O SCCM continua baixando atualizações expressas

SCCM 1710 com KB4086143 Hotfix Rollup, executado no Windows Server 2012 R2, configurado com um Software Update Point e WSUS no mesmo servidor.

Nem o SUP nem o WSUS foram configurados para baixar atualizações expressas. A política do cliente está definida para não usar Atualizações Expressas.

Um grupo de atualização de software e um pacote de implantação "baseline" são criados que - corretamente - não contêm atualizações expressas.

Uma regra de implantação automática é criada e esta é a que baixa persistentemente as atualizações expressas; um conjunto completo de atualizações para o mês anterior (apenas!) é de 65 gb. O ajuste fino para incluir apenas atualizações de segurança é de 25 gb.

Descartar e recriar o ADR não faz diferença.

Não estou preparado para descartar e recriar o SUP e o WSUS, a menos que possa ter uma garantia razoável de que isso será resolvido; tempo é dinheiro e eu já desperdicei o suficiente.

Parece que há rumores no TechNet de que este é um bug que deve ser corrigido em 180x; Estou disposto a atualizar para 1802, mas estamos no meio de uma implantação agora e os membros da equipe ficariam irritados. Vou levar isso no nariz se 1802 resolver, mas não consigo encontrar nenhuma indicação nas notas de lançamento ou KBs de que isso aconteça.

Uma ideia maluca é construir e configurar outro WSUS, usá-lo como upstream e bater nele até que ele não baixe as Atualizações Expressas. Não tenho ideia de como isso funcionaria na prática, prefiro uma correção mais limpa, mas estou disposto a experimentá-lo como medida provisória.

Alguma dessas opções é viável, recomendada ou existe outra maneira melhor de domar essa fera?

As respostas prospectivas podem presumir que este ambiente foi construído corretamente e de acordo com a documentação e as melhores práticas recomendadas.