적용 대상: Configuration Manager(현재 분기)
Configuration Manager 소프트웨어 업데이트를 동기화한 후 다음 섹션에서 설정을 구성하고 확인합니다.
소프트웨어 업데이트에 대한 클라이언트 설정
소프트웨어 업데이트 지점을 설치하면 기본적으로 클라이언트에서 소프트웨어 업데이트가 사용하도록 설정됩니다. 클라이언트 설정의 소프트웨어 업데이트 페이지의 설정에는 기본값이 있습니다. 클라이언트 설정은 사이트 전체에서 사용됩니다. 소프트웨어 업데이트가 규정 준수를 검사하는 시기와 클라이언트 컴퓨터에 소프트웨어 업데이트가 설치될 때 & 방법에 영향을 줍니다. 소프트웨어 업데이트를 배포하기 전에 클라이언트 설정이 사이트의 소프트웨어 업데이트에 적합한지 확인합니다.
중요
- 클라이언트에서 소프트웨어 업데이트 사용 설정은 기본적으로 사용하도록 설정됩니다. 이 설정을 지우면 Configuration Manager 특정 조건에서 클라이언트에서 기존 배포 정책을 제거합니다.
- 2020년 9월 누적 업데이트부터는 기본적으로 WSUS(HTTP 기반 Windows Server Update Services) 서버가 안전합니다. HTTP 기반 WSUS에 대한 업데이트를 검색하는 클라이언트는 기본적으로 사용자 프록시를 활용할 수 없습니다. 보안 장차에도 불구하고 사용자 프록시가 여전히 필요한 경우 이러한 연결을 허용하기 위해 새 소프트웨어 업데이트 클라이언트 설정을 사용할 수 있습니다. WSUS 검사에 대한 변경 내용에 대한 자세한 내용은 WSUS를 검사하는 Windows 디바이스의 보안 향상을 위한 2020년 9월 변경 내용을 참조하세요. 따라서 최상의 보안 프로토콜이 마련되어 있으므로 소프트웨어 업데이트 인프라를 보호하기 위해 TLS/SSL 프로토콜을 사용하는 것이 좋습니다.
클라이언트 설정을 구성하는 방법에 대한 자세한 내용은 클라이언트 설정을 구성하는 방법을 참조하세요.
클라이언트 설정에 대한 자세한 내용은 클라이언트 설정 정보를 참조하세요.
소프트웨어 업데이트 모범 사례
충돌하는 구성
Configuration Manager 클라이언트는 소프트웨어 업데이트 워크플로를 제어하고 업데이트 준수를 검사하도록 로컬 그룹 정책을 설정합니다. Windows 업데이트 GPO(도메인 그룹 정책 개체)를 사용하는 경우 클라이언트에서 사용하는 동일한 설정을 재정의합니다. 클라이언트는 설정을 변경하는 다른 플랫폼 없이 특정 레지스트리 값이 그대로 유지될 것으로 예상합니다. 도메인 GPO의 설정이 동일한 것으로 인식되더라도 구성 요소가 오류 상태로 전환될 수 있습니다.
예를 들어 도메인 그룹 정책이 WSUS 서버를 설정하는 경우 Configuration Manager 설정을 구성하거나 액세스할 수 없으며 제대로 작동하지 않을 수 있습니다. 이 동작으로 인해 클라이언트에서 검사 실패가 발생하며 규정 준수를 사이트에 다시 보고하는 문제가 발생합니다.
이전 배포 및 소프트웨어 업데이트 그룹 제거
사이트 성능을 최적화하고 규정 준수 정확도를 향상시키려면 이전 배포 및 소프트웨어 업데이트 그룹을 제거합니다. 업데이트는 누적되므로 이전 업데이트를 배포된 상태로 유지할 필요가 없습니다. 이전 배포를 유지하면 환경에 부정적인 영향을 줍니다.
소프트웨어 업데이트 속성에서 불필요한 제품 & 범주 제거
너무 많은 제품 & 범주를 선택하면 성능이 저하될 수 있습니다. 디바이스는 배포 여부에 관계없이 SUSDB의 모든 업데이트를 검사해야 합니다. 따라서 관련성이 있고 필요한 제품만 선택합니다.
목록에 표시된 많은 제품 및 범주는 WSUS에만 해당합니다. Configuration Manager 배포할 수 없습니다. 따라서 이러한 항목을 선택하지 마세요. 예를 들면 다음과 같습니다.
