Introdução às atualizações de software no Configuration Manager
Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
As atualizações de software no System Center 2012 Configuration Manager fornecem um conjunto de ferramentas e recursos que podem ajudar a gerenciar a tarefa complexa de rastrear e aplicar atualizações de software aos computadores cliente da empresa. Um processo eficiente de gerenciamento de atualização de software é necessário para manter a eficiência operacional, solucionar problemas de segurança e manter a estabilidade da infraestrutura de rede. No entanto, devido à natureza variável da tecnologia e ao aparecimento contínuo de novas ameaças à segurança, a eficiência do gerenciamento de atualização de software exige atenção consistente e contínua.
Consulte as seguintes seções para obter mais informações sobre atualizações de software:
Sincronização de atualizações de software
Avaliação de conformidade de atualizações de software
Pacotes de implantação de atualização de software
Fluxos de trabalho de implantação de atualização de software
Processo de implantação de atualização de software
Estender as atualizações de software no Configuration Manager
Suporte para dispositivos Windows Embedded que usam filtros de gravação
Proteção de Acesso à Rede
Novidades no Configuration Manager
Novidades no Configuration Manager SP1
Novidades no System Center 2012 R2 Configuration Manager
Para obter um exemplo que mostra como você pode implantar atualizações de software em seu ambiente, consulte Cenário de exemplo de uso do Configuration Manager para implantar e monitorar as atualizações de software de segurança lançadas mensalmente pela Microsoft.
Sincronização de atualizações de software
A sincronização de atualizações de software no Gerenciador de Configurações usa o Microsoft Update para recuperar metadados de atualizações de software. O site de nível superior (site de administração central ou site primário autônomo) sincroniza com o Microsoft Update em um horário agendado ou quando você inicia a sincronização manualmente no console do Gerenciador de Configurações. Quando o Gerenciador de Configurações termina a sincronização das atualizações de software no site de nível superior, a sincronização das atualizações de software inicia nos sites filho, se existirem. Quando sincronização termina em cada site primário ou secundário, uma política de site é criada para fornecer aos computadores cliente o local dos pontos de atualização de software.
.jpeg "System_CAPS_note"){kind=icon} Observação |
|---|
As atualizações de software são habilitadas por padrão nas configurações do cliente. No entanto, se você não definir a configuração do cliente Habilitar as atualizações de software em clientes para Não para desabilitar as atualizações de software em um coleção ou nas configurações padrão, o local dos pontos de atualização de software não será enviado aos clientes associados. Para obter mais informações sobre configurações do cliente de atualizações de software, consulte a seção Atualizações de software no tópico Sobre as configurações do cliente no Configuration Manager. |
Depois que o cliente recebe a política, ele inicia uma verificação da conformidade das atualizações de software e grava as informações no WMI (Windows Management Instrumentation). Em seguida, as informações de conformidade são enviadas ao ponto de gerenciamento que, por sua vez, envia as informações ao servidor do site. Para obter mais informações sobre avaliação de conformidade, consulte a seção Avaliação de conformidade de atualizações de software neste tópico.
Para o System Center 2012 Configuration Manager SP1 e posterior:
A partir do Gerenciador de Configurações SP1, você pode adicionar vários pontos de atualização de software em um site primário. O primeiro ponto de atualização de software que você instala é configurado como a origem da sincronização. A sincronização acontece no Microsoft Update ou em um servidor WSUS, não na hierarquia do Gerenciador de Configurações. Os outros pontos de atualização de software do site usam o primeiro ponto de atualização de software como a origem da sincronização.
| Observação |
|---|
Quando o processo de sincronização de atualizações de software termina no site de nível superior, os metadados das atualizações de software são replicados nos sites filho por meio da replicação de banco de dados. Ao conectar um console do Gerenciador de Configurações ao site filho, o Gerenciador de Configurações exibe os metadados das atualizações de software. No entanto, até você instalar e configurar um ponto de atualização de software no site, os clientes não verificarão a conformidade das atualizações de software, não relatarão informações de conformidade para o Gerenciador de Configurações, e você não poderá implantar atualizações de software com êxito. |
Sincronização no site de nível superior
O processo de sincronização de atualizações de software no site de nível superior recupera do Microsoft Update os metadados das atualizações de software que atendem aos critérios especificados em Propriedades do Componente de Ponto de Atualização de Software. Você define os critérios apenas no site de nível superior.
| Observação |
|---|
A partir do Gerenciador de Configurações SP1, no site de nível superior, é possível especificar como origem da sincronização um servidor WSUS existente fora da hierarquia do Gerenciador de Configurações em vez do Microsoft Update. |
A lista a seguir descreve as etapas básicas do processo de sincronização no site de nível superior:
A sincronização de atualizações de software inicia.
O Gerenciador de Sincronização do WSUS envia uma solicitação ao WSUS em execução no ponto de atualização de software para iniciar a sincronização com o Microsoft Update.
Os metadados das atualizações de software são sincronizados no Microsoft Update e as alterações são inseridas ou atualizadas no banco de dados do WSUS.
Quando o WSUS termina a sincronização, o Gerenciador de Sincronização do WSUS sincroniza os metadados das atualizações de software do banco de dados do WSUS com o banco de dados do Gerenciador de Configurações, e as alterações após a última sincronização são inseridas ou atualizadas no banco de dados do site. Os metadados das atualizações de software são armazenados no banco de dados do site como item de configuração.
Os itens de configuração das atualizações de software são enviados aos sites filho por meio da replicação de banco de dados.
Quando a sincronização termina com êxito, o Gerenciador de Sincronização do WSUS cria a mensagem de status 6702.
O Gerenciador de Sincronização do WSUS envia uma solicitação de sincronização para todos os sites filho.
