共用方式為

管理軟體更新的設定

  • 發行項

適用於:Configuration Manager (目前的分支)

同步處理 Configuration Manager 中的軟體更新之後,請在下列各節中設定並確認設定。

軟體更新的客戶端設定

安裝軟體更新點之後,預設會在用戶端上啟用軟體更新,而用戶端設定中 [軟體 匯報] 頁面上的設定則具有預設值。 用戶端設定會全網站使用,並影響掃描軟體更新是否符合規範,以及軟體更新安裝在用戶端計算機上的方式和時間。 部署軟體更新之前,請確認用戶端設定適合您站臺上的軟體更新。

重要事項

  • 預設會啟用 [ 在用戶端上啟用軟體更新 ] 設定。 如果您清除此設定,Configuration Manager 從用戶端移除現有的部署原則。

  • 從 2020 年 9 月的累積更新開始,根據預設,HTTP 型 WSUS 伺服器將會受到保護。 預設不會再允許用戶端針對 HTTP 型 WSUS 掃描更新以利用使用者 Proxy。 如果您在安全性取捨的情況下仍然需要使用者 Proxy,則可以使用新的 軟體更新用戶端設定 來允許這些連線。 如需掃描 WSUS 變更的詳細資訊,請參閱 2020 年 9 月變更,以改善 Windows 裝置掃描 WSUS 的安全性。 為了確保已備妥最佳的安全性通訊協定,強烈建議您使用 TLS/SSL 通訊協議來協助 保護軟體更新基礎結構

如需如何設定客戶端設定的資訊,請參閱如何設定 客戶端設定

如需用戶端設定的詳細資訊,請參閱 關於客戶端設定

軟體更新的組策略設定

用戶端電腦上的 Windows Update Agent (WUA) 使用特定組策略設定,以連線到軟體更新點上執行的 WSUS。 這些組策略設定也可用來成功掃描軟體更新合規性,以及自動更新軟體更新和WUA。

指定內部網路Microsoft更新服務位置本機原則

為月臺建立軟體更新點時,用戶端會收到提供軟體更新點伺服器名稱的計算機原則,並在計算機上設定指定 內部網路Microsoft更新服務位置 本機原則。 WUA 會擷取 [ 設定內部網路更新服務以偵測更新 ] 設定中指定的伺服器名稱,然後在掃描軟體更新合規性時連線到此伺服器。 為 [ 指定內部網络Microsoft更新服務位置 ] 設定建立網域原則時,它會覆寫本機原則,而 WUA 可能會連線到軟體更新點以外的伺服器。 如果發生這種情況,用戶端可能會根據不同的產品、分類和語言掃描軟體更新合規性。 因此,您不應該為用戶端計算機設定 Active Directory 原則。

允許來自內部網路的已簽署內容Microsoft更新服務位置組策略

您必須先啟用 [允許來自內部網路的已簽署內容Microsoft更新服務位置 群組原則 設定,計算機上的 WUA 才會掃描已使用 System Center 匯報 Publisher 建立和發佈的軟體更新。 啟用原則設定時,如果軟體更新是在本機計算機的 受信任發行者 證書存儲中簽署,WUA 將會接受透過內部網路位置接收的軟體更新。 如需 匯報 Publisher 所需 群組原則 設定的詳細資訊,請參閱 匯報 Publisher 2011 文檔庫。

自動更新組態

自動 匯報 允許在用戶端電腦上接收安全性更新和其他重要下載。 自動 匯報 是透過設定自動 匯報 群組原則 設定或透過本機電腦上的 控制台 來設定。 啟用自動 匯報 時,用戶端計算機會收到更新通知,而且根據設定,用戶端計算機將會下載並安裝必要的更新。 當自動 匯報 與軟體更新並存時,每部用戶端計算機都可能會顯示相同更新的通知圖示和快顯顯示通知。 此外,當需要重新啟動時,每部用戶端計算機可能會顯示相同更新的重新啟動對話方塊。

