适用于: Configuration Manager(current branch)
在 Configuration Manager 中同步软件更新后,配置并验证以下部分中的设置。
软件更新的客户端设置
安装软件更新点后,默认情况下会在客户端上启用软件更新。 客户端设置中的“软件汇报”页上的设置具有默认值。 客户端设置在站点范围内使用。 它们会影响何时扫描软件更新以符合性,以及客户端计算机上安装软件更新时的 & 方式。 在部署软件更新之前,请验证客户端设置是否适用于站点上的软件更新。
重要
- 默认情况下启用 “在客户端上启用软件更新 ”设置。 如果清除此设置,Configuration Manager在某些情况下从客户端中删除现有部署策略。
- 从 2020 年 9 月累积更新开始,基于 HTTP Windows Server Update Services (WSUS) 服务器默认是安全的。 默认情况下,不允许客户端针对基于 HTTP 的 WSUS 扫描更新,以利用用户代理。 如果尽管存在安全权衡,但仍需要用户代理,可以使用新的 软件更新客户端设置 来允许这些连接。 有关扫描 WSUS 的更改的详细信息,请参阅 2020 年 9 月更改以提高扫描 WSUS 的 Windows 设备的安全性。 因此,最佳安全协议已到位,Microsoft建议使用 TLS/SSL 协议来帮助 保护软件更新基础结构。
有关如何配置客户端设置的信息,请参阅 如何配置客户端设置。
有关客户端设置的详细信息,请参阅 关于客户端设置。
软件汇报最佳做法
冲突的配置
Configuration Manager客户端设置本地组策略,以控制软件更新工作流并扫描更新符合性。 当域组策略对象 (GPO) 用于 Windows 汇报时,它会替代客户端使用的等效设置。 客户端希望特定注册表值保持不变,而无需任何其他平台更改设置。 域 GPO 的 可能会导致组件进入错误状态,即使设置被视为相同也是如此。
例如,如果域组策略设置 WSUS 服务器,Configuration Manager无法配置或访问该设置,并且可能无法正常运行。 此行为会导致客户端出现扫描失败,并向站点报告合规性问题。
删除较旧的部署和软件更新组
若要优化站点性能并提高合规性准确性,请删除较旧的部署和软件更新组。 由于更新是累积更新,因此无需保留部署较旧的更新。 保留旧部署会对环境产生负面影响。
在软件更新属性中删除任何不必要的产品 & 类别
选择太多产品 & 类别进行同步可能会导致性能下降。 请记住,无论是否已部署,设备必须扫描 SUSDB 中的每个更新。 因此,仅选择相关和必要的产品。
列表中显示的许多产品和类别仅适用于 WSUS。 Configuration Manager无法部署它们。 因此,请不要选择这些项目。 例如:
- 动态汇报
- 维护驱动程序
- Silverlight
- 不再受支持的旧作系统,例如 Windows 7、Windows 8等。
- “汇总”类别、“功能包”类别、“Service Packs”类别等。
软件汇报扫描周期和部署周期
当扫描周期或部署周期客户端设置小于每 7 天默认的一次时,可能会因为过度扫描而产生负面的性能影响。 通常,不需要每周扫描多次。 设备已具有内置机制,可在接收部署时扫描更新。
自我更新
在客户端计算机上启用自动汇报时,当较新版本可用或 WUA 组件出现问题时,Windows 更新代理 (WUA) 会自动执行自我更新。 如果未配置或禁用自动汇报,并且客户端计算机具有早期版本的 WUA,则客户端计算机必须运行 WUA 安装文件。
软件更新属性
软件更新属性提供有关软件更新和相关内容的信息。 还可以使用这些属性来配置软件更新的设置。 打开多个软件更新的属性时,仅显示“ 最大运行时间 ”和“ 自定义严重性 ”选项卡。
使用以下过程打开软件更新属性。
打开软件更新属性
在Configuration Manager控制台中,单击“软件库”。
在“软件库”工作区中,展开“软件汇报”,然后单击“所有软件汇报”。
选择一个或多个软件更新,然后在“ 主页 ”选项卡上,单击 “属性” 组中的“ 属性 ”。
注意
在“所有软件汇报”节点上,Configuration Manager仅显示具有“严重”和“安全”分类且在过去 30 天内发布的软件更新。
查看软件更新信息
在软件更新属性中,可以查看有关软件更新的详细信息。 选择多个软件更新时,不会显示详细信息。 以下部分介绍可用于所选软件更新的信息。
软件更新详细信息
在“ 更新详细信息 ”选项卡中,可以查看有关所选软件更新的以下摘要信息:
- 公告 ID:指定与安全软件更新关联的公告 ID。 可以通过搜索Microsoft安全响应中心网页上的公告 ID 来查找 安全公告 详细信息。
注意
Microsoft文档安全更新的方式正在发生变化。 以前的模型使用安全公告网页,并包含安全公告 ID 号 (例如 MS16-XXX) 作为透视点。 这种形式的安全更新文档(包括公告 ID 号)即将停用,并替换为安全更新指南。 新指南重点介绍漏洞 ID 号和 KB 文章 ID 号,而不是公告 ID。 有关详细信息,请参阅 安全更新指南常见问题解答。