Para um site primário autônomo que esteja executando apenas o System Center 2012 Configuration Manager SP1:
O Gerenciador de Sincronização do WSUS envia uma solicitação por vez ao WSUS em execução em outros pontos de atualização de software do site. Os servidores WSUS dos outros pontos de atualização de software são configurados para serem réplicas do WSUS em execução no ponto de atualização de software padrão do site.
Sincronização em sites filho primários e secundários
Durante o processo de sincronização de atualizações de software no site de nível superior, os itens de configuração das atualizações de software são replicados nos sites filho por meio da replicação de banco de dados. No fim do processo, o site de nível superior envia uma solicitação de sincronização ao site filho, que inicia a sincronização do WSUS. A lista a seguir fornece as etapas básicas do processo de sincronização em um site primário ou secundário filho:
O Gerenciador de Sincronização do WSUS recebe uma solicitação de sincronização do site de nível superior.
A sincronização de atualizações de software inicia.
O Gerenciador de Sincronização do WSUS faz uma solicitação para o WSUS em execução no ponto de atualização de software para iniciar a sincronização.
O WSUS em execução no ponto de atualização de software no site filho sincroniza os metadados de atualizações de software do WSUS em execução no ponto de atualização de software no site pai.
Quando a sincronização termina com êxito, o Gerenciador de Sincronização do WSUS cria a mensagem de status 6702.
Em um site primário, o Gerenciador de Sincronização do WSUS envia uma solicitação de sincronização para qualquer site secundário filho. O site secundário inicia a sincronização das atualizações de software com o site primário pai. O site secundário é configurado como uma réplica do WSUS em execução no site pai.
Somente para o Gerenciador de Configurações sem service pack:
Quando há um ponto de atualização de software baseado na Internet remoto, o Gerente de Sincronização do WSUS inicia o processo de sincronização do WSUS em execução no sistema de site remoto.
Para o System Center 2012 Configuration Manager SP1 e posterior:
O Gerenciador de Sincronização do WSUS envia uma solicitação por vez ao WSUS em execução em outros pontos de atualização de software do site. Os servidores WSUS dos outros pontos de atualização de software são configurados para serem réplicas do WSUS em execução no ponto de atualização de software padrão do site.
Sincronização de pontos de atualização de software baseados na Internet
.jpeg "System_CAPS_important") Importante |
|---|
Esta seção aplica-se somente ao Gerenciador de Configurações sem service pack. |
Quando a sincronização termina para o ponto de atualização de software ativo em um site, a sincronização inicia para o ponto de atualização de software baseado na Internet ativo no site, se configurado. Esse processo é semelhante ao processo de sincronização em sites filho, exceto que o WSUS em execução no ponto de atualização de software baseado na Internet sincroniza com o WSUS em execução no ponto de atualização de software ativo do mesmo site.
O Gerenciador de Sincronização do WSUS faz uma solicitação para o WSUS em execução no ponto de atualização de software baseado na Internet remoto para iniciar a sincronização.
O WSUS em execução no ponto de atualização de software baseado na Internet remoto sincroniza os metadados das atualizações de software do WSUS em execução no ponto de atualização de software ativo do mesmo site.
Quando a sincronização termina com êxito, o Gerenciador de Sincronização do WSUS cria a mensagem de status 6702.
O Gerenciador de Sincronização do WSUS envia uma solicitação de sincronização para qualquer site filho.
Quando a origem da sincronização configurada para o ponto de atualização de software baseado na Internet não está configurada para sincronizar com um servidor de atualização de upstream, é possível usar as funções Export e Import da ferramenta WSUSutil para sincronizar os metadados das atualizações de software de um ponto de atualização de software ativo do site. Para obter mais informações, veja a seção Sincronizar atualizações de software a partir do ponto de atualização de software desconectado no tópico Configurando atualizações de software no Configuration Manager.
Avaliação de conformidade de atualizações de software
Antes de você implantar atualizações de software em computadores cliente no Gerenciador de Configurações, inicie a verificação da conformidade das atualizações de software nos computadores cliente. Para cada atualização de software, uma mensagem de estado é criada contendo o estado de conformidade da atualização. As mensagens de estado são enviadas em massa para o ponto de gerenciamento e depois para o servidor do site, onde o estado de conformidade é inserido no banco de dados do site. O estado de conformidade das atualizações de software é exibido no console do Gerenciador de Configurações. Você pode implantar e instalar atualizações de software nos computadores que precisam dessas atualizações. As seções a seguir fornecem informações sobre os estados de conformidade e descreve o processo da verificação da conformidade das atualizações de software.
Estados de conformidade das atualizações de software
A tabela a seguir lista e descreve cada estado de conformidade que é exibido no console do Gerenciador de Configurações para as atualizações de software.
Estado |
Descrição |
|---|---|
Necessária |
Especifica que a atualização de software é aplicável e necessária no computador cliente. Qualquer uma das condições a seguir pode ser válida quando o estado da atualização de software é Necessária:
|
Não necessário |
Especifica que a atualização de software não é aplicável no computador cliente. Portanto, a atualização de software não é necessária. |
Instalado |
Especifica que a atualização de software é aplicável ao computador cliente e que o computador cliente já tem a atualização de software instalada. |
Desconhecida |
Especifica que o servidor do site não recebeu uma mensagem de estado do computador cliente, normalmente porque:
|
Processo de verificação de conformidade de atualizações de software
Quando o ponto de atualização de software é instalado e sincronizado, uma política de computador do site é criada informando aos computadores cliente que as Atualizações de Software do Gerenciador de Configurações foram habilitadas para o site. Quando um cliente recebe a política de computador, uma verificação de avaliação de conformidade é agendada para iniciar aleatoriamente nas próximas duas horas. Quando a verificação é iniciada, um processo do Agente Cliente de Atualizações de Software apaga o histórico de verificações, envia uma solicitação para localizar o servidor WSUS que deve ser usado na verificação e atualiza a Política de Grupo local com o local do servidor WSUS.
