Partilhar via

Etapa 2: Configurar o WSUS

Depois de instalar a função de servidor WSUS (Windows Server Update Services) no servidor, você precisa configurá-la corretamente. Você também precisa configurar os computadores clientes para receber as atualizações do servidor WSUS.

2.1. Configurar conexões de rede

Antes de iniciar o processo de configuração, certifique-se de que conhece as respostas às seguintes perguntas:

  • O firewall do servidor está configurado para permitir que os clientes acessem o servidor?

  • Este computador pode ligar-se ao servidor upstream (o servidor designado para transferir atualizações do Microsoft Update)?

  • Você tem o nome do servidor proxy e as credenciais de usuário para o servidor proxy, se precisar delas?

Em seguida, pode começar a definir as seguintes definições de rede do WSUS:

  • Atualizações: especifique a forma como este servidor deve obter atualizações (do Microsoft Update ou de outro servidor WSUS).

  • Proxy: Se você identificar que o WSUS precisa usar um servidor proxy para ter acesso à Internet, defina as configurações de proxy no servidor do WSUS.

  • Firewall: Se você identificar que o WSUS está atrás de um firewall corporativo, execute etapas adicionais no dispositivo de borda para permitir o tráfego do WSUS.

Important

Se você tiver apenas um servidor WSUS, ele deverá ter acesso à Internet, pois precisará baixar atualizações da Microsoft. Se tiver vários servidores WSUS, apenas um servidor necessita de acesso à Internet. Os outros só precisam de acesso à rede para o servidor WSUS conectado à Internet. Os computadores clientes não precisam de acesso à Internet. Eles só precisam de acesso à rede para um servidor WSUS.

Tip

Se a sua rede estiver com falhas de ar, se ela não tiver acesso à Internet, você ainda poderá usar o WSUS para fornecer atualizações aos computadores clientes na rede. Esta abordagem requer dois servidores WSUS. Um servidor WSUS com acesso à Internet recolhe as atualizações da Microsoft. Um segundo servidor WSUS na rede protegida serve as atualizações para os computadores cliente. As atualizações são exportadas do primeiro servidor para uma mídia removível, transportadas através da abertura de ar e importadas para o segundo servidor. Essa configuração é avançada e está além do escopo deste artigo.

2.1.1. Configure seu firewall para permitir que seu primeiro servidor WSUS se conecte a domínios da Microsoft na Internet

Se um firewall corporativo estiver entre o WSUS e a Internet, talvez seja necessário configurar esse firewall para garantir que o WSUS possa obter atualizações. Para obter atualizações do Microsoft Update, o servidor WSUS usa as portas 80 e 443 para os protocolos HTTP e HTTPS. Embora a maioria dos firewalls corporativos permita esse tipo de tráfego, algumas empresas restringem o acesso à Internet a partir dos servidores por causa de políticas de segurança. Se a sua empresa restringir o acesso, terá de configurar a firewall para permitir que o servidor WSUS aceda aos domínios Microsoft.

O seu primeiro servidor WSUS tem de ter acesso de saída às portas 80 e 443 nos seguintes domínios:

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • https://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://wustat.windows.com

  • http://ntservicepack.microsoft.com

  • http://go.microsoft.com

  • http://dl.delivery.mp.microsoft.com

  • https://dl.delivery.mp.microsoft.com

  • http://*.delivery.mp.microsoft.com

  • https://*.delivery.mp.microsoft.com

Se você estiver gerenciando atualizações do Microsoft 365, que requer o Microsoft Configuration Manager, consulte Gerenciar atualizações para aplicativos do Microsoft 365 com o Microsoft Configuration Manager para obter mais informações sobre os domínios que você precisa permitir.

Important

Tem de configurar a firewall para permitir que o primeiro servidor WSUS aceda a qualquer URL dentro destes domínios. Os endereços IP associados a esses domínios estão em constante mudança, portanto, não tente usar intervalos de endereços IP.

2.1.2. Configure o firewall para permitir que seus outros servidores WSUS se conectem ao primeiro servidor

Se tiver vários servidores WSUS, deve configurar os outros servidores WSUS para aceder ao primeiro servidor (superior). Em seguida, os outros servidores WSUS recebem todas as informações de atualização do servidor mais alto. Esta configuração permite-lhe gerir toda a rede utilizando a Consola de Administração do WSUS no servidor superior.

