Por que eu devo ler este artigo: Manter um ambiente de infraestrutura de servidores e computadores com sistemas operacionais e produtos Microsoft atualizado é um grande desafio para os administradores de rede. Neste cenário, os updates do Windows são disponibilizados para corrigir problemas, aumentar a segurança e o desempenho dos sistemas e aplicações.

Porém, é um árduo trabalho manter o parque de computadores atualizado. Para facilitar essa gestão, existe o WSUS (Windows Server Update Services), uma ferramenta que ajuda os administradores de redes a planejar a implantação das atualizações em seus ambientes.

Deste modo, os pontos destacados neste artigo serão úteis aos administradores responsáveis por gerenciar os computadores e servidores da corporação, contribuindo para compreensão de como o WSUS pode ser utilizado em uma infraestrutura de TI, os cuidados necessários a serem tomados antes de se implementar as atualizações e boas práticas que podem ser empregadas.

Planejar, implementar e manter o bom funcionamento do ambiente de infraestrutura são as principais atividades dos administradores de redes modernos. Após o ambiente estar em funcionamento e os recursos estarem sendo entregues ao cliente (arquivos, e-mails, aplicações, etc.), é necessário manter a operação com o melhor funcionamento possível.

Dentre as diversas rotinas diárias na operação de servidores e computadores que possuem sistemas operacionais Microsoft em uma rede corporativa, podemos destacar a verificação das atualizações do Windows. Esta é uma atividade muito importante e que em muitos casos não recebe a devida atenção.

É importante frisar que é uma função do administrador de redes analisar, implantar e gerenciar as atualizações.

Devido à grande quantidade de produtos Microsoft vendidos e utilizados pelo mercado, a quantidade de atualizações disponibilizadas também é alta. Como é necessário realizar o download das atualizações através da internet, o volume de dados pode se tornar um problema.

Além disso, o gerenciamento dessas atualizações se torna uma tarefa complicada para o administrador de redes, afinal, desta forma, seria necessário acessar fisicamente cada computador, realizar o download no site do Windows Update, para só então efetuar a instalação delas.

O WSUS, ou Windows Server Update Services, é uma ferramenta que auxilia o administrador de redes a implementar as atualizações no ambiente. Através de um console centralizado, o WSUS fornece recursos necessários para gerenciar e distribuir as atualizações.

Este artigo visa esclarecer o uso desta ferramenta, apresentando as suas principais funcionalidades, algumas melhores práticas, cuidados necessários durante seu uso, além de alguns exemplos que demonstram como é importante a sua utilização.

O que são as atualizações do Windows?

As atualizações do Windows nada mais são do que complementos disponibilizados pela Microsoft para corrigir problemas que foram identificados durante o uso do produto e evitar a ocorrência de erros ou ameaças que possam deixar o sistema vulnerável, aumentando a segurança do computador e, em alguns casos, melhorar o desempenho.

As atualizações são lançadas frequentemente, e para manter a melhor performance e menor vulnerabilidade do sistema, é necessário realizar o download destas através do site do Windows Update. É neste site que a Microsoft centraliza a distribuição das atualizações.

Para um usuário doméstico essa não é uma tarefa complicada, já que, em muitos casos, as atualizações são configuradas para serem realizadas automaticamente assim que disponibilizadas. E nestes casos, quando o usuário desliga o computador, é informado que o Windows efetuará a instalação das atualizações.

Em um ambiente corporativo, no entanto, a tarefa de manter os computadores da rede atualizados pode ser um tanto quanto árdua; afinal, não é incomum um parque de máquinas com mais milhares de computadores e servidores.

Cenário empresarial

Em um cenário empresarial, o esforço utilizado, por exemplo, para atualizar um parque com mais de 1.000 computadores clientes e diversos servidores seria elevado, já que a única forma de realizar a instalação das atualizações seria manualmente (neste processo, o analista de TI precisa acessar o computador de cada usuário, realizar o download da atualização, para realizar a instalação, máquina a máquina).

O consumo da banda de internet seria altíssimo, pois cada computador precisaria acessar o site do Windows Update para realizar o download das atualizações necessárias, individualmente. Deste modo, teríamos os arquivos de instalação com múltiplas cópias espalhadas pelos computadores da rede, causando um grande desperdício de consumo de banda de internet.

Além disso, você não teria o controle de quais atualizações foram instaladas, qual o status dos computadores, entre outras informações.

