Wsus

::::::: GUIAMCSE - INSTALANDO E CONFIGURANDO O WSUS 2.... http://www.guiamcse.com.br/artigos/Instalando_e_Configurando_o_...

BlackBerry®
Para Empresas
Aprenda como
administrar uma
plataforma sem fio
mais eficiente.
www.BlackBerry.com

Certificações
Microsoft
Carreiras MCSA,
MCSE, MCITP*
com ITIL + COBIT
grátis. Não perca!
www.green.com.br

Curso Windows
Server 2008
Gerencie uma
rede de micros
baseada em
Windows 2008 e
Active Directory.
O gerenciamento
www.Tecnoponta.com.br/Windows2008 de patches e atualizações de segurança é um dos maiores desafios para qualquer organização de TI
em todo o mundo. A Microsoft criou o Windows Server Update Services (WSUS) para fornecer para sua organização
Servidor de uma solução abrangente para o gerenciamento de patches e atualizações de segurança de produtos da Microsoft.
Conteúdo
Sistema de O WSUS é o sucessor do Software Update Services (SUS). Além de suportar atualizações de sistemas operacionais
backup e Storage Windows, ele também suporta atualização do Microsoft Office XP, Office 2003, Microsoft SQL Server 2000, Microsoft
Novo sistema SQL Server 2000 Desktop Engine (MSDE) 2000, e Microsoft Exchange Server 2003.
iSCSI
www.grassvalleyproav.com.br
A Microsoft recentemente lançou O WSUS SP1, o qual inclui suporte para o Microsoft SQL Server 2005 e o Microsoft
Windows Vista, além de fornecer estabilidade adicional e melhorias na performance.

Requisitos e Recomendações de Hardware e Software

Nas tabelas abaixo você encontrará os requisitos de hardware e software para instalar o WSUS.

Requisitos de Hardware

500 Clientes ou Menos
Processador 750 MHz Pentium III ou superior; 1 GHz Pentium III ou processador superior é o
recomendável.
Sistema Operacional Microsoft Windows Server 2003 (Standard ou Enterprise Edition). Microsoft Windows 2000
Server ou Advanced Server com Service Pack 4 (SP4) ou superior.
Memória 512 Megabytes (MB) de RAM; 1 Gigabyte (GB) ou mais é recomendável.
Outros Dispositivos Drive de CD-ROM ou DVD-ROM.
Monitor VGA ou resolução superior.
Teclado.

Mouse ou um dispositivo de apontamento compatível.

1 de 39 20/02/2010 11:52


Mais que 500 Clientes

Processador 1 GHz Pentium III ou superior; 3 GHz Pentium IV ou superior é recomendável (dois
processadores é recomendável para mais que 10.000 clientes).

Sistema Operacional Microsoft Windows Server 2003 (Standard ou Enterprise Edition). Microsoft Windows 2000
Server ou Advanced Server com Service Pack 4 (SP4) ou superior.

Memória 1 Gigabyte (GB) de RAM ou mais é recomendável.

Outros Dispositivos Drive de CD-ROM ou DVD-ROM.
Monitor VGA ou resolução superior.
Teclado.

Mouse ou um dispositivo de apontamento compatível.

Requisitos de Software

Nome do Produto Detalhes

Microsoft .NET Framework 1.1 SP1 O WSUS requer o .NET Framework 1.1 com SP1 instalado.

Microsoft Background Intelligent O WSUS requer o BITS 2.0 e WinHTTP 5.1.
Transfer Services (BITS) 2.0

Microsoft Internet Explorer 6 com SP1 O WSUS requer o Microsoft Internet Explorer 6 SP1 instalado sobre o
servidor que está executando o Windows 2000 Server ou Windows 2000
Advanced Server.

Internet Information Services (IIS) 5.0 ou O WSUS requer o IIS 5.0 para o servidor que está executando o
superior Windows 2000 e o IIS 6.0 para o servidor que está executando o
Windows Server 2003.

Software de Banco de Dados O WSUS requer um software de banco de dados. O WSUS inclui uma
versão gratuita do SQL Server, porém somente se você instalar sobre o
Windows Server 2003. Outras opções incluem instalar o Microsoft SQL
Desktop Engine (MSDE) com pelo menos o Service Pack 3a (SP3a), o
qual também é gratuito, ou o SQL Server 2000 com pelo menos o SP3a.

2 de 39 20/02/2010 11:52


Novidades no WSUS SP1
O WSUS SP1 é uma versão de service pack que aprimora a segurança, confiabilidade, escalabilidade, compatibilidade
e o desempenho do WSUS. Estes são os novos recursos e aprimoramentos:

Suporte a clientes do Windows Vista: os computadores executando o Windows Vista podem ser atualizados
através do WSUS SP1.

Mais suporte a idiomas de clientes: suporte a todos os idiomas do Office e do Windows Vista.

Nova versão do WMSDE: a instância do WMSDE será atualizada para o WMSDE SP4 pelo WSUS SP1 (a
versão RTM do WSUS usa o WMSDE SP3).

Aprimoramentos de desempenho: o WSUS SP1 inclui vários aprimoramentos de desempenho para acelerar os
tempos de resposta da interface do usuário.

Todos os hotfixes: o WSUS SP1 inclui todas as alterações e os hotfixes lançados após a versão RTM do WSUS.

