1 – O que é WSUS – Planejando sua implantação

Olá pessoal, tudo bem?

Este é o primeiro artigo sobre WSUS, será um série de artigos aonde será demostrado como planejar sua implantação, instalar, gerenciar e como também fazer a manutenção de um servidor WSUS.

Vamos ver que essa função do Windows Server, que antes era considerada não tão essencial dentro de uma organização passou a ser no dias de hoje uma função extremamente essencial quando o assunto é segurança nas atualizações de produtos Microsoft.

Nota: Todo conteúdo apresentado pode ser aplicado no Windows Server 2012, 2012 R2 e 2016.

Problema

Imagine o seguinte cenário:

Um local de trabalho com 100 estações de trabalho, onde cada estação é atualizada individualmente e este processo consome 300 MB desta.

Aí temos o seguinte raciocínio: 100 estações de trabalho X 300 MB = Total de 30 GB.

300 MB X 100 Estações de trabalho = 30 GB aproximadamente.

Seria um caos para a banda de internet da sua empresa. A rede ficaria bastante lenta no meio do expediente.

 

Cenário

 

O que posso fazer para solucionar isso?

Você pode resolver isso não atualizando as estações de trabalho. Porém existem desvantagens como estar sujeito a ataque de crackers. Recentemente, muitos relatos foram feitos pela impressa sobre diversos destes. A cada novo ataque, eles se tornam mais sofisticados. Todos os dias aparece um novo vírus mais potente. O ransomware WannaCrypt é um bom exemplo, contaminando milhares de computadores ao redor do mundo.

Nota-se os efeitos deste através do comunicado da Microsoft, assim é notável o quanto esse vírus foi prejudicial para as empresas e usuários domésticos.

https://news.microsoft.com/pt-br/orientacao-ao-cliente-sobre-ataques-do-wannacrypt/#sm.0000kkj0c18e2ddg113cp8qd4hriy#lmKvm7fQhgDFgDCH.97

Esses computadores foram infectados por não estarem atualizados ou por possuírem versões antigas do Windows que não recebem mais correções de segurança, e por causa disso elas sofreram com o WannaCrypt. As versões vulneráveis do Windows são: Windows XP, Windows Vista, Windows 8, Windows 2003 e Windows 2008.

Há muitos “especialistas” que sugerem manter o Windows Update desabilitado. O que está errado.

Outra informação, que circula na impressa, relata que esse tipo de ataque tende a crescer.
Se não atualizar o meu Windows, vou ter um sistema operacional repleto de bugs (erros), que podem ser aproveitados por vírus e crackers.
Mas também atualizações podem causar problema nos computadores da sua rede. Um bom exemplo é mostrado no link abaixo, onde uma atualização do Windows 7 ocasionou um problema em diversos computadores ao redor do mundo.

https://support.microsoft.com/pt-br/help/978421/windows-7-upgrade-fails-and-then-results-in-a-reboot-loop-with-the-message-the-upgrade-was-not-successful

Atualizações também podem fazer que algum aplicativo utilizado pela empresa pare de funcionar. Um bom exemplo pode ser um ERP que sua empresa utilize, depois de atualizar, de repente ele não funciona mais.

Aí você fala:
Viu, como atualizações podem atrapalhar mais do que ajudar!

Calma, pessoal! Vamos demostrar como o WSUS pode ajudar sua empresa a solucionar todos esses problemas. As etapas serão apresentadas numa série de artigos.

Solução

Então como eu faço para manter minhas estações de trabalho atualizadas sem consumir toda a banda de internet da empresa?
Para resolver esse problema temos o WSUS (Windows Server Update Service).
WSUS permite manter todos os computadores e servidores da sua rede atualizados sem consumir a sua banda de internet no horário de maior uso.
Qualquer produto lançado pela Microsoft pode ser atualizado pelo WSUS. Como o Office, Windows, SQL e muitos outros.
É possível gerenciar totalmente a distribuição de atualizações lançadas pelo Microsoft Update por meio de um console de gerenciamento.

Conceitos

Antes de aprofundar no assunto sobre WSUS, temos que entender o que são servidores WSUS Downstream e Upstream.

WSUS Downstream Servidor: é o servidor WSUS que sincroniza suas atualizações com um servidor WSUS Upstream Servidor.

