Compartilhar via

Etapa 2: Configurar o WSUS

Após instalar a função de servidor do WSUS (Windows Server Update Services) no servidor, você precisa configurá-la corretamente. Além disso, você precisa configurar os computadores cliente para receber as respectivas atualizações do servidor do WSUS.

2.1. Configurar as conexões de rede

Para começar o processo de configuração, verifique se sabe as respostas às seguintes perguntas:

  • O firewall do servidor está configurado para permitir que clientes acessem o servidor?

  • Esse computador pode se conectar ao servidor upstream (o servidor designado para baixar atualizações do Microsoft Update)?

  • Você tem o nome do servidor proxy e as credenciais do usuário referentes ao servidor proxy, se precisar desses dados?

Depois, você pode começar a definir as seguintes configurações de rede do WSUS:

  • Updates: Specify the way this server should get updates (from Microsoft Update or from another WSUS server).

  • Proxy: If you identify that WSUS needs to use a proxy server to have internet access, configure proxy settings in the WSUS server.

  • Firewall: If you identify that WSUS is behind a corporate firewall, take extra steps at the edge device to allow WSUS traffic.

Important

Se você tiver apenas um servidor WSUS, ele deverá ter acesso à Internet, pois ele precisa baixar atualizações da Microsoft. Se você tiver vários servidores do WSUS, somente um deles precisará de acesso à Internet. Os outros precisarão apenas de acesso de rede ao servidor do WSUS conectado à Internet. Seus computadores cliente não precisam de acesso à Internet. Eles só precisam de acesso à rede para um servidor WSUS.

Tip

If your network is air gapped—if it doesn't have access to the internet at all—you can still use WSUS to provide updates to client computers on the network. Essa abordagem requer usar dois servidores do WSUS. Um servidor do WSUS com acesso à Internet coleta as atualizações da Microsoft. O segundo servidor WSUS fornece atualizações para os computadores cliente na rede protegida. As atualizações são exportadas do primeiro servidor para mídia removível, transportadas pela lacuna de ar e importadas para o segundo servidor. Essa configuração é avançada e está além do escopo deste artigo.

2.1.1. Configurar o firewall para permitir que o primeiro servidor do WSUS se conecte aos domínios da Microsoft na Internet

Se um firewall corporativo estiver entre o WSUS e a Internet, convém configurar esse firewall para garantir que o WSUS possa obter atualizações. Para obter atualizações do Microsoft Update, o servidor do WSUS usa as portas 80 e 443 para os protocolos HTTP e HTTPS. Embora a maioria dos firewalls corporativos permita esse tipo de tráfego, algumas empresas restringem o acesso à Internet proveniente dos servidores devido a políticas de segurança. Se sua empresa restringir o acesso, você precisará configurar o firewall para permitir que o servidor do WSUS acesse domínios da Microsoft.

O primeiro servidor WSUS deverá ter acesso de saída às portas 80 e 443 nos seguintes domínios:

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • https://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://wustat.windows.com

  • http://ntservicepack.microsoft.com

  • http://go.microsoft.com

  • http://dl.delivery.mp.microsoft.com

  • https://dl.delivery.mp.microsoft.com

  • http://*.delivery.mp.microsoft.com

  • https://*.delivery.mp.microsoft.com

Se você estiver gerenciando atualizações do Microsoft 365, que exige o Microsoft Configuration Manager, consulte Gerenciar atualizações para o Microsoft 365 Apps com o Microsoft Configuration Manager para obter mais informações sobre os domínios que você precisa permitir.

Important

É preciso configurar seu firewall para permitir que o primeiro servidor WSUS acesse todas as URLs dentro desses domínios. Os endereços IP associados a esses domínios estão em constante mudança, sendo assim, não tente usar intervalos de endereços IP como alternativa.

2.1.2. Configurar o firewall para permitir que outros servidores do WSUS se conectem ao primeiro servidor

If you have multiple WSUS servers, you should configure the other WSUS servers to access the first (topmost) server. Os outros servidores do WSUS recebem todas as informações de atualização do servidor mais alto. Essa configuração permite gerenciar toda a rede usando o Console de Administração do WSUS no servidor superior.