| Observação |
|---|
Clientes baseados na Internet devem se conectar ao servidor do WSUS usando SSL. |
Uma solicitação de verificação é passada para o WUA (Windows Update Agent). O WUA, em seguida, conecta-se ao local do servidor do WSU que está listado na política local, recupera os metadados de atualizações de software sincronizados no servidor do WSUS e verifica as atualizações no computador do cliente. Um processo do Agente Cliente de Atualizações de Software detecta que a verificação de conformidade foi concluída e cria mensagens de estado para cada atualização que foi alterada em conformidade com o estado, após a última verificação. As mensagens de estado são enviadas para o ponto de gerenciamento em massa a cada 15 minutos. O ponto de gerenciamento, em seguida, encaminha as mensagens de estado para o servidor do site, onde são inseridas no banco de dados do servidor do site.
Após a verificação inicial de conformidade das atualizações de software, a verificação é iniciada na agenda de verificação configurada. No entanto, se o cliente tiver verificado a conformidade das atualizações de software no período de tempo indicado pelo valor TTL (Vida Útil), usará o software de metadados de atualizações que é armazenado localmente. Quando a última verificação estiver fora do TTL, o cliente deverá se conectar ao WSUS em execução no ponto de atualização de software e atualizar os metadados de atualizações de software armazenados no cliente.
Incluindo o agendamento da verificação, a verificação de conformidade das atualizações de software pode ter início das seguintes maneiras:
Agendamento de verificação das atualizações de software: A verificação de conformidade das atualizações de software começa no agendamento de verificação definido nas configurações do Agente Cliente de Atualizações de Software. Para obter mais informações sobre como definir as configurações do cliente de Atualizações de Software, consulte a seção Atualizações de software no tópico Sobre as configurações do cliente no Configuration Manager.
Ação Propriedades do Configuration Manager: O usuário pode iniciar a ação Ciclo de Verificação de Atualizações de Software ou Ciclo de Avaliação de Implantação de Atualizações de Software na guia Ação na caixa de diálogo Propriedades do Configuration Manager no computador cliente.
Agendamento de reavaliação da implantação: A avaliação da implantação e verificação de conformidade das atualizações de software começam no agendamento de reavaliação da implantação definido nas configurações do Agente Cliente de Atualizações de Software. Para obter mais informações sobre configurações do cliente de atualizações de software, consulte a seção Atualizações de software no tópico Sobre as configurações do cliente no Configuration Manager.
Antes de baixar arquivos de atualização: Quando um computador cliente recebe uma política de atribuição de uma nova implantação necessária, o Agente Cliente de Atualizações de Software baixa os arquivos de atualização no cache local do cliente. Para baixar os arquivos de atualização de software, o agente cliente inicia uma varredura para verificar se a atualização de software ainda é necessária.
Antes da instalação da atualização de software: Para baixar os arquivos de atualização de software, o Agente Cliente de Atualizações de Software inicia uma varredura para verificar se as atualização ainda são necessárias.
Após a instalação da atualização de software: Depois que uma instalação de atualização de software é concluída, o Agente Cliente de Atualizações de Software inicia uma varredura para verificar se as atualizações não são mais necessárias e cria uma nova mensagem de estado que indica que a atualização de software foi instalada. Quando a instalação é concluída, mas uma reinicialização é necessária, a mensagem de estado indica que uma reinicialização está pendente no computador cliente.
Após a reinicialização do sistema: Quando uma reinicialização do sistema está pendente no computador cliente para que a instalação da atualização de software seja concluída, o Agente Cliente de Atualizações de Software inicia uma verificação após a reinicialização para verificar se a atualização de software não é mais necessária e cria uma mensagem de estado que indica que a atualização de software está instalada.
Valor Vida Útil
Os metadados de atualizações de software necessários na verificação de conformidade das atualizações são armazenados no computador cliente local e, por padrão, são relevantes por até 24 horas. Esse valor é conhecido como TTL (Vida Útil).
Verificar tipos de conformidade de atualizações de software
O cliente verifica a conformidade das atualizações de software usando uma verificação online ou offline e uma verificação forçada ou não forçada, dependendo da forma pela qual a conformidade das atualizações de software é iniciada. A tabela a seguir descreve os métodos online ou offline para iniciar a verificação e se ela é forçada ou não forçada.
