Esta é a pergunta número um que recebemos dos administradores de TI que avaliam o Deep Freeze. E, honestamente, é a pergunta certa a se fazer.
"Se o Deep Freeze apaga todas as alterações ao reiniciar, como diabos eu mantenho o Windows atualizado? Como instalo novos softwares? Como aplico patches de segurança?"
Preocupação justa. Se o Deep Freeze realmente apagasse tudo permanentemente, seria um pesadelo de segurança: você ficaria preso executando sistemas desatualizados e vulneráveis para sempre. Obviamente, não é assim que funciona.
A resposta curta: O Deep Freeze possui janelas de manutenção integradas que descongelam temporariamente seus sistemas, aplicam as atualizações e os recongelam automaticamente. Você pode agendar, automatizar e praticamente esquecer o assunto.
Mas a resposta curta nunca conta a história toda. Vamos analisar exatamente como isso funciona, quais são as suas opções e os erros que vimos administradores cometerem ao longo dos anos.
Por que as atualizações não são mantidas por padrão (e por que esse é o objetivo)
Primeiro, vamos entender o que realmente está acontecendo sob o capô.
Quando o Deep Freeze está ativo — o que chamamos de estado "Congelado" — ele redireciona todas as operações de gravação para uma tabela de alocação temporária em vez do disco rígido real. Os dados originais do sistema permanecem intactos. Ao reiniciar, o Deep Freeze descarta essa tabela de alocação e a configuração original reaparece.
É exatamente isso que torna o Deep Freeze tão eficaz. O malware não consegue persistir. Os erros dos usuários são apagados. O desvio de configuração é impossível. Cada reinicialização retorna ao seu estado íntegro conhecido.
Mas isso também significa que, se você instalar atualizações do Windows enquanto o sistema estiver congelado, essas atualizações existirão apenas na tabela de alocação temporária. Ao reiniciar, elas desaparecerão — o sistema retornará ao seu estado anterior (sem os patches).
Isso não é um erro. É o recurso principal. A questão é: como permitir seletivamente que certas alterações (como atualizações) se tornem permanentes e, ao mesmo tempo, proteger contra todo o resto?
É aí que entra o modo de manutenção.
Como Funciona o Modo de Manutenção: Descongelar, Atualizar, Recongelar
O conceito fundamental é simples: para fazer alterações permanentes em um sistema congelado, você o "descongela" temporariamente. Enquanto estiver descongelado, o sistema se comporta como qualquer máquina Windows normal: as alterações são gravadas diretamente na unidade e persistem após as reinicializações. Quando terminar, você o congela novamente, e esse novo estado torna-se a linha de base.
Você pode fazer isso manualmente: faça o login, insira sua senha de administrador, descongele a máquina, execute as atualizações e, em seguida, congele-a novamente. Todos nós já fizemos isso em uma emergência. Mas o descongelamento manual não é escalável. Se você estiver gerenciando 50, 200 ou 2.000 máquinas, você precisa de automação.
O Deep Freeze oferece várias maneiras de automatizar isso:
Períodos de Degelo Agendados. Você define uma janela — por exemplo, toda quarta-feira às 2h — em que a máquina reinicia automaticamente em um estado descongelado (thawed). Durante essa janela, as suas atualizações são executadas. Quando a janela se fecha, a máquina reinicia e congela novamente (refreezes) com a nova configuração base.
Tarefas do Windows Update. O Deep Freeze Cloud e Enterprise possuem um tipo de tarefa de Windows Update dedicado. Ele é mais inteligente do que uma simples janela de descongelamento: pode baixar atualizações enquanto ainda está congelado (armazenando-as localmente) e, em seguida, descongelar apenas o tempo necessário para instalá-las. Assim que a instalação é concluída, ele congela novamente de forma automática. Não é necessário definir um horário de término fixo.
Tarefas de Arquivo em Lote. Para atualizações de softwares de terceiros ou scripts personalizados, você pode agendar arquivos em lote (batch files) para serem executados durante os períodos de descongelamento (thawed). O Deep Freeze descongelará a máquina, executará seu script e, em seguida, a congelará novamente (refreeze) quando o processo for concluído.
Descongelamento sob demanda. Pelo console ou aplicativo móvel, você pode acionar manualmente o descongelamento em máquinas ou grupos específicos. Útil para patches de emergência ou instalações de software pontuais.
A percepção fundamental é esta: o Deep Freeze não luta contra as atualizações; ele oferece controle preciso sobre quando e como elas acontecem.
