Остановите обновления функций и правильно управляйте ими через WSUS

Question

В последние несколько месяцев системы обновлялись случайным образом, обновление не одобрено в WSUS и получено непосредственно с серверов Miccrosoft.

Обновление до 1709/1703 не управляется WSUS и должно контролироваться. А обновление до следующего обновления функции должно быть правильно выполнено в рамках всего предприятия в любое время простоя.

Настройка "Отложить обновление функций" GPO остановил прямое обновление до сборки 1709, но не до 1703, потому что ...

«Теперь, когда Microsoft рекомендует версию 1703, сборка 15063.483, срок действия параметра" Отложить обновления функций "истек, и вы получаете готовую для бизнеса версию Обновления создателей Win10». (Это, несмотря на тот факт, что в 1703 году на крыльях ожидают массовые исправления ошибок.) Больше не существует "Текущей ветки для бизнеса", но вместо этого применяется пуля "Microsoft рекомендует". Если вы откладывали обновления, ваша отсрочка просто закончилась (см. Скриншот). " - это для меня новость!

Источник: https://www.computerworld.com/article/3211375/microsoft-windows/win10-machines-with-defer-feature-up....

Это моя текущая конфигурация Центра обновления Windows:

DeferQualityUpdates   REG_DWORD   0x0             (not enabled)
DeferFeatureUpdates   REG_DWORD   0x1         (enabled)
BranchReadinessLevel   REG_DWORD   0x20        (set to current branch for business)
DeferFeatureUpdatesPeriodInDays   REG_DWORD   0xb4   (180 days)
ElevateNonAdmins   REG_DWORD   0x0           (Users in the Users security group are allowed to approve or disapprove update )
WUServer   REG_SZ   http://WSUS:8530          (Specified intranet source)
WUStatusServer   REG_SZ   http://WSUS:8530

Обновление до 1703 не управляется WSUS и должно контролироваться. А обновление до следующего обновления функции должно быть правильно выполнено в рамках всего предприятия в любое время простоя.

Есть ли способ?

• Определите, к каким серверам подключаются системы при получении обновления функции и блокируют связь? (т. е. прекращение подключений к серверам Microsoft с помощью управления контентом конечной точки или пограничного межсетевого экрана - без обновления Office 365)

Что я сделал до сих пор

• Понятное 1703 теперь рекомендуется для бизнеса (но я все еще не хочу его)

• Попытка настроить локальный объект групповой политики «Не подключаться к каким-либо локальным центрам Windows Update», но он также заблокировал доступ к WSUS, несмотря на следующее примечание. Эта политика применяется только в том случае, если этот компьютер настроен для подключения к службе обновления интрасети с помощью «Указать». политика расположения службы обновлений Microsoft в интрасети - она уже настроена на уровне групповой политики, но игнорируется

• Предполагалось занести в черный список следующее приложение / файлы на консоли управления конечными точками, чтобы предотвратить запуск помощника по обновлению Windows, но у него не было времени для тестирования:

  

Answer 1

Повторение того же ответа для Windows 10 обходит WSUS, который я также дал здесь по поводу ошибки сервера, поскольку OP совершает ту же ошибку.

Решение очень простое, убедитесь, что ваша копия Windows 10 не имеет ни одного из следующих имен значений, перечисленных в HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate , если вы работаете в Windows 10 OS - версия воздействия: 1511 & 1607 ,

 DeferFeatureUpdates
 DeferFeatureUpdatesPeriodInDays
 DeferQualityUpdates
 DeferQualityUpdatesPeriodInDays
 PauseFeatureUpdatesStartTime
 PauseQualityUpdatesStartTime
 ExcludeWUDriversInQualityUpdate

Далее в той же статье "Почему управляемые клиенты WSUS и SCCM обращаются к Microsoft Online":

Что здесь только что произошло? Разве это не обновление или обновление политики отсрочки?

Не в управляемой среде. Эти политики предназначены для Центра обновления Windows для бизнеса (WUfB).

Центр обновления Windows для бизнеса, также известный как WUfB, позволяет администраторам информационных технологий постоянно обновлять устройства Windows 10 в своей организации, используя новейшие средства защиты и функции Windows, напрямую подключая эти системы к службе Центра обновления Windows.

Мы также рекомендуем не использовать эти новые настройки с WSUS/SCCM.

Если вы уже используете предварительное решение для управления обновлениями / обновлениями Windows, использование новых настроек WUfB позволит вашим клиентам также обращаться к Microsoft Update через Интернет для получения обновлений, минуя конечную точку WSUS/SCCM.

Для управления обновлениями у вас есть два решения:

1. Используйте WSUS (или SCCM) и управляйте тем, как и когда вы хотите развертывать обновления и обновления на компьютерах с Windows 10 в вашей среде (в вашей внутренней сети).
2. Используйте новые параметры WUfB для управления тем, как и когда вы хотите развертывать обновления и обновления на компьютерах с Windows 10 в вашей среде, напрямую подключаясь к Центру обновления Windows.

- «Почему управляемые клиенты WSUS и SCCM обращаются к Microsoft Online» : автор этого поста - Шадаб Рашид, технический советник по устройствам и развертыванию Windows (9 января 2017 г.), группа Microsoft Windows Server .

ПРИМЕЧАНИЕ. Имейте в виду, что в списке названий значений реестра из упомянутой статьи Microsoft есть опечатки.

Answer 2

Правильно ли я понимаю вопрос, что вы хотите управлять ВСЕМИ обновлениями, включая обновления функций, через WSUS?

Звучит так, будто вы столкнулись с проблемой "двойного сканирования", когда локальные компьютеры выходят прямо в Центр обновления Windows для получения обновлений функций. Начиная с 1607, вы сможете остановить это поведение с помощью этой групповой политики:

Конфигурация компьютера> Политики> Административные шаблоны> Компоненты Windows> Центр обновления Windows> Не разрешать политикам отсрочки обновления вызывать сканирование в Центре обновления Windows

Подробности: https://blogs.technet.microsoft.com/wsus/2017/08/04/improving-dual-scan-on-1607/

Я просто настраиваю это сам, поэтому у меня пока нет прямого опыта. Если я правильно читаю эту статью, при включенной политике Windows не будет автоматически выходить в WU для обновления функций, и если пользователь запрашивает обновления непосредственно из WU, любые политики отсрочки будут соблюдаться.