Os outros servidores do WSUS deverão ter acesso de saída ao servidor superior por meio de duas portas. Por padrão, essas portas são 8530 e 8531. Você pode alterar essas portas, conforme descrito em Configurar o servidor Web IIS do servidor WSUS para usar o TLS para algumas conexões posteriormente neste artigo.

Note

Caso a conexão de rede entre os servidores do WSUS seja lenta ou onerosa, você poderá configurar um ou mais dos outros servidores do WSUS para receber conteúdos de atualização diretamente da Microsoft. Nesse caso, apenas uma pequena quantidade de dados é enviada desses servidores WSUS para o servidor mais alto. Para que essa configuração funcione, os outros servidores do WSUS deverão ter acesso aos mesmos domínios da Internet que o servidor superior.

Note

Caso tenha uma organização grande, é possível usar cadeias de servidores WSUS conectados, em vez de conectar todos os outros servidores WSUS diretamente ao servidor superior. Por exemplo, é possível ter um segundo servidor do WSUS que se conecta ao servidor superior e conectar outros servidores do WSUS ao segundo servidor do WSUS.

2.1.3. Configurar servidores WSUS para usar um servidor proxy, se necessário

Se a rede corporativa usar servidores proxy, os servidores proxy deverão dar suporte aos protocolos HTTP e HTTPS. Eles também devem usar autenticação básica ou autenticação do Windows. Esses requisitos podem ser atendidos usando uma das seguintes configurações:

  • Um servidor proxy único que dá suporte a dois canais de protocolo. Nesse caso, defina um canal para usar HTTP e o outro canal para usar HTTPS.

    Note

    Você pode configurar um servidor proxy que lida com ambos os protocolos do WSUS durante a instalação do software para servidores do WSUS.

  • Dois servidores proxy, cada um deles dá suporte a um único protocolo. Nesse caso, configure um servidor proxy para usar HTTP e o outro servidor proxy para usar HTTPS.

Para configurar o WSUS para usar dois servidores proxy

  1. Entre no computador que você planeja usar como servidor do WSUS usando uma conta que seja membro do grupo Administradores Locais.

  2. Instale a função de servidor do WSUS Quando você usa o Assistente de Configuração do WSUS, conforme explicado em Configurar o WSUS usando o Assistente de Configuração do WSUS, não especifique um servidor proxy.

  3. Open Command Prompt (Cmd.exe) as an administrator:

    1. On the Start menu, search for Command Prompt.
    2. Right-click Command Prompt, and then select Run as administrator.
    3. Se a caixa de diálogo Controle de Conta de Usuário for exibida, insira as credenciais apropriadas (se solicitado), confirme se a ação exibida é o que você deseja e selecione Continuar.

  4. No Prompt de Comando, vá para a pasta C:\Arquivos de Programas\Serviços de Atualização\Ferramentas . Insira o seguinte comando:

    wsusutil ConfigureSSLproxy [<proxy-server proxy-port>] -enable

    Nesse comando:

    • proxy_server is the name of the proxy server that supports HTTPS.

    • proxy_port is the port number of the proxy server.

  5. Feche o prompt de comando.

Para adicionar um servidor proxy à configuração do WSUS

  1. Abra o Console de Administração do WSUS.

  2. Under Update Services, expand the server name, and then select Options.

  3. On the Options pane, select Update Source and Proxy Server, and then go to the Proxy Server tab.

  4. Selecione Usar um servidor proxy ao sincronizar e, em seguida, insira o nome e o número da porta do servidor proxy nas caixas correspondentes. O número da porta padrão é 80.

  5. Se o servidor proxy exigir que você use uma conta de usuário específica, selecione Usar credenciais de usuário para se conectar ao servidor proxy. Insira o nome de usuário, o domínio e a senha necessários nas caixas correspondentes.

