Introdução às atualizações de software no System Center Configuration ManagerIntroduction to software updates in System Center Configuration Manager

Aplica-se a: System Center Configuration Manager (Branch Atual)Applies to: System Center Configuration Manager (Current Branch)

As atualizações de software no System Center Configuration Manager fornecem um conjunto de ferramentas e recursos que podem ajudar a gerenciar a tarefa complexa de acompanhar e aplicar atualizações de software aos computadores cliente da empresa.Software updates in System Center Configuration Manager provides a set of tools and resources that can help manage the complex task of tracking and applying software updates to client computers in the enterprise. Um processo eficiente de gerenciamento de atualização de software é necessário para manter a eficiência operacional, solucionar problemas de segurança e manter a estabilidade da infraestrutura de rede.An effective software update management process is necessary to maintain operational efficiency, overcome security issues, and maintain the stability of the network infrastructure. No entanto, devido à natureza variável da tecnologia e ao aparecimento contínuo de novas ameaças à segurança, a eficiência do gerenciamento de atualização de software exige atenção consistente e contínua.However, because of the changing nature of technology and the continual appearance of new security threats, effective software update management requires consistent and continual attention.

Para obter um exemplo que mostra como você pode implantar atualizações de software em seu ambiente, consulte Cenário de exemplo para implantar atualizações de software de segurança.For an example scenario that shows how you might deploy software updates in your environment, see Example scenario to deploy security software updates.

Sincronização das atualizações de softwareSoftware updates synchronization

A sincronização de atualizações de software no Configuration Manager se conecta ao Microsoft Update para recuperar metadados de atualizações de software.Software updates synchronization in Configuration Manager connects to Microsoft Update to retrieve software updates metadata. O site de nível superior (site de administração central ou site primário autônomo) sincroniza com o Microsoft Update em um horário agendado ou quando você inicia a sincronização manualmente no console do Configuration Manager.The top-level site (central administration site or stand-alone primary site) synchronizes with Microsoft Update on a schedule or when you manually start synchronization from the Configuration Manager console. Quando o Configuration Manager terminar a sincronização das atualizações de software no site de nível superior, a sincronização das atualizações de software se iniciará nos sites filho, se existirem.When Configuration Manager finishes software updates synchronization at the top-level site, software updates synchronization starts at child sites, if they exist. Quando sincronização termina em cada site primário ou secundário, uma política de site é criada para fornecer aos computadores cliente o local dos pontos de atualização de software.When synchronization is complete at each primary site or secondary site, a site-wide policy is created that provides to client computers the location of the software update points.

Observação

As atualizações de software são habilitadas por padrão nas configurações do cliente.Software updates are enabled by default in client settings. No entanto, se você não definir a configuração do cliente Habilitar as atualizações de software em clientes para Não para desabilitar as atualizações de software em um coleção ou nas configurações padrão, o local dos pontos de atualização de software não será enviado aos clientes associados.However, if you set the Enable software updates on clients client setting to No to disable software updates on a collection or in the default settings, the location for software update points are not sent to associated clients. Para obter detalhes, veja Configurações do cliente para atualizações de software.For details, see software updates client settings.

Depois que o cliente recebe a política, ele inicia uma verificação da conformidade das atualizações de software e grava as informações no WMI (Windows Management Instrumentation).After the client receives the policy, the client starts a scan for software updates compliance and writes the information to Windows Management Instrumentation (WMI). Em seguida, as informações de conformidade são enviadas ao ponto de gerenciamento que, por sua vez, envia as informações ao servidor do site.The compliance information is then sent to the management point that then sends the information to the site server. Para obter mais informações sobre avaliação de conformidade, consulte a seção Software updates compliance assessment neste tópico.For more information about compliance assessment, see the Software updates compliance assessment section in this topic.

É possível instalar vários pontos de atualização de software em um site primário.You can install multiple software update points at a primary site. O primeiro ponto de atualização de software que você instala é configurado como a origem da sincronização.The first software update point that you install is configured as the synchronization source. A sincronização acontece no Microsoft Update ou em um servidor WSUS, não na hierarquia do Configuration Manager.This synchronizes from Microsoft Update or a WSUS server not in your Configuration Manager hierarchy. Os outros pontos de atualização de software do site usam o primeiro ponto de atualização de software como a origem da sincronização.The other software update points at the site use the first software update point as the synchronization source.

Observação

Quando o processo de sincronização de atualizações de software termina no site de nível superior, os metadados das atualizações de software são replicados nos sites filho por meio da replicação de banco de dados.When the software updates synchronization process is complete at the top-level site, the software updates metadata is replicated to child sites by using database replication. Ao conectar um console do Configuration Manager ao site filho, o Configuration Manager exibe os metadados das atualizações de software.When you connect a Configuration Manager console to the child site, Configuration Manager displays the software updates metadata. No entanto, até você instalar e configurar um ponto de atualização de software no site, os clientes não verificarão a conformidade das atualizações de software, não relatarão informações de conformidade para o Configuration Manager, e você não poderá implantar atualizações de software com êxito.However, until you install and configure a software update point at the site, clients will not scan for software updates compliance, clients will not report compliance information to Configuration Manager, and you cannot successfully deploy software updates.

Sincronização no site de nível superiorSynchronization on the top-level site

O processo de sincronização de atualizações de software no site de nível superior recupera do Microsoft Update os metadados das atualizações de software que atendem aos critérios especificados em Propriedades do Componente de Ponto de Atualização de Software.The software updates synchronization process at the top-level site retrieves from Microsoft Update the software updates metadata that meet the criteria that you specify in Software Update Point Component properties. Você define os critérios apenas no site de nível superior.You configure the criteria only at the top-level site.

