Se tiver bloqueado o acesso à Internet na sua rede virtual do Azure, ainda pode obter atualizações do Windows sem pôr em risco a segurança e sem ter de abrir o acesso à Internet como um todo. Este artigo inclui recomendações para configurar uma rede de perímetro, também chamada DMZ, para alojar uma instância do Windows Server Update Service (WSUS) e atualizar redes virtuais em segurança sem precisar de conectividade à Internet.
Se estiver a utilizar o Azure Firewall, pode utilizar a etiqueta Windows Update FQDN nas regras de aplicações para permitir o tráfego de rede de saída necessário através da sua firewall. Para obter mais informações, veja Descrição geral das etiquetas FQDN.
Para implementar as recomendações neste artigo, deve estar familiarizado com os serviços do Azure. As secções seguintes descrevem o design de implementação recomendado, que utiliza uma configuração hub-and-spoke numa configuração individual ou em várias regiões.
Topologia de rede hub-and-spoke da Rede Virtual do Azure
Recomendamos a configuração de uma topologia de rede do modelo hub-and-spoke através da criação de uma rede de perímetro. Aloje o servidor WSUS numa máquina virtual do Azure que esteja no hub entre a Internet e as redes virtuais. O hub deve ter portas abertas. O WSUS utiliza a porta 80 para o protocolo HTTP e a porta 443 para o protocolo HTTPS para obter atualizações da Microsoft. Os spokes são todas as outras redes virtuais, que comunicarão com o hub e não com a Internet. Para tal, crie uma sub-rede, grupos de segurança de rede (NSGs) e um peering de rede virtual do Azure que permita o tráfego do WSUS ao mesmo tempo que bloqueia outro tráfego da Internet. Esta imagem ilustra um exemplo da topologia hub-and-spoke:
Transfira um ficheiro do Visio desta arquitetura.
Nesta imagem:
- WSUSSubnet é o hub do hub-and-spoke.
- NSG_DS é uma regra do grupo de segurança de rede que permite tráfego para o WSUS e bloqueia outro tráfego da Internet.
- WSUS VM é a máquina virtual do Azure configurada para executar o WSUS.
- MainSubnet é uma rede virtual, um spoke, com náquinas virtuais.
- NSG_MS é a política do grupo de segurança de rede que permite tráfego da VM do WSUS, mas que recusa tráfego da Internet.
Pode reutilizar um servidor já existente ou implementar um novo que funcionará como servidor WSUS. Para a VM do WSUS, recomendamos o seguinte, no mínimo:
- Sistema operacional: Windows Server 2016 ou posterior.
- Processador: Dual core, 2 GHz ou mais rápido.
- Memória: 2 GB de RAM, além da RAM exigida pelo servidor e todos os outros serviços e software em execução.
- Armazenamento: 40 GB ou mais.
- Acesso: acesse essa máquina virtual com mais segurança usando o just-in-time (JIT). Veja Manage virtual machine access using Just-in-time (Gerir o acesso da máquina virtual com just-in-time).
A sua rede terá mais de uma rede virtual do Azure, que podem estar na mesma região ou em regiões diferentes. Terá de avaliar todas as VMs do Windows Server para saber se poderá utilizar uma dessas VMs como servidor WSUS. Se tiver de atualizar milhares de VMs, recomendamos dedicar uma VM do Windows Server à função do WSUS.
Se todas as redes virtuais estiverem na mesma região, sugerimos um WSUS para cada 18 000 VMs. Esta sugestão assenta numa combinação dos requisitos das VMs, no número de VMs cliente que estão a ser atualizadas e no custo da comunicação entre as redes virtuais. Para obter mais informações sobre os requisitos de capacidade do WSUS, veja Plan your WSUS deployment (Planear a implementação do WSUS).
Pode determinar o custo destas configurações ao utilizar a calculadora de preços do Azure. Terá de fornecer as seguintes informações:
- Máquina virtual:
- Região: a região onde sua rede virtual do Azure está implantada.
- Sistema operacional: Windows
- Nível: Standard
- Instância: configuração D4
- Discos gerenciados: HDD padrão, 64 GB
- Rede virtual:
- Escreva
- Mesma Região se a transferência for na mesma região.
- Entre Regiões se estiver a mover os dados de uma região para outra.
- Transferência de dados: 2 GB
- Região
- Se a transferência estiver numa região, escolha a região onde estão o servidor e as redes virtuais do WSUS.
- Se a transferência atravessar várias regiões, a região da rede virtual de origem é onde está o servidor WSUS. A região da rede virtual de destino é para onde os dados vão.
- Se tiver múltiplas regiões, terá de selecionar a Rede Virtual várias vezes.
- Escreva
Tenha em atenção que os preços variam por região.
Implementação manual
Depois de identificar que rede virtual do Azure vai funcionar como hub ou determinar que terá de criar uma nova instância do Windows Server, tem de criar uma regra de NSG. A regra permitirá o tráfego da Internet, o que possibilita que os metadados e o conteúdo do Windows Update se sincronizem com o servidor WSUS que vai criar. Seguem-se as regras que têm de ser adicionadas:
- Uma regra de NSG de entrada/saída para permitir o tráfego de e para a Internet na porta 80 (para conteúdo).
- Uma regra de NSG de entrada/saída para permitir o tráfego de e para a Internet na porta 443 (para metadados).
- Uma regra de NSG de entrada/saída para permitir o tráfego das VMs de cliente na porta 8530 (predefinição, a menos que seja configurada).
Configurar o WSUS
Pode utilizar duas abordagens para configurar o servidor WSUS:
- se quiser configurar automaticamente um servidor preparado para lidar com cargas de trabalho comuns com um mínimo de administração necessária, pode utilizar o script de automatização do PowerShell.
- Se tiver de processar milhares de clientes a executar muitos sistemas operativos e idiomas diferentes, ou se quiser configurar o WSUS de um modo não possível com o script do PowerShell, pode configurá-lo manualmente. Ambas as abordagens são descritas mais à frente neste artigo.
Também pode combinar as duas abordagens ao utilizar o script de automatização para fazer a maior parte do trabalho e, em seguida, a consola administrativa do WSUS para ajustar as definições do servidor.
Configurar o WSUS com o script de automatização
O script Configure-WSUSServer permite-lhe configurar rapidamente um servidor WSUS que sincronizará e aprovará, de forma automática, as atualizações a um conjunto escolhido de produtos e idiomas.
Nota
O script configura sempre o WSUS para utilizar a Base de Dados Interna do Windows para armazenar os respetivos dados de atualizações. Esta predefinição acelera e reduz a complexidade da administração. Contudo, se o servidor tiver de suportar milhares de computadores cliente, e especialmente se também tiver de suportar uma grande variedade de produtos e idiomas, deve configurar o WSUS manualmente para poder utilizar o SQL Server como a base de dados.
A versão mais recente do script está disponível no GitHub.
Configura o script com um ficheiro JSON. Atualmente, pode configurar estas opções:
- Se os payloads de atualização devem ser armazenados localmente (e, nesse caso, onde) ou permanecer nos servidores da Microsoft.
- Que produtos, classificações de atualizações e idiomas devem estar disponíveis no servidor.
- Se o servidor deve aprovar automaticamente atualizações para instalação ou se permanecem por aprovar até que um administrador as aprove.
- Se o servidor deve obter automaticamente atualizações novas da Microsoft e, se sim, com que frequência.
- Se devem ser utilizados pacotes de atualização Expresso. (Os pacotes de atualização Expresso reduzem a largura de banda de servidor para o cliente à custa da utilização de CPU/disco do cliente e da largura de banda de servidor para servidor.)
- Se o script deve substituir as definições anteriores. (Regra geral, para evitar reconfigurações inadvertidas que possam interromper o funcionamento do servidor, o script só é executado uma vez num dado servidor.)
Copie o script e o ficheiro de configuração para o armazenamento local e edite o ficheiro de configuração de acordo com as suas necessidades.
Aviso
Tenha cuidado ao editar o ficheiro de configuração. A sintaxe utilizada para ficheiros de configuração JSON é rigorosa. Se alterar inadvertidamente a estrutura do ficheiro em vez de apenas os valores de parâmetro, o ficheiro de configuração não carregará.
Pode executar este script de duas formas:
pode executar o script manualmente, a partir da VM do WSUS.
O comando seguinte, executado a partir de uma janela da Linha de Comandos elevada, irá instalar e configurar o WSUS. Utilizará o script e o ficheiro de configuração no diretório atual.
powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json
Pode utilizar a Extensão de Script Personalizado para o Windows.
Copie o script e o ficheiro de configuração JSON para o seu próprio contentor de armazenamento.
Em configurações típicas de VMs e da Rede Virtual do Azure, a Extensão de Script Personalizado só precisa destes dois parâmetros para executar o script corretamente. (Tem de substituir os valores mostrados aqui pelos URLs das localizações de armazenamento.)
"fileUris": ["https://mystorage.blob.core.windows.net/mycontainer/Configure-WSUSServer.ps1","https://mystorage.blob.core.windows.net/container/WSUS-Config.json"], "commandToExecute": "powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json"
O script iniciará a sincronização inicial necessária para disponibilizar as atualizações aos computadores cliente. No entanto, não esperará pela conclusão dessa sincronização. Consoante os produtos, classificações e idiomas que tiver selecionado, a sincronização inicial pode demorar várias horas. Todas as sincronizações subsequentes deverão ser mais rápidas.
Configurar o WSUS manualmente
A partir da VM do WSUS, abra o Gestor de Servidor e selecione Adicionar funções e funcionalidades.
Selecione Seguinte até chegar à página Selecionar funções de servidor. Selecione Windows Server Update Services. Selecione Adicionar Funcionalidades quando lhe for perguntado Adicionar funcionalidades necessárias para o Windows Server Update Services?.
Selecione Seguinte até chegar à página Selecionar serviços de funções.
- Por predefinição, pode utilizar a Conectividade do WID.
- Use a Conectividade do SQL Server se precisar oferecer suporte a clientes que usam muitas versões diferentes do Windows (por exemplo, Windows 11 e Windows 10).
Selecione Seguinte até chegar à página Seleção da localização do conteúdo. Introduza a localização onde quer armazenar as atualizações.
Selecione Seguinte até chegar à página Confirmar seleções de instalação. Selecione Instalar.
Abra o Windows Server Update Services instalado e selecione Executar.
Selecione Seguinte até chegar à página Ligar ao Servidor a Montante. Selecione Iniciar Ligação.
Selecione Seguinte até chegar à página Escolher Idiomas. Escolha os idiomas de que precisa.
Selecione Seguinte até chegar à página Escolher Produtos. Escolha os produtos de que precisa.
Selecione Seguinte até chegar à página Escolher Classificações. Escolha as classificações de que precisa.
Selecione Seguinte até chegar à página Definir Agenda de Sincronização. Escolha a preferência de sincronização.
Selecione Seguinte até chegar à página Concluído. Selecione Iniciar sincronização inicial e, em seguida, selecione Seguinte.
Selecione Seguinte até chegar à página O Que Se Segue e, em seguida, selecione Concluir.
Se selecionar o nome do WSUS (por exemplo, WsusVM) no painel de navegação, deverá ver que o Estado da Sincronização é Inativo e que o Resultado da última sincronização é Bem-sucedida.
No painel de navegação, selecione Opções>Computadores>Utilizar Política de Grupo ou definições de registo em computadores. Selecione OK.
Durante a sincronização, o WSUS determina se foram disponibilizadas novas atualizações desde a última sincronização. Se estiver a sincronizar o WSUS pela primeira vez, os metadados são transferidos imediatamente. O payload só é transferido se o armazenamento local estiver ativado e a atualização estiver aprovada para, pelo menos, um grupo de computadores.
Nota
A sincronização inicial pode demorar mais de uma hora. Todas as sincronizações subsequentes deverão ser significativamente mais rápidas.
Configurar as redes virtuais para comunicarem com o WSUS
Em seguida, configure o peering de rede virtual do Azure ou o peering de rede virtual global para comunicar com o hub. Recomendamos que configure um servidor WSUS em cada região em que tenha implementado para minimizar a latência.
Em cada rede virtual do Azure que seja um spoke, tem de criar uma política de NSG com estas regras:
- Uma regra de NSG de entrada/saída para permitir o tráfego da VM do WSUS na porta 8530 (predefinição, a menos que seja configurada).
- Uma regra de NSG de entrada/saída para recusar o tráfego da Internet.
Em seguida, crie o peering de rede virtual do Azure do spoke para o hub.
VM Cliente
- Para mais segurança, pode remover o endereço IP público associado a uma VM. Para obter mais informações, veja View, change settings for, or delete a public IP address (Ver, alterar definições ou eliminar endereços IP públicos).
- Para obter informações para aceder à sua máquina virtual com mais segurança através de JIT, veja Manage virtual machine access using just-in-time (Gerir o acesso a máquinas virtuais com just-in-time).
Configurar as máquinas virtuais cliente
O WSUS pode ser utilizado para atualizar qualquer máquina virtual que execute o Windows (exceto o SKU Casa). Conclua os passos seguintes em cada máquina virtual cliente para ativar a comunicação entre o WSUS e o cliente:
Na VM cliente
- Abra o Editor de Políticas de Grupo Local (ou o Editor de Gestão de Políticas de Grupo).
- Aceda a Configuração do Computador>Modelos Administrativos>Componentes do Windows>Windows Update.
- Ative Especificar a localização do serviço de atualização da Microsoft na intranet.
- Introduza o URL
http://\<WSUS name>:8530
. (Pode encontrar o nome do WSUS (por exemplo, WsusVM) na página Serviços de Atualização.) Esta definição pode demorar algum tempo (até algumas horas) a ser refletida. - Aceda a Definições>Atualização e Segurança>Windows Update.
- Selecione Procurar atualizações.
Na VM WSUS
- Abra Windows Server Update Services. Deverá ver a VM cliente listada em Computadores>Todos os Computadores.
- Selecione Atualizações>Todas as Atualizações.
- Defina Aprovação como Qualquer Uma Exceto Recusadas.
- Defina Estado como Obrigatórias. Agora, pode ver todas as atualizações necessárias para a VM cliente.
- Clique com o botão direito do rato em qualquer uma das atualizações e selecione Aprovar.
Verificação
- Na VM cliente, aceda a Definições>Atualização e Segurança>Windows Update.
- Selecione Procurar atualizações. Deverá ver uma atualização com o mesmo número de artigo KB (por exemplo, 4480056) que aprovou a partir da VM do WSUS.
Se for um administrador que esteja a gerir uma rede grande, veja Configure automatic updates and update service location (Configurar atualizações automáticas e localização do serviço de atualização) para obter informações sobre como utilizar as definições da Política de Grupo e configurar os clientes automaticamente.
Implementação do WSUS em múltiplas clouds
Não é possível configurar o peering de rede virtual entre clouds públicas e privadas. As redes implementadas entre clouds públicas e privadas têm de ter, pelo menos, um servidor WSUS configurado em cada cloud.
Notas de suporte
Atualmente, o WSUS não suporta a sincronização com o SKU Windows Casa.
Azure Update Manager
Você pode usar o Azure Update Manager para gerenciar e agendar atualizações do sistema operacional para VMs que estão sincronizando com o WSUS. O estado da aplicação de patches da VM (ou seja, patches que estejam em falta) é avaliado com base na origem com a qual a VM está configurada para se sincronizar. Se a VM do Windows estiver configurada para reportar para o WSUS, os resultados poderão ser diferentes face àquilo que o Microsoft Update mostra, consoante a última vez que o WSUS se sincronizou com o Microsoft Update. Depois de configurar o ambiente do WSUS, pode ativar a Gestão de Atualizações. Para obter mais informações, consulte a visão geral do Azure Update Manager.
Contribuidores
Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.
Autor principal:
- Paul Reed - Brasil | Azure Compliance Senior Program Manager
Próximos passos
- Para obter mais informações sobre o planeamento de uma implementação, veja Plan your WSUS deployment (Planear a implementação do WSUS).
- Para obter mais informações sobre como gerir o WSUS, configurar uma agenda de sincronização do WSUS, entre outras ações, veja WSUS administration (Administração do WSUS).