Poradce microsoftu pro zabezpečení 4022345
Identifikace a oprava selhání služba Windows Update klienta pro příjem aktualizací
Publikováno: 9. května 2017 | Aktualizováno: 12. května 2017
Verze: 1.3
Shrnutí
Společnost Microsoft vydává tento poradce pro zabezpečení a poskytuje informace týkající se neobvyklého scénáře nasazení, ve kterém klient služba Windows Update nemusí správně vyhledávat nebo stahovat aktualizace. Tento scénář může ovlivnit zákazníky, kteří nainstalovali operační systém Windows 10 nebo Windows Server 2016 a kteří se k němu nikdy interaktivně nepřihlásili nebo se k němu připojili prostřednictvím služeb vzdálené plochy. Tyto systémy nemusí dostávat aktualizace Systému Windows, dokud uživatel nedokončil počáteční nastavení interaktivním přihlášením nebo přihlášením prostřednictvím služeb vzdálené plochy.
Pro řešení tohoto scénáře společnost Microsoft vydala aktualizaci klienta služba Windows Update prostřednictvím mechanismu samoopravení v kanálu verze služba Windows Update, aby opravila chování služba Windows Update pro serverové operační systémy, které neskenují nebo přijímají aktualizace. Po zrušení zablokování počítačů tímto mechanismem se bude respektovat všechna existující nastavení, která správce systému nakonfiguroval, a aktualizace nebudou vynuceny na počítači, který je nakonfigurovaný tak, aby zakázal služba Windows Update.
Toto poradenství poskytuje zákazníkům pokyny k určení, jestli jsou ovlivněny tímto neobvyklým scénářem, a jaké akce, které potřebují k nápravě chování.
Podrobnosti o poradci
Ovlivněný software
Ovlivněné jsou následující verze softwaru nebo edice. Verze nebo edice, které nejsou uvedené, jsou buď po jejich životním cyklu podpory, nebo nejsou ovlivněny. Pokud chcete určit životní cyklus podpory pro vaši verzi nebo edici softwaru, přečtěte si téma podpora Microsoftu životní cyklus.
| Klientské operační systémy |
|---|
| Windows 10 pro 32bitové systémy |
| Windows 10 pro systémy založené na platformě x64 |
| Windows 10 verze 1511 pro 32bitové systémy |
| Windows 10 verze 1511 pro systémy založené na platformě x64 |
| Windows 10 verze 1607 pro 32bitové systémy |
| Windows 10 verze 1607 pro systémy založené na platformě x64 |
| Windows 10 verze 1703 pro 32bitové systémy |
| Windows 10 verze 1703 pro systémy založené na platformě x64 |
| Serverové operační systémy |
| Windows Server 2016 |
| Windows Server 2016 (instalace jádra serveru) |
Faktory pro zmírnění rizika
Společnost Microsoft zjistila následující faktory pro zmírnění rizika:
- Toto chování neovlivní uživatele, kteří se přihlásí k systému interaktivně. Většina uživatelů se po počátečním nastavení interaktivně přihlašuje k Windows a nemá na to vliv.
- Servery, které jsou připojené k internetu, automaticky obdrží aktualizaci prostřednictvím systému samoobslužné opravy WU. Ruční akci možná budou muset provést jenom zákazníci s izolovanými sítěmi nebo blokovanými adresami URL služba Windows Update s bránou firewall.
- Mnoho nástrojů a skenerů nasazení podnikového softwaru může způsobit událost přihlášení, která brání tomu, aby byl tímto problémem ovlivněn systém. Existuje protokol událostí popsaný v nejčastějších dotazech, který se dá zkontrolovat a zjistit, jestli nástroj způsobí přihlášení, a tím se zabrání selhání aktualizace.
Nejčastější dotazy k poradenství
Návody vědět, jestli mě to ovlivní?
Tento problém nemá vliv na zákazníky, kteří se interaktivně přihlašují ke svým počítačům nebo kteří se přihlašují přes služby vzdálené plochy. Zákazníci, kteří používají automatizované mechanismy vytváření imagí a nasazení, jako jsou DISM a Služba pro nasazení systému Windows, můžou mít systémy Windows 10 nebo Windows 2016, kde se aktualizace neskenují ani nestáhnou automaticky. Spuštěné systémy, které byly nasazeny a které nebyly nikdy interaktivně přihlášeny nebo které byly přihlášeny prostřednictvím služeb vzdálené plochy, můžou vést k tomu, že tyto systémy jsou ve stavu, kdy se aktualizace nenaskenují nebo nestáhnou. Systém nakonfigurovaný jako bezobrátový stroj nebude ovlivněn.