Suporte para o SQL Server 2005: O WUSU SP1 permite você usar o SQL Server 2005.

Requisitos e Recomendações de Disco

Para instalar o WSUS, o sistema de arquivos do servidor deve atender aos seguintes requisitos:

Tanto a partição do sistema quanto a partição em que você instala o WSUS devem ser formatas com o sistema de
arquivos NTFS.

É necessário ter no mínimo, 1 GB de espaço livre para a partição do sistema.

É necessário ter no mínimo, 6 GB de espaço livre para o volume no qual o WSUS irá armazenar o conteúdo; o
recomendável são 30 GB.

É necessário ter no mínimo, 2 GB de espaço livre para o volume no qual o WSUS irá instalar o Windows SQL
Server 2000 Desktop Engine (WMSDE).

Requisitos do Automatic Updates (Atualizações Automáticas)

O Automatic Updates (Atualização Automática) é o componente cliente do WSUS. O único requisito de hardware para
o Automatic Updates (Atualização Automática) é que tenha conexão com a rede. Você pode usar o Automatic
Updates (Atualização Automática) com o WSUS em computadores que executem qualquer um destes sistemas
operacionais:

Microsoft Windows 2000 Professional com Service Pack 3 (SP3) ou Service Pack 4 (SP4), Windows 2000 Server
com SP3 ou SP4 ou Windows 2000 Advanced Server com SP3 ou SP4.

Microsoft Windows XP Professional, com ou sem Service Pack 1 ou Service Pack 2.

Microsoft Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition, Windows Server 2003
Datacenter Edition ou Windows Server 2003 Web Edition.

3 de 39 20/02/2010 11:52


Instalando o WSUS SP1 no Windows Server 2003 SP1

1 – Após verificar os requisitos de software e hardware para instalar o WSUS, conforme mencionado anteriormente, o
próximo passo é fazer o download do WSUS, o qual está disponível na url abaixo:

http://www.microsoft.com/windowsserversystem/updateservices/downloads/WSUSSP1.mspx

2 – Dê um clique duplo no arquivo WSUS2-KB919004-x86.exe para iniciar a instalação. Será carrega a janela
conforme mostra a figura 1.1.

Figura 1.1

3 – Dê um clique no botão Next para continuar. Será carrega a janela conforme mostra a figura 1.2.

4 de 39 20/02/2010 11:52


Figura 1.2

4 – Na janela License Agreement selecione a opção I accept the terms of the License agreement, e clique no botão
Next para continuar. Será carrega a janela conforme mostra a figura 1.3.

Figura 1.3

5 - Na janela Select Update Source, você pode especificar onde os clientes obtêm as atualizações. Se você marcar a
caixa de seleção Store updates locally, as atualizações serão armazenadas no servidor do WSUS onde você
selecionará um local no sistema de arquivos para armazenar as atualizações. Se você não armazenar as atualizações
localmente, os computadores clientes se conectarão ao Microsoft Update para obter as atualizações aprovadas.
Selecione a opção Store updates locally e clique no botão Next para continuar. Será carrega a janela conforme
mostra a figura 1.4.

Nota

Conforme foi mencionado no item Requisitos e Recomendações de Disco, você precisará ter no mínimo, 6 GB de
espaço livre para o volume em que o WSUS armazenará o conteúdo; o recomendável são 30 GB.

5 de 39 20/02/2010 11:52


Figura 1.4

6 - Na janela Database Options, selecione o software usado para gerenciar o banco de dados do WSUS. Por padrão,
o WSUS lhe oferece para instalar o WMSDE se o computador no qual você está instalando o WSUS estiver
executando o Windows Server 2003. Em nosso exemplo, como estamos utilizando o Windows Server 2003 com o SP1,
o WMSDE será utilizado para gerenciar o banco de dados do WSUS. Clique no botão Next para continuar. Será
carrega a janela conforme mostra a figura 1.5.

Nota

Se você não puder usar o WMSDE, forneça uma instância do SQL Server a ser usada pelo WSUS, clicando em Use
an existing database server on this computer e digite o nome da instância na caixa SQL instance name.

Figura 1.5

7 – Na janela Web Site Selection, especifique o site a ser usado pelo WSUS. Essa página também lista duas URLs
importantes: a URL para a qual os computadores clientes serão direcionados para obter as atualizações e a URL para o
console do WSUS onde o WSUS será configurado e administrado. Em nosso exemplo, iremos utilizar a opção Use the
existing IIS Default Web site (recommended). Clique no botão Next para continuar. Será carrega a janela conforme

6 de 39 20/02/2010 11:52


Figura 1.6

8 - Na página Mirror Update Settings, você pode especificar a função de gerenciamento desse servidor do WSUS. Se
esse for o primeiro servidor do WSUS na rede ou se você desejar uma topologia de gerenciamento distribuído, não
faça nenhuma alteração. Se você deseja uma topologia de gerenciamento centralizado e esse não for o primeiro
servidor do WSUS na rede, marque a caixa de seleção This server should inherit the settings from the following
server e digite o nome do outro servidor do WSUS na caixa Server name. Clique no botão Next para continuar. Será
carrega a janela conforme mostra a figura 1.7.