Método de verificação |
Tipo de verificação |
Descrição |
|---|---|---|
Agendamento de verificação das atualizações de software |
Verificação online não forçada |
No agendamento de verificação configurado, o cliente só se conecta ao WSUS em execução no ponto de atualização de software para recuperar os metadados das atualizações de software quando a última verificação está fora do TTL. |
Ciclo de verificação de atualizações de software ou Ciclo de avaliação de implantação das atualizações de software |
Verificação online forçada |
O computador cliente sempre se conecta ao WSUS em execução no ponto de atualização de software para recuperar os metadados das atualizações de software antes de o computador cliente verificar a conformidade das atualizações de software. Após a conclusão da verificação, o contador de TTL é redefinido. Por exemplo, se o TTL for 24 horas, depois que um usuário inicia uma verificação de conformidade das atualizações de software o TTL é redefinido para 24 horas. |
Agendamento de reavaliação da implantação |
Verificação online não forçada |
No agendamento de reavaliação da implantação configurado, o cliente só se conecta ao WSUS em execução no ponto de atualização de software para recuperar os metadados das atualizações de software quando a última verificação está fora do TTL. |
Antes de baixar arquivos de atualização |
Verificação online não forçada |
Para que o cliente possa baixar os arquivos de atualização em implantações necessárias, ele só se conecta ao WSUS em execução no ponto de atualização de software para recuperar os metadados das atualizações de software quando a última verificação está fora do TTL. |
Antes da instalação da atualização de software |
Verificação online não forçada |
Para que o cliente instale as atualização de software em implantações necessárias, ele só se conecta ao WSUS em execução no ponto de atualização de software para recuperar os metadados das atualizações de software quando a última verificação está fora do TTL. |
Após a instalação da atualização de software |
Verificação offline forçada |
Depois que uma atualização de software é instalada, o Agente Cliente de Atualizações de Software inicia uma verificação usando os metadados locais. O cliente nunca se conecta ao WSUS em execução no ponto de atualização de software para recuperar metadados de atualizações de software. |
Após a reinicialização do sistema |
Verificação offline forçada |
Depois que uma atualização de software é instalada e o computador é reiniciado, o Agente Cliente de Atualizações de Software inicia uma verificação usando os metadados locais. O cliente nunca se conecta ao WSUS em execução no ponto de atualização de software para recuperar metadados de atualizações de software. |
Pacotes de implantação de atualização de software
Um pacote de implantação de atualização de software é o veículo usado para baixar atualizações de software para uma pasta de rede compartilhada, e copiar os arquivos de origem de atualização na biblioteca de conteúdo em servidores de site e nos pontos de distribuição definidos na implantação. Ao usar o Assistente de Atualizações de Downloads, você pode baixar atualizações de software e adicioná-las aos pacotes de implantação antes de implantá-la. Este assistente permite que você provisione atualizações de software nos pontos de distribuição e verifique se esta parte do processo de implantação foi bem-sucedida antes de implantar as atualizações de software nos clientes.
Quando você implanta atualizações de software baixadas usando o Assistente para Implantar Atualizações de Software, a implantação usa automaticamente o pacote de implantação que contém as atualizações de software. Quando atualizações de software que não foram baixadas são implantadas, você deve especificar um pacote de implantação novo ou existente no Assistente para Implantar Atualizações de Software e as atualizações de software são baixadas quando o assistente é concluído.
| Importante |
|---|
Você deve criar a pasta de rede compartilhada manualmente para os arquivos de origem do pacote de implantação antes de especificá-los no assistente. Cada pacote de implantação deve usar uma pasta de compartilhamento de rede diferente. |
.jpeg "System_CAPS_security") Segurança Observação |
|---|
A conta de computador do Provedor de SMS e o usuário administrativo que baixa as atualizações de software, ambos requerem permissões de Gravação na origem do pacote. Restrinja o acesso à origem do pacote para reduzir o risco de ataques aos arquivos de origem de atualizações de software na origem do pacote. |
Quando um novo pacote de implantação é criado, a versão do conteúdo é definida como 1 antes que qualquer atualização de software seja baixada. Quando os arquivos de atualização de software forem baixados com o uso do pacote, a versão do conteúdo é incrementada para 2. Portanto, todos os novos pacotes de implantação começam com uma versão de conteúdo de 2. Sempre que o conteúdo é alterado em um pacote de implantação, a versão do conteúdo é incrementada em 1. Para obter mais informações sobre o gerenciamento de conteúdo no Gerenciador de Configurações, veja Introdução ao gerenciamento de conteúdo no Configuration Manager.
Os clientes instalam atualizações de software em uma implantação usando qualquer ponto de distribuição que tem as atualizações de software disponíveis, independentemente do pacote de implantação. Mesmo que um pacote de implantação seja excluído para uma implantação ativa, os clientes ainda podem instalar as atualizações de software na implantação, desde que cada atualização seja baixada para pelo menos outro pacote de implantação e esteja disponível em um ponto de distribuição que possa ser acessado pelo cliente. Quando o último pacote de implantação que contém uma atualização de software é excluído, os computadores cliente não podem recuperar a atualização de software até que a atualização seja baixada novamente em um pacote de implantação. As atualizações de software aparecem com uma seta vermelha no console do Gerenciador de Configurações quando os arquivos de atualização não estão nos pacotes de implantação. As implantações serão exibidas com uma seta vermelha dupla se contiverem as atualizações nessa condição.
Fluxos de trabalho de implantação de atualização de software
Há dois cenários principais para implantar atualizações de software em seu ambiente, a implantação manual e a implantação automática. Em geral, você implanta atualizações de software manualmente para criar uma linha de base para seus computadores cliente; em seguida, você gerencia as atualizações de software nos clientes usando a implantação automática. As seções a seguir fornecem um resumo do fluxo de trabalho de implantação manual e automática das atualizações de software.
Implantação manual de atualizações de software
Uma implantação manual de atualizações de software é o processo de selecionar atualizações de software no console do Gerenciador de Configurações e iniciar manualmente o processo de implantação. Esse método de implantação é usado geralmente para ter os computadores cliente em dia com as atualizações de software necessárias antes de serem criadas regras de implantação automáticas que gerenciam as implantações de atualização de software mensalmente e continuamente e para implantar requisitos de atualização de software fora da banda. A lista seguinte fornece o fluxo de trabalho geral para implantação manual das atualizações de software:
Filtro para atualizações de software que usam requisitos específicos. Por exemplo, você pode fornecer critérios que recuperam toda a segurança ou atualizações críticas de software que são necessárias em mais de 50 computadores cliente.
Crie um grupo de atualização de software que contém as atualizações de software.
Baixe o conteúdo das atualizações de software no grupo de atualização de software.
Implante manualmente o grupo de atualização de software.
