소프트웨어 업데이트에 대한 설정 관리
적용 대상: Configuration Manager(현재 분기)
Configuration Manager 소프트웨어 업데이트를 동기화한 후 다음 섹션에서 설정을 구성하고 확인합니다.
소프트웨어 업데이트에 대한 클라이언트 설정
소프트웨어 업데이트 지점을 설치하면 기본적으로 클라이언트에서 소프트웨어 업데이트가 사용하도록 설정되고 클라이언트 설정의 소프트웨어 업데이트 페이지의 설정에는 기본값이 있습니다. 클라이언트 설정은 사이트 전체에서 사용되며 소프트웨어 업데이트가 규정 준수를 검사하는 시기와 클라이언트 컴퓨터에 소프트웨어 업데이트를 설치하는 방법과 시기에 영향을 줍니다. 소프트웨어 업데이트를 배포하기 전에 클라이언트 설정이 사이트의 소프트웨어 업데이트에 적합한지 확인합니다.
중요
클라이언트에서 소프트웨어 업데이트 사용 설정은 기본적으로 사용하도록 설정됩니다. 이 설정을 지우면 Configuration Manager 클라이언트에서 기존 배포 정책을 제거합니다.
2020년 9월 누적 업데이트부터 HTTP 기반 WSUS 서버는 기본적으로 안전합니다. HTTP 기반 WSUS에 대한 업데이트를 검색하는 클라이언트는 기본적으로 사용자 프록시를 더 이상 활용할 수 없습니다. 보안 장차에도 불구하고 사용자 프록시가 여전히 필요한 경우 이러한 연결을 허용하기 위해 새 소프트웨어 업데이트 클라이언트 설정을 사용할 수 있습니다. WSUS 검사에 대한 변경 내용에 대한 자세한 내용은 WSUS를 검사하는 Windows 디바이스의 보안 향상을 위한 2020년 9월 변경 내용을 참조하세요. 최상의 보안 프로토콜을 구현하려면 TLS/SSL 프로토콜을 사용하여 소프트웨어 업데이트 인프라를 보호하는 것이 좋습니다.
클라이언트 설정을 구성하는 방법에 대한 자세한 내용은 클라이언트 설정을 구성하는 방법을 참조하세요.
클라이언트 설정에 대한 자세한 내용은 클라이언트 설정 정보를 참조하세요.
소프트웨어 업데이트에 대한 그룹 정책 설정
소프트웨어 업데이트 지점에서 실행되는 WSUS에 연결하기 위해 클라이언트 컴퓨터의 WUA(Windows 업데이트 에이전트)에서 사용하는 특정 그룹 정책 설정이 있습니다. 이러한 그룹 정책 설정은 소프트웨어 업데이트 규정 준수를 성공적으로 검색하고 소프트웨어 업데이트 및 WUA를 자동으로 업데이트하는 데도 사용됩니다.
인트라넷 Microsoft 서비스 위치 업데이트 로컬 정책 지정
사이트에 대한 소프트웨어 업데이트 지점이 만들어지면 클라이언트는 소프트웨어 업데이트 지점 서버 이름을 제공하고 컴퓨터에서 인트라넷 지정 Microsoft 업데이트 서비스 위치 로컬 정책을 구성하는 컴퓨터 정책을 받습니다. WUA는 업데이트 검색을 위해 인트라넷 업데이트 서비스 설정 설정 에 지정된 서버 이름을 검색한 다음 소프트웨어 업데이트 준수를 검색할 때 이 서버에 연결합니다. 인트라넷 지정 Microsoft 업데이트 서비스 위치 설정에 대한 도메인 정책이 만들어지면 로컬 정책이 재정의되고 WUA가 소프트웨어 업데이트 지점 이외의 서버에 연결할 수 있습니다. 이 경우 클라이언트는 다양한 제품, 분류 및 언어를 기반으로 소프트웨어 업데이트 규정 준수를 검색할 수 있습니다. 따라서 클라이언트 컴퓨터에 대한 Active Directory 정책을 구성해서는 안 됩니다.
인트라넷 Microsoft 서비스 위치 업데이트 그룹 정책에서 서명된 콘텐츠 허용
컴퓨터의 WUA가 System Center 업데이트 Publisher를 사용하여 만들고 게시한 소프트웨어 업데이트를 검색하기 전에 인트라넷에서 서명된 콘텐츠 허용 Microsoft 서비스 위치 그룹 정책 설정을 사용하도록 설정해야 합니다. 정책 설정을 사용하도록 설정하면 WUA는 소프트웨어 업데이트가 로컬 컴퓨터의 신뢰할 수 있는 게시자 인증서 저장소에 서명된 경우 인트라넷 위치를 통해 수신되는 소프트웨어 업데이트를 수락합니다. 업데이트 Publisher에 필요한 그룹 정책 설정에 대한 자세한 내용은 업데이트 Publisher 2011 설명서 라이브러리를 참조하세요.
자동 업데이트 구성
자동 업데이트 클라이언트 컴퓨터에서 보안 업데이트 및 기타 중요한 다운로드를 받을 수 있습니다. 자동 업데이트 자동 업데이트 그룹 정책 구성 설정을 통해 또는 로컬 컴퓨터의 제어판 통해 구성됩니다. 자동 업데이트 사용하도록 설정되면 클라이언트 컴퓨터는 업데이트 알림을 받고 구성된 설정에 따라 클라이언트 컴퓨터가 필요한 업데이트를 다운로드하여 설치합니다. 자동 업데이트 소프트웨어 업데이트와 공존하는 경우 각 클라이언트 컴퓨터에 동일한 업데이트에 대한 알림 아이콘 및 팝업 표시 알림이 표시될 수 있습니다. 또한 다시 시작해야 하는 경우 각 클라이언트 컴퓨터에 동일한 업데이트에 대한 다시 시작 대화 상자가 표시될 수 있습니다.
자체 업데이트
클라이언트 컴퓨터에서 자동 업데이트 사용하도록 설정되면 최신 버전을 사용할 수 있게 되거나 WUA 구성 요소에 문제가 있는 경우 WUA가 자동으로 자체 업데이트를 수행합니다. 자동 업데이트 구성되지 않았거나 사용하지 않도록 설정되어 있고 클라이언트 컴퓨터에 이전 버전의 WUA가 있는 경우 클라이언트 컴퓨터는 WUA 설치 파일을 실행해야 합니다.
소프트웨어 업데이트 속성
소프트웨어 업데이트 속성은 소프트웨어 업데이트 및 관련 콘텐츠에 대한 정보를 제공합니다. 이러한 속성을 사용하여 소프트웨어 업데이트에 대한 설정을 구성할 수도 있습니다. 여러 소프트웨어 업데이트에 대한 속성을 열면 최대 런타임 및 사용자 지정 심각도 탭만 표시됩니다.
소프트웨어 업데이트 속성을 열려면 다음 절차를 따르세요.
소프트웨어 업데이트 속성을 열려면
Configuration Manager 콘솔에서 소프트웨어 라이브러리를 클릭합니다.
소프트웨어 라이브러리 작업 영역에서 소프트웨어 업데이트 확장하고 모든 소프트웨어 업데이트 클릭합니다.
하나 이상의 소프트웨어 업데이트를 선택한 다음 홈 탭에서 속성 그룹의 속성을 클릭합니다.
참고
모든 소프트웨어 업데이트 노드에서 Configuration Manager 중요 및 보안 분류가 있고 지난 30일 동안 릴리스된 소프트웨어 업데이트만 표시합니다.
소프트웨어 업데이트 정보 검토
소프트웨어 업데이트 속성에서 소프트웨어 업데이트에 대한 자세한 정보를 검토할 수 있습니다. 소프트웨어 업데이트를 둘 이상 선택하면 자세한 정보가 표시되지 않습니다. 다음 섹션에서는 선택한 소프트웨어 업데이트에 사용할 수 있는 정보를 설명합니다.
소프트웨어 업데이트 세부 정보
업데이트 세부 정보 탭에서 선택한 소프트웨어 업데이트에 대한 다음 요약 정보를 볼 수 있습니다.
- 공지 ID: 보안 소프트웨어 업데이트와 연결된 공지 ID를 지정합니다. Microsoft 보안 대응 센터 웹 페이지에서 공지 ID를 검색하여 보안 공지 세부 정보를 찾을 수 있습니다.
참고
Microsoft 보안 업데이트를 문서화하는 방식이 변경되고 있습니다. 이전 모델은 보안 공지 웹 페이지를 사용했으며 보안 공지 ID 번호(예: MS16-XXX)를 피벗 지점으로 포함했습니다. 이 형식의 보안 업데이트 설명서(공지 ID 번호 포함)는 사용 중지되고 보안 업데이트 가이드로 대체됩니다. 새 가이드는 공지 ID 대신 취약성 ID 번호 및 KB 문서 ID 번호를 피벗합니다. 자세한 내용은 보안 업데이트 가이드 FAQ를 참조하세요.
문서 ID: 소프트웨어 업데이트에 대한 아티클 ID를 지정합니다. 참조된 문서에서는 소프트웨어 업데이트 및 소프트웨어 업데이트가 수정하거나 개선하는 문제에 대한 자세한 정보를 제공합니다.
수정 날짜: 소프트웨어 업데이트가 마지막으로 수정된 날짜를 지정합니다.
최대 심각도 등급: 소프트웨어 업데이트에 대한 공급업체 정의 심각도 등급을 지정합니다.
설명: 소프트웨어 업데이트가 수정하거나 개선하는 조건에 대한 개요를 제공합니다.
해당 언어: 소프트웨어 업데이트가 적용되는 언어를 나열합니다.
영향을 받는 제품: 소프트웨어 업데이트가 적용되는 제품을 나열합니다.
콘텐츠 정보
콘텐츠 정보 탭에서 선택한 소프트웨어 업데이트와 연결된 콘텐츠에 대한 다음 정보를 검토합니다.
콘텐츠 ID: 소프트웨어 업데이트의 콘텐츠 ID를 지정합니다.
다운로드됨: Configuration Manager 소프트웨어 업데이트 파일을 다운로드했는지 여부를 나타냅니다.
언어: 소프트웨어 업데이트에 대한 언어를 지정합니다.
원본 경로: 소프트웨어 업데이트 원본 파일의 경로를 지정합니다.
크기(MB): 소프트웨어 업데이트 원본 파일의 크기를 지정합니다.
사용자 지정 번들 정보
사용자 지정 번들 정보 탭에서 소프트웨어 업데이트에 대한 사용자 지정 번들 정보를 검토합니다. 선택한 소프트웨어 업데이트에 소프트웨어 업데이트 파일에 포함된 번들 소프트웨어 업데이트가 포함되어 있으면 번들 정보 섹션에 표시됩니다. 이 탭에는 콘텐츠 정보 탭에 표시되는 번들 소프트웨어 업데이트(예: 다른 언어에 대한 업데이트 파일)가 표시되지 않습니다.
대체 정보
대체 정보 탭에서 소프트웨어 업데이트의 대체에 대한 다음 정보를 볼 수 있습니다.
이 업데이트는 다음 업데이트로 대체되었습니다. 이 업데이트를 대체하는 소프트웨어 업데이트를 지정합니다. 즉, 나열된 업데이트가 최신 업데이트임을 의미합니다. 대부분의 경우 소프트웨어 업데이트를 대체하는 소프트웨어 업데이트 중 하나를 배포합니다. 목록에 표시되는 소프트웨어 업데이트에는 소프트웨어 업데이트에 대한 자세한 정보를 제공하는 웹 페이지에 대한 하이퍼링크가 포함되어 있습니다. 이 업데이트가 대체되지 않으면 없음 이 표시됩니다.
이 업데이트는 다음 업데이트를 대체합니다. 이 소프트웨어 업데이트로 대체되는 소프트웨어 업데이트를 지정합니다. 즉, 이 소프트웨어 업데이트가 최신 업데이트임을 의미합니다. 대부분의 경우 이 소프트웨어 업데이트를 배포하여 대체된 소프트웨어 업데이트를 대체합니다. 목록에 표시되는 소프트웨어 업데이트에는 소프트웨어 업데이트에 대한 자세한 정보를 제공하는 웹 페이지에 대한 하이퍼링크가 포함되어 있습니다. 이 업데이트가 다른 업데이트를 대체하지 않으면 없음 이 표시됩니다.
소프트웨어 업데이트 설정 구성
속성에서 하나 이상의 소프트웨어 업데이트에 대한 소프트웨어 업데이트 설정을 구성할 수 있습니다. 대부분의 소프트웨어 업데이트 설정은 중앙 관리 사이트 또는 독립 실행형 기본 사이트에서만 구성할 수 있습니다. 다음 섹션에서는 소프트웨어 업데이트에 대한 설정을 구성하는 데 도움이 됩니다.
최대 런타임 설정
최대 런타임 탭에서 클라이언트 컴퓨터에서 소프트웨어 업데이트를 완료하도록 할당된 최대 시간을 설정합니다. 업데이트가 최대 런타임 값보다 오래 걸리는 경우 Configuration Manager 상태 메시지를 만들고 소프트웨어 업데이트 설치를 중지합니다. 중앙 관리 사이트 또는 독립 실행형 기본 사이트에서만 이 설정을 구성할 수 있습니다.