Figura 1.7

9 - Na janela Ready to Install Windows Server Update Services, revise as opções selecionadas e clique no botão
Next. Após a instalação do WSUS ser concluída com êxito você verá a seguinte janela como mostra a figura 1.8.

7 de 39 20/02/2010 11:52


Figura 1.8

10 – Clique no botão Finish para concluir a instalação. A console de administração do WSUS será carregada conforme

Figura 1.9

Nota

Em alguns casos a console de administração não será carregada e você verá uma janela como mostra a figura 1.9.1,
com a mensagem Service Unavailable.

8 de 39 20/02/2010 11:52


Figura 1.9.1

Caso isso ocorra siga os passos abaixo para ajustar algumas configurações no IIS para resolver o problema. Agora se
a console de administração do WSUS for carregada normalmente pule os passos abaixo e siga para a próxima etapa.

1 – Clique em Start, Program, Administrative Tools, Internet Information Services (IIS) Manager. Será carregada a
janela como mostra a figura 1.9.2.

Figura 1.9.2

2 – Expanda Application Pools e selecione WsusPool, e em seguida clique com o botão direito do mouse e escolha

9 de 39 20/02/2010 11:52


a opção Properties. Será carrega a caixa de diálogo como mostra a figura 1.9.3.

Figura 1.9.3

3 – Clique na guia Identity. Será carrega a caixa de diálogo como mostra a figura 1.9.4.

Figura 1.9.4

4 – Em Predefined, altere a opção Network Service para Local System. A caixa de diálogo ficará semelhante à figura
1.9.5.

10 de 39 20/02/2010 11:52


Figura 1.9.5

5 – Clique no botão OK. Será carrega a caixa de diálogo como mostra a figura 1.9.6.

Figura 1.9.6

6 – Clique no botão Yes, para aceitar as alterações e fechar a caixa de diálogo.

7 – Selecione o Application Pool WsusPool, e clique com o botão direito do mouse e escolha a opção Recycle.

8 – Agora tente abrir a console do WSUS.

11 de 39 20/02/2010 11:52


Configurando o WSUS

Após instalar o WSUS, o próximo passo é acessar a console do WSUS para configurá-lo. Por padrão, o WSUS é
configurado para usar o Microsoft Update como o local para obter as atualizações. Se você tiver um servidor Proxy na
rede, use a console do WSUS para configurar o WSUS para usar o servidor Proxy. Se houver um firewall corporativo
entre o WSUS e a Internet, talvez seja necessário configurar o firewall para garantir que o WSUS possa obter as
atualizações.

Configurando o Firewall

Se houver um firewall corporativo entre o WSUS e a Internet, talvez seja necessário configurar o firewall para garantir
que o WSUS possa obter as atualizações. Para obter as atualizações do Microsoft Update, o servidor do WSUS usa a
porta 80 para o protocolo HTTP e a porta 443 para o protocolo HTTPS. Essas opções não são configuráveis.

Se a sua organização não permitir que essas portas e esses protocolos fiquem abertas para todos os endereços, você
pode restringir o acesso apenas aos seguintes domínios para que o WSUS e o Automatic Updates (Atualização
Automática) se comuniquem com o Microsoft Update:

http://windowsupdate.microsoft.com

http://*.windowsupdate.microsoft.com

https://*.windowsupdate.microsoft.com

http://*.update.microsoft.com

https://*.update.microsoft.com

http://*.windowsupdate.com

http://download.windowsupdate.com

http://download.microsoft.com

http://*.download.windowsupdate.com

http://wustat.windows.com

http://ntservicepack.microsoft.com

Nota

As etapas de configuração do firewall acima se destinam a um firewall corporativo posicionado entre o WSUS e a
Internet. Como o WSUS inicia todo o seu tráfego de rede, não é necessário configurar o Firewall do Windows no
servidor do WSUS.

12 de 39 20/02/2010 11:52


Abrindo a Console do WSUS

No servidor onde o WSUS está instalado, clique em Start, Programs, Administrative Tools, e em seguida clique em
Microsoft Windows Server Update Services. Será carrega a janela conforme mostra a figura 1.10.

Figura 1.10

Nota

Se o Regional and Language Options estiver configurado para o Portuguese (Brazil), o WSUS automaticamente
será carregado em Português, mesmo que você tenha instalado a versão em inglês do WSUS. Para usar as telas em
inglês será necessário alterar o Regional and Language Options para o inglês. Em nosso exemplo utilizaremos as
telas em Português.

Configurando um Servidor de Proxy para o WSUS

O servidor onde você instalou o WSUS precisa ter conectividade com Internet, para fazer o download das atualizações
automáticas para serem distribuídas para os computadores clientes do WSUS. Se o seu servidor não tem
conectividade direta com a Internet, siga os passos abaixo para configurá-lo com o endereço do seu servidor Proxy.
Caso o seu servidor já tenha conectividade direta com a Internet, você poderá pular os passos descritos abaixo.

1 - Na barra de ferramentas da console do WSUS, clique em Opções e, em seguida, clique em Opções de
Sincronização. Será carrega a janela conforme mostra a figura 1.11.

13 de 39 20/02/2010 11:52


Figura 1.11

2 – Use a barra de rolagem na lateral da tela para chegar até a opção Servidor Proxy. Marque a caixa de seleção
Utilizar um servidor proxy ao sincronizar e digite o nome e o número da porta (o padrão é a 80) do servidor Proxy
nas caixas correspondentes.

