iOS 

Configurando a atualização do Windows XP wsus. Configurando clientes WSUS usando políticas de grupo. Removendo um serviço da inicialização automática

As atualizações automáticas são um recurso funcional importante de qualquer sistema operacional. Graças a ele, o computador recebe atualizações importantes em tempo hábil, tornando o sistema mais estável e seguro. No Windows 7, a função é ativada inicialmente. Isso significa que se houver uma conexão com servidores Microsoft, o serviço de atualização verifica a disponibilidade de pacotes novos, baixa-os e instala-os. Normalmente, todos os processos passam praticamente despercebidos pelo usuário, mas quando aparecem ofertas constantes de atualização para 10, isso já é um exagero.

Teoricamente, não há necessidade de desativar o download automático de atualizações. É útil porque fecha brechas de segurança, otimiza o funcionamento do SO e adiciona novos recursos (em relação às “dezenas”). Há também uma lista de motivos pelos quais o serviço de atualização automática deve ser desativado:

  1. O usuário não gosta que durante a atualização a velocidade da Internet caia e/ou o PC não fique desligado por muito tempo.
  2. O computador possui Internet sem fio cara ou limitada.
  3. Problemas após iniciar o sistema operacional atualizado.
  4. Falhas durante a instalação de pacotes de atualização.
  5. Não há espaço suficiente no volume do sistema para acomodar o aumento de volume do Windows 7, que cresce a cada atualização.

Tipos

Ainda assim, antes de desabilitar a atualização do Windows 7, pense se ela é realmente necessária. Além de desativar o serviço, ele pode ser alternado para os seguintes modos de operação.

  1. Totalmente automático - as operações prosseguem sem intervenção do usuário, apenas notificando o usuário de que a instalação dos pacotes foi concluída.
  2. Pesquisa e baixa as correções mais recentes de acordo com uma programação, e a instalação dos pacotes é realizada pelo usuário.
  3. Verificação automática e notificação ao usuário sobre a disponibilidade de atualizações.
  4. A atualização automática está desativada. Tudo é feito manualmente.

As opções são selecionadas no componente Update Center.

Métodos de desconexão

As configurações de qualquer Windows são armazenadas em seu registro. Você pode acessar a chave responsável pelas configurações do Update Center de várias maneiras simples e algumas mais complexas. Vamos dar uma olhada em todos eles.

Alterar as configurações do Centro de Atualização

Vamos começar configurando o serviço para nós mesmos. Para acessar a interface de configuração, você precisa abrir o “Centro de Atualização” usando um dos seguintes métodos.

Sistema

  1. Através do menu de contexto do Meu Computador, acesse suas “Propriedades”.
  1. No menu vertical esquerdo, clique no link correspondente localizado na parte inferior da janela.

  1. Vá para o “Painel de Controle”.
  2. Abra a seção “Sistema, Segurança”.
  1. Chame o elemento com o mesmo nome.

Se os itens do painel de controle forem renderizados como ícones em vez de categorias, um link para o item aparecerá na janela principal.

  1. Assim, após entrar na janela desejada, clique em “Parâmetros de configurações”.
  1. Vá para a seção “Atualizações importantes” e selecione a opção apropriada na lista suspensa.

A única maneira de desabilitar completamente o recebimento de atualizações em um computador com Windows 7 é interromper o serviço.

Desativando o serviço

A gestão dos serviços nos “sete” ocorre através de:

  • edição direta de chaves de registro, o que é muito inconveniente;
  • programas de terceiros para configurar o sistema operacional (ignoraremos esta opção);
  • Snap-in do console MMC;
  • configuração do sistema;
  • linha de comando;
  • Editor de Política de Grupo (presente no Windows 7 Ultimate, Enterprise).

Removendo um serviço da inicialização automática

A maneira mais rápida de desabilitar as atualizações é por meio do configurador do sistema.

  1. Execute “msconfig” na janela do interpretador de comandos, que será aberta após manter pressionadas as teclas Win + R ou clicar no botão “Executar” em Iniciar.
  1. Vá para a guia “Serviços”.
  2. Encontre “Windows Update” (talvez Windows Update) e desmarque a caixa ao lado dele.
  1. Salve as novas configurações.