- 동적 업데이트
- 서비스 드라이버
- Silverlight
- Windows 7, Windows 8 등과 같이 더 이상 지원되지 않는 레거시 운영 체제
- '롤업' 범주, '기능 팩' 범주, '서비스 팩' 범주 등
소프트웨어 업데이트 검사 주기 및 배포 주기
검사 주기 또는 배포 주기 클라이언트 설정이 기본값인 7일당 1회 미만인 경우 과도한 검사로 인해 성능에 부정적인 영향을 미칠 수 있습니다. 일반적으로 일주일에 한 번 이상 스캔할 필요는 없습니다. 디바이스에는 배포를 받을 때 업데이트를 검색하는 기본 제공 메커니즘이 이미 있습니다.
자체 업데이트
클라이언트 컴퓨터에서 자동 업데이트 사용하도록 설정되면 최신 버전을 사용할 수 있게 되거나 WUA 구성 요소에 문제가 있는 경우 WUA(Windows 업데이트 에이전트)가 자동으로 자체 업데이트를 수행합니다. 자동 업데이트 구성되지 않았거나 사용하지 않도록 설정되어 있고 클라이언트 컴퓨터에 이전 버전의 WUA가 있는 경우 클라이언트 컴퓨터는 WUA 설치 파일을 실행해야 합니다.
소프트웨어 업데이트 속성
소프트웨어 업데이트 속성은 소프트웨어 업데이트 및 관련 콘텐츠에 대한 정보를 제공합니다. 이러한 속성을 사용하여 소프트웨어 업데이트에 대한 설정을 구성할 수도 있습니다. 여러 소프트웨어 업데이트에 대한 속성을 열면 최대 런타임 및 사용자 지정 심각도 탭만 표시됩니다.
소프트웨어 업데이트 속성을 열려면 다음 절차를 따르세요.
소프트웨어 업데이트 속성을 열려면
Configuration Manager 콘솔에서 소프트웨어 라이브러리를 클릭합니다.
소프트웨어 라이브러리 작업 영역에서 소프트웨어 업데이트 확장하고 모든 소프트웨어 업데이트 클릭합니다.
하나 이상의 소프트웨어 업데이트를 선택한 다음 홈 탭에서 속성 그룹의 속성을 클릭합니다.
참고
모든 소프트웨어 업데이트 노드에서 Configuration Manager 중요 및 보안 분류가 있고 지난 30일 동안 릴리스된 소프트웨어 업데이트만 표시합니다.
소프트웨어 업데이트 정보 검토
소프트웨어 업데이트 속성에서 소프트웨어 업데이트에 대한 자세한 정보를 검토할 수 있습니다. 소프트웨어 업데이트를 둘 이상 선택하면 자세한 정보가 표시되지 않습니다. 다음 섹션에서는 선택한 소프트웨어 업데이트에 사용할 수 있는 정보를 설명합니다.
소프트웨어 업데이트 세부 정보
업데이트 세부 정보 탭에서 선택한 소프트웨어 업데이트에 대한 다음 요약 정보를 볼 수 있습니다.
- 공지 ID: 보안 소프트웨어 업데이트와 연결된 공지 ID를 지정합니다. Microsoft 보안 대응 센터 웹 페이지에서 공지 ID를 검색하여 보안 공지 세부 정보를 찾을 수 있습니다.
참고
Microsoft에서 보안 업데이트를 문서화하는 방식이 변경되고 있습니다. 이전 모델은 보안 공지 웹 페이지를 사용했으며 보안 공지 ID 번호(예: MS16-XXX)를 피벗 지점으로 포함했습니다. 이 형식의 보안 업데이트 설명서(공지 ID 번호 포함)는 사용 중지되고 보안 업데이트 가이드로 대체됩니다. 새 가이드는 공지 ID 대신 취약성 ID 번호 및 KB 문서 ID 번호를 피벗합니다. 자세한 내용은 보안 업데이트 가이드 FAQ를 참조하세요.
문서 ID: 소프트웨어 업데이트에 대한 아티클 ID를 지정합니다. 참조된 문서에서는 소프트웨어 업데이트 및 소프트웨어 업데이트가 수정하거나 개선하는 문제에 대한 자세한 정보를 제공합니다.
수정 날짜: 소프트웨어 업데이트가 마지막으로 수정된 날짜를 지정합니다.