3 - Se você desejar se conectar ao servidor Proxy com credenciais de um usuário específico, marque a caixa de
seleção Utilizar credenciais de usuário para se conectar ao servidor proxy e depois digite o nome de usuário,
domínio e senha do usuário nas caixas correspondentes. Se você desejar habilitar a autenticação básica para o usuário
que irá se conectar ao servidor Proxy, marque a caixa de seleção Permitir a autenticação básica (a senha é enviada
como texto não criptografado). As configurações do Servidor Proxy, ficarão semelhante à figura 1.12.

14 de 39 20/02/2010 11:52


Figura 1.12

4 – Em Tarefas clique em Salvar configurações, para salvar as configurações efetuadas na área do Servidor Proxy.
Será carrega a caixa de diálogo como mostra a figura 1.13.

Figura 1.13

5 – Clique no botão OK, para fechar a caixa de diálogo.

Selecionando os Produtos e Tipos de Atualizações

Na janela Opções de Sincronização você pode selecionar os produtos e os tipos de atualizações que você pretende
fazer download para o seu ambiente.

1 – Na área Produtos e Classificações clique no botão Alterar em Produtos e faça a sua seleção. Será exibida uma
caixa de diálogo conforme mostra a figura 1.14.

15 de 39 20/02/2010 11:52


Figura 1.14

2 – Na área Produtos e Classificações, clique no botão Alterar em Classificações de atualização e faça a sua
seleção. Será exibida uma caixa de diálogo conforme mostra a figura 1.15.

Figura 1.15

3 – Na área Arquivos de Atualização e Idiomas no final da console do WSUS, você pode especificar onde serão
armazenados os arquivos baixados e quais idiomas de atualização deseja incluir no download. Clique no botão
Avançado será exibida a caixa de diálogo conforme mostra a figura 1.16.

Figura 1.16

4 – Leia a mensagem e clique no botão OK. Será carrega a caixa de diálogo conforme mostra a figura 1.17.

16 de 39 20/02/2010 11:52


Figura 1.17

Na área Arquivos de Atualização você defini onde serão armazenados os arquivos de atualização. Faça a escolha
conforme desejado. Na área Idiomas você defini quais idiomas serão feitos os downloads. Escolha somente os idiomas
presentes em seu ambiente para economizar espaço em disco.

17 de 39 20/02/2010 11:52


Sincronizando o Servidor WSUS

Após ter configurado o servidor WSUS para ter conectividade com a Internet, o próximo passo e fazer a sincronização
do servidor WSUS com o Microsoft Update. Por padrão, o WSUS é configurado para baixar as Atualizações Críticas
e de Segurança para todos os produtos Microsoft. Para obter atualizações, é preciso sincronizar o servidor do WSUS.

A sincronização envolve o contato do servidor do WSUS com o Microsoft Update. Depois desse contato, o WSUS
determina se existe alguma nova atualização disponível desde a última vez em que foi feita a sincronização. Como esta
é a primeira vez que você está sincronizando com o servidor do WSUS, todas as atualizações estarão disponíveis e
prontas para sua aprovação para instalação.

1 - Na barra de ferramentas da console do WSUS, clique em Opções e em seguida, clique em Opções de
Sincronização. Será carrega a janela conforme mostra a figura 1.18.

Figura 1.18

2 - Em Tarefas, clique em Sincronizar agora.

Aguarde até concluir a sincronização, e em seguida, clique em Atualizações na barra de ferramentas do console do
WSUS para exibir a lista de atualizações. Será carrega a janela mostra a figura 1.19.

18 de 39 20/02/2010 11:52


Figura 1.19

19 de 39 20/02/2010 11:52


Instalando e Configurando os Clientes do WSUS

Os computadores clientes do WSUS precisam ter uma versão compatível do Automatic Updates (Atualizações
Automáticas) para comunicar-se com o servidor WSUS. A instalação do WSUS configura automaticamente o IIS para
distribuir a versão mais recente do Automatic Updates (Atualizações Automáticas) para cada computador cliente que
se conecta ao servidor do WSUS.

A melhor maneira de configurar o Automatic Updates (Atualizações Automáticas) é através do Active Directory. Você
pode usar uma Group Policy Object (GPO) para configurar os computadores clientes para buscar as atualizações de
segurança e patches no servidor WSUS de forma automática. Caso você ainda não tenha o Active Directory em seu
ambiente será necessário configurar manualmente uma GPO Local em cada computador cliente.

Nos itens abaixo você verá como configurar passo a passo uma GPO para configurar os clientes WSUS através do
Active Directory:

1 – Clique em Start, Programs, Administrative Tools, Active Directory Users and Computers. Será carrega a janela
como mostra a figura 1.20.

Figura 1.20

2 – Selecione o local onde as contas dos computadores clientes estão localizadas, para que você possa configurar
uma GPO, o qual irá configurar os clientes do WSUS. Em nosso exemplo, foi criada uma OU com o nome Laboratório
e a abaixo dela foram criadas outras duas OUs, uma com o nome Clientes, o qual contém contas de computadores
Clientes Windows 2000 Professional e Windows XP Professional, e a outra com o nome Servidores, o qual contém
contas de computadores Windows 2000 Server e Windows Server 2003. Existem várias formas para configurar os
clientes WSUS, escolha a que melhor se adapte ao seu ambiente. No exemplo acima, estou separando computadores
clientes de servidores para criar políticas diferentes de distribuição dos patches, atualizações de segurança e horário
de instalação.