Os outros servidores WSUS têm de ter acesso de saída ao servidor superior através de duas portas. Por padrão, essas portas são 8530 e 8531. Você pode alterar essas portas, conforme descrito em Configurar o servidor Web IIS do servidor WSUS para usar TLS para algumas conexões mais adiante neste artigo.

Note

Se a ligação de rede entre os servidores WSUS for lenta ou dispendiosa, pode configurar um ou mais dos outros servidores WSUS para receber cargas úteis de atualização diretamente da Microsoft. Nesse caso, apenas uma pequena quantidade de dados é enviada desses servidores WSUS para o servidor superior. Para que esta configuração funcione, os outros servidores WSUS têm de ter acesso aos mesmos domínios da Internet que o servidor superior.

Note

Se tiver uma organização grande, pode utilizar cadeias de servidores WSUS ligados, em vez de fazer com que todos os outros servidores WSUS se liguem diretamente ao servidor superior. Por exemplo, você pode ter um segundo servidor WSUS que se conecta ao servidor mais alto e, em seguida, fazer com que outros servidores WSUS se conectem ao segundo servidor WSUS.

2.1.3. Configure os servidores WSUS para utilizar um servidor proxy, se necessário

Se a rede corporativa usa servidores proxy, os servidores proxy devem suportar os protocolos HTTP e HTTPS. Eles também devem usar a autenticação básica ou a autenticação do Windows. Você pode atender a esses requisitos usando uma das seguintes configurações:

  • Um único servidor proxy que suporta dois canais de protocolo. Nesse caso, defina um canal para usar HTTP e o outro canal para usar HTTPS.

    Note

    Você pode configurar um servidor proxy que lida com ambos os protocolos para o WSUS durante a instalação do software de servidor do WSUS.

  • Dois servidores proxy, cada um dos quais suporta um único protocolo. Nesse caso, configure um servidor proxy para usar HTTP e o outro servidor proxy para usar HTTPS.

Para configurar o WSUS para usar dois servidores proxy

  1. Inicie sessão no computador que planeia utilizar como servidor WSUS utilizando uma conta que seja membro do grupo Administradores Locais.

  2. Instale a função de servidor WSUS. Ao usar o Assistente de Configuração do WSUS, conforme explicado em Configurar o WSUS usando o Assistente de Configuração do WSUS, não especifique um servidor proxy.

  3. Abra o prompt de comando (Cmd.exe) como administrador:

    1. No menu Iniciar , procure Prompt de Comando.
    2. Clique com o botão direito do mouse em Prompt de Comando e selecione Executar como administrador.
    3. Se a caixa de diálogo Controle de Conta de Usuário for exibida, insira as credenciais apropriadas (se solicitado), confirme se a ação exibida é a desejada e selecione Continuar.

  4. No Prompt de Comando, vá para a pasta C:\Program Files\Update Services\Tools. Digite o seguinte comando:

    wsusutil ConfigureSSLproxy [<proxy-server proxy-port>] -enable

    Nesse comando:

    • proxy_server é o nome do servidor proxy que suporta HTTPS.

    • proxy_port é o número da porta do servidor proxy.

  5. Feche o prompt de comando.

Para adicionar um servidor proxy à configuração do WSUS

  1. Abra o Console de Administração do WSUS.

  2. Em Update Services, expanda o nome do servidor e selecione Opções.

  3. No painel Opções , selecione Atualizar Origem e Servidor Proxy e vá para a guia Servidor Proxy .

  4. Selecione Usar um servidor proxy ao sincronizar e digite o nome e o número da porta do servidor proxy nas caixas correspondentes. O número de porta padrão é 80.

  5. Se o servidor proxy exigir que você use uma conta de usuário específica, selecione Usar credenciais de usuário para se conectar ao servidor proxy. Digite o nome de usuário, domínio e senha necessários nas caixas correspondentes.

  6. Se o servidor proxy oferecer suporte à autenticação básica, selecione Permitir autenticação básica (a senha é enviada em texto não criptografado).