Existem ainda os casos em que o controle de atualizações é parte do programa de auditoria da empresa. Muitas organizações possuem um rígido controle de auditoria nos seus processos internos, e em muitos casos, o departamento de TI também faz parte deste programa de auditoria.

Assim, a organização define que o departamento de TI deve conter um plano de gerenciamento de riscos para estar em conformidade com as suas diretrizes.

Para que este programa possa ser implementado no departamento de TI, é necessário identificar as vulnerabilidades que podem comprometer as informações da organização (entende-se como informação, dados, tecnologias que suportam essa informação, pessoas, processos, infraestrutura, etc.).

Dentre os diversos tipos de vulnerabilidade que podem ser identificados, podemos destacar:

  • Estações sem antivírus, ou com antivírus desatualizado;
  • Estações sem atualizações de sistema operacional e aplicativos;
  • Utilização de senhas fracas,
  • Usuários sem permissão acessando dados que não são do escopo do seu trabalho;
  • Usuários sem permissão de acesso ao datacenter podendo entrar na sala e ter contato com os equipamentos.

A partir dessa análise de vulnerabilidades, é necessário especificar quais serão os controles que devem ser adotados para que evitar os riscos relacionados. Por exemplo, caso seja definido que as estações de trabalho que não possuem as atualizações do Windows instaladas podem representar algum risco ou vulnerabilidade no ambiente, é preciso criar um controle para que este risco seja mitigado.

Assim, poderíamos definir que os computadores devem estar em conformidade quando estiverem 100% atualizados, a fim de evitar vulnerabilidades de segurança e oferecer maior estabilidade ao ambiente.

Para atingir esses objetivos é extremamente importante ter o controle dos servidores e computadores que estão ou não atualizados. Caso não exista um controle gerenciável e centralizado, torna-se muito difícil definir como estão os status das atualizações e dos computadores.

O que é o WSUS?

Para que possamos atingir os objetivos mencionados no parágrafo anterior, a Microsoft disponibiliza o Windows Server Updates Services, ou WSUS.

O WSUS permite aos administradores de rede gerenciar as atualizações dos produtos Microsoft em um console centralizado (veja a Figura 1). Através dele, é possível implantar as atualizações disponibilizadas aos computadores e servidores que fazem parte da rede. O WSUS irá ajudar a manter a eficiência operacional do ambiente de rede, além de aumentar a estabilidade do ambiente de produção.

Console de gerenciamento do WSUS
Figura 1. Console de gerenciamento do WSUS

Com o WSUS o administrador de rede irá realizar o download das atualizações em um local centralizado, analisar, aprovar e reprovar as atualizações conforme as necessidades de seu ambiente.

Dentre as principais funções do WSUS, podemos destacar as seguintes:

  • Download centralizado das atualizações.
    Ao invés de realizar o download, por exemplo, de 15 atualizações disponibilizadas em cada um dos 1.000 computadores da organização, o WSUS irá realizar o download uma única vez, e através do seu console o administrador irá definir para quais grupos de computadores estas atualizações serão liberadas e instaladas, evitando o uso de banda de internet, consumindo apenas a rede interna para distribuição dos pacotes;
  • Agendar a sincronização com o Windows Update.
    O administrador pode definir em quais horários o servidor irá sincronizar com o Windows Update, e assim realizar o download das atualizações no horário de menor consumo de banda;
  • Análise das atualizações.
    É indicado que se possua um ambiente de homologação para que seja possível realizar testes com as atualizações antes de aplicá-las em um ambiente de produção. Através do console de gerenciamento as atualizações podem ser aprovadas para um grupo restrito de computadores destinados a funcionar como teste.

Desta forma as atualizações são aplicadas e é verificado qual o resultado gerado. Caso não seja satisfatório, a atualização pode ser reprovada e não aplicada em produção. Se não for detectada nenhuma anomalia pós-instalação, deve ser aplicada no ambiente de produção;