  6. Se o servidor proxy der suporte à autenticação básica, selecione Permitir autenticação básica (a senha é enviada em texto não criptografado).

  7. Select OK.

Para remover um servidor proxy da configuração do WSUS

  1. In the WSUS Administration Console, under Update Services, expand the server name, and then select Options.

  2. On the Options pane, select Update Source and Proxy Server, and then go to the Proxy Server tab.

  3. Desmarque a caixa de seleção Utilizar um servidor proxy ao sincronizar.

  4. Select OK.

2.1.4. Configurar seu firewall para permitir que os computadores cliente acessem um servidor WSUS

Todos os computadores cliente precisam se conectar a um dos servidores do WSUS. Cada computador cliente deve ter acesso de saída a duas portas no servidor WSUS. Por padrão, essas portas são 8530 e 8531.

2.2. Configurar o WSUS usando o Assistente de Configuração do WSUS

Os procedimentos nas seções a seguir usam o Assistente de Configuração do WSUS para definir as configurações do WSUS. O Assistente de Configuração do WSUS é exibido na primeira vez que você inicia o Console de Gerenciamento do WSUS. You can also use the Options pane in the WSUS Administration Console to configure WSUS settings. For more information about using the Options pane, see the following procedures in other sections of this article:

Iniciar o assistente e definir as configurações iniciais

  1. In the Server Manager dashboard, select Tools>Windows Server Update Services.

    Note

    Se a caixa de diálogo Concluir Instalação do WSUS for exibida, selecione Executar. Na caixa de diálogo Concluir Instalação do WSUS , selecione Fechar quando a instalação for concluída com êxito.

    O Assistente de Configuração do WSUS é aberto.

  2. Na página Antes de Começar, examine a informação e selecione Avançar.

  3. Na página Ingressar no Programa de Aperfeiçoamento do Microsoft Update , leia as instruções. Mantenha a seleção padrão se quiser participar do programa ou desmarque a caixa de seleção se não quiser. Then select Next.

Definir configurações de servidor upstream e proxy

  1. Na página Escolher Servidor Upstream , selecione uma das seguintes opções:

    • Sincronizar do Microsoft Update

    • Sincronizar de outro servidor do Windows Server Update Services

    Se você optar por sincronizar de outro servidor do WSUS, execute as seguintes etapas:

    1. Especifique o nome do servidor e a porta na qual esse servidor deve se comunicar com o servidor upstream.

    2. Para usar o TLS, selecione Usar SSL ao sincronizar informações de atualização. Os servidores usam a porta 443 para sincronização. (Verifique se esse servidor e o servidor upstream dão suporte ao TLS.)

    3. Se esse servidor for um servidor de réplica, selecione Esta é uma réplica do servidor upstream.

  2. After you select the options for your deployment, select Next.

  3. Se o WSUS precisar de um servidor proxy para acessar a Internet, defina as seguintes configurações de proxy. Caso contrário, pule essa etapa.

    1. Na página Especificar Servidor Proxy , selecione Usar um servidor proxy ao sincronizar. Em seguida, insira o nome do servidor proxy e o número da porta (porta 80 por padrão) nas caixas correspondentes.

    2. Se você quiser se conectar ao servidor proxy usando credenciais de usuário específicas, selecione Usar credenciais de usuário para se conectar ao servidor proxy. Em seguida, insira o nome de usuário, o domínio e a senha do usuário nas caixas correspondentes.

      Se você quiser habilitar a autenticação básica para o usuário que está se conectando ao servidor proxy, selecione Permitir autenticação básica (a senha é enviada em cleartext).

  4. Select Next.

  5. Na página Conectar ao Servidor Upstream , selecione Iniciar Conexão.

  6. When WSUS connects to the server, select Next.

Selecionar idiomas, produtos e classificações

  1. On the Choose Languages page, you can select the languages from which WSUS receives updates: all languages or a subset of languages. Selecionar um subconjunto de idiomas economiza espaço em disco, mas é importante selecionar todos os idiomas necessários para todos os clientes desse servidor do WSUS.