3 – Selecione a OU Clientes, e clique com o botão direito do mouse e escolha a opção Properties. Será carrega a

20 de 39 20/02/2010 11:52


caixa de diálogo como mostra a figura 1.21.

Figura 1.21

21 de 39 20/02/2010 11:52


4 – Selecione a guia Group Policy. Será carrega a caixa de diálogo como mostra a figura 1.22.

Figura 1.22

5 – Clique no botão New, e digite um nome para a GPO, como por exemplo, Clientes WSUS, e em seguida pressione
Enter.. A caixa de dialogo ficará como mostra a figura 1.23.

Figura 1.23

6 – Com a GPO Clientes WSUS selecionada, clique no botão Edit. Será carrega a janela como mostra a figura 1.24.

22 de 39 20/02/2010 11:52


Figura 1.24

7 – Expanda o nó Computer Configuration, Administrative Templates, Windows Componentes, Windows Update.
Será carrega a janela como mostra a figura 1.25.

23 de 39 20/02/2010 11:52


Figura 1.25

Nota

Dependendo da versão do Administrative Template que está presente no seu servidor, as opções poderão estar
diferentes das apresentas abaixo, porém basicamente todas elas irão configurar o cliente WSUS conforme as opções
disponíveis em cada template. Em nosso exemplo estou utilizando um Windows Server 2003 com o Service Pack 1, o
qual trás mais opções para configurar o cliente WSUS.

8 – No painel da direita de um clique duplo na opção Do not display 'Install Updates and Shut Down' option in
Shut Down Windows dialog box. Será carrega a caixa de diálogo como mostra a figura 1.26.

Figura 1.26

24 de 39 20/02/2010 11:52


Esta configuração de política permite você controlar se a opção 'Install Updates and Shut Down' será mostrada na
caixa de diálogo Shut Down Windows.

Se você selecionar a opção Enabled, para ativar esta configuração de política, a opção 'Install Updates and Shut
Down' não irá aparecer na caixa de diálogo Shut Down Windows, mesmo se a atualização estiver disponível para ser
instalada quando o usuário selecionar a opção Shut Down no menu Start.

Se você selecionar a opção Disabled ou Not Configured para desativar esta configuração de política, a opção 'Install
Updates and Shut Down' estará disponível na caixa de diálogo Shut Down Windows se a atualização estiver
disponível quando o usuário selecionar a opção Shut Down no menu Start.

9 – Selecione a opção Disabled, e clique no botão Apply, e em seguida clique no botão Next Setting, para ir para
próxima política. Será carrega a caixa de diálogo como mostra a figura 1.27.

Figura 1.27

Esta configuração de política permite você controlar se a opção 'Install Updates and Shut Down' é permitida para ser
a opção default dentro da caixa de diálogo Shut Down Windows.

Se você selecionar a opção Enabled para ativar esta configuração de política, o usuário que escolher a opção Shut
Down, será a opção default dentro da caixa de diálogo Shut Down Windows sem levar em consideração se a opção
'Install Updates and Shut Down' está disponível dentro da lista 'What do you want the computer to do?'

Se você selecionar a opção Disabled ou Not Configured para desativar esta configuração de política, a opção 'Install
Updates and Shut Down' será a opção default dentro da caixa de diálogo Shut Down Windows, se a atualização
estiver disponível para instalação na hora que o usuário selecionar a opção Shut Down no menu Start.

Nota

Esta configuração de política não tem impacto se a opção Do not display 'Install Updates and Shut Down' estiver
configurada com a opção Enabled.

10 – Selecione a opção Disabled, clique no botão Apply, e em seguida clique no botão Next Setting, para ir para

25 de 39 20/02/2010 11:52


Figura 1.28

Esta configuração de política permite você configurar a atualização automática, definir o tipo da atualização, e qual o
dia e hora que serão executadas às atualizações.

11 - Se esta configuração de política for ativada você poderá escolher entre os quatro tipos de atualizações disponíveis
nesta política. As opções são as seguintes:

2 - Notify for download and notify for install - Se você selecionar essa opção, o cliente deve ser notificado
antes do download de qualquer atualização e notificado antes da instalação.

3 - Auto download and notify for install - Se você selecionar essa opção, irá permite a atualização
automaticamente para os computadores clientes, sendo notificado somente antes da instalação.

4 - Auto download and schedule the install - Se você selecionar essa opção, o download de todas as
atualizações aprovadas será executado e instalado nos computadores clientes sem intervenção do usuário.

5 - Allow local admin to choose setting - Se você selecionar essa opção, os administradores locais poderão
usar o Automatic Updates através do Control Painel para selecionar a opção de configuração de sua escolha.

12 - Na opção Schedule install day, você define o dia da semana que a instalação das atualizações será agendada
para ser instalada.

13 - Na opção Scheduled install time, você define a hora que a instalação das atualizações será agendada para ser
instalada.

