Quais são os domínios mínimos necessários para o Windows Update?

No mínimo, você deve permitir *.windowsupdate.com, *.update.microsoft.com e *.delivery.mp.microsoft.com através do seu firewall nas portas 80 (HTTP) e 443 (HTTPS).

O Windows Update usa apenas HTTPS?

O Windows Update usa principalmente HTTPS (porta 443) para metadados e segurança. No entanto, os downloads reais de atualizações podem usar HTTP (porta 80) para desempenho via entrega por CDN. Ambas as portas devem ser permitidas.

Ainda preciso permitir esses domínios se uso o WSUS?

Se seu servidor WSUS baixa atualizações diretamente da Microsoft, o próprio servidor WSUS precisa de acesso a esses domínios. As máquinas clientes precisam apenas de acesso ao servidor WSUS. Se os clientes estão configurados para usar o WSUS via Diretiva de Grupo, eles não contarão a Microsoft diretamente para atualizações.

Por que o Windows Update falha atrás do meu servidor proxy?

O Windows Update usa a configuração de proxy WinHTTP, não o proxy do Internet Explorer ou WinINET. Você deve configurar o proxy WinHTTP separadamente usando 'netsh winhttp set proxy' ou importar as configurações do IE com 'netsh winhttp import proxy source=ie'. No Windows 10/11 e Server 2016+, você também pode configurar isso via Diretiva de Grupo.

Domínios e URLs que você precisa permitir para o Windows Update através de um firewall ou proxy

Em ambientes corporativos com firewalls, servidores proxy ou filtragem web, o Windows Update falhará silenciosamente se não conseguir alcançar os servidores da Microsoft dos quais depende. Este artigo fornece a lista completa de domínios e URLs que você precisa permitir, além de orientação de configuração para ambientes WSUS e proxy.

Portas necessárias

O Windows Update utiliza os seguintes protocolos e portas:

Protocolo	Porta	Propósito
HTTPS	443	Metadados, autenticação e downloads seguros
HTTP	80	Entrega de pacotes de atualização via CDN

Ambas as portas devem estar abertas para tráfego de saída do cliente (ou servidor WSUS) para a internet.

Domínios principais do Windows Update

Estes são os domínios essenciais que devem ser permitidos para o Windows Update funcionar. Use regras com curinga onde indicado.

Serviços de atualização principais

*.windowsupdate.com
*.update.microsoft.com
*.windowsupdate.microsoft.com
windowsupdate.microsoft.com
update.microsoft.com

Otimização de entrega e CDN

*.delivery.mp.microsoft.com
*.download.windowsupdate.com
download.windowsupdate.com
download.microsoft.com
*.download.microsoft.com

Validação de certificados e autenticação

O Windows Update valida os certificados de assinatura de código usando estes endpoints:

ctldl.windowsupdate.com
*.digicert.com
*.globalsign.com
*.verisign.com

Microsoft Update (Office e outros produtos)

Se você usa o Microsoft Update (que estende o Windows Update para incluir atualizações do Office, SQL Server e outros produtos da Microsoft):

*.update.microsoft.com
update.microsoft.com

Telemetria e relatórios

O Windows Update reporta informações de status para estes endpoints. Bloqueá-los pode não impedir a instalação de atualizações, mas pode causar falhas nos relatórios de erros e diagnósticos:

*.microsoft.com/pkiops/*
settings-win.data.microsoft.com

Específico do Windows 10 / Windows 11

Versões modernas do Windows usam endpoints adicionais:

*.prod.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com
emdl.ws.microsoft.com
tsfe.trafficshaping.dsp.mp.microsoft.com

Lista completa de permissões (pronta para copiar e colar)

Aqui está uma lista consolidada adequada para importação em regras de firewall ou listas de permissões do proxy:

# Windows Update core
*.windowsupdate.com
*.update.microsoft.com
*.windowsupdate.microsoft.com

# Download and delivery
*.delivery.mp.microsoft.com
*.download.windowsupdate.com
*.download.microsoft.com
download.windowsupdate.com
download.microsoft.com

# Delivery Optimization (P2P and CDN)
*.prod.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com

# Certificate validation
ctldl.windowsupdate.com

# Activation and licensing (required for feature updates)
activation.sls.microsoft.com
validation.sls.microsoft.com

# Telemetry / diagnostics
settings-win.data.microsoft.com

Configuração do servidor proxy

A distinção entre WinHTTP e WinINET

Esta é a causa mais comum de falhas do Windows Update em ambientes com proxy. O Windows Update usa a pilha de proxy WinHTTP, que é separada das configurações de proxy configuradas no Internet Explorer / Configurações do Windows (que usam WinINET).

Mesmo que um usuário possa navegar na web pelo proxy, o Windows Update pode não conseguir alcançar a Microsoft porque o WinHTTP tem sua própria configuração de proxy independente.