    Se você optar por obter atualizações somente para idiomas específicos, selecione Baixar atualizações somente nestes idiomas e selecione os idiomas para os quais deseja as atualizações. Caso contrário, deixe a seleção padrão.

    Warning

    Se você selecionar a opção Baixar atualizações apenas nestes idiomas e esse servidor tiver um servidor WSUS downstream conectado a ele, essa opção forçará o servidor downstream a usar apenas os idiomas selecionados.

  2. Select Next.

  3. On the Choose Products page, specify the products for which you want updates. Selecione categorias de produtos, como Windows ou produtos específicos, como o Windows Server 2019. A seleção de uma categoria de produtos abrange todos os produtos dessa categoria.

  4. Select Next.

  5. On the Choose Classifications page, select the update classifications that you want to get. Select all the classifications or a subset of them, and then select Next.

Configurar o agendamento de sincronização

  1. Na página Definir Agendamento de Sincronização , selecione se deseja executar a sincronização manual ou automaticamente.

    • If you select Synchronize manually, you must start the synchronization process from the WSUS Administration Console.

    • If you select Synchronize automatically, the WSUS server synchronizes at set intervals.

      For First synchronization, set the time, and then specify the number of synchronizations per day that you want this server to perform. Por exemplo, se você especificar quatro sincronizações por dia, começando às 3h, as sincronizações ocorrerão às 3h, 9h, 15h e 21h.

  2. Select Next.

Concluir o assistente

  1. On the Finished page, if you want to start the synchronization right away, select Begin initial synchronization. Se não selecionar essa opção, você precisará usar o Console de Gerenciamento do WSUS para executar a sincronização inicial.

  2. If you want to read more about other settings, select Next. Otherwise, select Finish to conclude the wizard and finish the initial WSUS setup.

After you select Finish, the WSUS Administration Console appears. Use este console para gerenciar sua rede do WSUS, conforme descrito em seções posteriores neste artigo.

2.3. Proteger o WSUS com o protocolo TLS

Você deve usar o protocolo TLS para ajudar a proteger sua rede WSUS. O WSUS pode usar o TLS para autenticar conexões e criptografar e proteger informações de atualização.

Warning

Proteger o WSUS usando o protocolo TLS é importante para a segurança da rede. Se o servidor do WSUS não usar corretamente o TLS para proteger suas conexões, um invasor poderá modificar informações de atualização cruciais quando for enviado de um servidor WSUS para outro ou do servidor do WSUS para os computadores cliente. Nessa situação, o invasor pode instalar software mal-intencionado em computadores cliente.

Important

Clientes e servidores downstream configurados para usar TLS ou HTTPS também devem ser configurados para usar um FQDN (nome de domínio totalmente qualificado) para o servidor do WSUS upstream.

2.3.1. Habilitar TLS/HTTPS no serviço IIS do servidor WSUS para usar TLS/HTTPS

Para iniciar o processo de uso do TLS/HTTPS, você deve habilitar o suporte do TLS no serviço IIS (Serviços de Informações da Internet) do servidor WSUS. Esse esforço envolve a criação de um certificado SSL (TLS/Secure Sockets Layer) para o servidor.

As etapas necessárias para obter um certificado TLS/SSL para o servidor estão além do escopo deste artigo e dependem da configuração de rede. Para obter mais informações e instruções sobre como instalar certificados e configurar esse ambiente, consulte a documentação dos Serviços de Certificados do Active Directory.

2.3.2. Configurar o servidor Web IIS do servidor WSUS para usar o TLS para algumas conexões

O WSUS requer duas portas para estabelecer conexões com outros servidores WSUS e computadores cliente. One port uses TLS/HTTPS to send update metadata (crucial information about the updates). Por padrão, a porta 8531 é usada para essa finalidade. Uma segunda porta usa o HTTP para enviar conteúdos de atualização. Por padrão, a porta 8530 é usada para essa finalidade.

Important

Você não pode configurar todo o site do WSUS para exigir TLS. O WSUS foi projetado somente para criptografar metadados de atualização. O Windows Update distribui as atualizações da mesma maneira.

