Se você gostaria de ler a segunda parte desta série de artigos, por favor vá para Registry Keys for Tweaking Windows Update (Parte 2).
Embora o Windows Update e o WSUS sejam ambos geralmente bastante simples de configurar, você pode às vezes ganhar um nível mais alto de controle sobre eles, fazendo algumas pequenas modificações no registro do Windows. Neste artigo, irei mostrar-lhe algumas chaves de registo que estão associadas ao Windows Update. Como eu faço, vou mostrar-lhe as várias configurações que você pode atribuir a essas chaves de registro.
Antes de eu começar
Antes de eu começar, eu preciso manter os advogados felizes, dizendo-lhe que modificar o registro do Windows pode ser perigoso. Modificar incorrectamente o registo pode destruir o Windows e/ou as suas aplicações. Eu, portanto, recomendo fortemente que você faça um backup completo do sistema antes de tentar qualquer uma das técnicas que estou prestes a mostrar.
Agora que eu tenha tirado a isenção de responsabilidade padrão do caminho, há mais uma coisa que eu preciso dizer a vocês antes de começar. Os ajustes de registro que estou prestes a mostrar são destinados a máquinas que estão rodando Windows XP. Você pode aplicar os ajustes em máquinas individuais diretamente, ou você pode aplicar modificações como parte de um script de login. Além disso, algumas das chaves de que eu vou falar podem não existir por padrão. Se você quiser usar uma chave que não existe, você terá que criá-la. Você também deve ter em mente que o comportamento do Windows Update pode ser controlado por uma política de grupo, e que se uma política de grupo estiver em vigor, isso pode fazer com que partes do registro sejam sobrescritas após ter feito alterações.
Elevation of Privileges
Um dos problemas em receber atualizações de um servidor WSUS é que os usuários não têm permissão para aprovar ou desaprovar atualizações a menos que sejam membros do grupo de administradores locais. No entanto, você pode usar o registro para dar aos usuários uma elevação de privilégios que lhes permitirá aprovar ou desaprovar as atualizações, independentemente de serem ou não um administrador local. No lado oposto, você também pode negar aos usuários finais a capacidade de aprovar atualizações, reservando esse direito para Admins.
A chave de registro que controla esse comportamento é: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ElevateNonAdmins
A chave ElevateNonAdmins tem dois valores possíveis. O valor padrão de 1 permite que não administradores aprovem ou neguem atualizações. Se você alterar este valor para 0, então somente administradores poderão aprovar ou negar atualizações.
Target Groups
Uma das coisas legais do WSUS é que ele permite que você use o client side targeting. A ideia por trás da segmentação do lado do cliente é que você pode configurar diferentes grupos de computadores, e você pode lançar atualizações em uma base de grupo. A segmentação do lado do cliente não é usada por padrão, mas se você decidir usá-la, então existem duas chaves de registro diferentes que você terá que criar. Uma destas chaves permite a segmentação do lado do cliente, enquanto a outra especifica o nome do grupo alvo ao qual o computador pertence. Ambas as chaves de registo devem ser criadas em: HKEY_LOCAL_MACHINE_SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\
A primeira chave é uma chave DWORD chamada TargetGroupEnabled. Você pode atribuir a essa chave um valor de 0, que desativa a segmentação do lado do cliente, ou de 1, que permite a segmentação do lado do cliente.
A outra chave que você terá que criar é a string value chamada TargetGroup. O valor que você atribui a essa chave é o nome do grupo alvo ao qual o computador deve ser atribuído.
Assigning a WSUS Server
Se você esteve envolvido em rede por um tempo, então você provavelmente sabe que os projetos de rede tendem a mudar com o tempo. Coisas como o crescimento da empresa, novos requisitos de segurança e reestruturações corporativas muitas vezes forçam a rede subjacente a mudar. Então, o que isso tem a ver com o Windows Update? Bem, o WSUS é escalável e pode ser implementado de uma forma hierárquica. Isto significa que uma organização pode ter uma multidão de servidores WSUS implantados. Se um PC é movido para uma parte diferente da empresa, então o servidor WSUS que foi inicialmente configurado para utilizar pode já não ser apropriado para a sua nova localização. Felizmente, algumas modificações simples do registo podem ser utilizadas para alterar o servidor WSUS de onde o PC recebe as suas actualizações de.
