Caso tenha bloqueado sua rede virtual do Azure pela Internet, você ainda poderá obter atualizações do Windows sem comprometer a segurança e sem abrir o acesso à Internet de modo geral. Este artigo contém recomendações sobre como configurar uma rede de perímetro, também chamada de rede de borda, para hospedar uma instância do WSUS (Windows Server Update Services), a fim de atualizar redes virtuais com segurança sem conectividade com a Internet.
Se estiver usando o Firewall do Azure, use uma marca de FQDN do Windows Update nas regras do aplicativo para permitir que o tráfego de rede de saída necessário passe pelo firewall. Para obter mais informações, confira Visão geral das marcas de FQDN.
Para implementar as recomendações deste artigo, você deverá estar familiarizado com os serviços do Azure. As seções a seguir descrevem o design de implantação recomendado, que usa uma configuração hub e spoke em uma configuração com apenas uma ou com várias regiões.
Topologia de rede hub e spoke da Rede Virtual do Azure
Recomendamos que você configure um modelo de topologia de rede hub e spoke criando uma rede de perímetro. Hospede o servidor do WSUS em uma máquina virtual do Azure que esteja no hub entre a Internet e as redes virtuais. O hub deverá ter portas abertas. O WSUS usa a porta 80 para o protocolo HTTP e a porta 443 para o protocolo HTTPS a fim de obter atualizações da Microsoft. Os spokes são todas as outras redes virtuais, que se comunicarão com o hub e não com a Internet. Faça isso criando uma sub-rede, os NSGs (grupos de segurança de rede) e um emparelhamento de rede virtual do Azure que permita o tráfego do WSUS enquanto bloqueia outros tráfegos da Internet. Esta imagem ilustra um exemplo de topologia hub e spoke:
Baixe um Arquivo Visio dessa arquitetura.
Nesta imagem:
- WSUSSubnet é o hub do hub e spoke.
- NSG_DS é uma regra do grupo de segurança de rede que permite o tráfego do WSUS enquanto bloqueia outros tipos de tráfego da Internet.
- VM do WSUS é a máquina virtual do Azure configurada para executar o WSUS.
- MainSubnet é uma rede virtual, um spoke, que contém máquinas virtuais.
- NSG_MS é uma política de grupo de segurança de rede que permite o tráfego da VM do WSUS, mas nega o tráfego da Internet.
Você pode reutilizar um servidor existente ou implantar um novo que será o servidor do WSUS. Para a VM do WSUS, recomendamos o seguinte, no mínimo:
- Sistema operacional: Windows Server 2016 ou posterior.
- Processador: núcleo duplo, 2 GHz ou mais rápido.
- Memória: 2 GB de RAM, além da RAM exigida pelo servidor e por todos os outros serviços e softwares em execução.
- Armazenamento: 40 GB ou mais.
- Acesse: acesse essa máquina virtual com mais segurança usando o JIT (just-in-time). Confira Gerenciar o acesso à máquina virtual usando o just-in-time.
Sua rede terá mais de uma rede virtual do Azure, que poderá estar na mesma região ou em regiões diferentes. Você precisará avaliar todas as VMs do Windows Server para ver se uma delas poderá ser usada como um servidor do WSUS. Se você tem milhares de VMs para atualizar, recomendamos dedicar uma VM do Windows Server à função do WSUS.
Se todas as redes virtuais estão na mesma região, sugerimos ter um WSUS para cada 18 mil VMs. Essa sugestão se baseia em uma combinação de requisitos da VM, no número de VMs cliente que estão sendo atualizadas e no custo da comunicação entre as redes virtuais. Para obter mais informações sobre os requisitos de capacidade do WSUS, confira Planejar a implantação do WSUS.
Determine o custo dessas configurações usando a Calculadora de Preços do Azure. Você precisará fornecer as seguintes informações:
- Máquina virtual:
- Região: a região na qual a rede virtual do Azure foi implantada.
- Sistema operacional: Windows
- Camada: Standard
- Instância: configuração D4
- Discos gerenciados HDD Standard, 64 GB
- Rede virtual:
- Digite
- Mesma Região se a transferência estiver na mesma região.