Para evitar que um invasor adultere os conteúdos de atualização, eles são assinados usando um conjunto específico de certificados de assinatura confiáveis. Além disso, um hash criptográfico é computado para cada conteúdo de atualização. O hash é enviado ao computador cliente por meio de uma conexão de metadados HTTPS segura, em conjunto com os outros metadados da atualização. Após baixar uma atualização, o software cliente verifica a assinatura digital e o hash do conteúdo. Se a atualização tiver sido alterada, ela não será instalada.

Você deve exigir TLS apenas para as seguintes raízes virtuais do IIS:

  • SimpleAuthWebService

  • DSSAuthWebService

  • ServerSyncWebService

  • APIremoting30

  • ClientWebService

Você não deve exigir TLS para as seguintes raízes virtuais:

  • Content

  • Inventory

  • ReportingWebService

  • SelfUpdate

O certificado de AC (autoridade de certificação) deverá ser importado para o repositório de AC Raiz Confiável de cada servidor do WSUS para o computador local ou para o repositório de AC Raiz Confiável dos WSUS, se ele existir.

Para obter mais informações sobre como usar certificados TLS/SSL no IIS, consulte Como configurar o SSL no IIS 7 ou posterior.

Important

Você deve usar o repositório de certificados do computador local. Você não pode usar um repositório de certificados do usuário.

Em geral, seria necessário configurar o IIS para usar a porta 8531 para conexões HTTPS e a porta 8530 para conexões HTTP. Se você alterar essas portas, precisará usar dois números de porta adjacentes. O número da porta usado para conexões HTTP deve ser exatamente 1 menos que o número da porta usado para conexões HTTPS.

Você deve reinicializar o ClientServicingProxy proxy do cliente se o nome do servidor, a configuração do TLS ou o número da porta forem alterados.

2.3.3. Configurar o WSUS para usar o certificado de autenticação TLS/SSL para suas conexões de cliente

  1. Entre no servidor do WSUS usando uma conta que seja membro do grupo administradores do WSUS ou do grupo Administradores Locais.

  2. On the Start menu, enter CMD, right-click Command Prompt, and then select Run as administrator.

  3. Vá para a pasta C:\Arquivos de Programas\Serviços de Atualização\Ferramentas .

  4. No Prompt de Comando, insira o seguinte comando:

    wsusutil configuressl <certificate-name>

    In that command, certificate-name is the Domain Name System (DNS) name of the WSUS server.

2.3.4. Proteger a conexão do SQL Server, se necessário

Se você usar o WSUS com um banco de dados remoto do SQL Server, a conexão entre o servidor do WSUS e o servidor de banco de dados não será protegida por meio do TLS. Essa situação cria um potencial vetor de ataque. Considere usar as seguintes recomendações para ajudar a proteger essa conexão:

  • Mova o banco de dados do WSUS para o servidor do WSUS.

  • Mova o servidor de banco de dados remoto e o servidor do WSUS para uma rede privada.

  • Implante o IPsec (Segurança de Protocolo IP) para ajudar a proteger o tráfego de rede. Para obter mais informações sobre IPsec, confira Criando e usando políticas IPSec.

2.3.5. Criar um certificado de assinatura de código para publicação local, se necessário

Além de distribuir atualizações que a Microsoft fornece, o WSUS dá suporte à publicação local. Você pode usar a publicação local para criar e distribuir atualizações que você mesmo projeta, com conteúdos e comportamentos definidos por você.

Habilitar e configurar a publicação local está fora do escopo deste documento. For full details, see Local publishing.

Important

A publicação local é um processo complicado e muitas vezes não é necessária. Antes de decidir habilitar a publicação local, você deve examinar cuidadosamente a documentação e considerar se deseja usar essa funcionalidade e como usá-la.

