Compartilhar via

Etapa 2: Configurar o WSUS

Após instalar a função de servidor do WSUS (Windows Server Update Services) no servidor, você precisa configurá-la corretamente. Além disso, você precisa configurar os computadores cliente para receber as respectivas atualizações do servidor do WSUS.

2.1. Configurar as conexões de rede

Para começar o processo de configuração, verifique se sabe as respostas às seguintes perguntas:

  • O firewall do servidor está configurado para permitir que clientes acessem o servidor?

  • Esse computador pode se conectar ao servidor upstream (o servidor designado para baixar atualizações do Microsoft Update)?

  • Você tem o nome do servidor proxy e as credenciais do usuário referentes ao servidor proxy, se precisar desses dados?

Depois, você pode começar a definir as seguintes configurações de rede do WSUS:

  • Atualizações: especifique a maneira como este servidor deve obter atualizações (do Microsoft Update ou de outro servidor do WSUS).

  • Proxy: se você identificar que o WSUS precisa usar um servidor proxy para ter acesso à Internet, defina as configurações de proxy no servidor do WSUS.

  • Firewall: se você identificar que o WSUS está por trás de um firewall corporativo, execute etapas extras no dispositivo de borda para permitir o tráfego do WSUS.

Importante

Se você tiver apenas um servidor WSUS, ele deverá ter acesso à Internet, pois ele precisa baixar atualizações da Microsoft. Se você tiver vários servidores do WSUS, somente um deles precisará de acesso à Internet. Os outros precisarão apenas de acesso de rede ao servidor do WSUS conectado à Internet. Seus computadores cliente não precisam de acesso à Internet. Eles só precisam de acesso à rede para um servidor WSUS.

Dica

Se sua rede estiver isolada, ou seja, não tiver acesso algum à Internet, você ainda poderá usar o WSUS para fornecer atualizações aos computadores cliente na rede. Essa abordagem requer usar dois servidores do WSUS. Um servidor do WSUS com acesso à Internet coleta as atualizações da Microsoft. O segundo servidor WSUS fornece atualizações para os computadores cliente na rede protegida. As atualizações são exportadas do primeiro servidor para mídia removível, transportadas pela lacuna de ar e importadas para o segundo servidor. Essa configuração é avançada e está além do escopo deste artigo.

2.1.1. Configurar o firewall para permitir que o primeiro servidor do WSUS se conecte aos domínios da Microsoft na Internet

Se um firewall corporativo estiver entre o WSUS e a Internet, convém configurar esse firewall para garantir que o WSUS possa obter atualizações. Para obter atualizações do Microsoft Update, o servidor do WSUS usa as portas 80 e 443 para os protocolos HTTP e HTTPS. Embora a maioria dos firewalls corporativos permita esse tipo de tráfego, algumas empresas restringem o acesso à Internet proveniente dos servidores devido a políticas de segurança. Se sua empresa restringir o acesso, você precisará configurar o firewall para permitir que o servidor do WSUS acesse domínios da Microsoft.

O primeiro servidor WSUS deverá ter acesso de saída às portas 80 e 443 nos seguintes domínios:

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • https://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://wustat.windows.com

  • http://ntservicepack.microsoft.com

  • http://go.microsoft.com

  • http://dl.delivery.mp.microsoft.com

  • https://dl.delivery.mp.microsoft.com

  • http://*.delivery.mp.microsoft.com

  • https://*.delivery.mp.microsoft.com

Se você estiver gerenciando atualizações do Microsoft 365, que exige o Microsoft Configuration Manager, consulte Gerenciar atualizações para o Microsoft 365 Apps com o Microsoft Configuration Manager para obter mais informações sobre os domínios que você precisa permitir.

Importante

É preciso configurar seu firewall para permitir que o primeiro servidor WSUS acesse todas as URLs dentro desses domínios. Os endereços IP associados a esses domínios estão em constante mudança, sendo assim, não tente usar intervalos de endereços IP como alternativa.

2.1.2. Configurar o firewall para permitir que outros servidores do WSUS se conectem ao primeiro servidor

Se você tiver vários servidores WSUS, deverá configurar os outros servidores do WSUS para acessar o primeiro servidor (superior). Os outros servidores do WSUS recebem todas as informações de atualização do servidor mais alto. Essa configuração permite gerenciar toda a rede usando o Console de Administração do WSUS no servidor superior.