Até o final da sessão atual, o serviço funcionará, executando adequadamente as tarefas que lhe são atribuídas. Para aplicar a nova configuração, o Windows 7 deve ser reinicializado.

Vamos usar o snap-in do console MMC

O snap-in do console do sistema com o mesmo nome fornece acesso para gerenciar todos os serviços no PC. Começa assim.

  1. Abra o menu de contexto do diretório “Meu Computador”.
  2. Chame o comando “Gerenciar”.
  1. No menu vertical esquerdo, expanda o item “Serviços e Aplicativos”. Em seguida, clique no link “Serviços”.

Uma opção mais simples para chamar a mesma janela seria executar o comando “services.msc” através da caixa de diálogo “Executar”.

  1. Role até o final da lista de serviços e abra as “Propriedades” do serviço Windows Update.
  1. Na lista suspensa “Tipo de inicialização”, selecione “Desativado” em vez de “Automático” para dizer adeus às atualizações automáticas para sempre. Se você precisar desabilitar o serviço agora, clique em “Parar”. Salve as novas configurações com o botão “Aplicar” e feche todas as janelas.

O PC não precisa ser reiniciado para aplicar as configurações.

Editor de Política de Grupo

Outro snap-in do MMC chamado Editor de Política de Grupo Local ajudará você a configurar qualquer parâmetro do sistema.

Não está disponível na edição caseira do Seven!

  1. A ferramenta é iniciada executando o comando “gpedit.msc” através da janela “Executar”.
  1. Na subseção “Configuração do PC”, expanda o ramo “Modelos Administrativos”.
  1. Abra “Componentes do Windows” e procure Centro de Atualização.
  2. No lado direito da janela encontramos um parâmetro cujo nome começa com “Configuração de atualização automática”.
  3. Acesse suas configurações.
  1. Mova a caixa de seleção para a posição “Desativar” e clique em “OK” para fechar a janela e salvar as alterações.

Vamos usar a linha de comando

Através da linha de comando, são realizadas todas as mesmas operações da interface gráfica, e ainda mais, mas em modo texto. O principal é conhecer sua sintaxe e parâmetros.

O comando “cmd” é responsável por chamar a linha de comando.

  1. Abra o interpretador de comandos e execute-o.


Publicado em 18 de fevereiro de 2009 por · Sem comentários

Neste artigo, falarei sobre algumas chaves de registro associadas ao Windows Update. Mostrarei as diferentes opções que essas chaves de registro podem assumir.

Se você perdeu a segunda parte deste artigo, leia

Embora o Windows Update e o WSUS sejam geralmente bastante fáceis de configurar, às vezes você pode obter mais controle fazendo algumas alterações no registro do Windows. Neste artigo, mostrarei algumas chaves de registro associadas ao Windows Update. Mostrarei as diferentes opções que essas chaves de registro podem assumir.

Para iniciar

Em primeiro lugar, deixarei os advogados felizes e alertarei que fazer alterações no registro pode ser muito perigoso. Inserir configurações de registro incorretas pode levar à destruição do Windows e/ou de qualquer aplicativo em execução na máquina. Antes de tentar fazer alterações no registro, você deve fazer um backup completo do sistema, estou pronto para mostrar como isso é feito.

Há mais uma coisa que preciso lhe contar. O ajuste fino sobre o qual quero falar se aplica apenas a computadores que executam o Windows XP. Você pode fazer alterações diretamente em máquinas específicas ou aplicá-las como parte de um script de login. Além disso, algumas das chaves sobre as quais falarei podem não existir por padrão. Se quiser usar uma chave que não existe, você deve primeiro criá-la. Você também deve saber que o comportamento do Windows Update pode ser controlado usando a política de grupo. Às vezes, as políticas de grupo podem modificar as chaves do Registro para que sigam o comportamento que especificam.

