管理软件更新的设置
适用于: Configuration Manager(current branch)
在 Configuration Manager 中同步软件更新后,配置并验证以下部分中的设置。
软件更新的客户端设置
安装软件更新点后,默认情况下会在客户端上启用软件更新,并且客户端设置中的“软件汇报”页上的设置具有默认值。 客户端设置在站点范围内使用,并影响何时扫描软件更新以符合性,以及如何以及何时在客户端计算机上安装软件更新。 在部署软件更新之前,请验证客户端设置是否适用于站点上的软件更新。
重要
默认情况下启用 “在客户端上启用软件更新 ”设置。 如果清除此设置,Configuration Manager将从客户端中删除现有部署策略。
从 2020 年 9 月累积更新开始,基于 HTTP 的 WSUS 服务器默认是安全的。 默认情况下,不再允许客户端针对基于 HTTP 的 WSUS 扫描更新,以利用用户代理。 如果尽管存在安全权衡,但仍需要用户代理,可以使用新的 软件更新客户端设置 来允许这些连接。 有关扫描 WSUS 的更改的详细信息,请参阅 2020 年 9 月更改以提高扫描 WSUS 的 Windows 设备的安全性。 为确保最佳安全协议到位,强烈建议使用 TLS/SSL 协议来帮助 保护软件更新基础结构。
有关如何配置客户端设置的信息,请参阅 如何配置客户端设置。
有关客户端设置的详细信息,请参阅 关于客户端设置。
软件更新的组策略设置
客户端计算机上的 Windows 更新 代理 (WUA) 使用特定的组策略设置连接到在软件更新点上运行的 WSUS。 这些组策略设置还用于成功扫描软件更新符合性,以及自动更新软件更新和 WUA。
指定 Intranet Microsoft更新服务位置本地策略
为站点创建软件更新点时,客户端会收到一个计算机策略,该策略提供软件更新点服务器名称,并在计算机上配置指定 Intranet Microsoft更新服务位置本地策略。 WUA 检索在 设置用于检测更新的 Intranet 更新服务 设置中指定的服务器名称,然后在扫描软件更新符合性时连接到此服务器。 为“指定 Intranet Microsoft更新服务位置”设置创建域策略时,它将覆盖本地策略,并且 WUA 可能会连接到软件更新点以外的服务器。 如果发生这种情况,客户端可能会根据不同的产品、分类和语言扫描软件更新符合性。 因此,不应为客户端计算机配置 Active Directory 策略。
允许来自 Intranet 的签名内容Microsoft更新服务位置组策略
必须先启用“允许来自 Intranet Microsoft更新服务位置组策略”设置,然后计算机上的 WUA 将扫描使用 System Center 汇报 Publisher 创建和发布的软件更新。 启用策略设置后,如果软件更新在本地计算机上的 受信任发布者 证书存储中签名,则 WUA 将接受通过 Intranet 位置接收的软件更新。 有关 汇报 Publisher 所需的组策略设置的详细信息,请参阅 汇报 Publisher 2011 文档库。
自动更新配置
自动汇报允许在客户端计算机上接收安全更新和其他重要下载。 自动汇报通过配置自动汇报组策略设置或通过本地计算机上的控制面板进行配置。 启用自动汇报后,客户端计算机将收到更新通知,并且根据配置的设置,客户端计算机将下载并安装所需的更新。 当自动汇报与软件更新共存时,每台客户端计算机可能会显示同一更新的通知图标和弹出显示通知。 此外,当需要重启时,每台客户端计算机可能会显示同一更新的重启对话框。
自我更新
在客户端计算机上启用自动汇报时,当较新版本可用或 WUA 组件出现问题时,WUA 会自动执行自我更新。 如果未配置或禁用自动汇报,并且客户端计算机具有早期版本的 WUA,则客户端计算机必须运行 WUA 安装文件。
软件更新属性
软件更新属性提供有关软件更新和相关内容的信息。 还可以使用这些属性来配置软件更新的设置。 打开多个软件更新的属性时,仅显示“ 最大运行时间 ”和“ 自定义严重性 ”选项卡。
使用以下过程打开软件更新属性。
打开软件更新属性
在Configuration Manager控制台中,单击“软件库”。
在“软件库”工作区中,展开“软件汇报”,然后单击“所有软件汇报”。
选择一个或多个软件更新,然后在“ 主页 ”选项卡上,单击 “属性” 组中的“ 属性 ”。
注意
在“所有软件汇报”节点上,Configuration Manager仅显示具有“严重”和“安全”分类且在过去 30 天内发布的软件更新。
查看软件更新信息
在软件更新属性中,可以查看有关软件更新的详细信息。 选择多个软件更新时,不会显示详细信息。 以下部分介绍可用于所选软件更新的信息。
软件更新详细信息
在“ 更新详细信息 ”选项卡中,可以查看有关所选软件更新的以下摘要信息:
- 公告 ID:指定与安全软件更新关联的公告 ID。 可以通过搜索Microsoft安全响应中心网页上的公告 ID 来查找安全公告详细信息。
注意
Microsoft文档安全更新的方式正在更改。 以前的模型使用安全公告网页,并包含安全公告 ID 号 (例如 MS16-XXX) 作为透视点。 这种形式的安全更新文档(包括公告 ID 号)即将停用,并替换为安全更新指南。 新指南重点介绍漏洞 ID 号和 KB 文章 ID 号,而不是公告 ID。 有关详细信息,请参阅 安全更新指南常见问题解答。
