Descrição geral da Gestão de Atualizações

Pode utilizar a Gestão de Atualizações no Automatização do Azure para gerir atualizações do sistema operativo para as suas máquinas virtuais windows e Linux no Azure, físicas ou VMs em ambientes no local e noutros ambientes de cloud. Pode avaliar rapidamente o estado das atualizações disponíveis e gerir o processo de instalação das atualizações necessárias para os seus computadores que reportam à Gestão de Atualizações.

Como fornecedor de serviços, pode ter integrado vários inquilinos de clientes no Azure Lighthouse. A Gestão de Atualizações pode ser utilizada para avaliar e agendar implementações de atualizações para máquinas em várias subscrições no mesmo inquilino do Azure Active Directory (Azure AD) ou em todos os inquilinos com o Azure Lighthouse.

A Microsoft oferece outras capacidades para o ajudar a gerir atualizações para as suas VMs do Azure ou conjuntos de dimensionamento de máquinas virtuais do Azure que deve considerar como parte da sua estratégia geral de gestão de atualizações.

  • Se estiver interessado em avaliar e atualizar automaticamente as máquinas virtuais do Azure para manter a conformidade de segurança com as atualizações Críticas e de Segurança lançadas todos os meses, veja Aplicação automática de patches de convidados da VM. Esta é uma solução de gestão de atualizações alternativa para as VMs do Azure atualizá-las automaticamente durante as horas de ponta, incluindo VMs dentro de um conjunto de disponibilidade, em comparação com a gestão de implementações de atualizações para essas VMs da Gestão de Atualizações no Automatização do Azure.

  • Se gerir conjuntos de dimensionamento de máquinas virtuais do Azure, veja como efetuar atualizações automáticas de imagens do SO para atualizar o disco do SO de forma segura e automaticamente para todas as instâncias no conjunto de dimensionamento.

Antes de implementar a Gestão de Atualizações e ativar as máquinas para gestão, certifique-se de que compreende as informações nas secções seguintes.

Acerca da Gestão de Atualizações

O diagrama seguinte ilustra como a Gestão de Atualizações avalia e aplica atualizações de segurança a todos os servidores Windows Server e Linux ligados.

Fluxo de trabalho da Gestão de Atualizações

A Gestão de Atualizações integra-se nos Registos do Azure Monitor para armazenar avaliações de atualizações e atualizar os resultados da implementação como dados de registo, a partir de máquinas do Azure e não do Azure atribuídas. Para recolher estes dados, a conta de Automatização e a área de trabalho do Log Analytics estão ligadas em conjunto e o agente do Log Analytics para Windows e Linux é necessário no computador e configurado para comunicar a esta área de trabalho.

A Gestão de Atualizações suporta a recolha de informações sobre atualizações de sistema de agentes num grupo de gestão do System Center Operations Manager ligado à área de trabalho. Não é suportado ter um computador registado para a Gestão de Atualizações em mais do que uma área de trabalho do Log Analytics (também denominada multihoming).

A tabela seguinte resume as origens ligadas suportadas com a Gestão de Atualizações.

Origem ligada Suportado Descrição
Windows Yes A Gestão de Atualizações recolhe informações sobre atualizações de sistema de computadores Windows com o agente do Log Analytics e a instalação das atualizações necessárias.
Os computadores têm de reportar ao Microsoft Update ou Windows Server Update Services (WSUS).
Linux Yes A Gestão de Atualizações recolhe informações sobre atualizações de sistema de computadores Linux com o agente do Log Analytics e a instalação das atualizações necessárias nas distribuições suportadas.
Os computadores têm de reportar a um repositório local ou remoto.
Grupo de gestão do Operations Manager Yes A Gestão de Atualizações recolhe informações sobre atualizações de software de agentes num grupo de gestão ligado.

Não é necessária uma ligação direta do agente do Operations Manager aos registos do Azure Monitor. Os dados de registo são reencaminhados do grupo de gestão para a área de trabalho do Log Analytics.

Os computadores atribuídos à Gestão de Atualizações comunicam como estão atualizados com base na origem com que estão configurados para sincronizar. As máquinas Windows têm de ser configuradas para comunicar a Windows Server Update Services ou Microsoft Update e as máquinas linux têm de ser configuradas para reportar a um repositório local ou público. Também pode utilizar a Gestão de Atualizações com o Microsoft Endpoint Configuration Manager e para saber mais, consulte Integrar a Gestão de Atualizações com o Windows Endpoint Configuration Manager.

Se o Agente de Windows Update (WUA) no computador Windows estiver configurado para reportar ao WSUS, dependendo da última vez que o WSUS foi sincronizado com o Microsoft Update, os resultados poderão diferir do que o Microsoft Update mostra. Este comportamento é o mesmo para computadores Linux que estão configurados para reportar a um repositório local em vez de um repositório público. Num computador Windows, a análise de conformidade é executada a cada 12 horas por predefinição. Para um computador Linux, a análise de conformidade é efetuada a cada hora por predefinição. Se o agente do Log Analytics for reiniciado, será iniciada uma análise de conformidade dentro de 15 minutos. Quando um computador conclui uma análise de conformidade de atualização, o agente reencaminha as informações em massa para os Registos do Azure Monitor.

Pode implementar e instalar atualizações de software em máquinas que necessitem das atualizações ao criar uma implementação agendada. Atualizações classificados como Opcionais não estão incluídos no âmbito de implementação das máquinas Windows. Apenas as atualizações necessárias são incluídas no âmbito da implementação.

A implementação agendada define quais os computadores de destino que recebem as atualizações aplicáveis. Fá-lo ao especificar explicitamente determinados computadores ou ao selecionar um grupo de computadores baseado em pesquisas de registos de um conjunto específico de máquinas (ou com base numa consulta do Azure que seleciona dinamicamente VMs do Azure com base em critérios especificados). Estes grupos diferem da configuração do âmbito, que é utilizada para controlar a segmentação de máquinas que recebem a configuração para ativar a Gestão de Atualizações. Isto impede que executem e comuniquem a conformidade das atualizações e instalem as atualizações necessárias aprovadas.

Ao definir uma implementação, também especifica uma agenda para aprovar e definir um período de tempo durante o qual as atualizações podem ser instaladas. Este período é denominado janela de manutenção. Um intervalo de 10 minutos da janela de manutenção está reservado para reinícios, partindo do princípio de que é necessário um e selecionou a opção de reinício adequada. Se a aplicação de patches demorar mais tempo do que o esperado e existir menos de 10 minutos na janela de manutenção, não ocorrerá um reinício.

Depois de um pacote de atualização estar agendado para implementação, a atualização demora 2 a 3 horas a ser apresentada para as máquinas Linux para avaliação. Para as máquinas Windows, a atualização demora entre 12 a 15 horas a aparecer para avaliação depois de ser lançada. Antes e depois da instalação da atualização, é realizada uma análise da conformidade da atualização e os resultados dos dados de registo são reencaminhados para a área de trabalho.

As atualizações são instaladas por runbooks na Automatização do Azure. Não pode ver estes runbooks e estes não necessitam de qualquer configuração. Quando uma implementação de atualização é criada, cria uma agenda que inicia um runbook de atualização principal na hora especificada para as máquinas incluídas. O runbook principal inicia um runbook subordinado em cada agente que inicia a instalação das atualizações necessárias com o agente Windows Update no Windows ou o comando aplicável na distribuição suportada do Linux.

Na data e hora especificadas na implementação da atualização, os computadores de destino executam a implementação em paralelo. Antes da instalação, é executada uma análise para verificar se as atualizações ainda são necessárias. Para máquinas cliente WSUS, se as atualizações não forem aprovadas no WSUS, a implementação da atualização falhará.

Limites

Para obter limites aplicáveis à Gestão de Atualizações, veja Automatização do Azure limites de serviço.

Permissões

Para criar e gerir implementações de atualizações, precisa de permissões específicas. Para saber mais sobre estas permissões, veja Acesso baseado em funções – Gestão de Atualizações.

Componentes da Gestão de Atualizações

A Gestão de Atualizações utiliza os recursos descritos nesta secção. Estes recursos são adicionados automaticamente à sua conta de Automatização quando ativa a Gestão de Atualizações.

Grupos de Trabalho de Runbook Híbrida

Depois de ativar a Gestão de Atualizações, qualquer computador Windows que esteja diretamente ligado à área de trabalho do Log Analytics é configurado automaticamente como uma Função de Trabalho de Runbook Híbrida do sistema para suportar os runbooks que suportam a Gestão de Atualizações.

Cada computador Windows gerido pela Gestão de Atualizações está listado no painel Grupos de trabalho híbridos como um grupo de trabalho híbrido do Sistema para a conta de Automatização. Os grupos utilizam a convenção de nomenclatura Hostname FQDN_GUID . Não pode direcionar estes grupos com runbooks na sua conta. Se tentar, a tentativa falha. Estes grupos destinam-se a suportar apenas a Gestão de Atualizações. Para saber mais sobre como ver a lista de máquinas Windows configuradas como uma Função de Trabalho de Runbook Híbrida, veja Função de Trabalho de Runbook Híbrida.

