Управление параметрами обновления программного обеспечения
Относится к Configuration Manager (Current Branch)
После синхронизации обновлений программного обеспечения в Configuration Manager настройте и проверьте параметры в следующих разделах.
Параметры клиента для обновлений программного обеспечения
После установки точки обновления программного обеспечения обновления программного обеспечения на клиентах по умолчанию включены, а параметры на странице Обновления программного обеспечения в параметрах клиента имеют значения по умолчанию. Параметры клиента используются на уровне всего сайта и влияют на проверку обновлений программного обеспечения на соответствие, а также на то, как и когда обновления программного обеспечения устанавливаются на клиентских компьютерах. Перед развертыванием обновлений программного обеспечения убедитесь, что параметры клиента подходят для обновлений программного обеспечения на вашем сайте.
Важно!
Параметр Включить обновления программного обеспечения для клиентов включен по умолчанию. Если этот параметр снят, Configuration Manager удаляет существующие политики развертывания с клиента.
Начиная с накопительного обновления за сентябрь 2020 г. серверы WSUS на основе HTTP будут по умолчанию защищены. Клиент, проверяющий наличие обновлений для СЛУЖБ WSUS на основе HTTP, больше не будет разрешено использовать прокси-сервер пользователя по умолчанию. Если вам по-прежнему требуется пользовательский прокси-сервер, несмотря на компромиссы по безопасности, доступен новый параметр клиента обновлений программного обеспечения , позволяющий разрешить эти подключения. Дополнительные сведения об изменениях для проверки WSUS см. в статье Изменения, внесенные в систему для повышения безопасности устройств Windows, сканирующих WSUS, за сентябрь 2020 г. Чтобы обеспечить наличие наилучших протоколов безопасности, настоятельно рекомендуется использовать протокол TLS/SSL для защиты инфраструктуры обновлений программного обеспечения.
Сведения о настройке параметров клиента см. в разделе Настройка параметров клиента.
Дополнительные сведения о параметрах клиента см. в разделе Сведения о параметрах клиента.
Параметры групповой политики для обновлений программного обеспечения
Существуют определенные параметры групповой политики, которые используются агентом клиентский компонент Центра обновления Windows (WUA) на клиентских компьютерах для подключения к службам WSUS, выполняемым в точке обновления программного обеспечения. Эти параметры групповой политики также используются для успешной проверки соответствия обновлений программного обеспечения, а также для автоматического обновления обновлений программного обеспечения и WUA.
Укажите локальную политику расположения службы Майкрософт интрасети
При создании точки обновления программного обеспечения для сайта клиенты получают политику компьютера, которая предоставляет имя сервера точки обновления программного обеспечения и настраивает локальную политику Указание расположения службы обновления в интрасети Майкрософт на компьютере. WUA получает имя сервера, указанное в параметре Задать службу обновлений интрасети для обнаружения обновлений , а затем подключается к этому серверу при проверке соответствия обновлений программного обеспечения. При создании политики домена для параметра Укажите расположение службы обновления в интрасети Майкрософт она переопределяет локальную политику, и WUA может подключиться к серверу, отличному от точки обновления программного обеспечения. В этом случае клиент может проверить соответствие обновлений программного обеспечения различным продуктам, классификациям и языкам. Поэтому не следует настраивать политику Active Directory для клиентских компьютеров.
Разрешить подписанное содержимое из интрасети Майкрософт групповой политики "Расположение службы обновления"
Необходимо включить параметр Разрешить подписанное содержимое из интрасети Майкрософт расположение службы обновления групповая политика, прежде чем WUA на компьютерах будет проверять наличие обновлений программного обеспечения, созданных и опубликованных в System Center Обновления Publisher. Если параметр политики включен, WUA будет принимать обновления программного обеспечения, полученные через расположение интрасети, если обновления программного обеспечения вошли в хранилище сертификатов доверенных издателей на локальном компьютере. Дополнительные сведения о параметрах групповая политика, необходимых для издателя Обновления, см. в разделе Библиотека документации Обновления Publisher 2011.
Настройка автоматических обновлений
Автоматическое Обновления позволяет получать обновления для системы безопасности и другие важные загрузки на клиентских компьютерах. Автоматическая Обновления настраивается с помощью параметра Настроить автоматическую Обновления групповая политика или с помощью панель управления на локальном компьютере. Если автоматическое Обновления включено, клиентские компьютеры будут получать уведомления об обновлениях и, в зависимости от настроенных параметров, клиентские компьютеры будут загружать и устанавливать необходимые обновления. Если автоматическая Обновления сосуществует с обновлениями программного обеспечения, на каждом клиентском компьютере могут отображаться значки уведомлений и всплывающие уведомления о том же обновлении. Кроме того, если требуется перезагрузка, на каждом клиентском компьютере может отображаться диалоговое окно перезагрузки для того же обновления.
Самостоятельное обновление
Если автоматическое Обновления включено на клиентских компьютерах, WUA автоматически выполняет самостоятельное обновление, когда становится доступна более новая версия или возникают проблемы с компонентом WUA. Если автоматическая Обновления не настроена или отключена, а клиентские компьютеры имеют более раннюю версию WUA, клиентские компьютеры должны запустить файл установки WUA.
