|
Windows Server WSUS部署完成后需要和微軟的補丁服務(wù)器進行同步,如果選擇的同步分類較多加上補丁日新月異的會有很多已經(jīng)被取代的補丁被下載����,大大的浪費了帶寬和磁盤空間。想要清理補丁也是頭痛的事情���,不可能一個一個的看補丁是否需要���。其實也不是每個補丁都是必要的,只要系統(tǒng)穩(wěn)定即可�。每個月或者每個季度給客戶端打一次安全更新、關(guān)鍵更新的補丁就行了�。下面是一個使用 PowerShell 拒絕審批取代補丁的腳本。
此腳本我在測試和生產(chǎn)環(huán)境中使用正常����,使用腳本需要謹(jǐn)慎,有條件還是建議備份系統(tǒng)后在測試使用����。一共有兩個腳本,第一個為刪除清理已經(jīng)下載的補丁目錄�����,第二個拒絕審批取代補丁。使用前先確認(rèn)幾個設(shè)置�,然后運行第一個腳本在執(zhí)行和微軟服務(wù)器同步后運行第二個腳本(兩個腳本都必須在Windows Server WSUS服務(wù)器上以管理員方式運行)后在手工批準(zhǔn)補丁下載。具體跟著下面的步驟走����。 0x01 確認(rèn)勾選的產(chǎn)品和分類根據(jù)自己的需求來勾選需要同步的產(chǎn)品和補丁的分類,勾選的越多同步的補丁就會越多�����。
 0x02 關(guān)閉自動審批的默認(rèn)規(guī)則不建議自動審批����,開啟后默認(rèn)會把所有的符合的補丁都審批了����,這是需要很大的磁盤空間的。如果生產(chǎn)環(huán)境中有win7�����、win8�、win10�����、office���、SQL及其他的微軟產(chǎn)品想象下補丁有多少?
 0x03 更新文件和語言關(guān)閉下載快速安裝文件����,我只需要已經(jīng)審批的補丁才下載,拒絕的補丁不下載����。
 0x04 刪除清理已經(jīng)下載的補丁目錄以上三個設(shè)置確認(rèn)完畢后,我們開始運行第一個腳本清理已經(jīng)下載的補丁目錄(如果你是新的Windows Server WSUS那么可以跳過這步)直接將以下代碼粘貼到記事本另存為 .ps1或在PowerShell ISE執(zhí)行 net stop wsusservice
cd "C:\Program Files\Update Services\Tools"
.\wsusutil.exe reset
echo Delete WSUS Folder Content
pause
net start wsusservice 
0x05 和微軟的補丁服務(wù)器進行同步這個同步的時間和你勾選的產(chǎn)品�����、分類和網(wǎng)絡(luò)有關(guān)等待同步完畢��,先看看一共有多少補丁符合����。我測試環(huán)境是兩臺win10 ltsc 2019 同步完有224個補丁
 0x06 拒絕審批取代更新的補丁和微軟的補丁服務(wù)器同步完成后執(zhí)行拒絕審批取代更新的腳本,腳本執(zhí)行完畢后可以看到已經(jīng)拒絕了202個補丁��,一下就少202個補丁,什么感覺���?直接將以下代碼粘貼到記事本另存為 .ps1或在PowerShell ISE執(zhí)行 #Change server name and port number and $True if it is on SSL
$Computer = $env:COMPUTERNAME
$Domain = $env:USERDNSDOMAIN
$FQDN = "$Computer" + "." + "$Domain"
[String]$updateServer1 = $FQDN
[Boolean]$useSecureConnection = $False
[Int32]$portNumber = 8530
# Load .NET assembly
[void][reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
$count = 0
# Connect to WSUS Server
$updateServer = [Microsoft.UpdateServices.Administration.AdminProxy]::getUpdateServer($updateServer1,$useSecureConnection,$portNumber)
write-host "<<<Connected sucessfully >>>" -foregroundcolor "yellow"
$updatescope = New-Object Microsoft.UpdateServices.Administration.UpdateScope
$u=$updateServer.GetUpdates($updatescope )
foreach ($u1 in $u )
{
if ($u1.IsSuperseded -eq 'True')
{
write-host Decline Update : $u1.Title
$u1.Decline()
$count=$count + 1
}
}
write-host Total Declined Updates: $count
trap
{
write-host "Error Occurred"
write-host "Exception Message: "
write-host $_.Exception.Message
write-host $_.Exception.StackTrace
exit
}
# EOF
0x07 審批補丁篩選出“未經(jīng)審批”的補丁這就是我們想要的�����,全部選擇審批��。安裝到已經(jīng)連接到Windows Server WSUS的計算機上��。審批完成后等待Windows Server WSUS自動下載完成后根據(jù)計算機更新策略下發(fā)到計算機����。
|
