윈도우 클라이언트 자동 업데이트 설정

윈도우 클라이언트 자동 업데이트 제어 검토

2015.12.17황인균

2황인균

최신 Windows Update Client for Windows 7(SP1)

Windows Update Client for Windows 7 and Windows Server 2008 R2: July 2015https://support.microsoft.com/en-us/kb/3065987

Windows Update Client for Windows 7 and Windows Server 2008 R2: October 2015https://support.microsoft.com/en-us/kb/3083710

How to update the Windows Update Agent to the latest versionhttps://support.microsoft.com/en-us/kb/949104

3황인균

Configure Automatic Updates Client

Determine a Method to Configure Clients참조 : https://technet.microsoft.com/en-us/library/cc708521(v=ws.10).aspx

How best to configure Automatic Updates and WSUS environment options depends upon your network environment.

사용자가 제어판 > Windows Update 에서 설정하는 방법 AD 환경

• Group Policy 이용 Non-AD 환경

• Local Group Policy 또는 레지스트리 이용

자세한 설정 내용은 뒤의 슬라이드 참조

4황인균


사용자 인터페이스를 통한 설정

제어판 > Windows Update

• 이렇게 설정한 값은 Windows 7 에서는 레지스트리의 다음 위치에 설정된다 . HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update 하위

5황인균

관리자에 의한 정책 설정 ( 그룹 정책 , 레지 설정 ) 은 2 개의 레지값에 따라서 그림처럼 결정된다 . 일단 NoAutoUpdate 을 통해서 자동 업데이트를 사용했는지 여부에 대한 판단을 하고 , 사용한다고 하면 구체적인 정책 즉 “업데이트 확인” , “ 업데이트 다운로드” , “ 업데이트 설치” 등에 대한 옵션을 AUOptions 을 통해서 확인하는 로직이다 .

1) NoAutoUpdate0 또는 데이터 자체가 없는 경우 : 자동업데이트 사용 ( 기본값 )1 : 자동업데이트 사용 안함

2) AUOptions2 (To notify for download and notify for install)3 (To auto download and notify for install)4 (To auto download and schedule the install)5 (To allow local admin to choose setting)

Configure Automatic Updates Client 관리자의 자동 업데이트 결정 로직

NoAutoUpdate

AUOptions 판단 업데이트

업데이트

종료Yes

No

6황인균

Configure Automatic Updates Client Computer

AD 환경 -( 로컬 ) 그룹정책 이용

• AD 그룹정책 (GPO) 사용 • GPO 에서 wuau.adm 템플릿 업데이트• 컴퓨터 구성 \ 관리 템플릿 \Windows 구성 요소 \Windows Update

7황인균


• 이렇게 설정한 값은 Windows 7 에서는 다음 레지스트리에 위치에 설정된다 . • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU 하위

AD 환경 -( 로컬 ) 그룹정책 이용 ( 계속 )

제어판의 사용자 인터페이스를 통한 설정과 관리자의 “그룹 정책 및 레지스트리를 통한 설정”한 결과는 다른 경로에 저장된다 .

8황인균

뒤에서 설명하는 관리자가 설정한 “그룹 정책이나 레지 변경”을 제거한다 . 예를 들어 다음 경로의 키를 제거한다 . HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AUhttp://9991.co.kr/xe/index.php?mid=board_rUso54&page=1&category=404&document_srl=2333

Administrator-defined configuration options driven by Group Policy—whether set with Group Policy in an Active Directory environment or via the registry or Local Group Policy object—always take precedence over user-defined options. When you use administrative policies to configure Automatic Updates, the Automatic Updates user interface is disabled on the target computer.https://technet.microsoft.com/en-us/library/cc708521(v=ws.10).aspx

관리자가 그룹정책 또는 레지를 이용해서 자동 업데이트 설정을 변경하면 , 사용자의 자동 업데이트 설정 화면은 회색으로 비활성화된다 .즉 관리자의 정책 설정은 사용자 화면 설정보다 우선한다 .


제어판의 업데이트 설정이 비활성화 된 경우

9황인균


클라이언트에 레지스트리를 배포해야 함HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate

GPEdit.msc 를 이용하여 구성을 셋팅

레지스트리 배포 방법 1• regedit 를 이용하여 레지스트리 셋팅을 .reg 파일로 export• reg import 명령을 이용하여 reg 파일 import

레지스트리 배포 방법 2• 3rd-party 클라이언트 관리 / 배포 솔루션을 이용

Non-AD 환경 - 레지스트리 수정

10황인균


Entry Name Values Data TypeElevateNonAdmins Range = 1|0

1 = Users in the Users security group are allowed to approve or disapprove up-dates.0 = Only users in the Administrators user group can approve or disapprove up-dates.

Reg_DWORD

TargetGroup Name of the computer group to which the computer belongs, used to implement client-side targeting—for example, "TestServers." This policy is paired with Tar-getGroupEnabled.

Reg_String

TargetGroupEnabled Range = 1|01 = Use client-side targeting.0 = Do not use client-side targeting. This policy is paired with TargetGroup.

