主页 / server / 问题 / 809645
Accepted
wrieedx
Asked: 2016-10-18 17:30:40 +0800 CST

如何在 WSUS 中自动拒绝质量汇总更新

  • 772

您可能知道,现在无法选择特定更新来批准或拒绝旧 Windows 操作系统的 WSUS。对于服务器,一般来说现在只有两种类型:一个月的安全更新汇总,以及包括所有安全和“质量”更新的综合汇总。

对于服务器,我只对评估和批准安全更新感兴趣,我会拒绝所有“质量”更新。但是,质量和安全更新似乎被归为同一类和 MSRC 分类类别。区分两者的唯一方法似乎是更新标题本身(即更新标题是否包含“质量”)。

由于质量更新和安全更新的名称非常相似,而且我无法在 WSUS 视图中看到将它们完全分开的简单方法,我担心最终我或其他人会粗心并批准一个错误地更新质量。缓解该问题的最佳方法是简单地自动拒绝所有质量更新。

有人知道怎么做这个吗?另一种解决方案可能是在 WSUS 中找到一个更容易区分质量和安全更新的视图,或者首先在 WSUS 中不显示服务器质量更新。

WSUS 服务器是 Windows 2008 R2,WSUS 版本是 3.2.7600.226。

windows windows-update wsus

1 个回答

  1. Best Answer

    此 powershell 脚本可用于自动阻止 WSUS 中的所有新质量更新。它必须直接在 WSUS 服务器上运行。至于脚本是如何工作的,首先脚本会搜索标题中带有“质量”一词的未经批准的可安装更新。如果发现任何此类更新,则会列出它们,并且用户可以通过输入提示选择是否继续并阻止更新。

    [void][reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer();
$updateScope = New-Object Microsoft.UpdateServices.Administration.UpdateScope
# Retrieve only updates that have not yet been approved
$updateScope.ApprovedStates = [Microsoft.UpdateServices.Administration.ApprovedStates]::NotApproved
# Retrieve only updates that are installable
$updateScope.IncludedInstallationStates = [Microsoft.UpdateServices.Administration.UpdateInstallationStates]::NotInstalled
$totalUpdateCount = $wsus.GetUpdateCount($updateScope)
$qualityUpdates = $wsus.GetUpdates($updateScope) | Where-Object {$_.Title -like '*quality*'} 
$qualityUpdateCount = $qualityUpdates.Length
if ($qualityUpdateCount -gt 0) {
    $qualityUpdates | select title
    Write-Host "=========================================="
    $confirmation = Read-Host "$qualityUpdateCount quality updates out of $totalUpdateCount total non-approved installable updates were found. Decline? (y/n)"
    if ($confirmation -eq 'y') {
        $wsus.GetUpdates($updateScope) | Where-Object {$_.Title -like '*quality*'}  | ForEach {
            Write-Verbose ("Declining {0}" -f $_.Title) -Verbose
            $_.Decline()
        }
    }
} Else {
    Write-Host "No non-approved installable updates were found."
}

    如果您想自动拒绝质量更新,请将上述脚本的略微修改版本作为 Windows 任务运行。

    [void][reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer();
$updateScope = New-Object Microsoft.UpdateServices.Administration.UpdateScope
# Retrieve only updates that have not yet been approved
$updateScope.ApprovedStates = [Microsoft.UpdateServices.Administration.ApprovedStates]::NotApproved
# Retrieve only updates that are installable
$updateScope.IncludedInstallationStates = [Microsoft.UpdateServices.Administration.UpdateInstallationStates]::NotInstalled
$totalUpdateCount = $wsus.GetUpdateCount($updateScope)
$qualityUpdates = $wsus.GetUpdates($updateScope) | Where-Object {$_.Title -like '*quality*'} 
$qualityUpdateCount = $qualityUpdates.Length
if ($qualityUpdateCount -gt 0) {
    $wsus.GetUpdates($updateScope) | Where-Object {$_.Title -like '*quality*'}  | ForEach {
        $_.Decline()
    }
}

    注意:我在Boe Prox 的 WSUS powershell scripting tutorial 的帮助下编写了上述脚本。

    • 0

相关问题