Observação

É possível especificar um servidor WSUS existente que não está na hierarquia do Configuration Manager, em vez de Microsoft Updates como a origem da sincronização.You can specify an existing WSUS server that is not in the Configuration Manager hierarchy instead of Microsoft Updates as the synchronization source.

A lista a seguir descreve as etapas básicas do processo de sincronização no site de nível superior:The following list describes the basic steps for the synchronization process on the top-level site:

  1. A sincronização de atualizações de software inicia.Software updates synchronization starts.

  2. O Gerenciador de Sincronização do WSUS envia uma solicitação ao WSUS em execução no ponto de atualização de software para iniciar a sincronização com o Microsoft Update.WSUS Synchronization Manager sends a request to WSUS running on the software update point to start synchronization with Microsoft Update.

  3. Os metadados das atualizações de software são sincronizados no Microsoft Update e as alterações são inseridas ou atualizadas no banco de dados do WSUS.The software updates metadata is synchronized from Microsoft Update, and any changes are inserted or updated in the WSUS database.

  4. Quando o WSUS termina a sincronização, o Gerenciador de Sincronização do WSUS sincroniza os metadados das atualizações de software do banco de dados do WSUS com o banco de dados do Configuration Manager, e as alterações após a última sincronização são inseridas ou atualizadas no banco de dados do site.When WSUS has finished synchronization, WSUS Synchronization Manager synchronizes the software updates metadata from the WSUS database to the Configuration Manager database, and any changes after the last synchronization are inserted or updated in the site database. Os metadados das atualizações de software são armazenados no banco de dados do site como item de configuração.The software updates metadata is stored in the site database as a configuration item.

  5. Os itens de configuração das atualizações de software são enviados aos sites filho por meio da replicação de banco de dados.The software updates configuration items are sent to child sites by using database replication.

  6. Quando a sincronização termina com êxito, o Gerenciador de Sincronização do WSUS cria a mensagem de status 6702.When synchronization has finished successfully, WSUS Synchronization Manager creates status message 6702.

  7. O Gerenciador de Sincronização do WSUS envia uma solicitação de sincronização para todos os sites filho.WSUS Synchronization Manager sends a synchronization request to all child sites.

  8. O Gerenciador de Sincronização do WSUS envia uma solicitação por vez ao WSUS em execução em outros pontos de atualização de software do site.WSUS Synchronization Manager sends a request one at a time to WSUS running on other software update points at the site. Os servidores WSUS dos outros pontos de atualização de software são configurados para serem réplicas do WSUS em execução no ponto de atualização de software padrão do site.The WSUS servers on the other software update points are configured to be replicas of WSUS running on the default software update point at the site.

Sincronização em sites primários e secundários filhoSynchronization on child primary and secondary sites

Durante o processo de sincronização de atualizações de software no site de nível superior, os itens de configuração das atualizações de software são replicados nos sites filho por meio da replicação de banco de dados.During the software updates synchronization process on the top-level site, the software updates configuration items are replicated to child sites by using database replication. No fim do processo, o site de nível superior envia uma solicitação de sincronização ao site filho, que inicia a sincronização do WSUS.At the end of the process, the top-level site sends a synchronization request to the child site, and the child site starts the WSUS synchronization. A lista a seguir fornece as etapas básicas do processo de sincronização em um site primário ou secundário filho:The following list provides the basic steps for the synchronization process on a child primary site or secondary site:

  1. O Gerenciador de Sincronização do WSUS recebe uma solicitação de sincronização do site de nível superior.WSUS Synchronization Manager receives a synchronization request from the top-level site.

  2. A sincronização de atualizações de software inicia.Software updates synchronization starts.

  3. O Gerenciador de Sincronização do WSUS faz uma solicitação para o WSUS em execução no ponto de atualização de software para iniciar a sincronização.WSUS Synchronization Manager makes a request to WSUS running on the software update point to start synchronization.

  4. O WSUS em execução no ponto de atualização de software no site filho sincroniza os metadados de atualizações de software do WSUS em execução no ponto de atualização de software no site pai.WSUS running on the software update point on the child site synchronizes software updates metadata from WSUS running on the software update point on the parent site.

  5. Quando a sincronização termina com êxito, o Gerenciador de Sincronização do WSUS cria a mensagem de status 6702.When synchronization has finished successfully, WSUS Synchronization Manager creates status message 6702.

  6. Em um site primário, o Gerenciador de Sincronização do WSUS envia uma solicitação de sincronização para qualquer site secundário filho.From a primary site, WSUS Synchronization Manager sends a synchronization request to any child secondary sites. O site secundário inicia a sincronização das atualizações de software com o site primário pai.The secondary site starts the software updates synchronization with the parent primary site. O site secundário é configurado como uma réplica do WSUS em execução no site pai.The secondary site is configured as a replica of WSUS running on the parent site.

  7. O Gerenciador de Sincronização do WSUS envia uma solicitação por vez ao WSUS em execução em outros pontos de atualização de software do site.WSUS Synchronization Manager sends a request one at a time to WSUS running on other software update points at the site. Os servidores WSUS dos outros pontos de atualização de software são configurados para serem réplicas do WSUS em execução no ponto de atualização de software padrão do site.The WSUS servers on the other software update points are configured to be replicas of WSUS running on the default software update point at the site.