Свойства обновлений программного обеспечения
Свойства обновлений программного обеспечения предоставляют сведения об обновлениях программного обеспечения и связанном содержимом. Эти свойства также можно использовать для настройки параметров обновлений программного обеспечения. При открытии свойств для нескольких обновлений программного обеспечения отображаются только вкладки Максимальное время выполнения и Настраиваемая серьезность .
Используйте следующую процедуру, чтобы открыть свойства обновления программного обеспечения.
Открытие свойств обновления программного обеспечения
В консоли Configuration Manager щелкните Библиотека программного обеспечения.
В рабочей области Библиотека программного обеспечения разверните узел Программное обеспечение Обновления и щелкните Все Обновления программного обеспечения.
Выберите одно или несколько обновлений программного обеспечения, а затем на вкладке Главная щелкните Свойства в группе Свойства .
Примечание.
В узле Все программное обеспечение Обновления Configuration Manager отображаются только обновления программного обеспечения с классификацией "Критический" и "Безопасность" и выпущенные за последние 30 дней.
Просмотр сведений об обновлениях программного обеспечения
В свойствах обновления программного обеспечения можно просмотреть подробные сведения об обновлении программного обеспечения. Подробные сведения не отображаются при выборе нескольких обновлений программного обеспечения. В следующих разделах описываются сведения, доступные для выбранного обновления программного обеспечения.
Сведения об обновлении программного обеспечения
На вкладке Сведения об обновлении можно просмотреть следующие сводные сведения о выбранном обновлении программного обеспечения:
- Идентификатор бюллетеня. Указывает идентификатор бюллетеня, связанный с обновлениями программного обеспечения для системы безопасности. Сведения о бюллетене по безопасности можно найти, выполнив поиск по идентификатору бюллетеня на веб-странице центра реагирования на безопасность Майкрософт.
Примечание.
Способ Майкрософт документов обновления для системы безопасности меняется. Предыдущая модель использовала веб-страницы бюллетеней по безопасности и включала номера идентификаторов бюллетеней безопасности (например, MS16-XXX) в качестве сводной точки. Эта форма документации по обновлению системы безопасности, включая номера идентификаторов бюллетеней, прекращается и заменяется руководством по обновлению для системы безопасности. Вместо идентификаторов бюллетеней в новом руководстве содержатся номера идентификаторов уязвимостей и идентификаторы статьи базы знаний. Дополнительные сведения см. в статье Часто задаваемые вопросы по обновлению системы безопасности.
Идентификатор статьи. Указывает идентификатор статьи для обновления программного обеспечения. В указанной статье содержатся более подробные сведения об обновлении программного обеспечения и проблеме, которую устраняет или улучшает обновление программного обеспечения.
Дата изменения. Указывает дату последнего изменения обновления программного обеспечения.
Максимальная оценка серьезности. Указывает определяемую поставщиком оценку серьезности для обновления программного обеспечения.
Описание: содержит общие сведения о том, какое условие исправляет или улучшает обновление программного обеспечения.
Применимые языки: список языков, для которых применимо обновление программного обеспечения.
Затронутые продукты: список продуктов, для которых применимо обновление программного обеспечения.
Сведения о содержимом
На вкладке Сведения о содержимом просмотрите следующие сведения о содержимом, связанном с выбранным обновлением программного обеспечения:
Идентификатор содержимого. Указывает идентификатор содержимого для обновления программного обеспечения.
Скачан. Указывает, скачали ли Configuration Manager файлы обновлений программного обеспечения.
Язык: указывает языки для обновления программного обеспечения.
Путь к источнику. Указывает путь к исходным файлам обновления программного обеспечения.
Размер (МБ): указывает размер исходных файлов обновлений программного обеспечения.
Сведения о пользовательском пакете
На вкладке Настраиваемые сведения о пакете просмотрите сведения о пользовательском пакете для обновления программного обеспечения. Если выбранное обновление программного обеспечения содержит пакетные обновления программного обеспечения, содержащиеся в файле обновления программного обеспечения, они отображаются в разделе Сведения о пакете . На этой вкладке не отображаются пакетные обновления программного обеспечения, отображаемые на вкладке Сведения о содержимом , например файлы обновлений для разных языков.
Сведения о замене
На вкладке Сведения о замене можно просмотреть следующие сведения о замене обновления программного обеспечения:
Это обновление было заменено следующими обновлениями: Указывает обновления программного обеспечения, которые заменяют это обновление, что означает, что перечисленные обновления являются более новыми. В большинстве случаев вы развертываете одно из обновлений программного обеспечения, заменяющее это обновление. Обновления программного обеспечения, отображаемые в списке, содержат гиперссылки на веб-страницы с дополнительными сведениями об обновлениях программного обеспечения. Если это обновление не заменено, отображается значение None .
