Existe-t-il un moyen de désactiver «vérifier en ligne les mises à jour de la mise à jour Windows» dans les paramètres de mise à jour Windows?

10

J'ai configuré le serveur WSUS afin de préserver la bande passante dans le réseau alors que les mises à jour essentielles sont activées à l'aide de ce WSUS.

Le serveur WSUS Intranet pointant vers le PC client et d'autres paramètres sont poussés via des stratégies de groupe dans le contrôleur de domaine 2003.

Les stratégies suivantes sont configurées dans le domaine.

Section de configuration informatique

entrez la description de l'image ici

Section de configuration utilisateur

entrez la description de l'image ici

et son correctement configuré dans les clients de cette manière ..

entrez la description de l'image ici

mais je souhaite désactiver / supprimer,

(1) Possibilité pour les utilisateurs de vérifier les mises à jour (depuis son installation automatique prévue vendredi 16 h)

(2) Possibilité pour les utilisateurs d'installer les mises à jour

(3) possibilité de vérifier en ligne les mises à jour à partir de Windows (seulement je veux que wsus soit la source du téléchargement)

Si je dépasse la ligne au-dessus de 3 faits, dans les paramètres du client Windows 7, c'est ce que je souhaite désactiver

entrez la description de l'image ici

Est-ce possible à l'aide des stratégies de groupe Server 2003 existantes? Pour atteindre plus de 3 exigences? En tant que clients, nous avons des fenêtres xp, 7,8,8.1 qui nécessitent plus de 3 exigences.

Toute aide serait grandement appréciée.

Aravinda
la source
1
À l'exception de la possibilité de "Vérifier en ligne à partir de la mise à jour Windows", pourquoi supprimeriez-vous les deux autres options?
Andy
Je ne veux pas que l'utilisateur ait le moindre contrôle sur les mises à jour .. Au moins "Vérifier en ligne à partir de la mise à jour Windows" est désactivé, c'est bien si les deux autres ne sont pas possibles via la stratégie de groupe ou similaire
Aravinda
1
Vous pouvez empêcher les utilisateurs d'accéder aux mises à jour Windows et de rechercher des mises à jour avec la stratégie de groupe, qui se trouve sous les paramètres des mises à jour Windows sous Paramètres de configuration utilisateur.
joeqwerty
Je ne sais pas ce qui manque ici, j'ai édité et ajouté une section de configuration utilisateur. I.stack.imgur.com/zj2C5.png Qu'est-ce qui manque? peut-être que les stratégies de groupe de 2003 ne sont pas compatibles avec les derniers clients tels que 7/8, etc.?
Aravinda
1
c'est possible, mais pourquoi voudriez-vous que vos utilisateurs ne puissent pas installer les mises à jour quand ils en ont besoin? Je vois cela un peu souvent et je suis souvent perplexe car lorsque je fais des examens de sécurité, ce paramètre est un échec. C'est une garantie qu'une application ou un système peut être exploité. Par défaut, puisque vous avez configuré WU pour utiliser WSUS, la seule raison pour laquelle un utilisateur utiliserait WU est qu'il est éloigné du serveur WSUS ou que vous n'avez pas encore mis la mise à jour dans WSUS.
Jim B

Réponses:

11

Il y a des paramètres dans les politiques Server 2008/2012 qui ne sont pas accessibles sur votre serveur 2003, je pense, tels que «Ne vous connectez à aucun emplacement Internet Windows Update» sous les paramètres de l'ordinateur que vous montrez ci-dessus.

Je pense que les paramètres que vous recherchez dans un environnement 2003 sont les suivants:

Désactiver l'accès à Windows Update

La stratégie correcte pour les systèmes d'exploitation v6 pour atteindre l'objectif souhaité est: Désactiver l'accès à toutes les fonctionnalités de Windows Update

et se trouve dans Modèles d'administration | Système | Gestion des communications Internet | Paramètres de communication Internet

Si ce paramètre de stratégie est activé, toutes les fonctionnalités de Windows Update sont supprimées. Il bloque l'accès aux sites Web Microsoft Update et Windows Update et, dans Windows Vista, grise l'option Rechercher les mises à jour dans l'application Windows Update. La machine n'obtiendra pas de mises à jour automatiques directement à partir de Windows Update ou Microsoft Update, mais elle peut toujours obtenir des mises à jour à partir d'un serveur WSUS. Ce paramètre remplace les paramètres utilisateur Supprimer les liens et l'accès à Windows Update et Supprimer l'accès pour utiliser toutes les fonctionnalités de Windows Update. Pour désactiver l'accès à Windows Update
1.Dans l'Éditeur d'objets de stratégie de groupe, développez Configuration ordinateur, développez Modèles d'administration, développez Système, développez Gestion de la communication Internet, puis cliquez sur Paramètres de communication Internet.

2.Dans le volet d'informations, cliquez sur Désactiver l'accès à toutes les fonctionnalités de Windows Update, puis sur Activé.

3.Cliquez sur OK.

Le nettoyeur
la source
C'est génial .. "vérifier en ligne les mises à jour à partir de la mise à jour Windows" disparu en activant cette stratégie de groupe .. Je me demande maintenant quand un utilisateur clique sur vérifier la mise à jour, cela vérifiera-t-il les mises à jour de mon wsus interne? pas n'importe où?
Aravinda
1
Correct, depuis votre serveur WSUS.
TheCleaner
donc c'est génial .. C'est donc tout ce que je veux vraiment .. Merci beaucoup de partager cette grande pépite !!
Aravinda
@TheCleaner - Je viens de publier ceci - serverfault.com/questions/718232/… - Je pense que certaines étapes similaires peuvent aider - Et si le serveur WSUS télécharge les mises à jour de télémétrie non souhaitées, alors tous les clients l'obtiendront également?
Alex S
@Aravinda - Des réflexions sur ma question?
Alex S