Software updates compliance assessmentSoftware updates compliance assessment

Antes de você implantar atualizações de software em computadores cliente no Configuration Manager, inicie a verificação da conformidade das atualizações de software nos computadores cliente.Before you deploy software updates to client computers in Configuration Manager, start a scan for software updates compliance on client computers. Para cada atualização de software, uma mensagem de estado é criada contendo o estado de conformidade da atualização.For each software update, a state message is created that contains the compliance state for the update. As mensagens de estado são enviadas em massa para o ponto de gerenciamento e depois para o servidor do site, onde o estado de conformidade é inserido no banco de dados do site.The state messages are sent in bulk to the management point and then to the site server, where the compliance state is inserted into the site database. O estado de conformidade das atualizações de software é exibido no console do Configuration Manager.The compliance state for software updates is displayed in the Configuration Manager console. Você pode implantar e instalar atualizações de software nos computadores que precisam dessas atualizações.You can deploy and install software updates on computers that require the updates. As seções a seguir fornecem informações sobre os estados de conformidade e descreve o processo da verificação da conformidade das atualizações de software.The following sections provide information about the compliance states and describe the process for scanning for software updates compliance.

Estados de conformidade das atualizações de softwareSoftware updates compliance states

A seguir veja uma lista e descrição de cada estado de conformidade que é exibido no console do Configuration Manager para as atualizações de software.The following lists and describes each compliance state that is displayed in the Configuration Manager console for software updates.

  • NecessáriaRequired

    Especifica que a atualização de software é aplicável e necessária no computador cliente.Specifies that the software update is applicable and required on the client computer. Qualquer uma das condições a seguir pode ser válida quando o estado da atualização de software é Necessária:Any of the following conditions could be true when the software update state is Required:

    • A atualização de software não foi implantada no computador cliente.The software update was not deployed to the client computer.

    • A atualização de software foi instalada no computador cliente.The software update was installed on the client computer. No entanto, a mensagem de estado mais recente ainda não foi inserida no banco de dados do servidor do site.However, the most recent state message has not yet been inserted into the database on the site server. O computador cliente repete a verificação da atualização após o término da instalação.The client computer rescans for the update after the installation has finished. Pode haver um atraso de até dois minutos para o cliente enviar o estado atualizado ao ponto de gerenciamento que, por sua vez, encaminha o estado atualizado ao servidor do site.There might be a delay of up to two minutes before the client sends the updated state to the management point that then forwards the updated state to the site server.

    • A atualização de software foi instalada no computador cliente.The software update was installed on the client computer. No entanto, a instalação da atualização de software requer a reinicialização do computador para ser concluída.However, the software update installation requires a computer restart before the update is completed.

    • A atualização de software foi implantada no computador cliente, mas ainda não foi instalada.The software update was deployed to the client computer but has not yet been installed.

  • Não necessárioNot Required

    Especifica que a atualização de software não é aplicável no computador cliente.Specifies that the software update is not applicable on the client computer. Portanto, a atualização de software não é necessária.Therefore, the software update is not required.

  • InstaladoInstalled

    Especifica que a atualização de software é aplicável ao computador cliente e que o computador cliente já tem a atualização de software instalada.Specifies that the software update is applicable on the client computer and that the client computer already has the software update installed.

  • DesconhecidaUnknown

    Especifica que o servidor do site não recebeu uma mensagem de estado do computador cliente, normalmente porque:Specifies that the site server has not received a state message from the client computer, typically because one of the following:

    • O computador cliente não verificou com êxito a conformidade das atualizações de software.The client computer did not successfully scan for software updates compliance.

    • A verificação foi concluída com êxito no computador cliente.The scan finished successfully on the client computer. No entanto, a mensagem de estado ainda não foi processada no servidor do site, talvez devido a um acúmulo de mensagens de estado.However, the state message has not yet been processed on the site server, possibly because of a state message backlog.

    • A verificação foi concluída com êxito no computador cliente, mas a mensagem de estado não foi enviada pelo site filho.The scan finished successfully on the client computer, but the state message has not been received from the child site.

    • A verificação foi concluída com êxito no computador cliente, mas o arquivo da mensagem de estado foi corrompido de alguma maneira e não pôde ser processado.The scan finished successfully on the client computer, but the state message file was corrupted in some way and could not be processed.

Examinar o processo de conformidade das atualizações de softwareScan for software updates compliance process

Quando o ponto de atualização de software é instalado e sincronizado, uma política de computador de todo o site é criada, informando aos computadores cliente de que as atualizações de software do Configuration Manager foram habilitadas para o site.When the software update point is installed and synchronized, a site-wide machine policy is created that informs client computers that Configuration Manager software updates was enabled for the site. Quando um cliente recebe a política de computador, uma verificação de avaliação de conformidade é agendada para iniciar aleatoriamente nas próximas duas horas.When a client receives the machine policy, a compliance assessment scan is scheduled to start randomly within the next two hours. Quando a verificação é iniciada, um processo do Agente Cliente de Atualizações de Software apaga o histórico de verificações, envia uma solicitação para localizar o servidor WSUS que deve ser usado na verificação e atualiza a Política de Grupo local com o local do servidor WSUS.When the scan is started, a Software Updates Client Agent process clears the scan history, submits a request to find the WSUS server that should be used for the scan, and updates the local Group Policy with the WSUS server location.

Observação

Clientes baseados na Internet devem se conectar ao servidor do WSUS usando SSL.Internet-based clients must connect to the WSUS server by using SSL.

Uma solicitação de verificação é passada para o WUA (Windows Update Agent).A scan request is passed to the Windows Update Agent (WUA). O WUA, em seguida, conecta-se ao local do servidor do WSU que está listado na política local, recupera os metadados de atualizações de software sincronizados no servidor do WSUS e verifica as atualizações no computador do cliente.The WUA then connects to the WSUS server location that is listed in the local policy, retrieves the software updates metadata that has been synchronized on the WSUS server, and scans the client computer for the updates. Um processo do Agente Cliente de Atualizações de Software detecta que a verificação de conformidade foi concluída e cria mensagens de estado para cada atualização que foi alterada em conformidade com o estado, após a última verificação.A Software Updates Client Agent process detects that the scan for compliance has finished, and it creates state messages for each software update that changed in compliance state after the last scan. As mensagens de estado são enviadas para o ponto de gerenciamento em massa a cada 15 minutos.The state messages are sent to the management point in bulk every 15 minutes. O ponto de gerenciamento, em seguida, encaminha as mensagens de estado para o servidor do site, onde são inseridas no banco de dados do servidor do site.The management point then forwards the state messages to the site server, where the state messages are inserted into the site server database.

