluído como um recurso nos sistemas operacionais Windows Server. Não há custos adicionais de licença associados ao uso do WSUS.

SCCM

• O SCCM pode executar qualquer função executada pelo WSUS e muito mais. Por exemplo, permite atualizações, patches, instalação de software, administração, configuração, proteção de endpoint e gerenciamento de inventário em uma ampla variedade de dispositivos, incluindo laptops, desktops, servidores e dispositivos móveis.
• O SCCM oferece aos usuários controle aprimorado sobre aplicação de patches, relatórios e gerenciamento de máquinas Windows em sua rede.
• SCCM é uma ferramenta mais complexa e rica em recursos em comparação com o WSUS. Requer mais planejamento, configuração e manutenção contínua para ser implementado de forma eficaz. No entanto, o SCCM oferece maior flexibilidade e escalabilidade para gerenciar diversos ambientes e implantações complexas.
• O SCCM oferece uma ampla gama de funções além do gerenciamento de atualizações, incluindo distribuição de software, gerenciamento de patches, monitoramento de conformidade, proteção de endpoint, monitoramento remoto e relatórios.
• SCCM faz parte do pacote Microsoft System Center e é um produto pago. Está disponível através de diversas opções de licenciamento, incluindo licenças autônomas ou como parte de assinaturas do Microsoft 365. O custo do SCCM depende do modelo de licenciamento e do número de dispositivos gerenciados.
• O SCCM depende do WSUS para localizar e aplicar patches e pode ser usado para gerenciar o servidor WSUS por meio do console do SCCM.

Windows Server e Windows Update para Business Update Services

O Windows Update for Business (WUfB) é um sistema de atualização moderno e gratuito da Microsoft. No WUfB, a organização define quando e como os clientes aplicam as atualizações, mas os clientes se conectam aos servidores da Microsoft ou usam a distribuição ponto a ponto para baixar o conteúdo atualizado. Isto é diferente do WSUS, onde os clientes se conectam a servidores gerenciados pela organização.

O WUfB é mais fácil de configurar e gerenciar do que o WSUS e oferece benefícios aos trabalhadores remotos, mas não oferece tanto controle de atualização ou economia de largura de banda quanto o WSUS.

Segundo a Microsoft, o WUfB está disponível para as seguintes versões do Windows 10 e Windows 11:

• Windows Pro, incluindo Windows Pro para estações de trabalho.
• Windows 10 Pro Educação.
• Windows Enterprise, incluindo Enterprise LTSC (Long Term Service Channel), IoT Enterprise e IoT Enterprise LTSC.