Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: Configuration Manager (branch atual)
Este artigo inclui as melhores práticas para atualizações de software no Configuration Manager. As informações são ordenadas em melhores práticas para a instalação inicial e para operações em curso.
Melhores práticas de instalação
Utilize as seguintes melhores práticas quando instalar atualizações de software no Configuration Manager.
Utilizar uma base de dados WSUS partilhada para pontos de atualização de software
Quando instalar mais do que um ponto de atualização de software num site primário, utilize a mesma base de dados WSUS para cada ponto de atualização de software na mesma floresta do Active Directory. Se partilhar a mesma base de dados, esta mitiga significativamente, mas não elimina completamente o cliente e o impacto no desempenho da rede que poderá ter quando os clientes mudam para um novo ponto de atualização de software. Uma análise delta ainda ocorre quando um cliente muda para um novo ponto de atualização de software que partilha uma base de dados com o ponto de atualização de software antigo, mas a análise é muito menor do que seria se o servidor WSUS tivesse a sua própria base de dados. Para obter mais informações sobre a mudança de ponto de atualização de software, veja Mudança de ponto de atualização de software.
Importante
Partilhe também as pastas de conteúdo do WSUS local quando utiliza uma base de dados WSUS partilhada para pontos de atualização de software.
Para obter mais informações sobre como partilhar a base de dados WSUS, veja as seguintes mensagens de blogue:
Quando Configuration Manager e o WSUS utilizam a mesma SQL Server, configure uma para utilizar uma instância nomeada e a outra para utilizar a instância predefinida
Quando as bases de dados Configuration Manager e WSUS partilham a mesma instância de SQL Server, não pode determinar facilmente a utilização de recursos entre as duas aplicações. Utilize instâncias de SQL Server diferentes para Configuration Manager e WSUS. Esta configuração torna mais fácil resolver e diagnosticar problemas de utilização de recursos que possam ocorrer para cada aplicação.
Especifique a definição "Armazenar atualizações localmente"
Quando instalar o WSUS, selecione a definição para Armazenar atualizações localmente. Esta definição faz com que o WSUS transfira os termos de licenciamento associados às atualizações de software. Transfere os termos durante o processo de sincronização e armazena-os no disco rígido local do servidor WSUS. Se não selecionar esta definição, os computadores cliente poderão falhar nas análises de compatibilidade relativamente a atualizações de software que tenham termos de licenciamento. O componente Gestor de Sincronização do WSUS do ponto de atualização de software verifica se esta definição está ativada a cada 60 minutos, por predefinição.
Configurar os pontos de atualização de software para utilizar o TLS/SSL
Configurar servidores Windows Server Update Services (WSUS) e os respetivos pontos de atualização de software correspondentes para utilizar tLS/SSL pode reduzir a capacidade de um potencial atacante comprometer remotamente um cliente e elevar privilégios. Para garantir que existem os melhores protocolos de segurança, recomendamos vivamente que utilize o protocolo TLS/SSL para ajudar a proteger a infraestrutura de atualização de software. Para obter mais informações, veja o tutorial Configurar um ponto de atualização de software para utilizar o TLS/SSL com um certificado PKI.
Melhores Práticas Operacionais
Utilize as seguintes melhores práticas quando utilizar atualizações de software:
Limitar as atualizações de software a 1000 numa única implementação de atualização de software
Limite o número de atualizações de software a 1000 em cada implementação de atualização de software. Quando criar uma regra de implementação automática, verifique se os critérios especificados não resultam em mais de 1000 atualizações de software. Se implementar manualmente atualizações de software, não selecione mais de 1000 atualizações.
Criar um novo grupo de atualizações de software sempre que um ADR for executado para "Patch Tuesday" e para implementações gerais
Existe um limite de 1000 atualizações de software numa implementação. Quando cria uma regra de implementação automática (ADR), especifica se deve utilizar um grupo de atualizações existente ou criar um novo grupo de atualizações sempre que a regra for executada. Se especificar critérios num ADR que resultem em várias atualizações de software e a regra for executada com base numa agenda periódica, crie um novo grupo de atualizações de software sempre que a regra for executada. Este comportamento impede que a implementação ultrapasse o limite de 1000 atualizações de software por implementação.
Utilizar um grupo de atualização de software existente para ADRs para atualizações de definições do Endpoint Protection
Quando utiliza um ADR para implementar atualizações de definições do Endpoint Protection com frequência, utilize sempre um grupo de atualização de software existente. Caso contrário, o ADR pode criar centenas de grupos de atualização de software ao longo do tempo. Normalmente, os fabricantes de atualizações de definições definem as atualizações de definições para expirarem quando são substituídos por quatro atualizações mais recentes. Por conseguinte, o grupo de atualização de software criado pelo ADR nunca contém mais do que quatro atualizações de definição para o fabricante: uma ativa e três substituídos.