  7. Selecione OK.

Para remover um servidor proxy da configuração do WSUS

  1. No Console de Administração do WSUS, em Update Services, expanda o nome do servidor e selecione Opções.

  2. No painel Opções , selecione Atualizar Origem e Servidor Proxy e vá para a guia Servidor Proxy .

  3. Desmarque a caixa de seleção Usar um servidor proxy ao sincronizar .

  4. Selecione OK.

2.1.4. Configurar o firewall para permitir que computadores clientes acessem um servidor WSUS

Todos os computadores clientes precisam se conectar a um dos servidores WSUS. Cada computador cliente deve ter acesso de saída a duas portas no servidor WSUS. Por padrão, essas portas são 8530 e 8531.

2.2. Configurar o WSUS usando o Assistente de Configuração do WSUS

Os procedimentos nas seções a seguir usam o Assistente de Configuração do WSUS para definir as configurações do WSUS. O Assistente de Configuração do WSUS aparece na primeira vez que inicia a Consola de Gestão do WSUS. Também pode utilizar o painel Opções na Consola de Administração do WSUS para definir as definições do WSUS. Para obter mais informações sobre como usar o painel Opções , consulte os procedimentos a seguir em outras seções deste artigo:

Inicie o assistente e defina as configurações iniciais

  1. No painel do Gerenciador do Servidor, selecione Ferramentas>do Windows Server Update Services.

    Note

    Se for exibida a caixa de diálogo de Instalação Completa do WSUS, seleccione Executar. Na caixa de diálogo Concluir instalação do WSUS , selecione Fechar quando a instalação for concluída com êxito.

    O Assistente de Configuração do WSUS é aberto.

  2. Na página Antes de Começar , reveja as informações e, em seguida, selecione Seguinte.

  3. Na página Aderir ao Programa de Melhoramento do Microsoft Update , leia as instruções. Mantenha a seleção predefinida se quiser participar no programa ou desmarque a caixa de verificação se não o fizer. Em seguida, selecione Seguinte.

Definir configurações de servidor upstream e proxy

  1. Na página Escolher Servidor Upstream , selecione uma das seguintes opções:

    • Sincronizar a partir do Microsoft Update

    • Sincronizar a partir de outro servidor Windows Server Update Services

    Se optar por sincronizar a partir de outro servidor WSUS, siga os seguintes passos:

    1. Especifique o nome do servidor e a porta na qual este servidor deve se comunicar com o servidor upstream.

    2. Para usar TLS, selecione Usar SSL ao sincronizar informações de atualização. Os servidores usam a porta 443 para sincronização. (Certifique-se de que este servidor e o servidor upstream suportam TLS.)

    3. Se este servidor for um servidor de réplica, selecione Esta é uma réplica do servidor upstream.

  2. Depois de selecionar as opções para sua implantação, selecione Avançar.

  3. Se o WSUS precisar de um servidor proxy para acessar a Internet, defina as seguintes configurações de proxy. Caso contrário, ignore esta etapa.

    1. Na página Especificar Servidor Proxy , selecione Usar um servidor proxy ao sincronizar. Em seguida, introduza o nome do servidor proxy e o número da porta (porta 80 por predefinição) nas caixas correspondentes.

    2. Se você quiser se conectar ao servidor proxy usando credenciais de usuário específicas, selecione Usar credenciais de usuário para se conectar ao servidor proxy. Em seguida, introduza o nome de utilizador, domínio e palavra-passe do utilizador nas caixas correspondentes.

      Se você quiser habilitar a autenticação básica para o usuário que está se conectando ao servidor proxy, selecione Permitir autenticação básica (a senha é enviada em texto não criptografado).

  4. Selecione Avançar.

  5. Na página Conectar ao Servidor Upstream , selecione Iniciar Conexão.

  6. Quando o WSUS se conectar ao servidor, selecione Avançar.

Selecionar idiomas, produtos e classificações

  1. Na página Escolher Idiomas , você pode selecionar os idiomas dos quais o WSUS recebe atualizações: todos os idiomas ou um subconjunto de idiomas. A seleção de um subconjunto de idiomas economiza espaço em disco, mas é importante selecionar todos os idiomas de que todos os clientes deste servidor WSUS precisam.

    Se optar por obter atualizações apenas para idiomas específicos, selecione Transferir atualizações apenas nestes idiomas e, em seguida, selecione os idiomas para os quais pretende atualizar. Caso contrário, deixe a seleção predefinida.