최대 심각도 등급: 소프트웨어 업데이트에 대한 공급업체 정의 심각도 등급을 지정합니다.
설명: 소프트웨어 업데이트가 수정하거나 개선하는 조건에 대한 개요를 제공합니다.
해당 언어: 소프트웨어 업데이트가 적용되는 언어를 나열합니다.
영향을 받는 제품: 소프트웨어 업데이트가 적용되는 제품을 나열합니다.
콘텐츠 정보
콘텐츠 정보 탭에서 선택한 소프트웨어 업데이트와 연결된 콘텐츠에 대한 다음 정보를 검토합니다.
콘텐츠 ID: 소프트웨어 업데이트의 콘텐츠 ID를 지정합니다.
다운로드됨: Configuration Manager 소프트웨어 업데이트 파일을 다운로드했는지 여부를 나타냅니다.
언어: 소프트웨어 업데이트에 대한 언어를 지정합니다.
원본 경로: 소프트웨어 업데이트 원본 파일의 경로를 지정합니다.
크기(MB): 소프트웨어 업데이트 원본 파일의 크기를 지정합니다.
사용자 지정 번들 정보
사용자 지정 번들 정보 탭에서 소프트웨어 업데이트에 대한 사용자 지정 번들 정보를 검토합니다. 선택한 소프트웨어 업데이트에 소프트웨어 업데이트 파일에 포함된 번들 소프트웨어 업데이트가 포함되어 있으면 번들 정보 섹션에 표시됩니다. 이 탭에는 콘텐츠 정보 탭에 표시되는 번들 소프트웨어 업데이트(예: 다른 언어에 대한 업데이트 파일)가 표시되지 않습니다.
대체 정보
대체 정보 탭에서 소프트웨어 업데이트의 대체에 대한 다음 정보를 볼 수 있습니다.
이 업데이트는 다음 업데이트로 대체되었습니다. 이 업데이트를 대체하는 소프트웨어 업데이트를 지정합니다. 즉, 나열된 업데이트가 최신 업데이트임을 의미합니다. 대부분의 경우 소프트웨어 업데이트를 대체하는 소프트웨어 업데이트 중 하나를 배포합니다. 목록에 표시되는 소프트웨어 업데이트에는 소프트웨어 업데이트에 대한 자세한 정보를 제공하는 웹 페이지에 대한 하이퍼링크가 포함되어 있습니다. 이 업데이트가 대체되지 않으면 없음 이 표시됩니다.
이 업데이트는 다음 업데이트를 대체합니다. 이 소프트웨어 업데이트로 대체되는 소프트웨어 업데이트를 지정합니다. 즉, 이 소프트웨어 업데이트가 최신 업데이트임을 의미합니다. 대부분의 경우 이 소프트웨어 업데이트를 배포하여 대체된 소프트웨어 업데이트를 대체합니다. 목록에 표시되는 소프트웨어 업데이트에는 소프트웨어 업데이트에 대한 자세한 정보를 제공하는 웹 페이지에 대한 하이퍼링크가 포함되어 있습니다. 이 업데이트가 다른 업데이트를 대체하지 않으면 없음 이 표시됩니다.
소프트웨어 업데이트 설정 구성
속성에서 하나 이상의 소프트웨어 업데이트에 대한 소프트웨어 업데이트 설정을 구성할 수 있습니다. 대부분의 소프트웨어 업데이트 설정은 중앙 관리 사이트 또는 독립 실행형 기본 사이트에서만 구성할 수 있습니다. 다음 섹션에서는 소프트웨어 업데이트에 대한 설정을 구성하는 데 도움이 됩니다.
최대 런타임 설정
최대 런타임 탭에서 클라이언트 컴퓨터에서 소프트웨어 업데이트를 완료하도록 할당된 최대 시간을 설정합니다. 업데이트가 최대 런타임 값보다 오래 걸리는 경우 Configuration Manager 상태 메시지를 만들고 소프트웨어 업데이트 설치를 중지합니다. 중앙 관리 사이트 또는 독립 실행형 기본 사이트에서만 이 설정을 구성할 수 있습니다.
