Proteção de alterações para Windows Server Update Services no Windows Server 2025

Resumo

No panorama digital em rápida evolução, manter a conformidade e a segurança em toda a organização é fundamental. Como parte deste compromisso, estamos a fazer algumas alterações importantes ao Windows Server Update Services (WSUS). A partir da atualização de segurança de setembro de 2025, o WSUS em execução no Windows Server 2025 está a remover dependências de código antigo que já não é suportado. Isto significa que os sistemas operativos Windows (SO) que atingiram o fim do ciclo de vida deixarão de ser elegíveis para receber atualizações de segurança alargadas (ESU), a menos que tome medidas adicionais.

Esta alteração afeta os seus sistemas operativos?  

Esta alteração de proteção de segurança afeta apenas os sistemas operativos que atingiram o fim do suporte (EOS). Não afectará os produtos no mercado. Windows 10 e versões posteriores do Windows não são afetadas.

Especificamente, esta alteração impedirá a atualização de pontos finais do Windows em execução Windows Server 2012 e Windows Server 2012 R2 e apenas aqueles que estão a utilizar atualizações de segurança alargadas (ESU). A data de fim prolongada para estas versões era 10 de outubro de 2023 e as ESUs poderão estar disponíveis até 2026.

Consulte a ferramenta de pesquisa da Política de Ciclo de Vida da Microsoft e as FAQ sobre o Ciclo de Vida – Windows para as suas versões do Windows. 

Qual é o impacto desta alteração?  

Tal como acontece com todas as alterações de proteção de segurança, esta alteração não é efetuada de ânimo leve. Remover determinados binários do WSUS ajuda a garantir a integridade e a segurança da nossa cadeia de fornecimento de software. Isto aplica-se especificamente a dependências de componentes que já não cumprem as nossas normas de conformidade e segurança. Estes binários incluem DLLs e EXEs que o WSUS utiliza para atualizar o serviço SelfUpdate no Windows Update (WU) em dispositivos.

O benefício de segurança da remoção destes binários do Windows Server 2025 inclui uma potencial alteração se estiver a utilizar atualizações da ESU para Windows Server 2012.

Importante: se o WSUS fizer parte de uma implementação hierárquica (como servidores ligados a jusante e a montante), não haverá qualquer impacto no seu ambiente. A sincronização e a distribuição de atualizações continuarão a funcionar conforme esperado.

Passos seguintes a curto e longo prazo

Ainda precisa de atualizar os dispositivos com qualquer um dos sistemas operativos Windows afetados? Considere os seguintes passos temporários para restaurar o serviço para atualizações da ESU no Windows Server 2012:

1. Escolha uma versão suportada mais antiga do WSUS. Por exemplo, Windows Server 2025 na atualização de segurança de agosto de 2025 ou anterior, ou Windows Server 2022.

2. Localize a pasta "SelfUpdate" nesta versão do WSUS em %systemdrive%\Program Files\Update Services.

3. Copie a pasta "SelfUpdate" e os respetivos conteúdos da versão mais antiga escolhida do WSUS.

4. Coloque-o no caminho de instalação do WSUS no Windows Server 2025 atualizado com a atualização de segurança lançada em ou depois de setembro de 2025.

5. Adicione esta pasta como diretório virtual no site do WSUS nos Serviços de Informação Internet (IIS).

 Depois de concluir estes passos, o serviço será retomado. Para estar seguro a longo prazo, recomendamos que atualize as versões do SO legadas e atualize para o Windows Server 2025.  ​​​​​​​