Gestão de Updates - Parte 1 - A importância de gerenciar updates e suas ferramentas

Ah WannaCry…

Se teve algo que pudermos aprender com o WannaCry foi que gestão de software é uma necessidade a ser atendida, vulnerabilidades existem, quando identificadas, são corrigidas e precisam ser aplicadas em todo ambiente o mais breve possível.
Todo um processo de update leva tempo, envolve pessoas de diversas áreas, exige planejamento e alinhamento, testes e mais testes e quando tudo parecer perfeito, entramos no ciclo de aperfeiçoamento do processo, resumindo, é uma tarefa constante, assim como o crescimento da empresa é constante, novos funcionários, filiais, máquinas, isso exige em alguns casos, remodelar o processo para adequar esses novos dispositivos.

Mas nem tudo é simples, o maior inimigo de um processo de Software Update, são as pessoas em sí. Quantas vezes nos deparamos com administradores que não atualizam o parque a anos, por acharem  que isso vai trazer problemas em seu ambiente.

Pessoal, updates sempre existiram desde o início da TI, faz parte do ciclo da aplicação, temos que passar por isso, por que não  da melhor maneira possível?

Existe uma enorme possibilidade desse administrador que nunca atualizou seu ambiente, ter saído correndo atualizando na época do WannaCry, sem homologação, sem processo, às vezes sem plano de rollback.

Com tudo isso em mente, vamos começar a falar de principais pontos para um processo eficaz.

 

Escolha da ferramenta Choose your destiny!! - Entenderam? Mortal Kombat. Não? Então beleza…

Windows Update 

Recomendado para computadores pessoais. É o clássico padrão do Windows, a máquina faz o sync com o Windows Update, faz o download e instala esses updates, requer acesso à internet em todos os passos.
Não é necessário configurar, nem administrar, cada máquina trabalha individualmente.
Não recomendado para empresas, já que pelo grande número de máquinas, vai causar um enorme uso de internet para download do mesmo pacote em todas, além de não haver controle algum do administrador(existem algumas GPOs para controlar isso(enable/disable), mas não gerenciar). Sem relatório, sem processo, totalmente descentralizado.

WSUS

Tem foco em pequenas empresas. O WSUS é uma role do Windows Server, responsável pelo sincronismo com o catalogo de updates, também por aprovar a instalação de updates em grupos de máquinas, para as máquinas clientes reconhecem o WSUS é necessário a configuração por GPO.
Suas principais diferenças com relação ao SCCM, são na quantidade de relatórios, tendo o SCCM uma vasta seleção de relatórios voltados a conformidade, até mesmo ao troubleshooting de Software Update, além do Distribuition Point(SCCM) para gestão dos arquivos de updates.

System Center Configuration Manager

Para médios e grandes ambientes, o ConfigMgr conta com a função de software update point, que tem o objetivo de sincronizar com o catalogo de updates da Microsoft, utilizando o WSUS, além de realizar o download dos updates, distribui-los e a gerar relatórios de conformidade, tudo isso monitorado pelo administrador SCCM.
Sua principal vantagem com relação ao WSUS, são na quantidade de relatórios, tendo o SCCM uma vasta seleção de relatórios voltados a conformidade, até mesmo ao troubleshooting de Software Update, além do Distribuition Point para gestão dos arquivos de updates.
Por mais que o SCCM utilize a engine do WSUS para coleta de metadata, etc. Todo o gerenciamento do mesmo deve ser feito através da console do SCCM.

O Processo de aplicação de software update nas máquinas consiste em duas fases:

  • Update Scan

Os clientes SCCM rodam a tarefa de Software Update Scan, que tem seu agendamento configurado pelo administrador SCCM. Nesse processo a máquina solicita a localização do WSUS para o Management Point (MP), que faz a chamada do WUA(Windows Update Agent) e inicia o processo de Scan. Em seguida, envia o resultado para o MP.

  • Instalação de Updates

Com o resultado do Scan, o cliente informa ao SCCM quais updates ele tem instalado ou não. Com isso o administrador do SCCM inicia o deploy dos updates para os clientes que realizam o download e instalam os updates necessários.

Por esse motivo, o processo de Scan se torna tão importante quanto a aplicação do update em si, pois o deploy não é realizado sem que o Scan tenha sucesso.

 

Na segunda parte do post, vamos entender o novo(nem tão novo assim) processo de disponibilização de updates, implementado em outubro de 2016. Esse passo vai ser importante em definir a estratégia de update a ser seguida.


 

Conteúdo editado e publicado por:

Richard Juhasz

Microsoft PFE

Configuration Manager