WSUS Upstream Servidor: é o servidor WSUS que sincroniza suas atualizações diretamente com a Microsoft (Microsoft Update).

Implantação Simples do WSUS
Pode ser com apenas um servidor, no caso uma implantação simples, onde o servidor WSUS conecta diretamente ao Microsoft Update.

Implantação de vários servidores WSUS
Nesta implantação você pode ter vários servidores executando o WSUS que sincroniza todo o conteúdo dentro da sua intranet da sua organização. Desta forma, apenas um servidor será exposto na internet, este será o servidor WSUS Upstream, ele será a fonte para os demais servidores WSUS Downstream sincronizar suas atualizações.

Servidor WSUS desconectado
Se a política corporativa ou outras condições limitam o acesso do computador à Internet, os administradores podem configurar um servidor interno para executar o WSUS. Um exemplo disso é um servidor conectado à intranet, mas está isolado da Internet. Depois de baixar, testar e aprovar as atualizações neste servidor, um administrador exportaria metadados e conteúdo de atualização para um DVD. Os metadados e o conteúdo da atualização são importados do DVD para servidores que executam WSUS na intranet.

Para facilitar o entendimento veja abaixo os diagramas dos cenários mais utilizados para servidores WSUS.

 

Cenário Simples – Servidor WSUS Upstream

 

 

Cenário vários servidores WSUS – Servidor WSUS Downstream e Upstream

 

Hierarquias de servidor WSUS

Podemos criar hierarquias complexas de servidores WSUS. Você pode sincronizar um servidor WSUS com outro servidor WSUS em vez de sincronizar com Microsoft Update. Quando você tem essa configuração você ganha os seguintes benefícios:

• Você pode baixar atualizações uma vez da Internet e em seguida, distribuir as atualizações nas estações de trabalho usando servidores downstream. Esse método economiza largura de banda sobre a conexão de Internet corporativa.
• Você pode baixar as atualizações para um servidor WSUS que está fisicamente mais perto para os computadores de clientes, por exemplo, em escritórios de filiais.
• Você pode configurar servidores WSUS separados para estações de trabalho que usam linguagens diferentes de produtos da Microsoft.
• Você pode escalar o WSUS para uma grande organização que tenha entre computadores de clientes mais do que um servidor WSUS e gerenciar de forma eficiente.

Nota: Recomendamos que você não crie uma hierarquia de servidor WSUS com mais de três níveis de profundidade. Cada nível adiciona tempo para propagar atualizações em todos os servidores conectados. Embora não exista um limite teórico para uma hierarquia, apenas as implementações com uma hierarquia de cinco níveis de profundidade foram testadas pela Microsoft Corporation.

Modos de utilização

Modo autônomo: é a opção de instalação padrão do WSUS, também chamado de administração distribuída.

Em modo autônomo, um servidor upstream do WSUS compartilha atualizações com servidores downstream durante a sincronização.

Os servidores downstream são administrados separadamente, isto é, eles não recebem aprovação ou status de grupos de computadores e informações do servidor upstream WSUS. Usando esse modo de gerenciamento distribuído, cada administrador do servidor WSUS seleciona a atualização dos idiomas, cria grupos de computadores, atribui computadores para os grupos, testa e aprova as atualizações além de certificar se as atualizações corretas foram instaladas para os grupos de computadores apropriados.

Modo réplica: Também chamado de administração centralizada. O servidor upstream do WSUS que compartilha as atualizações, status de aprovação e grupos de computadores com servidores downstream. Servidores de réplica herdam as aprovações de atualização e não são administrados separadamente do servidor upstream do WSUS.

Nota: Se você possui em sua rede vários servidores de réplica, não agende esses servidores para executar a sincronização na mesma hora com o servidor upstream WSUS. Essa prática evitará surtos repentinos de lentidão na sua rede.

Vamos dar uma pause agora, assimilar todo conteúdo apresentando sobre o WSUS. Se preparara para ao próximo artigo da série sobre WSUS, onde continuaremos a demonstração sobre o planejamento da implantação do WSUS.

Fonte: Conteúdo apresentado neste artigo foi uma pesquisa no Youtube em diversos vídeos publicados lá, como também vários trechos do artigo foram retirados do documento oficial da Microsoft Docs e traduzido para o português.