Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Windows 10 contourne WSUS

ayi

J’installe progressivement Windows 10 dans un environnement où les utilisateurs détestent Windows 10. Donc, tout doit se passer parfaitement.
Cet environnement utilisait déjà WSUS pour distribuer les mises à jour aux ordinateurs Windows 7 et Windows 8.1, ainsi qu’aux serveurs Windows Server 2008 R2 et Windows Server 2012 R2. Il n’y avait aucun problème.
Ensuite, j’ai déployé Windows 10 1703 sur trois ordinateurs. Et maintenant, chaque mois ça me donne la migraine ! Les ordinateurs Windows 10 contournent WSUS et téléchargent les mises à jour directement depuis Internet, notamment des mises à jour que je n’ai pas testées ni approuvées, ce qui annule complètement l’intérêt d’avoir un WSUS.
J’ai essayé :
<ul>
<li>
Désactiver l’optimisation de la distribution via la stratégie de groupe
</li>
<li>
Augmenter la période de grâce
</li>
<li>
Forcer les mises à jour de stratégie de groupe sur ces ordinateurs à plusieurs reprises
</li>
<li>
Exécuter l’utilitaire de résolution des problèmes Windows Update
</li>
<li>
Vider le cache Windows Update (<code>SoftwareDistribution</code>)
</li>
<li>
Exécuter le Nettoyage de disque et choisir « Nettoyage de Windows Update » (8 Go ont été nettoyés)
</li>
</ul>
Voici mes paramètres client :
<pre><code class="lang-auto">[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate]
"WUServer"="http://evolution-pit:8530"
"WUStatusServer"="http://evolution-pit:8530"
"UpdateServiceUrlAlternate"=""
"SetActiveHours"=dword:1
"ActiveHoursStart"=dword:8
"ActiveHoursEnd"=dword:12
"DeferFeatureUpdates"=dword:1
"BranchReadinessLevel"=dword:20
"DeferFeatureUpdatesPeriodInDays"=dword:b4
"PauseFeatureUpdatesStartTime"=""
"DeferQualityUpdates"=dword:1
"DeferQualityUpdatesPeriodInDays"=dword:f
"PauseQualityUpdatesStartTime"=""
"DoNotConnectToWindowsUpdateInternetLocations"=dword:1

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:0
"AUOptions"=dword:4
"AutomaticMaintenanceEnabled"=dword:1
"ScheduledInstallDay"=dword:0
"ScheduledInstallTime"=dword:11
"AllowMUUpdateService"=dword:1
"UseWUServer"=dword:1
"EnableFeaturedSoftware"=dword:0

</code></pre>

ayi_2

Merci pour votre question. Ça me rassure de savoir que je ne suis pas le seul à souffrir depuis l’arrivée de Windows 10 !
La solution est très simple : assurez-vous que votre copie de Windows 10 1703 ne contient aucune des valeurs de registre suivantes sous <code>HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate</code>
(Ces noms de valeurs sont vérifiés par rapport à <code>WindowsUpdate.admx</code> pour Windows 10 version 1703.)
<pre><code class="lang-auto"> DeferFeatureUpdates
DeferFeatureUpdatesPeriodInDays
DeferQualityUpdates
DeferQualityUpdatesPeriodInDays
PauseFeatureUpdatesStartTime
PauseQualityUpdatesStartTime
ExcludeWUDriversInQualityUpdate

</code></pre>
Citation de l’article <a href="https://blogs.technet.microsoft.com/windowsserver/2017/01/09/why-wsus-and-sccm-managed-clients-are-reaching-out-to-microsoft-online/">“Why WSUS and SCCM managed clients are reaching out to Microsoft Online”</a> :
<blockquote></blockquote>
Que vient-il de se passer ? Ces politiques ne sont-elles pas des politiques de report de mises à jour ?
Pas dans un environnement géré. Ces politiques sont destinées à Windows 
Update for Business (WUfB).
Windows Update for Business (WUfB) permet aux administrateurs informatiques 
de maintenir les appareils Windows 10 de leur organisation 
toujours à jour avec les dernières défenses de sécurité et les fonctionnalités 
Windows en connectant directement ces systèmes au service Windows Update.
Nous recommandons également de ne pas utiliser ces nouveaux paramètres avec WSUS/SCCM.
Si vous utilisez déjà une solution locale pour gérer les mises à jour/mises à niveau Windows, 
l’utilisation des nouveaux paramètres WUfB permettra à vos clients 
de se connecter également à Microsoft Update en ligne pour récupérer les mises à jour en contournant 
votre point de terminaison WSUS/SCCM.
Pour gérer les mises à jour, vous avez deux solutions :
<ul>
<li>
Utiliser WSUS (ou SCCM) et gérer comment et quand vous souhaitez déployer les mises à jour et mises à niveau sur les ordinateurs Windows 10 de votre environnement (dans 
votre intranet).
</li>
<li>
Utiliser les nouveaux paramètres WUfB pour gérer comment et quand vous souhaitez déployer les mises à jour et mises à niveau sur les ordinateurs Windows 10 de votre environnement 
en se connectant directement à Windows Update. 
— Rasheed, Shadab (9 janvier 2017) <a href="https://blogs.technet.microsoft.com/windowsserver/2017/01/09/why-wsus-and-sccm-managed-clients-are-reaching-out-to-microsoft-online/">“Why WSUS and SCCM managed clients are reaching out to Microsoft Online”</a>. Windows Server Blog. Microsoft Corporation
</li>
</ul>
Notez que la liste des noms de valeurs de registre dans cet article contient des fautes de frappe. Utilisez plutôt les noms de valeurs indiqués ci-dessus.