项目 ID:指定软件更新的文章 ID。 引用的文章提供了有关软件更新以及软件更新修复或改进的问题的更详细信息。
修订日期:指定上次修改软件更新的日期。
最大严重性分级:指定软件更新的供应商定义的严重性分级。
说明:概述软件更新修复或改进的条件。
适用语言:列出软件更新适用的语言。
受影响的产品:列出软件更新适用的产品。
内容信息
在“ 内容信息 ”选项卡中,查看有关与所选软件更新关联的内容的以下信息:
内容 ID:指定软件更新的内容 ID。
已下载:指示Configuration Manager是否已下载软件更新文件。
语言:指定软件更新的语言。
源路径:指定软件更新源文件的路径。
大小 (MB) :指定软件更新源文件的大小。
自定义捆绑包信息
在“ 自定义捆绑包信息 ”选项卡中,查看软件更新的自定义捆绑包信息。 当所选软件更新包含软件更新文件中包含的捆绑软件更新时,它们将显示在 捆绑包信息 部分中。 此选项卡不显示显示在“ 内容信息 ”选项卡中的捆绑软件更新,例如不同语言的更新文件。
取代信息
在“ 取代信息 ”选项卡上,可以查看有关取代软件更新的以下信息:
此更新已被以下更新取代:指定取代此更新的软件更新,这意味着列出的更新较新。 在大多数情况下,你将部署取代软件更新的软件更新之一。 列表中显示的软件更新包含指向提供软件更新详细信息的网页的超链接。 如果未取代此更新,则显示 “无 ”。
此更新取代以下更新:指定被此软件更新取代的软件更新,这意味着此软件更新较新。 在大多数情况下,你将部署此软件更新来替换被取代的软件更新。 列表中显示的软件更新包含指向提供软件更新详细信息的网页的超链接。 当此更新不取代任何其他更新时,将显示 “无 ”。
配置软件更新设置
在属性中,可以为一个或多个软件更新配置软件更新设置。 只能在管理中心站点或独立主站点上配置大多数软件更新设置。 以下部分将帮助你配置软件更新的设置。
设置最大运行时间
在“ 最大运行时间 ”选项卡中,设置在客户端计算机上分配软件更新完成的最长时间。 如果更新花费的时间超过最大运行时值,Configuration Manager会创建状态消息并停止软件更新安装。 只能在管理中心站点或独立主站点上配置此设置。
Configuration Manager还使用此设置确定是否在配置的维护时段内启动软件更新安装。 如果最大运行时值大于维护时段的可用剩余时间,软件更新安装将推迟到下一个维护时段的开始。 在配置维护时段 () 的客户端计算机上安装多个软件更新时,将首先安装最大运行时间最低的软件更新,然后安装具有下一个最短运行时间的软件更新,依此依此。 在安装每个软件更新之前,客户端会验证可用的维护时段是否将提供足够的时间来安装软件更新。 软件更新开始安装后,即使安装超出维护时段的结束时间,也会继续安装。 有关维护时段的详细信息,请参阅 如何使用维护时段。
在“ 最长运行时间 ”选项卡上,可以查看和配置以下设置:
- 最大运行时间:指定在Configuration Manager停止安装之前为软件更新安装分配的最大分钟数。 此设置还用于确定在维护时段结束前是否有足够的可用时间来安装更新。 Service Pack 的默认设置为 60 分钟。 对于其他软件更新类型,如果重新安装了 Configuration Manager 版本 1511 或更高版本,则默认值为 10 分钟,从以前的版本升级时为 5 分钟。 值的范围可以是 5 到 9999 分钟。
重要
请务必将最大运行时间值设置为小于配置的维护时段时间,或将维护时段时间增加到大于最大运行时间的值。 否则,软件更新安装将永远不会启动。
设置自定义严重性
在软件更新的属性中,可以使用“ 自定义严重性 ”选项卡为软件更新配置自定义严重性值。 如果预定义的严重性值不能满足你的需求,则可能需要这样做。 自定义值在Configuration Manager控制台的“自定义严重性”列中列出。 可以按定义的自定义严重性值对软件更新进行排序,还可以创建可对这些值进行筛选的查询和报表。 只能在管理中心站点或独立主站点上配置此设置。
可以在“ 自定义严重性 ”选项卡上配置以下设置。
- 自定义严重性:设置软件更新的自定义严重性值。 从列表中选择“严重”、“重要”、“中等”或“低”。 默认情况下,自定义严重性值为空。
软件更新的 CRL 检查
默认情况下,在Configuration Manager软件更新上验证签名时,不会检查证书吊销列表 (CRL) 。 每次使用证书时检查 CRL 可提高安全性,防止使用已吊销的证书,但会引入连接延迟,并在执行 CRL 检查的计算机上引发其他处理。
如果使用,则必须在处理软件更新的Configuration Manager主机上启用 CRL 检查。
启用 CRL 检查
在执行 CRL 检查的计算机上,从产品 DVD 从命令提示符运行以下命令: \SMSSETUP\BIN\X64\<language>\UpdDwnldCfg.exe /checkrevocation。
例如,对于英语 (US) 运行 \SMSSETUP\BIN\X64\00000409\UpdDwnldCfg.exe /checkrevocation