優勢,適用範圍,客戶端,
優勢
缺失的補丁就像脆弱的密碼。追溯歷史上最嚴重的漏洞,缺失的補丁是根本原因。無論是遠程shell利用、拒絕服務攻擊還是惡意軟體感染,缺少補丁的Windows系統時刻面臨安全風險。然而,似乎有一些管理員並沒有及時解決這個問題。
現有的補丁管理具有諸多挑戰,例如推遲交付、平台碎片以及相關的財務成本,更不用說安全風險了。Windows Update for Business是對傳統Windows更新管理的替代品,主要圍繞Windows 10作業系統。針對Windows Pro和Windows企業版本提供免費支持,Windows Update for Business將提供許多好處,可以更好地保護網路安全:
“發布圈”(Distribution rings)允許管理員定義系統更新級別。Windows Update for Business通過這種方式,你可以確定哪些系統是最關鍵和最不關鍵的,並以一個更結構化的方法推送補丁。
點對點(peer-to-peer)交付讓管理員在向遠程站點交付更新時節省頻寬,Windows Update for Business同時在必須推送超臨界補丁時顯著節省時間。
維護視窗允許管理員創建運行更新的時間表。解決了Windows Update for Business自動套用補丁的老問題,避免了在最糟糕時刻破壞關鍵系統的情況。
Windows Server更新服務和相關工具與System Center Configuration Manager集成, 允許Windows Update for Business繼續通過相同的接口管理系統。
微軟建議用戶升級到Windows 10,思考如何使用這一新的修補方法。然後具體實施進行實踐。Windows Update for Business聽起來不錯,但我不認為IT部門會不顧一切地升級到Windows 10。不過,Windows Update for Business倒是應該增加更多的魅力,因為它不僅影響到工作站的管理,同時也會影響到更高級的功能,比如如何管理活動目錄和GPO。
失蹤的Windows補丁是最常見的安全漏洞。在微軟的防禦,研究表明,許多利用進行由於Windows Update for Business缺少第三方軟體補丁,而不是Windows補丁。但是,這是有問題的。Windows更新業務可以幫助緩解這個問題。
Windows補丁缺失是最常見的安全漏洞。雖然據微軟表示有研究表明很多攻擊是由於缺少第三方軟體補丁,而不是Windows補丁。但是,該問題仍然不容忽略。Windows Update for Business可以幫助企業緩解這方面問題。
適用範圍
適用範圍:System Center Configuration Manager (Current Branch)
當基於 Windows 10 的設備直接連線到 Windows Update (WU) 服務時,Windows Update for Business (WUfB) 能夠讓你使組織中的這些設備始終具有最新的安全防禦和 Windows 功能。 Configuration Manager 能夠區分使用 WUfB 和 WSUS 來獲取軟體更新的 Windows 10 計算機。
當 Configuration Manager 客戶端配置為從 WU 接收更新後(其中包括 WUfB 或 Windows 預覽體驗成員),一些 Configuration Manager 功能將不再可用:
- Windows Update 符合性報告:
- Configuration Manager 將不會察覺發布到 WU 的更新。 配置為從 WU 接收更新的 Configuration Manager 客戶端將會在 Configuration Manager 控制台中將這些更新顯示為“未知”。
- 針對總體符合性狀態的故障排除會很困難,因為“未知” 狀態曾僅用於尚未報告從 WSUS 返回的掃描狀態的客戶端。 現在,它還包括從 WU 接收更新的 Configuration Manager 客戶端。
- 基於更新符合性狀態的條件性訪問(用於企業資源)對從 WU 接收更新的客戶端將無法按預期方式運行,因為它們將永遠不會滿足 Configuration Manager 的符合性。
- 定義更新符合性是整體更新符合性報告的一部分,也無法按預期方式工作。 定義更新符合性也是條件性訪問評估的一部分
基於更新符合性狀態的 Defender 的總體 Endpoint Protection 報告將不會返回準確的結果,因為缺少掃描數據。
Configuration Manager 將無法將 Microsoft 更新(如 Office、IE 和 Visual Studio)部署到連線 WUfB 以接收更新的客戶端。
Configuration Manager 將無法將發布到 WSUS 並通過 Configuration Manager 管理的第三方更新部署到連線 WUfB 以接收更新的客戶端。
使用軟體更新基礎結構的 Configuration Manager 完整客戶端部署將不能用於連線 WUfB 以接收更新的客戶端。
客戶端
使用以下步驟標識使用 WUfB 以獲取 Windows 10 更新和升級的客戶端,將這些客戶端配置為停止使用 WSUS 來獲取更新,並部署客戶端代理設定來禁用這些客戶端的軟體更新工作流。
先決條件
- 運行 Windows 10 桌面專業版或 Windows 10 企業版的版本 1511 或更高版本的客戶端
- 部署了Windows Update for Business,並且客戶端使用 WUfB 來獲取 Windows 10 更新和升級。
標識使用 WUfB 的客戶端
- 禁用 Windows 更新代理,以便它不會針對 WSUS 進行掃描(如果以前已啟用)。
可以設定註冊表項HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\UseWUServer,以指示是否針對 WSUS 或 Windows 更新掃描計算機。 如果值是 2,不會針對 WSUS 進行掃描。 - 存在新屬性“UseWUServer”(Configuration Manager 資源瀏覽器中“Windows 更新”節點下)。
- 基於UserWUServer屬性為通過 WUfB 連線以獲取更新和升級的所有計算機創建一個集合。
- 創建客戶端代理設定以禁用軟體更新工作流,並將該設定部署到直接連線到 WUfB 的計算機的集合。
- 通過 WUfB 管理的計算機會在符合性狀態中顯示“未知”,且不會計入總體符合性百分比中。
