Zarządzanie ustawieniami aktualizacji oprogramowania
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Po zsynchronizowania aktualizacji oprogramowania w Configuration Manager skonfiguruj i sprawdź ustawienia w poniższych sekcjach.
Ustawienia klienta aktualizacji oprogramowania
Po zainstalowaniu punktu aktualizacji oprogramowania aktualizacje oprogramowania są domyślnie włączone na klientach, a ustawienia na stronie Aktualizacje oprogramowania w ustawieniach klienta mają wartości domyślne. Ustawienia klienta są używane w całej lokacji i mają wpływ na to, kiedy aktualizacje oprogramowania są skanowane pod kątem zgodności oraz jak i kiedy aktualizacje oprogramowania są instalowane na komputerach klienckich. Przed wdrożeniem aktualizacji oprogramowania sprawdź, czy ustawienia klienta są odpowiednie dla aktualizacji oprogramowania w danej lokacji.
Ważna
Ustawienie Włącz aktualizacje oprogramowania na klientach jest domyślnie włączone. Jeśli to ustawienie zostanie wyczyszczone, Configuration Manager usunie istniejące zasady wdrażania z klienta.
Począwszy od aktualizacji zbiorczej z września 2020 r., serwery WSUS oparte na protokole HTTP będą domyślnie bezpieczne. Klient skanujący aktualizacje pod kątem usług WSUS opartych na protokole HTTP nie będzie już mógł domyślnie korzystać z serwera proxy użytkownika. Jeśli nadal potrzebujesz serwera proxy użytkownika pomimo kompromisów w zakresie zabezpieczeń, dostępne jest nowe ustawienie klienta aktualizacji oprogramowania , aby zezwolić na te połączenia. Aby uzyskać więcej informacji na temat zmian dotyczących skanowania programu WSUS, zobacz Zmiany z września 2020 r. w celu zwiększenia bezpieczeństwa urządzeń z systemem Windows skanujących program WSUS. Aby upewnić się, że istnieją najlepsze protokoły zabezpieczeń, zdecydowanie zalecamy użycie protokołu TLS/SSL w celu zabezpieczenia infrastruktury aktualizacji oprogramowania.
Aby uzyskać informacje o sposobie konfigurowania ustawień klienta, zobacz Jak skonfigurować ustawienia klienta.
Aby uzyskać więcej informacji na temat ustawień klienta, zobacz Informacje o ustawieniach klienta.
Ustawienia zasad grupy dla aktualizacji oprogramowania
Istnieją określone ustawienia zasad grupy, które są używane przez agenta Windows Update (WUA) na komputerach klienckich w celu nawiązania połączenia z usługą WSUS działającą w punkcie aktualizacji oprogramowania. Te ustawienia zasad grupy są również używane do pomyślnego skanowania pod kątem zgodności aktualizacji oprogramowania oraz do automatycznej aktualizacji aktualizacji oprogramowania i WUA.
Określanie zasad lokalnych lokalizacji usługi Intranet Microsoft Update Service
Po utworzeniu punktu aktualizacji oprogramowania dla lokacji klienci otrzymują zasady komputera, które udostępniają nazwę serwera punktu aktualizacji oprogramowania i konfigurują lokalne zasady określania intranetu Microsoft lokalizacji usługi aktualizacji na komputerze. Usługa WUA pobiera nazwę serwera określoną w ustawieniu Ustaw intranetową usługę aktualizacji w celu wykrywania aktualizacji , a następnie nawiązuje połączenie z tym serwerem podczas skanowania pod kątem zgodności aktualizacji oprogramowania. Po utworzeniu zasad domeny dla ustawienia Określanie intranetu Microsoft lokalizacji usługi aktualizacji zastępuje ono zasady lokalne, a usługa WUA może łączyć się z serwerem innym niż punkt aktualizacji oprogramowania. W takim przypadku klient może skanować pod kątem zgodności aktualizacji oprogramowania na podstawie różnych produktów, klasyfikacji i języków. W związku z tym nie należy konfigurować zasad usługi Active Directory dla komputerów klienckich.
Zezwalaj na podpisaną zawartość z zasad grupy lokalizacji usługi Intranet Microsoft Update Service
Aby usługa WUA na komputerach skanowała aktualizacje oprogramowania utworzone i opublikowane za pomocą programu System Center Aktualizacje Publisher, należy włączyć ustawienie Zezwalaj na podpisaną zawartość z intranetu Microsoft zasady grupy aktualizacji usługi aktualizacji. Po włączeniu ustawienia zasad usługa WUA będzie akceptować aktualizacje oprogramowania odbierane za pośrednictwem lokalizacji intranetowej, jeśli aktualizacje oprogramowania są podpisane w magazynie certyfikatów zaufanych wydawców na komputerze lokalnym. Aby uzyskać więcej informacji na temat ustawień zasady grupy wymaganych dla programu Aktualizacje Publisher, zobacz biblioteka dokumentacji programu Aktualizacje Publisher 2011.