    Warning

    Se selecionar a opção Transferir atualizações apenas nestes idiomas e este servidor tiver um servidor WSUS a jusante ligado ao mesmo, esta opção forçará o servidor a jusante a utilizar também apenas os idiomas selecionados.

  2. Selecione Avançar.

  3. Na página Escolher produtos , especifique os produtos para os quais deseja atualizações. Selecione categorias de produtos, como o Windows, ou produtos específicos, como o Windows Server 2019. A seleção de uma categoria de produto seleciona todos os produtos dessa categoria.

  4. Selecione Avançar.

  5. Na página Escolher Classificações , selecione as classificações de atualização que deseja obter. Selecione todas as classificações ou um subconjunto delas e, em seguida, selecione Avançar.

Configurar o agendamento de sincronização

  1. Na página Definir Agenda de Sincronização , selecione se deseja executar a sincronização manual ou automaticamente.

    • Se selecionar Sincronizar manualmente, tem de iniciar o processo de sincronização a partir da Consola de Administração do WSUS.

    • Se selecionar Sincronizar automaticamente, o servidor WSUS sincroniza a intervalos definidos.

      Para Primeira sincronização, defina a hora e especifique o número de sincronizações por dia que você deseja que esse servidor execute. Por exemplo, se você especificar quatro sincronizações por dia, começando às 3h00, as sincronizações ocorrerão às 3h00, 9h00, 15h00 e 21h00.

  2. Selecione Avançar.

Conclua o assistente de configuração

  1. Na página Concluído , se quiser iniciar a sincronização imediatamente, selecione Iniciar sincronização inicial. Se não selecionar esta opção, terá de utilizar a Consola de Gestão do WSUS para efetuar a sincronização inicial.

  2. Se quiser ler mais sobre outras configurações, selecione Avançar. Caso contrário, selecione Concluir para concluir o assistente e concluir a configuração inicial do WSUS.

Depois de selecionar Concluir, é apresentada a Consola de Administração do WSUS. Você usa esse console para gerenciar sua rede do WSUS, conforme descrito nas seções posteriores deste artigo.

2.3. Proteja o WSUS com o protocolo TLS

Deve utilizar o protocolo TLS para ajudar a proteger a sua rede WSUS. O WSUS pode usar TLS para autenticar conexões e criptografar e proteger informações de atualização.

Warning

Proteger o WSUS usando o protocolo TLS é importante para a segurança da sua rede. Se o servidor WSUS não utilizar corretamente o TLS para proteger as respetivas ligações, um intruso poderá modificar informações de atualização cruciais quando estas forem enviadas de um servidor WSUS para outro ou do servidor WSUS para os computadores cliente. Nessa situação, o invasor pode instalar software mal-intencionado em computadores cliente.

Important

Os clientes e servidores downstream configurados para usar TLS ou HTTPS também devem ser configurados para usar um FQDN (nome de domínio totalmente qualificado) para seu servidor WSUS upstream.

2.3.1. Habilite TLS/HTTPS no serviço IIS do servidor WSUS para usar TLS/HTTPS

Para iniciar o processo de utilização de TLS/HTTPS, tem de ativar o suporte TLS no serviço IIS (Serviços de Informação Internet) do servidor WSUS. Esse esforço envolve a criação de um certificado TLS/Secure Sockets Layer (SSL) para o servidor.

As etapas necessárias para obter um certificado TLS/SSL para o servidor estão além do escopo deste artigo e dependem da sua configuração de rede. Para obter mais informações e instruções sobre como instalar certificados e configurar esse ambiente, consulte a documentação dos Serviços de Certificados do Ative Directory.

2.3.2. Configurar o servidor Web IIS do servidor WSUS para usar TLS para algumas conexões

O WSUS requer duas portas para ligações a outros servidores WSUS e a computadores cliente. Uma porta usa TLS/HTTPS para enviar metadados de atualização (informações cruciais sobre as atualizações). Por padrão, a porta 8531 é usada para essa finalidade. Uma segunda porta usa HTTP para enviar atualizações de cargas úteis. Por padrão, a porta 8530 é usada para essa finalidade.

Important

Não é possível configurar todo o site do WSUS para exigir TLS. O WSUS foi projetado para criptografar apenas metadados de atualização. O Windows Update distribui atualizações da mesma maneira.

