Gestão de Updates - Parte 2 - Categorias de Updates e sua disponibilização

Após conhecer e escolher a ferramenta a ser utilizada para distribuição e instalação de updates(veja Gestão de Updates - Parte 1). Vamos entender como os updates são categorizados e disponibilizados.

Categorias

Teremos um momento em nosso processo, que iremos nos deparar com a seguinte tela, onde deveremos definir categorias o WSUS/SCCM fará sincronismo com o Microsoft Update Catalog.

"Ah legal, marcarei todas e serei feliz, certo?" Nãããão, muito errado.

Entender as categorias de update é de extrema importância, já que sair escolhendo todas pode causar queda de performance e falhas no processo de Scan de updates, devido ao volume de metadados no WSUS.

Planejamento e definição de escopo é essencial nesse momento, como dica, foque principalmente em updates críticos e de segurança, esses são os principais e essenciais a todos, para os demais, utilize se realmente houver necessidade.

  • Critical Updates
    Resolvem falhas que afetaram diretamente o funcionamento de itens críticos da aplicação.
    Esse tipo de update não envolve vulnerabilidade de segurança.
  • Definition update
    Updates que envolvem atualização de definições em alguma base de dados. Um grande          exemplo dessa categoria são os updates de definição do Endpoint Protection e Windows Defender.
    Esses updates são lançados constantemente, em alguns casos até 3 vezes ao dia e expiram em poucos dias.
  • Driver
    Atualizações de drivers, homologados e disponíveis no Microsoft Update Catalog. Nem todos os fabricantes estão disponíveis no Catalog, então sempre confirme com o fabricante.
  • Feature Pack
    Adicionam novas funcionalidades a aplicação.
  • Security update
    Updates relacionados à segurança e resolução de vulnerabilidades.
  • Service Pack
    Service pack, muita nostalgia envolvida aqui, já que seu uso tem sido cada vez menor, graças a updates cumulativos, updates de build, etc. Service pack nada mais é do que um pacote cumulativo de updates e novas funções.
  • Update Rollup
    Pacote com diversos updates com o objetivo de simplificar a distribuição e instalação.
  • Tool
    Adição de ferramenta a aplicação.
  • Update
    Updates que corrigem falhas não-críticas da aplicação e não relacionadas à segurança.
  • Upgrade
    Nova categoria, vinda com os upgrades do Windows 10, também conhecido como atualização de build.

 

Disponibilização

Há muito tempo atrás, em um Windows muito muito distante, criou-se o conceito de "Patch Tuesday", a terça-feira da atualização.
Na segunda terça-feira de todo mês a Microsoft disponibiliza seus updates, para ser mais preciso a disponibilização ocorre durante a manhã no horário de Redmond, então se estiver no horário de Brasília, não adianta rodar o Sync do seu WSUS durante a manhã, espere até pelo menos as 15:00 horas.
Isso não quer dizer que os updates sejam disponibilizados somente na terça-feira, em casos críticos, os updates podem ser liberados a qualquer dia do mês.
Em outubro de 2016 a Microsoft alterou sua forma de disponibilizar os updates para os seguintes sistemas operacionais:

  • Windows 7 SP1
  • Windows 8.1
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

Antes de out/2016

Lançamento de diversos KBs separadamente, cada um com seu objetivo.

Atualmente

São lançados 4 pacotes, para cada versão de Sistema operacional.

  • Monthly Quallity Rollup - Pacote cumulativo com updates de segurança e não segurança, críticos. Seu grande ponto positivo é a simplicidade na distribuição, monitoração e troubleshooting, já que vamos lidar somente com um KB no lugar de vários. Por ser cumulativo, só é preciso a instalação do último lançado. Lembrando que ele é cumulativo a partir de outubro de 2016, os updates lançados antes dessa data ainda devem ser instalados individualmente.
  • Security-Only - É um pacote com os updates de segurança do mês, esse pacote não é cumulativo, então é preciso instalar todos os dos meses anteriores. Esses mesmos updates estão disponíveis no Monthly Quality Rollup.
  • Security and Quality Rollup for .NET Framework - Pacote cumulativo semelhante ao Monthly Quality Rollup do Windows, porém com foco somente em .NET, já que o Security-Only e o Monthly Quality Rollup não instalam updates de .NET.
  • Preview of Monthly Rollup - Prévia dos updates de não-segurança do próximo mês, esse pacote não vem no Patch Tuesday, seu lançamento ocorre a partir da terceira semana. Esse update não é recomendado em ambiente de produção.

Windows 10

No Windows 10 os updates sempre foram cumulativos, então não houve mudança nisso, porém existe um item a ser destacado.

  • Delta Update - Um pacote somente com a diferença em vista o último cumulativo. O objetivo desse pacote é reduzir o tamanho a ser distribuído, porém se pular um mês de update, o delta perde sua função, nesse caso é preciso aplicar todo o cumulativo. Exemplo: Atualiza o cumulativo de janeiro, pula fevereiro e tenta aplicar o delta de março, isso não vai funcionar devido a falta do update de fevereiro.

 

Próxima semana vamos finalmente botar a mão na massa, instalando o WSUS no SCCM.

 

Abraços.


Conteúdo editado e publicado por: Richard Juhasz
Microsoft PFE
Configuration Manager