管理軟體更新的設定

  • 發行項

適用於:Configuration Manager (目前的分支)

在Configuration Manager中同步處理軟體更新之後,請在下列各節中設定並確認設定。

軟體更新的用戶端設定

安裝軟體更新點之後,預設會在用戶端上啟用軟體更新,而用戶端設定中 [軟體更新] 頁面上的設定則具有預設值。 用戶端設定會在全月臺使用,並影響掃描軟體更新是否符合規範,以及軟體更新安裝在用戶端電腦上的方式和時間。 部署軟體更新之前,請確認用戶端設定適合您月臺上的軟體更新。

重要事項

  • 預設會啟用 [ 在用戶端上啟用軟體更新 ] 設定。 如果您清除此設定,Configuration Manager會從用戶端移除現有的部署原則。

  • 從 2020 年 9 月的累積更新開始,根據預設,HTTP 型 WSUS 伺服器將會受到保護。 預設不會再允許用戶端針對 HTTP 型 WSUS 掃描更新以利用使用者 Proxy。 如果您在安全性取捨下仍需要使用者 Proxy,則可以使用新的 軟體更新用戶端設定 來允許這些連線。 如需掃描 WSUS 變更的詳細資訊,請參閱 2020 年 9 月變更,以改善 Windows 裝置掃描 WSUS 的安全性。 為了確保已備妥最佳的安全性通訊協定,強烈建議您使用 TLS/SSL 通訊協定來協助 保護軟體更新基礎結構

如需如何設定用戶端設定的資訊,請參閱如何設定 用戶端設定

如需用戶端設定的詳細資訊,請參閱 關於用戶端設定

軟體更新的群組原則設定

用戶端電腦上的 Windows Update Agent (WUA) 會使用特定群組原則設定,以連線到軟體更新點上執行的 WSUS。 這些群組原則設定也可用來成功掃描軟體更新合規性,以及自動更新軟體更新和 WUA。

指定內部網路Microsoft更新服務位置本機原則

為月臺建立軟體更新點時,用戶端會收到提供軟體更新點伺服器名稱的電腦原則,並在電腦上設定指定內部網路Microsoft更新服務位置本機原則。 WUA 會擷取 [ 設定內部網路更新服務以偵測更新 ] 設定中指定的伺服器名稱,然後在掃描軟體更新合規性時連線到此伺服器。 為 [指定內部網路Microsoft更新服務位置] 設定建立網域原則時,它會覆寫本機原則,而 WUA 可能會連線到軟體更新點以外的伺服器。 如果發生這種情況,用戶端可能會根據不同的產品、分類和語言掃描軟體更新合規性。 因此,您不應該為用戶端電腦設定 Active Directory 原則。

允許來自內部網路的已簽署內容Microsoft更新服務位置群組原則

您必須先啟用 [允許來自內部網路的已簽署內容Microsoft更新服務位置群組原則設定,電腦上的 WUA 才能掃描已使用 System Center 更新 Publisher 建立和發佈的軟體更新。 啟用原則設定時,如果軟體更新是在本機電腦的 受信任發行者 憑證存放區中簽署,WUA 就會接受透過內部網路位置接收的軟體更新。 如需更新 Publisher 所需群組原則設定的詳細資訊,請參閱 更新 Publisher 2011 文件庫。

自動更新組態

自動更新允許在用戶端電腦上接收安全性更新和其他重要下載。 自動更新是透過設定自動更新群組原則設定或透過本機電腦上的主控台來設定。 啟用自動更新時,用戶端電腦會收到更新通知,而且根據設定,用戶端電腦將會下載並安裝必要的更新。 當自動更新與軟體更新並存時,每部用戶端電腦可能會顯示相同更新的通知圖示和快顯顯示通知。 此外,當需要重新開機時,每部用戶端電腦可能會顯示相同更新的重新開機對話方塊。

自我更新

在用戶端電腦上啟用自動更新時,當較新的版本可供使用或 WUA 元件發生問題時,WUA 會自動執行自我更新。 當未設定或停用自動更新,且用戶端電腦具有舊版的 WUA 時,用戶端電腦必須執行 WUA 安裝檔案。