Para se proteger contra a violação das cargas úteis de atualização por um invasor, todas as cargas úteis de atualização são assinadas por meio de um conjunto específico de certificados de assinatura confiáveis. Além disso, um hash criptográfico é calculado para cada pacote de atualização. O hash é enviado para o computador cliente através da conexão segura de metadados HTTPS, juntamente com os outros metadados para a atualização. Quando uma atualização é carregada, o software cliente verifica a assinatura digital e o hash do conteúdo. Se a atualização tiver sido alterada, não está instalada.

Você deve exigir TLS somente para as seguintes raízes virtuais do IIS:

  • SimpleAuthWebService

  • DSSAuthWebService

  • ServerSyncWebService

  • APIremoting30

  • ClientWebService

Você não deve exigir TLS para as seguintes raízes virtuais:

  • Content

  • Inventory

  • ReportingWebService

  • SelfUpdate

O certificado da autoridade de certificação (CA) deve ser importado para o repositório de CA Raiz Confiável de cada servidor WSUS para o computador local, ou, se existir, para o repositório de CA Raiz Confiável para o WSUS.

Para obter mais informações sobre como usar certificados TLS/SSL no IIS, consulte Como configurar o SSL no IIS 7 ou posterior.

Important

Você deve usar o repositório de certificados para o computador local. Não é possível usar o armazenamento de certificados de um usuário.

Normalmente, você deve configurar o IIS para usar a porta 8531 para conexões HTTPS e a porta 8530 para conexões HTTP. Se você alterar essas portas, deverá usar dois números de porta adjacentes. O número da porta usado para conexões HTTP deve ser exatamente 1 menor do que o número da porta usado para conexões HTTPS.

Você deve reinicializar o proxy do ClientServicingProxy cliente se o nome do servidor, a configuração TLS ou o número da porta forem alterados.

2.3.3. Configurar o WSUS para usar o certificado de assinatura TLS/SSL para suas conexões de cliente

  1. Entre no servidor do WSUS usando uma conta que seja membro do grupo Administradores do WSUS ou do grupo Administradores Locais.

  2. No menu Iniciar , digite CMD, clique com o botão direito do mouse em Prompt de Comando e selecione Executar como administrador.

  3. Vá para a pasta C:\Program Files\Update Services\Tools .

  4. Em Prompt de Comando, digite o seguinte comando:

    wsusutil configuressl <certificate-name>

    Nesse comando, certificate-name é o nome DNS (Sistema de Nomes de Domínio) do servidor WSUS.

2.3.4. Proteja a conexão do SQL Server, se necessário

Se utilizar o WSUS com uma base de dados remota do SQL Server, a ligação entre o servidor WSUS e o servidor de base de dados não é protegida através de TLS. Esta situação cria um vetor de ataque potencial. Para ajudar a proteger essa conexão, considere as seguintes recomendações:

  • Mova o banco de dados do WSUS para o servidor do WSUS.

  • Mova o servidor de banco de dados remoto e o servidor WSUS para uma rede privada.

  • Implante o protocolo IPsec para ajudar a proteger o tráfego de rede. Para obter mais informações sobre IPsec, consulte Criando e usando diretivas IPsec.

2.3.5. Crie um certificado de assinatura de código para publicação local, se necessário

Além de distribuir atualizações fornecidas pela Microsoft, o WSUS oferece suporte à publicação local. Você pode usar a publicação local para criar e distribuir atualizações que você mesmo projeta, com suas próprias cargas úteis e comportamentos.

Habilitar e configurar a publicação local está além do escopo deste artigo. Para obter detalhes completos, consulte Publicação local.

Important

A publicação local é um processo complicado e muitas vezes não é necessária. Antes de decidir habilitar a publicação local, você deve examinar cuidadosamente a documentação e considerar se deseja usar essa funcionalidade e como usá-la.

2.4. Configurar grupos de computadores do WSUS

Os grupos de computadores são uma parte importante da utilização eficaz do WSUS. Você pode usar grupos de computadores para testar e direcionar atualizações para computadores específicos. Existem dois grupos de computadores predefinidos: Todos os Computadores e Computadores Não Atribuídos. Por predefinição, quando cada computador cliente contacta pela primeira vez o servidor WSUS, o servidor adiciona esse computador cliente a ambos os grupos.

