O que é o WSUS e para que serve?

Junte-se a nós neste breve artigo e descubra o que é o WSUS, para que serve e porque é que pode ajudar a manter a sua infraestrutura mais segura de forma simples e rápida.

O Windows Server Update Services (WSUS) em português “Serviços de Atualização de Servidores do Windows”, é um serviço que podemos implementar na nossa infraestrutura para gerir várias atualizações (não só do sistema operativo, mas de vários tipos de software) e, acima de tudo, patches de segurança que nos mantêm seguros dos ataques (ou pelo menos um pouco mais seguros).

Este serviço permite-nos, se formos administradores do sistema, gerir de forma centralizada a distribuição de diferentes tipos de software através de atualizações automáticas na nossa rede corporativa.

O Windows Server Update Services é basicamente uma “digi-evolução” do Software Update Services (SUS), uma aplicação que permitia apenas corrigir o sistema operativo, ou melhor, atualizar os seus patches.

Uma das vantagens que o WSUS oferece, além da gestão centralizada de patches e atualizações, é que permite que as atualizações sejam descarregadas para um único servidor que atuará como repositório e a partir do qual as atualizações são redistribuídas, poupando bastante largura de banda, pelo menos em comparação com a alternativa: cada servidor descarrega os pacotes de que precisa. Além disso, não estamos a falar apenas do volume de downloads, mas também do volume de espaço em disco, já que, desta forma, basta descarregar uma vez e armazenar num repositório central onde os servidores podem obter os dados e instalá-los no local.

O que é o WSUS?

Como dissemos antes, o WSUS (Windows Server Update Services) é um servidor que permite aos administradores de sistemas implementar centralmente atualizações para diferentes produtos da Microsoft numa infraestrutura.

Os administradores de sistemas podem usar o WSUS para gerir a distribuição de atualizações lançadas no Microsoft Update de forma integral.

Arquitetura do WSUS:

O WSUS é um serviço que permite trabalhar de várias maneiras; podemos trabalhar desde uma estrutura simples em que simplesmente temos um servidor WSUS, até outras mais complexas com múltiplas arquiteturas de servidores WSUS.

As opções disponíveis são as seguintes:

• Arquitetura básica de WSUS para a atualização de máquinas.
• Arquitetura com vários servidores de WSUS para a atualização de máquinas.
• Arquitetura com servidores de WSUS desconectados para a atualização de máquinas.
• Arquitetura com servidores de WSUS integrados noutra solução.

Em primeiro lugar, temos a arquitetura básica de WSUS para a atualização das máquinas, que é tratada como uma string básica. O servidor WSUS é o link central e liga-se por Internet ao Microsoft Update Services, selecionando as atualizações e patches a serem instalados e, em seguida, transfere-os aos clientes, que podem ser servidores ou PCs desktop.

Com uma configuração mais ou menos semelhante, mas com alguma redundância, ou seja, separação de funções entre diferentes hosts, temos a arquitetura com vários servidores WSUS para atualização de máquinas. Neste caso, não se trata exatamente de uma cadeia simples porque temos diferentes secções, mas segue os mesmos fundamentos. Cada um dos servidores WSUS fica num ponto central (no mesmo nível de outros servidores WSUS) e conecta-se por Internet ao Microsoft Update Services, selecionando atualizações e patches para instalar e transfere-os aos clientes, tanto servidores como PCs desktop.

A terceira forma básica de operação é um pouco mais elaborada: a arquitetura com servidores WSUS desconectados para atualização de computadores. Aqui temos duas linhas de trabalho diferentes: a primeira linha funciona basicamente como as duas anteriores, mas estabelece um corte central para isolar os computadores e servidores da Internet.

O servidor WSUS liga-se ao Microsoft Update Services, selecionando atualizações e patches para instalar e, em seguida, move-os para um repositório central.

Este repositório central é acedido por outro servidor WSUS que o utiliza como fonte de dados, e a partir daí passa as atualizações para os clientes deste serviço que, como sempre, podem ser servidores ou PCs desktop.

A quarta maneira de usar o WSUS é a arquitetura com servidores WSUS incorporados noutra solução, como o Microsoft System Center Configuration Manager (SCCM). Esta forma de operação é bastante semelhante à anterior e vamos representá-la de maneira simplificada, pois o System Center não é o objetivo deste artigo.

Nesta configuração, temos novamente duas linhas de trabalho diferentes. A primeira linha funciona basicamente como as duas anteriores, mas estabelece um corte central para isolar os computadores e servidores da Internet.

O servidor WSUS liga-se ao Microsoft Update Services através da Internet, selecionando atualizações e patches para instalar e, em seguida, move-os para um repositório central.

Este repositório central é acedido pelo segundo serviço, por exemplo, o Microsoft SCCM, que o utiliza como repositório para atualizações de software e, a partir daí, distribui as atualizações aos clientes conforme necessário e de acordo com uma configuração prévia.

Requisitos do WSUS:

O WSUS é um serviço relativamente fácil de implementar e manter, entre outras coisas porque possui requisitos de hardware muito simples e porque usa portas comummente usadas, pelo menos para download de software.

Vejamos primeiro os requisitos do sistema em que pode ser implementado, que são basicamente Windows Server 2012 ou superior:

• Windows Server 2012.
• Windows Server 2012 R2.
• Windows Server 2016.
• Windows Server 2019.
• Windows Server 2022.

Os requisitos de hardware do servidor para habilitar o serviço WSUS estão vinculados aos requisitos de hardware. Os requisitos mínimos de hardware para o WSUS são:

• Processador: x64 de 1,4GHz, mas recomenda-se 2Ghz.
• Memória: 2GB de RAM adicionais sobre as recomendações do servidor.
• Espaço em disco: 40GB adicionais.
• Rede: 100Mbps ou superior.

Requisitos de software:

• Se precisar de exibir relatórios, precisará do Microsoft Report Viewer Redistributable 2008 e, dependendo da configuração do servidor, pode ser necessário o Microsoft Report Viewer Runtime 2012.
• Microsoft .NET Framework 4.0.
• A conta NT Authority ou Network Service deve ter permissões de controlo total no caminho “%windir%\Microsoft.NET\Framework\v4.0.30319\Temporary ASP.NET Files”.

O servidor descarrega atualizações através das seguintes portas:

• Porta 80 para o protocolo HTTP.
• Porta 443 para o protocolo HTTPS.

Portanto, não é preciso fazer nada de especial para que funcione.

Além disso, o WSUS usa outras portas para realizar atualizações nos computadores clientes:

• Porta 8530 para o protocolo HTTP.
• Porta 8531 para o protocolo HTTPS.

Políticas de atualização:

Algo que não poderíamos deixar de mencionar num artigo que fala sobre atualização de software, seja qual for a sua finalidade, são as políticas de instalação.

É importante que em qualquer arquitetura ou solução deste tipo seja construído um pequeno modelo (ou piloto) que permita testar as atualizações antes de as passar para produção. O procedimento correto seria ter uma série de equipamentos nos quais os testes possam ser realizados, por exemplo, estabelecendo diferentes níveis.

Para começar, os testes devem ser feitos em equipamentos criados para esse fim (ou seja, equipamentos de teste), para que, uma vez comprovada a idoneidade e, principalmente, que as atualizações não tenham efeitos nocivos, elas possam ser transferidas para a infraestrutura.

Ainda assim, é aconselhável estabelecer diferentes grupos de atualização, distribuindo as atualizações pouco a pouco para verificar se não há problemas que não tenham sido detetados anteriormente.

NOTA: O procedimento de atualização descrito é para casos comuns, onde não é crítico propagar a atualização o mais rápido possível. Em casos de atualizações críticas de segurança, pode ser necessário ignorar esta preocupação.

Conclusões:

Como vimos ao longo deste artigo, o WSUS (Windows Server Update Services) é uma solução de gestão de patches e atualizações que permite administrar de forma centralizada todos os aspetos das atualizações dos servidores, com uma poupança significativa de espaço em disco, largura de banda e principalmente tempo do administrador.

Neste artigo falamos sobre as vantagens, mas não explicamos como se pode implementar este serviço de maneira simples. Isso fica reservado para um próximo tutorial; por isso, se quiser saber mais, não percas as nossas novidades e poderá aprender um pouco mais sobre este servidor, que é muito útil para administradores de sistemas. Se não quiser esperar pela publicação do tutorial, pode explorar a Knowledge Base da Microsoft.

Esperamos que esta informação seja útil.

Obrigado por acompanhar-nos!