또한 Configuration Manager 이 설정을 사용하여 구성된 유지 관리 기간 내에 소프트웨어 업데이트 설치를 시작할지 여부를 결정합니다. 최대 런타임 값이 유지 관리 기간의 사용 가능한 남은 시간보다 큰 경우 소프트웨어 업데이트 설치는 다음 유지 관리 기간이 시작될 때까지 연기됩니다. 구성된 유지 관리 기간(기간)이 있는 클라이언트 컴퓨터에 여러 소프트웨어 업데이트를 설치할 경우 가장 낮은 최대 런타임을 가진 소프트웨어 업데이트가 먼저 설치됩니다. 그런 다음, 다음으로 가장 낮은 최대 런타임으로 소프트웨어 업데이트가 다음으로 설치됩니다. 각 소프트웨어 업데이트를 설치하기 전에 클라이언트는 사용 가능한 유지 관리 기간이 소프트웨어 업데이트를 설치하기에 충분한 시간을 제공하는지 확인합니다. 소프트웨어 업데이트가 설치를 시작한 후 설치가 유지 관리 기간이 종료된 후에도 계속 설치됩니다. 유지 관리 기간에 대한 자세한 내용은 유지 관리 기간을 사용하는 방법을 참조하세요.
최대 런타임 탭에서 다음 설정을 보고 구성할 수 있습니다.
- 최대 런타임: Configuration Manager 설치를 중지하기 전에 소프트웨어 업데이트 설치가 완료될 때까지 할당된 최대 시간(분)을 지정합니다. 이 설정은 유지 관리 기간이 끝나기 전에 업데이트를 설치할 수 있는 충분한 시간이 남아 있는지 여부도 결정합니다. 서비스 팩의 경우 기본 설정은 60분입니다. 다른 소프트웨어 업데이트 유형의 경우 Configuration Manager 버전 1511 이상을 새로 설치한 경우 기본값은 10분입니다. 이전 버전에서 업그레이드한 경우 5분입니다. 값의 범위는 5분에서 9999분까지입니다.
중요
구성된 유지 관리 기간 시간보다 작은 최대 런타임 값을 설정해야 합니다. 또는 유지 관리 기간 시간을 최대 런타임보다 큰 값으로 늘립니다. 그렇지 않으면 소프트웨어 업데이트 설치가 시작되지 않습니다.
사용자 지정 심각도 설정
소프트웨어 업데이트의 속성에서 사용자 지정 심각도 탭을 사용하여 소프트웨어 업데이트에 대한 사용자 지정 심각도 값을 구성할 수 있습니다. 미리 정의된 심각도 값이 요구 사항을 충족하지 않는 경우 이 기능이 필요할 수 있습니다. 사용자 지정 값은 Configuration Manager 콘솔의 사용자 지정 심각도 열에 나열됩니다. 정의된 사용자 지정 심각도 값을 기준으로 소프트웨어 업데이트를 정렬할 수 있으며 이러한 값을 필터링할 수 있는 보고서를 & 쿼리를 만들 수도 있습니다. 중앙 관리 사이트 또는 독립 실행형 기본 사이트에서만 이 설정을 구성할 수 있습니다.
사용자 지정 심각도 탭에서 다음 설정을 구성할 수 있습니다.
- 사용자 지정 심각도: 소프트웨어 업데이트에 대한 사용자 지정 심각도 값을 설정합니다. 목록에서 위험, 중요, 보통 또는 낮음 을 선택합니다. 기본적으로 사용자 지정 심각도 값은 비어 있습니다.
소프트웨어 업데이트에 대한 CRL 확인
기본적으로 CRL(인증서 해지 목록)은 Configuration Manager 소프트웨어 업데이트에서 서명을 확인할 때 확인되지 않습니다. 인증서를 사용할 때마다 CRL을 확인하면 해지된 인증서를 사용하지 않도록 보안을 강화합니다. 그러나 연결 지연이 발생하고 CRL 검사 수행하는 컴퓨터에서 추가 처리가 발생합니다.
사용하는 경우 소프트웨어 업데이트를 처리하는 Configuration Manager 콘솔에서 CRL 검사를 사용하도록 설정해야 합니다.
CRL 검사를 사용하도록 설정하려면
CRL 검사 수행하는 컴퓨터의 제품 DVD에서 명령 프롬프트에서 다음 명령을 실행합니다.
\SMSSETUP\BIN\X64\\**<*language*>**\UpdDwnldCfg.exe /checkrevocation
예를 들어 영어(미국)의 경우 를 실행합니다 \SMSSETUP\BIN\X64\00000409\UpdDwnldCfg.exe /checkrevocation.