Você pode criar quantos grupos de computadores personalizados forem necessários para gerenciar atualizações em sua organização. Como prática recomendada, crie pelo menos um grupo de computadores para testar as atualizações antes de implantá-las em outros computadores da organização.

2.4.1. Escolha uma abordagem para atribuir computadores clientes a grupos de computadores

Há duas abordagens para atribuir computadores clientes a grupos de computadores. A abordagem certa para sua organização depende de como você normalmente gerencia os computadores clientes.

  • Segmentação do lado do servidor: essa abordagem é a padrão. Nessa abordagem, você atribui computadores cliente a grupos de computadores usando o Console de Administração do WSUS.

    Essa abordagem oferece a flexibilidade de mover rapidamente os computadores clientes de um grupo para outro à medida que as circunstâncias mudam. Mas, como resultado, você deve mover manualmente novos computadores cliente do grupo Computadores Não Atribuídos para o grupo de computadores apropriado.

  • Segmentação do lado do cliente: nesta abordagem, você atribui cada computador cliente a grupos de computadores usando as configurações de diretiva definidas no próprio computador cliente.

    Essa abordagem facilita a atribuição de novos computadores clientes aos grupos apropriados. Você faz isso como parte da configuração do computador cliente para receber atualizações do servidor WSUS. Mas, como resultado, não é possível atribuir computadores cliente a grupos de computadores ou movê-los de um grupo de computadores para outro, através do Console de Administração do WSUS. Em vez disso, você deve modificar as diretivas dos computadores clientes.

2.4.2. Habilite a segmentação do lado do cliente, se apropriado

Important

Ignore as etapas nesta seção se você planeja usar o direcionamento do lado do servidor.

  1. No Console de Administração do WSUS, em Update Services, expanda o servidor WSUS e selecione Opções.

  2. No painel Opções , selecione Computadores. Vá para a guia Geral e selecione Usar Diretiva de Grupo ou configurações do Registro em computadores.

2.4.3. Criar os grupos de computadores desejados

Note

Tem de criar grupos de computadores utilizando a Consola de Administração do WSUS, quer utilize a segmentação do lado do servidor ou a segmentação do lado do cliente para adicionar computadores cliente aos grupos de computadores.

  1. Na Consola de Administração do WSUS, em Update Services, expanda o servidor WSUS, expanda Computadores, clique com o botão direito do rato em Todos os computadores e, em seguida, selecione Adicionar Grupo de Computadores.

  2. Na caixa de diálogo Adicionar Grupo de Computadores , em Nome, especifique o nome do novo grupo. Em seguida, selecione Adicionar.

2.5. Configurar computadores cliente para estabelecer conexões TLS com o servidor WSUS

Supondo que você configure o servidor WSUS para ajudar a proteger as conexões dos computadores clientes usando TLS, você deve configurar os computadores cliente para confiar nessas conexões TLS.

O certificado TLS/SSL do servidor WSUS deve ser importado para o armazenamento de Certificados de Autoridade Raiz Confiáveis dos computadores clientes, ou para o armazenamento de Autoridade de Certificação Raiz Confiável do Serviço de Atualização Automática dos computadores clientes, se existir.

Important

Você deve usar o repositório de certificados para o computador local. Não é possível usar o armazenamento de certificados de um usuário.

Os computadores cliente devem confiar no certificado que você vincula ao servidor WSUS. Dependendo do tipo de certificado utilizado, poderá ter de configurar um serviço para permitir que os computadores cliente confiem no certificado associado ao servidor WSUS.

Se estiver a utilizar a publicação local, também deve configurar os computadores cliente para confiarem no certificado de assinatura de código do servidor WSUS. Para obter instruções, consulte Publicação local.

2.6. Configurar computadores cliente para receber atualizações do servidor WSUS

Por padrão, os computadores clientes recebem atualizações do Windows Update. Em vez disso, eles devem ser configurados para receber atualizações do servidor WSUS.

Important

Este artigo apresenta um conjunto de etapas para configurar computadores cliente usando a Diretiva de Grupo. Estas etapas são apropriadas em muitas situações. Mas muitas outras opções estão disponíveis para configurar o comportamento de atualização em computadores cliente, incluindo o uso do gerenciamento de dispositivos móveis. Para obter documentação sobre essas opções, consulte Gerenciar configurações adicionais do Windows Update.