26 de 39 20/02/2010 11:52


14 - Em nosso exemplo, iremos selecionar a oção 4 - Auto download and schedule the install, que será executada
todos os dias às 12:00 AM, porém você poderá escolher entre qualquer uma das outras opções para atender melhor
as suas necessidades. Clique no botão Apply, e em seguida clique no botão Next Setting, para ir para próxima
política. Será carrega a caixa de diálogo como mostra a figura 1.29.

Figura 1.29

Esta configuração de política permite que você especifique o nome do servidor WSUS do seu Domínio, o qual os
clientes irão fazer o download das atualizações de segurança e patches.

15 – Selecione a opção Enabled para ativar a política, e em seguida no campo Set the intranet update service for
detecting updates, digite o nome do servidor WSUS, como por exemplo, http://srv05. Esse é o nome NETBIOS do
meu servidor, digite o nome NETBIOS do seu servidor. No campo Set the intranet statistics server, digite o nome do
servidor no qual as estações irão atualizar as estatísticas das instalações, como por exemplo, http://srv05.

16 – Clique no botão Apply, e em seguida clique no botão Next Setting, para ir para próxima política. Será carrega a

Figura 1.30

27 de 39 20/02/2010 11:52


Esta configuração de política permite você especificar o nome do target group (grupo alvo) que deverá ser utilizado
para receber as atualizações automáticas, o qual é criado através da console de gerenciamento do servidor WSUS
para separar em grupos os computadores.

Se você selecionar a opção Enabled para ativar esta configuração de política, a informação especificada no target
group (grupo alvo) será enviada para o servidor WSUS, o qual usará está informação para determinar quais
atualizações deverão ser instaladas para este target group (grupo alvo).

Se você selecionar a opção Disabled ou Not Configured para desativar esta configuração de política, nenhuma
informação do target group (grupo alvo) será enviada para o servidor WSUS.

Nota

Esta configuração de política aplica-se somente quando os computadores são direcionados para serem configurados
para suportar o client-side targeting. Se a política "Specify intranet Microsoft update service location" estiver com a
opção Disabled ou Not Configured, esta política não terá nenhum efeito.

17 – Selecione a opção Enabled, e digite no campo Target group name for this computer o nome do target group
(grupo alvo) que irá receber essa política. Em nosso exemplo, digite o nome AprovarClientes.

18 - Clique no botão Apply, e em seguida clique no botão Next Setting, para ir para próxima política. Será carrega a

Figura 1.31

Esta configuração de política permite você especificar quantos minutos a atualização automática deverá esperar depois
que o sistema operacional estiver carregado, antes de iniciar uma instalação agendada que não foi executada
anteriormente.

Se você selecionar a opção Enabled para ativar esta configuração de política, uma instalação agendada o qual não
ocorreu anteriormente irá ocorrer após o número de minutos especificado no campo Startup (minutes).

Se você selecionar a opção Disabled para desativar esta configuração de política, uma instalação agendada que foi
perdida irá ocorrer na próxima instalação agendada.

Se você selecionar a opção Not Configured, uma instalação agendada que foi perdida irá ocorrer um minuto após o
computador ter iniciado.

Nota

Esta configuração de política aplica-se somente quando o Automatic Updates (Atualização Automática) está
configurado para executar uma instalação agendada de atualizações. Se a política "Configure Automatic Updates"
estiver desativada, esta política não terá nenhum efeito.

28 de 39 20/02/2010 11:52


19 - Selecione a opção Enabled, e no campo Startup (minutes) configure para 1 minuto.

20 - Clique no botão Apply, e em seguida clique no botão Next Setting, para ir para próxima política. Será carrega a

Figura 1.32

Esta configuração de política especifica que para completar uma instalação agendada, o Automatic Updates
(Atualização Automática) irá esperar que o computador seja reiniciado pelo usuário, em vez de reiniciar o computador
automaticamente.

Se você selecionar a opção Enabled para ativar esta configuração de política, o Automatic Updates (Atualização
Automática) não irá reiniciar o computador automaticamente durante uma instalação agendada se um usuário estiver
conectado no computador. Em vez disso, o Automatic Updates (Atualização Automática) irá notificar o usuário para
reiniciar o computador.

Se você selecionar a opção Disabled ou Not Configured para desativar esta configuração de política, o Automatic
Updates (Atualização Automática) irá notificar o usuário que o computador precisa ser reinicializado dentro de 5
minutos para completar a instalação.

Nota

Esta configuração de política aplica-se somente quando o Automatic Updates (Atualização Automática) é configurado
para executar uma instalação agendada de atualizações. Se a política "Configure Automatic Updates" estiver
desativada, está política não terá nenhum efeito.

21 - Selecione a opção Enabled e clique no botão Apply, e em seguida clique no botão Next Setting para ir para

29 de 39 20/02/2010 11:52


Figura 1.33

Esta configuração de política especifica as horas que o Windows irá usar para determinar quanto tempo esperar para
verificar se há atualizações disponíveis.

Se você selecionar a opção Enabled para ativar esta configuração de política, o Windows irá verificar se há
atualizações disponíveis no intervalo especificado.

Se você selecionar a opção Disabled ou Not Configured para desativar esta configuração de política, o Windows irá
verificar se há atualizações disponíveis no intervalo default de 22 horas.

Nota

Se a política "Specify intranet Microsoft update service location" estiver desativada, está política não terá nenhum
efeito.

Se a política "Configure Automatic Updates" estiver desativada, está política não terá nenhum efeito.

