Compartilhar via

WSUS e o Catálogo do Microsoft Update

Aplica-se a: Windows Server 2025, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

O Catálogo do Microsoft Update é um serviço que fornece uma listagem de atualizações que podem ser distribuídas por uma rede corporativa. Você pode usar o catálogo para encontrar informações sobre atualizações de software da Microsoft, drivers e hotfixes. WSUS currently includes an option to Import Updates from the Microsoft Update Catalog. However, the Import Updates action in WSUS was built using ActiveX, which is now deprecated. Esta funcionalidade de importação no WSUS foi substituída por um script do PowerShell. O script permite importar uma única atualização ou várias atualizações para o WSUS. Este artigo fornece informações sobre o catálogo, o script de importação e como usar o script.

Pré-requisitos para importar atualizações para o WSUS

Os seguintes pré-requisitos são necessários para importar atualizações para o WSUS com o script do PowerShell:

  • Qualquer computador que tenha o console administrativo do WSUS instalado, seja um servidor WSUS ou não, pode ser usado para importar atualizações.
    • Ao importar de um servidor WSUS, use uma conta que seja membro do grupo administradores do WSUS ou do grupo Administradores Locais.
    • Ao importar de um computador remoto, use uma conta que seja membro do grupo administradores do WSUS e tenha permissões administrativas no computador local. Os computadores remotos devem ser capazes de acessar o servidor do WSUS pela rede.

O Catálogo do Microsoft Update

O Catálogo do Microsoft Update permite pesquisar em vários campos e categorias de atualização. Estes campos de atualização incluem:

  • Update title
  • Description
  • Applicable products
  • Classifications
  • Números de artigos da base de dados de conhecimento no formato de KB1234567

Ao pesquisar atualizações de hardware ou drivers, você também pode pesquisar os seguintes campos:

  • Driver model
  • Manufacturer
  • Class
  • A ID de hardware de quatro partes, como PCI\VEN_14E4&DEV_1677&SUBSYS_01AD1028.

Você pode restringir o escopo da pesquisa adicionando termos de pesquisa adicionais. Para pesquisar uma cadeia de caracteres específica, use aspas duplas.

Note

O catálogo também permite que você baixe atualizações diretamente do site usando o botão de download. No entanto, as atualizações baixadas dessa forma estão em .MSU formato. O WSUS não pode importar atualizações no .MSU formato. Esse tipo de arquivo geralmente é usado pelo instalador autônomo do Windows Update, DISM ou outras ferramentas de atualizações. Algumas ferramentas exigem que você extraia os arquivos do .MSU antes que eles possam ser usados.

Importar atualizações para o WSUS usando o PowerShell

Use as instruções abaixo para importar atualizações para o WSUS:

  1. Copie o script do PowerShell para importar atualizações para o WSUS deste artigo em um editor de texto e salve-o como ImportUpdateToWSUS.ps1. Use um local que você pode acessar facilmente, como C:\temp.

  2. Abra o Catálogo do Microsoft Update, https://catalog.update.microsoft.comem um navegador.

  3. Pesquise uma atualização que você deseja importar para o WSUS.

  4. Na lista retornada, selecione a atualização que você deseja importar para o WSUS. A página de detalhes da atualização é aberta.

  5. Use the Copy button on the update details page to copy the UpdateID.

  6. O script pode ser usado para importar uma única atualização ou várias atualizações.

    • Para importar várias atualizações para o WSUS, cole os updateIDs para cada atualização que você deseja importar para um arquivo de texto. Liste uma ID de atualização por linha e salve o arquivo de texto quando terminar. Use um local que você pode acessar facilmente, como C:\temp\UpdateIDs.txt.
    • Para importar uma única atualização, você só precisa copiar o identificador de atualização único.