軟體更新屬性

軟體更新屬性會提供軟體更新和相關聯內容的相關資訊。 您也可以使用這些屬性來設定軟體更新的設定。 當您開啟多個軟體更新的屬性時,只會顯示 [ 執行時間上限 ] 和 [ 自訂嚴重性 ] 索引標籤。

使用下列程式開啟軟體更新屬性。

開啟軟體更新屬性

  1. 在Configuration Manager主控台中,按一下 [軟體程式庫]

  2. 在 [軟體程式庫] 工作區中,展開 [軟體更新],然後按一下 [所有軟體更新] 。

  3. 選取一或多個軟體更新,然後在 [ 首頁 ] 索引標籤上,按一下 [ 屬性 ] 群組中的 [ 屬性 ]。

    注意事項

    在 [所有軟體更新] 節點上,Configuration Manager只會顯示具有[重大] 與 [安全性] 分類且在過去 30 天內發行的軟體更新。

檢閱軟體更新資訊

在軟體更新屬性中,您可以檢閱軟體更新的詳細資訊。 當您選取多個軟體更新時,不會顯示詳細資訊。 下列各節說明所選軟體更新可用的資訊。

軟體更新詳細資料

在 [ 更新詳細資料] 索 引標籤中,您可以檢視所選軟體更新的下列摘要資訊:

  • 佈告欄標識符:指定與安全性軟體更新相關聯的公告識別碼。 您可以在 [Microsoft 資訊安全回應中心] 網頁上搜尋公告識別碼,以尋找安全性佈告欄詳細資料。

注意事項

Microsoft檔安全性更新的方式正在變更。 先前的模型使用安全性佈告欄網頁,並包含安全性佈告欄識別碼 (例如 MS16-XXX) 作為樞紐點。 此形式的安全性更新檔,包括佈告欄識別碼,即將淘汰,並取代為安全性更新指南。 新的指南會針對弱點識別碼和 KB 發行項識別碼進行樞紐分析,而不是佈告欄識別碼。 如需詳細資訊,請參閱 安全性更新指南常見問題

  • 發行項標識符:指定軟體更新的發行項識別碼。 參考的文章提供軟體更新的詳細資訊,以及軟體更新修正或改善的問題。

  • 修改日期:指定上次修改軟體更新的日期。

  • 嚴重性分級上限:指定供應商定義的軟體更新嚴重性分級。

  • 描述:提供軟體更新修正或改善之條件的概觀。

  • 適用的語言:列出適用軟體更新的語言。

  • 受影響的產品:列出適用軟體更新的產品。

內容資訊

在 [ 內容資訊] 索引標籤中,檢閱與所選軟體更新相關聯之內容的下列資訊:

  • 內容標識符:指定軟體更新的內容識別碼。

  • 已下載:指出Configuration Manager是否已下載軟體更新檔案。

  • 語言:指定軟體更新的語言。

  • 來源路徑:指定軟體更新來源檔案的路徑。

  • 大小 (MB) :指定軟體更新來源檔案的大小。

自訂套件組合資訊

在 [ 自訂套件組合資訊] 索引標籤中,檢閱軟體更新的自訂套件組合資訊。 當選取的軟體更新包含軟體更新檔案中包含的配套軟體更新時,它們會顯示在 [套件組合 資訊 ] 區段中。 此索引標籤不會顯示顯示在 [ 內容資訊 ] 索引標籤中的配套軟體更新,例如不同語言的更新檔案。

取代資訊

在 [ 取代資訊 ] 索引標籤上,您可以檢視下列有關軟體更新取代的資訊:

  • 此更新已由下列更新取代:指定取代此更新的軟體更新,這表示列出的更新較新。 在大部分情況下,您會部署其中一個取代軟體更新的軟體更新。 清單中顯示的軟體更新包含網頁的超連結,可提供軟體更新的詳細資訊。 未取代此更新時,會顯示 [無 ]。

