部署和监视每月软件更新的示例方案

项目
04/04/2023

适用于: Configuration Manager(current branch)

本主题提供了一个示例方案，说明如何使用 Configuration Manager 中的软件更新来部署和监视每月Microsoft发布的安全软件更新。

在此方案中，我们遵循 Woodgrove Bank Configuration Manager 管理员的操作。管理员需要创建具有以下条件和要求的软件更新部署策略：

活动软件更新部署发生在Microsoft在每个月的第二个星期二发布安全软件更新一周后进行。此事件通常称为星期二补丁。
软件更新在分发点上下载和暂存。然后，在 ConfigMgr 管理员在其生产环境中完全部署软件更新之前，将部署测试到客户端子集。
管理员必须能够按月或按年监视软件更新的符合性。

此方案假定已实现软件更新点基础结构。使用以下信息在 Configuration Manager 中规划和配置软件更新。

流程	参考
查看软件更新的关键概念。	软件更新简介
规划软件更新。此信息有助于规划容量注意事项、确定软件更新点基础结构、软件更新点安装、同步设置和软件更新的客户端设置。	规划软件更新
配置软件更新。此信息有助于在层次结构中安装和配置软件更新点，并有助于配置和同步软件更新。在此方案中，ConfigMgr 管理员将软件更新同步计划配置为在每个月的第二个星期三进行，以确保他们从Microsoft检索最新的安全软件更新。	同步软件更新

本主题中的以下部分提供了示例步骤，可帮助你在组织中部署和监视Configuration Manager安全软件更新。

步骤 1：创建每年符合性的软件更新组

Configuration Manager管理员创建一个软件更新组，该组可用于监视他们在 2016 年发布的所有安全软件更新的符合性。管理员执行下表中的步骤。

流程	参考
从Configuration Manager控制台中的“所有软件汇报”节点，Configuration Manager管理员添加条件，仅显示 2015 年发布或修改符合以下条件的安全软件更新：条件：发布日期或修改日期条件：大于或等于特定日期值：2015/1/1 条件：更新分类值：安全汇报条件：已过期值：否	无其他信息
ConfigMgr 管理员将所有筛选的软件更新添加到具有以下要求的新软件更新组：名称：合规性组 - Microsoft安全汇报 2015 说明：软件更新	将软件更新添加到更新组

步骤 2：为当前月份创建自动部署规则

Configuration Manager管理员为当月Microsoft发布的安全软件更新创建自动部署规则。管理员执行下表中的步骤。

流程	参考
ConfigMgr 管理员创建具有以下要求的自动部署规则：在“常规”选项卡上，ConfigMgr 管理员配置以下内容：指定名称的每月安全汇报。选择具有有限客户端的测试集合。选择“ 创建新的软件更新组”。验证是否未选择 “运行此规则后启用部署 ”。在“部署设置”选项卡上，ConfigMgr 管理员选择默认设置。在“软件汇报”页上，ConfigMgr 管理员配置以下属性筛选器和搜索条件：过去 1 个月的发布日期或修改日期。更新分类安全汇报。在“评估”页上，ConfigMgr 管理员使规则能够按每月第二个星期四的计划运行。 ConfigMgr 管理员还会验证同步计划是否设置为在每个月的第二个星期三运行。 ConfigMgr 管理员使用“部署计划”、“用户体验”、“警报”和“下载设置”页上的默认设置。在“部署包”页上，ConfigMgr 管理员指定新的部署包。 ConfigMgr 管理员使用“下载位置和语言选择”页上的默认设置。	自动部署软件更新

流程

参考

ConfigMgr 管理员创建具有以下要求的自动部署规则：

在“常规”选项卡上，ConfigMgr 管理员配置以下内容：
- 指定名称的每月安全汇报。
- 选择具有有限客户端的测试集合。
- 选择“ 创建新的软件更新组”。
- 验证是否未选择 “运行此规则后启用部署 ”。
在“部署设置”选项卡上，ConfigMgr 管理员选择默认设置。
在“软件汇报”页上，ConfigMgr 管理员配置以下属性筛选器和搜索条件：
- 过去 1 个月的发布日期或修改日期。
- 更新分类安全汇报。
在“评估”页上，ConfigMgr 管理员使规则能够按每月第二个星期四的计划运行。 ConfigMgr 管理员还会验证同步计划是否设置为在每个月的第二个星期三运行。
ConfigMgr 管理员使用“部署计划”、“用户体验”、“警报”和“下载设置”页上的默认设置。
在“部署包”页上，ConfigMgr 管理员指定新的部署包。
ConfigMgr 管理员使用“下载位置和语言选择”页上的默认设置。

自动部署软件更新

步骤 3：验证软件更新是否已准备好部署

在每个月的第二个星期四，ConfigMgr 管理员验证软件更新是否已准备好部署。管理员执行以下步骤。

流程	参考
ConfigMgr 管理员验证软件更新同步是否已成功完成。	软件更新同步状态

步骤 4：部署软件更新组

ConfigMgr 管理员验证软件更新是否已准备好部署后，部署软件更新。管理员执行下表中的步骤。

流程	参考
ConfigMgr 管理员为新的软件更新组创建两个测试部署。管理员为每个部署考虑以下环境：工作站测试部署：ConfigMgr 管理员对工作站测试部署考虑以下事项：指定一个部署集合，该集合包含用于验证部署的工作站客户端子集。配置适合其环境中的工作站客户端的部署设置。服务器测试部署：ConfigMgr 管理员针对服务器测试部署考虑以下事项：指定包含用于验证部署的服务器客户端子集的部署集合。配置适合其环境中的服务器客户端的部署设置。	部署软件更新
ConfigMgr 管理员验证测试部署是否已成功部署。	软件更新部署状态
ConfigMgr 管理员使用包含生产工作站和服务器的新集合更新这两个部署。	无其他信息

流程

参考

ConfigMgr 管理员为新的软件更新组创建两个测试部署。管理员为每个部署考虑以下环境：

工作站测试部署：ConfigMgr 管理员对工作站测试部署考虑以下事项：

指定一个部署集合，该集合包含用于验证部署的工作站客户端子集。
配置适合其环境中的工作站客户端的部署设置。

服务器测试部署：ConfigMgr 管理员针对服务器测试部署考虑以下事项：

指定包含用于验证部署的服务器客户端子集的部署集合。
配置适合其环境中的服务器客户端的部署设置。

部署软件更新

ConfigMgr 管理员验证测试部署是否已成功部署。

软件更新部署状态

ConfigMgr 管理员使用包含生产工作站和服务器的新集合更新这两个部署。

无其他信息

步骤 5：监视已部署软件更新的合规性

ConfigMgr 管理员监视软件更新部署的符合性。管理员执行下表中的步骤。

流程	参考
ConfigMgr 管理员监视Configuration Manager控制台中的软件更新部署状态，并检查可从控制台获取的软件更新部署报告。	监视软件更新

步骤 6：将每月软件更新添加到年度更新组

ConfigMgr 管理员将每月软件更新组中的软件更新添加到年度软件更新组中。管理员执行下表中的步骤。

流程	参考
ConfigMgr 管理员从每月软件更新组中选择软件更新，并将软件更新添加到为每年符合性而创建的软件更新组。管理员跟踪软件更新符合性，并为他的管理创建各种报告。	将软件更新添加到已部署的更新组

ConfigMgr 管理员已成功完成每月的安全软件更新部署。管理员继续监视和报告软件更新符合性，以确保其环境中的客户端在可接受的符合性级别内。

部署软件更新的定期每月过程

在 ConfigMgr 管理员部署软件更新的第一个月之后，管理员将执行步骤 3 到 6，以部署 Microsoft 发布的每月安全软件更新。

通过