  • Definir os produtos Microsoft que serão verificados e atualizados.
    Em um ambiente de rede, você pode ter diversos produtos instalados, como Exchange Server, TMG, Office, entre outros. Através do WSUS, você pode definir quais produtos serão verificados para que seja realizado o download das atualizações;
  • Criar regras para aprovações automáticas.
    Em muitos casos, os administradores desejam economizar tempo e trabalho criando regras para aprovações automáticas de atualizações. Assim, caso seja uma atualização de segurança, ou uma atualização crítica, por exemplo, elas serão automaticamente aprovadas para serem disponibilizadas para os computadores;
  • Definir grupos de computadores para melhor gerenciamento.
    É possível criar grupos de computadores para gerenciar as atualizações. Desta forma o administrador pode segregar os computadores por versão (por exemplo: versões do Windows: 2008, 2008R2, 2012) e assim melhorar o gerenciamento das atualizações;
  • Manutenção do Servidor WSUS.
    O WSUS possui uma ferramenta que realiza uma verificação na sua base de dados, removendo atualizações defasadas, computadores que não estão mais em utilização e arquivos desnecessários dentro do servidor;
  • Notificações por e-mail.
    O console permite a criação de regras de notificação, enviando relatórios de novas atualizações disponíveis e status das atualizações por e-mail;
  • Geração de reports gerenciais.
    O WSUS permite criar diversos reports gerenciais, demonstrando os status das atualizações, computadores que foram atualizados, que estão pendentes, etc.

Produtos e tipos de atualizações

Quanto maior o porte da organização, mais produtos e tecnologias ela utilizará para atender as suas demandas. Nestes ambientes, são implantados diversos tipos de servidores e aplicações. Assim, em um mesmo ambiente podemos ter vários produtos, como:

  • Windows Server - Versões 2003, 2003 R2, 2008, 2008 R2, 2012 e 2012 R2;
  • Servidores – Exchange Server, SQL Server, Lync Server, System Center, etc.;
  • Estações de Trabalho – Windows XP, Vista, 7 e 8;
  • Aplicações – Office 2007, 2010 e 2013.

Diante de tamanha diversidade de produtos, periodicamente a Microsoft disponibiliza atualizações. Neste contexto, o WSUS, além de identificar os produtos que são utilizados na rede (afinal, não faz sentido baixar as atualizações do Windows Server 2003 se todo o parque de servidores é Windows Server 2008), classifica as atualizações em categorias, apresentadas a seguir:

  • Critical Updates – É uma atualização disponibilizada para correção de um problema específico, além de fornecer maior estabilidade e desempenho ao produto;
  • Definition Updates – Tipo de atualização de software que contém adições ao banco de dados de um produto. Bastante comum para produtos como o Outlook, que contém, por exemplo, novas definições para lixo eletrônico;
  • Drivers – Uma atualização de software necessária para algum dispositivo de hardware especifico (drivers de adaptadores de rede, vídeo, som);
  • Feature Packs – Esse tipo de atualizado representa uma nova funcionalidade de um produto que é distribuída após o seu lançamento. Geralmente, essa funcionalidade será incluída na próxima versão completa. Exemplos de Feature Packs são as atualizações do Microsoft .NET Framework;
  • Security Updates – É uma atualização disponibilizada para sanar alguma vulnerabilidade relacionada à segurança de um produto. As vulnerabilidades de segurança são classificadas com base em sua gravidade (crítica, importante, moderada ou baixa);
  • Service Packs – É um pacote que contém todas as atualizações disponibilizadas desde o lançamento do produto. O Windows 7 Service Pack 1, por exemplo, possui todas as atualizações que foram distribuídas desde o seu lançamento, acumulados em um único pacote de atualizações;
  • Tools – Um utilitário ou um recurso adicional que pode ser instalado para realizar alguma tarefa. Como exemplo, podemos citar o Network Diagnostic Tool, que é uma ferramenta disponibilizada em forma de atualização para o WSUS. Ela pode ser empregada para realizar diagnósticos diversos de rede, como análise e identificação de problemas;
  • Update Rollups – Um conjunto testado de atualizações diversas, disponibilizado em um único pacote. As atualizações de versão do Internet Explorer são Updates Rollups;
  • Updates – Atualização disponibilizada para correção de um problema, não classificado como crítico e nem relacionado à segurança.

A importância de se manter um ambiente atualizado

Mas afinal, qual a importância real de se manter um ambiente atualizado? Um ambiente atualizado irá proporcionar um sistema operacional mais estável e confiável, onde o usuário conseguirá utilizar melhor os recursos disponibilizados e irá desenvolver com maior eficiência e eficácia as suas atividades.

Para que se possa atingir esses objetivos, a correta utilização dos recursos oferecidos pelo WSUS irá proporcionar ao administrador de redes um ambiente confiável, já que estará tratando as vulnerabilidades de segurança, mantendo a estabilidade do ambiente, de forma centralizada e, principalmente, oferecendo melhor experiência para o usuário final, entregando o serviço (leia-se estações de trabalho a pleno funcionamento) com os níveis de exigência que a organização deseja.

