Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Processo de gerenciamento de patches

Fase 4 - Implantação

Atualizado em: 1 de junho de 2007

Nesta página

Neste módulo
Objetivos
Aplicação
Como usar este módulo
Visão geral
Preparação da implantação
Implantação da atualização de software nos computadores designados
Revisão pós-implementação
Resumo
Próximas Etapas

Neste módulo

Este módulo descreve a fase Implantação — a quarta das 4 fases do processo de gerenciamento de atualizações. A fase Implantação trata do lançamento bem-sucedido das atualizações de software aprovadas em seu ambiente de produção, de modo que você atenda a todos os requisitos relativos a todos os SLAs (Contratos de Nível de Serviço de Implantação) que você possui.

A finalidade deste módulo é descrever os princípios da fase Implantação do processo de gerenciamento de atualizações e apresentar os tipos de tarefas que permitirão executar uma implantação usando o Microsoft Windows Server Update Service (WSUS) e o Microsoft Systems Management Server (SMS).

Observação: A versão Beta 2 do próximo lançamento do SMS, chamada System Center Configuration Manager 2007, já está disponível para download em http://www.microsoft.com/technet/sms/2007/evaluate/download.mspx. Com grandes investimentos em simplicidade, configuração, implantação e segurança, o Configuration Manager 2007 simplifica bastante a implantação do sistema, a automação de tarefas, o gerenciamento de conformidade e o gerenciamento de segurança baseado em diretivas, o que permite maior agilidade comercial.

Após a leitura deste módulo, você poderá planejar as tarefas necessárias para executar com êxito:

  • O desenvolvimento da atualização de software aprovada.

  • A implantação de qualquer contramedida necessária.

Sem um processo de implantação, não será possível testar e experimentar o conjunto de tarefas e atividades necessárias para implantar uma atualização de software em seu ambiente de produção nem implantar qualquer contramedida ou medida paliativa necessária.

Objetivos

Use este módulo para:

  • Preparar a implantação.

  • Implantar uma atualização de software nos computadores designados.

  • Revisar a pós-implementação da implantação.

Aplicação

Este módulo aplica-se a todos os produtos e a todas as tecnologias da Microsoft.

Como usar este módulo

Embora as tarefas básicas necessárias para executar uma implantação por meio do WSUS e do SMS sejam descritas neste módulo, você poderá encontrar instruções mais detalhadas nas bibliotecas técnicas listadas abaixo.

Para aproveitar ao máximo este módulo, será preciso:

  • Ler a seção Introdução do módulo "Processo de gerenciamento de atualizações". Essa seção fornece uma visão geral das quatro fases do processo de gerenciamento de atualizações, além de apresentá-lo às ferramentas disponíveis que oferecem suporte ao gerenciamento de atualizações em ambientes do sistema operacional Microsoft Windows.

  • Use as bibliotecas técnicas do WSUS e SMS para obter materiais de referência mais detalhados. Essas bibliotecas estão localizadas em:

Visão geral

A fase Implantação é a quarta fase do processo de gerenciamento de atualizações, como mostra a Figura 1.

Figura 1. O processo de gerenciamento de atualizações

Figura 1. O processo de gerenciamento de atualizações

A fase Implantação concentra-se nas tarefas e atividades necessárias para implantar uma atualização de software no ambiente de produção. Podem ser necessárias tarefas adicionais para implantar uma contramedida ou medida paliativa.

O ponto de entrada dessa fase ocorre quando a atualização de software está pronta para a implantação na produção e a aprovação foi obtida para implantar essa atualização.

Na fase Implantação, o objetivo é desenvolver com êxito a atualização de software aprovada e/ou qualquer contramedida em seu ambiente de produção.

A implantação de uma atualização de software consiste nas seguintes atividades:

  • Preparação da implantação.

  • Implantação da atualização de software nos computadores designados.

  • Revisão pós-implementação.

Preparação da implantação

O ambiente de produção precisa ser preparado para cada nova versão lançada. As etapas necessárias para preparar a atualização de software para implantação são:

  • Comunicar a agenda do lançamento à empresa.

  • Se o WSUS for implantado:

    • Colocar atualizações em servidores WSUS.

  • Se o SMS for implantado:

    • Importar programas e anúncios a partir do ambiente de teste.

    • Atribuir pontos de distribuição.

    • Testar as atualizações nos pontos de distribuição.

    • Selecionar grupos de implantação.

Para obter mais informações sobre a preparação de implantação nos ambientes WSUS ou SMS, consulte a Biblioteca técnica do Windows Server Update Services (WSUS) ou a Biblioteca técnica do Systems Management Server 2003.

Comunicar a agenda do lançamento à empresa.

