Gestão de Updates - Parte 2 - Categorias de Updates e sua disponibilização
Após conhecer e escolher a ferramenta a ser utilizada para distribuição e instalação de updates(veja Gestão de Updates - Parte 1). Vamos entender como os updates são categorizados e disponibilizados.
Categorias
Teremos um momento em nosso processo, que iremos nos deparar com a seguinte tela, onde deveremos definir categorias o WSUS/SCCM fará sincronismo com o Microsoft Update Catalog.
"Ah legal, marcarei todas e serei feliz, certo?" Nãããão, muito errado.
Entender as categorias de update é de extrema importância, já que sair escolhendo todas pode causar queda de performance e falhas no processo de Scan de updates, devido ao volume de metadados no WSUS.
Planejamento e definição de escopo é essencial nesse momento, como dica, foque principalmente em updates críticos e de segurança, esses são os principais e essenciais a todos, para os demais, utilize se realmente houver necessidade.
- Critical Updates
Resolvem falhas que afetaram diretamente o funcionamento de itens críticos da aplicação.
Esse tipo de update não envolve vulnerabilidade de segurança.
- Definition update
Updates que envolvem atualização de definições em alguma base de dados. Um grande exemplo dessa categoria são os updates de definição do Endpoint Protection e Windows Defender.
Esses updates são lançados constantemente, em alguns casos até 3 vezes ao dia e expiram em poucos dias.
- Driver
Atualizações de drivers, homologados e disponíveis no Microsoft Update Catalog. Nem todos os fabricantes estão disponíveis no Catalog, então sempre confirme com o fabricante.
- Feature Pack
Adicionam novas funcionalidades a aplicação.
- Security update
Updates relacionados à segurança e resolução de vulnerabilidades.
- Service Pack
Service pack, muita nostalgia envolvida aqui, já que seu uso tem sido cada vez menor, graças a updates cumulativos, updates de build, etc. Service pack nada mais é do que um pacote cumulativo de updates e novas funções.
- Update Rollup
Pacote com diversos updates com o objetivo de simplificar a distribuição e instalação.
- Tool
Adição de ferramenta a aplicação.
- Update
Updates que corrigem falhas não-críticas da aplicação e não relacionadas à segurança.
- Upgrade
Nova categoria, vinda com os upgrades do Windows 10, também conhecido como atualização de build.
Disponibilização
Há muito tempo atrás, em um Windows muito muito distante, criou-se o conceito de "Patch Tuesday", a terça-feira da atualização.
Na segunda terça-feira de todo mês a Microsoft disponibiliza seus updates, para ser mais preciso a disponibilização ocorre durante a manhã no horário de Redmond, então se estiver no horário de Brasília, não adianta rodar o Sync do seu WSUS durante a manhã, espere até pelo menos as 15:00 horas.
Isso não quer dizer que os updates sejam disponibilizados somente na terça-feira, em casos críticos, os updates podem ser liberados a qualquer dia do mês.
Em outubro de 2016 a Microsoft alterou sua forma de disponibilizar os updates para os seguintes sistemas operacionais:
- Windows 7 SP1
- Windows 8.1
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
Antes de out/2016
Lançamento de diversos KBs separadamente, cada um com seu objetivo.
Atualmente
São lançados 4 pacotes, para cada versão de Sistema operacional.
- Monthly Quallity Rollup - Pacote cumulativo com updates de segurança e não segurança, críticos. Seu grande ponto positivo é a simplicidade na distribuição, monitoração e troubleshooting, já que vamos lidar somente com um KB no lugar de vários. Por ser cumulativo, só é preciso a instalação do último lançado. Lembrando que ele é cumulativo a partir de outubro de 2016, os updates lançados antes dessa data ainda devem ser instalados individualmente.
- Security-Only - É um pacote com os updates de segurança do mês, esse pacote não é cumulativo, então é preciso instalar todos os dos meses anteriores. Esses mesmos updates estão disponíveis no Monthly Quality Rollup.
- Security and Quality Rollup for .NET Framework - Pacote cumulativo semelhante ao Monthly Quality Rollup do Windows, porém com foco somente em .NET, já que o Security-Only e o Monthly Quality Rollup não instalam updates de .NET.
- Preview of Monthly Rollup - Prévia dos updates de não-segurança do próximo mês, esse pacote não vem no Patch Tuesday, seu lançamento ocorre a partir da terceira semana. Esse update não é recomendado em ambiente de produção.
Windows 10
No Windows 10 os updates sempre foram cumulativos, então não houve mudança nisso, porém existe um item a ser destacado.
- Delta Update - Um pacote somente com a diferença em vista o último cumulativo. O objetivo desse pacote é reduzir o tamanho a ser distribuído, porém se pular um mês de update, o delta perde sua função, nesse caso é preciso aplicar todo o cumulativo. Exemplo: Atualiza o cumulativo de janeiro, pula fevereiro e tenta aplicar o delta de março, isso não vai funcionar devido a falta do update de fevereiro.
Próxima semana vamos finalmente botar a mão na massa, instalando o WSUS no SCCM.
Abraços.
Conteúdo editado e publicado por: Richard Juhasz
Microsoft PFE
Configuration Manager