读书笔记摘抄新闻资讯Windows Update for Business
优势
缺失的补丁就像脆弱的密码。追溯历史上最严重的漏洞,缺失的补丁是根本原因。无论是远程shell利用、拒绝服务攻击还是恶意软体感染,缺少补丁的Windows系统时刻面临安全风险。然而,似乎有一些管理员并没有及时解决这个问题。
现有的补丁管理具有诸多挑战,例如推迟交付、平台碎片以及相关的财务成本,更不用说安全风险了。Windows Update for Business是对传统Windows更新管理的替代品,主要围绕Windows 10作业系统。针对Windows Pro和Windows企业版本提供免费支持,Windows Update for Business将提供许多好处,可以更好地保护网路安全:
“发布圈”(Distribution rings)允许管理员定义系统更新级别。Windows Update for Business通过这种方式,你可以确定哪些系统是最关键和最不关键的,并以一个更结构化的方法推送补丁。
点对点(peer-to-peer)交付让管理员在向远程站点交付更新时节省频宽,Windows Update for Business同时在必须推送超临界补丁时显着节省时间。
维护视窗允许管理员创建运行更新的时间表。解决了Windows Update for Business自动套用补丁的老问题,避免了在最糟糕时刻破坏关键系统的情况。
Windows Server更新服务和相关工具与System Center Configuration Manager集成, 允许Windows Update for Business继续通过相同的接口管理系统。
微软建议用户升级到Windows 10,思考如何使用这一新的修补方法。然后具体实施进行实践。Windows Update for Business听起来不错,但我不认为IT部门会不顾一切地升级到Windows 10。不过,Windows Update for Business倒是应该增加更多的魅力,因为它不仅影响到工作站的管理,同时也会影响到更高级的功能,比如如何管理活动目录和GPO。
失蹤的Windows补丁是最常见的安全漏洞。在微软的防御,研究表明,许多利用进行由于Windows Update for Business缺少第三方软体补丁,而不是Windows补丁。但是,这是有问题的。Windows更新业务可以帮助缓解这个问题。
Windows补丁缺失是最常见的安全漏洞。虽然据微软表示有研究表明很多攻击是由于缺少第三方软体补丁,而不是Windows补丁。但是,该问题仍然不容忽略。Windows Update for Business可以帮助企业缓解这方面问题。
适用範围
适用範围:System Center Configuration Manager (Current Branch)
当基于 Windows 10 的设备直接连线到 Windows Update (WU) 服务时,Windows Update for Business (WUfB) 能够让你使组织中的这些设备始终具有最新的安全防御和 Windows 功能。 Configuration Manager 能够区分使用 WUfB 和 WSUS 来获取软体更新的 Windows 10 计算机。
当 Configuration Manager 客户端配置为从 WU 接收更新后(其中包括 WUfB 或 Windows 预览体验成员),一些 Configuration Manager 功能将不再可用:
- Windows Update 符合性报告:
- Configuration Manager 将不会察觉发布到 WU 的更新。 配置为从 WU 接收更新的 Configuration Manager 客户端将会在 Configuration Manager 控制台中将这些更新显示为“未知”。
- 针对总体符合性状态的故障排除会很困难,因为“未知” 状态曾仅用于尚未报告从 WSUS 返回的扫描状态的客户端。 现在,它还包括从 WU 接收更新的 Configuration Manager 客户端。
- 基于更新符合性状态的条件性访问(用于企业资源)对从 WU 接收更新的客户端将无法按预期方式运行,因为它们将永远不会满足 Configuration Manager 的符合性。
- 定义更新符合性是整体更新符合性报告的一部分,也无法按预期方式工作。 定义更新符合性也是条件性访问评估的一部分
基于更新符合性状态的 Defender 的总体 Endpoint Protection 报告将不会返回準确的结果,因为缺少扫描数据。
Configuration Manager 将无法将 Microsoft 更新(如 Office、IE 和 Visual Studio)部署到连线 WUfB 以接收更新的客户端。
Configuration Manager 将无法将发布到 WSUS 并通过 Configuration Manager 管理的第三方更新部署到连线 WUfB 以接收更新的客户端。
使用软体更新基础结构的 Configuration Manager 完整客户端部署将不能用于连线 WUfB 以接收更新的客户端。
客户端
使用以下步骤标识使用 WUfB 以获取 Windows 10 更新和升级的客户端,将这些客户端配置为停止使用 WSUS 来获取更新,并部署客户端代理设定来禁用这些客户端的软体更新工作流。
先决条件
- 运行 Windows 10 桌面专业版或 Windows 10 企业版的版本 1511 或更高版本的客户端
- 部署了Windows Update for Business,并且客户端使用 WUfB 来获取 Windows 10 更新和升级。
标识使用 WUfB 的客户端
- 禁用 Windows 更新代理,以便它不会针对 WSUS 进行扫描(如果以前已启用)。
可以设定注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\UseWUServer,以指示是否针对 WSUS 或 Windows 更新扫描计算机。 如果值是 2,不会针对 WSUS 进行扫描。 - 存在新属性“UseWUServer”(Configuration Manager 资源浏览器中“Windows 更新”节点下)。
- 基于UserWUServer属性为通过 WUfB 连线以获取更新和升级的所有计算机创建一个集合。
- 创建客户端代理设定以禁用软体更新工作流,并将该设定部署到直接连线到 WUfB 的计算机的集合。
- 通过 WUfB 管理的计算机会在符合性状态中显示“未知”,且不会计入总体符合性百分比中。