Implantação automática de atualizações de software
Implantação automática de atualizações de software é configurada usando regras de implantação automática. Esse método de implantação geralmente é usado para suas atualizações de software mensais (geralmente conhecidas como "Patch Tuesday") e para o gerenciamento de atualizações de definição. Quando a regra é executada, as atualizações são removidas do grupo de atualização de software (se estiver usar um arquivo de grupo) de software, as atualizações de software que atendem aos critérios especificados (por exemplo, todas as atualizações de software de segurança lançados na última semana) são adicionadas a um grupo de atualização de software, os arquivos de conteúdo das atualizações de software são baixados e copiados nos pontos de distribuição e as atualizações de software são implantadas em computadores clientes na coleção de destino. A lista seguinte fornece o fluxo de trabalho geral para implantação automática das atualizações de software:
Crie uma regra de implantação automática que especifica configurações de implantação, como as seguintes:
Coleção de destino
Decida se deseja habilitar a implantação ou relatório em conformidade de atualizações de software para os computadores cliente na coleção de destino
Critérios de atualizações de software
Agendamento de avaliação e implantação
Experiência do usuário
Propriedades do download
As atualizações de software são adicionadas a um grupo de atualização de software.
O grupo de atualização de software é implantado nos computadores cliente na coleção de destino, se especificada.
Você deve determinar qual estratégia de implantação usar no seu ambiente. Por exemplo, você pode criar a regra de implantação automática e o destino de uma coleção de clientes de teste. Depois de verificar se as atualizações de software estão instaladas no grupo de teste, você pode alterar a coleção na regra de implementação automática para uma coleção de destino que inclua um conjunto maior de clientes. Os objetos de atualização de software criados com as regras de implantação automática são interativos.
Atualizações de software implantadas usando uma regra de implementação automática são automaticamente implantadas nos novos clientes adicionados à coleção de destino.
Novas atualizações de software adicionadas a um grupo de atualização de software são automaticamente implantadas em clientes na coleção de destino.
Você pode habilitar ou desabilitar as implantações a qualquer momento para a regra de implantação automática.
Processo de implantação de atualização de software
Depois de implantar as atualizações de software ou quando uma regra de implementação automática executa e implanta atualizações de software, uma política de atribuição de implantação é adicionada à política do computador para o site. As atualizações de software são baixadas por meio do local de download, a Internet, ou de uma pasta de rede compartilhada, na origem do pacote. As atualizações de software são copiadas da origem do pacote para a biblioteca de conteúdo no servidor do site, e depois copiadas na biblioteca de conteúdo no ponto de distribuição.
Quando um computador cliente na coleção de destino da implantação recebe a política do computador, o Agente Cliente de Atualizações de Software começa uma verificação de avaliação. O agente cliente baixa o conteúdo das atualizações de software necessárias de um ponto de distribuição para o cache do cliente local logo depois de receber a implantação, mas aguarda a configuração do Tempo disponível do software da implantação para que as atualizações de software estejam disponíveis para serem instaladas. As atualizações de software em implantações opcionais (implantações que não têm um prazo de instalação) não são baixadas até que um usuário inicie manualmente a instalação.
Quando o prazo configurado passa, o Agente Cliente de Atualizações de Software realiza uma varredura para verificar se as atualizações de software ainda são necessárias. Em seguida, ele verifica o cache local no computador cliente para ver se os arquivos de origem da atualização ainda estão disponíveis. Por fim, o cliente instala as atualizações de software. Se o conteúdo tiver sido excluído do cache do cliente para liberar espaço para outra implantação, o cliente baixará as atualizações de software do ponto de distribuição no cache. As atualizações de software são sempre baixadas no cache do cliente independentemente do tamanho máximo do cache do cliente configurado. Quando a instalação é concluída, o agente cliente verifica se as atualizações de software não são mais necessárias e, em seguida, envia uma mensagem de estado para o ponto de gerenciamento para indicar que as atualizações estão instaladas no cliente.
Reinicialização necessária do sistema
Por padrão, quando as atualizações de software de uma implantação necessária são instaladas em um computador cliente e é necessário reiniciar o sistema para a instalação concluir, o sistema é reiniciado. Para atualizações de software instalados antes do prazo, a reinicialização automática do sistema é adiada até prazo, a menos que o computador seja reiniciado antes disso, por algum outro motivo. A reinicialização do sistema pode ser suprimida para servidores e estações de trabalho. Estas definições são configuradas na página Experiência do Usuário do assistente para Implantar Atualizações de Software ou Criar Assistente de Regra de Implantação Automática.
Ciclo de reavaliação de implantação
Por padrão, os computadores cliente iniciam um ciclo de reavaliação de implantação a cada 7 dias. Durante esse ciclo de avaliação, o computador cliente verifica atualizações de software que foram implantadas e instaladas anteriormente. Se faltarem atualizações de software, elas serão reinstaladas por meio do cache local. Se uma atualização de software não estiver mais disponível no cache local, será baixada de um ponto de distribuição e depois instalada. Você pode configurar o agendamento da reavaliação na página Atualizações de Software nas configurações do cliente para o site.
Suporte para dispositivos Windows Embedded que usam filtros de gravação
Para o System Center 2012 Configuration Manager SP1 e posterior:
Quando você implanta atualizações de software em dispositivos Windows Embedded habilitados com filtro de gravação, pode especificar se quer desabilitar o filtro de gravação no dispositivo durante a implantação e reiniciá-lo após a implantação. Se o filtro de gravação não for desabilitado, o software será implantado em uma sobreposição temporária e não será mais instalado quando o dispositivo for reiniciado, a menos que outras alterações de forças de implantação sejam persistidas.
| Observação |
|---|
Ao implantar uma atualização de software em um dispositivo Windows Embedded, verifique se o dispositivo é membro de uma coleção com uma janela de manutenção configurada. Isso permite que você gerencie se o filtro de gravação é desabilitado e habilitado na reinicialização do dispositivo. |
A configuração de experiência do usuário que controla o comportamento do filtro de gravação é uma caixa de seleção denominada Confirmar as alterações no prazo ou durante uma janela de manutenção (requer reinicializações).