22 - Selecione a opção Enabled, e no campo interval (hours) configure para 1 hora.

23 - Clique no botão Apply, e em seguida clique no botão Next Setting para ir para próxima política. Será carrega a

30 de 39 20/02/2010 11:52


Figura 1.34

Esta configuração de política especifica se o Automatic Updates (Atualização Automática) deve instalar certas
atualizações que foram interrompidas pelo processo de restart do sistema operacional.

Automática) irá imediatamente instalar estas atualizações assim que estiver feito o download e estiver pronto para
instalar.

Se você selecionar a opção Disabled ou Not Configured para desativar esta configuração de política, essas
atualizações não serão instaladas imediatamente.

Nota


24 – Selecione a opção Enabled e clique no botão Apply, e em seguida clique no botão Next Setting para ir para

Figura 1.35

31 de 39 20/02/2010 11:52


Esta configuração de política especifica o período tempo para o Automatic Updates (Atualização Automática) esperar
antes de prosseguir com um restart agendado.

Se você selecionar a opção Enabled para ativar esta configuração de política, um restart agendado irá ocorrer
conforme o número especificado de minutos após a instalação ser finalizada.

Se você selecionar a opção Disabled ou Not Configured para desativar esta configuração de política, o tempo default
de espera será de 5 minutos.

Nota


25 - Selecione a opção Enabled, e no campo restart (minutes), configure para 30 minutos.

26 - Clique no botão Apply, e em seguida clique no botão Next Setting para ir para próxima política. Será carrega a

Figura 1.36

Esta configuração de política especifica a quantia de tempo para o Automatic Updates (Atualização Automática)
esperar antes de notificar novamente um restart agendado.

Se você selecionar a opção Enabled para ativar esta configuração de política, um restart agendado irá ocorrer
conforme o número especificado de minutos após o prompt anterior para o restart que foi adiado.

Se você selecionar a opção Disabled ou Not Configured para desativar esta configuração de política, o tempo default
de espera será de 10 minutos.

Nota


27 – Selecione a opção Disabled, clique no botão Apply, e em seguida clique no botão Next Setting, para ir para

32 de 39 20/02/2010 11:52


Figura 1.37

Esta configuração de política especifica se um usuário que não é um administrador do computador receberá as
notificações de atualização baseado nas configurações do Automatic Updates (Atualização Automática). Se o
Automatic Updates (Atualização Automática) for configurado, por política ou localmente, para notificar o usuário antes
do download ou somente antes da instalação, estas notificações serão oferecidas para todos os usuários que não são
administradores.

Automática) irá incluir o usuário que não é administrador para ser notificado de novas atualizações.

Se você selecionar a opção Disabled ou Not Configured para desativar esta configuração de política, o Automatic
Updates (Atualização Automática) irá notificar somente os administradores.

Nota


28 - Selecione a opção Enabled e clique no botão Apply, e em seguida no botão OK.

29 –Feche a janela Group Policy Object Editor.

30 – Clique no botão OK da caixa de diálogo Clientes Properties.

Após ter configurado todas as políticas do Automatic Updates (Atualização Automática) na OU Clientes, será
necessário alguns minutos até que a nova política entre em vigor. Nos computadores clientes configurados com uma
GPO baseado no Active Directory, esse tempo será de aproximadamente 20 minutos depois que a política for
atualizada (ou seja, após ter aplicado todas as configurações novas ao computador cliente). Por padrão, a GPO é
atualizada em segundo plano a cada 90 minutos, com uma diferença aleatória entre 0 e 30 minutos. Se você desejar
atualizar a GPO antes, acesse o prompt de comando no computador cliente e digite: gpupdate /force.

Para os computadores clientes configurados com a GPO local, a GPO é imediatamente aplicada e levará
aproximadamente 20 minutos para o computador cliente contatar o WSUS.

Depois que a GPO for aplicada, você poderá iniciar a detecção manualmente. Se você realizar essa etapa, não será
preciso aguardar 20 minutos para que o computador cliente contate o WSUS.

Para iniciar manualmente a detecção do servidor WSUS, siga os passos abaixo:

1 – Clique em Start e, em seguida, clique em Run.

2 – Digite cmd, no campo Open e clique no botão OK.

3 – No prompt de comando, digite wuauclt.exe /detectnow. Essa opção de linha de comando instrui o Automatic
Updates (Atualização Automática) a contatar o servidor do WSUS imediatamente.

33 de 39 20/02/2010 11:52


Criando um Grupo de Computadores no WSUS

Os grupos de computadores é uma das partes mais importantes da implantação do WSUS, mesmo em implantações
básicas. Os grupos de computadores permitem direcionar as atualizações para computadores específicos. Há dois
grupos de computadores padrão: Todos os Computadores e Computadores Não Atribuídos. Por padrão, quando
cada computador cliente faz um contato inicial com o servidor do WSUS, o servidor adiciona-o a ambos os grupos.

Você pode criar grupos de computadores personalizados. Um dos benefícios de criar os grupos de computadores é
poder testar as atualizações antes de implantá-las de forma abrangente. Se o teste for bem-sucedido, você poderá
passar as atualizações para o grupo Todos os Computadores. Não há limite para o número de grupos personalizados
que podem ser criados.