Após a verificação inicial de conformidade das atualizações de software, a verificação é iniciada na agenda de verificação configurada.After the initial scan for software updates compliance, the scan is started at the configured scan schedule. No entanto, se o cliente tiver verificado a conformidade das atualizações de software no período de tempo indicado pelo valor TTL (Vida Útil), usará o software de metadados de atualizações que é armazenado localmente.However, if the client has scanned for software updates compliance in the time frame indicated by the Time to Live (TTL) value, the client uses the software updates metadata that is stored locally. Quando a última verificação estiver fora do TTL, o cliente deverá se conectar ao WSUS em execução no ponto de atualização de software e atualizar os metadados de atualizações de software armazenados no cliente.When the last scan is outside the TTL, the client must connect to WSUS running on the software update point and update the software updates metadata stored on the client.

Incluindo o agendamento da verificação, a verificação de conformidade das atualizações de software pode ter início das seguintes maneiras:Including the scan schedule, the scan for software updates compliance can start in the following ways:

  • Agendamento de verificação das atualizações de software: a verificação de conformidade das atualizações de software começa no agendamento de verificação definido nas configurações do Agente Cliente de Atualizações de Software.Software updates scan schedule: The scan for software updates compliance starts at the configured scan schedule that is configured in the Software Updates Client Agent settings. Para obter mais informações sobre como definir as configurações do cliente de Atualizações de Software, veja Configurações do cliente de Atualizações de Software.For more information about how to configure the Software Updates client settings, see software updates client settings.

  • Ação Propriedades do Configuration Manager: o usuário pode iniciar a ação Ciclo de Verificação de Atualizações de Software ou Ciclo de Avaliação de Implantação de Atualizações de Software na guia Ação na caixa de diálogo Propriedades do Configuration Manager no computador cliente.Configuration Manager Properties action: The user can start the Software Updates Scan Cycle or Software Updates Deployment Evaluation Cycle action on the Action tab in the Configuration Manager Properties dialog box on the client computer.

  • Agendamento de reavaliação da implantação: a avaliação da implantação e a verificação de conformidade das atualizações de software começam no agendamento de reavaliação da implantação definido nas configurações do Agente Cliente de Atualizações de Software.Deployment reevaluation schedule: The deployment evaluation and scan for software updates compliance starts at the configured deployment reevaluation schedule, which is configured in the Software Updates Client Agent settings. Para obter mais informações sobre as configurações do cliente de Atualizações de Software, veja Configurações do cliente de Atualizações de Software.For more information about the Software Updates client settings, see software updates client settings.

  • Antes de baixar arquivos de atualização: quando um computador cliente recebe uma política de atribuição de uma nova implantação necessária, o Agente Cliente de Atualizações de Software baixa os arquivos de atualização no cache local do cliente.Prior to downloading update files: When a client computer receives an assignment policy for a new required deployment, the Software Updates Client Agent downloads the software update files to the local client cache. Para baixar os arquivos de atualização de software, o agente cliente inicia uma varredura para verificar se a atualização de software ainda é necessária.Before downloading the software update files, the client agent starts a scan to verify that the software update is still required.

  • Antes da instalação da atualização de software: logo antes da instalação da atualização de software, o Agente Cliente de Atualizações de Software inicia uma verificação para confirmar se as atualizações de software ainda são necessárias.Prior to software update installation: Just before the software update installation, the Software Updates Client Agent starts a scan to verify that the software updates are still required.

  • Após a instalação da atualização de software: logo após uma instalação de atualização de software ser concluída, o Agente Cliente de Atualizações de Software inicia uma verificação para confirmar se as atualizações não são mais necessárias e cria uma nova mensagem de estado que indica que a atualização de software foi instalada.After software update installation: Just after a software update installation is complete, the Software Updates Client Agent starts a scan to verify that the software updates are no longer required and creates a new state message that states that the software update is installed. Quando a instalação é concluída, mas uma reinicialização é necessária, a mensagem de estado indica que uma reinicialização está pendente no computador cliente.When the installation has finished, but a restart is necessary, the state message indicates that the client computer is pending a restart.

  • Após a reinicialização do sistema: quando uma reinicialização do sistema está pendente no computador cliente para que a instalação da atualização de software seja concluída, o Agente Cliente de Atualizações de Software inicia uma verificação após a reinicialização para confirmar se a atualização de software não é mais necessária e cria uma mensagem de estado que indica que a atualização de software está instalada.After system restart: When a client computer is pending a system restart for the software update installation to finish, the Software Updates Client Agent starts a scan after the restart to verify that the software update is no longer required and creates a state message that states that the software update is installed.

Valor de vida útilTime to live value

Os metadados de atualizações de software necessários na verificação de conformidade das atualizações são armazenados no computador cliente local e, por padrão, são relevantes por até 24 horas.The software updates metadata that is required for the scan for software updates compliance is stored on the local client computer, and by default, is relevant for up to 24 hours. Esse valor é conhecido como TTL (Vida Útil).This value is known as the Time to Live (TTL).

Examinar os tipos de conformidade das atualizações de softwareScan for software updates compliance types

O cliente verifica a conformidade das atualizações de software usando uma verificação online ou offline e uma verificação forçada ou não forçada, dependendo da forma pela qual a conformidade das atualizações de software é iniciada.The client scans for software updates compliance by using an online or offline scan and a forced or non-forced scan, depending on the way the scan for software updates compliance is started. A seguir há uma descrição dos métodos online ou offline para iniciar a verificação e se ela é forçada ou não forçada.The following describes which methods for starting the scan are online or offline and whether the scan is forced or non-forced.