- Entre Regiões se você estiver movendo dados de uma região para outra.
- Transferência de dados: 2 GB
- Região
- Se a transferência estiver dentro de uma região, escolha a região na qual as redes virtuais e o servidor do WSUS estão localizados.
- Se a transferência for entre regiões, a região da rede virtual de origem será aquela em que o servidor do WSUS estará localizado. A região da rede virtual de destino é a localização para a qual os dados serão enviados.
- Se você tiver várias regiões, precisará selecionar Rede Virtual várias vezes.
- Digite
Observe que os preços variam de acordo com a região.
Implantação manual
Depois de identificar a rede virtual do Azure a ser usada como o hub ou determinar que precisará criar uma instância do Windows Server, crie uma regra do NSG. A regra permitirá o tráfego da Internet, que permitirá que o conteúdo e os metadados do Windows Update sejam sincronizados com o servidor do WSUS que você criará. Estas são as regras que você precisará adicionar:
- Regra do NSG de entrada/saída para permitir o tráfego da Internet e para ela na porta 80 (para o conteúdo).
- Regra do NSG de entrada/saída para permitir o tráfego da Internet e para ela na porta 443 (para os metadados).
- Regra do NSG de entrada/saída para permitir o tráfego das VMs do cliente na porta 8530 (padrão a menos que configurado).
Configurar o WSUS
Há duas abordagens que você poderá usar para configurar o servidor do WSUS:
- Caso deseje configurar automaticamente um servidor para processar uma carga de trabalho típica com administração mínima necessária, use o script de automação do PowerShell.
- Caso precise lidar com milhares de clientes que executam uma variedade de linguagens e sistemas operacionais diferentes ou configurar o WSUS de uma forma com a qual o script do PowerShell não possa lidar, configure o WSUS manualmente. As duas propriedades serão descritas mais adiante neste artigo.
Você também pode combinar as duas abordagens usando o script de automação para fazer a maior parte do trabalho e, em seguida, usando o console administrativo do WSUS para ajustar as configurações do servidor.
Configurar o WSUS usando o script de automação
O script Configure-WSUSServer permite que você configure rapidamente um servidor do WSUS que sincronizará automaticamente e aprovará as atualizações para um conjunto escolhido de produtos e linguagens.
Observação
O script sempre configura o WSUS para usar o Banco de Dados Interno do Windows para armazenar seus dados de atualização. Isso acelera a configuração e reduz a complexidade da administração. Mas, se seu servidor der suporte a milhares de computadores cliente, principalmente se você também precisar dar suporte a uma ampla variedade de produtos e linguagens, configure o WSUS manualmente para que seja possível usar o SQL Server como o banco de dados.
A versão mais recente desse script está disponível no GitHub.
Configure o script usando um arquivo JSON. Atualmente, você pode configurar estas opções:
- Se o conteúdo da atualização deve ser armazenado localmente (e, se for o caso, em que local ele deve ser armazenado) ou mantido nos servidores da Microsoft.
- Quais produtos, classificações de atualização e linguagens devem estar disponíveis no servidor.
- Se o servidor deve aprovar automaticamente as atualizações para instalação ou deixá-las sem aprovação até que um administrador as aprove.
- Se o servidor deve recuperar automaticamente novas atualizações da Microsoft e, em caso afirmativo, com que frequência.
- Se os pacotes da atualização expressa devem ser usados. (Os pacotes da atualização expressa reduzem a largura de banda de servidor para cliente em detrimento do uso de CPU/disco do cliente e da largura de banda de servidor para servidor.)
- Se o script deve substituir as configurações anteriores. (Normalmente, para evitar reconfigurações acidentais que possam interromper a operação do servidor, o script será executado apenas uma vez em determinado servidor.)
Copie o script e seu arquivo de configuração para o armazenamento local e edite o arquivo de configuração para atender às suas necessidades.
Aviso
Tenha cuidado ao editar o arquivo de configuração. A sintaxe usada para arquivos de configuração JSON é estrita. Se você alterar acidentalmente a estrutura do arquivo, em vez de apenas os valores de parâmetro, o arquivo de configuração não será carregado.