A configuração dos grupos de computadores é um processo de três etapas. Primeiro, especifique como você atribuirá
os computadores aos grupos de computadores. Há duas opções: destino do lado do servidor e destino do lado do
cliente. O destino do lado do servidor envolve a adição manual de cada computador ao seu grupo usando o WSUS.
O destino do lado do cliente envolve a adição automática dos clientes usando a GPO através do Active Directory ou
as chaves do Registro. Depois, crie o grupo de computadores no WSUS. Por último, mova os computadores para os
grupos usando qualquer método selecionado na primeira etapa.

Nota

Na etapa 17 do tópico Instalando e Configurando os Clientes do WSUS, você configurou o nome do target group
(grupo alvo) que irá receber a política, o qual irá adicionar os clientes WSUS dentro do Grupo AprovarClientes.

Para criar um grupo de computadores no WSUS, siga as etapas abaixo:

1 – Abra a console do WSUS, caso ainda não esteja aberta.

2 – Na barra de ferramentas da console do WSUS, clique em Computadores. Será carrega a janela como mostra a
figura 1.38.

Figura 1.38

34 de 39 20/02/2010 11:52


3 - Em Tarefas clique em Criar um grupo de computadores. Será carrega a caixa de diálogo como mostra a figura
1.39.

Figura 1.39

4 – No campo Nome do grupo digite AprovarClientes, e em seguida clique no botão OK.

5 - Na barra de ferramentas da console do WSUS, clique em Opções, e em seguida clique em Opções de
Computadores. Será carrega a janela como mostra a figura 1.40.

Figura 1.40

6 – Selecione a opção Usar configurações do Registro ou Diretiva de Grupo nos computadores.

7 - Em Tarefas, clique em Salvar Configurações e clique em OK quando a caixa de confirmação for exibida.

Aprovando e Implantando as Atualizações no WSUS

Nesta etapa, você aprovará as atualizações para os clientes WSUS que estão dentro do grupo AprovarClientes. Os
computadores do grupo verificarão o servidor do WSUS conforme configuração realizada na GPO. Depois desse
período, você poderá usar o recurso de relatório do WSUS para determinar se essas atualizações foram implantadas
nos computadores. Se o teste for bem-sucedido, você poderá aprovar a mesma atualização para os demais
computadores da organização.

1 - Na barra de ferramentas do console do WSUS, clique em Atualizações. Por padrão, a lista de atualizações é
filtrada para mostrar apenas as atualizações críticas e de segurança que foram aprovadas para detecção nos
computadores clientes. Use o filtro padrão para esse procedimento. Será carrega a janela como mostra a figura 1.41.

35 de 39 20/02/2010 11:52


Figura 1.41

2 - Na lista de atualizações, selecione as atualizações que deseja aprovar para instalação. As informações sobre a
atualização selecionada estão disponíveis na guia Detalhes. Para selecionar várias atualizações contíguas, pressione e
mantenha pressionada a tecla SHIFT enquanto faz a seleção; para selecionar várias atualizações que não sejam
contíguas, pressione e mantenha pressionada a tecla CTRL enquanto faz a seleção.

3 - Em Tarefas de Atualização, clique em Aprovação de Alteração. A caixa de diálogo Aprovar Atualizações será
exibida como mostra a figura 1.42.

Figura 1.42

4 - Na lista Configurações de aprovação de grupo das atualizações selecionadas, clique em Instalar na lista da

36 de 39 20/02/2010 11:52


coluna Aprovação para o grupo AprovarClientes e, em seguida, clique em OK. Caso você tenha feita alguma
aprovação de atualização anteriormente, será exibida uma caixa de diálogo como mostra a figura 1.43.

Figura 1.43

5 – Na caixa de diálogo Atualizações do Windows Server Update Services, escolha uma das duas opções de
aprovação para completar as configurações de aprovação das atualizações. Em nosso exemplo, a opção escolhida
será Substituir as aprovações existentes. Clique no botão OK, para fechar a caixa de diálogo e salvar as alterações.

37 de 39 20/02/2010 11:52


Verificando o relatório Status das Atualizações

1 - Na barra de ferramentas do console do WSUS, clique em Relatórios. Será carrega a janela como mostra a figura
1.44.

Figura 1.44

2 - Na página Relatórios, clique em Status das Atualizações. Será carrega a janela como mostra a figura 1.45.

38 de 39 20/02/2010 11:52


Figura 1.45

3 - Se você desejar filtrar a lista de atualizações, em Exibir, selecione os critérios a serem utilizados e clique em
Aplicar.

4 - Se desejar ver o status de uma atualização por grupo de computadores e, em seguida, por computador, expanda a
exibição da atualização conforme a necessidade.

5 - Se desejar imprimir o relatório Status das Atualizações, em Tarefas, clique em Imprimir relatório.

Nota

Se a implantação das atualizações no grupo AprovarClientes for bem-sucedida, você poderá aprovar as mesmas
atualizações para os demais computadores da sua organização.

LUCIANO LIMA

[MVP Enterprise Security]-[MCSA Security]-[MCSE Security]

http://www.guiamcse.com.br

http://blog.guiamcse.com.br/

39 de 39 20/02/2010 11:52

Wsus

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (19)

Similaire à Wsus

Similaire à Wsus (20)

Plus de Carlos Eduardo

Plus de Carlos Eduardo (20)

Wsus