Verwalten von Einstellungen für Softwareupdates
Gilt für: Configuration Manager (Current Branch)
Nachdem Sie Softwareupdates in Configuration Manager synchronisiert haben, konfigurieren und überprüfen Sie die Einstellungen in den folgenden Abschnitten.
Clienteinstellungen für Softwareupdates
Nach der Installation des Softwareupdatepunkts sind Softwareupdates auf Clients standardmäßig aktiviert, und die Einstellungen auf der Seite Software Aktualisierungen in den Clienteinstellungen weisen Standardwerte auf. Die Clienteinstellungen werden standortweit verwendet und wirken sich darauf aus, wann Softwareupdates auf Konformität überprüft werden und wie und wann Softwareupdates auf Clientcomputern installiert werden. Überprüfen Sie vor dem Bereitstellen von Softwareupdates, ob die Clienteinstellungen für Softwareupdates an Ihrem Standort geeignet sind.
Wichtig
Die Einstellung Softwareupdates auf Clients aktivieren ist standardmäßig aktiviert. Wenn Sie diese Einstellung deaktivieren, entfernt Configuration Manager die vorhandenen Bereitstellungsrichtlinien vom Client.
Ab dem kumulativen Update vom September 2020 sind HTTP-basierte WSUS-Server standardmäßig sicher. Ein Client, der nach Updates für ein HTTP-basiertes WSUS sucht, darf einen Benutzerproxy standardmäßig nicht mehr nutzen. Wenn Sie trotz der Kompromisse bei der Sicherheit immer noch einen Benutzerproxy benötigen, ist eine neue Clienteinstellung für Softwareupdates verfügbar, um diese Verbindungen zuzulassen. Weitere Informationen zu den Änderungen für die Überprüfung von WSUS finden Sie unter Änderungen vom September 2020 zur Verbesserung der Sicherheit für Windows-Geräte, die WSUS überprüfen. Um sicherzustellen, dass die besten Sicherheitsprotokolle vorhanden sind, wird dringend empfohlen, das TLS/SSL-Protokoll zum Schutz Ihrer Softwareupdateinfrastruktur zu verwenden.
Informationen zum Konfigurieren von Clienteinstellungen finden Sie unter Konfigurieren von Clienteinstellungen.
Weitere Informationen zu den Clienteinstellungen finden Sie unter Informationen zu Clienteinstellungen.
Gruppenrichtlinieneinstellungen für Softwareupdates
Es gibt bestimmte Gruppenrichtlinieneinstellungen, die vom Windows Update-Agent (WUA) auf Clientcomputern verwendet werden, um eine Verbindung mit WSUS herzustellen, die auf dem Softwareupdatepunkt ausgeführt wird. Diese Gruppenrichtlinieneinstellungen werden auch verwendet, um erfolgreich nach Softwareupdatekonformität zu suchen und die Softwareupdates und die WUA automatisch zu aktualisieren.
Lokale Richtlinie für Intranet Microsoft Updatedienstspeicherort angeben
Wenn der Softwareupdatepunkt für einen Standort erstellt wird, erhalten Clients eine Computerrichtlinie, die den Namen des Softwareupdatepunktservers bereitstellt und die Lokale Richtlinie Intranet angeben Microsoft Lokalen Speicherort des Updatediensts auf dem Computer konfiguriert. Der WUA ruft den Servernamen ab, der in der Einstellung Festlegen des Intranetupdatediensts für die Erkennung von Updates angegeben ist, und stellt dann eine Verbindung mit diesem Server her, wenn die Kompatibilität von Softwareupdates überprüft wird. Wenn eine Domänenrichtlinie für die Einstellung Intranet Microsoft Updatedienstspeicherort angeben erstellt wird, überschreibt sie die lokale Richtlinie, und der WUA stellt möglicherweise eine Verbindung mit einem anderen Server als dem Softwareupdatepunkt her. In diesem Fall sucht der Client möglicherweise auf Softwareupdatekonformität basierend auf verschiedenen Produkten, Klassifizierungen und Sprachen. Daher sollten Sie die Active Directory-Richtlinie für Clientcomputer nicht konfigurieren.
Gruppenrichtlinie "Signierten Inhalt aus Intranet Microsoft Speicherort des Updatediensts zulassen"
Sie müssen die Einstellung Signierten Inhalt aus Intranet Microsoft Updatedienstspeicherort zulassen Gruppenrichtlinie aktivieren, damit wua auf Computern nach Softwareupdates sucht, die mit System Center Aktualisierungen Publisher erstellt und veröffentlicht wurden. Wenn die Richtlinieneinstellung aktiviert ist, akzeptiert WUA Softwareupdates, die über einen Intranetspeicherort empfangen werden, wenn die Softwareupdates im Zertifikatspeicher für vertrauenswürdige Herausgeber auf dem lokalen Computer angemeldet sind. Weitere Informationen zu den Gruppenrichtlinie Einstellungen, die für Aktualisierungen Publisher erforderlich sind, finden Sie unter Aktualisierungen Publisher 2011-Dokumentationsbibliothek.