Configurar o proxy WinHTTP

Opção 1: Importar das configurações do Internet Explorer

netsh winhttp import proxy source=ie

Opção 2: Definir diretamente

netsh winhttp set proxy proxy-server="http://proxy.example.com:8080" bypass-list="*.local;10.*"

Opção 3: Ver configurações atuais

netsh winhttp show proxy

Opção 4: Redefinir para direto (sem proxy)

netsh winhttp reset proxy

Configuração de proxy via Diretiva de Grupo (Windows 10/11, Server 2016+)

Em versões modernas do Windows, você pode configurar o proxy WinHTTP através da Diretiva de Grupo:

Abra o Editor de Diretiva de Grupo (gpedit.msc ou através do GPMC para diretivas de domínio).
Navegue até Configuração do Computador > Modelos Administrativos > Componentes do Windows > Coleta de Dados e Compilações de Visualização.
Habilite Configurar o uso de proxy autenticado para o serviço de Experiência do Usuário Conectado e Telemetria.

Para uma configuração de proxy mais abrangente:

Navegue até Configuração do Computador > Modelos Administrativos > Componentes do Windows > Windows Update.
Use a diretiva Especificar o local do serviço de atualização da intranet da Microsoft se estiver roteando pelo WSUS.

Autenticação do proxy

Se seu proxy requer autenticação, esteja ciente de que:

A conta SYSTEM é tipicamente usada pelo serviço do Windows Update. Ela não possui credenciais de usuário.
Configure seu proxy para permitir acesso não autenticado aos domínios da Microsoft listados acima, ou use autenticação baseada em certificado de máquina.
No Windows 10 versão 1709 e posterior, você pode usar a configuração de Diretiva de Grupo mencionada acima para permitir o uso de proxy autenticado para o tráfego de atualização.

Configuração do WSUS (Windows Server Update Services)

Se sua organização usa WSUS, a arquitetura muda significativamente.

Como o WSUS muda o fluxo

Com o WSUS implantado:

O servidor WSUS baixa as atualizações da Microsoft (precisa de acesso aos domínios listados acima).
As máquinas clientes baixam as atualizações apenas do servidor WSUS. Elas não contactam a Microsoft diretamente.

Requisitos de firewall do servidor WSUS

O servidor WSUS precisa de acesso de saída para:

*.windowsupdate.com         (port 443)
*.update.microsoft.com      (port 443)
*.download.windowsupdate.com (port 80 and 443)
download.microsoft.com       (port 80 and 443)

Requisitos de firewall do cliente para WSUS

Os clientes precisam de acesso ao servidor WSUS nas portas:

Protocolo	Porta	Notas
HTTP	8530	Porta HTTP padrão do WSUS
HTTPS	8531	Porta HTTPS padrão do WSUS

Essas portas são configuráveis durante a instalação do WSUS. Algumas organizações usam as portas 80/443 em vez disso.

Configurar clientes via Diretiva de Grupo

Para apontar os clientes para o seu servidor WSUS:

Abra o Console de Gerenciamento de Diretiva de Grupo e crie ou edite um GPO vinculado à OU apropriada.
Navegue até Configuração do Computador > Modelos Administrativos > Componentes do Windows > Windows Update.
Habilite Especificar o local do serviço de atualização da intranet da Microsoft.
Defina ambos os valores para a URL do seu servidor WSUS:
- Serviço de atualização da intranet: http://wsus-server:8530
- Servidor de estatísticas da intranet: http://wsus-server:8530
Execute gpupdate /force em um cliente para aplicar a diretiva imediatamente.

Verifique com:

reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v WUServer

Solução de problemas de conectividade do Windows Update

Testar conectividade básica

Da máquina cliente, verifique se você consegue alcançar os servidores do Windows Update:

Test-NetConnection -ComputerName windowsupdate.microsoft.com -Port 443
Test-NetConnection -ComputerName download.windowsupdate.com -Port 80

Verificar o log do Windows Update

No Windows 10/11, o arquivo tradicional WindowsUpdate.log não é mais texto simples. Gere uma versão legível:

Get-WindowsUpdateLog

Isso cria um arquivo WindowsUpdate.log na sua área de trabalho. Procure erros contendo “proxy”, “connection” ou códigos de erro “0x80”.

Redefinir componentes do Windows Update

Se o Windows Update está em um estado quebrado após mudanças no proxy ou firewall, redefina-o:

net stop wuauserv
net stop cryptSvc
net stop bits
net stop msiserver
ren C:\Windows\SoftwareDistribution SoftwareDistribution.old
ren C:\Windows\System32\catroot2 catroot2.old
net start wuauserv
net start cryptSvc
net start bits
net start msiserver

Verificar se as configurações do proxy estão aplicadas

netsh winhttp show proxy

Se isso mostra “Direct access (no proxy server)”, mas sua rede requer um proxy, o Windows Update falhará. Configure o proxy conforme descrito na seção de configuração de proxy acima.

Resumo do diagrama de rede

Veja como o tráfego flui em cada cenário:

Direto (sem WSUS):

Client --> Firewall (allow listed domains, ports 80/443) --> Microsoft CDN/Servers

Com WSUS:

Client --> WSUS Server (port 8530/8531)
WSUS Server --> Firewall (allow listed domains, ports 80/443) --> Microsoft CDN/Servers

Com Otimização de Entrega (Windows 10/11):

Client --> Peers on local network (for cached content)
Client --> Firewall (allow listed domains, ports 80/443) --> Microsoft CDN (for uncached content)