Reg_DWORD

WUServer HTTP(S) URL of the WSUS server used by Automatic Updates and (by default) API callers. This policy is paired with WUStatusServer; both must be set to the same value in order for them to be valid.

Reg_String

WUStatusServer The HTTP(S) URL of the server to which reporting information will be sent for client computers that use the WSUS server configured by the WUServer key. This policy is paired with WUServer; both must be set to the same value in order for them to be valid.

Reg_String

1) Windows Update Agent Environment Options Registry Keys

11황인균


Entry Name Value Range and Meanings Data TypeAUOptions Range = 2|3|4|5

2 = Notify before download.3 = Automatically download and notify of installation. 4 = Automatic download and scheduled installation. (Only valid if values exist for ScheduledIn-stallDay and ScheduledInstallTime.)5 = Automatic Updates is required, but end users can configure it.

Reg_DWORD

AutoInstallMinorUpdates Range = 0|10 = Treat minor updates like other updates.1 = Silently install minor updates.

Reg_DWORD

DetectionFrequency Range=n; where n=time in hours (1-22). Time between detection cycles.

Reg_DWORD

DetectionFrequencyEnabled Range = 0|11 = Enable DetectionFrequency. 0 = Disable custom DetectionFrequency (use default value of 22 hours).

Reg_DWORD

NoAutoRebootWithLoggedOnUsers Range = 0|1;1 = Logged-on user gets to choose whether or not to restart his or her computer.0 = Automatic Updates notifies user that the computer will restart in 5 minutes.

Reg_DWORD

NoAutoUpdate Range = 0|10 = Enable Automatic Updates.1 = Disable Automatic Updates.

Reg_DWORD

RebootRelaunchTimeout Range=n; where n=time in minutes (1-1440). Time between prompting again for a scheduled restart.

Reg_DWORD

계속 >>

2) Automatic Updates Configuration Registry Keys

12황인균


RebootRelaunchTimeoutEn-abled

Range = 0|11 = Enable RebootRelaunchTimeout. 0 = Disable custom RebootRelaunchTimeout(use default value of 10 minutes).

Reg_DWORD

RebootWarningTimeout Range=n; where n=time in minutes (1-30). Length, in minutes, of the restart warning countdown after installing updates with a deadline or scheduled updates.

Reg_DWORD

RebootWarningTimeoutEnabled Range = 0|11 = Enable RebootWarningTimeout. 0 = Disable custom RebootWarningTimeout (use default value of 5 minutes).

Reg_DWORD

RescheduleWaitTime Range=n; where n=time in minutes (1-60).Time, in minutes, that Automatic Updates should wait at startup before applying updates from a missed scheduled installation time. Note that this policy applies only to scheduled installations, not deadlines. Updates whose deadlines have expired should always be installed as soon as possible.

Reg_DWORD

RescheduleWaitTimeEnabled Range = 0|11 = Enable RescheduleWaitTime

0 = Disable RescheduleWaitTime(attempt the missed installation during the next scheduled installation time).

Reg_DWORD

ScheduledInstallDay Range = 0|1|2|3|4|5|6|70 = Every day. 1 through 7 = The days of the week from Sunday (1) to Saturday (7).(Only valid if AUOptions equals 4.)

Reg_DWORD

ScheduledInstallTime Range = n; where n = the time of day in 24-hour format (0-23). Reg_DWORDUseWUServer The WUServer value is not respected unless this key is set. Reg_DWORD

2) Automatic Updates Configuration Registry Keys( 계속 )

13황인균


동일한 이미지로 중복된 SusClientID 값을 reset 하는 법

이미지 복제등의 방법으로 컴퓨터 고유의 SID 값이 동일할 경우 WSUSClient 값이 중복되어 리포트상에 관리가 되지 않게 됩니다 . 따라서 , WSUS 와 관련한 ID 를 리셋해야 합니다 .https://support.microsoft.com/en-us/kb/903262

해당 레지스트리값을 리셋하고 , 만일 해당 값이 리셋되었으면 skip 하는 Bat 을 작성하였습니다 .“Reset WSUS Autorization.bat” 이름으로 검색하면 나오지 않을까 ?https://support.microsoft.com/en-us/kb/903262

14황인균

Windows Updates 검토 결과

윈도우 OS 는 많은 기능을 자동 업데이트에 의존하고 있고 , 권장하는 듯 하다 . 윈도우 10 에서는 사용자가 직접 자동 업데이트 설정을 막을 수는 없다고 한다 . http://www.askvg.com/fixing-windows-10-automatic-updates-install-problem/Windows 10 에서는 사용자의 동의없이 자동으로 업데이트를 다운로드받고 인스톨한다고 한다 .

윈도우 OS 기능을 제대로 이용하기 위해서는 자동 업데이트를 허용하는 것이 바람직할 듯 하다 .

15황인균

QnA

Updates: frequently asked questionshttp://windows.microsoft.com/en-us/windows/updates-faq#1TC=windows-7

Understanding Windows automatic updatinghttp://windows.microsoft.com/en-us/windows/understanding-windows-automatic-updating#1TC=windows-7

Determine a Method to Configure Clientshttps://technet.microsoft.com/en-us/library/cc708521(v=ws.10).aspx