2.4. Configurar grupos de computadores do WSUS

Os grupos de computadores são uma parte importante de como usar o WSUS de modo eficaz. Você pode usar grupos de computadores para testar e direcionar atualizações para computadores específicos. Há dois grupos de computadores padrão: Todos os Computadores e Computadores Não Atribuídos. Por padrão, quando cada computador cliente contata pela primeira vez o servidor do WSUS, o servidor adiciona esse computador cliente a ambos os grupos.

Você pode criar quantos grupos de computadores personalizados precisar para gerenciar atualizações em sua organização. Como prática recomendada, crie pelo menos um grupo de computadores para testar as atualizações antes de implantá-las em outros computadores de sua organização.

2.4.1. Escolher uma abordagem para atribuir computadores cliente a grupos de computadores

Há duas abordagens para atribuir computadores cliente a grupos de computadores. A abordagem certa para sua organização depende de como você normalmente gerencia seus computadores cliente.

  • Server-side targeting: This approach is the default one. Nessa abordagem, você atribui computadores cliente a grupos de computadores usando o Console de Administração do WSUS.

    Essa abordagem fornece flexibilidade para você migrar de modo rápido os computadores cliente de um grupo para outro conforme as circunstâncias mudam. Porém, como resultado, você deve mover manualmente novos computadores cliente do grupo Computadores Não Atribuídos para o grupo de computadores apropriado.

  • Client-side targeting: In this approach, you assign each client computer to computer groups by using policy settings set on the client computer itself.

    Essa abordagem facilita a atribuição de novos computadores cliente aos grupos apropriados. Você faz isso como parte da configuração do computador cliente para receber atualizações do servidor do WSUS. Mas, como resultado, você não pode atribuir computadores cliente a grupos de computadores ou movê-los de um grupo de computadores para outro, por meio do Console de Administração do WSUS. Em vez disso, você deve modificar as políticas dos computadores cliente.

2.4.2. Habilitar o direcionamento do cliente, se adequado

Important

Ignore as etapas nesta seção se você planeja usar o direcionamento do lado do servidor.

  1. In the WSUS Administration Console, under Update Services, expand the WSUS server, and then select Options.

  2. On the Options pane, select Computers. Go to the General tab, and then select Use Group Policy or registry settings on computers.

2.4.3. Criar grupos de computadores desejados

Note

Você precisa criar grupos de computadores usando o Console de Administração do WSUS, quer você use o direcionamento do servidor ou do cliente para adicionar computadores cliente aos grupos de computadores.

  1. In the WSUS Administration Console, under Update Services, expand the WSUS server, expand Computers, right-click All computers, and then select Add Computer Group.

  2. Na caixa de diálogo Adicionar Grupo de Computadores, em Nome, especifique o nome do novo grupo. Then select Add.

2.5. Configurar computadores cliente para estabelecer conexões TLS com o servidor WSUS

Supondo que você configure o servidor WSUS para ajudar a proteger as conexões dos computadores cliente usando o TLS, você deve configurar os computadores cliente para confiar nessas conexões TLS.

O certificado TLS/SSL do servidor do WSUS deverá ser importado para o repositório de AC Raiz Confiável dos computadores cliente ou o repositório de AC Raiz Confiável do Serviço de Atualização Automática dos computadores cliente, se ele existir.

Important

Você deve usar o repositório de certificados do computador local. Você não pode usar um repositório de certificados do usuário.

Os computadores cliente devem confiar no certificado que você associar ao servidor do WSUS. Dependendo do tipo de certificado usado, você precisará configurar um serviço para habilitar os computadores cliente a confiarem no certificado vinculado ao servidor do WSUS.

Se você estiver usando uma publicação local, também precisará configurar os computadores cliente para confiar no certificado de assinatura de código do servidor WSUS. For instructions, see Local publishing.

2.6. Configurar computadores cliente para receber atualizações do servidor WSUS

Por padrão, os computadores cliente recebem atualizações do Windows Update. Como alternativa, eles deverão ser configurados para receber atualizações do servidor WSUS.