2.6.1. Escolha o conjunto correto de políticas para editar

Se o Ative Directory estiver configurado na rede, você poderá configurar um ou vários computadores simultaneamente incluindo-os em um GPO (Objeto de Diretiva de Grupo) e, em seguida, configurando esse GPO com as configurações do WSUS.

Recomendamos que você crie um novo GPO que contenha apenas as configurações do WSUS. Vincule este GPO do WSUS a um contêiner do Ative Directory apropriado para seu ambiente.

Em um ambiente simples, você pode vincular um único GPO do WSUS ao domínio. Em um ambiente mais complexo, você pode vincular vários GPOs do WSUS a várias unidades organizacionais (OUs). Ao vincular GPOs a OUs, pode aplicar definições da política do WSUS a diferentes tipos de computadores.

Se você não usa o Ative Directory em sua rede, precisará configurar cada computador usando o Editor de Diretiva de Grupo Local.

2.6.2. Editar políticas para configurar os computadores clientes

Siga as etapas nas seções a seguir para configurar os computadores clientes usando as configurações de diretiva.

Note

Estas instruções pressupõem que está a utilizar as versões mais recentes das ferramentas de edição de políticas. Em versões mais antigas das ferramentas, as políticas podem ser organizadas de forma diferente.

Abra o editor de políticas e vá para o item Windows Update

  1. Abra o objeto de política apropriado:

    • Se estiver a utilizar o Ative Directory, abra a Consola de Gestão de Políticas de Grupo, aceda ao GPO no qual pretende configurar o WSUS e selecione Editar. Em seguida, expanda Configuração do Computador e expanda Políticas.
    • Se você não estiver usando o Ative Directory, abra o Editor de Diretiva de Grupo Local. A diretiva do computador local é exibida. Expanda Configuração do computador.

  2. No objeto que você expandiu na etapa anterior, expanda Modelos Administrativos> Componentes >do WindowsWindows Update. Se o seu sistema operativo for Windows 10 ou Windows 11, selecione também Gerir a experiência do utilizador final.

Editar a configuração para atualizações automáticas

  1. No painel de detalhes, clique duas vezes em Configurar Atualizações Automáticas. A política Configurar Atualizações Automáticas é aberta.

  2. Selecione Habilitado e selecione a opção desejada na configuração Configurar atualização automática para gerenciar como o recurso de atualizações automáticas deve baixar e instalar atualizações aprovadas.

    Recomendamos usar o download automático e agendar a configuração de instalação . Ele garante que as atualizações aprovadas no WSUS sejam baixadas e instaladas em tempo hábil, sem a necessidade de intervenção do usuário.

  3. Se desejar, edite outras partes da política. Para obter mais informações, consulte Gerenciar configurações adicionais do Windows Update.

    Note

    A configuração Instalar atualizações de outros produtos da Microsoft não tem efeito nos computadores clientes que recebem atualizações do WSUS. Os computadores clientes recebem todas as atualizações aprovadas para eles no servidor WSUS.

  4. Selecione OK para fechar a política Configurar Atualizações Automáticas .

Editar a configuração para especificar um servidor de intranet para hospedar atualizações

  1. No painel de detalhes, clique duas vezes em Especificar local do serviço de atualização da Microsoft na intranet. Se o seu sistema operacional for Windows 10 ou Windows 11, primeiro volte para o nó Windows Update da árvore e selecione Gerenciar atualizações oferecidas pelo Windows Server Update Service.

    A política Especificar local do serviço de atualização da Microsoft na intranet é aberta.

  2. Selecione Habilitado e insira a URL do servidor WSUS nas caixas Definir o serviço de atualização da intranet para detetar atualizações e Definir o servidor de estatísticas da intranet .

    Warning

    Certifique-se de incluir a porta correta no URL. Supondo que você configure o servidor para usar TLS conforme recomendado, especifique a porta configurada para HTTPS. Por exemplo, se optar por usar a porta 8531 para HTTPS e o nome de domínio do servidor for wsus.contoso.com, deve inserir https://wsus.contoso.com:8531 em ambas as caixas.