Os outros servidores do WSUS deverão ter acesso de saída ao servidor superior por meio de duas portas. Por padrão, essas portas são 8530 e 8531. Você pode alterar essas portas, conforme descrito em Configurar o servidor Web IIS do servidor WSUS para usar o TLS para algumas conexões posteriormente neste artigo.

Observação

Caso a conexão de rede entre os servidores do WSUS seja lenta ou onerosa, você poderá configurar um ou mais dos outros servidores do WSUS para receber conteúdos de atualização diretamente da Microsoft. Nesse caso, apenas uma pequena quantidade de dados é enviada desses servidores WSUS para o servidor mais alto. Para que essa configuração funcione, os outros servidores do WSUS deverão ter acesso aos mesmos domínios da Internet que o servidor superior.

Observação

Caso tenha uma organização grande, é possível usar cadeias de servidores WSUS conectados, em vez de conectar todos os outros servidores WSUS diretamente ao servidor superior. Por exemplo, é possível ter um segundo servidor do WSUS que se conecta ao servidor superior e conectar outros servidores do WSUS ao segundo servidor do WSUS.

2.1.3. Configurar servidores WSUS para usar um servidor proxy, se necessário

Se a rede corporativa usar servidores proxy, os servidores proxy deverão dar suporte aos protocolos HTTP e HTTPS. Eles também devem usar autenticação básica ou autenticação do Windows. Esses requisitos podem ser atendidos usando uma das seguintes configurações:

  • Um servidor proxy único que dá suporte a dois canais de protocolo. Nesse caso, defina um canal para usar HTTP e o outro canal para usar HTTPS.

    Observação

    Você pode configurar um servidor proxy que lida com ambos os protocolos do WSUS durante a instalação do software para servidores do WSUS.

  • Dois servidores proxy, cada um deles dá suporte a um único protocolo. Nesse caso, configure um servidor proxy para usar HTTP e o outro servidor proxy para usar HTTPS.

Para configurar o WSUS para usar dois servidores proxy

  1. Entre no computador que você planeja usar como servidor do WSUS usando uma conta que seja membro do grupo Administradores Locais.

  2. Instale a função de servidor do WSUS Quando você usa o Assistente de Configuração do WSUS, conforme explicado em Configurar o WSUS usando o Assistente de Configuração do WSUS, não especifique um servidor proxy.

  3. Abra o Prompt de Comando (Cmd.exe) como administrador:

    1. No menu Iniciar, procure por Prompt de Comando.
    2. Clique com o botão direito do mouse no Prompt de Comando e selecione Executar como administrador.
    3. Se a caixa de diálogo Controle de Conta de Usuário for exibida, insira as credenciais apropriadas (se solicitado), confirme se a ação exibida é o que você deseja e selecione Continuar.

  4. No Prompt de Comando, vá para a pasta C:\Arquivos de Programas\Serviços de Atualização\Ferramentas . Insira o seguinte comando:

    wsusutil ConfigureSSLproxy [<proxy-server proxy-port>] -enable

    Nesse comando:

    • proxy_server é o nome do servidor proxy que dá suporte ao HTTPS.

    • proxy_port é o número da porta do servidor proxy.

  5. Feche o prompt de comando.

Para adicionar um servidor proxy à configuração do WSUS

  1. Abra o Console de Administração do WSUS.

  2. Em Atualizar Serviços, expanda o nome do servidor e selecione Opções.

  3. No painel Opções , selecione Atualizar Origem e Servidor Proxy e, em seguida, vá para a guia Servidor Proxy .

  4. Selecione Usar um servidor proxy ao sincronizar e, em seguida, insira o nome e o número da porta do servidor proxy nas caixas correspondentes. O número da porta padrão é 80.

  5. Se o servidor proxy exigir que você use uma conta de usuário específica, selecione Usar credenciais de usuário para se conectar ao servidor proxy. Insira o nome de usuário, o domínio e a senha necessários nas caixas correspondentes.

  6. Se o servidor proxy der suporte à autenticação básica, selecione Permitir autenticação básica (a senha é enviada em texto não criptografado).

  7. Selecione OK.

Para remover um servidor proxy da configuração do WSUS

  1. No Console de Administração do WSUS, em Atualizar Serviços, expanda o nome do servidor e selecione Opções.

  2. No painel Opções , selecione Atualizar Origem e Servidor Proxy e, em seguida, vá para a guia Servidor Proxy .

  3. Desmarque a caixa de seleção Utilizar um servidor proxy ao sincronizar.

  4. Selecione OK.

2.1.4 Configurar seu firewall para permitir que os computadores cliente acessem um servidor WSUS

Todos os computadores cliente precisam se conectar a um dos servidores do WSUS. Cada computador cliente deve ter acesso de saída a duas portas no servidor WSUS. Por padrão, essas portas são 8530 e 8531.

2.2. Configurar o WSUS usando o Assistente de Configuração do WSUS

Os procedimentos nas seções a seguir usam o Assistente de Configuração do WSUS para definir as configurações do WSUS. O Assistente de Configuração do WSUS é exibido na primeira vez que você inicia o Console de Gerenciamento do WSUS. Você também pode usar o painel Opções no Console de Administração do WSUS para definir as configurações do WSUS. Para obter mais informações sobre como usar o painel Opções , consulte os seguintes procedimentos em outras seções deste artigo:

Iniciar o assistente e definir as configurações iniciais

  1. No painel do Gerenciador do Servidor, selecione Ferramentas>do Windows Server Update Services.

    Observação

    Se a caixa de diálogo Concluir Instalação do WSUS for exibida, selecione Executar. Na caixa de diálogo Concluir Instalação do WSUS , selecione Fechar quando a instalação for concluída com êxito.

    O Assistente de Configuração do WSUS é aberto.

  2. Na página Antes de Começar, examine a informação e selecione Avançar.

  3. Na página Ingressar no Programa de Aperfeiçoamento do Microsoft Update , leia as instruções. Mantenha a seleção padrão se quiser participar do programa ou desmarque a caixa de seleção se não quiser. Em seguida, selecione Avançar.

Definir configurações de servidor upstream e proxy

  1. Na página Escolher Servidor Upstream , selecione uma das seguintes opções:

    • Sincronizar do Microsoft Update

    • Sincronizar de outro servidor do Windows Server Update Services

    Se você optar por sincronizar de outro servidor do WSUS, execute as seguintes etapas:

    1. Especifique o nome do servidor e a porta na qual esse servidor deve se comunicar com o servidor upstream.

    2. Para usar o TLS, selecione Usar SSL ao sincronizar informações de atualização. Os servidores usam a porta 443 para sincronização. (Verifique se esse servidor e o servidor upstream dão suporte ao TLS.)

    3. Se esse servidor for um servidor de réplica, selecione Esta é uma réplica do servidor upstream.

  2. Depois de selecionar as opções para a implantação, selecione Avançar.

  3. Se o WSUS precisar de um servidor proxy para acessar a Internet, defina as seguintes configurações de proxy. Caso contrário, pule essa etapa.

    1. Na página Especificar Servidor Proxy , selecione Usar um servidor proxy ao sincronizar. Em seguida, insira o nome do servidor proxy e o número da porta (porta 80 por padrão) nas caixas correspondentes.

    2. Se você quiser se conectar ao servidor proxy usando credenciais de usuário específicas, selecione Usar credenciais de usuário para se conectar ao servidor proxy. Em seguida, insira o nome de usuário, o domínio e a senha do usuário nas caixas correspondentes.

      Se você quiser habilitar a autenticação básica para o usuário que está se conectando ao servidor proxy, selecione Permitir autenticação básica (a senha é enviada em cleartext).

  4. Selecione Avançar.

  5. Na página Conectar ao Servidor Upstream , selecione Iniciar Conexão.

  6. Quando o WSUS se conectar ao servidor, selecione Avançar.

Selecionar idiomas, produtos e classificações

  1. Na página Escolher Idiomas , você pode selecionar os idiomas dos quais o WSUS recebe atualizações: todos os idiomas ou um subconjunto de idiomas. Selecionar um subconjunto de idiomas economiza espaço em disco, mas é importante selecionar todos os idiomas necessários para todos os clientes desse servidor do WSUS.