É importante informar os usuários finais e administradores sobre o lançamento iminente de uma atualização no mercado. Você deverá enviar um email claro e fácil de ser identificado para os usuários e administradores, para avisá-los sobre a atualização e informá-los sobre como fazer a instalação. Também será preciso sinalizar o email para acompanhamento, de modo que os usuários e administradores sejam lembrados das ações que eles precisam efetuar.

Quando você for implantar uma atualização em desktops fora do horário comercial, o email deverá informar os usuários que eles precisarão deixar os computadores ligados durante a noite em uma data especificada. Se essa mensagem estiver sinalizada para acompanhamento, como mostra a Figura 2, os usuários receberão, então, um lembrete às 16h30min em 30 de maio de 2003 para que deixem os computadores ligados durante a noite.

Cc700833.gr36(pt-br,TechNet.10).gif

Figura 2. Esta captura de tela ilustra como um email sinalizado para acompanhamento pode ser usado como lembrete

Se você usa o WSUS, o processo de comunicação incluirá considerações adicionais, as quais dependem das configurações de diretivas de instalação e do download para o cliente WSUS:

  • Avisar antes de baixar e de instalar qualquer atualização. Um usuário que fez logon com direitos de administrador local precisará selecionar a opção de download da atualização sempre que a notificação Nova atualização disponível para download aparecer na barra de tarefas. Para concluir a instalação, em seguida será preciso instalar a atualização de software quando a notificação Nova atualização disponível para instalação aparecer.

  • Baixar automaticamente e notificar a instalação. O download das atualizações recém-aprovadas que se aplicam ao computador cliente é feito automaticamente pelo cliente de Atualizações Automáticas. Para instalar as atualizações, um usuário que fez logon com direitos de administrador local precisará selecionar a opção de instalação da atualização de software quando aparecer a notificação Nova atualização de software disponível para instalação.

  • Baixar automaticamente e agendar a instalação. Um usuário que fez logon com direitos de administrador local pode instalar uma atualização antes da hora agendada para a instalação, ou reiniciar o computador depois, se necessário, após a conclusão da instalação. Para os usuários sem direitos de administrador local, a atualização será instalada em segundo plano na hora agendada. Esses usuários só poderão adiar uma reinicialização do computador se a configuração de diretiva Nenhuma reinicialização automática para instalações de atualizações automáticas agendadas tiver sido habilitada.

Para obter informações mais detalhadas sobre como usar o WSUS na fase Implantação, consulte a Biblioteca técnica do WSUS (Windows Server Update Services).

Preparação para implantação usando o SMS

Se você usa o SMS 2003, existem diversas etapas adicionais que devem ser consideradas para preparar-se para a implantação:

  • Importação de programas e anúncios a partir do ambiente de teste. Primeiro, os pacotes criados e testados no ambiente de teste devem ser importados para o ambiente de produção SMS 2003.

  • Atribuição de pontos de distribuição. Será preciso, então, atribuir pontos de distribuição; os binários da atualização de software deverão ser colocados nos pontos de distribuição em todos os locais em que os clientes designados estiverem localizados. Se o Distribute Software Updates Wizard puder ser usado, os pontos de distribuição poderão ser atribuídos com o uso do assistente (e corrigidos manualmente quando o pacote for criado).

  • Testar as atualizações nos pontos de distribuição. A próxima etapa é garantir que as cópias de todos os arquivos sejam colocadas nos servidores do ponto de distribuição. O processo de envio dos binários da atualização de software aos pontos de distribuição envolve o envio de arquivos entre sites SMS e de sites SMS para pontos de distribuição local.

  • Selecionar grupos de implantação. Se você usar o Distribute Software Updates Wizard para distribuir uma nova atualização de software, não será preciso designar os computadores com precisão. Isso ocorre porque o assistente implanta um agente inteligente, que é aberto quando uma nova atualização precisa ser instalada. O agente determina automaticamente se uma atualização pode ser aplicada a um computador (e se ela já foi instalada). Se as atualizações estiverem sendo distribuídas por meio de um pacote e coleção personalizados, então será preciso criar uma ou mais consultas SMS para implantar a atualização nos computadores adequados.

Para obter mais informações sobre como usar o SMS na fase Implantação, consulte a Biblioteca técnica do Systems Management Server 2003.

Implantação da atualização de software nos computadores designados

O processo usado para implantar a atualização no ambiente de produção dependerá do tipo e da natureza do lançamento, bem como do mecanismo de lançamento que for selecionado.

Ele também dependerá muito do fato de a atualização de software ser uma emergência. Devido à urgência associada às alterações de emergência, haverá algumas diferenças na maneira como elas serão implantadas. Essas diferenças serão mostradas nesta seção.

O ideal é que você lance as atualizações por meio de uma implantação dividida em fases, o que minimiza o impacto de qualquer falha ou efeito contrário que possa ser introduzido pela distribuição inicial de uma atualização.

