Objetivo

Esse artigo tem como objetivo demonstrar como o impedir a atualização automática do Service Pack 1 para Windows 7 e Windows Server 2008 R2 através de Diretivas de Grupo de forma rápida e fácil.

Aplica-se a:

• Windows 7 todas as versões;
• Windows Server 2008 R2 todas as versões.

Introdução

A Microsoft começou a distribuir o Service Pack 1 para Windows 7 e Windows Server 2008 R2 através das Atualizações Automáticas como uma atualização de alta prioridade, porém muitas empresas ainda não fizeram todos os testes necessários para implementar o novo Service Pack. Se esse é o seu caso continue lendo esse artigo e saiba como impedir a instalação do Service Pack 1 para Windows 7 e Windows Server 2008 R2 através das Atualizações Automáticas.

Windows Service Pack Blocker Tool Kit

A Microsoft criou o Windows Service Pack Blocker Tool Kit, o qual bloqueia a atualização automática do Service Pack 1. Essa ferramenta pode ser utilizada através do arquivo executavél, chave de registro nas máquinas clientes ou através de Diretivas de Grupo para ambientes de domínio.

O download da ferramenta está disponível em: http://www.microsoft.com/downloads/en/details.aspx?FamilyID=D7C9A07A-5267-4BD6-87D0-E2A72099EDB7

Após o download ser concluído, execute o arquivo SPBlockerTools.EXE para descompactar os arquivos que fazem parte do pacote do Windows Service Pack Blocker Tool Kit.

A ferramenta contém três componentes. Todos eles atuam basicamente para configurar ou limpar uma chave de registro que é usado para detectar e bloquear o download do Service Pack através do Automatic Update ou Windows Update. Você precisa utilizar apenas um dos componentes.

Os componentes são:

• Arquivo executável (SPBlockingTool.exe);
• Script (SPreg.cmd);
• Template ADM (NoSPupdate.adm).

Arquivo Executável

O arquivo executável (SPBlockingTool.exe) cria uma chave de registro no computador em que ele é executado, o qual bloqueia ou desbloqueia (dependendo da opção de linha de comando usado) a entrega de um Service Pack para o computador através do Windows Update.

Nota

Para que o comando possa ser executado com sucesso você precisar executar o arquivo SPBlockingTool.exe com privilégios administrativos.

O caminho da chave criada é:

HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate

Conforme mostra a figura 1.1.

Figura 1.1

Nome do valor da chave: DoNotAllowSP

• Quando o nome de valor da chave não for definida, a distribuição não é bloqueado.
• Quando o nome do valor da chave é definido como 0, a distribuição não é bloqueado.
• Quando o nome do valor da chave é definido como 1, a distribuição é bloqueado.

Script

O script faz a mesma coisa que o executável, mas permite que você especifique o nome da máquina remota, na qual você pretende bloquear ou desbloquear a entrega do Service Pack.

Quando a opção / B da linha de comando é usado, o nome do valor da chave DoNotAllowSP é criado e seu valor é fixado em 1. Este valor bloqueia a entrega do Service Pack para o computador através do Automatic Update ou Windows Update.

Quando a opção / U da linha de comando é usado, o valor do registro criado anteriormente que tenha bloqueado temporariamente a entrega de um Service Pack para o computador através do Automatic Update ou Windows Update é removido. Se o valor não existir no computador no qual ele é executado, nenhuma ação é tomada.

Template ADM

O template ADM permite aos administradores importar as configurações de Diretivas de Grupo para bloquear ou desbloquear a entrega do Service Pack para os computadores que são membros de um domínio.

Nesse artigo iremos demonstrar como bloquear ou desbloquear a entrega do Service Pack 1 utilizando um template ADM.

Impedindo a Atualização Automática do Service Pack 1 através de Diretivas de Grupo

1 - Crie uma GPO em nível de domínio ou OU onde estão localizados os computadores que você pretende impedir a atualização automática do Service Pack 1. Nesse artigo iremos criar uma GPO em nível de OU. A GPO ficará semelhante a mostrada na figura 1.2.

Figura 1.2

2 - Selecione a GPO criada e clique com o direito e selecione Edit. Será carregada a janela conforme mostra a figura 1.3.

Figura 1.3

3 - Expanda Computer Configuration\Policies\Administrative Templates: Policy definitions (ADMX files) retrieved from the local machine, conforme mostra a figura 1.4.

Figura 1.4

4 - Clique com o direito e selecione a opção Add/Remote Templates. Será carregada a caixa de diálogo conforme mostra a figura 1.5.

Figura 1.5

5 - Clique no botão Add e localize o arquivo NoSPupdate.adm, o qual você descompactou após o download do Windows Service Pack Blocker Tool Kit. A caixa de diálogo Add/Remove Templates ficará semelhante a figura 1.6.

Figura 1.6

6 - Após adicionar o template clique no botão Close.

7 - Na janela do Group Policy Management Editor expanda Computer Configuration\Policies\Administrative Templates: Policy definitions (ADMX files) retrieved from the local machine\Classic Administrative Templates (ADM)\Windows Components\Windows Update, conforme mostra a figura 1.7.

Figura 1.7

8 - Dê um duplo clique na diretiva Do not allow delivery of the Service Pack through Windows Update or Automatic Updates. Será carregada a caixa de diálogo conforme mostra a figura 1.8.

Figura 1.8

9 - Selecione a opção Enabled para impedir a instalação automática do Service Pack 1 e em seguida clique no botão OK. Para desativar a diretiva selecione Disabled.

Nota

Essa diretiva não impede a instalação do Service Pack 1 através do CD/DVD ou do pacote de download efetuado através do site da Microsoft.

Este artigo foi originalmente escrito por:

Luciano Lima
[MVP Enterprise Security]-[MCSA Security]-[MCSE Security]

http://lucianolimamvp.wordpress.com/
http://www.guiamcitp.com.br/
http://twitter.com/LucianoLima_MVP