    Se você optar por obter atualizações somente para idiomas específicos, selecione Baixar atualizações somente nestes idiomas e selecione os idiomas para os quais deseja as atualizações. Caso contrário, deixe a seleção padrão.

    Aviso

    Se você selecionar a opção Baixar atualizações apenas nestes idiomas e esse servidor tiver um servidor WSUS downstream conectado a ele, essa opção forçará o servidor downstream a usar apenas os idiomas selecionados.

  2. Selecione Avançar.

  3. Na página Escolher Produtos , especifique os produtos para os quais você deseja obter atualizações. Selecione categorias de produtos, como Windows ou produtos específicos, como o Windows Server 2019. A seleção de uma categoria de produtos abrange todos os produtos dessa categoria.

  4. Selecione Avançar.

  5. Na página Escolher Classificações, selecione as classificações de atualização que deseja obter. Selecione todas as classificações ou um subconjunto delas e selecione Avançar.

Configurar o agendamento de sincronização

  1. Na página Definir Agendamento de Sincronização , selecione se deseja executar a sincronização manual ou automaticamente.

    • Se você selecionar Sincronizar manualmente, inicie o processo de sincronização pelo Console de Administração do WSUS.

    • Se você selecionar Sincronizar automaticamente, o servidor do WSUS será sincronizado em intervalos definidos.

      Para a primeira sincronização, defina a hora e especifique o número de sincronizações por dia que você deseja que esse servidor execute. Por exemplo, se você especificar quatro sincronizações por dia, começando às 3h, as sincronizações ocorrerão às 3h, 9h, 15h e 21h.

  2. Selecione Avançar.

Concluir o assistente

  1. Na página Concluído , se você quiser iniciar a sincronização imediatamente, selecione Iniciar sincronização inicial. Se não selecionar essa opção, você precisará usar o Console de Gerenciamento do WSUS para executar a sincronização inicial.

  2. Se você quiser ler mais sobre outras configurações, selecione Avançar. Caso contrário, selecione Concluir para concluir o assistente e finalizar a configuração inicial do WSUS.

Após você selecionar Concluir, o Console de Administração do WSUS será exibido. Use este console para gerenciar sua rede do WSUS, conforme descrito em seções posteriores neste artigo.

2.3. Proteger o WSUS com o protocolo TLS

Você deve usar o protocolo TLS para ajudar a proteger sua rede WSUS. O WSUS pode usar o TLS para autenticar conexões e criptografar e proteger informações de atualização.

Aviso

Proteger o WSUS usando o protocolo TLS é importante para a segurança da rede. Se o servidor do WSUS não usar corretamente o TLS para proteger suas conexões, um invasor poderá modificar informações de atualização cruciais quando for enviado de um servidor WSUS para outro ou do servidor do WSUS para os computadores cliente. Nessa situação, o invasor pode instalar software mal-intencionado em computadores cliente.

Importante

Clientes e servidores downstream configurados para usar TLS ou HTTPS também devem ser configurados para usar um FQDN (nome de domínio totalmente qualificado) para o servidor do WSUS upstream.

2.3.1. Habilitar TLS/HTTPS no serviço IIS do servidor WSUS para usar TLS/HTTPS

Para iniciar o processo de uso do TLS/HTTPS, você deve habilitar o suporte do TLS no serviço IIS (Serviços de Informações da Internet) do servidor WSUS. Esse esforço envolve a criação de um certificado SSL (TLS/Secure Sockets Layer) para o servidor.

As etapas necessárias para obter um certificado TLS/SSL para o servidor estão além do escopo deste artigo e dependem da configuração de rede. Para obter mais informações e instruções sobre como instalar certificados e configurar esse ambiente, consulte a documentação dos Serviços de Certificados do Active Directory.

2.3.2. Configurar o servidor Web IIS do servidor WSUS para usar o TLS para algumas conexões

O WSUS requer duas portas para estabelecer conexões com outros servidores WSUS e computadores cliente. Uma porta usa TLS/HTTPS para enviar metadados de atualização (informações cruciais sobre as atualizações). Por padrão, a porta 8531 é usada para essa finalidade. Uma segunda porta usa o HTTP para enviar conteúdos de atualização. Por padrão, a porta 8530 é usada para essa finalidade.

