Parar Atualizações de recursos e gerenciá-los adequadamente via WSUS

1

Nos últimos meses, os sistemas foram atualizados aleatoriamente, a atualização não é aprovada no WSUS e é obtida diretamente dos Servidores Miccrosoft.

A atualização para 1709/1703 não é gerenciada pelo WSUS e precisa ser controlada. E a atualização para a próxima atualização de recursos precisa ser executada corretamente nos negócios da minissérie em qualquer tempo de inatividade.

Configurando "Adiar Atualizações de Recursos" O GPO interrompeu a atualização direta para a compilação 1709 - mas não a atualização para 1703 porque ...

"Agora que a Microsoft recomenda a versão 1703 build 15063.483, sua configuração" Defer feature updates "expirou, e você está obtendo a versão pronta para o negócio do Win10 Creators Update. (Isso, apesar do fato que há um grande lote de correções de bugs nos bastidores para 1703.) Não há mais "Branch Atual para Negócios", mas a "recomendação da Microsoft" é aplicada em seu lugar. Se você estava adiando as atualizações, seu adiamento acabou (veja a captura de tela). " - isso é novidade para mim!

Fonte: link ....

Esta é a minha configuração atual do Windows Update em:

DeferQualityUpdates   REG_DWORD   0x0             (not enabled)
DeferFeatureUpdates   REG_DWORD   0x1         (enabled)
BranchReadinessLevel   REG_DWORD   0x20        (set to current branch for business)
DeferFeatureUpdatesPeriodInDays   REG_DWORD   0xb4   (180 days)
ElevateNonAdmins   REG_DWORD   0x0           (Users in the Users security group are allowed to approve or disapprove update )
WUServer   REG_SZ   http://WSUS:8530          (Specified intranet source)
WUStatusServer   REG_SZ   http://WSUS:8530

A atualização para 1703 não é gerenciada pelo WSUS e precisa ser controlada. E a atualização para a próxima atualização de recursos precisa ser executada corretamente nos negócios da minissérie em qualquer tempo de inatividade.

Existe uma maneira de?

  • Identifique a quais servidores um sistema se conecta ao extrair o recurso atualizar e bloquear comunicações? (por exemplo, Pare as conexões com o Microsoft Servidores por meio de controle de conteúdo de endpoint ou Firewall de Limite - sem efetuar atualizações do Office 365)

O que eu fiz até agora

  • Entendemos que 1703 agora é recomendado para negócios (mas eu ainda não quer isso)

  • Tentativa de configurar "Não conectar a nenhuma Internet do Windows Update Locais "GPO local, mas bloqueou o acesso ao WSUS também, apesar do nota seguinte: Esta política se aplica somente quando este PC está configurado para se conectar a um serviço de atualização de intranet usando o "Especificar intranet Microsoft Update Service Location "política - isso já é configurado em um nível de Diretiva de Grupo, mas está sendo ignorado

  • Considerou a lista negra dos seguintes aplicativos / arquivos no endpoint console de gerenciamento para impedir que o assistente de atualização do Windows correndo - mas não teve tempo para testar:

por IT Apprentice 24.01.2018 / 16:04

2 respostas

1

Repetindo a mesma resposta para o Windows 10 contorna o WSUS , que eu tinha dado na falha do servidor aqui também, já que o OP está cometendo o mesmo erro.

A solução é muito simples, certifique-se de que sua cópia do Windows 10 não tenha nenhum dos seguintes nomes de valor listados em HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate , se você estiver executando o Windows 10 OS - versão de impacto: 1511 & 1607.

 DeferFeatureUpdates
 DeferFeatureUpdatesPeriodInDays
 DeferQualityUpdates
 DeferQualityUpdatesPeriodInDays
 PauseFeatureUpdatesStartTime
 PauseQualityUpdatesStartTime
 ExcludeWUDriversInQualityUpdate

Mais citações do mesmo artigo :

What just happened here? Aren’t these update or upgrade deferral policies?

Not in a managed environment. These policies are meant for Windows Update for Business (WUfB).

Windows Update for Business aka WUfB enables information technology administrators to keep the Windows 10 devices in their organization always up to date with the latest security defenses and Windows features by directly connecting these systems to Windows Update service.

We also recommend that you do not use these new settings with WSUS/SCCM.

If you are already using an on-prem solution to manage Windows updates/upgrades, using the new WUfB settings will enable your clients to also reach out to Microsoft Update online to fetch update bypassing your WSUS/SCCM end-point.

To manage updates, you have two solutions:

  1. Use WSUS (or SCCM) and manage how and when you want to deploy updates and upgrades to Windows 10 computers in your environment (in your intranet).
  2. Use the new WUfB settings to manage how and when you want to deploy updates and upgrades to Windows 10 computers in your environment directly connecting to Windows Update.

"Why WSUS and SCCM managed clients are reaching out to Microsoft Online" : This post was authored by Shadab Rasheed, Technical Advisor, Windows Devices & Deployment (9 January 2017), Microsoft Windows Server Team .

OBSERVAÇÃO: Esteja ciente de que a lista de nomes de valor do Registro mencionada no artigo da Microsoft possui erros de digitação.

    
por 24.01.2018 / 18:37
0

Eu entendi a pergunta corretamente, que você deseja gerenciar TODAS as atualizações, incluindo upgrades de recursos, via WSUS?

Parece que você está atingindo o problema "Dual Scan", em que as máquinas locais estão saindo diretamente para o Windows Update para obter atualizações de recursos. A partir de 1607, você deve conseguir interromper esse comportamento com essa política de grupo:

Configuração do computador > Políticas > Modelos Administrativos > Componentes do Windows > Atualização do Windows > Não permitir que políticas de adiamento de atualizações causem verificações no Windows Update

Detalhes: link

Eu mesmo estou configurando isso para que eu não tenha experiência direta ainda. Se eu estiver lendo esse artigo corretamente, com essa política ativada, o Windows não sairá automaticamente para o WU para atualizações de recursos e se um usuário solicitar atualizações diretamente do WU, todas as políticas de adiamento serão respeitadas.

    
por 27.06.2018 / 01:41