自我更新

當用戶端電腦上啟用自動 匯報 時,當較新的版本可供使用或 WUA 元件發生問題時,WUA 會自動執行自我更新。 未設定或停用自動 匯報,且用戶端電腦具有舊版的WUA時,用戶端計算機必須執行WUA安裝檔案。

軟體更新屬性

軟體更新屬性會提供軟體更新和相關聯內容的相關信息。 您也可以使用這些屬性來設定軟體更新的設定。 當您開啟多個軟體更新的屬性時,只會顯示 [ 運行時間上限 ] 和 [ 自定義嚴重性] 索 引標籤。

使用下列程式開啟軟體更新屬性。

開啟軟體更新屬性

  1. 在 Configuration Manager 控制台中,按兩下 [軟體連結庫]

  2. 在 [軟體連結庫] 工作區中,展開 [軟體 匯報],然後按兩下 [所有軟體 匯報]。

  3. 選取一或多個軟體更新,然後在 [ 首頁 ] 索引標籤上,按兩下 [ 屬性 ] 群組中的 [ 屬性 ]。

    注意事項

    在 [所有軟體] 匯報 節點上,Configuration Manager 只會顯示具有 [重大] 與 [安全性] 分類且在過去 30 天內發行的軟體更新。

檢閱軟體更新資訊

在軟體更新屬性中,您可以檢閱軟體更新的詳細資訊。 當您選取多個軟體更新時,不會顯示詳細資訊。 下列各節說明所選軟體更新可用的資訊。

軟體更新詳細數據

在 [ 更新詳細數據] 索 引標籤中,您可以檢視所選軟體更新的下列摘要資訊:

  • 布告欄標識碼:指定與安全性軟體更新相關聯的公告標識符。 您可以在 [ Microsoft 資訊安全回應中心 ] 網頁上搜尋公告標識碼,以尋找安全性布告欄詳細數據。

注意事項

Microsoft檔安全性更新的方式正在改變。 先前的模型使用安全性布告欄網頁,並包含安全性布告欄標識碼 (例如 MS16-XXX) 作為樞紐點。 此形式的安全性更新檔,包括布告欄標識符,即將淘汰,並取代為安全性更新指南。 新的指南會針對弱點標識碼和 KB 發行項識別碼進行樞紐分析,而不是布告欄標識碼。 如需詳細資訊,請參閱 安全性更新指南常見問題

  • 發行項識別碼:指定軟體更新的發行項標識碼。 參考的文章提供軟體更新的詳細資訊,以及軟體更新修正或改善的問題。

  • 修改日期:指定上次修改軟體更新的日期。

  • 嚴重性分級上限:指定供應商定義的軟體更新嚴重性分級。

  • 描述:提供軟體更新修正或改善之條件的概觀。

  • 適用的語言:清單 適用軟體更新的語言。

  • 受影響的產品:清單 適用軟體更新的產品。

內容資訊

在 [ 內容資訊] 索引標籤中,檢閱與所選軟體更新相關聯之內容的下列資訊:

  • 內容識別碼:指定軟體更新的內容識別碼。

  • 已下載:指出 Configuration Manager 是否已下載軟體更新檔案。

  • 語言:指定軟體更新的語言。

  • 來源路徑:指定軟體更新來源檔案的路徑。

  • 大小 (MB) :指定軟體更新來源檔案的大小。

自定義套件組合資訊

在 [ 自定義套件組合資訊] 索引標籤中,檢閱軟體更新的自定義套件組合資訊。 當選取的軟體更新包含軟體更新檔案中包含的配套軟體更新時,它們會顯示在 [套件組合 資訊 ] 區段中。 此索引標籤不會顯示顯示在 [ 內容資訊 ] 索引標籤中的配套軟體更新,例如不同語言的更新檔案。

取代資訊

在 [ 取代資訊 ] 索引標籤上,您可以檢視下列有關軟體更新取代的資訊:

  • 此更新已由下列更新取代:指定取代此更新的軟體更新,這表示列出的更新較新。 在大部分情況下,您會部署其中一個取代軟體更新的軟體更新。 清單中顯示的軟體更新包含網頁的超連結,可提供軟體更新的詳細資訊。 未取代此更新時,會顯示 [無 ]。