  7. To import updates, open a PowerShell console as an administrator and run the script with the following syntax using any needed parameters:

    C:\temp\ImportUpdateToWSUS.ps1 [-WsusServer] <String> [-PortNumber] <Int32> [-UseSsl] [-UpdateId] <String> [-UpdateIdFilePath] <string> [<CommonParameters>]

    Example 1: While signed into a WSUS server that uses the default port, import a single update using the following syntax:

    .\ImportUpdateToWSUS.ps1 -UpdateId 12345678-90ab-cdef-1234-567890abcdef

    Example 2: Using a remote computer, import multiple updates into a WSUS server using SSL with the following syntax:

    .\ImportUpdateToWSUS.ps1 -WsusServer WSUSServer.contoso.com -PortNumber 8531 -UseSsl -UpdateIdFilePath C:\temp\UpdateIDs.txt

  8. The update files for updates that are imported are downloaded based on your Update files settings. Por exemplo, se você usar a opção de Baixar arquivos de atualização para esse servidor somente quando as atualizações forem aprovadas, os arquivos de atualização serão baixados quando a atualização for aprovada. Para obter mais informações sobre as opções para armazenar atualizações, consulte a seção 1.3 Escolher uma estratégia de armazenamento do WSUS.

Script do PowerShell para importar atualizações para o WSUS

<#
.SYNOPSIS
Powershell script to import an update, or multiple updates into WSUS based on the UpdateID from the catalog.

.DESCRIPTION
This script takes user input and attempts to connect to the WSUS server.
Then it tries to import the update using the provided UpdateID from the catalog.

.INPUTS
The script takes WSUS server Name/IP, WSUS server port, SSL configuration option and UpdateID as input. UpdateID can be viewed and copied from the update details page for any update in the catalog, https://catalog.update.microsoft.com. 

.OUTPUTS
Writes logging information to standard output.

.EXAMPLE
# Use with remote server IP, port and SSL
.\ImportUpdateToWSUS.ps1 -WsusServer 127.0.0.1 -PortNumber 8531 -UseSsl -UpdateId 12345678-90ab-cdef-1234-567890abcdef

.EXAMPLE
# Use with remote server Name, port and SSL
.\ImportUpdateToWSUS.ps1 -WsusServer WSUSServer1.us.contoso.com -PortNumber 8531 -UseSsl -UpdateId 12345678-90ab-cdef-1234-567890abcdef

.EXAMPLE
# Use with remote server IP, defaultport and no SSL
.\ImportUpdateToWSUS.ps1 -WsusServer 127.0.0.1  -UpdateId 12345678-90ab-cdef-1234-567890abcdef

.EXAMPLE
# Use with localhost default port
.\ImportUpdateToWSUS.ps1 -UpdateId 12345678-90ab-cdef-1234-567890abcdef

.EXAMPLE
# Use with localhost default port, file with updateID's
.\ImportUpdateToWSUS.ps1 -UpdateIdFilePath .\file.txt


.NOTES  
# On error, try enabling TLS: https://learn.microsoft.com/mem/configmgr/core/plan-design/security/enable-tls-1-2-client

# Sample registry add for the WSUS server from command line. Restarts the WSUSService and IIS after adding:
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /V SchUseStrongCrypto /T REG_DWORD /D 1

## Sample registry add for the WSUS server from PowerShell. Restarts WSUSService and IIS after adding:
$registryPath = "HKLM:\Software\Microsoft\.NETFramework\v4.0.30319"
$Name = "SchUseStrongCrypto"
$value = "1" 
if (!(Test-Path $registryPath)) {
    New-Item -Path $registryPath -Force | Out-Null
}
New-ItemProperty -Path $registryPath -Name $name -Value $value -PropertyType DWORD -Force | Out-Null
Restart-Service WsusService, w3svc

# Update import logs/errors are under %ProgramFiles%\Update Services\LogFiles\SoftwareDistribution.log

#>

param(
    [Parameter(Mandatory = $false, HelpMessage = "Specifies the name of a WSUS server, if not specified connects to localhost")]
    # Specifies the name of a WSUS server, if not specified connects to localhost.
    [string]$WsusServer,