Importante

Você não pode configurar todo o site do WSUS para exigir TLS. O WSUS foi projetado somente para criptografar metadados de atualização. O Windows Update distribui as atualizações da mesma maneira.

Para evitar que um invasor adultere os conteúdos de atualização, eles são assinados usando um conjunto específico de certificados de assinatura confiáveis. Além disso, um hash criptográfico é computado para cada conteúdo de atualização. O hash é enviado ao computador cliente por meio de uma conexão de metadados HTTPS segura, em conjunto com os outros metadados da atualização. Após baixar uma atualização, o software cliente verifica a assinatura digital e o hash do conteúdo. Se a atualização tiver sido alterada, ela não será instalada.

Você deve exigir TLS apenas para as seguintes raízes virtuais do IIS:

  • SimpleAuthWebService

  • DSSAuthWebService

  • ServerSyncWebService

  • APIremoting30

  • ClientWebService

Você não deve exigir TLS para as seguintes raízes virtuais:

  • Conteúdo

  • Inventário

  • ReportingWebService

  • AutoAtualização

O certificado de AC (autoridade de certificação) deverá ser importado para o repositório de AC Raiz Confiável de cada servidor do WSUS para o computador local ou para o repositório de AC Raiz Confiável dos WSUS, se ele existir.

Para obter mais informações sobre como usar certificados TLS/SSL no IIS, consulte Como configurar o SSL no IIS 7 ou posterior.

Importante

Você deve usar o repositório de certificados do computador local. Você não pode usar um repositório de certificados do usuário.

Em geral, seria necessário configurar o IIS para usar a porta 8531 para conexões HTTPS e a porta 8530 para conexões HTTP. Se você alterar essas portas, precisará usar dois números de porta adjacentes. O número da porta usado para conexões HTTP deve ser exatamente 1 menos que o número da porta usado para conexões HTTPS.

Você deve reinicializar o ClientServicingProxy proxy do cliente se o nome do servidor, a configuração do TLS ou o número da porta forem alterados.

2.3.3. Configurar o WSUS para usar o certificado de autenticação TLS/SSL para suas conexões de cliente

  1. Entre no servidor do WSUS usando uma conta que seja membro do grupo administradores do WSUS ou do grupo Administradores Locais.

  2. No menu Iniciar , insira CMD, clique com o botão direito do mouse no Prompt de Comando e selecione Executar como administrador.

  3. Vá para a pasta C:\Arquivos de Programas\Serviços de Atualização\Ferramentas .

  4. No Prompt de Comando, insira o seguinte comando:

    wsusutil configuressl <certificate-name>

    Nesse comando, o nome do certificado é o nome DNS (Sistema de Nomes de Domínio) do servidor WSUS.

2.3.4 Proteger a conexão do SQL Server, se necessário

Se você usar o WSUS com um banco de dados remoto do SQL Server, a conexão entre o servidor do WSUS e o servidor de banco de dados não será protegida por meio do TLS. Essa situação cria um potencial vetor de ataque. Considere usar as seguintes recomendações para ajudar a proteger essa conexão:

  • Mova o banco de dados do WSUS para o servidor do WSUS.

  • Mova o servidor de banco de dados remoto e o servidor do WSUS para uma rede privada.

  • Implante o IPsec (Segurança de Protocolo IP) para ajudar a proteger o tráfego de rede. Para obter mais informações sobre IPsec, confira Criando e usando políticas IPSec.

2.3.5 Criar um certificado de assinatura de código para publicação local, se necessário

Além de distribuir atualizações que a Microsoft fornece, o WSUS dá suporte à publicação local. Você pode usar a publicação local para criar e distribuir atualizações que você mesmo projeta, com conteúdos e comportamentos definidos por você.

Habilitar e configurar a publicação local está fora do escopo deste documento. Para obter todos os detalhes, confira Publicação local.

Importante

A publicação local é um processo complicado e muitas vezes não é necessária. Antes de decidir habilitar a publicação local, você deve examinar cuidadosamente a documentação e considerar se deseja usar essa funcionalidade e como usá-la.

2.4. Configurar grupos de computadores do WSUS

Os grupos de computadores são uma parte importante de como usar o WSUS de modo eficaz. Você pode usar grupos de computadores para testar e direcionar atualizações para computadores específicos. Há dois grupos de computadores padrão: Todos os Computadores e Computadores Não Atribuídos. Por padrão, quando cada computador cliente contata pela primeira vez o servidor do WSUS, o servidor adiciona esse computador cliente a ambos os grupos.