Para obter mais informações sobre como o Gerenciador de Configurações gerencia dispositivos inseridos que usam filtros de gravação, consulte a seção Implantando o cliente do Configuration Manager em dispositivos Windows Embedded no tópico Introdução à implantação de cliente no Configuration Manager.
Estender as atualizações de software no Configuration Manager
Use System Center Updates Publisher 2011 para gerenciar atualizações de software que não estão disponíveis no Microsoft Update. Depois de publicar as atualizações de software no servidor de atualização e sincronizá-las no Gerenciador de Configurações, você pode implantar as atualizações de software nos clientes do Gerenciador de Configurações. Para obter mais informações sobre o Updates Publisher 2011, consulte Updates Publisher 2011.
Proteção de Acesso à Rede
O serviço NAP (Proteção de Acesso à Rede) do Gerenciador de Configurações interaje com o Gerenciador de Configurações e com o Proteção de Acesso à Rede do Windows para ajudar a proteger a rede.
Proteção de acesso à rede com atualizações de software
Quando o NAP está habilitado, os clientes do Gerenciador de Configurações podem avaliar se são compatíveis ou não com as atualizações de software selecionadas. Os clientes do Gerenciador de Configurações enviam essas informações em uma SoH (declaração de integridade). Ela é apresentada ao Validador da Integridade do Sistema do Gerenciador de Configurações que reside na função do sistema de sites do ponto do Validador da Integridade do Sistema.
O ponto do Validador da Integridade do Sistema é instalado em um computador que executa o Windows Server 2008 com a função de servidor de política de rede. Ele valida se o computador cliente é compatível ou não e passa o estado de integridade do computador para o Servidor de Política de Rede do Windows.
Impondo a conformidade com as atualizações de software no Servidor de Políticas de Rede
O Servidor de Políticas de Rede é configurado para usar políticas que determinam a ação para computadores que são conhecidos como compatíveis ou incompatíveis.
Se o estado de integridade de um cliente não puder ser determinado, isso será considerado uma condição de erro. Por padrão, todas as condições de erro são mapeadas para um estado não compatível. No entanto, elas são divididas em cinco categorias, e cada categoria pode ser configurada para mapear para compatível ou incompatível.
As ações que o Servidor de Políticas de Rede pode executar com base nos estados de integridade do computador incluem o seguinte:
Impedir que computadores acessem toda a rede
Fornecer acesso completo à rede, mas por um período limitado
Fornecer acesso completo à rede indefinidamente
Corrigir os computadores não compatíveis para colocá-los em conformidade com as políticas
Lembre-se de que o usuário administrativo do Gerenciador de Configurações não pode controlar a ação que será tomadaem razão do estado de integridade de um computador que ele passa para o Servidor de Políticas de Rede. No entanto, se o Servidor de Políticas de Rede estiver configurado para impor conformidade pela remediação, os serviços do Gerenciador de Configurações serão usados para entregar as atualizações de software que são necessárias para impor conformidade a clientes não compatíveis. Quando a conformidade é corrigida com sucesso, os clientes reavaliam sua declaração de integridade que é, então, alterada de não compatível para compatível e o estado de integridade é atualizado para compatível.
Configurando atualizações de software para proteção de acesso à rede
Você seleciona as atualizações de software que os clientes devem ter para serem compatíveis criando as políticas de NAP do Gerenciador de Configurações. Só é possível selecionar atualizações de software já baixadas na biblioteca de conteúdo no servidor do site. Ao contrário das implementações de atualização de software que são direcionadas a coleções de sua escolha, as políticas NAP do Gerenciador de Configurações são automaticamente direcionadas a todos os computadores atribuídos ao site. As políticas NAP do Gerenciador de Configurações fluem para baixo na hierarquia do Gerenciador de Configurações, semelhante ao comportamento das implantações de software e pacotes no Gerenciador de Configurações. Sites que herdam políticas NAP do Gerenciador de Configurações direcionam automaticamente essas políticas do Gerenciador de Configurações aos clientes atribuídos ao site.
| Importante |
|---|
Por causa desse direcionamento automático e herança em toda a hierarquia, você deve se lembrar que uma política NAP do Gerenciador de Configurações afeta potencialmente cada cliente na hierarquia. |
Novidades no Configuration Manager
| Observação |
|---|
As informações nesta seção também aparecem em no guia Introdução ao System Center 2012 Configuration Manager. |
Embora os conceitos gerais para a implantação de atualizações de software sejam os mesmos no System Center 2012 Configuration Manager como eram no Configuration Manager 2007, está disponível uma funcionalidade nova ou atualizada que melhora o processo de implantação do software de atualização. Isso inclui a aprovação automática e implantação de atualizações de software, pesquisa melhorada com critérios expandidos, melhorias no monitoramento de atualizações de software e maior controle do usuário no agendamento da instalação da atualização de software.
Os seguintes itens são novos ou foram alterados desde o Configuration Manager 2007:
Os grupos de atualização de software são novos no Gerenciador de Configurações e substituem as listas de atualização usadas no Configuration Manager 2007. Grupos de atualização de software organizam com mais eficiência as atualizações de software em seu ambiente. Você pode adicionar manualmente atualizações de software a um grupo de atualização ou adicioná-las automaticamente a um grupo de atualização de software novo ou existente usando uma regra de implantação automática. Além disso, você pode implantar um grupo de atualização de software manual ou automaticamente usando uma regra de implantação automática. Depois de implantar um grupo de atualização de software, você pode adicionar novas atualizações de software ao grupo e elas serão implantadas automaticamente.