Melhores Práticas para Atualizações do Windows com o Deep Freeze
Após anos apoiando organizações que utilizam o Deep Freeze em larga escala, aprendemos o que funciona e o que causa dores de cabeça. Aqui está a nossa abordagem recomendada:
Agende a manutenção durante o horário de folga. Isso parece óbvio, mas vale a pena ressaltar: execute as janelas de atualização quando os usuários não estiverem nas máquinas. Para escolas, isso significa à noite ou nos fins de semana. Para bibliotecas, durante a madrugada. Para ambientes 24/7, encontre a janela de menor uso. A última coisa que você deseja é uma máquina reiniciando no meio de uma sessão.
Use "Quando o Windows Update for concluído" em vez de horários de término fixos. As versões anteriores do Deep Freeze exigiam a definição de uma janela de manutenção fixa — por exemplo, das 2h às 4h da manhã. O problema? Às vezes, as atualizações terminam em 20 minutos. Outras vezes, levam três horas. Se a janela fechar antes da conclusão das atualizações, você corre o risco de enfrentar loops de inicialização ou instalações incompletas. As versões modernas permitem selecionar a opção "Quando o Windows Update for concluído"; a máquina permanece descongelada até que tudo esteja devidamente instalado e, em seguida, congela novamente de forma automática. Utilize esta opção.
Permitir que o Deep Freeze baixe atualizações enquanto estiver congelado. O Deep Freeze pode armazenar atualizações do Windows em cache mesmo quando o sistema está congelado. A instalação real requer o descongelamento, mas o download não. Isso significa que sua janela de descongelamento é gasta na instalação, e não esperando por downloads de vários gigabytes. É significativamente mais rápido.
Use o Wake-on-LAN para máquinas desligadas. O gerenciamento de energia do Deep Freeze pode despertar as máquinas para manutenções agendadas, mesmo que elas estejam desligadas. Configure essa função para garantir que suas atualizações noturnas realmente ocorram, em vez de falharem porque alguém desligou o PC.
Considere usar o WSUS para ter mais controle. Se você utiliza um servidor WSUS, o Deep Freeze integra-se a ele. A vantagem? Você controla exatamente quais atualizações são enviadas. A tarefa nativa de Windows Update do Deep Freeze aplica atualizações Críticas e de Segurança por padrão, mas o WSUS permite aprovar patches específicos, adiar atualizações de recursos ou realizar testes antes da implantação em larga escala.
Escalone suas janelas de manutenção. Não agende a atualização de todas as 200 máquinas exatamente para as 2h. Faça o escalonamento: Grupo A às 2h, Grupo B às 2h30, e assim por diante. Isso reduz a carga na sua rede e nos servidores de atualização, além de garantir que, se algo der errado, você consiga identificar o problema antes que todo o parque tecnológico seja afetado.
Agende reinicializações mesmo sem atualizações. Mesmo que não haja atualizações pendentes, reinicializações periódicas restauram sua linha de base congelada e limpam quaisquer dados de sessão acumulados. Muitas organizações agendam reinicializações diárias ou semanais como prática padrão.
Atualizando Softwares de Terceiros Sem Quebrar Nada
O Windows Update cuida do sistema operacional. Mas e quanto ao Chrome, Firefox, Adobe Reader, Java, Zoom e as dezenas de outros aplicativos em suas máquinas?
O mesmo princípio se aplica: as atualizações devem ocorrer enquanto o sistema estiver descongelado. No entanto, as atualizações de terceiros exigem um pouco mais de atenção, pois o Deep Freeze não as gerencia diretamente.
Opção 1: Use suas ferramentas de implantação existentes. Se você já utiliza o SCCM, Intune, PDQ Deploy ou similares, continue usando-os. Agende suas implantações para coincidirem com os períodos de descongelamento (thaw) do Deep Freeze. Implante o software enquanto estiver descongelado e, em seguida, deixe o Deep Freeze congelar novamente (refreeze) com os novos aplicativos na linha de base.
Opção 2: Use as tarefas de Arquivo em Lote do Deep Freeze. Você pode agendar arquivos em lote (batch) ou scripts do PowerShell para serem executados durante os períodos de descongelamento. Escreva um script que atualize silenciosamente seus principais aplicativos, agende-o como uma tarefa de Arquivo em Lote e o Deep Freeze cuidará automaticamente do ciclo de descongelar-executar-recongelar.
Opção 3: Use o Software Updater do Deep Freeze Cloud. Se você estiver em determinados pacotes do Deep Freeze Cloud, o recurso Software Updater pode gerenciar automaticamente aplicativos comuns de terceiros. Ele verifica se há atualizações e as aplica durante as janelas de manutenção.