As etapas necessárias para implantar uma atualização de software na produção são:

  • Anúncio da atualização de software para os computadores clientes.

  • Monitoramento e relatório do progresso da implantação.

  • Manipulação de implantações de falha.

Anunciando a atualização de software aos computadores cliente

Se você usa o WSUS e não for necessário um lançamento dividido em fases, só será preciso aprovar a atualização no servidor pai do WSUS para que ela fique disponível aos clientes. Os clientes WSUS iniciarão o download da atualização recém-aprovada no ciclo de detecção seguinte ou quando forem solicitados pelo administrador local (caso o cliente de Atualizações Automáticas esteja configurado para notificar o administrador local quando novas atualizações estiverem disponíveis).

No entanto, se houver um lançamento dividido em fases, você deverá primeiramente aprovar a atualização somente no servidor pai do WSUS. Em seguida, após a atualização ter sido implantada com êxito nos clientes que contam com o suporte desse servidor, você deverá habilitar a sincronização da lista de aprovações no servidor filho do WSUS que oferece suporte a clientes na fase seguinte do lançamento .

Para obter informações mais detalhadas sobre como usar o WSUS na fase Implantação, consulte a Biblioteca técnica do WSUS (Windows Server Update Services).

Se você usa o SMS e o Distribute Software Updates Wizard, será automaticamente criado um anúncio repetitivo para executar o agente de instalação da atualização de software dos computadores na coleção de destino. Se necessário, é possível alterar o valor padrão do intervalo de repetição, que é de sete dias. Por exemplo, uma coleção que inclui servidores pode executar o agente uma vez por dia. Com o uso do mesmo pacote e programa, poderão ser criados avisos para várias coleções, caso seja preciso criar agendas diferentes para tipos diferentes de computadores. Se o lançamento estiver sendo realizado em fases, você modificará a consulta após cada fase, de modo que os clientes na fase seguinte sejam incluídos.

Caso não esteja usando o Distribute Software Updates Wizard, quando um aviso for definido para instalar uma atualização, sua agenda deverá ser configurada para ser repetida a intervalos, de modo que uma instalação mal-sucedida seja repetida automaticamente. O intervalo de repetição do anúncio precisa ser escolhido com cuidado, pois os clientes que já instalaram a atualização com êxito permanecerão na coleção de destino até que um novo inventário tenha sido coletado - o qual pode ser acionado por meio do próprio programa de instalação - ou até que o inventário tenha sido atualizado no banco de dados SMS e a coleção seja reavaliada. Portanto, o programa pode ser executado novamente em um cliente que já o tenha executado com êxito uma vez. Por essa razão, é fundamental que o programa execute verificações, primeiro para saber se as atualizações estão instaladas e, em caso afirmativo, para fechá-lo rapidamente.

Para obter informações mais detalhadas sobre como usar o SMS na fase Implantação, consulte a Biblioteca técnica do Systems Management Server 2003.

Solicitação de alteração de emergência

Para obter informações sobre como gerenciar solicitações de alteração de emergência usando o WSUS, consulte a Biblioteca técnica do Windows Server Update Services (WSUS); para ver como gerenciar solicitações de alteração de emergência usando o SMS, consulte a Biblioteca técnica do Systems Management Server 2003.

Monitorando e reportando o andamento da implantação

Ao instalar uma atualização, os computadores podem falhar por diversas razões, entre elas:

  • O computador está offline.

  • O computador está sendo reformatado ou o sistema está sendo reinstalado.

  • O computador não possui espaço em disco suficiente.

  • Em ambientes WSUS:

    • O computador não está se comunicando com o servidor WSUS (para computadores com o cliente de Atualizações Automáticas).

    • O serviço do cliente de Atualizações Automáticas foi interrompido.

  • Nos ambientes SMS:

    • Os clientes SMS do computador não estão se comunicando com os servidores de site SMS.

    • O serviço de agente do computador foi interrompido por um usuário ou como parte da manutenção.

  • Nos ambientes SMS 2003:

    • O computador possui o MSXML 3 até SP1 (o SMS 2003 requer o MSXML 3.0 SP4).

Para obter informações mais detalhadas sobre como usar o WSUS na fase Implantação, consulte a Biblioteca técnica do WSUS (Windows Server Update Services).

Para monitorar o bom andamento de lançamento de atualizações no SMS, você poderá utilizar o visualizador de status de avisos para exibir o status de avisos de implantação, com base em suas mensagens de status. As mensagens de status relatam apenas se o aviso periódico foi executado, não relatando se a atualização foi instalada. Para obter essa informação, é necessário analisar as mensagens de status para determinar quando o programa Instalar Patch foi executado com êxito pela última vez em cada cliente; se o tempo desde que ele foi executado for maior que o período de repetição de cada cliente, será preciso investigar.