Pode adicionar o computador Windows a um grupo de Trabalho de Runbook Híbrida do utilizador na sua conta de Automatização para suportar runbooks de Automatização se utilizar a mesma conta para a Gestão de Atualizações e a associação ao grupo de Trabalho de Runbook Híbrida. Esta funcionalidade foi adicionada na versão 7.2.12024.0 da Função de Trabalho de Runbook Híbrida.

Dependências externas

Automatização do Azure a Gestão de Atualizações depende das seguintes dependências externas para fornecer atualizações de software.

  • Windows Server Update Services (WSUS) ou Microsoft Update são necessários para pacotes de atualizações de software e para a análise de aplicabilidade de atualizações de software em máquinas baseadas no Windows.
  • O cliente do Agente Windows Update (WUA) é necessário em máquinas baseadas no Windows para que possam ligar ao servidor WSUS ou ao Microsoft Update.
  • Um repositório local ou remoto para obter e instalar atualizações do SO em máquinas baseadas em Linux.

Pacotes de gestão

Os seguintes pacotes de gestão são instalados nos computadores geridos pela Gestão de Atualizações. Se o grupo de gestão do Operations Manager estiver ligado a uma área de trabalho do Log Analytics, os pacotes de gestão serão instalados no grupo de gestão do Operations Manager. Não precisa de configurar nem de gerir estes pacotes de gestão.

  • Pacote de Informações de Avaliação de Atualização do Microsoft System Center Advisor (Microsoft.IntelligencePacks.UpdateAssessment)
  • Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
  • Pacote de Gestão de Implementação de Atualização

Nota

Se tiver um grupo de gestão do Operations Manager 1807 ou 2019 ligado a uma área de trabalho do Log Analytics com agentes configurados no grupo de gestão para recolher dados de registo, terá de substituir o parâmetro IsAutoRegistrationEnabled e defini-lo como True na regra Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init .

Para obter mais informações sobre atualizações para pacotes de gestão, veja Ligar o Operations Manager aos registos do Azure Monitor.

Nota

Para a Gestão de Atualizações gerir totalmente as máquinas com o agente do Log Analytics, tem de atualizar para o agente do Log Analytics para Windows ou o agente do Log Analytics para Linux. Para saber como atualizar o agente, veja Como atualizar um agente do Operations Manager. Em ambientes que utilizam o Operations Manager, tem de executar o System Center Operations Manager 2012 R2 UR 14 ou posterior.

Frequência de recolha de dados

A Gestão de Atualizações analisa os dados dos computadores geridos com as seguintes regras. O dashboard pode demorar entre 30 minutos e 6 horas a apresentar dados atualizados de máquinas geridas.

  • Cada computador Windows – a Gestão de Atualizações faz uma análise duas vezes por dia para cada computador.

  • Cada computador Linux – a Gestão de Atualizações faz uma análise a cada hora.

A utilização média de dados pelos registos do Azure Monitor para um computador que utiliza a Gestão de Atualizações é de aproximadamente 25 MB por mês. Este valor é apenas uma aproximação e está sujeito a alterações, dependendo do seu ambiente. Recomendamos que monitorize o seu ambiente para controlar a utilização exata. Para obter mais informações sobre como analisar a utilização de dados dos Registos do Azure Monitor, veja Detalhes de preços dos Registos do Azure Monitor.

Classificações de atualizações

A tabela seguinte define as classificações suportadas pela Gestão de Atualizações para atualizações do Windows.

Classificação Descrição
Atualizações críticas Uma atualização para um problema específico que resolve um erro crítico e não relacionado com segurança.
Atualizações de segurança Uma atualização para um problema específico do produto relacionado com a segurança.
Update rollups Um conjunto cumulativo de correções que são empacotadas em conjunto para uma implementação fácil.
Pacotes de funcionalidades Novas funcionalidades de produtos distribuídas fora do lançamento de um produto.
Service packs Um conjunto cumulativo de correções que são aplicadas a uma aplicação.
Atualizações de definições Uma atualização para vírus ou outros ficheiros de definição.
Ferramentas Um utilitário ou funcionalidade que ajuda a concluir uma ou mais tarefas.
Atualizações Uma atualização para uma aplicação ou ficheiro que está atualmente instalado.

A tabela seguinte define as classificações suportadas para atualizações do Linux.

Classificação Descrição
Atualizações críticas e de segurança Atualizações para um problema específico ou um problema específico do produto relacionado com a segurança.
Outras atualizações Todas as outras atualizações que não são de natureza crítica ou que não são atualizações de segurança.

Nota

A classificação de atualizações para computadores Linux só está disponível quando utilizada em regiões de cloud pública do Azure suportadas. Não existe nenhuma classificação de atualizações do Linux ao utilizar a Gestão de Atualizações nas seguintes regiões da cloud nacional:

  • Azure US Government
  • 21Vianet na China

Em vez de serem classificadas, as atualizações são reportadas na categoria Outras atualizações .