Você pode criar quantos grupos de computadores personalizados precisar para gerenciar atualizações em sua organização. Como prática recomendada, crie pelo menos um grupo de computadores para testar as atualizações antes de implantá-las em outros computadores de sua organização.

2.4.1 Escolher uma abordagem para atribuir computadores cliente a grupos de computadores

Há duas abordagens para atribuir computadores cliente a grupos de computadores. A abordagem certa para sua organização depende de como você normalmente gerencia seus computadores cliente.

  • Direcionamento do lado do servidor: essa abordagem é a padrão. Nessa abordagem, você atribui computadores cliente a grupos de computadores usando o Console de Administração do WSUS.

    Essa abordagem fornece flexibilidade para você migrar de modo rápido os computadores cliente de um grupo para outro conforme as circunstâncias mudam. Porém, como resultado, você deve mover manualmente novos computadores cliente do grupo Computadores Não Atribuídos para o grupo de computadores apropriado.

  • Direcionamento do cliente: nesta abordagem, você atribui cada computador cliente a grupos de computadores usando as configurações de política definidas no computador cliente.

    Essa abordagem facilita a atribuição de novos computadores cliente aos grupos apropriados. Você faz isso como parte da configuração do computador cliente para receber atualizações do servidor do WSUS. Mas, como resultado, você não pode atribuir computadores cliente a grupos de computadores ou movê-los de um grupo de computadores para outro, por meio do Console de Administração do WSUS. Em vez disso, você deve modificar as políticas dos computadores cliente.

2.4.2 Habilitar o direcionamento do cliente, se adequado

Importante

Ignore as etapas nesta seção se você planeja usar o direcionamento do lado do servidor.

  1. No Console de Administração do WSUS, em Atualizar Serviços, expanda o servidor do WSUS e selecione Opções.

  2. No painel Opções , selecione Computadores. Vá para a guia Geral e, em seguida, selecione Usar Política de Grupo ou configurações do Registro em computadores.

2.4.3 Criar grupos de computadores desejados

Observação

Você precisa criar grupos de computadores usando o Console de Administração do WSUS, quer você use o direcionamento do servidor ou do cliente para adicionar computadores cliente aos grupos de computadores.

  1. No Console de Administração do WSUS, em Update Services, expanda o servidor do WSUS, expanda Computadores, clique com o botão direito do mouse em Todos os computadores e selecione Adicionar Grupo de Computadores.

  2. Na caixa de diálogo Adicionar Grupo de Computadores, em Nome, especifique o nome do novo grupo. Em seguida, selecioneAdicionar.

2.5. Configurar computadores cliente para estabelecer conexões TLS com o servidor WSUS

Supondo que você configure o servidor WSUS para ajudar a proteger as conexões dos computadores cliente usando o TLS, você deve configurar os computadores cliente para confiar nessas conexões TLS.

O certificado TLS/SSL do servidor do WSUS deverá ser importado para o repositório de AC Raiz Confiável dos computadores cliente ou o repositório de AC Raiz Confiável do Serviço de Atualização Automática dos computadores cliente, se ele existir.

Importante

Você deve usar o repositório de certificados do computador local. Você não pode usar um repositório de certificados do usuário.

Os computadores cliente devem confiar no certificado que você associar ao servidor do WSUS. Dependendo do tipo de certificado usado, você precisará configurar um serviço para habilitar os computadores cliente a confiarem no certificado vinculado ao servidor do WSUS.

Se você estiver usando uma publicação local, também precisará configurar os computadores cliente para confiar no certificado de assinatura de código do servidor WSUS. Para obter instruções, confira Publicação local.

2.6. Configurar computadores cliente para receber atualizações do servidor WSUS

Por padrão, os computadores cliente recebem atualizações do Windows Update. Como alternativa, eles deverão ser configurados para receber atualizações do servidor WSUS.

Importante

Este artigo apresenta um conjunto de etapas usadas para configurar computadores cliente usando a Política de Grupo. Essas etapas são apropriadas em várias situações. No entanto, há várias outras opções disponíveis para configurar o comportamento de atualização em computadores cliente, incluindo usar o gerenciamento de dispositivo móvel. Para obter documentação sobre essas opções, consulte Gerenciar configurações adicionais do Windows Update.

