Definir as configurações de atualização do Windows para o Gerenciador de Atualizações do Azure

  • Artigo

O Gerenciador de Atualizações do Azure depende do cliente Windows Update para baixar e instalar atualizações do Windows. Há configurações específicas que são usadas pelo cliente do Windows Update ao se conectar ao Windows Server Update Services (WSUS) ou ao Windows Update. Muitas dessas configurações podem ser gerenciadas por:

  • Editor de Política de Grupo Local
  • Política de Grupo
  • PowerShell
  • Editar diretamente o Registro

O Gerenciador de Atualizações respeita muitas das configurações especificadas para controlar o cliente do Windows Update. Se você usar configurações para habilitar atualizações que não sejam do Windows, o Gerenciador de Atualizações também gerenciará essas atualizações. Se você quiser habilitar o download de atualizações antes que ocorra uma implantação de atualização, as implantações de atualização poderão ser mais rápidas, mais eficientes e ter menos probabilidade de exceder a janela de manutenção.

Para obter recomendações adicionais sobre como configurar o WSUS em sua assinatura do Azure e proteger as suas máquinas virtuais do Windows, examine Planejar sua implantação para atualizar as máquinas virtuais do Windows no Azure usando o WSUS.

Baixar previamente atualizações

Para configurar o download automático de atualizações sem instalá-las automaticamente, use a Política de Grupo para definir a configuração de Atualizações Automáticas como 3. Essa configuração permite downloads das atualizações necessárias em segundo plano e notifica que as atualizações estão prontas para instalação. Dessa forma, o Gerenciador de Atualizações permanece no controle dos agendamentos, mas permite o download de atualizações fora da janela de manutenção. Esse comportamento evita erros Maintenance window exceeded no Gerenciador de Atualizações.

Você pode habilitar essa configuração no PowerShell:

$WUSettings = (New-Object -com "Microsoft.Update.AutoUpdate").Settings
$WUSettings.NotificationLevel = 3
$WUSettings.Save()

Definir configurações reinicialização

As chaves do registro listadas em Configurar Atualizações Automáticas editando o registro e Chaves de registro usadas para gerenciar a reinicialização podem fazer com que seus computadores sejam reinicializados, mesmo que você especifique Nunca Reinicializar nas configurações de Implantação de Atualização. Configure essas chaves do registro para se adequar melhor ao seu ambiente.

Habilitar atualizações para outros produtos da Microsoft

Por padrão, o cliente do Windows Update está configurado para fornecer atualizações somente para o sistema operacional Windows. No Windows Update, selecione Verificar atualizações do Windows online. Ele verificará as atualizações de outros produtos da Microsoft para permitir que a opção Fornecer atualizações de outros produtos da Microsoft quando eu atualizar o Windows receba atualizações de outros produtos da Microsoft, incluindo patches de segurança para o Microsoft SQL Server e outros softwares da Microsoft.

Use uma das seguintes opções para realizar a alteração das configurações em escala:

  • Para servidores configurados para aplicar patch em um agendamento do Gerenciador de Atualizações (que tem as PatchSettings da VM definidas como AutomaticByPlatform = Azure-Orchestrated) e para todos os Servidores Windows em execução em um sistema operacional anterior ao Server 2016. Execute o seguinte script do PowerShell no servidor que você deseja alterar.

    $ServiceManager = (New-Object -com "Microsoft.Update.ServiceManager")
$ServiceManager.Services
$ServiceID = "7971f918-a847-4430-9279-4a52d1efe18d"
$ServiceManager.AddService2($ServiceId,7,"")

  • Para servidores que executam o Server 2016 ou posterior que não estão usando a aplicação de patch agendada do Gerenciador de Atualizações (que tem as PatchSettings da VM definidas como AutomaticByOS = Azure-Orchestrated), você pode usar a Política de Grupo para controlar isso baixando e usando os Arquivos de modelo administrativo mais recentes da Política de Grupo.

Configurar um servidor Windows para atualizações da Microsoft

O cliente Windows Update em servidores Windows pode obter seus patches de qualquer um dos seguintes repositórios de patches hospedados pela Microsoft:

  • Windows update - hospeda patches do sistema operacional.
  • Microsoft update - hospeda o sistema operacional e outros patches da Microsoft. Por exemplo, MS Office, SQL Server e assim por diante.

Observação

Para a aplicação de patches, você pode escolher o cliente de atualização no momento da instalação ou posteriormente usando a política de grupo ou editando diretamente o registro. Para obter os patches da Microsoft que não são do sistema operacional ou para instalar apenas os patches do sistema operacional, recomendamos que você altere o repositório de patches, pois essa é uma configuração do sistema operacional e não uma opção que pode ser configurada no Gerenciador de Atualizações do Azure.

Editar o registro

Se a aplicação de patches agendada estiver configurada em seu computador usando o Gerenciador de Atualizações do Azure, a atualização automática no cliente será desabilitada. Para editar o registro e definir a configuração, consulte Atualizações Internas no Windows.

Aplicação de patches usando a política de grupo no Gerenciador de Atualizações do Azure

Se o seu computador for corrigido usando o Gerenciador de Atualizações do Azure e tiver as atualizações automáticas habilitadas no cliente, você poderá usar a política de grupo para ter controle total. Para aplicar patches usando a política de grupo, siga estas etapas:

  1. Vá para Configuração do Computador>Modelos Administrativos>Componentes do Windows>Windows Update>Gerenciar a experiência do usuário final.

  2. Selecione Configurar Atualizações Automáticas.

  3. Selecione ou desmarque a opção Instalar atualizações para outros produtos Microsoft.

    Captura de tela da seleção ou desmarcação da instalação de atualizações para outros produtos da Microsoft.

Para o Windows Server 2022:

  1. Vá para Configuração do Computador>Modelos Administrativos>Componentes do Windows>Windows Update>Configurar Atualizações Automáticas.

  2. Selecione Configurar Atualizações Automáticas.

  3. Selecione ou desmarque a opção Instalar atualizações para outros produtos Microsoft.

    Captura de tela da seleção ou desmarcação da instalação de atualizações para outros produtos da Microsoft no Windows Server 2022.

Definir as configurações de WSUS

O Gerenciador de Atualizações dá suporte às configurações do WSUS. Você pode especificar as fontes para verificar e baixar atualizações usando instruções em Especificar o local do serviço de atualização na intranet da Microsoft. Por padrão, o cliente do Windows Update está configurado para baixar atualizações do Windows Update. Quando você especifica um servidor do WSUS como uma fonte para seus computadores, a implantação da atualização falhará se as atualizações não forem aprovadas no WSUS.

Para restringir os computadores ao serviço de atualização interno, defina não se conectar a nenhum local da Internet do Windows Update.

Próximas etapas

Configure uma implantação de atualização seguindo as instruções em Implantar atualizações.