  • Agendamento da verificação das atualizações de software (verificação online não forçada)Software updates scan schedule (non-forced online scan)

    No agendamento de verificação configurado, o cliente só se conecta ao WSUS em execução no ponto de atualização de software para recuperar os metadados das atualizações de software quando a última verificação está fora do TTL.At the configured scan schedule, the client connects to WSUS running on the software update point to retrieve the software updates metadata only when the last scan was outside the TTL.

  • Ciclo de Verificação de Atualizações de Software ou Ciclo de Avaliação de Implantação de Atualizações de Software (verificação online forçada)Software Updates Scan Cycle or Software Updates Deployment Evaluation Cycle (forced online scan)

    O computador cliente sempre se conecta ao WSUS em execução no ponto de atualização de software para recuperar os metadados das atualizações de software antes de o computador cliente verificar a conformidade das atualizações de software.The client computer always connects to WSUS running on the software update point to retrieve the software updates metadata before the client computer scans for software updates compliance. Após a conclusão da verificação, o contador de TTL é redefinido.After the scan is complete, the TTL counter is reset. Por exemplo, se o TTL for 24 horas, depois que um usuário inicia uma verificação de conformidade das atualizações de software o TTL é redefinido para 24 horas.For example, if the TTL is 24 hours, after a user starts a scan for software updates compliance, the TTL is reset to 24 hours.

  • Agendamento de reavaliação da implantação (verificação online não forçada)Deployment reevaluation schedule (non-forced online scan)

    No agendamento de reavaliação da implantação configurado, o cliente só se conecta ao WSUS em execução no ponto de atualização de software para recuperar os metadados das atualizações de software quando a última verificação está fora do TTL.At the configured deployment reevaluation schedule, the client connects to WSUS running on the software update point to retrieve the software updates metadata only when the last scan was outside the TTL.

  • Antes de baixar arquivos de atualização (verificação online não forçada)Prior to downloading update files (non-forced online scan)

    Para que o cliente possa baixar os arquivos de atualização em implantações necessárias, ele só se conecta ao WSUS em execução no ponto de atualização de software para recuperar os metadados das atualizações de software quando a última verificação está fora do TTL.Before the client can download update files in required deployments, the client connects to WSUS running on the software update point to retrieve the software updates metadata only when the last scan was outside the TTL.

  • Antes da instalação da atualização de software (verificação online não forçada)Prior to software update installation (non-forced online scan)

    Para que o cliente instale as atualização de software em implantações necessárias, ele só se conecta ao WSUS em execução no ponto de atualização de software para recuperar os metadados das atualizações de software quando a última verificação está fora do TTL.Before the client installs software updates in required deployments, the client connects to WSUS running on the software update point to retrieve the software updates metadata only when the last scan was outside the TTL.

  • Antes da instalação da atualização de software (verificação offline forçada)After software update installation (forced offline scan)

    Depois que uma atualização de software é instalada, o Agente Cliente de Atualizações de Software inicia uma verificação usando os metadados locais.After a software update is installed, the Software Updates Client Agent starts a scan by using the local metadata. O cliente nunca se conecta ao WSUS em execução no ponto de atualização de software para recuperar metadados de atualizações de software.The client never connects to WSUS running on the software update point to retrieve software updates metadata.

  • Após a reinicialização do sistema (verificação offline forçada)After system restart (forced offline scan)

    Depois que uma atualização de software é instalada e o computador é reiniciado, o Agente Cliente de Atualizações de Software inicia uma verificação usando os metadados locais.After a software update is installed and the computer is restarted, the Software Updates Client Agent starts a scan by using the local metadata. O cliente nunca se conecta ao WSUS em execução no ponto de atualização de software para recuperar metadados de atualizações de software.The client never connects to WSUS running on the software update point to retrieve software updates metadata.

Pacotes de implantação de atualização de softwareSoftware update deployment packages

Um pacote de implantação de atualização de software é o veículo usado para baixar atualizações de software para uma pasta de rede compartilhada, e copiar os arquivos de origem de atualização na biblioteca de conteúdo em servidores de site e nos pontos de distribuição definidos na implantação.A software update deployment package is the vehicle used to download software updates to a network shared folder, and copy the software update source files to the content library on site servers and on distribution points that are defined in the deployment. Ao usar o Assistente de Atualizações de Downloads, você pode baixar atualizações de software e adicioná-las aos pacotes de implantação antes de implantá-la.By using the Download Updates Wizard, you can download software updates and add them to deployment packages before you deploy them. Este assistente permite que você provisione atualizações de software nos pontos de distribuição e verifique se esta parte do processo de implantação foi bem-sucedida antes de implantar as atualizações de software nos clientes.This wizard lets you provision software updates on distribution points and verify that this part of the deployment process is successful before you deploy the software updates to clients.

Quando você implanta atualizações de software baixadas usando o Assistente para Implantar Atualizações de Software, a implantação usa automaticamente o pacote de implantação que contém as atualizações de software.When you deploy downloaded software updates by using the Deploy Software Updates Wizard, the deployment automatically uses the deployment package that contains the software updates. Quando atualizações de software que não foram baixadas são implantadas, você deve especificar um pacote de implantação novo ou existente no Assistente para Implantar Atualizações de Software e as atualizações de software são baixadas quando o assistente é concluído.When software updates that have not been downloaded are deployed, you must specify a new or existing deployment package in the Deploy Software Updates Wizard, and the software updates are downloaded when the wizard is finished.

Importante

Você deve criar a pasta de rede compartilhada manualmente para os arquivos de origem do pacote de implantação antes de especificá-los no assistente.You must manually create the shared network folder for the deployment package source files before you specify it in the wizard. Cada pacote de implantação deve usar uma pasta de compartilhamento de rede diferente.Each deployment package must use a different shared network folder.