Konfiguracja aktualizacji automatycznych
Automatyczne Aktualizacje umożliwia otrzymywanie aktualizacji zabezpieczeń i innych ważnych plików do pobrania na komputerach klienckich. Automatyczne Aktualizacje jest konfigurowane za pomocą ustawienia Konfigurowanie zasady grupy automatycznego Aktualizacje lub za pośrednictwem Panel sterowania na komputerze lokalnym. Po włączeniu automatycznego Aktualizacje komputery klienckie będą otrzymywać powiadomienia o aktualizacjach, a w zależności od skonfigurowanych ustawień komputery klienckie będą pobierać i instalować wymagane aktualizacje. Gdy funkcja Automatyczna Aktualizacje współistnieje z aktualizacjami oprogramowania, na każdym komputerze klienckim mogą być wyświetlane ikony powiadomień i powiadomienia wyświetlane wyskakujące dla tej samej aktualizacji. Ponadto, gdy wymagane jest ponowne uruchomienie, na każdym komputerze klienckim może zostać wyświetlone okno dialogowe ponownego uruchamiania dla tej samej aktualizacji.
Samoaktualizuj
Po włączeniu automatycznego Aktualizacje na komputerach klienckich usługa WUA automatycznie przeprowadza samoaktualizowanie, gdy nowsza wersja staje się dostępna lub gdy występują problemy ze składnikiem WUA. Jeśli automatyczne Aktualizacje nie jest skonfigurowane lub jest wyłączone, a komputery klienckie mają wcześniejszą wersję WUA, komputery klienckie muszą uruchomić plik instalacyjny WUA.
Właściwości aktualizacji oprogramowania
Właściwości aktualizacji oprogramowania zawierają informacje o aktualizacjach oprogramowania i skojarzonej zawartości. Te właściwości umożliwiają również skonfigurowanie ustawień aktualizacji oprogramowania. Po otwarciu właściwości dla wielu aktualizacji oprogramowania są wyświetlane tylko karty Maksymalny czas wykonywania i Ważność niestandardowa .
Użyj poniższej procedury, aby otworzyć właściwości aktualizacji oprogramowania.
Aby otworzyć właściwości aktualizacji oprogramowania
W konsoli Configuration Manager kliknij pozycję Biblioteka oprogramowania.
W obszarze roboczym Biblioteka oprogramowania rozwiń węzeł Aktualizacje oprogramowania i kliknij pozycję Wszystkie Aktualizacje oprogramowania.
Wybierz co najmniej jedną aktualizację oprogramowania, a następnie na karcie Narzędzia główne kliknij pozycję Właściwości w grupie Właściwości .
Uwaga
W węźle Wszystkie oprogramowanie Aktualizacje Configuration Manager wyświetla tylko aktualizacje oprogramowania, które mają klasyfikację krytyczne i zabezpieczeń i które zostały wydane w ciągu ostatnich 30 dni.
Przeglądanie informacji o aktualizacjach oprogramowania
We właściwościach aktualizacji oprogramowania możesz przejrzeć szczegółowe informacje o aktualizacji oprogramowania. Szczegółowe informacje nie są wyświetlane po wybraniu więcej niż jednej aktualizacji oprogramowania. W poniższych sekcjach opisano informacje dostępne dla wybranej aktualizacji oprogramowania.
Szczegóły aktualizacji oprogramowania
Na karcie Szczegóły aktualizacji możesz wyświetlić następujące podsumowanie informacji o wybranej aktualizacji oprogramowania:
- Identyfikator biuletynu: określa identyfikator biuletynu skojarzony z aktualizacjami oprogramowania zabezpieczającego. Szczegóły biuletynu zabezpieczeń można znaleźć, wyszukując identyfikator biuletynu na stronie sieci Web Microsoft Security Response Center.
Uwaga
Zmienia się sposób Microsoft dokumentów aktualizacji zabezpieczeń. Poprzedni model używał stron internetowych biuletynów zabezpieczeń i zawierał numery identyfikatorów biuletynów zabezpieczeń (np. MS16-XXX) jako punkt przestawny. Ta forma dokumentacji aktualizacji zabezpieczeń, w tym numery identyfikatorów biuletynów, jest wycofywana i zastępowana przewodnikiem aktualizacji zabezpieczeń. Zamiast identyfikatorów biuletynów nowy przewodnik zawiera informacje o numerach identyfikatorów luk w zabezpieczeniach i numerach identyfikatorów artykułów KB. Aby uzyskać więcej informacji, zobacz Przewodnik aktualizacji zabezpieczeń — często zadawane pytania.