Konfiguration für automatische Updates
Die automatische Aktualisierungen ermöglicht den Empfang von Sicherheitsupdates und anderen wichtigen Downloads auf Clientcomputern. Die automatische Aktualisierungen wird über die Einstellung Automatische Aktualisierungen konfigurieren Gruppenrichtlinie oder über die Systemsteuerung auf dem lokalen Computer konfiguriert. Wenn die automatische Aktualisierungen aktiviert ist, erhalten Clientcomputer Updatebenachrichtigungen, und abhängig von den konfigurierten Einstellungen laden die Clientcomputer die erforderlichen Updates herunter und installieren sie. Wenn die automatische Aktualisierungen zusammen mit Softwareupdates vorhanden ist, werden auf jedem Clientcomputer möglicherweise Benachrichtigungssymbole und Popupanzeigebenachrichtigungen für dasselbe Update angezeigt. Wenn ein Neustart erforderlich ist, zeigt jeder Clientcomputer möglicherweise ein Neustartdialogfeld für dasselbe Update an.
Selbstaktualisierung
Wenn die automatische Aktualisierungen auf Clientcomputern aktiviert ist, führt WUA automatisch ein Selbstupdate durch, wenn eine neuere Version verfügbar wird oder probleme mit einer WUA-Komponente auftreten. Wenn die automatische Aktualisierungen nicht konfiguriert oder deaktiviert ist und Clientcomputer über eine frühere Version des WUA verfügen, muss auf den Clientcomputern die WUA-Installationsdatei ausgeführt werden.
Eigenschaften von Softwareupdates
Die Softwareupdateeigenschaften enthalten Informationen zu Softwareupdates und zugehörigen Inhalten. Sie können diese Eigenschaften auch verwenden, um Einstellungen für Softwareupdates zu konfigurieren. Wenn Sie die Eigenschaften für mehrere Softwareupdates öffnen, werden nur die Registerkarten Maximale Laufzeit und Benutzerdefinierter Schweregrad angezeigt.
Gehen Sie wie folgt vor, um Softwareupdateeigenschaften zu öffnen.
So öffnen Sie Softwareupdateeigenschaften
Klicken Sie in der Configuration Manager-Konsole auf Softwarebibliothek.
Erweitern Sie im Arbeitsbereich Softwarebibliothek den Bereich Software Aktualisierungen, und klicken Sie auf Alle Software Aktualisierungen.
Wählen Sie mindestens ein Softwareupdate aus, und klicken Sie dann auf der Registerkarte Start in der Gruppe Eigenschaften auf Eigenschaften.
Hinweis
Auf dem Knoten Alle Software Aktualisierungen zeigt Configuration Manager nur die Softwareupdates an, die die Klassifizierungen Kritisch und Sicherheit aufweisen und in den letzten 30 Tagen veröffentlicht wurden.
Informationen zu Softwareupdates überprüfen
In den Eigenschaften von Softwareupdates können Sie ausführliche Informationen zu einem Softwareupdate anzeigen. Die detaillierten Informationen werden nicht angezeigt, wenn Sie mehrere Softwareupdates auswählen. In den folgenden Abschnitten werden die Informationen beschrieben, die für ein ausgewähltes Softwareupdate verfügbar sind.
Details zu Softwareupdates
Auf der Registerkarte Updatedetails können Sie die folgenden Zusammenfassungsinformationen zum ausgewählten Softwareupdate anzeigen:
- Bulletin-ID: Gibt die Bulletin-ID an, die Sicherheitsupdates zugeordnet ist. Sie können Die Details des Sicherheitsbulletins finden, indem Sie auf der Microsoft Security Response Center-Webseite nach der Bulletin-ID suchen.
Hinweis
Die Art und Weise, wie Microsoft Sicherheitsupdates dokumentiert, ändert sich. Das vorherige Modell verwendete Webseiten des Sicherheitsbulletins und enthielt Sicherheitsbulletin-ID-Nummern (z. B. MS16-XXX) als Pivotpunkt. Diese Form der Sicherheitsupdatedokumentation, einschließlich Bulletin-ID-Nummern, wird eingestellt und durch den Leitfaden für Sicherheitsupdates ersetzt. Anstelle von Bulletin-IDs wird in der neuen Anleitung auf Sicherheitsrisiko-ID-Nummern und KB-Artikel-ID-Nummern pivotiert. Weitere Informationen finden Sie in den häufig gestellten Fragen zum Sicherheitsupdatehandbuch.