2.6.1 Escolher o conjunto de políticas adequado para editar

Se o Active Directory estiver configurado em sua rede, você poderá configurar um ou vários computadores simultaneamente, incluindo-os em um GPO (Objeto de Política de Grupo) e configurando esse GPO com configurações do WSUS.

É recomendável criar um novo GPO que contenha somente as definições do WSUS. Vincule esse GPO do WSUS a um contêiner do Active Directory que seja apropriado para seu ambiente.

Em um ambiente simples, você pode vincular um único GPO do WSUS ao domínio. Em um ambiente mais complexo, você pode vincular vários GPOs do WSUS a várias UOs (unidades organizacionais). Ao vincular GPOs a UOs, você pode aplicar configurações de política do WSUS a diferentes tipos de computadores.

Se você não usar o Active Directory em sua rede, precisará configurar cada computador usando o Editor de Política de Grupo Local.

2.6.2 Editar políticas para configurar computadores cliente

Execute as etapas nas seções a seguir para definir os computadores cliente usando as configurações de política.

Observação

Estas instruções pressupõem que você esteja usando as versões mais recentes das ferramentas de edição de política. Em versões anteriores das ferramentas, as políticas poderão estar organizadas de modo diferente.

Abra o editor de políticas e vá para o item do Windows Update

  1. Abra o objeto de política adequado:

    • Se você estiver usando o Active Directory, abra o Console de Gerenciamento de Política de Grupo, acesse o GPO no qual deseja configurar o WSUS e selecione Editar. Em seguida, expanda a Configuração do Computador e expanda Políticas.
    • Caso não esteja usando o Active Directory, abra o Editor de Política de Grupo Local. A política do computador local é exibida. Expanda Configuração do Computador.

  2. No objeto que você expandiu na etapa anterior, expanda os componentes do Windows de Modelos Administrativos>do>Windows Update. Se o sistema operacional for Windows 10 ou Windows 11, selecione também Gerenciar experiência do usuário final.

Editar a configuração de atualizações automáticas

  1. No painel de detalhes, clique duas vezes em Configurar Atualizações Automáticas. A política Configurar Atualizações Automáticas é aberta.

  2. Selecione Habilitado e selecione a opção desejada na configuração Configurar atualização automática para gerenciar como o recurso de atualizações automáticas deve baixar e instalar atualizações aprovadas.

    Recomendamos usar a configuração Download automático e agendar instalação. Ele garante que as atualizações aprovadas no WSUS sejam baixadas e instaladas em tempo hábil, sem a necessidade de intervenção do usuário.

  3. Se desejar, edite outras partes da política. Para obter mais informações, consulte Gerenciar configurações adicionais do Windows Update.

    Observação

    A configuração Instalar atualizações de outros produtos Microsoft não tem efeito nos computadores cliente que recebem atualizações do WSUS. Os computadores cliente recebem todas as atualizações aprovadas para eles no servidor WSUS.

  4. Selecione OK para fechar a política Configurar Atualizações Automáticas.

Editar a configuração para especificar um servidor intranet para hospedar atualizações

  1. No painel de detalhes, clique duas vezes em Especificar o local do serviço de atualização da Intranet da Microsoft. Se o sistema operacional for Windows 10 ou Windows 11, primeiro volte para o nó de Windows Update da árvore e então selecione a opção Gerenciar atualizações oferecidas no Serviço de Atualização do Windows Server.

    A política Especificar o local do serviço do Microsoft Update na intranet abrirá.

  2. Selecione Habilitado e, em seguida, insira a URL do servidor WSUS nas caixas Defina o serviço de atualização da intranet para detectar atualizações e Defina o servidor de estatísticas da intranet.

    Aviso

    Lembre-se de incluir a porta adequada na URL. Supondo que você configure o servidor para usar o TLS conforme recomendado, especifique a porta configurada para HTTPS. Por exemplo, se você optar por usar a porta 8531 para HTTPS, e o nome de domínio do servidor for o wsus.contoso.com, insira https://wsus.contoso.com:8531 em ambas as caixas.