Importante

A conta de computador do Provedor de SMS e o usuário administrativo que baixa as atualizações de software, ambos requerem permissões de Gravação na origem do pacote.The SMS Provider computer account and the administrative user who actually downloads the software updates both require Write permissions to the package source. Restrinja o acesso à origem do pacote para reduzir o risco de ataques aos arquivos de origem de atualizações de software na origem do pacote.Restrict access to the package source to reduce the risk of an attacker tampering with the software updates source files in the package source.

Quando um novo pacote de implantação é criado, a versão do conteúdo é definida como 1 antes que qualquer atualização de software seja baixada.When a new deployment package is created, the content version is set to 1 before any software updates are downloaded. Quando os arquivos de atualização de software forem baixados com o uso do pacote, a versão do conteúdo é incrementada para 2.When the software update files are downloaded by using the package, the content version is incremented to 2. Portanto, todos os novos pacotes de implantação começam com uma versão de conteúdo de 2.Therefore, all new deployment packages start with a content version of 2. Sempre que o conteúdo é alterado em um pacote de implantação, a versão do conteúdo é incrementada em 1.Every time that the content changes in a deployment package, the content version is incremented by 1. Para mais informações, consulte Conceitos fundamentais para o gerenciamento de conteúdo.For more information, see Fundamental concepts for content management.

Os clientes instalam atualizações de software em uma implantação usando qualquer ponto de distribuição que tem as atualizações de software disponíveis, independentemente do pacote de implantação.Clients install software updates in a deployment by using any distribution point that has the software updates available, regardless of the deployment package. Mesmo que um pacote de implantação seja excluído para uma implantação ativa, os clientes ainda podem instalar as atualizações de software na implantação, desde que cada atualização seja baixada para pelo menos outro pacote de implantação e esteja disponível em um ponto de distribuição que possa ser acessado pelo cliente.Even if a deployment package is deleted for an active deployment, clients still can install the software updates in the deployment as long as each update was downloaded to at least one other deployment package and is available on a distribution point that can be accessed from the client. Quando o último pacote de implantação que contém uma atualização de software é excluído, os computadores cliente não podem recuperar a atualização de software até que a atualização seja baixada novamente em um pacote de implantação.When the last deployment package that contains a software update is deleted, client computers cannot retrieve the software update until the update is downloaded again to a deployment package. As atualizações de software aparecem com uma seta vermelha no console do Configuration Manager quando os arquivos de atualização não estão nos pacotes de implantação.Software updates appear with a red arrow in the Configuration Manager console when the update files are not in any deployment packages. As implantações serão exibidas com uma seta vermelha dupla se contiverem as atualizações nessa condição.Deployments appear with a double red arrow if they contain any updates in this condition.

Fluxos de trabalho de implantação de atualização de softwareSoftware update deployment workflows

Há dois cenários principais para implantar atualizações de software em seu ambiente, a implantação manual e a implantação automática.There are two main scenarios for deploying software updates in your environment, manual deployment and automatic deployment. Em geral, você implanta atualizações de software manualmente para criar uma linha de base para seus computadores cliente; em seguida, você gerencia as atualizações de software nos clientes usando a implantação automática.Typically, you deploy software updates manually to create a baseline for client computers, and then you manage software updates on clients by using automatic deployment. As seções a seguir fornecem um resumo do fluxo de trabalho de implantação manual e automática das atualizações de software.The following sections provide a summary for the workflow for manual and automatic deployment for software updates.

Implantação manual de atualizações de softwareManual deployment of software updates

Uma implantação manual de atualizações de software é o processo de selecionar atualizações de software no console do Configuration Manager e iniciar manualmente o processo de implantação.Manual deployment of software updates is the process of selecting software updates in the Configuration Manager console and manually starting the deployment process. Esse método de implantação é usado geralmente para ter os computadores cliente em dia com as atualizações de software necessárias antes de serem criadas regras de implantação automáticas que gerenciam as implantações de atualização de software mensalmente e continuamente e para implantar requisitos de atualização de software fora da banda.You typically use this method of deployment to get the client computers up-to-date with required software updates before you create automatic deployment rules that manage ongoing monthly software update deployments, and to deploy out of band software update requirements. A lista seguinte fornece o fluxo de trabalho geral para implantação manual das atualizações de software:The following list provides the general workflow for manual deployment of software updates:

  1. Filtro para atualizações de software que usam requisitos específicos.Filter for software updates that use specific requirements. Por exemplo, você pode fornecer critérios que recuperam toda a segurança ou atualizações críticas de software que são necessárias em mais de 50 computadores cliente.For example, you could provide criteria that retrieves all security or critical software updates that are required on more than 50 client computers.

  2. Crie um grupo de atualização de software que contém as atualizações de software.Create a software update group that contains the software updates.

  3. Baixe o conteúdo das atualizações de software no grupo de atualização de software.Download the content for the software updates in the software update group.