Dica crítica: desative as atualizações automáticas dentro dos aplicativos. Muitos aplicativos tentam se atualizar automaticamente. Em uma máquina congelada, essas atualizações são baixadas, instaladas parcialmente e depois desaparecem ao reiniciar, desperdiçando largura de banda e potencialmente causando comportamentos estranhos. Desative os recursos de atualização automática nos próprios aplicativos e gerencie as atualizações de forma centralizada apenas durante os períodos de descongelamento.
As definições de antivírus são um caso especial. Seu software antivírus provavelmente atualiza as definições várias vezes ao dia. Alguns produtos de antivírus podem armazenar definições em uma partição Descongelada (mais sobre isso abaixo), permitindo que as atualizações persistam sem descongelar todo o sistema. Como alternativa, agende as atualizações de definições durante seus períodos de descongelamento. Coordene com a documentação do seu fornecedor de antivírus para obter os melhores resultados.
Erros Comuns Que Causam Dores de Cabeça
Oferecemos suporte a implantações do Deep Freeze há quase 30 anos. Estes são os erros relacionados a atualizações que vemos com mais frequência:
Atualizando enquanto está travado e se perguntando por que não funcionou. Isso acontece mais do que você imagina, especialmente com novos administradores. Eles instalam as atualizações, reiniciam e as atualizações desaparecem. Depois instalam de novo, reiniciam de novo e o resultado é o mesmo. Verifique o estado de congelamento antes de executar as atualizações. O ícone do urso polar na bandeja do sistema informa: animado significa congelado (frozen), estático significa descongelado (thawed).
Esquecer de congelar novamente após o degelo manual. Você descongela uma máquina para instalar algo, se distrai e a deixa descongelada por dias. Essa máquina agora está desprotegida: acumulando alterações, potencialmente contraindo malware e se distanciando da sua configuração base. Sempre congele novamente assim que terminar. Se você costuma esquecer, utilize períodos de descongelamento agendados com recongelamento automático em vez do descongelamento manual.
Definir janelas de manutenção fixas que são curtas demais. Uma janela de duas horas pode ser suficiente para a "Patch Tuesday" mensal. Mas se uma máquina estiver desligada por semanas e tiver dezenas de atualizações pendentes, duas horas não serão suficientes. Use a opção "Quando o Windows Update for concluído" para evitar esse problema completamente.
Não testar as atualizações antes da implantação em massa. Isso não é específico do Deep Freeze, mas também é importante aqui. Teste as atualizações em um grupo piloto primeiro. Se algo der errado, você vai querer saber antes que isso afete todo o seu parque tecnológico.
Ignorando atualizações de recursos do Windows. A partir do Windows 10, a Microsoft lança atualizações de recursos principais uma ou duas vezes por ano. Elas são grandes, demoradas e, às vezes, alteram as coisas significativamente. O Deep Freeze lida com elas, mas você deve planejar janelas de manutenção mais longas e considerar adiá-las até que tenha testado minuciosamente.
Uso de ferramentas de atualização de terceiros sem coordenação. O Deep Freeze suprime o serviço Windows Update enquanto estiver congelado para evitar conflitos. Se você estiver usando uma ferramenta de correção de terceiros que dependa do Windows Update, ela poderá não funcionar corretamente, a menos que seja executada durante os períodos de descongelamento. Coordene suas ferramentas com o seu cronograma de manutenção do Deep Freeze.
Uma Observação sobre ThawSpaces e Partições Descongeladas
Você pode estar se perguntando: existe alguma maneira de manter certos dados persistentes sem descongelar todo o sistema?
Sim. O Deep Freeze oferece ThawSpaces e partições Thawed exatamente para essa finalidade.
ThawSpaces são partições virtuais que permanecem graváveis mesmo quando o sistema está congelado. Os dados salvos em um ThawSpace persistem após as reinicializações. Eles são úteis para itens como documentos de usuários, definições de antivírus ou dados de aplicativos que precisam ser mantidos após o reboot.
Partições Descongeladas são unidades inteiras que o Deep Freeze ignora. Se a sua máquina tiver uma unidade D: configurada como "Thawed" (Descongelada), qualquer item salvo nela persistirá, independentemente do estado de congelamento.
No entanto — e isso é importante — você não pode usar ThawSpaces ou partições Thawed para tornar as atualizações do Windows persistentes. Os arquivos de sistema do Windows residem na partição do sistema congelada. As atualizações precisam modificar esses arquivos, o que exige o descongelamento da própria partição do sistema.
ThawSpaces são para dados do usuário e dados específicos de aplicativos. As atualizações do sistema exigem períodos de degelo adequados.
Perguntas Frequentes
As atualizações do Windows podem ser instaladas de forma totalmente automática?