Přihlásil jsem se do svého systému. Musím provést další ruční akci?
Pouze zákazníci, kteří nepovolili automatickou aktualizaci nebo kteří blokovali adresy URL automatických aktualizací s bránou firewall, musí vyhledat aktualizace a nainstalovat je ručně. Zákazníci, kteří používají službu WSUS a kteří mají blokované systémy v přístupu k adresám URL služba Windows Update, musí také nainstalovat aktuální kumulativní aktualizaci ručně. Služba WSUS také umožňuje auditovat, pokud počítače dostávají aktualizace. Pokud systém přijímá aktualizace, není nutná žádná akce. Informace o konkrétních možnostech konfigurace při automatické aktualizaci naleznete v článku znalostní báze Microsoft Knowledge Base 294871.
Používám ovlivněný klientský operační systém. Obdržím automatickou aktualizaci?
Ne, v současné době neexistuje žádný plán vydání automatické aktualizace pro verze klientského operačního systému. Postupujte podle pokynů v části Navrhované akce v tomto dokumentu, která vysvětluje, jak lze tento scénář řešit pro tyto verze operačního systému.
Jak zjistím, jestli je můj systém bezobvýstřední?
Můžete zkontrolovat hodnotu klíče Bezobsáhlého umístění v registru. Tento klíč se nachází v cestě "HKLM\SYSTEM\CurrentControlSet\Control\WinInit". Pokud má tento klíč nenulovou hodnotu, běží jako bezobsadový systém. Pokud klíč nemá žádnou hodnotu nebo jeho hodnota je nula, systém není bezobsatý a může být ovlivněn tímto problémem. Pokud tuto hodnotu změníte ručně, nebudete tento problém opravovat a nenavrhuje se.
Můžu zkontrolovat, jestli má systém správnou událost přihlášení?
Ano. Události zabezpečení 4624 můžete zkontrolovat v protokolu událostí zabezpečení pro typ přihlášení 2 nebo 10. Pokud má systém některou z těchto událostí, tento problém na něj nemá vliv.
Navrhované akce
Přihlášení k jednotlivým počítačům
Pokud máte nízký počet pravděpodobně ovlivněných počítačů, nejjednodušší způsob, jak zajistit, aby vaše počítače nebyly v tomto stavu, je přihlásit se ke každému počítači. Může se jednat o interaktivní přihlášení nebo přihlášení přes vzdálenou plochu. Stačí to udělat jenom jednou po instalaci operačního systému.
Další informace
Váš názor
- Zpětnou vazbu můžete poskytnout vyplněním formuláře nápovědy a podpory Microsoftu, kontaktujte nás oddělení služeb zákazníkům.
Technická podpora
- Zákazníci v USA a Kanadě můžou získat technickou podporu od podpory zabezpečení. Další informace naleznete v nápovědě a podpoře společnosti Microsoft.
- Mezinárodní zákazníci můžou získat podporu od místních poboček Microsoftu. Další informace naleznete v tématu Mezinárodní podpora.
- Microsoft TechNet Security poskytuje další informace o zabezpečení v produktech Microsoftu.
Právní doložka
Informace uvedené v tomto poradenství jsou poskytovány "tak, jak jsou" bez záruky jakéhokoli druhu. Společnost Microsoft odmítá všechny záruky, ať už výslovné nebo předpokládané, včetně záruk prodejnosti a vhodnosti pro určitý účel. V žádném případě společnost Microsoft Corporation nebo její dodavatelé nenese odpovědnost za jakékoli škody, včetně přímých, nepřímých, náhodných, následných, ztrát obchodních zisků nebo zvláštních škod, a to i v případě, že společnost Microsoft Corporation nebo její dodavatelé byli upozorněni na možnost těchto škod. Některé státy neumožňují vyloučení nebo omezení odpovědnosti za následné nebo náhodné škody, takže výše uvedené omezení nemusí platit.
Revize
- V1.0 (9. května 2017): Publikováno poradce.
- V1.1 (10. května 2017): Informační zpravodaj byl aktualizován tak, aby zahrnoval položky protokolu událostí zabezpečení typu přihlášení 2. Jedná se pouze o informační změnu.
- V1.2 (květen 11, 2017): Poradce aktualizoval, aby objasnil prostředí WSUS. Jedná se pouze o informační změnu.
- V1.3 (17. května 2017): Aktualizované nejčastější dotazy k objasnění aktualizace, kterou je potřeba nainstalovat: "aktuální kumulativní aktualizace". Jedná se pouze o informační změnu.
Stránka vygenerovaná 2017-05-17 10:48Z-07:00.