项目 ID:指定软件更新的文章 ID。 引用的文章提供了有关软件更新以及软件更新修复或改进的问题的更详细信息。
修订日期:指定上次修改软件更新的日期。
最大严重性分级:指定软件更新的供应商定义的严重性分级。
说明:概述软件更新修复或改进的条件。
适用语言:列出软件更新适用的语言。
受影响的产品:列出软件更新适用的产品。
内容信息
在“ 内容信息 ”选项卡中,查看有关与所选软件更新关联的内容的以下信息:
内容 ID:指定软件更新的内容 ID。
已下载:指示Configuration Manager是否已下载软件更新文件。
语言:指定软件更新的语言。
源路径:指定软件更新源文件的路径。
大小 (MB) :指定软件更新源文件的大小。
自定义捆绑包信息
在“ 自定义捆绑包信息 ”选项卡中,查看软件更新的自定义捆绑包信息。 当所选软件更新包含软件更新文件中包含的捆绑软件更新时,它们将显示在 捆绑包信息 部分中。 此选项卡不显示“ 内容信息 ”选项卡中显示的捆绑软件更新,例如不同语言的更新文件。
取代信息
在“ 取代信息 ”选项卡上,可以查看有关取代软件更新的以下信息:
此更新已被以下更新取代:指定取代此更新的软件更新,这意味着列出的更新较新。 在大多数情况下,部署取代软件更新的软件更新之一。 列表中显示的软件更新包含指向提供软件更新详细信息的网页的超链接。 如果未取代此更新,则显示 “无 ”。
此更新取代以下更新:指定被此软件更新取代的软件更新,这意味着此软件更新较新。 在大多数情况下,部署此软件更新来替换被取代的软件更新。 列表中显示的软件更新包含指向提供软件更新详细信息的网页的超链接。 当此更新未取代任何其他更新时,将显示 “无 ”。
配置软件更新设置
在属性中,可以为一个或多个软件更新配置软件更新设置。 只能在管理中心站点或独立主站点上配置大多数软件更新设置。 以下部分可帮助你配置软件更新的设置。
设置最大运行时间
在“ 最大运行时间 ”选项卡中,设置在客户端计算机上分配软件更新完成的最长时间。 如果更新花费的时间超过最大运行时值,Configuration Manager会创建状态消息并停止软件更新安装。 只能在管理中心站点或独立主站点上配置此设置。
Configuration Manager还使用此设置确定是否在配置的维护时段内启动软件更新安装。 如果最大运行时值大于维护时段的可用剩余时间,则软件更新安装将推迟到下一个维护时段的开始。 如果客户端计算机上安装了多个软件更新,其维护时段 (时间范围) ,则首先安装最大运行时间最短的软件更新。 然后,将安装具有下一个最短最大运行时间的软件更新,依此进行。 在安装每个软件更新之前,客户端会验证可用的维护时段是否提供了足够的时间来安装软件更新。 软件更新开始安装后,它将继续安装,即使安装超出维护时段的结束时间。 有关维护时段的详细信息,请参阅 如何使用维护时段。
在“ 最长运行时间 ”选项卡上,可以查看和配置以下设置:
- 最大运行时间:指定在Configuration Manager停止安装之前为软件更新安装分配的最大分钟数。 此设置还确定在维护时段结束前是否有足够的可用时间来安装更新。 对于 Service Pack,默认设置为 60 分钟。 对于其他软件更新类型,如果重新安装了 Configuration Manager 版本 1511 或更高版本,则默认值为 10 分钟。 从以前的版本升级时,需要 5 分钟。 值的范围可以是 5 到 9999 分钟。
重要
请确保将最大运行时间值设置为小于配置的维护时段时间。 或者,将维护时段时间增加到大于最大运行时间的值。 否则,软件更新安装不会启动。
设置自定义严重性
在软件更新的属性中,可以使用“ 自定义严重性 ”选项卡为软件更新配置自定义严重性值。 如果预定义的严重性值不能满足你的需求,则此功能可能是必需的。 自定义值在Configuration Manager控制台的“自定义严重性”列中列出。 可以按定义的自定义严重性值对软件更新进行排序,还可以创建查询 & 报表来筛选这些值。 只能在管理中心站点或独立主站点上配置此设置。
可以在“ 自定义严重性 ”选项卡上配置以下设置。
- 自定义严重性:设置软件更新的自定义严重性值。 从列表中选择“严重”、“重要”、“中等”或“低”。 默认情况下,自定义严重性值为空。
软件更新的 CRL 检查
默认情况下,验证Configuration Manager软件更新的签名时,不会检查证书吊销列表 (CRL) 。 每次使用证书时检查 CRL 可以针对使用已吊销的证书提供更高的安全性。 但是,它会引入连接延迟,并在执行 CRL 检查的计算机上引发额外的处理。
如果使用,则必须在处理软件更新的Configuration Manager主机上启用 CRL 检查。
启用 CRL 检查
在执行 CRL 检查的计算机上,从产品 DVD 从命令提示符运行以下命令:
\SMSSETUP\BIN\X64\\**<*language*>**\UpdDwnldCfg.exe /checkrevocation
例如,对于英语 (US) 运行 \SMSSETUP\BIN\X64\00000409\UpdDwnldCfg.exe /checkrevocation。