Escalação de privilégios

Um dos problemas de obter atualizações de um servidor WSUS é que os usuários não podem aprovar ou negar atualizações, a menos que sejam membros do grupo de administradores locais. No entanto, você pode usar o registro para elevar os privilégios dos usuários para que eles possam instalar ou recusar a instalação de alterações, independentemente de serem membros do grupo de administradores locais ou não. Por outro lado, você também pode impedir que os usuários instalem atualizações e deixar esse direito para o administrador (Admin).

A chave de registro responsável por isso é: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ElevateNonAdmins

A chave ElevateNonAdmins possui dois valores possíveis. O valor padrão 1 permite que usuários não administradores instalem atualizações. Se você alterar esse valor para 0, somente os administradores poderão instalar atualizações.

Grupos-alvo

Uma das grandes vantagens do WSUS é que ele permite a segmentação do lado do cliente. A ideia do posicionamento do lado do cliente é que você possa definir diferentes grupos de computadores e distribuir direitos para instalar atualizações dependendo da associação ao grupo. Por padrão, o posicionamento do lado do cliente não é usado, mas se você optar por usá-lo, existem duas chaves de registro que o ajudarão a fazer isso. A primeira dessas chaves inclui o direcionamento do lado do cliente e a outra indica o nome do grupo ao qual o computador pertence. Ambas as chaves devem ser criadas em: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\

A primeira chave é uma chave DWORD chamada TargetGroupEnabled. Você pode definir essa chave como 0, que desativa o direcionamento do lado do cliente, ou 1, que ativa o direcionamento do lado do cliente.

A outra chave que você deve criar deve se chamar TargetGroup e ter um valor de string. O valor desta chave deve ser o nome do grupo ao qual o computador deve ser atribuído.

Instalando um servidor WSUS

Se você já está envolvido com a web há algum tempo, provavelmente sabe que o design da web tende a mudar com o tempo. Coisas como o crescimento da empresa, novos requisitos de segurança e restrições corporativas muitas vezes constituem a base para mudanças na rede. Como isso se aplica às atualizações do Windows? O WSUS é escalonável e pode ser instalado de maneira hierárquica. Isso significa que uma organização pode ter vários servidores WSUS instalados. Se um PC for movido para outra parte da empresa, o servidor WSUS originalmente definido para esse computador poderá não ser mais apropriado para o novo local. Felizmente, algumas modificações simples no registro podem alterar o servidor WSUS do qual o PC recebe atualizações.

Existem duas chaves usadas para identificar o servidor WSUS. Cada um deles está localizado em: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\. A primeira chave é chamada WUServer. Essa chave deve ser definida como um valor de texto que descreva a URL do servidor WSUS (por exemplo: http://servername).

Outra chave que você deve alterar é uma chave chamada WUStatusServer. A ideia com esta chave é que o computador (PC) relate seu status ao servidor WSUS para que o servidor WSUS possa saber quais alterações foram instaladas no computador. A chave WUStatusServer geralmente contém exatamente o mesmo valor que a chave WUServer (por exemplo: http://servername).

Agente de atualização automática

Então, falei sobre como conectar um computador (PC) a um servidor WSUS específico ou a um grupo específico (grupo-alvo), mas isso é apenas metade do processo. O Windows Update usa um agente de atualização que realmente instala as atualizações. Existem várias chaves de registro localizadas em HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU que controlam o agente de atualização automática.

A primeira dessas chaves é a chave AUOptions. Este valor DWORD pode ser definido como 2, 3, 4 ou 5. Um valor 2 significa que o agente deve notificar o usuário quando as atualizações forem baixadas. Um valor 3 significa que a atualização será baixada automaticamente e o usuário será notificado sobre a instalação. Um valor 4 significa que a atualização deve ser baixada e instalada automaticamente conforme planejado. Para que esta opção funcione, você também deve definir os valores das chaves ScheduledInstallDay e ScheduledInstallTime. Falarei mais sobre essas chaves mais tarde. Por fim, um valor 5 significa que a atualização automática é necessária, mas pode ser configurada pelos usuários finais.

