Microsoft 資訊安全諮詢4022345
識別和更正 Windows Update 用戶端接收更新失敗
發佈時間: 2017 年 5 月 9 日 |更新日期:2017 年 5 月 12 日
版本: 1.3
執行摘要
Microsoft 正在發行此安全性諮詢,以提供與 Windows Update 用戶端可能無法正確掃描或下載更新的不常見部署案例相關的資訊。 此案例可能會影響安裝 Windows 10 或 Windows Server 2016 操作系統的客戶,以及從未以互動方式登入系統或透過遠端桌面服務連線到系統的客戶。 除非使用者透過互動方式登入或透過遠端桌面服務登入來完成初始設定,否則這些系統可能不會收到 Windows 更新。
為了解決此案例,Microsoft 已透過 Windows Update 發行通道中的自我修復機制發行 Windows Update 用戶端更新,以更正未掃描或接收更新之伺服器操作系統的 Windows Update 行為。 在機器未受此機制阻礙之後,系統管理員設定的所有現有設定都會接受,且已設定為停用 Windows 更新 的電腦上將不會強制更新。
此諮詢會為客戶提供指引,以識別它們是否受到這種不常見案例的影響,以及他們需要採取哪些動作來更正行為。
諮詢詳細數據
受影響的軟體
下列軟體版本或版本受到影響。 未列出的版本或版本要麼超過其支援生命周期,要麼不會受到影響。 若要判斷軟體版本或版本的支援生命週期,請參閱 Microsoft 支援服務 生命週期。
| 用戶端作業系統 |
|---|
| Windows 10 for 32 位系統 |
| 適用於 x64 型系統的 Windows 10 |
| 適用於 32 位系統的 Windows 10 版本 1511 |
| 適用於 x64 型系統的 Windows 10 版本 1511 |
| 適用於 32 位系統的 Windows 10 版本 1607 |
| 適用於 x64 型系統的 Windows 10 版本 1607 |
| 適用於 32 位系統的 Windows 10 版本 1703 |
| 適用於 x64 型系統的 Windows 10 版本 1703 |
| 伺服器作業系統 |
| Windows Server 2016 |
| Windows Server 2016 (Server Core 安裝) |
緩和因素
Microsoft 已識別出下列緩和因素:
- 以互動方式登入系統的使用者不會受到此行為的影響。 大部分使用者在初始設定之後以互動方式登入 Windows,而且不會受到影響。
- 線上到因特網的伺服器會自動透過 WU 自我修復系統接收更新。 只有具有隔離網路或已封鎖具有防火牆之 Windows Update URL 的客戶可能需要採取手動動作。
- 許多企業軟體部署工具和掃描器都可能導致登入事件,這可防止系統受到此問題的影響。 有一個事件記錄檔,如常見問題中所述,可以檢查以判斷工具是否造成登入,因而排除任何更新失敗。
諮詢常見問題
如何? 知道我是否受到影響?
以互動方式登入電腦或透過遠端桌面服務登入的客戶,不會受到此問題的影響。 使用自動化映射建置和部署機制的客戶,例如 DISM 和 Windows 部署服務,可能會有不會自動掃描或下載更新的 Windows 10 或 Windows 2016 系統。 執行已部署且從未以互動方式登入或透過遠端桌面服務登入的系統,可能會導致這些系統處於未掃描或下載更新的狀態。 設定為無外設計算機的系統將不會受到影響。
我已登入我的系統。 我必須採取進一步的手動動作嗎?
只有未啟用自動更新或封鎖防火牆自動更新 URL 的客戶需要檢查更新並手動安裝。 使用 WSUS 且已封鎖系統存取 Windows Update URL 的客戶,也必須手動安裝目前的累積更新。 或者,WSUS 也包含計算機是否收到更新的能力。 只要系統收到更新,就不需要採取任何動作。 如需自動更新中特定組態選項的相關信息,請參閱 Microsoft 知識庫文章294871。
我正在使用受影響的用戶端OS。 我會收到自動更新嗎?
否,目前沒有計劃發行用戶端操作系統版本的自動更新。 請遵循本檔的一節中的指引,說明這些OS版本如何解決此案例。
如何判斷我的系統是否為無頭?
您可以檢查登錄中 「Headless」 機碼的值。 此機碼位於 「HKLM\SYSTEM\CurrentControlSet\Control\WinInit」 的路徑。 如果此機碼有任何非零值,則會以無外設系統的形式執行。 如果索引鍵沒有值,或其值為零,則系統不會無頭,而且可能會受到此問題的影響。 手動變更此值並不會補救此問題,而且不建議這樣做。
是否有事件記錄檔,我可以檢查以判斷我的系統是否有適當的登入事件?
是。 您可以在安全性事件記錄檔中檢查 4624 個安全性事件,以取得 2 或 10 的登入類型。 如果系統有任何這些事件,則不會受到此問題的影響。
建議的動作
登入每部計算機
如果您有少量可能受影響的機器,最簡單的方式是確保您的機器未處於此狀態,就是登入每部計算機。 這可以是互動式登錄,或透過遠端桌面登入。 安裝作業系統之後,您只需要執行此動作一次。
其他資訊
Feedback
- 您可以完成 Microsoft 說明及支援表單、客戶服務與我們連絡,以提供意見反應。
支援
- 美國和加拿大的客戶可以從安全性支援收到技術支援。 如需詳細資訊,請參閱 Microsoft 說明及支援。
- 國際客戶可以從其當地 Microsoft 子公司獲得支援。 如需詳細資訊,請參閱國際支援。
- Microsoft TechNet 安全性 提供 Microsoft 產品中安全性的其他資訊。
免責聲明
本諮詢中提供的資訊是「如目前」提供,不含任何種類的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。
修訂記錄
- V1.0 (2017 年 5 月 9 日):已發佈諮詢。
- V1.1 (2017 年 5 月 10 日):已更新諮詢,以包含登入類型 2 安全性事件記錄專案。 這隻是參考性變更。
- V1.2 (2017 年 5 月 11 日):已更新諮詢以釐清 WSUS 環境。 這隻是參考性變更。
- V1.3 (2017 年 5 月 17 日):已更新常見問題,以釐清需要安裝的更新:「目前的累積更新」。 這隻是參考性變更。
頁面產生 2017-05-17 10:48Z-07:00。