Sim. Configure uma tarefa do Windows Update no Faronics Cloud Deep Freeze, defina-a para ser executada fora do horário comercial e selecione "Quando o Windows Update for concluído". O Deep Freeze baixará as atualizações enquanto estiver congelado, descongelará automaticamente no horário agendado, instalará as atualizações, gerenciará quaisquer reinicializações necessárias e congelará novamente ao terminar. Nenhuma intervenção manual é necessária.
Com que frequência devo agendar janelas de manutenção?
Isso depende do seu ambiente. A maioria das organizações agenda as tarefas do Windows Update semanalmente, geralmente programadas para coincidir com a Patch Tuesday (segunda terça-feira de cada mês), além de uma ou duas execuções adicionais para capturar qualquer item que exija múltiplas reinicializações. Para ambientes com uso intenso ou sensibilidade de segurança, considere realizar a manutenção duas vezes por semana. Para ambientes de menor risco, uma frequência quinzenal pode ser suficiente.
Os usuários podem atualizar o software por conta própria?
Por padrão, não, e isso é intencional. Qualquer software que os usuários instalarem enquanto o sistema estiver congelado desaparecerá ao reiniciar. Se você quiser que os usuários possam instalar softwares persistentes, precisaria dar a eles acesso de descongelamento, o que anula o propósito da proteção. Melhor prática: permita que os usuários solicitem softwares por meio dos seus canais normais de TI e faça a implantação centralizada durante as janelas de manutenção.
E se uma máquina perder o seu intervalo de manutenção?
Se uma máquina estiver desligada durante a manutenção agendada, as atualizações não serão executadas. Opções: ative o Wake-on-LAN para que o Deep Freeze possa despertar a máquina ou agende uma janela de "atualização pendente" durante o horário comercial como alternativa. O Faronics Cloud Deep Freeze exibe o status das tarefas de manutenção no console, permitindo identificar as máquinas que perderam o período agendado.
Como lidar com máquinas que precisam de cronogramas de atualização diferentes?
Crie várias políticas. O Deep Freeze permite definir diferentes configurações para diferentes grupos de máquinas. Seus laboratórios de informática podem ser atualizados semanalmente às quartas-feiras, enquanto os PCs públicos da biblioteca são atualizados diariamente durante a noite. Configure grupos em seu console e atribua as políticas apropriadas a cada um.
E quanto ao WSUS? O Deep Freeze funciona com ele?
Sim. Você pode configurar o Deep Freeze para buscar atualizações do seu servidor WSUS em vez de diretamente da Microsoft. A vantagem é o controle: o WSUS permite aprovar atualizações específicas, testar antes de implementar e gerenciar quais atualizações chegam a quais máquinas. O Deep Freeze instalará todas as atualizações aprovadas pelo WSUS durante a janela de manutenção.
Posso atualizar o próprio Deep Freeze enquanto o sistema estiver congelado?
Não. As atualizações do Deep Freeze exigem que o sistema esteja no modo "Thawed" (descongelado). Você pode enviar atualizações do Deep Freeze a partir do console durante as janelas de manutenção ou agendá-las como parte do seu ciclo de manutenção regular.
O Resultado Final: Updates e Deep Freeze Trabalham Juntos
A preocupação de que o Deep Freeze impede atualizações é uma das objeções mais comuns que ouvimos: e uma das mais fáceis de resolver.
Sim, o Deep Freeze apaga as alterações por padrão. Esse é justamente o objetivo. No entanto, ele também oferece janelas controladas para que você faça alterações permanentes quando necessário. As atualizações são baixadas enquanto o sistema está congelado. As máquinas descongelam automaticamente nos horários agendados. As atualizações são instaladas. As máquinas congelam novamente com a nova configuração de referência atualizada.
O resultado? Você obtém os benefícios de segurança e consistência do reboot-to-restore, enquanto mantém os sistemas totalmente corrigidos e atualizados. Você não precisa escolher.
Configure suas janelas de manutenção adequadamente, utilize os recursos de automação que desenvolvemos e as atualizações deixarão de ser um problema. Temos organizações operando milhares de máquinas congeladas com aplicação de patches totalmente automatizada. Funciona.
Se você ainda não tem certeza de como isso funcionaria no seu ambiente, solicite uma versão de teste e experimente. Configure uma janela de manutenção, execute algumas atualizações e veja como o processo funciona na prática. Isso vale mais do que qualquer documentação.
Pronto para Ver em Ação?
Experimente o Faronics Cloud Deep Freeze gratuitamente por 30 dias. Configure uma janela de manutenção, execute algumas atualizações e veja como o processo é integrado.