A próxima chave sobre a qual quero falar é a chave AutoInstallMinorUpdates. Essa chave pode ter o valor 0 ou 1. Se o valor da chave for 0, as atualizações secundárias serão processadas da mesma forma que quaisquer outras atualizações. Se o valor da chave for 1, as atualizações secundárias serão instaladas silenciosamente em segundo plano.

Outra chave relacionada ao Agente de Atualização Automática é a chave DetectionFrequency. Esta chave permite definir com que frequência o agente deve verificar atualizações. O valor da chave deve ser um número inteiro de 1 a 22, que reflete o número de horas entre as tentativas de solicitação de atualização.

A chave de registro associada a ela é a chave DetectionFrequencyEnabled. Como o nome sugere, esta tecla permite ativar ou desativar a função Frequência de detecção. Se você definir o valor desta chave como 0, o valor da chave DetectionFrequency será ignorado, e se você definir o valor desta chave como 1, o agente terá que usar o valor da chave DetectionFrequency.

A próxima chave sobre a qual quero falar é a chave NoAutoUpdate. Se o valor desta chave for 0, a atualização automática estará habilitada. Se o valor da chave for 1, a atualização automática será desativada.

A última chave de registro sobre a qual quero falar é a chave NoAutoRebootWithLoggedOnUsers. Como você provavelmente sabe, algumas atualizações podem não ter efeito sem a reinicialização do sistema. Se o usuário estiver trabalhando neste momento, uma reinicialização poderá ser muito indesejável. Isto é especialmente verdadeiro se o usuário saiu de sua mesa e não salvou seu trabalho. Nesse caso, a chave NoAutoRebootWithLoggedOnUsers ajudará. O valor desta chave pode ser 0 ou 1. Se o valor da chave for 0, os usuários receberão um aviso de 5 minutos antes que o sistema seja reinicializado automaticamente. Se o valor da chave for 1, os usuários simplesmente receberão uma mensagem solicitando permissão para reinicializar, mas poderão optar por fazê-lo a seu critério.

Conclusão

Existem muitas outras chaves de registro relacionadas ao Windows Update. Falarei sobre o restante deles na segunda parte deste artigo.

www.windowsnetworking.com


Veja também:

Comentários dos leitores (sem comentários)

Intercâmbio 2007

Se desejar ler as partes anteriores desta série de artigos, siga os links: Monitorando o Exchange 2007 usando o System Manager...

Introdução Neste artigo de várias partes, quero mostrar o processo que usei recentemente para migrar de um ambiente existente do Exchange 2003...

Se você perdeu a primeira parte desta série, leia-a em Usando a ferramenta Analisador de Conectividade Remota do Exchange Server (Parte...

Se você perdeu a parte anterior desta série de artigos, acesse Monitorando o Exchange 2007 com o System Center Operations Manager...

Olá a todos, hoje mais uma nota para mim, nomeadamente uma lista de servidores Windows Update. Por que isso pode ser útil, por exemplo, se você recebeu um erro Atualização não encontrada ao instalar uma função WSUS, ou vice-versa, por algum motivo você deseja bani-los, para economizar tráfego se você não tiver o WSUS, já que nem todos os Windows as atualizações são boas e principalmente nas versões modernas, acho que não adianta lembrar do erro, embora essa lista possa continuar por muito tempo. O motivo não importa, o principal é saber que ele existe e você pode de alguma forma trabalhar com ele. Abaixo, mostrarei métodos para bloquear endereços de servidores de atualização da Microsoft, tanto universais, adequados para um computador individual quanto para gerenciamento centralizado dentro de uma empresa.

Por que as atualizações do Windows não são instaladas?

Aqui está uma captura de tela do erro se o endereço do servidor de atualização da Microsoft não estiver disponível. Como você pode ver, o erro não é muito informativo. Eu consigo em um servidor que faz a função de WSUS, para quem não lembra o que é, então este é um centro de atualização local para empresas, para economizar tráfego, e é aqui que as atualizações do Windows não são instaladas devido ao falta de disponibilidade de servidores Microsoft.

