Melhores práticas para atualizações de software no Configuration Manager
Aplica-se a: Gerenciador de Configurações (branch atual)
Este artigo inclui práticas recomendadas para atualizações de software em Configuration Manager. As informações são classificadas em práticas recomendadas para instalação inicial e para operações em andamento.
Práticas recomendadas de instalação
Use as práticas recomendadas a seguir ao instalar atualizações de software no Configuration Manager.
Usar um banco de dados WSUS compartilhado para pontos de atualização de software
Ao instalar mais de um ponto de atualização de software em um site primário, use o mesmo banco de dados WSUS para cada ponto de atualização de software na mesma floresta do Active Directory. Se você compartilhar o mesmo banco de dados, ele atenua significativamente, mas não elimina completamente, o cliente e o impacto de desempenho de rede que você pode experimentar quando os clientes mudam para um novo ponto de atualização de software. Uma verificação delta ainda ocorre quando um cliente muda para um novo ponto de atualização de software que compartilha um banco de dados com o ponto de atualização de software antigo, mas a verificação é muito menor do que seria se o servidor WSUS tivesse seu próprio banco de dados. Para obter mais informações sobre a comutação de ponto de atualização de software, consulte Comutação de ponto de atualização de software.
Importante
Compartilhe também as pastas de conteúdo WSUS locais quando você usa um banco de dados WSUS compartilhado para pontos de atualização de software.
Para obter mais informações sobre como compartilhar o banco de dados WSUS, confira as seguintes postagens no blog:
Como implementar um SUSDB compartilhado para Configuration Manager pontos de atualização de software
Quando Configuration Manager e WSUS usam o mesmo SQL Server, configure uma para usar uma instância nomeada e outra para usar a instância padrão
Quando os bancos de dados Configuration Manager e WSUS compartilham a mesma instância de SQL Server, você não pode determinar facilmente o uso de recursos entre os dois aplicativos. Use instâncias de SQL Server diferentes para Configuration Manager e WSUS. Essa configuração facilita a solução de problemas e o diagnóstico de problemas de uso de recursos que podem ocorrer para cada aplicativo.
Especifique a configuração "Armazenar atualizações localmente"
Ao instalar o WSUS, selecione a configuração para Armazenar atualizações localmente. Essa configuração faz com que o WSUS baixe os termos de licença associados às atualizações de software. Ele baixa os termos durante o processo de sincronização e os armazena no disco rígido local do servidor WSUS. Se você não selecionar essa configuração, os computadores cliente poderão falhar nas verificações de conformidade para atualizações de software que tenham termos de licença. O componente WSUS Synchronization Manager do ponto de atualização de software verifica se essa configuração está habilitada a cada 60 minutos, por padrão.
Configurar os pontos de atualização de software para usar o TLS/SSL
Configurar servidores WSUS (Windows Server Update Services) e seus pontos de atualização de software correspondentes para usar o TLS/SSL pode reduzir a capacidade de um potencial invasor de comprometer remotamente um cliente e elevar privilégios. Para garantir que os melhores protocolos de segurança estejam em vigor, é altamente recomendável usar o protocolo TLS/SSL para ajudar a proteger sua infraestrutura de atualização de software. Para obter mais informações, consulte o ponto Configurar uma atualização de software para usar o TLS/SSL com um tutorial de certificado PKI.
Práticas recomendadas operacionais
Use as seguintes práticas recomendadas ao usar atualizações de software:
Limitar atualizações de software a 1000 em uma única implantação de atualização de software
Limite o número de atualizações de software para 1000 em cada implantação de atualização de software. Ao criar uma regra de implantação automática, verifique se os critérios especificados não resultam em mais de 1000 atualizações de software. Se você implantar manualmente atualizações de software, não selecione mais de 1000 atualizações.
Criar um novo grupo de atualização de software sempre que uma ADR for executada para "Terça de Patch" e para implantações gerais
Há um limite de 1000 atualizações de software em uma implantação. Ao criar uma ADR (regra de implantação automática), você especifica se deve usar um grupo de atualizações existente ou criar um novo grupo de atualizações sempre que a regra for executada. Se você especificar critérios em um ADR que resulta em várias atualizações de software e a regra for executada em um agendamento recorrente, crie um novo grupo de atualização de software sempre que a regra for executada. Esse comportamento impede que a implantação ultrapasse o limite de 1000 atualizações de software por implantação.
Usar um grupo de atualização de software existente para atualizações de definição do ADRs for Endpoint Protection
Quando você usa um ADR para implantar atualizações de definição do Endpoint Protection com frequência, use sempre um grupo de atualização de software existente. Caso contrário, o ADR potencialmente cria centenas de grupos de atualização de software ao longo do tempo. Os editores de atualização de definição normalmente definem as atualizações de definição para expirar quando são substituídas por quatro atualizações mais recentes. Portanto, o grupo de atualização de software criado pela ADR nunca contém mais de quatro atualizações de definição para o editor: uma ativa e três substituídas.