Important

Este artigo apresenta um conjunto de etapas usadas para configurar computadores cliente usando a Política de Grupo. Essas etapas são apropriadas em várias situações. No entanto, há várias outras opções disponíveis para configurar o comportamento de atualização em computadores cliente, incluindo usar o gerenciamento de dispositivo móvel. Para obter documentação sobre essas opções, consulte Gerenciar configurações adicionais do Windows Update.

2.6.1. Escolher o conjunto de políticas adequado para editar

Se o Active Directory estiver configurado em sua rede, você poderá configurar um ou vários computadores simultaneamente, incluindo-os em um GPO (Objeto de Política de Grupo) e configurando esse GPO com configurações do WSUS.

É recomendável criar um novo GPO que contenha somente as definições do WSUS. Vincule esse GPO do WSUS a um contêiner do Active Directory que seja apropriado para seu ambiente.

Em um ambiente simples, você pode vincular um único GPO do WSUS ao domínio. Em um ambiente mais complexo, você pode vincular vários GPOs do WSUS a várias UOs (unidades organizacionais). Ao vincular GPOs a UOs, você pode aplicar configurações de política do WSUS a diferentes tipos de computadores.

Se você não usar o Active Directory em sua rede, precisará configurar cada computador usando o Editor de Política de Grupo Local.

2.6.2. Editar políticas para configurar computadores cliente

Execute as etapas nas seções a seguir para definir os computadores cliente usando as configurações de política.

Note

Estas instruções pressupõem que você esteja usando as versões mais recentes das ferramentas de edição de política. Em versões anteriores das ferramentas, as políticas poderão estar organizadas de modo diferente.

Abra o editor de políticas e vá para o item do Windows Update

  1. Abra o objeto de política adequado:

    • If you're using Active Directory, open the Group Policy Management Console, go to the GPO on which you want to configure WSUS, and select Edit. Then expand Computer Configuration, and expand Policies.
    • Caso não esteja usando o Active Directory, abra o Editor de Política de Grupo Local. A política do computador local é exibida. Expand Computer Configuration.

  2. In the object that you expanded in the previous step, expand Administrative Templates>Windows components>Windows Update. Se o sistema operacional for Windows 10 ou Windows 11, selecione também Gerenciar experiência do usuário final.

Editar a configuração de atualizações automáticas

  1. No painel de detalhes, clique duas vezes em Configurar Atualizações Automáticas. A política Configurar Atualizações Automáticas é aberta.

  2. Select Enabled, and then select the desired option under the Configure automatic updating setting to manage how the automatic updates feature should download and install approved updates.

    Recomendamos usar a configuração Download automático e agendar instalação. Ele garante que as atualizações aprovadas no WSUS sejam baixadas e instaladas em tempo hábil, sem a necessidade de intervenção do usuário.

  3. Se desejar, edite outras partes da política. Para obter mais informações, consulte Gerenciar configurações adicionais do Windows Update.

    Note

    A configuração Instalar atualizações de outros produtos Microsoft não tem efeito nos computadores cliente que recebem atualizações do WSUS. Os computadores cliente recebem todas as atualizações aprovadas para eles no servidor WSUS.

  4. Select OK to close the Configure Automatic Updates policy.

Editar a configuração para especificar um servidor intranet para hospedar atualizações

  1. No painel de detalhes, clique duas vezes em Especificar o local do serviço de atualização da Intranet da Microsoft. If your operating system is Windows 10 or Windows 11, first go back to the Windows Update node of the tree, and then select Manage updates offered from Windows Server Update Service.

    A política Especificar o local do serviço do Microsoft Update na intranet abrirá.

  2. Select Enabled, and then enter the URL of the WSUS server in both the Set the intranet update service for detecting updates and Set the intranet statistics server boxes.

    Warning

    Lembre-se de incluir a porta adequada na URL. Supondo que você configure o servidor para usar o TLS conforme recomendado, especifique a porta configurada para HTTPS. Por exemplo, se você optar por usar a porta 8531 para HTTPS, e o nome de domínio do servidor for o wsus.contoso.com, insira https://wsus.contoso.com:8531 em ambas as caixas.