Artikel-ID: Gibt die Artikel-ID für das Softwareupdate an. Der Artikel, auf den verwiesen wird, enthält ausführlichere Informationen zum Softwareupdate und zum Problem, das das Softwareupdate behebt oder verbessert.
Überarbeitungsdatum: Gibt das Datum an, an dem das Softwareupdate zuletzt geändert wurde.
Maximale Schweregradbewertung: Gibt den vom Hersteller definierten Schweregrad für das Softwareupdate an.
Beschreibung: Bietet einen Überblick darüber, welche Bedingung das Softwareupdate korrigiert oder verbessert.
Anwendbare Sprachen: Listet die Sprachen auf, für die das Softwareupdate gilt.
Betroffene Produkte: Listet die Produkte auf, für die das Softwareupdate gilt.
Inhaltsinformationen
Überprüfen Sie auf der Registerkarte Inhaltsinformationen die folgenden Informationen zu den Inhalten, die dem ausgewählten Softwareupdate zugeordnet sind:
Inhalts-ID: Gibt die Inhalts-ID für das Softwareupdate an.
Heruntergeladen: Gibt an, ob Configuration Manager die Softwareupdatedateien heruntergeladen hat.
Sprache: Gibt die Sprachen für das Softwareupdate an.
Quellpfad: Gibt den Pfad zu den Quelldateien für Softwareupdates an.
Größe (MB): Gibt die Größe der Quelldateien für Softwareupdates an.
Informationen zu benutzerdefinierten Bündeln
Überprüfen Sie auf der Registerkarte Informationen zu benutzerdefinierten Bündeln die Informationen zum benutzerdefinierten Bündel für das Softwareupdate. Wenn das ausgewählte Softwareupdate gebündelte Softwareupdates enthält, die in der Softwareupdatedatei enthalten sind, werden diese im Abschnitt Bündelinformationen angezeigt. Auf dieser Registerkarte werden keine gebündelten Softwareupdates angezeigt, die auf der Registerkarte Inhaltsinformationen angezeigt werden, z. B. Updatedateien für verschiedene Sprachen.
Ablösungsinformationen
Auf der Registerkarte Ablösungsinformationen können Sie die folgenden Informationen zur Ablösung des Softwareupdates anzeigen:
Dieses Update wurde durch die folgenden Updates ersetzt: Gibt die Softwareupdates an, die dieses Update ablösen, was bedeutet, dass die aufgeführten Updates neuer sind. In den meisten Fällen stellen Sie eines der Softwareupdates bereit, das das Softwareupdate ersetzt. Die in der Liste angezeigten Softwareupdates enthalten Links zu Webseiten, die weitere Informationen zu den Softwareupdates enthalten. Wenn dieses Update nicht abgelöst wird, wird Keine angezeigt.
Dieses Update ersetzt die folgenden Updates: Gibt die Softwareupdates an, die durch dieses Softwareupdate abgelöst werden, was bedeutet, dass dieses Softwareupdate neuer ist. In den meisten Fällen stellen Sie dieses Softwareupdate bereit, um die abgelösten Softwareupdates zu ersetzen. Die in der Liste angezeigten Softwareupdates enthalten Links zu Webseiten, die weitere Informationen zu den Softwareupdates enthalten. Wenn dieses Update kein anderes Update ersetzt, wird Keine angezeigt.
Konfigurieren der Einstellungen für Softwareupdates
In den Eigenschaften können Sie Softwareupdateeinstellungen für ein oder mehrere Softwareupdates konfigurieren. Sie können die meisten Softwareupdateeinstellungen nur am Standort der zentralen Verwaltung oder am eigenständigen primären Standort konfigurieren. Die folgenden Abschnitte helfen Ihnen beim Konfigurieren von Einstellungen für Softwareupdates.
Festlegen der maximalen Laufzeit
Legen Sie auf der Registerkarte Maximale Laufzeit den maximalen Zeitraum fest, für den ein Softwareupdate auf Clientcomputern abgeschlossen werden soll. Wenn das Update länger dauert als der maximale Laufzeitwert, erstellt Configuration Manager eine Statusmeldung und beendet die Installation von Softwareupdates. Sie können diese Einstellung nur am Standort der zentralen Verwaltung oder an einem eigenständigen primären Standort konfigurieren.
