Melhores práticas para atualizações de software no Gestor de Configuração
Aplica-se a: Configuration Manager (ramo atual)
Este artigo inclui as melhores práticas para atualizações de software no Gestor de Configuração. A informação é classificada nas melhores práticas para a instalação inicial e para as operações em curso.
Instalação das melhores práticas
Utilize as seguintes boas práticas quando instalar atualizações de software no Gestor de Configurações.
Utilize uma base de dados WSUS partilhada para pontos de atualização de software
Se instalar mais do que um ponto de atualização de software num site primário, utilize a mesma base de dados do WSUS para cada ponto de atualização de software localizado na mesma floresta do Active Directory. Se partilhar a mesma base de dados, atenua significativamente, mas não elimina completamente, o impacto do desempenho do cliente e da rede que poderá ter quando os clientes mudarem para um novo ponto de atualização de software. Uma varredura delta ainda ocorre quando um cliente muda para um novo ponto de atualização de software que partilha uma base de dados com o antigo ponto de atualização de software, mas a digitalização é muito menor do que seria se o servidor WSUS tivesse a sua própria base de dados. Para obter mais informações sobre a comutação de pontos de atualização de software, consulte a comutação do ponto de atualização do software.
Importante
Também partilhe as pastas de conteúdo WSUS locais quando utilizar uma base de dados WSUS partilhada para pontos de atualização de software.
Para obter mais informações sobre a partilha da base de dados WSUS, consulte as seguintes publicações de blog:
Quando o Gestor de Configuração e o WSUS usam o mesmo SQL Server, configuure um para usar uma instância nomeada e o outro para usar a instância padrão
Quando as bases de dados Do Gestor de Configuração e das bases de dados da WSUS partilham a mesma instância de SQL Server, não é possível determinar facilmente o uso do recurso entre as duas aplicações. Utilize diferentes SQL Server instâncias para o Gestor de Configuração e WSUS. Esta configuração facilita a resolução de problemas e o diagnóstico de problemas de utilização de recursos que podem ocorrer para cada aplicação.
Especificar a definição "Armazenar atualizações localmente"
Quando instalar o WSUS, selecione a definição para armazenar as atualizações localmente. Esta definição faz com que a WSUS descarregue os termos de licença associados a atualizações de software. Descarrega os termos durante o processo de sincronização e armazena-os no disco rígido local para o servidor WSUS. Se não selecionar esta definição, os computadores clientes poderão falhar nas verificações de conformidade para atualizações de software que tenham termos de licença. O componente WSUS Synchronization Manager do ponto de atualização do software verifica se esta definição está ativada a cada 60 minutos, por padrão.
Configure os seus pontos de atualização de software para utilizar o TLS/SSL
Configurar Windows Server Update Services servidores (WSUS) e os respetivos pontos de atualização de software para utilizar o TLS/SSL pode reduzir a capacidade de um potencial intruso comprometer remotamente um cliente e elevar privilégios. Para garantir que os melhores protocolos de segurança estão em vigor, recomendamos vivamente que utilize o protocolo TLS/SSL para ajudar a proteger a sua infraestrutura de atualização de software. Para obter mais informações, consulte o ponto de atualização de software configurar um ponto de atualização de software para utilizar o TLS/SSL com um tutorial de certificado PKI.
Melhores Práticas Operacionais
Utilize as seguintes melhores práticas quando utilizar atualizações de software:
Limite as atualizações de software a 1000 numa única implementação de atualização de software
Limite o número de atualizações de software a 1000 em cada implementação de atualização de software. Quando criar uma regra de implementação automática, verifique se os critérios especificados não resultam em mais de 1000 atualizações de software. Se implementar manualmente atualizações de software, não selecione mais de 1000 atualizações.
Crie um novo grupo de atualização de software cada vez que um ADR executa para "Patch Tuesday" e para implementações gerais
Há um limite de 1000 atualizações de software numa implementação. Quando criar uma regra de implementação automática (ADR), especifica se deve utilizar um grupo de atualização existente ou criar um novo grupo de atualização sempre que a regra for executado. Se especificar critérios num ADR que resulte em várias atualizações de software e a regra for executado num horário recorrente, crie um novo grupo de atualização de software cada vez que a regra for executado. Este comportamento impede que a implementação ultrapasse o limite de 1000 atualizações de software por implementação.
Utilize um grupo de atualização de software existente para ADRs para atualizações de definição de proteção de pontos finais
Quando utilizar um ADR para implementar atualizações de definição de Proteção de Pontos Finais numa base frequente, utilize sempre um grupo de atualização de software existente. Caso contrário, o ADR potencialmente cria centenas de grupos de atualização de software ao longo do tempo. Os editores de atualização de definição normalmente definem atualizações de definição para expirar quando são substituídos por quatro atualizações mais recentes. Portanto, o grupo de atualização de software criado pelo ADR nunca contém mais do que quatro atualizações de definição para a editora: uma ativa e três superadas.