Descrever o gerenciamento de atualizações

  • 6 minutos

As atualizações do Windows são, é claro, uma série recorrente de eventos. As atualizações podem vir com rapidez e frequência quando falhas de segurança descobertas recentemente ou vetores de ataque são abordados. As atualizações também chegam periodicamente com base em eventos, como alterações em drivers de dispositivo ou lançamentos planejados de novos recursos do sistema.

A equipe de suporte de TI da Contoso percebe que não há tempo definido para que uma atualização de segurança urgente seja disponibilizada e é imperativo, em muitos casos, implantar essa atualização assim que possível. Essa abordagem se aplica não importa se o sistema é um host físico, uma VM local ou uma VM do Azure. Ela deve ser vigilante ao examinar as atualizações do Windows nas VMs do Azure.

Automação do Azure e Gerenciamento de Atualizações

A Automação do Azure ajuda a gerenciar atualizações de sistema operacional para VMs do Azure que executam o sistema operacional Windows. O recurso de Gerenciamento de Atualizações é gratuito e o único custo é o de armazenamento de log no Azure Log Analytics.

A tabela a seguir descreve como os recursos do Gerenciamento de Atualizações podem ajudar com atualizações para suas VMs do Azure.

Recurso Como o recurso pode ajudar
Examinar o status das atualizações nas VMs O serviço inclui um console baseado em nuvem no qual você pode examinar o status das atualizações em sua organização do Azure e para uma VM específica.
Configurar grupos dinâmicos de VMs para o destino Ele também permite que você defina uma consulta com base em um grupo de computadores. Um grupo de computador é um grupo de computadores definidos com base em outra consulta ou importados de outra fonte, como o WSUS ou o Microsoft Endpoint Configuration Manager.
Pesquisar os logs do Azure Monitor O Gerenciamento de Atualizações coleta registros dos logs de Azure Monitor.

Para implementar Gerenciamento de Atualizações do Azure em seu ambiente híbrido, você deve concluir as seguintes etapas de alto nível:

  1. Criar uma conta de Automação do Azure.
  2. Habilitar Gerenciamento de Atualizações.
  3. Integrar seus servidores locais.
  4. Selecionar os computadores a serem gerenciados.
  5. Agende atualizações

Observação

Essas etapas são as mesmas para servidores físicos e VMs locais e VMs do Azure que executam o Windows Server.

Interação com o Windows Update

O Gerenciamento de Atualizações de Automação do Azure se baseia no cliente do Windows Update para baixar e instalar atualizações do Windows. Há configurações específicas que são usadas pelo cliente do Windows Update ao se conectar ao WSUS ou ao Windows Update. Você pode gerenciar muitas dessas configurações:

  • Como usar o Editor de Política de Grupo local
  • Como usar a Política de Grupo
  • Usando o Windows PowerShell
  • Editando o Registro diretamente

Gerenciamento de Atualizações respeita muitas das configurações especificadas para controlar o cliente do Windows Update.

Dica

Se você usar as configurações para habilitar atualizações que não sejam do Windows, o Gerenciamento de Atualizações também gerencia essas atualizações.

Configurar o WSUS para gerenciar atualizações

O WSUS aprimora a segurança dos sistemas na Contoso aplicando atualizações de segurança aos produtos da Microsoft e a produtos de terceiros de maneira oportuna. Ele fornece a infraestrutura para baixar, testar e aprovar atualizações de segurança. Aplicar atualizações de segurança rapidamente ajuda a evitar incidentes de segurança decorrentes de vulnerabilidades conhecidas. Ao implementar o WSUS, é preciso considerar os requisitos de hardware e software para o WSUS, as configurações a serem definidas e as atualizações a serem aprovadas ou removidas de acordo com as necessidades da Contoso.

O Gerenciamento de Atualizações no Azure dá suporte às configurações do WSUS. Você pode especificar as fontes para verificar e baixar atualizações usando instruções em Especificar o local do serviço de atualização na intranet da Microsoft. Por padrão, o cliente do Windows Update está configurado para baixar atualizações do Windows Update. Quando você especifica um servidor do WSUS como uma fonte para seus computadores, se as atualizações não forem aprovadas no WSUS, a implantação da atualização falhará.

Uma captura de tela do Editor de Política de Grupo no Windows. O administrador navegou até a pasta do Windows Update e configurou os valores “Configurar atualizações automáticas”, “Especificar o local do serviço Microsoft Update na intranet” e “Não se conectar a nenhuma localização do Windows Update na Internet”.

Dica

Para restringir os computadores ao serviço de atualização interno, defina Não se conectar a nenhum local da Internet do Windows Update.