Para atualizações de software identificadas através das ferramentas Security Updates Inventory Tool, Inventory Tool for Microsoft Updates ou Microsoft Office Inventory Tool for Updates, você poderá usar os relatórios incorporados para verificar se a implantação está sendo bem-sucedida. O relatório Compliance by Software ID pode ser usado para oferecer um resumo da quantidade total de sistemas nos quais a atualização está instalada ou ausente, bem como o status relativo à distribuição da atualização de software.

Para obter mais informações sobre como usar o SMS na fase Implantação, consulte a Biblioteca técnica do Systems Management Server 2003.

Lidando com falhas de implantação

Caso constate exceções durante uma implantação normal, você deverá ter tempo suficiente para interromper, determinar a causa principal e implantar novamente. No entanto, durante uma implantação de emergência, o tempo disponível para triagem e avaliação da causa principal será muito mais curto.

Sua empresa também pode decidir que uma implantação não está sendo bem-sucedida e precisa ser interrompida e revertida. Será preciso ter um plano para interromper o lançamento, desinstalar a atualização que falhou e, em seguida, implantá-la novamente.

Em ambientes WSUS

No caso de falha nas implantações em um ambiente WSUS, é preciso cancelar a aprovação da atualização no servidor WSUS para evitar instalações posteriores. Nos clientes que já baixaram a atualização, mas ainda não a instalaram, os administradores locais podem removê-la manualmente da lista de atualizações a serem instaladas. Se um computador instalou uma atualização aprovada, esta poderá ser removida somente com o uso do recurso Adicionar ou Remover Programas no Painel de Controle (pressupondo que a atualização possa ser desinstalada). Para obter informações mais detalhadas sobre como usar o WSUS na fase Implantação, consulte a Biblioteca técnica do WSUS (Windows Server Update Services).

Nos ambientes SMS:

Se você usa o SMS, são necessárias quatro tarefas principais para lidar com implantações de falha:

  • Interrupção da implantação do pacote ativo até que o problema seja resolvido.

  • Identificação e solução do problema, ou seja, descobrir por que a implantação falhou.

  • Execução de um novo aviso do pacote.

  • Desinstalação da atualização por meio da criação de um pacote de desinstalação (se a atualização puder ser desinstalada).

Para obter mais informações sobre como usar o SMS na fase Implantação, consulte a Biblioteca técnica do Systems Management Server 2003.

Revisão pós-implementação

A revisão pós-implementação deve ser conduzida normalmente de uma a quatro semanas após a implantação do lançamento para identificar os aperfeiçoamentos que devem ser feitos no processo de gerenciamento de atualizações.

Uma típica agenda de revisão inclui:

  • Garantir que as vulnerabilidades sejam adicionadas aos relatórios de verificação de vulnerabilidade e aos padrões de diretiva de segurança, de modo que não haja nenhuma possibilidade do ataque ocorrer novamente.

  • Garantir que os dados do sistema tenham sido atualizados para incluir a atualização de software mais recente após a implantação.

  • Discutir sobre os resultados planejados e os que já foram atingidos.

  • Discutir sobre os riscos associados ao lançamento.

  • Examinar o desempenho de sua organização ao longo do incidente. Aproveitar essa oportunidade para aperfeiçoar seu plano de resposta incluindo as lições aprendidas.

  • Discutir sobre as alterações em suas janelas de serviço.

  • Avaliar os danos e custos totais gerados pelo incidente, inclusive o tempo de inatividade e os custos para recuperação.

  • Criar outra linha de base ou atualizar a linha existente em seu ambiente.

Resumo

Durante a fase Implantação, você deverá ter executado as seguintes atividades fundamentais:

  • Ter estabelecido a ordem na qual as atualizações de software serão desenvolvidas na produção.

  • Ter pesquisado seu ambiente de produção para garantir que ele seja capaz de manipular a atualização de software.

  • Ter colocado arquivos de atualização nos servidores WSUS e nos pontos de distribuição SMS.

  • Ter implantado a atualização de software na produção.

  • Ter feito nova verificação em seu ambiente para avaliar o êxito e ter atualizado os computadores que não conseguiram instalar a atualização de software.

  • Ter realizado uma revisão do processo de gerenciamento de atualizações na conclusão da implantação.

Próximas Etapas

Após implantar a atualização de software, você deverá retornar à fase Avaliação, na qual poderá continuar a:

  • Fazer o inventário e descobrir equipamentos e ferramentas de computação existentes.

  • Avaliar ameaças à segurança e as vulnerabilidades.

  • Determinar a melhor fonte de informações sobre as atualizações de software.

  • Avaliar a infra-estrutura de distribuição de software existente.

  • Avaliar a eficácia operacional.



Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft