Instellingen voor software-updates beheren
Van toepassing op: Configuration Manager (current branch)
Nadat u software-updates in Configuration Manager hebt gesynchroniseerd, configureert en controleert u de instellingen in de volgende secties.
Clientinstellingen voor software-updates
Nadat u het software-updatepunt hebt geïnstalleerd, zijn software-updates standaard ingeschakeld op clients en hebben de instellingen op de pagina Software Updates in clientinstellingen standaardwaarden. De clientinstellingen worden sitebreed gebruikt en zijn van invloed op wanneer software-updates worden gescand op naleving en hoe en wanneer software-updates op clientcomputers worden geïnstalleerd. Voordat u software-updates implementeert, controleert u of de clientinstellingen geschikt zijn voor software-updates op uw site.
Belangrijk
De instelling Software-updates inschakelen op clients is standaard ingeschakeld. Als u deze instelling wist, verwijdert Configuration Manager het bestaande implementatiebeleid van de client.
Vanaf de cumulatieve update van september 2020 zijn OP HTTP gebaseerde WSUS-servers standaard beveiligd. Een client die zoekt naar updates op basis van een OP HTTP gebaseerde WSUS, mag niet langer standaard gebruikmaken van een gebruikersproxy. Als u ondanks de beveiligingsproblemen nog steeds een gebruikersproxy nodig hebt, is er een nieuwe clientinstelling voor software-updates beschikbaar om deze verbindingen toe te staan. Zie Wijzigingen van september 2020 om de beveiliging te verbeteren voor Windows-apparaten die WSUS scannen voor meer informatie over de wijzigingen voor het scannen van WSUS. Om ervoor te zorgen dat de beste beveiligingsprotocollen aanwezig zijn, raden we u ten zeerste aan om het TLS/SSL-protocol te gebruiken om uw software-update-infrastructuur te beveiligen.
Zie Clientinstellingen configureren voor meer informatie over het configureren van clientinstellingen.
Zie Over clientinstellingen voor meer informatie over de clientinstellingen.
Groepsbeleidsinstellingen voor software-updates
Er zijn specifieke groepsbeleidsinstellingen die worden gebruikt door Windows Update Agent (WUA) op clientcomputers om verbinding te maken met WSUS die wordt uitgevoerd op het software-updatepunt. Deze groepsbeleidsinstellingen worden ook gebruikt om te scannen op naleving van software-updates en om de software-updates en de WUA automatisch bij te werken.
Lokaal beleid voor intranet- Microsoft updateservicelocatie opgeven
Wanneer het software-updatepunt wordt gemaakt voor een site, ontvangen clients een computerbeleid dat de servernaam van het software-updatepunt biedt en het lokale beleid Intranet Microsoft locatie van de updateservice op de computer configureert. De WUA haalt de servernaam op die is opgegeven in de instelling De intranetupdateservice instellen voor het detecteren van updates en maakt vervolgens verbinding met deze server wanneer wordt gescand op naleving van software-updates. Wanneer een domeinbeleid wordt gemaakt voor de instelling Intranet opgeven Microsoft locatie van updateservice, wordt het lokale beleid overschreven en kan de WUA verbinding maken met een andere server dan het software-updatepunt. Als dit gebeurt, kan de client scannen op naleving van software-updates op basis van verschillende producten, classificaties en talen. Daarom moet u het Active Directory-beleid voor clientcomputers niet configureren.
Ondertekende inhoud van intranet toestaan Microsoft Groepsbeleid servicelocatie bijwerken
U moet de instelling Ondertekende inhoud van intranet toestaan Microsoft updateservicelocatie groepsbeleid inschakelen voordat de WUA op computers scant op software-updates die zijn gemaakt en gepubliceerd met System Center Updates Publisher. Wanneer de beleidsinstelling is ingeschakeld, accepteert WUA software-updates die worden ontvangen via een intranetlocatie als de software-updates zijn aangemeld in het certificaatarchief vertrouwde uitgevers op de lokale computer. Zie Updates Documentatiebibliotheek voor Publisher 2011 voor meer informatie over de groepsbeleid instellingen die vereist zijn voor Updates Publisher.
Configuratie van automatische updates
Met automatische Updates kunnen beveiligingsupdates en andere belangrijke downloads worden ontvangen op clientcomputers. Automatische Updates wordt geconfigureerd via de instelling Automatische Updates groepsbeleid configureren of via de Configuratiescherm op de lokale computer. Wanneer Automatisch Updates is ingeschakeld, ontvangen clientcomputers updatemeldingen en, afhankelijk van de geconfigureerde instellingen, downloaden en installeren de clientcomputers de vereiste updates. Wanneer automatische Updates naast software-updates bestaat, kan elke clientcomputer meldingspictogrammen en pop-upmeldingen weergeven voor dezelfde update. Wanneer opnieuw opstarten vereist is, kan elke clientcomputer ook een dialoogvenster voor opnieuw opstarten voor dezelfde update weergeven.
Zelf bijwerken
Wanneer Automatische Updates is ingeschakeld op clientcomputers, voert de WUA automatisch een zelf-update uit wanneer er een nieuwere versie beschikbaar komt of wanneer er problemen zijn met een WUA-onderdeel. Wanneer Automatische Updates niet is geconfigureerd of is uitgeschakeld en clientcomputers een eerdere versie van de WUA hebben, moeten de clientcomputers het WUA-installatiebestand uitvoeren.
Eigenschappen van software-updates
De software-update-eigenschappen bieden informatie over software-updates en bijbehorende inhoud. U kunt deze eigenschappen ook gebruiken om instellingen voor software-updates te configureren. Wanneer u de eigenschappen voor meerdere software-updates opent, worden alleen de tabbladen Maximale uitvoeringstijd en Aangepaste ernst weergegeven.
Gebruik de volgende procedure om software-update-eigenschappen te openen.
Eigenschappen van software-updates openen
Klik in de Configuration Manager-console op Softwarebibliotheek.
Vouw in de werkruimte Softwarebibliotheek software Updates uit en klik op Alle software-Updates.
Selecteer een of meer software-updates en klik vervolgens op het tabblad Start op Eigenschappen in de groep Eigenschappen .
Opmerking
Op het knooppunt Alle software Updates geeft Configuration Manager alleen de software-updates weer die de classificatie Kritiek en Beveiliging hebben en die in de afgelopen 30 dagen zijn uitgebracht.
Informatie over software-updates bekijken
In software-update-eigenschappen kunt u gedetailleerde informatie over een software-update bekijken. De gedetailleerde informatie wordt niet weergegeven wanneer u meer dan één software-update selecteert. In de volgende secties wordt beschreven welke informatie beschikbaar is voor een geselecteerde software-update.
Details van software-update
Op het tabblad Updatedetails kunt u de volgende overzichtsinformatie over de geselecteerde software-update bekijken:
- Bulletin-id: hiermee geeft u de bulletin-id op die is gekoppeld aan beveiligingsupdates. U kunt de details van het beveiligingsbulletin vinden door te zoeken op de bulletin-id op de webpagina Microsoft Security Response Center.
Opmerking
De manier waarop Microsoft beveiligingsupdates documenteert, verandert. In het vorige model werden webpagina's van beveiligingsbulletins gebruikt en werden id-nummers van beveiligingsbulletins (bijvoorbeeld MS16-XXX) als draaipunt opgenomen. Deze vorm van beveiligingsupdatedocumentatie, inclusief bulletin-id-nummers, wordt buiten gebruik gesteld en vervangen door de beveiligingsupdatehandleiding. In plaats van bulletin-id's draait de nieuwe handleiding op id-nummers voor beveiligingsproblemen en KB-artikel-id's. Zie de Veelgestelde vragen over de Handleiding voor beveiligingsupdates voor meer informatie.
Artikel-id: hiermee geeft u de artikel-id voor de software-update op. Het artikel waarnaar wordt verwezen, bevat meer gedetailleerde informatie over de software-update en het probleem dat de software-update oplost of verbetert.
Datum herzien: hiermee geeft u de datum op waarop de software-update voor het laatst is gewijzigd.
Maximale ernstclassificatie: hiermee geeft u de door de leverancier gedefinieerde ernstclassificatie voor de software-update op.
Beschrijving: Biedt een overzicht van welke voorwaarde de software-update corrigeert of verbetert.
Toepasselijke talen: bevat de talen waarvoor de software-update van toepassing is.
Betrokken producten: een lijst met de producten waarop de software-update van toepassing is.
Inhoudsinformatie
Bekijk op het tabblad Inhoudsgegevens de volgende informatie over de inhoud die is gekoppeld aan de geselecteerde software-update:
Inhouds-id: hiermee geeft u de inhouds-id voor de software-update op.
Gedownload: geeft aan of Configuration Manager de software-updatebestanden heeft gedownload.
Taal: hiermee geeft u de talen voor de software-update op.
Bronpad: hiermee geeft u het pad naar de bronbestanden van de software-update op.
Grootte (MB): hiermee geeft u de grootte van de bronbestanden van de software-update op.
Aangepaste bundelgegevens
Bekijk op het tabblad Informatie over aangepaste bundel de aangepaste bundelgegevens voor de software-update. Wanneer de geselecteerde software-update gebundelde software-updates bevat die zijn opgenomen in het software-updatebestand, worden deze weergegeven in de sectie Bundelinformatie . Op dit tabblad worden geen gebundelde software-updates weergegeven die worden weergegeven op het tabblad Informatie over inhoud , zoals updatebestanden voor verschillende talen.
Vervangingsinformatie
Op het tabblad Vervangingsgegevens kunt u de volgende informatie over de vervanging van de software-update bekijken:
Deze update is vervangen door de volgende updates: Hiermee geeft u de software-updates op die deze update vervangen, wat betekent dat de vermelde updates nieuwer zijn. In de meeste gevallen implementeert u een van de software-updates die de software-update vervangt. De software-updates die in de lijst worden weergegeven, bevatten hyperlinks naar webpagina's met meer informatie over de software-updates. Wanneer deze update niet wordt vervangen, wordt Geen weergegeven.
Deze update vervangt de volgende updates: Hiermee geeft u de software-updates op die worden vervangen door deze software-update, wat betekent dat deze software-update nieuwer is. In de meeste gevallen implementeert u deze software-update om de vervangen software-updates te vervangen. De software-updates die in de lijst worden weergegeven, bevatten hyperlinks naar webpagina's met meer informatie over de software-updates. Wanneer deze update geen andere update vervangt, wordt Geen weergegeven.
Instellingen voor software-updates configureren
In de eigenschappen kunt u instellingen voor software-updates configureren voor een of meer software-updates. U kunt de meeste instellingen voor software-updates alleen configureren op de centrale beheersite of zelfstandige primaire site. De volgende secties helpen u bij het configureren van instellingen voor software-updates.
Maximale uitvoeringstijd instellen
Stel op het tabblad Maximale uitvoeringstijd de maximale tijdsduur in voor het voltooien van een software-update op clientcomputers. Als de update langer duurt dan de maximale runtime-waarde, maakt Configuration Manager een statusbericht en stopt de installatie van software-updates. U kunt deze instelling alleen configureren op de centrale beheersite of een zelfstandige primaire site.
Configuration Manager gebruikt deze instelling ook om te bepalen of de installatie van de software-update binnen een geconfigureerd onderhoudsvenster moet worden gestart. Als de maximale runtime-waarde groter is dan de beschikbare resterende tijd in het onderhoudsvenster, wordt de installatie van software-updates uitgesteld tot het begin van het volgende onderhoudsvenster. Wanneer er meerdere software-updates moeten worden geïnstalleerd op een clientcomputer met een geconfigureerd onderhoudsvenster (tijdsbestek), wordt de software-update met de laagste maximale uitvoeringstijd eerst geïnstalleerd, waarna de software-update met de volgende laagste maximale uitvoeringstijd wordt geïnstalleerd, enzovoort. Voordat elke software-update wordt geïnstalleerd, controleert de client of het beschikbare onderhoudsvenster voldoende tijd biedt om de software-update te installeren. Nadat de installatie van een software-update is gestart, blijft deze worden geïnstalleerd, zelfs als de installatie het einde van het onderhoudsvenster overschrijdt. Zie Onderhoudsvensters gebruiken voor meer informatie over onderhoudsvensters.
Op het tabblad Maximale uitvoeringstijd kunt u de volgende instellingen weergeven en configureren:
- Maximale uitvoeringstijd: hiermee geeft u het maximum aantal minuten op dat is toegewezen voor het voltooien van de installatie van een software-update voordat de installatie wordt gestopt door Configuration Manager. Deze instelling wordt ook gebruikt om te bepalen of er nog voldoende beschikbare tijd over is om de update te installeren vóór het einde van een onderhoudsvenster. De standaardinstelling is 60 minuten voor servicepacks. Voor andere software-updatetypen is de standaardwaarde 10 minuten als u een nieuwe installatie hebt uitgevoerd van Configuration Manager versie 1511 of hoger en 5 minuten wanneer u een upgrade hebt uitgevoerd van een vorige versie. Waarden kunnen variëren van 5 tot 9999 minuten.
Belangrijk
Zorg ervoor dat u de waarde van de maximale uitvoeringstijd kleiner dan de geconfigureerde onderhoudsvenstertijd instelt of de onderhoudstijd verlengt naar een waarde die groter is dan de maximale uitvoeringstijd. Anders wordt de installatie van de software-update nooit gestart.
Aangepaste ernst instellen
In de eigenschappen voor een software-update kunt u het tabblad Aangepaste ernst gebruiken om aangepaste ernstwaarden voor de software-updates te configureren. Dit kan nodig zijn als de vooraf gedefinieerde ernstwaarden niet aan uw behoeften voldoen. De aangepaste waarden worden weergegeven in de kolom Aangepaste ernst in de Configuration Manager-console. U kunt de software-updates sorteren op de gedefinieerde aangepaste ernstwaarden en kunt ook query's en rapporten maken die op deze waarden kunnen filteren. U kunt deze instelling alleen configureren op de centrale beheersite of zelfstandige primaire site.
U kunt de volgende instellingen configureren op het tabblad Aangepaste ernst .
- Aangepaste ernst: hiermee stelt u een aangepaste ernstwaarde in voor de software-updates. Selecteer Kritiek, Belangrijk, Gemiddeld of Laag in de lijst. De aangepaste ernstwaarde is standaard leeg.
CRL-controle op software-updates
Standaard wordt de certificaatintrekkingslijst (CRL) niet gecontroleerd bij het controleren van de handtekening op Configuration Manager software-updates. Het controleren van de CRL telkens wanneer een certificaat wordt gebruikt, biedt meer beveiliging tegen het gebruik van een certificaat dat is ingetrokken, maar het leidt tot een verbindingsvertraging en extra verwerking op de computer die de CRL-controle uitvoert.
Indien gebruikt, moet CRL-controle worden ingeschakeld op de Configuration Manager consoles die software-updates verwerken.
CRL-controle inschakelen
Voer op de computer die de CRL-controle uitvoert vanaf de product-dvd het volgende uit vanaf een opdrachtprompt: \SMSSETUP\BIN\X64\<language>\UpdDwnldCfg.exe /checkrevocation.
Voer bijvoorbeeld voor Engels (VS) \SMSSETUP\BIN\X64\00000409\UpdDwnldCfg.exe /checkrevocation uit