Regras de implantação automática aprovam e implantam atualizações de software automaticamente. Você especifica os critérios de atualização de software (por exemplo, todas as atualizações de software do Windows 7 liberadas na última semana), as atualizações de software são adicionadas a um grupo de atualização de software, você define as configurações de monitoramento e implantação e decide se as atualizações de software devem ser implantadas no grupo de atualização de software. Você pode implantar as atualizações de software no grupo de atualização ou obter informações sobre a conformidade dos computadores cliente para as atualizações de software do grupo de atualização sem implantá-las.
Novos critérios de pesquisa estão disponíveis quando as atualizações de software são listadas no console do Gerenciador de Configurações. Você pode adicionar um conjunto de critérios que torna mais fácil encontrar as atualizações de software necessárias. Você pode salvar os critérios de pesquisa para uso futuro. Por exemplo, você pode definir critérios para todas as atualizações críticas de software para o Windows 7 e atualizações de software lançadas no ano passado. Depois de filtrar as atualizações necessárias, você pode selecionar as atualizações de software, analisar as informações de conformidade por atualização de software, criar um grupo de atualização que contenha as atualizações do software, implantar manualmente as atualizações, etc.
No console do Gerenciador de Configurações, acompanhe os seguintes objetos e processos de atualizações de software:
Visualizações de conformidade e a implantação de atualizações de software importantes
Mensagens de estado detalhadas de todas as implantações e ativos
Códigos de erro de atualizações de software com informações adicionais para ajudar a identificar problemas
Status de sincronização de atualizações de software
Alertas sobre problemas de atualizações de software importantes
Os relatórios de atualização de software também estão disponíveis para fornecer informações detalhadas de estado, grupos e implantações das atualizações de software.
As atualizações de software substituídas no Configuration Manager 2007 foram automaticamente expiradas durante o processo de sincronização completa de atualizações de software de um site. No System Center 2012 Configuration Manager, você pode decidir se as atualizações de software substituídas devem ser gerenciadas como no Configuration Manager 2007, ou pode configurar determinado período em que a atualização de software não seja automaticamente extinta depois de substituída. Durante esse tempo, você pode implantar atualizações de software substituídas.
O Gerenciador de Configurações oferece aos usuários mais controle sobre quando instalar atualizações de software em seu computador. O Centro de Software do Gerenciador de Configurações é um aplicativo instalado com o cliente Gerenciador de Configurações. Os usuários executam esse aplicativo no menu Iniciar para gerenciar o software que é distribuído a eles. Isso inclui atualizações de software. No Centro de Software, os usuários podem programar a instalação da atualização de software em um momento conveniente antes do prazo e instalar atualizações de software opcionais. Por exemplo, você pode configurar suas horas de trabalho e executar atualizações de software fora dessas horas para minimizar a perda de produtividade. Quando o prazo é alcançado para uma atualização de software, a instalação da atualização é iniciada.
A biblioteca de conteúdo do System Center 2012 Configuration Manager é o local que armazena todos os arquivos de conteúdo para atualizações de software, aplicações, implantação de sistema operacional e assim por diante. A biblioteca de conteúdo fornece um armazenamento de instância único para arquivos de conteúdo no servidor do site e nos pontos de distribuição, e fornece uma vantagem sobre a funcionalidade de gerenciamento de conteúdo no Configuration Manager 2007. Por exemplo, no Configuration Manager 2007, você pode distribuir arquivos do mesmo conteúdo várias vezes usando diferentes implantações e pacotes de implantação. Como resultado, os mesmos arquivos de conteúdo foram armazenados várias vezes no servidor do site e nos pontos de distribuição, acrescentando sobrecarga de processamento desnecessária e excesso de requisitos de espaço em disco.
Para obter mais informações sobre o gerenciamento de conteúdo, consulte a seção Biblioteca de conteúdo no tópico Introdução ao gerenciamento de conteúdo no Configuration Manager.
Não existe mais um nó Modelos de Implantação no console do Gerenciador de Configurações para gerenciar seus modelos. Modelos de implantação podem ser criados somente no Assistente de regras de implantação Automática ou no Assistente para Implantar Atualizações de Software. Modelos de implantação armazenam muitas propriedades que podem não mudar de implantação para implantação, e podem economizar muito tempo aos usuários administrativos na implantação de atualizações de software.
Modelos de implantação podem ser criados para diferentes cenários de implantação em seu ambiente. Por exemplo, você pode criar um modelo para implantações de atualização de software expressas e implantações planejadas. O modelo de implantação expressa pode suprimir notificações de exibição em computadores cliente, definir o prazo para zero (0) dias por meio do agendamento da implantação e permitir que o sistema seja reiniciado fora janelas de manutenção. O modelo para uma implantação planejada pode permitir notificações de exibição em computadores cliente e estabelecer o prazo de 14 dias a partir da agenda de implantação.
Quando um cliente baseado na Internet recebe uma implantação, ele primeiro tenta baixar os arquivos de software do Microsoft Update e não dos pontos de distribuição. Quando a conexão com a Microsoft não é bem-sucedida, os clientes retornam a um ponto de distribuição que hospeda os arquivos de atualização de software e está configurado para aceitar comunicações de clientes na Internet.
Embora ainda seja possível implantar atualizações de software no System Center 2012 Configuration Manager, não existe mais um objeto de implantação de atualização de software visível. O objeto de implantação agora está aninhado em um grupo de atualização de software.
Há um limite não configurável de 1.000 atualizações de software para implantação de atualização de software. Ao criar uma regra de implantação automática, verifique se o critério especificado não resultam em mais de 1.000 atualizações de software. Ao implantar atualizações de software manualmente, não selecione mais de 1.000 atualizações para implantar.
O nó Proteção de Acesso à Rede no console do Gerenciador de Configurações e o Assistente de novas políticas não estão mais disponíveis no System Center 2012 Configuration Manager. Para criar uma política NAP para atualizações de software, você deve selecionar Habilitar a avaliação NAP na guia Avaliação NAP nas propriedades de atualização do software.
