我正在努力改进我的 WSUS,并被要求弄清楚如何自动批准“重要”更新。目前,我们自动更新关键更新、定义更新或安全更新。
我了解到 Microsoft 网站和 WSUS 之间存在语义差异(http://www.winvistatips.com/threads/update-categories-in-wsus-vs-microsoft.748317/)。
我想知道是否有办法自动批准 Microsoft 网站归类为重要的更新。如能提供任何帮助,我将不胜感激。
答案1
我的建议是仅为有限的一组 Windows 更新配置自动批准规则,通常是任何被归类为安全更新的内容,并且仅适用于有限的一组服务器和工作站。
然后,您可以在一段时间的测试之后为更广泛的服务器和工作站手动批准这些更新。
另外,请注意分类对阵严重程度微软有益地重新使用了“关键”一词来指代 Windows 更新的分类和严重程度评级因此,您拥有修复特定问题的关键更新,该问题解决了关键的、与安全无关的错误(分类),并且您拥有严重性等级为关键的安全更新。您会注意到,严重性等级为“重要”的更新也适用同样的规则。
我对 Windows 更新的关注主要在于确保安全漏洞得到修复,因此我只对归类为安全更新的更新设置自动批准规则,无论其严重程度如何。如果我发现需要部署的关键更新,这通常是我们组织一次性的。我不会考虑其他更新。
还请注意,服务包和功能汇总包含安全更新以及许多其他内容。您需要非常仔细地考虑如何处理这些更新分类,因为它们包含很多其他内容。再次强调,我的组织关注的是安全漏洞,因此除非我们有特定需要,否则我们不会自动或广泛批准服务包或更新汇总。
我建议您仅自动批准安全更新,并对关键更新进行更有选择性,但这确实是您的组织中效果最好的方法。
答案2
我认为混淆之处不在于自动批准流程,而在于微软的术语。列为重要的更新实际上只是安全更新话虽如此,有多种方法可以批准这些更新,无论您喜欢 GUI 还是 powershell 都取决于您。
另外,请记住重要更新是非MS 认为至关重要的安全相关更新。至关重要安全更新被列为安全更新,其中批判的严重程度等级。