Cuidados necessários

Apesar da facilidade de gerenciamento agregada pelo serviço do WSUS, é necessário ter cuidado com a sua utilização. O fato de termos um gerenciamento centralizado das atualizações que são disponibilizadas não indica necessariamente que problemas não ocorrerão.

Existem diversas situações que devem ser consideradas antes que as atualizações sejam liberadas para o ambiente de produção, mesmo estas tenham sido testadas e validadas em um ambiente de homologação. Para exemplificar, serão descritos dois casos recorrentes que geram problemas e demandam tempo para que se encontre a melhor solução.

No primeiro caso, temos problemas relacionados à utilização de aplicações e sistemas de instituições bancárias. Os departamentos e usuários que necessitam utilizar esses sites e aplicações geralmente são colaboradores de alta criticidade.

Dentre estes, podemos citar os departamentos a seguir: Folha de Pagamento, Contas a Pagar, Financeiro, Contabilidade, entre outros.

Os usuários desses departamentos possuem atividades que são críticas, visto que o impacto da indisponibilidade dos serviços relacionados é alto para a organização. Por exemplo, se os computadores da equipe de RH não funcionarem corretamente durante o período de fechamento da folha de pagamento, poderá acarretar problemas sérios para organização, como uma multa por atraso.

Então, quando existem incidentes que envolvem este tipo de serviço (aplicações e sites de companhias bancárias), e este tipo de usuário (de departamentos críticos), o tempo de resolução necessita ser curto, já que são atividades de grande importância e de alto impacto para a organização.

Para exemplificar o tema exposto, podemos citar diversos casos em que o suporte de TI de determinado banco informa que as suas aplicações são compatíveis com quaisquer versões do Internet Explorer, ou que suporta todas as versões do Java.

Porém, após a instalação de atualizações do Internet Explorer, em muitos casos, alguns sites de bancos não funcionam mais, ou não funcionam como esperado, como por exemplo: a página não é carregada corretamente, os plug-ins travam, etc.

Uma das causas desses problemas pode ser a incompatibilidade de versão. Não é incomum que, por exemplo, uma atualização do Internet Explorer seja incompatível com a aplicação do banco, e, até mesmo, que esta aplicação ainda não tenha sido testada na nova versão do navegador. Independente do motivo, é necessário começar a investigação o quanto antes para encontrar a razão do problema e poder aplicar uma solução.

No entanto, até se chegar a um ponto de resolução, são perdidas várias horas nas tratativas. Se estes casos ocorrerem em períodos de fechamento de folha de pagamento, por exemplo, está estabelecido o caos na TI. Assim, o usuário poderá alegar que não entregou suas atividades nos prazos definidos pelo seu departamento porque o TI não resolveu o problema a tempo.

Para evitar ao máximo esse tipo de situação, é extremamente importante termos um ambiente de teste para aplicar as atualizações e validar o seu funcionamento, verificando se o resultado da instalação está de acordo com o que a mesma se propõe, não gerando problemas.

Muitos problemas são evitados realizando esses procedimentos de teste antes da liberação para produção, e desta forma gera-se uma credibilidade maior para o departamento de TI.

Um caso que ganhou bastante notoriedade aconteceu no começo de abril de 2013, quando a Microsoft disponibilizou a atualização de segurança KB2823324 para sistemas operacionais Windows 7.

Após a instalação da atualização era solicitado que o computador fosse reiniciado para concluir a operação. No entanto, durante o processo de inicialização era apresentado uma das seguintes mensagens de erro:

  • “O Windows falhou ao iniciar. Uma mudança de hardware ou software pode ter sido a causa.”;
  • “Windows failed to start. A Recent hardware or software change might be the cause.”;
  • Em alguns computadores, uma tela azul também foi apresentada com os erros:c000021a, 0xC000003a ou 0xc000000e.

Este problema foi gerado por uma incompatibilidade desta atualização com um software de terceiros, chamado GBPlugin, utilizado por diversos sites de bancos para acesso a serviços on-line (Internet Banking).

Várias soluções poderiam ser aplicadas, como desinstalar a atualização manualmente, por linha de comando, restaurar para a última configuração válida, utilizar a restauração de sistema e, em muitos casos, a solução de contorno não apropriada, a formatação do computador.