  4. Implante manualmente o grupo de atualização de software.Manually deploy the software update group.

Implantação automática de atualizações de softwareAutomatic deployment of software updates

A implantação automática de atualizações de software é configurada usando uma ADR (regra de implantação automática).Automatic software updates deployment is configured by using an automatic deployment rule (ADR). Esse método de implantação geralmente é usado para suas atualizações de software mensais (geralmente conhecidas como "Patch Tuesday") e para o gerenciamento de atualizações de definição.You typically use this method of deployment for your monthly software updates (generally known as Patch Tuesday) and for managing definition updates. Quando a regra é executada, as atualizações são removidas do grupo de atualização de software (se estiver usar um arquivo de grupo) de software, as atualizações de software que atendem aos critérios especificados (por exemplo, todas as atualizações de software de segurança lançados na última semana) são adicionadas a um grupo de atualização de software, os arquivos de conteúdo das atualizações de software são baixados e copiados nos pontos de distribuição e as atualizações de software são implantadas em computadores clientes na coleção de destino.When the rule runs, software updates are removed from the software update group (if using an existing group), the software updates that meet a specified criteria (for example, all security software updates released in the last week) are added to a software update group, the content files for the software updates are downloaded and copied to distribution points, and the software updates are deployed to client computers in the target collection. A lista seguinte fornece o fluxo de trabalho geral para implantação automática das atualizações de software:The following list provides the general workflow for automatic deployment of software updates:

  1. Crie uma ADR que especifica as configurações de implantação, como as seguintes:Create an ADR that specifies deployment settings such as the following:

    • Coleção de destinoTarget collection

    • Decida se deseja habilitar a implantação ou relatório em conformidade de atualizações de software para os computadores cliente na coleção de destinoDecide whether to enable the deployment or report on software updates compliance for the client computers in the target collection

    • Critérios de atualizações de softwareSoftware updates criteria

    • Agendamento de avaliação e implantaçãoEvaluation and deployment schedules

    • Experiência do usuárioUser experience

    • Propriedades do downloadDownload properties

  2. As atualizações de software são adicionadas a um grupo de atualização de software.The software updates are added to a software update group.

  3. O grupo de atualização de software é implantado nos computadores cliente na coleção de destino, se especificada.The software update group is deployed to the client computers in the target collection, if it is specified.

    Você deve determinar qual estratégia de implantação usar no seu ambiente.You must determine what deployment strategy to use in your environment. Por exemplo, é possível criar a ADR e ter com alvo uma coleção de clientes de teste.For example, you might create the ADR and target a collection of test clients. Depois de verificar se as atualizações de software estão instaladas no grupo de teste, é possível adicionar uma nova implantação à regra ou alterar a coleção na implantação existente para uma coleção de destino que inclua um conjunto maior de clientes.After you verify that the software updates are installed on the test group, you can add a new deployment to the rule or change the collection in the existing deployment to a target collection that includes a larger set of clients. Os objetos de atualização de software que são criados pelas ADRs são interativos.The software update objects that are created by the ADRs are interactive.

  • As atualizações de software implantadas usando uma ADR são automaticamente implantadas nos novos clientes adicionados à coleção de destino.Software updates that were deployed by using an ADR are automatically deployed to new clients added to the target collection.

  • Novas atualizações de software adicionadas a um grupo de atualização de software são automaticamente implantadas em clientes na coleção de destino.New software updates added to a software update group are automatically deployed to the clients in the target collection.

  • É possível habilitar ou desabilitar as implantações a qualquer momento para a ADR.You can enable or disable deployments at any time for the ADR.

    Depois de criar uma ADR, é possível adicionar outras implantações à regra.After you create an ADR, you can add additional deployments to the rule. Isso pode ajudá-lo a gerenciar a complexidade de implantar diferentes atualizações em diferentes coleções.This can help you manage the complexity of deploying different updates to different collections. Cada nova implantação tem a gama completa da funcionalidade e da experiência de monitoramento da implantação, e cada nova implantação que você adicionar:Each new deployment has the full range of functionality and deployment monitoring experience, and each new deployment that you add:

  • Usa o mesmo grupo e pacote de atualização que é criado quando o ADR é executado pela primeira vezUses the same update group and package which is created when the ADR first runs

  • Pode especificar uma coleção diferenteCan specify a different collection

  • Dá suporte a propriedades de implantação exclusivas, incluindo:Supports unique deployment properties including:

    • Tempo de ativaçãoActivation time

    • PrazoDeadline

    • Mostrar ou ocultar a experiência do usuário finalShow or hide end user experience

    • Alertas separados para esta implantaçãoSeparate alerts for this deployment

Processo de implantação de atualização de softwareSoftware update deployment process

Depois de implantar as atualizações de software ou quando uma regra de implementação automática executa e implanta atualizações de software, uma política de atribuição de implantação é adicionada à política do computador para o site.After you deploy software updates or when an automatic deployment rule runs and deploys software updates, a deployment assignment policy is added to the machine policy for the site. As atualizações de software são baixadas por meio do local de download, a Internet, ou de uma pasta de rede compartilhada, na origem do pacote.The software updates are downloaded from the download location, the Internet, or network shared folder, to the package source. As atualizações de software são copiadas da origem do pacote para a biblioteca de conteúdo no servidor do site, e depois copiadas na biblioteca de conteúdo no ponto de distribuição.The software updates are copied from the package source to the content library on the site server, and then copied to the content library on the distribution point.

Quando um computador cliente na coleção de destino da implantação recebe a política do computador, o Agente Cliente de Atualizações de Software começa uma verificação de avaliação.When a client computer in the target collection for the deployment receives the machine policy, the Software Update Client Agent starts an evaluation scan. O agente cliente baixa o conteúdo das atualizações de software necessárias de um ponto de distribuição para o cache do cliente local na configuração Tempo disponível do software da implantação e, em seguida, as atualizações do software ficam disponíveis para instalação.The client agent downloads the content for required software updates from a distribution point to the local client cache at the Software available time setting for the deployment and then the software updates are available to install. As atualizações de software em implantações opcionais (implantações que não têm um prazo de instalação) não são baixadas até que um usuário inicie manualmente a instalação.The software updates in optional deployments (deployments that do not have an installation deadline) are not downloaded until a user manually starts the installation.