    [Parameter(Mandatory = $false, HelpMessage = "Specifies the port number to use to communicate with the upstream WSUS server, default is 8530")]
    # Specifies the port number to use to communicate with the upstream WSUS server, default is 8530.
    [ValidateSet("80", "443", "8530", "8531")]
    [int32]$PortNumber = 8530,

    [Parameter(Mandatory = $false, HelpMessage = "Specifies that the WSUS server should use Secure Sockets Layer (SSL) via HTTPS to communicate with an upstream server")]
    # Specifies that the WSUS server should use Secure Sockets Layer (SSL) via HTTPS to communicate with an upstream server.  
    [Switch]$UseSsl,

    [Parameter(Mandatory = $true, HelpMessage = "Specifies the update Id we should import to WSUS", ParameterSetName = "Single")]
    # Specifies the update Id we should import to WSUS
    [ValidateNotNullOrEmpty()]
    [String]$UpdateId,

    [Parameter(Mandatory = $true, HelpMessage = "Specifies path to a text file containing a list of update ID's on each line", ParameterSetName = "Multiple")]
    # Specifies path to a text file containing a list of update ID's on each line.
    [ValidateNotNullOrEmpty()]
    [String]$UpdateIdFilePath
)

Set-StrictMode -Version Latest

# set server options
$serverOptions = "Get-WsusServer"
if ($psBoundParameters.containsKey('WsusServer')) { $serverOptions += " -Name $WsusServer -PortNumber $PortNumber" }
if ($UseSsl) { $serverOptions += " -UseSsl" }

# empty updateID list
$updateList = @()

# get update id's
if ($UpdateIdFilePath) {
    if (Test-Path $UpdateIdFilePath) {
        foreach ($id in (Get-Content $UpdateIdFilePath)) {
            $updateList += $id.Trim()
        }
    }
    else {
        Write-Error "[$UpdateIdFilePath]: File not found"
		return
    }
}
else {
    $updateList = @($UpdateId)
}

# get WSUS server
Try {
    Write-Host "Attempting WSUS Connection using $serverOptions... " -NoNewline
    $server = invoke-expression $serverOptions
    Write-Host "Connection Successful"
}
Catch {
    Write-Error $_
    return
}

# empty file list
$FileList = @()

# call ImportUpdateFromCatalogSite on WSUS
foreach ($uid in $updateList) {
    Try {
        Write-Host "Attempting WSUS update import for Update ID: $uid... " -NoNewline
        $server.ImportUpdateFromCatalogSite($uid, $FileList)
        Write-Host "Import Successful"
    }
    Catch {
        Write-Error "Failed. $_"
    }
}

Script parameters

WsusServer: <string>
Specifies the name of a WSUS server. Se não for especificado, o script se conectará ao localhost.

  • Required: false
  • Default value: localhost

PortNumber: <Int32>
Specifies the port number to use to communicate with the upstream WSUS server.

  • Required: false
  • Default value: 8530
  • Allowed values: 80, 443, 8530, 8531

UseSsl: <switch>
Specifies if Secure Sockets Layer (SSL) via HTTPS should be used to communicate with the WSUS server. Se este nome de parâmetro estiver presente, o parâmetro $true é testado e a conexão é feita ao servidor WSUS usando SSL; caso contrário, false. When using the USeSSL parameter, set the PortNumber to either 443 or 8531.

  • Required: false

UpdateId: <string>
Specifies the update ID you want to import to WSUS. Esse parâmetro será necessário se você estiver importando uma única atualização. UpdateId can't be used with UpdateIdFilePath.

  • Required: true, when importing a single updateID specified as a script parameter

UpdateIdFilePath: <string>
Specifies the path to a text file containing a list of update IDs on each line. Esse parâmetro será necessário se você estiver importando várias atualizações. UpdateIdFilePath can't be used with UpdateId.