Você pode executar esse script de uma destas duas maneiras:
Execute o script manualmente na VM do WSUS.
O comando a seguir, executado em uma janela do prompt de comandos com privilégios elevados, vai instalar e configurar o WSUS. Ele usará o script e o arquivo de configuração no diretório atual.
powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json
Use a Extensão de Script Personalizado para o Windows.
Copie o script e o arquivo de configuração JSON para o próprio contêiner de armazenamento.
Em configurações típicas de VM e Rede Virtual do Azure, a Extensão de Script Personalizado precisa apenas dos dois parâmetros a seguir para executar o script corretamente. (Você precisará substituir os valores mostrados aqui pelas URLs para os locais de armazenamento.)
"fileUris": ["https://mystorage.blob.core.windows.net/mycontainer/Configure-WSUSServer.ps1","https://mystorage.blob.core.windows.net/container/WSUS-Config.json"], "commandToExecute": "powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json"
O script começará a sincronização inicial necessária para disponibilizar atualizações para os computadores cliente. Porém, ele não aguardará a conclusão dessa sincronização. Dependendo dos produtos, das classificações e das linguagens selecionadas, a sincronização inicial poderá levar várias horas para ser concluída. Todas as sincronizações posteriores a essa deverão ser mais rápidas.
Configurar o WSUS manualmente
Na VM do WSUS, abra o Gerenciador do Servidor e selecione Adicionar funções e recursos.
Escolha Avançar até chegar à página Selecionar funções de servidor. Selecione Windows Server Update Services. Selecione Adicionar Recursos quando receber a mensagem Adicionar recursos necessários para os Windows Server Update Services?
Escolha Avançar até chegar à página Selecionar serviços de função.
- Por padrão, você pode usar a Conectividade do WID.
- Use a Conectividade do SQL Server caso precise dar suporte aos clientes que usam várias versões diferentes do Windows (por exemplo, Windows 11 e Windows 10).
Escolha Avançar até chegar à página Seleção do local do conteúdo. Insira a localização em que deseja armazenar as atualizações.
Escolha Avançar até chegar à página Confirmar seleções de instalação. Selecione Instalar.
Abra os Windows Server Update Services instalados e selecione Executar.
Escolha Avançar até chegar à página Conectar-se ao Servidor Upstream. Selecione Iniciar a Conexão.
Escolha Avançar até chegar à página Escolher Linguagens. Escolha as linguagens necessárias.
Escolha Avançar até chegar à página Escolher Produtos. Escolha os produtos necessários.
Escolha Avançar até chegar à página Escolher Classificações. Escolha as atualizações necessárias.
Escolha Avançar até chegar à página Definir Agendamento de Sincronização. Escolha suas preferências de sincronização.
Escolha Avançar até chegar à página Concluído. Selecione Começar a sincronização inicial e, em seguida, escolha Avançar.
Escolha Avançar até chegar à página Próximas etapas e, em seguida, selecione Concluir.
Se você selecionar o nome do WSUS (por exemplo, WsusVM) no painel de navegação, deverá ver que o Status de Sincronização é Ocioso e o Resultado da última sincronização é Êxito.
No painel de navegação, selecione Opções>Computadores>Usar configurações do Registro ou da Política de Grupo nos computadores. Selecione OK.
Durante a sincronização, o WSUS determina se alguma atualização nova foi disponibilizada desde a última sincronização. Se esta for a primeira vez que você sincroniza o WSUS, os metadados serão baixados imediatamente. O conteúdo só é baixado se o armazenamento local está ativado e a atualização é aprovada para, pelo menos, um grupo de computadores.
Observação
A sincronização inicial pode levar mais de uma hora. Todas as sincronizações posteriores a essa deverão ser muito mais rápidas.
Configurar redes virtuais para comunicação com o WSUS
Em seguida, configure o emparelhamento de rede virtual do Azure ou o emparelhamento de rede virtual global para se comunicar com o hub. Recomendamos que você configure um WSUS em cada região de implantação para minimizar a latência.