O que fazer se as atualizações do Windows não estiverem instaladas

  • Em primeiro lugar, você deve verificar se possui Internet, já que sua presença é obrigatória para a maioria das pessoas, a menos, é claro, que você tenha um domínio Active Directory e baixe-os do seu WSUS
  • A seguir, se houver Internet, observe o código do erro, pois é por meio dele que você precisa buscar informações para solucionar o problema (dos problemas recentes posso dar um exemplo de como o Erro 0x80070422 ou Erro c1900101 é resolvido), mas a lista também pode ser mantida por muito tempo.
  • Verificamos em nosso servidor proxy se há proibição dos seguintes endereços de servidor de atualização da Microsoft.

A própria lista de servidores de atualização da Microsoft

  1. http://windowsupdate.microsoft.com
  2. http://*.windowsupdate.microsoft.com
  3. https://*.windowsupdate.microsoft.com
  4. http://crl.microsoft.com/pki/crl/products/MicProSecSerCA_2007-12-04.crl
  5. http://*.update.microsoft.com
  6. https://*.update.microsoft.com
  7. http://*.windowsupdate.com
  8. https://ativação.sls.microsoft.com/
  9. http://download.windowsupdate.com
  10. http://download.microsoft.com
  11. http://*.download.windowsupdate.com
  12. http://wustat.windows.com
  13. http://ntservicepack.microsoft.com
  14. https://go.microsoft.com/
  15. http://go.microsoft.com/
  16. https://login.live.com
  17. https://validation.sls.microsoft.com/
  18. https://ativação-v2.sls.microsoft.com/
  19. https://validação-v2.sls.microsoft.com/
  20. https://displaycatalog.mp.microsoft.com/
  21. https://licensing.mp.microsoft.com/
  22. https://purchase.mp.microsoft.com/
  23. https://displaycatalog.md.mp.microsoft.com/
  24. https://licensing.md.mp.microsoft.com/
  25. https://purchase.md.mp.microsoft.com/

Em um dos artigos anteriores descrevemos detalhadamente o procedimento. Depois de configurar o servidor, você precisa configurar os clientes Windows (servidores e estações de trabalho) para usar o servidor WSUS para receber atualizações, para que os clientes recebam atualizações do servidor de atualização interno em vez de servidores Microsoft Update pela Internet. Neste artigo, percorreremos o procedimento de configuração de clientes para usar um servidor WSUS usando políticas de grupo de domínio do Active Directory.

As políticas de grupo do AD permitem que um administrador atribua automaticamente computadores a diferentes grupos do WSUS, eliminando a necessidade de mover manualmente os computadores entre grupos no console do WSUS e manter esses grupos atualizados. A atribuição de clientes a diferentes grupos-alvo do WSUS é baseada em um rótulo de registro no cliente (os rótulos são definidos pela Política de Grupo ou pela edição direta do registro). Este tipo de atribuição de clientes a grupos WSUS é denominado clienteladoalvejando(Segmentação do lado do cliente).

Presume-se que nossa rede usará duas políticas de atualização diferentes - uma política de instalação de atualização separada para servidores ( Servidores) e para estações de trabalho ( Estações de trabalho). Esses dois grupos precisam ser criados no console do WSUS na seção Todos os Computadores.

Conselho. A política de como os clientes usam o servidor de atualização do WSUS depende em grande parte da estrutura organizacional da UO no Active Directory e das regras de instalação de atualização da organização. Neste artigo, veremos apenas uma opção específica que permite compreender os princípios básicos do uso de políticas do AD para instalar atualizações do Windows.

Primeiro de tudo, você precisa especificar uma regra para agrupar computadores no console do WSUS (segmentação). Por padrão, no console do WSUS, os computadores são distribuídos manualmente pelo administrador em grupos (direcionamento no servidor). Não estamos satisfeitos com isso, por isso salientaremos que os computadores são distribuídos em grupos com base na segmentação do lado do cliente (por uma chave específica no registro do cliente). Para fazer isso, no console do WSUS, vá para a seção Opções e abra o parâmetro Computadores. Altere o valor para Use a Política de Grupo ou configuração de registro em computadores(Use a Política de Grupo ou configurações de registro em computadores).