Identyfikator artykułu: określa identyfikator artykułu aktualizacji oprogramowania. Przywoływane artykuły zawierają bardziej szczegółowe informacje o aktualizacji oprogramowania oraz o problemie, który jest naprawiany lub ulepszany przez aktualizację oprogramowania.
Data poprawienia: określa datę ostatniej modyfikacji aktualizacji oprogramowania.
Maksymalna ocena ważności: określa zdefiniowaną przez dostawcę ocenę ważności aktualizacji oprogramowania.
Opis: zawiera omówienie warunku, w jakim aktualizacja oprogramowania została poprawiona lub poprawiona.
Odpowiednie języki: zawiera listę języków, dla których ma zastosowanie aktualizacja oprogramowania.
Produkty, których dotyczy problem: wyświetla listę produktów, dla których ma zastosowanie aktualizacja oprogramowania.
Informacje o zawartości
Na karcie Informacje o zawartości przejrzyj następujące informacje o zawartości skojarzonej z wybraną aktualizacją oprogramowania:
Identyfikator zawartości: określa identyfikator zawartości aktualizacji oprogramowania.
Pobrane: wskazuje, czy Configuration Manager pobrano pliki aktualizacji oprogramowania.
Język: określa języki aktualizacji oprogramowania.
Ścieżka źródłowa: określa ścieżkę do plików źródłowych aktualizacji oprogramowania.
Rozmiar (MB): określa rozmiar plików źródłowych aktualizacji oprogramowania.
Informacje o pakiecie niestandardowym
Na karcie Informacje o pakiecie niestandardowym przejrzyj informacje o pakiecie niestandardowym aktualizacji oprogramowania. Jeśli wybrana aktualizacja oprogramowania zawiera dołączone aktualizacje oprogramowania zawarte w pliku aktualizacji oprogramowania, są one wyświetlane w sekcji Informacje o pakiecie . Na tej karcie nie są wyświetlane dołączone aktualizacje oprogramowania wyświetlane na karcie Informacje o zawartości , takie jak pliki aktualizacji dla różnych języków.
Informacje o zastępowaniu
Na karcie Informacje o zastępowaniu można wyświetlić następujące informacje o zastępowaniu aktualizacji oprogramowania:
Ta aktualizacja została zastąpiona przez następujące aktualizacje: określa aktualizacje oprogramowania zastępujące tę aktualizację, co oznacza, że wymienione aktualizacje są nowsze. W większości przypadków wdrożysz jedną z aktualizacji oprogramowania, która zastępuje aktualizację oprogramowania. Aktualizacje oprogramowania wyświetlane na liście zawierają hiperlinki do stron internetowych, które zawierają więcej informacji o aktualizacjach oprogramowania. Jeśli ta aktualizacja nie zostanie zastąpiona, zostanie wyświetlona wartość Brak .
Ta aktualizacja zastępuje następujące aktualizacje: określa aktualizacje oprogramowania zastąpione przez tę aktualizację oprogramowania, co oznacza, że ta aktualizacja oprogramowania jest nowsza. W większości przypadków ta aktualizacja oprogramowania zostanie wdrożona w celu zastąpienia zastąpionych aktualizacji oprogramowania. Aktualizacje oprogramowania wyświetlane na liście zawierają hiperlinki do stron internetowych, które zawierają więcej informacji o aktualizacjach oprogramowania. Jeśli ta aktualizacja nie zastępuje żadnej innej aktualizacji, zostanie wyświetlona wartość Brak .
Konfigurowanie ustawień aktualizacji oprogramowania
We właściwościach można skonfigurować ustawienia aktualizacji oprogramowania dla co najmniej jednej aktualizacji oprogramowania. Większość ustawień aktualizacji oprogramowania można skonfigurować tylko w centralnej lokacji administracyjnej lub autonomicznej lokacji głównej. Poniższe sekcje pomogą Ci skonfigurować ustawienia aktualizacji oprogramowania.
Ustawianie maksymalnego czasu wykonywania
Na karcie Maksymalny czas wykonywania ustaw maksymalny czas ukończenia aktualizacji oprogramowania na komputerach klienckich. Jeśli aktualizacja trwa dłużej niż maksymalna wartość czasu wykonywania, Configuration Manager tworzy komunikat o stanie i zatrzymuje instalację aktualizacji oprogramowania. To ustawienie można skonfigurować tylko w centralnej lokacji administracyjnej lub autonomicznej lokacji głównej.