  • 此更新會取代下列更新:指定此軟體更新所取代的軟體更新,這表示此軟體更新較新。 在大部分情況下,您會部署此軟體更新來取代已取代的軟體更新。 清單中顯示的軟體更新包含網頁的超連結,可提供軟體更新的詳細資訊。 當此更新未取代任何其他更新時,則會顯示 None

設定軟體更新設定

在屬性中,您可以設定一或多個軟體更新的軟體更新設定。 您只能在管理中心網站或獨立主要月臺設定大部分的軟體更新設定。 下列各節將協助您設定軟體更新的設定。

設定運行時間上限

在 [ 運行時間上限] 索引標籤中,設定要在用戶端電腦上完成軟體更新的時間上限。 如果更新花費的時間超過運行時間值上限,Configuration Manager 建立狀態消息並停止軟體更新安裝。 您只能在管理中心網站或獨立主要站臺上設定此設定。

Configuration Manager 也會使用此設定來決定是否要在設定的維護期間內起始軟體更新安裝。 如果運行時間上限值大於維護期間的剩餘時間,軟體更新安裝會延後到下一個維護期間開始。 當用戶端電腦上安裝多個軟體更新,且已設定維護期間 (時間範圍) 時,會先安裝運行時間最低的軟體更新,然後接著安裝運行時間下一個最低上限的軟體更新,依此類推。 在安裝每個軟體更新之前,用戶端會確認可用的維護期間會提供足夠的時間來安裝軟體更新。 軟體更新開始安裝之後,即使安裝超過維護期間的結尾,它仍會繼續安裝。 如需維護期間的詳細資訊,請參閱 如何使用維護時段

在 [ 運行時間上限] 索引標籤上,您可以檢視並設定下列設定:

  • 運行時間上限:指定在 Configuration Manager 停止安裝之前,要完成軟體更新安裝的分鐘數上限。 此設定也可用來判斷是否有足夠的可用時間可在維護期間結束之前安裝更新。 Service Pack 的預設設定為 60 分鐘。 對於其他軟體更新類型,如果您已執行 1511 版或更新版本的全新安裝 Configuration Manager,預設值為 10 分鐘,從舊版升級 5 分鐘,則預設值為 10 分鐘。 值的範圍可以是 5 到 9999 分鐘。

重要事項

請務必將運行時間上限值設定為小於設定的維護期間時間,或將維護期間時間增加為大於運行時間上限的值。 否則,將永遠不會起始軟體更新安裝。

設定自定義嚴重性

在軟體更新的屬性中,您可以使用 [ 自定義嚴重性 ] 索引卷標來設定軟體更新的自定義嚴重性值。 如果預先定義的嚴重性值不符合您的需求,則可能需要這麼做。 自訂值會列在 Configuration Manager 主控台的 [自定義嚴重性] 資料行中。 您可以依定義的自定義嚴重性值來排序軟體更新,也可以建立可篩選這些值的查詢和報告。 您只能在管理中心網站或獨立主要站臺上設定此設定。

您可以在 [ 自定義嚴重性 ] 索引標籤上設定下列設定。

  • 自定義嚴重性:設定軟體更新的自定義嚴重性值。 從清單中選取 [重大]、 [重要]、[ 中度] 或 [ ]。 根據預設,自定義嚴重性值是空的。

軟體更新的CRL檢查

根據預設,驗證 Configuration Manager 軟體更新上的簽章時,不會檢查CRL) (證書吊銷清單。 每次使用憑證時檢查 CRL,可針對使用已撤銷的憑證提供更多安全性,但會造成連線延遲,並在執行 CRL 檢查的電腦上產生額外的處理。

如果使用,則必須在處理軟體更新的 Configuration Manager 控制台上啟用CRL檢查。

啟用CRL檢查

在執行 CRL 檢查的計算機上,從產品 DVD 中,從命令提示字元執行下列命令: \SMSSETUP\BIN\X64\<language>\UpdDwnldCfg.exe /checkrevocation

例如,針對英文 (美國) 執行 \SMSSETUP\BIN\X64\00000409\UpdDwnldCfg.exe /checkrevocation