Novidades no Configuration Manager SP1
| Observação |
|---|
As informações nesta seção também aparecem em no guia Introdução ao System Center 2012 Configuration Manager. |
Os seguintes itens são novos ou foram alterados para atualizações de software no Gerenciador de Configurações SP1:
Pontos de atualização de software recriados no Gerenciador de Configurações SP1. É possível instalar vários sistemas de site de ponto de atualização em um site. É possível configurar um ponto de atualização de software para a mesma floresta que o servidor do site ou para uma floresta diferente, seja para aceitar a comunicação de clientes na Internet, na intranet ou em ambas. Esse comportamento fornece um nível de tolerância a falhas sem a necessidade de um cluster de NLB (balanceamento de carga de rede). Não é possível instalar mais de um ponto de atualização de software em um site secundário. Para obter mais informações, veja a seção Determinar a infraestrutura do ponto de atualização de software no tópico Planejando atualizações de software no Configuration Manager.
ObservaçãoO conceito de ponto de atualização de software ativo está preterido no Gerenciador de Configurações SP1.
A opção para configurar um ponto de atualização de software como um NLB não está mais disponível no console do Gerenciador de Configurações. Antes de atualizar do Gerenciador de Configurações sem service pack para o Gerenciador de Configurações SP1, remova o NLB para o seu ponto de atualização de software ativo. Concluída a atualização, você tem a opção de configurar o NLB usando Set-CMSoftwareUpdatePoint PowerShell cmdlet. Para obter mais informações sobre um ponto de atualização de software configurado para usar um NLB, consulte a seção Ponto de atualização de software configurado para usar um NLB no tópico Planejando atualizações de software no Configuration Manager. Para obter mais informações sobre o cmdlet Set-CMSoftwareUpdatePoint do PowerShell, confira o tópico Set-CMSoftwareUpdatePoint na Referência de Cmdlet do System Center 2012 Configuration Manager SP1.
Agora, no site de nível superior do Gerenciador de Configurações, você pode especificar um servidor do WSUS existente como o local de origem de sincronização upstream. Durante a sincronização, o site se conecta a esse local para sincronizar as atualizações de software. Por exemplo, se você tiver um servidor do WSUS existente que não faz parte da hierarquia do Gerenciador de Configurações, é possível especificar o servidor do WSUS existente para sincronizar as atualizações de software.
Você pode selecionar entre dois modelos de implantação de atualização de softwares internos do Assistente de Regra de Implantação Automática. O modelo Atualizações de Definições fornece configurações comuns a serem usadas durante a implantação das atualizações de definição do software. O modelo Patch Tuesday fornece definições comuns a serem usadas ao implantar atualizações de software em um ciclo mensal.
Nas propriedades do ponto de atualização do software, é possível fornecer credenciais para o servidor do site usar para se conectar ao servidor do WSUS. É possível especificar essa conta para se conectar a um ponto de atualização de software em uma floresta diferente, por exemplo.
É possível executar uma regra de implantação automática até três vezes por dia para se alinhar com a frequência de publicação de atualizações de definição da Proteção de ponto de extremidade.
É possível selecionar várias atualizações de software a serem instaladas como um grupo por meio do Centro de Software.
É possível controlar o comportamento do filtro de gravação em dispositivos do Windows Embedded ao implantar atualizações de software usando a nova configuração de experiência do usuário Confirmar as alterações no prazo ou durante uma janela de manutenção (requer reinicializações). Para obter mais informações sobre como o Gerenciador de Configurações gerencia dispositivos inseridos que usam filtros de gravação, consulte a seção Implantando o cliente do Configuration Manager em dispositivos Windows Embedded no tópico Introdução à implantação de cliente no Configuration Manager.
A nova configuração do cliente Agente de Computador, Desabilitar data limite aleatória, possibilita desativar o atraso de aleatoriedade das atualizações de software e das implantações de aplicativo necessárias. Para obter mais informações, veja a seção Agente de Computador no tópico Sobre as configurações do cliente no Configuration Manager.
Novidades no System Center 2012 R2 Configuration Manager
| Observação |
|---|
As informações nesta seção também aparecem em no guia Introdução ao System Center 2012 Configuration Manager. |
Os itens a seguir são novos ou foram alterados para atualizações de software no System Center 2012 R2 Configuration Manager:
Nova janela de manutenção dedicada para a instalação das atualizações de software. Isso lhe permite configurar uma janela de manutenção geral e uma janela de manutenção diferente para atualizações de software. Quando a janela de manutenção geral e a janela de manutenção para atualizações de software estão configuradas, os clientes instalam as atualizações de software apenas durante a janela de manutenção para atualizações de software. Para obter mais informações sobre janelas de manutenção, consulte Como usar as janelas de manutenção no Configuration Manager.
Agora, você pode alterar o pacote de implantação para uma regra de implantação automática existente. Novas atualizações de software são adicionadas ao pacote de implantação especificado toda vez que uma regra de implantação automática é executada. Os pacotes de implantação podem se tornar muito grandes ao longo do tempo e podem impactar os cenários de replicação, em particular quando um novo ponto de distribuição é adicionado à hierarquia ou a um grupo de ponto de distribuição. Agora, você pode alterar o pacote de implantação periodicamente para prevenir que o tamanho do pacote de implantação fique muito grande. Para obter mais informações sobre regras de implantação automática, consulte a seção Implantação automática de atualizações de software neste tópico.
Agora, você pode visualizar as atualizações de software que atendem aos critérios de pesquisa e filtros de propriedade definidos em uma regra de implantação automática. A visualização das atualizações de software permite que você revise essas atualizações antes de criar a implantação. O botão Visualização está localizado na página Atualizações de Software do Assistente de Implantação Automática e na guia Atualizações de Software nas propriedades da regra de implantação automática.