Agora você pode criar um GPO para configurar clientes WSUS. Abra o console de gerenciamento de política de grupo do domínio e crie duas novas políticas de grupo: ServerWSUSPolicy e WorkstationWSUSPolicy.

Política de grupo do WSUS para servidores Windows

Vamos começar com uma descrição da política do servidor Política do ServidorWSUS.

As configurações de política de grupo responsáveis ​​​​pela operação do serviço Windows Update estão localizadas na seção GPO: ComputadorConfiguração -> Políticas-> Administrativomodelos-> janelasComponente-> janelasAtualizar(Configuração do Computador -> Modelos Administrativos -> Componentes do Windows -> Windows Update).

Em nossa organização, esperamos usar esta política para instalar atualizações do WSUS em servidores Windows. Espera-se que todos os computadores cobertos por esta política sejam atribuídos ao grupo Servidores no console do WSUS. Além disso, queremos evitar a instalação automática de atualizações nos servidores quando elas forem recebidas. O cliente WSUS deve simplesmente baixar as atualizações disponíveis para o disco, exibir um alerta para novas atualizações na bandeja do sistema e aguardar que um administrador inicie a instalação (manualmente ou remotamente usando ) para iniciar a instalação. Isso significa que os servidores produtivos não instalarão atualizações e reinicializarão automaticamente sem a aprovação do administrador (geralmente esses trabalhos são realizados pelo administrador do sistema como parte da manutenção programada mensal). Para implementar tal esquema, definiremos as seguintes políticas:

  • ConfigurarAutomáticoAtualizações(Configurando atualização automática): Habilitar. 3 – Automáticodownloadenotificarparainstalar(Baixar atualizações automaticamente e notificá-lo quando estiverem prontas para instalação)– o cliente baixa automaticamente novas atualizações e notifica sobre sua disponibilidade;
  • EspecificamosIntranetMicrosoftatualizarserviçolocalização(Especifique o local do Microsoft Update na intranet): Habilitar. Configure o serviço de atualização da intranet para detectar atualizações: http://srv-wsus.site:8530, Defina o servidor de estatísticas da intranet: http://srv-wsus.site:8530– aqui você precisa especificar o endereço do seu servidor WSUS e do servidor de estatísticas (geralmente são iguais);
  • Sem reinicialização automática com usuários conectados para instalações agendadas de atualizações automáticas(Não reinicie automaticamente ao instalar atualizações automaticamente se houver usuários em execução no sistema): Habilitar– proibir a reinicialização automática quando houver uma sessão de usuário;
  • Habilitarcliente-ladoalvejando ( Permitir que o cliente ingresse no grupo-alvo): Habilitar. Nome do grupo de destino para este computador: Servidores– no console do WSUS, atribua clientes ao grupo Servidores.

Observação. Ao configurar uma política de atualização, recomendamos que você se familiarize cuidadosamente com todas as configurações disponíveis em cada uma das opções da seção GPO janelasAtualizar e defina os parâmetros adequados à sua infraestrutura e organização.

Política de instalação de atualização do WSUS para estações de trabalho

Presumimos que as atualizações nas estações de trabalho clientes, ao contrário da política do servidor, serão instaladas automaticamente à noite, imediatamente após o recebimento das atualizações. Após a instalação das atualizações, os computadores deverão reiniciar automaticamente (avisando o usuário com 5 minutos de antecedência).

Neste GPO (WorkstationWSUSPolicy) especificamos:

  • PermitirAutomáticoAtualizaçõesimediatoinstalação(Permitir instalação imediata de atualizações automáticas): Desabilitado- proibição de instalação imediata de atualizações quando recebidas;
  • Permitirnão-administradoresparareceberatualizarnotificações(Permitir que usuários não administradores recebam notificações de atualização): Habilitado- exibir um aviso aos não administradores sobre novas atualizações e permitir sua instalação manual;
  • Configurar atualizações automáticas:Habilitado. Configure a atualização automática: 4 - Baixe automaticamente e agende a instalação. Dia de instalação agendado: 0 - Tododia. Horário de instalação agendado: 05:00 – quando novas atualizações são recebidas, o cliente baixa-as para o cache local e agenda sua instalação automática para as 5h;
  • Nome do grupo de destino para este computador: Estações de trabalho– no console WSUS, atribua o cliente ao grupo Estações de Trabalho;
  • Nenhuma reinicialização automática com usuários conectados para instalações agendadas de atualizações automáticas: Desabilitado- o sistema será reinicializado automaticamente 5 minutos após a conclusão da instalação da atualização;
  • Especifique o local do serviço de atualização da Microsoft na intranet: Habilitar. Configure o serviço de atualização da intranet para detectar atualizações: http://srv-wsus.site:8530, Defina o servidor de estatísticas da intranet: http://srv-wsus.site:8530–endereço do servidor WSUS corporativo.

No Windows 10 1607 e superior, mesmo que você tenha solicitado que eles obtenham atualizações do WSUS interno, eles ainda poderão tentar entrar em contato com os servidores do Windows Update na Internet. Esse "recurso" é chamado DualVarredura. Para desabilitar o recebimento de atualizações da Internet, você também deve habilitar a política FazernãopermitiratualizaradiamentopolíticasparacausaverificaçõescontrajanelasAtualizar ().

Conselho. Para melhorar o “nível de aplicação de patches” dos computadores de uma organização, ambas as políticas podem ser configuradas para forçar o início do serviço de atualização (wuauserv) nos clientes. Para fazer isso, na seção Configuração do computador -> Políticas-> Configurações do Windows -> Configurações de segurança -> Serviços do sistema Encontre o serviço Windows Update e configure-o para iniciar automaticamente ( Automático).

Atribuindo políticas do WSUS a unidades organizacionais do Active Directory

A próxima etapa é atribuir as políticas criadas aos contêineres (OUs) apropriados do Active Directory. No nosso exemplo, a estrutura da UO no domínio AD é a mais simples possível: existem dois containers – Servidores (contém todos os servidores da organização, além dos controladores de domínio) e WKS (Estações de Trabalho – computadores dos usuários).

Conselho. Estamos considerando apenas uma opção bastante simples para vincular as políticas do WSUS aos clientes. Em organizações reais, é possível vincular uma política do WSUS a todos os computadores em um domínio (um GPO com configurações do WSUS está anexado à raiz do domínio), para distribuir diferentes tipos de clientes em diferentes UOs (como em nosso exemplo - nós criaram diferentes políticas WSUS para servidores e estações de trabalho), em grandes domínios distribuídos podem ser vinculados ou atribuídos GPOs com base ou uma combinação dos métodos acima.

Para atribuir uma política a uma UO, clique na UO desejada no Console de Gerenciamento de Política de Grupo e selecione o item de menu Vincular como GPO existente e selecione a política apropriada.

Conselho. Não se esqueça de uma UO separada com controladores de domínio (Controladores de Domínio); na maioria dos casos, a política de “servidor” do WSUS deve ser atribuída a este contêiner.

Exatamente da mesma maneira, você precisa atribuir a política WorkstationWSUSPolicy ao contêiner AD WKS no qual as estações de trabalho Windows estão localizadas.

Tudo o que resta é atualizar as políticas de grupo nos clientes para vincular o cliente ao servidor WSUS:

Todas as configurações do sistema de atualização do Windows que definimos usando políticas de grupo devem aparecer no registro do cliente na filial HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

Este arquivo reg pode ser usado para transferir configurações do WSUS para outros computadores que não podem definir configurações de atualização usando GPO (computadores em um grupo de trabalho, segmentos isolados, DMZ, etc.)

Editor de registro do Windows versão 5.00

"WUServer"="http://srv-wsus.site:8530"
"WUStatusServer"="http://srv-wsus.site:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Servidores"
"ElevateNonAdmins"=dword:00000000

"NoAutoUpdate"=dword:00000000 –
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UsarWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001

Também é conveniente controlar as configurações aplicadas do WSUS em clientes usando rsop.msc.