Em cada rede virtual do Azure que seja um spoke, você precisará criar uma política de NSG que tenha estas regras:
- Uma regra do NSG de entrada/saída para permitir o tráfego da VM do WSUS na porta 8530 (padrão a menos que configurado).
- Uma regra do NSG de entrada/saída para negar o tráfego da Internet.
Em seguida, crie o emparelhamento de rede virtual do Azure do spoke para o hub.
VM Cliente
- Para obter segurança extra, remova o endereço IP público associado de uma VM. Para obter mais informações, confira Exibição, alteração de configurações ou exclusão de um endereço IP público.
- Para obter informações sobre como acessar sua máquina virtual com mais segurança usando o JIT, confira Gerenciar o acesso à máquina virtual usando o just-in-time.
Configurar máquinas virtuais cliente
O WSUS pode ser usado para atualizar qualquer máquina virtual que execute o Windows (exceto o SKU do Home). Conclua as seguintes etapas em cada máquina virtual cliente para habilitar a comunicação entre o WSUS e o cliente:
Da VM cliente
- Abra o Editor de Política de Grupo Local (ou o Editor de Gerenciamento de Política de Grupo).
- Acesse Configuração do Computador>Modelos Administrativos>Componentes do Windows>Windows Update.
- Habilite Especificar o local do serviço de atualização da intranet da Microsoft.
- Insira a URL
http://\<WSUS name>:8530
. (Encontre o nome do WSUS, por exemplo, WsusVM, na página Serviços de Atualização.) Pode levar algum tempo (até algumas horas) para que essa configuração seja refletida. - Acesse Configurações>Atualização & Segurança>Windows Update.
- Selecione Verificar se há atualizações.
Da VM do WSUS
- Abra Windows Server Update Services. Você deverá ver sua VM cliente listada em Computadores>Todos os Computadores.
- Selecione Atualizações>Todas as Atualizações.
- Defina Aprovação como Todas, Menos as Recusadas.
- Defina o Status como Necessário. Agora, você poderá ver todas as atualizações necessárias para a VM cliente.
- Clique com o botão direito do mouse em uma das atualizações e selecione Aprovar.
Verificação
- Na VM cliente, acesse Configurações>Atualização & Segurança>Windows Update.
- Selecione Verificar se há atualizações. Você deverá ver uma atualização com o mesmo número de artigo da base de dados (ou seja, 4480056) que aprovou na VM do WSUS.
Se você é um administrador que gerencia uma rede grande, confira Configurar atualizações automáticas e atualizar o local do serviço para obter informações sobre como usar as configurações da Política de Grupo para configurar clientes automaticamente.
Implantação do WSUS para várias nuvens
Não é possível configurar o emparelhamento de rede virtual entre nuvens públicas e privadas. As redes implantadas em nuvens públicas e privadas precisarão ter, pelo menos, um servidor do WSUS em cada nuvem.
Notas de suporte
Atualmente, o WSUS não dá suporte à sincronização com o SKU do Windows Home.
Gerenciador de Atualizações do Azure
Você pode usar o Azure Update Manager para gerenciar e agendar atualizações do sistema operacional para VMs que estão sincronizando com o WSUS. O status dos patches da VM (ou seja, quais patches estão ausentes) é avaliado com base na origem com a qual a VM está configurada para sincronização. Se a VM do Windows estiver configurada para fornecer relatórios ao WSUS, os resultados poderão ser diferentes do que é mostrado pelo Microsoft Update, dependendo de quando o WSUS foi sincronizado pela última vez com o Microsoft Update. Depois de configurar o ambiente do WSUS, habilite o Gerenciamento de Atualizações. Para obter mais informações, consulte a visão geral do Azure Update Manager.
Colaboradores
Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.
Autor principal:
- Paul Reed | Gerente de Programa Sênior de Conformidade do Azure
Próximas etapas
- Para obter mais informações sobre como planejar uma implantação, confira Planejar a implantação do WSUS.
- Para obter mais informações sobre como gerenciar o WSUS, configurar um agendamento de sincronização do WSUS, entre outros, confira Administração do WSUS.