  3. Select OK to close the Specify intranet Microsoft update service ___location policy.

Configurar o direcionamento do cliente, se adequado

Se você optar por usar o direcionamento do lado do cliente, execute as etapas nesta seção para especificar o grupo de computadores apropriado para os computadores cliente que você está configurando.

Note

Essas etapas pressupõem que você acabou de concluir as etapas para editar políticas para configurar os computadores cliente.

  1. In the policy editor, go to the Windows Update item. Se o sistema operacional for Windows 10 ou Windows 11, também selecione Gerenciar atualizações oferecidas pelo Serviço de Atualização do Windows Server.

  2. No painel de detalhes, clique duas vezes em Habilitar direcionamento do lado do cliente. A política Habilitar direcionamento do cliente abrirá.

  3. Select Enabled. Em Nome do grupo de destino para este computador, insira o nome do grupo de computadores WSUS ao qual você deseja adicionar os computadores cliente.

    Caso esteja executando uma versão atual do WSUS, você pode adicionar computadores cliente a vários grupos de computadores inserindo os nomes dos grupos separados por ponto e vírgula. For example, you can enter Accounting;Executive to add the client computers to both the Accounting and Executive computer groups.

  4. Select OK to close the Enable client-side targeting policy.

2.6.3. Permitir que o computador cliente se conecte ao servidor WSUS

Os computadores cliente não aparecem no Console de Administração do WSUS até se conectarem ao servidor do WSUS pela primeira vez.

  1. Aguarde até que as alterações de política entrem em vigor no computador cliente.

    Se você usar um GPO baseado no Active Directory para configurar os computadores cliente, levará algum tempo para que o mecanismo de Atualização de Política de Grupo forneça as alterações em um computador cliente. If you want to speed up this process, you can open Command Prompt with elevated privileges and then enter the command gpupdate /force.

    Se você usar o Editor de Política de Grupo Local para configurar um computador cliente individual, as alterações entrarão em vigor imediatamente.

  2. Reinicie o computador cliente. Essa etapa garante que o software do Windows Update detecte as alterações de política no computador.

  3. Permita que o computador cliente execute um exame em busca de atualizações. Normalmente, esse exame leva algum tempo.

    Você pode acelerar o processo usando uma destas opções:

    • On Windows 10 or 11, use the Settings app Windows Update page to manually check for updates.
    • On versions of Windows before Windows 10, use the Windows Update icon in Control Panel to manually check for updates.
    • On versions of Windows before Windows 10, open Command Prompt with elevated privileges, and enter the command wuauclt /detectnow.

2.6.4 Verificar uma conexão com êxito do computador cliente com o servidor WSUS

Se você executar todas as etapas anteriores com êxito, verá os seguintes resultados:

  • O computador cliente faz um exame em busca de atualizações com êxito. (Ele pode ou não encontrar atualizações aplicáveis para baixar e instalar.)

  • Em cerca de 20 minutos, o computador cliente aparecerá na lista de computadores exibida no Console de Administração do WSUS com base no tipo de direcionamento:

    • Se você estiver usando o direcionamento do servidor, o computador cliente será exibido nos grupos de computadores Todos os Computadores e Computadores Não Atribuídos.

    • Se você estiver usando o direcionamento do lado do cliente, o computador cliente aparecerá no grupo de computadores Todos os Computadores e no grupo de computadores selecionado durante a configuração do computador cliente.

2.6.5. Configurar o direcionamento do servidor do computador cliente, se adequado

Se você estiver usando o direcionamento do lado do servidor, agora deverá adicionar o novo computador cliente aos grupos de computadores adequados.

  1. Localize o novo computador cliente no Console de Administração do WSUS. Ele será exibido nos grupos de computadores Todos os Computadores e Computadores Não Atribuídos da lista de computadores do servidor do WSUS.

  2. Right-click the client computer and select Change membership.

  3. In the dialog, select the appropriate computer groups, and then select OK.

Next step

Etapa 3: aprovar e implantar atualizações