  • 此更新會取代下列更新:指定此軟體更新所取代的軟體更新,這表示此軟體更新較新。 在大部分情況下,您會部署此軟體更新來取代已取代的軟體更新。 清單中顯示的軟體更新包含網頁的超連結,可提供軟體更新的詳細資訊。 當此更新未取代任何其他更新時,則會顯示 None

設定軟體更新設定

在屬性中,您可以設定一或多個軟體更新的軟體更新設定。 您只能在管理中心網站或獨立主要月臺設定大部分的軟體更新設定。 下列各節將協助您設定軟體更新的設定。

設定執行時間上限

在 [ 執行時間上限] 索引標籤中,設定要在用戶端電腦上完成軟體更新的時間上限。 如果更新花費的時間超過運行時間值上限,Configuration Manager會建立狀態訊息並停止軟體更新安裝。 您只能在管理中心網站或獨立主要月臺上設定此設定。

Configuration Manager也會使用此設定來決定是否要在設定的維護期間內起始軟體更新安裝。 如果執行時間上限值大於維護期間的剩餘時間,軟體更新安裝會延後到下一個維護期間開始。 當用戶端電腦上安裝多個軟體更新,且已設定維護期間 (時間範圍) 時,會先安裝執行時間最低的軟體更新,然後接著安裝執行時間下一個最低上限的軟體更新,依此類推。 在安裝每個軟體更新之前,用戶端會確認可用的維護期間會提供足夠的時間來安裝軟體更新。 軟體更新開始安裝之後,即使安裝超過維護期間的結尾,它仍會繼續安裝。 如需維護期間的詳細資訊,請參閱 如何使用維護時段

在 [ 執行時間上限] 索引標籤上,您可以檢視並設定下列設定:

  • 執行時間上限:指定在Configuration Manager停止安裝之前,要完成軟體更新安裝的分鐘數上限。 此設定也可用來判斷是否有足夠的可用時間可在維護期間結束之前安裝更新。 Service Pack 的預設設定為 60 分鐘。 對於其他軟體更新類型,如果您已執行 1511 版或更新版本Configuration Manager全新安裝,則預設值為 10 分鐘,從舊版升級時為 5 分鐘。 值的範圍可以是 5 到 9999 分鐘。

重要事項

請務必將執行時間上限值設定為小於設定的維護期間時間,或將維護期間時間增加為大於執行時間上限的值。 否則,將永遠不會起始軟體更新安裝。

設定自訂嚴重性

在軟體更新的屬性中,您可以使用 [ 自訂嚴重性 ] 索引標籤來設定軟體更新的自訂嚴重性值。 如果預先定義的嚴重性值不符合您的需求,則可能需要這麼做。 自訂值會列在 Configuration Manager 主控台的 [自訂嚴重性] 資料行中。 您可以依定義的自訂嚴重性值來排序軟體更新,也可以建立可篩選這些值的查詢和報告。 您只能在管理中心網站或獨立主要月臺上設定此設定。

您可以在 [ 自訂嚴重性 ] 索引標籤上設定下列設定。

  • 自訂嚴重性:設定軟體更新的自訂嚴重性值。 從清單中選取 [重大]、 [重要]、[ 中度] 或 [ ]。 根據預設,自訂嚴重性值是空的。

軟體更新的 CRL 檢查

根據預設,驗證Configuration Manager軟體更新上的簽章時,不會檢查 CRL) (憑證撤銷清單。 每次使用憑證時檢查 CRL,可針對使用已撤銷的憑證提供更多安全性,但會造成連線延遲,並在執行 CRL 檢查的電腦上產生額外的處理。

如果使用,則必須在處理軟體更新的Configuration Manager主控台上啟用 CRL 檢查。

啟用 CRL 檢查

在執行 CRL 檢查的電腦上,從產品 DVD 中,從命令提示字元執行下列命令:\SMSSETUP\BIN\X64\<language>\UpdDwnldCfg.exe /checkrevocation

例如,針對英文 (美國) 執行 \SMSSETUP\BIN\X64\00000409\UpdDwnldCfg.exe /checkrevocation