【技术文档】通过SCCM进行补丁统一更新

一、简介：

通过SCCM（System Center Configuration Manager）进行补丁统一更新是一种集中管理和部署操作系统和应用程序更新的过程。SCCM提供了一个全面的解决方案，允许IT管理员在整个组织中高效地管理和应用更新。以下是通过SCCM进行补丁统一更新的简要介绍：

1. 集中管理：

   SCCM允许管理员从一个中心位置监控和管理所有客户端计算机的更新需求。这减少了需要单独管理每台计算机的复杂性。

2. 自动检测和评估：

   SCCM可以自动检测客户端计算机上的缺失更新，并评估哪些更新适用于每个系统。这确保了所有设备都能接收到必要的补丁。

3. 自定义更新部署：

   管理员可以创建自定义的更新部署包，选择特定的更新进行部署。这使得可以根据业务需求和策略来定制更新计划。

4. 排程和自动部署：

   SCCM支持更新的排程部署，允许管理员指定更新安装的时间和日期。这有助于最小化更新对业务运营的影响。

5. 软件更新点集成：

   SCCM与WSUS（Windows Server Update Services）紧密集成，允许使用WSUS作为更新源，确保补丁的及时性和一致性。

6. 合规性和报告：

   SCCM提供了详细的报告和合规性评估功能，使管理员能够跟踪更新的部署状态，并确保组织遵守安全和合规性要求。

7. 远程控制和维护：

   通过SCCM，管理员可以远程安装更新，即使客户端计算机不在本地网络中。这为远程工作和分支机构的管理提供了便利。

8. 冲突解决和测试：

   SCCM支持在部署之前对更新进行测试，以确保它们不会与现有系统或应用程序发生冲突。这有助于减少更新可能引起的问题。

通过SCCM进行补丁统一更新，IT管理员可以确保组织的计算机和应用程序保持最新，从而提高安全性、稳定性和生产力。这个过程有助于减少安全风险，确保软件的持续运行，并支持合规性要求。

二、前提条件：

通过SCCM（System Center Configuration Manager）进行补丁统一更新的前提条件包括以下几个关键步骤和要求：

1. WSUS集成：首先需要在SCCM环境中集成WSUS（Windows Server Update Services）。WSUS作为补丁管理的基础设施，负责与Microsoft Update服务器同步补丁和更新。

2. 软件更新点的安装：在SCCM站点中安装软件更新点站点系统角色。这个角色负责与WSUS服务交互，以配置软件更新设置并请求同步。

3. 配置WSUS端口：在安装WSUS时，应选择合适的端口（例如8530），以避免与SCCM客户端的默认80端口冲突。

4. 同步软件更新：在SCCM控制台中，通过“软件库”选项卡下的“软件更新”节点启动软件更新同步过程。这将触发WSUS与Microsoft Update服务器的同步。

5. 组策略配置：需要配置组策略，让客户端计算机的自动更新设置为通过SCCM服务器来完成。这包括指定Intranet Microsoft更新服务位置和配置自动更新策略。

6. 创建软件更新组：在SCCM控制台中，根据需要分发的更新创建软件更新组。这可以通过“创建软件更新组”向导完成，选择特定的更新并定义更新组的属性。

7. 部署包和分发点的设置：创建新的部署包，并指定分发点或分发点组。分发点负责将更新内容分发到网络中的客户端计算机。

8. 部署软件更新：在定义了更新组和部署包之后，可以开始部署软件更新到特定的集合或设备。这包括设置部署类型、部署时间、用户体验和其他相关选项。

9. 自动部署规则：SCCM还支持自动部署规则，允许在满足特定条件时自动下载和部署更新。这可以基于时间计划（例如每月一次）来自动执行。

10. 测试和监控：在广泛部署之前，建议对更新进行测试，以确保它们不会对现有业务产生负面影响。同时，需要监控更新的部署状态和客户端的合规性。

三、安装步骤：

3.1 组策略设置客户端

1. 创建组策略并设置名称

2. 右键编辑

3. 找到配置自动更新并启用

4. 启用指定Intranet Microsoft更新服务位置

3.2 WSUS发现所有计算机

1. 使用命令gpupdate /force更新组策略（有未显示的计算机，则可以手动执行更新组策略命令，或者等待90-120min就会显示）

2. 添加计算机组

3. 创建完成后，效果如图

4. 若要进行安装某项更新，右键此更新，选择审批

        5. 确定将此安全更新审批给你需要进行更新的计算机组

        

        6. 客户端默认每隔17.6-22小时才会连接服务器检查是否有更新程序下载

客户端可以通过组策略自动更新检查频率来更新检查时间。

        7.拒绝更新程序

右键单击某个更新，选择拒绝，系统将解除其审批，同时在WSUS数据库内与此更新有关的报告数据都将删除，并且在WSUS中找不到此更新程序。想要看到被拒绝的更新，可以到审批处选择已拒绝的更新

 

        8.自动审批更新程序

可以设置当WSUS服务器与Windows Update同步时，自动审批下载的更新程序。

 

允许来自Intranet Microsoft更新服务位置的签名更新（启用此策略表明wsus服务器允许Microsoft以外实体签名的更新，但此更新必须是由本地计算机的“受信任的发布者”证书存储中的证书签名）简而言之，客户端安装的更新必须是具有有效数字签名的更新 

 

3.3 对运维主机进行统一补丁更新 

1. 创建共享文件夹

        2. 我们选择补丁，右键下载

 

        3.添加分发点

        4. 按照补丁类型进行设置分发优先级

         5. 默认下载的软件更新的源位置

         6. 默认设置

         7.进行下载

 

 

 

四、测试和验证：

重启完成后，在软件中心就没有显示补丁