停止功能升级并通过 WSUS 正确管理它们

停止功能升级并通过 WSUS 正确管理它们

在过去的几个月中,系统一直在随机升级,更新未在 WSUS 内批准,而是直接从微软服务器获取。

升级到 1709/1703 不受 WSUS 管理,需要进行控制。升级到下一个功能更新需要在整个业务范围内正确执行,以避免任何停机时间。

配置“延迟功能升级” GPO 停止直接升级到版本 1709 - 但不会停止升级到 1703,因为......

“现在微软推荐 1703 版本 15063.483,您的“推迟功能更新”设置已过期,您将获得适用于企业的 Win10 Creators Update 版本。(尽管有大量错误修复等待 1703 的发布。)不再有“当前企业分支”,但“微软推荐”项目将取而代之。如果您推迟更新,您的延期时间刚刚结束(见屏幕截图)。”- 这对我来说是新闻!

来源: https://www.computerworld.com/article/3211375/microsoft-windows/win10-machines-with-defer-feature-up....

这是我当前的 Windows 更新配置:

DeferQualityUpdates   REG_DWORD   0x0             (not enabled)
DeferFeatureUpdates   REG_DWORD   0x1         (enabled)
BranchReadinessLevel   REG_DWORD   0x20        (set to current branch for business)
DeferFeatureUpdatesPeriodInDays   REG_DWORD   0xb4   (180 days)
ElevateNonAdmins   REG_DWORD   0x0           (Users in the Users security group are allowed to approve or disapprove update )
WUServer   REG_SZ   http://WSUS:8530          (Specified intranet source)
WUStatusServer   REG_SZ   http://WSUS:8530

升级到 1703 不受 WSUS 管理,需要进行控制。并且升级到下一个功能更新需要在整个业务范围内正确执行,以避免任何停机时间。

有方法嗎?

  • 确定在提取功能更新和阻止通信时系统连接到哪些服务器?(即通过端点内容控制或边界防火墙停止与 Microsoft 服务器的连接 - 而不会影响 Office 365 更新)

我目前所做的

  • 了解 1703 现在推荐用于商业(但我仍然不想要它)

  • 尝试配置“不连接到任何 Windows 更新 Internet 位置”本地 GPO,但它也阻止了对 WSUS 的访问,尽管有以下说明:此策略仅适用于此 PC 配置为使用“指定内联网 Microsoft 更新服务位置”策略连接到内联网更新服务的情况 - 这已在组策略级别配置,但被忽略

  • 考虑在端点管理控制台上将以下应用程序/文件列入黑名单,以防止 Windows 升级助手运行 - 但还没有时间进行测试:

    C:\Windows10升级

答案1

重复同样的答案Windows 10 绕过 WSUS,由于 OP 犯了同样的错误,因此我也在这里给出了有关服务器故障的信息。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate解决方案非常简单,如果您运行的是 Windows 10 操作系统 - 影响版本:1511 和 1607,请确保您的 Windows 10 副本没有以下列出的任何值名称。

 DeferFeatureUpdates
 DeferFeatureUpdatesPeriodInDays
 DeferQualityUpdates
 DeferQualityUpdatesPeriodInDays
 PauseFeatureUpdatesStartTime
 PauseQualityUpdatesStartTime
 ExcludeWUDriversInQualityUpdate

进一步引用同一篇文章“为什么 WSUS 和 SCCM 管理的客户端要联系 Microsoft Online”

刚刚发生了什么?这不是更新或升级延期政策吗?

不在托管环境中。这些策略适用于 Windows Update for Business (WUfB)。

通过将这些系统直接连接到 Windows 更新服务,Windows Update for Business 又名 WUfB 可让信息技术管理员让组织中的 Windows 10 设备始终保持最新的安全防御和 Windows 功能。

我们还建议您不要将这些新设置与 WSUS/SCCM 一起使用。

如果您已经在使用本地解决方案来管理 Windows 更新/升级,则使用新的 WUfB 设置将使您的客户端也能够在线联系 Microsoft Update 来绕过您的 WSUS/SCCM 端点获取更新。

要管理更新,您有两种解决方案:

  1. 使用 WSUS(或 SCCM)并管理如何以及何时向您环境中(在您的内部网中)的 Windows 10 计算机部署更新和升级。
  2. 使用新的 WUfB 设置来管理如何以及何时将更新和升级部署到环境中直接连接到 Windows 更新的 Windows 10 计算机。

“为什么 WSUS 和 SCCM 管理的客户端要联系 Microsoft Online”:本文由 Windows 设备与部署技术顾问 Shadab Rasheed 撰写(2017 年 1 月 9 日), 微软 Windows Server 团队

笔记:请注意,提到的 Microsoft 文章的注册表值名称列表有拼写错误。

答案2

我是否正确理解了这个问题?您想通过 WSUS 管理所有更新(包括功能升级)吗?

听起来您确实遇到了“双重扫描”问题,即本地计算机直接进入 Windows 更新以获取功能升级。从 1607 开始,您应该能够使用此组策略停止该行为:

计算机配置 > 策略 > 管理模板 > Windows 组件 > Windows 更新 > 不允许更新延迟策略导致针对 Windows 更新的扫描

细节: https://blogs.technet.microsoft.com/wsus/2017/08/04/improving-dual-scan-on-1607/

我只是自己设置,所以我还没有直接的经验。如果我没有看错那篇文章,启用该策略后,Windows 将不会自动前往 WU 进行功能更新,如果用户直接向 WU 请求更新,任何延期政策都将得到尊重。

相关内容