  3. Selecione OK para fechar a política Especificar o local do serviço do Microsoft Update na intranet.

Configurar o direcionamento do cliente, se adequado

Se você optar por usar o direcionamento do lado do cliente, execute as etapas nesta seção para especificar o grupo de computadores apropriado para os computadores cliente que você está configurando.

Observação

Essas etapas pressupõem que você acabou de concluir as etapas para editar políticas para configurar os computadores cliente.

  1. No editor de políticas, vá para o item do Windows Update . Se o sistema operacional for Windows 10 ou Windows 11, também selecione Gerenciar atualizações oferecidas pelo Serviço de Atualização do Windows Server.

  2. No painel de detalhes, clique duas vezes em Habilitar direcionamento do lado do cliente. A política Habilitar direcionamento do cliente abrirá.

  3. Selecione Habilitado. Em Nome do grupo de destino para este computador, insira o nome do grupo de computadores WSUS ao qual você deseja adicionar os computadores cliente.

    Caso esteja executando uma versão atual do WSUS, você pode adicionar computadores cliente a vários grupos de computadores inserindo os nomes dos grupos separados por ponto e vírgula. Por exemplo, você pode inserir Contabilidade; Executivo para adicionar computadores cliente ao grupo de computadores Contabilidade e Executivo.

  4. Selecione OK para fechar a política Habilitar direcionamento no lado do cliente.

2.6.3 Permitir que o computador cliente se conecte ao servidor WSUS

Os computadores cliente não aparecem no Console de Administração do WSUS até se conectarem ao servidor do WSUS pela primeira vez.

  1. Aguarde até que as alterações de política entrem em vigor no computador cliente.

    Se você usar um GPO baseado no Active Directory para configurar os computadores cliente, levará algum tempo para que o mecanismo de Atualização de Política de Grupo forneça as alterações em um computador cliente. Se você quiser acelerar esse processo, abra o Prompt de Comando com privilégios elevados e, em seguida, insira o comando gpupdate /force.

    Se você usar o Editor de Política de Grupo Local para configurar um computador cliente individual, as alterações entrarão em vigor imediatamente.

  2. Reinicie o computador cliente. Essa etapa garante que o software do Windows Update detecte as alterações de política no computador.

  3. Permita que o computador cliente execute um exame em busca de atualizações. Normalmente, esse exame leva algum tempo.

    Você pode acelerar o processo usando uma destas opções:

    • No Windows 10 ou 11, use a página Configurações do aplicativo Windows Update para verificar manualmente se há atualizações.
    • Em versões do Windows anteriores ao Windows 10, use o ícone Windows Update no Painel de Controle para verificar manualmente se há atualizações.
    • Em versões do Windows antes do Windows 10, abra o Prompt de Comando com privilégios elevados e insira o comando wuauclt /detectnow.

2.6.4 Verificar uma conexão com êxito do computador cliente com o servidor WSUS

Se você executar todas as etapas anteriores com êxito, verá os seguintes resultados:

  • O computador cliente faz um exame em busca de atualizações com êxito. (Ele pode ou não encontrar atualizações aplicáveis para baixar e instalar.)

  • Em cerca de 20 minutos, o computador cliente aparecerá na lista de computadores exibida no Console de Administração do WSUS com base no tipo de direcionamento:

    • Se você estiver usando o direcionamento do servidor, o computador cliente será exibido nos grupos de computadores Todos os Computadores e Computadores Não Atribuídos.

    • Se você estiver usando o direcionamento do lado do cliente, o computador cliente aparecerá no grupo de computadores Todos os Computadores e no grupo de computadores selecionado durante a configuração do computador cliente.

2.6.5 Configurar o direcionamento do servidor do computador cliente, se adequado

Se você estiver usando o direcionamento do lado do servidor, agora deverá adicionar o novo computador cliente aos grupos de computadores adequados.

  1. Localize o novo computador cliente no Console de Administração do WSUS. Ele será exibido nos grupos de computadores Todos os Computadores e Computadores Não Atribuídos da lista de computadores do servidor do WSUS.

  2. Clique com o botão direito do mouse no computador cliente e selecione Alterar associação.

  3. Na caixa de diálogo, selecione os grupos de computadores adequados e selecione OK.

Próxima etapa

Etapa 3: aprovar e implantar atualizações