Configuration Manager verwendet diese Einstellung auch, um zu bestimmen, ob die Installation von Softwareupdates innerhalb eines konfigurierten Wartungsfensters initiiert werden soll. Wenn der maximale Laufzeitwert größer als die verfügbare verbleibende Zeit im Wartungsfenster ist, wird die Installation von Softwareupdates bis zum Beginn des nächsten Wartungsfensters verschoben. Wenn mehrere Softwareupdates auf einem Clientcomputer mit einem konfigurierten Wartungsfenster (Zeitrahmen) installiert werden müssen, wird zuerst das Softwareupdate mit der niedrigsten maximalen Laufzeit installiert, dann wird als Nächstes das Softwareupdate mit der nächstniedrigsten maximalen Laufzeit installiert usw. Vor der Installation jedes Softwareupdates überprüft der Client, ob das verfügbare Wartungsfenster genügend Zeit für die Installation des Softwareupdates bietet. Nachdem die Installation eines Softwareupdates gestartet wurde, wird es auch dann weiterhin installiert, wenn die Installation über das Ende des Wartungsfensters hinausgeht. Weitere Informationen zu Wartungsfenstern finden Sie unter Verwenden von Wartungsfenstern.
Auf der Registerkarte Maximale Laufzeit können Sie die folgenden Einstellungen anzeigen und konfigurieren:
- Maximale Laufzeit: Gibt die maximale Anzahl von Minuten an, die für eine Softwareupdateinstallation vorgesehen ist, bevor die Installation von Configuration Manager beendet wird. Diese Einstellung wird auch verwendet, um zu bestimmen, ob vor dem Ende eines Wartungsfensters genügend Zeit zur Verfügung steht, um das Update zu installieren. Die Standardeinstellung für Service Packs beträgt 60 Minuten. Bei anderen Softwareupdatetypen beträgt die Standardeinstellung 10 Minuten, wenn Sie Configuration Manager Version 1511 oder höher neu installiert haben, und fünf Minuten, wenn Sie ein Upgrade von einer früheren Version durchgeführt haben. Die Werte können zwischen 5 und 9999 Minuten liegen.
Wichtig
Achten Sie darauf, den maximalen Laufzeitwert kleiner als die konfigurierte Wartungsfensterzeit festzulegen, oder erhöhen Sie die Zeit des Wartungsfensters auf einen Wert, der größer als die maximale Laufzeit ist. Andernfalls wird die Installation von Softwareupdates nie initiiert.
Festlegen des benutzerdefinierten Schweregrads
In den Eigenschaften für ein Softwareupdate können Sie die Registerkarte Benutzerdefinierter Schweregrad verwenden, um benutzerdefinierte Schweregradwerte für die Softwareupdates zu konfigurieren. Dies kann erforderlich sein, wenn die vordefinierten Schweregradwerte Nicht Ihren Anforderungen entsprechen. Die benutzerdefinierten Werte werden in der Configuration Manager-Konsole in der Spalte Benutzerdefinierter Schweregrad aufgeführt. Sie können die Softwareupdates nach den definierten benutzerdefinierten Schweregradwerten sortieren und auch Abfragen und Berichte erstellen, die nach diesen Werten filtern können. Sie können diese Einstellung nur am Standort der zentralen Verwaltung oder am eigenständigen primären Standort konfigurieren.
Sie können die folgenden Einstellungen auf der Registerkarte Benutzerdefinierter Schweregrad konfigurieren.
- Benutzerdefinierter Schweregrad: Legt einen benutzerdefinierten Schweregrad für die Softwareupdates fest. Wählen Sie in der Liste Kritisch, Wichtig, Mittel oder Niedrig aus. Standardmäßig ist der benutzerdefinierte Schweregradwert leer.
CRL-Überprüfung auf Softwareupdates
Standardmäßig wird die Zertifikatsperrliste (Certificate Revocation List, CRL) beim Überprüfen der Signatur auf Configuration Manager Softwareupdates nicht überprüft. Die Überprüfung der Zertifikatsperrliste bei jeder Verwendung eines Zertifikats bietet mehr Sicherheit bei der Verwendung eines gesperrten Zertifikats, führt jedoch zu einer Verbindungsverzögerung und führt zu einer zusätzlichen Verarbeitung auf dem Computer, der die Zertifikatsperrlistenprüfung durchführt.
Bei Verwendung muss die Zertifikatsperrlistenüberprüfung auf den Configuration Manager Konsolen aktiviert sein, die Softwareupdates verarbeiten.
So aktivieren Sie die CRL-Überprüfung
Führen Sie auf dem Computer, auf dem die Zertifikatsperrlistenprüfung ausgeführt wird, von der Produkt-DVD aus an einer Eingabeaufforderung Folgendes aus: \SMSSETUP\BIN\X64\<language>\UpdDwnldCfg.exe /checkrevocation.
Führen Sie beispielsweise für Englisch (USA) \SMSSETUP\BIN\X64\00000409\UpdDwnldCfg.exe /checkrevocation aus.