A Gestão de Atualizações utiliza dados publicados pelas distribuições suportadas, especificamente os ficheiros OVAL (Open Vulnerability and Assessment Language) lançados. Uma vez que o acesso à Internet é restringido a partir destas clouds nacionais, a Gestão de Atualizações não consegue aceder aos ficheiros.

Classificação de atualizações do Logic for Linux

  1. Para avaliação, a Gestão de Atualizações classifica as atualizações em três categorias: Segurança, Crítica ou Outras. Esta classificação de atualizações é de acordo com os dados de duas origens:

    • Os ficheiros Open Vulnerability and Assessment Language (OVAL) são fornecidos pelo fornecedor de distribuição do Linux, que inclui dados sobre problemas de segurança ou vulnerabilidades que a atualização corrige.
    • Gestor de pacotes no seu computador, como YUM, APT ou ZYPPER.
  2. Para a aplicação de patches, a Gestão de Atualizações classifica as atualizações em duas categorias: Crítica e Segurança ou Outras. Esta classificação de atualizações baseia-se apenas em dados de gestores de pacotes, como YUM, APT ou ZYPPER.

CentOS – ao contrário de outras distribuições, o CentOS não tem dados de classificação disponíveis no gestor de pacotes. Se tiver máquinas CentOS configuradas para devolver dados de segurança para o seguinte comando, a Gestão de Atualizações pode aplicar patches com base em classificações.

sudo yum -q --security check-update

Nota

Atualmente, não existe nenhum método suportado para ativar a disponibilidade nativa de dados de classificação no CentOS. Neste momento, fornecemos suporte limitado aos clientes que possam ter ativado esta funcionalidade por conta própria.

Redhat - Para classificar as atualizações na versão 6 do Red Hat Enterprise, tem de instalar o plug-in de segurança YUM. No Red Hat Enterprise Linux 7, o plug-in já faz parte do próprio YUM e não é necessário instalar nada. Para obter mais informações, consulte o seguinte artigo de conhecimento do Red Hat.

Integrar a Gestão de Atualizações com Configuration Manager

Os clientes que investiram no Microsoft Endpoint Configuration Manager para gerir PCs, servidores e dispositivos móveis também dependem da força e maturidade dos Configuration Manager para ajudar a gerir atualizações de software. Para saber como integrar a Gestão de Atualizações com Configuration Manager, consulte Integrar a Gestão de Atualizações com o Windows Endpoint Configuration Manager.

Atualizações de terceiros no Windows

A Gestão de Atualizações baseia-se no repositório de atualizações configurado localmente para atualizar os sistemas Windows suportados, quer do WSUS, quer do Windows Update. Ferramentas como o System Center Atualizações Publisher permitem-lhe importar e publicar atualizações personalizadas com o WSUS. Este cenário permite que a Gestão de Atualizações atualize máquinas que utilizam Configuration Manager como repositório de atualização com software de terceiros. Para saber como configurar o Atualizações Publisher, consulte Instalar Atualizações Publisher.

Atualizar o agente do Log Analytics do Windows para a versão mais recente

A Gestão de Atualizações requer o agente do Log Analytics para o seu funcionamento. Recomendamos que atualize o agente do Log Analytics do Windows (também conhecido como Windows Microsoft Monitoring Agent (MMA)) para a versão mais recente para reduzir as vulnerabilidades de segurança e beneficiar de correções de erros. As versões do agente do Log Analytics anteriores a 10.20.18053 (pacote) e 1.0.18053.0 (extensão) utilizam um método mais antigo de processamento de certificados, pelo que não é recomendado. Os agentes mais antigos do Log Analytics do Windows não conseguiriam ligar ao Azure e a Gestão de Atualizações deixaria de funcionar nos mesmos.

Tem de atualizar o agente do Log Analytics para a versão mais recente, seguindo os passos abaixo:

  1. Verifique a versão atual do agente do Log Analytics do seu computador: aceda ao caminho de instalação – C:\ProgramFiles\Microsoft Monitoring Agent\Agent e clique com o botão direito do rato em HealthService.exe para verificar propriedades. No separador Detalhes , o campo Versão do produto fornece o número da versão do agente do Log Analytics.

  2. Se a versão do agente do Log Analytics for anterior à versão 10.20.18053 (pacote) e 1.0.18053.0 (extensão), atualize para a versão mais recente do agente do Windows Log Analytics, seguindo estas diretrizes. 

Nota

Durante o processo de atualização, os agendamentos de gestão de atualizações podem falhar. Certifique-se de que o faz quando não existe um agendamento planeado.

Passos seguintes