  3. Selecione OK para fechar a política Especificar local do serviço de atualização da Microsoft na intranet .

Configurar o direcionamento no lado do cliente, se apropriado

Se você optar por usar a segmentação do lado do cliente, siga as etapas nesta seção para especificar o grupo de computadores apropriado para os computadores clientes que você está configurando.

Note

Essas etapas pressupõem que você acabou de concluir as etapas de edição de políticas para configurar os computadores clientes.

  1. No editor de políticas, vá para o item Windows Update . Se o seu sistema operacional for Windows 10 ou Windows 11, selecione também Gerenciar atualizações oferecidas pelo Windows Server Update Service.

  2. No painel de detalhes, clique duas vezes em Habilitar direcionamento do lado do cliente. A política Habilitar segmentação do lado do cliente é exibida.

  3. Selecione Ativado. Em Nome do grupo de destino deste computador, introduza o nome do grupo de computadores do WSUS ao qual pretende adicionar os computadores cliente.

    Se estiver a executar uma versão atual do WSUS, pode adicionar os computadores cliente a vários grupos de computadores introduzindo os nomes dos grupos, separados por ponto e vírgula. Por exemplo, você pode inserir Contabilidade; Executivo para adicionar os computadores clientes aos grupos de computadores Contabilidade e Executivo.

  4. Selecione OK para fechar a política Ativar segmentação do lado do cliente .

2.6.3. Permitir que o computador cliente se conecte ao servidor WSUS

Os computadores clientes não aparecem no Console de Administração do WSUS até que se conectem ao servidor do WSUS pela primeira vez.

  1. Aguarde até que as alterações de diretiva entrem em vigor no computador cliente.

    Se você usar um GPO baseado no Ative Directory para configurar os computadores cliente, levará algum tempo para que o mecanismo de Atualização de Diretiva de Grupo entregue as alterações a um computador cliente. Se você quiser acelerar esse processo, você pode abrir o prompt de comando com privilégios elevados e, em seguida, digite o comando gpupdate /force.

    Se você usar o Editor de Diretiva de Grupo Local para configurar um computador cliente individual, as alterações entrarão em vigor imediatamente.

  2. Reinicie o computador cliente. Esta etapa garante que o software Windows Update no computador detete as alterações de política.

  3. Deixe o computador cliente procurar atualizações. Esta análise demora normalmente algum tempo.

    Você pode acelerar o processo usando uma destas opções:

    • No Windows 10 ou 11, use a página Configurações do aplicativo Windows Update para verificar manualmente se há atualizações.
    • Em versões do Windows anteriores ao Windows 10, use o ícone do Windows Update no Painel de Controle para verificar manualmente se há atualizações.
    • Em versões do Windows anteriores ao Windows 10, abra o Prompt de Comando com privilégios elevados e digite o comando wuauclt /detectnow.

2.6.4 Verificar a ligação bem sucedida do computador cliente ao servidor WSUS

Se você executar todas as etapas anteriores com êxito, verá os seguintes resultados:

  • O computador cliente verifica com êxito se há atualizações. (Ele pode ou não encontrar atualizações aplicáveis para baixar e instalar.)

  • Dentro de cerca de 20 minutos, o computador cliente aparece na lista de computadores exibida no Console de Administração do WSUS, com base no tipo de destino:

    • Se você estiver usando a segmentação do lado do servidor, o computador cliente aparecerá nos grupos de computadores Todos os Computadores e Computadores Não Atribuídos.

    • Se você estiver usando a segmentação do lado do cliente, o computador cliente aparecerá no grupo Todos os computadores e no grupo de computadores selecionado durante a configuração do computador cliente.

2.6.5. Configurar a segmentação do computador cliente do lado do servidor, se apropriado

Se você estiver usando o direcionamento do lado do servidor, deverá adicionar o novo computador cliente aos grupos de computadores apropriados.

  1. No Console de Administração do WSUS, localize o novo computador cliente. Deve aparecer nos grupos de computadores Todos os Computadores e Computadores Não Atribuídos na lista de computadores do servidor WSUS.

  2. Clique com o botão direito do mouse no computador cliente e selecione Alterar associação.

  3. Na caixa de diálogo, selecione os grupos de computadores apropriados e, em seguida, selecione OK.

Próximo passo

Etapa 3: Aprovar e implantar atualizações

  • Last updated on