E depois de algum tempo (dependendo do número de atualizações e da largura de banda do canal para o servidor WSUS), você precisa verificar na bandeja se há notificações pop-up sobre a presença de novas atualizações. Os clientes devem aparecer no console do WSUS nos grupos apropriados (a tabela exibe o nome do cliente, IP, SO, a porcentagem deles “corrigidos” e a data da última atualização de status). Porque Atribuímos computadores e servidores a vários grupos WSUS por políticas; eles receberão apenas atualizações aprovadas para instalação nos grupos WSUS correspondentes.

Observação. Se as atualizações não aparecerem no cliente, é recomendável examinar cuidadosamente o log do Windows Update Service no cliente problemático (C:\Windows\WindowsUpdate.log). Observe que o Windows 10 (Windows Server 2016) usa . O cliente baixa atualizações para a pasta local C:\Windows\SoftwareDistribution\Download. Para começar a procurar novas atualizações no servidor WSUS, você precisa executar o comando:

wuauclt/detectar agora

Além disso, às vezes você precisa registrar novamente o cliente à força no servidor WSUS:

wuauclt /detectnow /resetAutorização

Em casos particularmente difíceis, você pode tentar consertar o serviço wuauserv. Se isso ocorrer, tente alterar a frequência de verificação de atualizações no servidor WSUS usando a política de frequência de detecção de atualização automática.

No próximo artigo descreveremos os recursos. Recomendamos também que você leia o artigo entre grupos em um servidor WSUS.

Com o desenvolvimento da Internet, a atualização constante do sistema operacional tornou-se comum. Agora os desenvolvedores podem consertar e melhorar o sistema durante todo o período de suporte. Mas as atualizações frequentes do Windows 10 nem sempre são convenientes. É por isso que seria bom poder desligá-los.

Razões para desligar as atualizações automáticas

Os motivos podem ser muito diferentes e só você pode decidir quanto precisa desabilitar as atualizações. Vale a pena considerar que junto com melhorias em determinados recursos, são fornecidas correções importantes para vulnerabilidades do sistema. E, no entanto, situações em que as atualizações independentes devem ser desativadas surgem com bastante frequência:

  • Internet paga - às vezes a atualização é muito grande e baixá-la pode ser caro se você pagar pelo tráfego. Nesse caso, é melhor adiar o download e baixar posteriormente sob outras condições;
  • falta de tempo - após o download, a atualização começará a ser instalada enquanto o computador estiver desligado. Isso pode ser inconveniente se você precisar encerrar o trabalho rapidamente, como em um laptop. Mas o que é ainda pior é que mais cedo ou mais tarde o Windows 10 exigirá que você reinicie o computador e, se você não fizer isso, depois de algum tempo a reinicialização será forçada. Tudo isso distrai e atrapalha o trabalho;
  • segurança - embora as próprias atualizações muitas vezes contenham alterações importantes no sistema, ninguém pode prever tudo. Como resultado, algumas atualizações podem expor seu sistema a ataques de vírus, enquanto outras simplesmente o quebrarão logo após a instalação. Uma abordagem razoável nesta situação é atualizar algum tempo após o lançamento da próxima versão, tendo estudado previamente as revisões.

Desative as atualizações automáticas do Windows 10

Existem muitas maneiras de desativar as atualizações do Windows 10. Alguns deles são muito simples para o usuário, outros são mais complexos e outros requerem a instalação de programas de terceiros.

Desativando via Central de Atualização

Usar o Update para desativá-lo não é a melhor opção, embora os desenvolvedores da Microsoft o ofereçam como uma solução oficial. Na verdade, você pode desativar o download automático de atualizações por meio de suas configurações. O problema aqui é que esta solução será temporária de uma forma ou de outra. O lançamento de uma atualização importante do Windows 10 alterará essa configuração e trará de volta atualizações do sistema. Mas ainda estudaremos o processo de desligamento:

Após essas alterações, as atualizações menores não serão mais instaladas. Mas esta solução não o ajudará a se livrar do download de atualizações para sempre.