  • Required: true, when using a text file to import multiple updates

CommonParameters:
Verbose, Debug, ErrorAction, ErrorVariable, WarningAction, WarningVariable, OutBuffer, PipelineVariable, and OutVariable. For more information, see About CommonParameters

Como restringir o acesso a hotfixes

Os administradores do WSUS podem considerar restringir o acesso aos hotfixes que baixaram do Catálogo do Microsoft Update. Para restringir os hotfixes disponíveis, conclua as seguintes etapas:

  1. Inicie o console do Gerenciador dos Serviços de Informações da Internet (IIS ).
  2. Navigate to the Content node under WSUS Administration web site.
  3. On the Content Home pane, double-click in the Authentication option.
  4. Select Anonymous Authentication and select Disable in the Actions pane on the right.
  5. Select Windows Authentication and select Enable in the Actions pane on the right.
  6. No console administrativo do WSUS, crie um grupo de destino do WSUS para os computadores que precisam do hotfix e adicione-os ao grupo. Para obter mais informações sobre computadores e grupos, consulte Como gerenciar computadores cliente WSUS e grupos de computadores WSUS neste guia e configurar grupos de computadores WSUS no guia de implantação do WSUS.
  7. Baixe os arquivos para o hotfix.
  8. Defina as permissões desses arquivos para que somente contas de computador desses computadores possam lê-las. Você também precisará permitir que a conta do Serviço de Rede tenha acesso total aos arquivos.
  9. Aprove o hotfix para o grupo de destino do WSUS criado na Etapa 2.

Note

You can remove updates that are imported from the Microsoft Update Catalog that are set as either Not Approved or Declined, by running the WSUS Server cleanup Wizard. Você pode importar novamente as atualizações que foram removidas anteriormente de seus sistemas WSUS.

Importando atualizações em idiomas diferentes

O catálogo inclui atualizações que dão suporte a vários idiomas.

Important

Corresponda os idiomas suportados pelo servidor WSUS aos idiomas suportados pelas atualizações importadas.

Se o servidor do WSUS não der suporte a todos os idiomas incluídos na atualização, a atualização não será implantada em computadores cliente. Se uma atualização que dá suporte a vários idiomas tiver sido baixada para o servidor WSUS, mas ainda não foi implantada em computadores cliente, e um administrador desmarcar um dos idiomas incluídos na atualização, a atualização não será implantada nos clientes.

Troubleshooting

A seção ".NOTES" do script pode ser usada para solucionar problemas que podem ocorrer ao executar o script.

  • Se você receber um erro, tente habilitar o TLS (Transport Layer Security) 1.2. Para obter mais informações, consulte Como habilitar o TLS 1.2 em clientes

  • Você pode usar o comando a seguir para automatizar o processo de adição de um valor de registro relacionado ao uso de criptografia forte. Reinicie manualmente o serviço Windows Server Update Services e o serviço World Wide Web Publishing depois de adicionar o valor do registro.

    reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /V SchUseStrongCrypto /T REG_DWORD /D 1

  • Execute este script do PowerShell para automatizar o processo de adição de um valor de registro relacionado ao uso de criptografia forte e reiniciar o serviço Windows Server Update Services e o serviço World Wide Web Publishing:

    $registryPath = "HKLM:\Software\Microsoft\.NETFramework\v4.0.30319"
$Name = "SchUseStrongCrypto"
$value = "1"
if (!(Test-Path $registryPath)) {
   New-Item -Path $registryPath -Force | Out-Null
}
New-ItemProperty -Path $registryPath -Name $name -Value $value -PropertyType DWORD -Force | Out-Null
Restart-Service WsusService, w3svc

  • Activity and/or errors related to importing updates can be found in %ProgramFiles%\Update Services\LogFiles\SoftwareDistribution.log of the WSUS server where updates are being imported.