또한 Configuration Manager 이 설정을 사용하여 구성된 유지 관리 기간 내에 소프트웨어 업데이트 설치를 시작할지 여부를 결정합니다. 최대 런타임 값이 유지 관리 기간의 사용 가능한 남은 시간보다 큰 경우 소프트웨어 업데이트 설치는 다음 유지 관리 기간이 시작될 때까지 연기됩니다. 구성된 유지 관리 기간(기간)이 있는 클라이언트 컴퓨터에 여러 소프트웨어 업데이트를 설치할 경우 가장 낮은 최대 런타임이 있는 소프트웨어 업데이트가 먼저 설치되고, 다음으로 가장 낮은 최대 런타임이 있는 소프트웨어 업데이트가 다음에 설치됩니다. 각 소프트웨어 업데이트를 설치하기 전에 클라이언트는 사용 가능한 유지 관리 기간이 소프트웨어 업데이트를 설치하는 데 충분한 시간을 제공하는지 확인합니다. 소프트웨어 업데이트 설치가 시작되면 설치가 유지 관리 기간이 종료된 후에도 계속 설치됩니다. 유지 관리 기간에 대한 자세한 내용은 유지 관리 기간을 사용하는 방법을 참조하세요.
최대 런타임 탭에서 다음 설정을 보고 구성할 수 있습니다.
- 최대 런타임: Configuration Manager 설치를 중지하기 전에 소프트웨어 업데이트 설치가 완료될 때까지 할당된 최대 시간(분)을 지정합니다. 이 설정은 유지 관리 기간이 끝나기 전에 업데이트를 설치할 수 있는 충분한 시간이 남아 있는지 여부를 결정하는 데도 사용됩니다. 기본 설정은 서비스 팩의 경우 60분입니다. 다른 소프트웨어 업데이트 유형의 경우 Configuration Manager 버전 1511 이상을 새로 설치한 경우 기본값은 10분이고 이전 버전에서 업그레이드한 경우 5분입니다. 값의 범위는 5분에서 9999분까지입니다.
중요
구성된 유지 관리 기간 시간보다 작은 최대 런타임 값을 설정하거나 유지 관리 기간 시간을 최대 런타임보다 큰 값으로 늘려야 합니다. 그렇지 않으면 소프트웨어 업데이트 설치가 시작되지 않습니다.
사용자 지정 심각도 설정
소프트웨어 업데이트의 속성에서 사용자 지정 심각도 탭을 사용하여 소프트웨어 업데이트에 대한 사용자 지정 심각도 값을 구성할 수 있습니다. 미리 정의된 심각도 값이 요구 사항을 충족하지 않는 경우 필요할 수 있습니다. 사용자 지정 값은 Configuration Manager 콘솔의 사용자 지정 심각도 열에 나열됩니다. 정의된 사용자 지정 심각도 값을 기준으로 소프트웨어 업데이트를 정렬할 수 있으며 이러한 값을 필터링할 수 있는 쿼리 및 보고서를 만들 수도 있습니다. 중앙 관리 사이트 또는 독립 실행형 기본 사이트에서만 이 설정을 구성할 수 있습니다.
사용자 지정 심각도 탭에서 다음 설정을 구성할 수 있습니다.
- 사용자 지정 심각도: 소프트웨어 업데이트에 대한 사용자 지정 심각도 값을 설정합니다. 목록에서 위험, 중요, 보통 또는 낮음 을 선택합니다. 기본적으로 사용자 지정 심각도 값은 비어 있습니다.
소프트웨어 업데이트에 대한 CRL 확인
기본적으로 CRL(인증서 해지 목록)은 Configuration Manager 소프트웨어 업데이트에서 서명을 확인할 때 확인되지 않습니다. 인증서를 사용할 때마다 CRL을 확인하면 해지된 인증서 사용에 대한 보안이 강화되지만 연결 지연이 발생하고 CRL 검사를 수행하는 컴퓨터에서 추가 처리가 발생합니다.
사용하는 경우 소프트웨어 업데이트를 처리하는 Configuration Manager 콘솔에서 CRL 검사를 사용하도록 설정해야 합니다.
CRL 검사를 사용하도록 설정하려면
CRL 검사를 수행하는 컴퓨터의 제품 DVD에서 명령 프롬프트에서 다음을 실행합니다. \SMSSETUP\BIN\X64\<language>\UpdDwnldCfg.exe /checkrevocation.
예를 들어 영어(미국)의 경우 /checkrevocation을\SMSSETUP\BIN\X64\00000409\UpdDwnldCfg.exe 실행합니다.