Existem na realidade duas chaves de registo que são utilizadas quando se especifica um servidor WSUS. Estas duas chaves estão localizadas em: HKEY_LOCAL_MACHINE_SOFTWARE\\Policies\Microsoft\Windows\WindowsUpdate\. A primeira chave é chamada WUServer. Esta chave de registo tem um valor string que deve ser introduzido como URL do servidor WSUS (exemplo: http://servername).
A outra chave que terá de alterar é um valor string chamado WUStatusServer. A ideia por detrás desta chave é que o PC deve reportar o seu estado a um servidor WSUS para que o servidor WSUS saiba quais as actualizações que foram aplicadas ao PC. A chave WUStatusServer normalmente contém o mesmo valor que a chave do WUServer (exemplo: http://servername).
The Automatic Update Agent
Até agora tenho falado sobre como ligar o PC a um servidor WSUS específico ou a um grupo alvo específico, mas isto é apenas metade do processo. O Windows Update usa um agente de atualização que realmente instala as atualizações. Há um número de chaves de registro localizado em HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU que controla o agente de atualização automática.
A primeira dessas chaves é a chave AUOptions. A este valor DWORD pode ser atribuído um valor de 2, 3, 4, ou 5. Um valor de 2 indica que o agente deve notificar o usuário antes de baixar as atualizações. O valor 3 indica que as atualizações serão descarregadas automaticamente e o usuário será notificado da instalação. O valor 4 indica que as atualizações devem ser baixadas e instaladas automaticamente de acordo com um cronograma. Para que esta opção funcione, as teclas ScheduledInstallDay e ScheduledInstallTime também devem ser definidas. Falarei mais sobre essas chaves mais tarde. Finalmente, um valor de 5 indica que as atualizações automáticas são necessárias, mas podem ser configuradas pelos usuários finais.
A próxima chave que eu quero falar é a chave AutoInstallMinorUpdates. Esta chave pode ser configurada com um valor 0 ou 1. Se a chave for definida para 0, então pequenas atualizações são tratadas como qualquer outra atualização. Se o valor da chave estiver definido em 1, então pequenas atualizações são silenciosamente instaladas em segundo plano.
Uma outra chave relacionada ao Agente de Atualização Automática é a chave DetectionFrequency. Esta chave permite especificar com que frequência o agente procura por atualizações. O valor da chave deve ser um número inteiro entre 1 e 22, e indica o número de horas entre cada tentativa de detecção.
Uma chave de registro relacionada é a chave DetectionFrequencyEnabled. Como o nome indica, esta chave ativa ou desativa a função Detection FrequencyEnabled. Definir esta chave com um valor 0 faz com que a chave DetectionFrequency seja ignorada, enquanto defini-la com um valor 1 faz com que o agente use o valor DetectionFrequency.
A próxima chave que eu quero falar é a chave NoAutoUpdate. Se esta chave for definida para o valor 0, então as atualizações automáticas são ativadas. Se o valor da chave está definido para 1, então as atualizações automáticas são desabilitadas.
A última chave de registro que eu quero falar é a chave NoAutoRebootWithLoggedOnUsers. Como você provavelmente sabe, algumas atualizações simplesmente não podem ser aplicadas sem reiniciar o sistema. Se um usuário estiver logado, então a reinicialização mandada pelo sistema pode ser muito perturbadora. Isto é especialmente verdade se o usuário se afastou de sua mesa sem salvar seu trabalho. É aqui que a chave NoAutoRebootWithLoggedOnUsers entra em jogo. A chave pode ser atribuída a um valor 0 ou 1. Se o valor for definido como 0, então os usuários receberão um aviso de cinco minutos e então o sistema será reinicializado automaticamente. Se o valor estiver definido em 1, então os usuários simplesmente receberão uma mensagem pedindo que reinicializem seus sistemas, mas eles podem reiniciar quando quiserem.
Conclusion
Há muito mais chaves de registro relacionadas à atualização do Windows. Eu estarei discutindo o resto deles na Parte 2 desta série de artigos.
Se você gostaria de ler a segunda parte desta série de artigos, por favor vá para Registry Keys for Tweaking Windows Update (Part 2).