Quando o prazo configurado passa, o Agente Cliente de Atualizações de Software realiza uma varredura para verificar se as atualizações de software ainda são necessárias.When the configured deadline passes, the Software Updates Client Agent performs a scan to verify that the software updates are still required. Em seguida, ele verifica o cache local no computador cliente para ver se os arquivos de origem da atualização ainda estão disponíveis.Then it checks the local cache on the client computer to verify that the software update source files are still available. Por fim, o cliente instala as atualizações de software.Finally, the client installs the software updates. Se o conteúdo tiver sido excluído do cache do cliente para liberar espaço para outra implantação, o cliente baixará as atualizações de software do ponto de distribuição no cache.If the content was deleted from the client cache to make room for another deployment, the client re-downloads the software updates from the distribution point to the client cache. As atualizações de software são sempre baixadas no cache do cliente independentemente do tamanho máximo do cache do cliente configurado.Software updates are always downloaded to the client cache regardless of the configured maximum client cache size. Quando a instalação é concluída, o agente cliente verifica se as atualizações de software não são mais necessárias e, em seguida, envia uma mensagem de estado para o ponto de gerenciamento para indicar que as atualizações estão instaladas no cliente.When the installation is complete, the client agent verifies that the software updates are no longer required, and then sends a state message to the management point to indicate that the software updates are now installed on the client.

Reinicialização necessária do sistemaRequired system restart

Por padrão, quando as atualizações de software de uma implantação necessária são instaladas em um computador cliente e é necessário reiniciar o sistema para a instalação concluir, o sistema é reiniciado.By default, when software updates from a required deployment are installed on a client computer and a system restart is required for the installation to finish, the system restart is started. Para atualizações de software instalados antes do prazo, a reinicialização automática do sistema é adiada até prazo, a menos que o computador seja reiniciado antes disso, por algum outro motivo.For software updates that were installed before the deadline, the automatic system restart is postponed until the deadline, unless the computer is restarted before that for some other reason. A reinicialização do sistema pode ser suprimida para servidores e estações de trabalho.The system restart can be suppressed for servers and workstations. Estas definições são configuradas na página Experiência do Usuário do assistente para Implantar Atualizações de Software ou Criar Assistente de Regra de Implantação Automática.These settings are configured in the User Experience page of the Deploy Software Updates Wizard or Create Automatic Updates Rule Wizard.

Ciclo de reavaliação de implantaçãoDeployment reevaluation cycle

Por padrão, os computadores cliente iniciam um ciclo de reavaliação de implantação a cada 7 dias.By default, client computers start a deployment reevaluation cycle every 7 days. Durante esse ciclo de avaliação, o computador cliente verifica atualizações de software que foram implantadas e instaladas anteriormente.During this evaluation cycle, the client computer scans for software updates that were previously deployed and installed. Se faltarem atualizações de software, elas serão reinstaladas por meio do cache local.If any software updates are missing, the software updates are reinstalled from the local cache. Se uma atualização de software não estiver mais disponível no cache local, será baixada de um ponto de distribuição e depois instalada.If a software update is no longer available in the local cache, it is downloaded from a distribution point and then installed. Você pode configurar o agendamento da reavaliação na página Atualizações de Software nas configurações do cliente para o site.You can configure the reevaluation schedule on the Software Updates page in client settings for the site.

Suporte para dispositivos Windows Embedded que usam filtros de gravaçãoSupport for Windows embedded devices that use write filters

Quando você implanta atualizações de software em dispositivos Windows Embedded habilitados com filtro de gravação, pode especificar se quer desabilitar o filtro de gravação no dispositivo durante a implantação e reiniciá-lo após a implantação.When you deploy software updates to Windows Embedded devices that are write filter-enabled, you can specify whether to disable the write filter on the device during the deployment and then restart the device after the deployment. Se o filtro de gravação não for desabilitado, o software será implantado em uma sobreposição temporária e não será mais instalado quando o dispositivo for reiniciado, a menos que outras alterações de forças de implantação sejam persistidas.If the write filter is not disabled, the software is deployed to a temporary overlay and the software will no longer be installed when the device restarts unless another deployment forces changes to be persisted.

Observação

Ao implantar uma atualização de software em um dispositivo Windows Embedded, verifique se o dispositivo é membro de uma coleção com uma janela de manutenção configurada.When you deploy a software update to a Windows Embedded device, make sure that the device is a member of a collection that has a configured maintenance window. Isso permite que você gerencie se o filtro de gravação é desabilitado e habilitado na reinicialização do dispositivo.This lets you manage when the write filter is disabled and enabled, and when the device restarts.

A configuração de experiência do usuário que controla o comportamento do filtro de gravação é uma caixa de seleção denominada Confirmar as alterações no prazo ou durante uma janela de manutenção (requer reinicializações) .The user experience setting that controls the write filter behavior is a check box named Commit changes at deadline or during a maintenance windows (requires restarts).

Para obter mais informações sobre como o Configuration Manager gerencia dispositivos inseridos que usam filtros de gravação, veja Planejamento para implantação do cliente em dispositivos Windows Embedded.For more information about how Configuration Manager manages embedded devices that use write filters, see Planning for client deployment to Windows Embedded devices.

Estender as atualizações de software no Configuration ManagerExtend software updates in Configuration Manager

Use System Center Updates Publisher para gerenciar atualizações de software que não estão disponíveis no Microsoft Update.Use System Center Updates Publisher to manage software updates that are not available from Microsoft Update. Depois de publicar as atualizações de software no servidor de atualização e sincronizá-las no Configuration Manager, você pode implantar as atualizações de software nos clientes do Configuration Manager.After you publish the software updates to the update server and synchronize the software updates in Configuration Manager, you can deploy the software updates to Configuration Manager clients. Para obter mais informações sobre o Updates Publisher, consulte Updates Publisher 2011.For more information about Updates Publisher, see Updates Publisher 2011.

Próximas etapasNext steps

Planejar atualizações de softwarePlan for software updates