Geralmente se há bugs, a Microsoft substitui o kb, em tese basta não Aprovar um kb que foi substituído. Para saber quais kb's foram substituídos, habilite a guia Supersedence no WSUS e identifique de acordo com o Icone. Veja mais detalhes: https://www.tecknowledgebase.com/43/how-to-identify-and-decline-superseded-updates-in-wsus/
Para os proximos kb's (fevereiro, marco) se você não tem um plano de atualizações, eu recomendo que crie. Por exemplo: ler 1 a 1 todos os problemas conhecidos, aprovar os Monthly Rollup e Critical Updates para 10% das maquinas do parque. Se não houver problemas,
7 dias depois aprova para os outros 90%. Avaliar a aprovação dos demais updates de acordo com seu ambiente.
Eu desconheço uma lista que agregue todos os updates que não podem ser instalados. Em tese a Microsoft retira o updates se não puder. Há casos que o updates pode causar problemas isolados, dependendo do ambiente.
