Atualizações de SO

Os dispositivos conectados têm o desafio de novas ameaças de segurança, as atualizações são uma ferramenta essencial para lidar com isso.

O Microsoft Security Response Center (MSRC) faz parte da comunidade de defensores e está na linha de frente da evolução da resposta de segurança. A missão da MSRC é proteger os clientes de serem prejudicados por vulnerabilidades de segurança nos produtos e serviços da Microsoft. Ao criar sua solução com o Windows IoT Enterprise, você tem o compromisso do Centro de Resposta de Segurança da Microsoft com a segurança. Consulte o Guia de Atualização de Segurança para garantir que seus dispositivos estejam atualizados e protegidos.

Vantagem do Windows Update:

  • Mantém o dispositivo atualizado com atualizações críticas de software de segurança
  • Utilize a infraestrutura comprovada e escalável da Microsoft
  • As atualizações podem ser facilmente gerenciadas e controladas pelos proprietários de dispositivos

O Windows IoT Enterprise oferece o poder de gerenciar e controlar atualizações de acordo com os requisitos do dispositivo e da organização.

Controlar atualizações do Windows

Uma das solicitações mais comuns de parceiros de dispositivos está centrada no controle de atualizações automáticas em dispositivos Windows IoT Enterprise. A natureza dos dispositivos IoT é tal que interrupções inesperadas, por meio de algo como uma atualização não planejada, podem criar uma experiência de dispositivo ruim.

Perguntas que você deve fazer ao considerar como controlar as atualizações do Windows:

  • O cenário do dispositivo é tal que qualquer interrupção do fluxo de trabalho é inaceitável?
  • Como as atualizações são validadas antes da implantação?
  • Qual é a experiência do usuário de atualização no próprio dispositivo?

Se você tiver um dispositivo em que a interrupção da experiência do usuário não seja aceitável, considere limitar as atualizações a apenas determinadas horas, desabilitar as atualizações automáticas ou implantar atualizações manualmente ou por meio de uma solução controlada de gerenciamento de dispositivos de terceiros.

Limitar reinicializações de atualizações

Você pode usar a Política de Grupo Horário Ativo, MDM ou registro para limitar as atualizações a apenas determinadas horas.

  1. Abra o Editor de Política de Grupo (gpedit.msc) e navegue até Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Update e abra a configuração de política Desativar reinicialização automática para atualizações durante o horário ativo. Habilite a política para definir os horários de início e de término do horário ativo.
  2. Defina a hora de Início e de Término como a janela Horário Ativo. Por exemplo, defina o Horário Ativo para iniciar às 4h e terminar às 2h. Isso permite que o sistema reinicialize após as atualizações entre 2h e 4h.

Desativar atualizações automáticas do Windows

A segurança e a estabilidade estão no centro de um projeto de IoT bem-sucedido, e o Windows Update fornece atualizações para garantir que o Windows IoT Enterprise tenha as atualizações de segurança e estabilidade aplicáveis mais recentes. No entanto, você pode se deparar com um cenário de dispositivo em que a atualização do Windows deve ser tratada de forma totalmente manual. Para esse tipo de cenário, recomendamos desabilitar a atualização automática por meio do Windows Update. Em versões anteriores de parceiros de dispositivo do Windows, era possível parar e desabilitar o serviço Windows Update, mas esse não é mais o método com suporte para desabilitar atualizações automáticas. O Windows tem várias políticas que permitem configurar as Atualizações do Windows de várias maneiras.

Para desativar completamente a atualização automática do Windows com o Windows Update:

  1. Abra o Editor de Política de Grupo (gpedit.msc) e navegue até Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Update\Configurar Atualizações Automáticas.
  2. Defina explicitamente a política como Desabilitado. Quando essa configuração é definida como Desabilitada, todas as atualizações disponíveis do Windows Update devem ser baixadas e instaladas manualmente, o que você pode fazer no aplicativo Configurações em Atualização e segurança > do Windows Update.

Desabilitar o acesso à experiência do usuário do Windows Update

Em alguns cenários, configurar de Atualizações automática não é suficiente para preservar uma experiência de dispositivo desejada. Por exemplo, um usuário final ainda pode ter acesso às configurações do Windows Update, o que permitiria atualizações manuais por meio do Windows Update. Você pode configurar a Política de grupo para proibir o acesso ao Windows Update por meio das configurações.

Para proibir o acesso ao Windows Update:

  1. Abra o Editor de Política de Grupo (gpedit.msc) e navegue até Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Update\Remover acesso para uso de todos os recursos do Windows Update.
  2. Defina essa política como Habilitado para impedir a opção "Verificar se há atualizações" para os usuários. Observação: quaisquer exames, downloads e instalações de atualização em segundo plano continuarão a funcionar conforme o configurado. Essa política simplesmente impede que o usuário acesse a verificação manual por meio das configurações. Use as etapas na seção anterior para também desabilitar varreduras, downloads e instalações.

Importante

Tenha uma estratégia de manutenção bem-projetada para seu dispositivo. Desabilitar as funcionalidades do Windows Update deixará o dispositivo em um estado vulnerável, se o dispositivo não estiver recebendo atualizações de outra maneira.

Desativar completamente as atualizações do Windows

Você pode configurar o Windows Update de várias maneiras. Como regra geral, os dispositivos IoT exigem atenção especial à estratégia de manutenção e gerenciamento a ser usada nos dispositivos. Se sua estratégia de manutenção for desabilitar todos os recursos do Windows Update, você terá duas abordagens possíveis. Você pode desativar as atualizações por meio da Diretiva de Grupo ou do Registro.

Observação

Ao definir essa política, ele também deixará de executar atualizações de outros computadores na rede local. Para confirmar esse comportamento, você também pode desativar a Otimização de Entrega , que é o subsistema para obter atualizações de outras pessoas em sua rede local.

Recursos adicionais