Это обновление заменяет следующие обновления: Указывает обновления программного обеспечения, заменяемые этим обновлением программного обеспечения, что означает, что это обновление является более новым. В большинстве случаев вы развертываете это обновление программного обеспечения, чтобы заменить замененные обновления программного обеспечения. Обновления программного обеспечения, отображаемые в списке, содержат гиперссылки на веб-страницы с дополнительными сведениями об обновлениях программного обеспечения. Если это обновление не заменяет любое другое обновление, отображается Значение Нет .
Настройка параметров обновлений программного обеспечения
В свойствах можно настроить параметры обновления программного обеспечения для одного или нескольких обновлений программного обеспечения. Большинство параметров обновления программного обеспечения можно настроить только на сайте центра администрирования или автономном первичном сайте. В следующих разделах показано, как настроить параметры обновлений программного обеспечения.
Установка максимального времени выполнения
На вкладке Максимальное время выполнения задайте максимальное время, затраченное на завершение обновления программного обеспечения на клиентских компьютерах. Если обновление занимает больше времени, чем максимальное значение во время выполнения, Configuration Manager создает сообщение о состоянии и останавливает установку обновлений программного обеспечения. Этот параметр можно настроить только на сайте центра администрирования или автономном первичном сайте.
Configuration Manager также использует этот параметр, чтобы определить, следует ли инициировать установку обновления программного обеспечения в течение настроенного периода обслуживания. Если максимальное значение времени выполнения больше, чем доступное оставшееся время в период обслуживания, установка обновлений программного обеспечения откладывается до начала следующего периода обслуживания. При наличии нескольких обновлений программного обеспечения, устанавливаемых на клиентском компьютере с настроенным периодом обслуживания (период времени), сначала устанавливается обновление программного обеспечения с наименьшим максимальным временем выполнения, затем обновление программного обеспечения с последующим минимальным максимальным временем выполнения и т. д. Перед установкой каждого обновления программного обеспечения клиент проверяет, что доступный период обслуживания предоставит достаточно времени для установки обновления программного обеспечения. После начала установки обновления программного обеспечения оно продолжит установку, даже если установка выходит за пределы окончания периода обслуживания. Дополнительные сведения о периодах обслуживания см. в разделе Использование периодов обслуживания.
На вкладке Максимальное время выполнения можно просмотреть и настроить следующие параметры:
- Максимальное время выполнения. Указывает максимальное количество минут, выделенных для завершения установки обновления программного обеспечения до остановки установки Configuration Manager. Этот параметр также используется для определения того, достаточно ли оставшегося времени для установки обновления до окончания периода обслуживания. Значение по умолчанию — 60 минут для пакетов обновления. Для других типов обновлений программного обеспечения значение по умолчанию составляет 10 минут, если вы выполнили новую установку Configuration Manager версии 1511 или более поздней, и 5 минут при обновлении с предыдущей версии. Значения могут варьироваться от 5 до 9999 минут.
Важно!
Обязательно установите максимальное значение времени выполнения, меньшее настроенного периода обслуживания, или увеличьте время периода обслуживания до значения, превышающего максимальное время выполнения. В противном случае установка обновления программного обеспечения никогда не инициируется.
Настройка пользовательской серьезности
В свойствах обновления программного обеспечения можно использовать вкладку Настраиваемая серьезность , чтобы настроить пользовательские значения серьезности для обновлений программного обеспечения. Это может потребоваться, если предопределенные значения серьезности не соответствуют вашим потребностям. Пользовательские значения перечислены в столбце Настраиваемая серьезность консоли Configuration Manager. Вы можете сортировать обновления программного обеспечения по заданным пользовательским значениям серьезности, а также создавать запросы и отчеты, которые могут фильтровать эти значения. Этот параметр можно настроить только на сайте центра администрирования или на автономном первичном сайте.
На вкладке Настраиваемая серьезность можно настроить следующие параметры.
- Настраиваемая серьезность. Задает настраиваемое значение серьезности для обновлений программного обеспечения. Выберите Критический, Важный, Средний или Низкий в списке. По умолчанию настраиваемое значение серьезности пусто.
Проверка списка отзыва сертификатов на наличие обновлений программного обеспечения
По умолчанию список отзыва сертификатов (CRL) не проверяется при проверке подписи в Configuration Manager обновлений программного обеспечения. Проверка списка отзыва сертификатов при каждом использовании сертификата обеспечивает большую безопасность при использовании сертификата, который был отозван, но это вызывает задержку подключения и вызывает дополнительную обработку на компьютере, выполняя проверку списка отзыва сертификатов.
Если используется, проверка списка отзыва сертификатов должна быть включена на Configuration Manager консолях, обрабатывающих обновления программного обеспечения.
Включение проверки списка отзыва сертификатов
На компьютере, выполняющем проверку списка отзыва сертификатов, с DVD-диска продукта выполните следующую команду из командной строки: \SMSSETUP\BIN\X64\<language>\UpdDwnldCfg.exe /checkrevocation.
Например, для английского языка (США) выполните \SMSSETUP\BIN\X64\00000409\UpdDwnldCfg.exe /checkrevocation.