Configuration Manager używa również tego ustawienia, aby określić, czy zainicjować instalację aktualizacji oprogramowania w skonfigurowanym oknie obsługi. Jeśli maksymalna wartość czasu wykonywania jest większa niż dostępny pozostały czas w oknie obsługi, instalacja aktualizacji oprogramowania jest odkładana do momentu rozpoczęcia następnego okna obsługi. Jeśli na komputerze klienckim ma być zainstalowanych wiele aktualizacji oprogramowania ze skonfigurowanym oknem konserwacji (przedziałem czasu), najpierw zostanie zainstalowana aktualizacja oprogramowania o najniższym maksymalnym czasie wykonywania, a następnie zostanie zainstalowana następna aktualizacja oprogramowania z następnym najniższym maksymalnym czasem wykonywania itd. Przed zainstalowaniem każdej aktualizacji oprogramowania klient sprawdza, czy dostępne okno obsługi zapewni wystarczająco dużo czasu na zainstalowanie aktualizacji oprogramowania. Po rozpoczęciu instalowania aktualizacji oprogramowania będzie ona nadal instalowana, nawet jeśli instalacja wykracza poza koniec okna obsługi. Aby uzyskać więcej informacji na temat okien obsługi, zobacz Jak używać okien obsługi.
Na karcie Maksymalny czas wykonywania można wyświetlić i skonfigurować następujące ustawienia:
- Maksymalny czas wykonywania: określa maksymalną liczbę minut przydzieloną do ukończenia instalacji aktualizacji oprogramowania przed zatrzymaniem instalacji przez Configuration Manager. To ustawienie służy również do określania, czy jest wystarczająco dużo czasu, aby zainstalować aktualizację przed końcem okna obsługi. Ustawienie domyślne to 60 minut dla dodatków Service Pack. W przypadku innych typów aktualizacji oprogramowania wartość domyślna to 10 minut, jeśli wykonaliśmy nową instalację Configuration Manager wersji 1511 lub nowszej i 5 minut po uaktualnieniu z poprzedniej wersji. Wartości mogą wynosić od 5 do 9999 minut.
Ważna
Pamiętaj, aby ustawić maksymalną wartość czasu wykonywania mniejszą niż skonfigurowany czas okna konserwacji lub zwiększyć czas okna obsługi do wartości większej niż maksymalny czas wykonywania. W przeciwnym razie instalacja aktualizacji oprogramowania nigdy nie zostanie zainicjowana.
Ustawianie ważności niestandardowej
We właściwościach aktualizacji oprogramowania możesz użyć karty Ważność niestandardowa , aby skonfigurować niestandardowe wartości ważności aktualizacji oprogramowania. Może to być konieczne, jeśli wstępnie zdefiniowane wartości ważności nie spełniają Twoich potrzeb. Wartości niestandardowe są wyświetlane w kolumnie Ważność niestandardowa w konsoli Configuration Manager. Aktualizacje oprogramowania można sortować według zdefiniowanych niestandardowych wartości ważności, a także tworzyć zapytania i raporty, które mogą filtrować te wartości. To ustawienie można skonfigurować tylko w centralnej lokacji administracyjnej lub autonomicznej lokacji głównej.
Następujące ustawienia można skonfigurować na karcie Ważność niestandardowa .
- Ważność niestandardowa: ustawia niestandardową wartość ważności aktualizacji oprogramowania. Wybierz pozycję Krytyczne, Ważne, Umiarkowane lub Niskie z listy. Domyślnie niestandardowa wartość ważności jest pusta.
Sprawdzanie listy CRL pod kątem aktualizacji oprogramowania
Domyślnie lista odwołania certyfikatów (CRL) nie jest sprawdzana podczas weryfikowania podpisu w Configuration Manager aktualizacji oprogramowania. Sprawdzanie listy CRL przy każdym użyciu certyfikatu zapewnia większe bezpieczeństwo przed użyciem certyfikatu, który został odwołany, ale wprowadza opóźnienie połączenia i powoduje dodatkowe przetwarzanie na komputerze wykonującym sprawdzanie listy CRL.
Jeśli jest używana, sprawdzanie listy CRL musi być włączone na konsolach Configuration Manager, które przetwarzają aktualizacje oprogramowania.
Aby włączyć sprawdzanie listy CRL
Na komputerze wykonującym sprawdzanie listy CRL na dysku DVD produktu uruchom następujące polecenie w wierszu polecenia: \SMSSETUP\BIN\X64\<language>\UpdDwnldCfg.exe /checkrevocation.
Na przykład w przypadku języka angielskiego (USA) uruchom polecenie\SMSSETUP\BIN\X64\00000409\UpdDwnldCfg.exe /checkrevocation