Na época, foram relatados em muitos fóruns especializados e listas de e-mails, casos de administradores de redes descrevendo os problemas e efeitos que estavam vivenciando, causados por esta atualização.

Diversas situações foram discutidas, onde parques de máquinas com mais de 500 computadores estavam parados devido aos problemas gerados por causa dessa atualização, e consequentemente, quais ações que o departamento de TI estava utilizando para resolver os incidentes.

Mas, qual a relação do WSUS com esta atualização?

O console do WSUS possui uma opção em que é possível configurar aprovações automáticas. Neste tipo de configuração, o administrador pode definir quais os tipos de atualizações serão autorizadas sem que ele precise intervir para autorizá-las manualmente.

Por padrão, o WSUS classifica as atualizações de segurança e críticas desta forma; assim, não é necessária intervenção do administrador para aprovar este tipo de atualização. Com isso conclui-se o que aconteceu na época.

Muitos administradores mantinham aprovações automáticas para atualizações de segurança e críticas, e desta forma, não aplicaram as mesmas em ambientes de teste. Logo, com a aplicação em massa no ambiente de produção, o impacto foi enorme em diversas empresas.

Como foi possível observar, não é indicado manter atualizações com aprovação automática, já que, mesmo sendo atualizações importantes para o ambiente, que irão corrigir eventuais falhas no sistema, não é possível garantir que não haverá incompatibilidade com softwares de terceiros, como no caso supracitado.

Cenários de implantação

Quando o administrador de redes identifica a necessidade da utilização do WSUS para poder gerenciar melhor as atualizações do Windows, ele deve planejar como o WSUS será implementado.

Durante este período de análise, alguns fatores podem ser levados em consideração para definição do melhor cenário a ser empregado, a saber:

  • Quantidade de servidores;
  • Quantidade de computadores clientes;
  • Número de escritórios remotos (filiais).

Dentre as diversas possibilidades de cenários, as mais comuns são as implementações simples ou com diversos servidores.

Implantação simples

A implantação simples consiste em um servidor Windows com a ferramenta do WSUS instalada. Este servidor irá sincronizar ao Windows Update, através do Firewall corporativo, para verificar as novas atualizações disponíveis.

Caso existam novas atualizações, o WSUS irá realizar o download. Feito isso, o administrador poderá analisar as atualizações e aprová-las para que sejam distribuídas para os computadores clientes, conforme demonstrado na Figura 2.

Cenário de implantação simples do WSUS
Figura 2. Cenário de implantação simples do WSUS

Implementação de vários servidores WSUS

Dependendo das necessidades do ambiente, é possível implementar cenários com vários servidores. De acordo com a quantidade de computadores da rede, ou então, no caso de a corporação possuir um escritório central e algumas filiais, você pode ter a necessidade de implantar mais de um servidor WSUS.

No exemplo da Figura 3, temos uma empresa com cede em SP e duas filiais, em MG e RJ. Com este cenário, ao invés de termos um servidor em cada estado realizando o download das atualizações, temos um servidor principal, em SP, que é responsável por realizar o download das atualizações.

O servidor que possui a função de se comunicar com o Windows Update é chamado de servidor Upstream. Nas filiais, os servidores sincronizam com o WSUS Upstream, para realizar o download das atualizações. Estes servidores são denominados Downstream.

Este cenário possibilita um gerenciamento centralizado dos dados, ao invés de possuir um servidor em cada localidade fazendo a mesma função.

Cenário de implantação de vários servidores do WSUS
Figura 3. Cenário de implantação de vários servidores do WSUS

O WSUS tem como principal objetivo sanar os problemas dos administradores de rede quanto a atualizações do parque de servidores e computadores de redes corporativas. Ele fornece uma administração centralizada para o planejamento, download, liberação, instalação e acompanhamento dos status das atualizações necessárias, visando manter o ambiente seguro, com maior eficiência e desempenho.

Porém, é preciso planejar muito bem as liberações das atualizações dentro do WSUS, já que, não necessariamente, todas as atualizações disponíveis irão funcionar corretamente em um ambiente de produção.

Deste modo, é necessário validar as atualizações para que seja minimizada a ocorrência de problemas, principalmente em relação a softwares de terceiros. Nesse contexto, uma boa alternativa para validação das atualizações é manter um ambiente de homologação que viabilize a realização de testes antes da implementação em ambiente de produção.

Assim, manter-se atualizado e em conformidade com as regras da companhia será um objetivo de alcance tangível com o uso do Windows Server Update Services.