Windows更新客户端故障修复与安全建议

微软安全公告4022345详细分析了Windows更新客户端在某些部署场景下无法正常扫描和下载更新的问题,主要影响从未交互登录的Windows 10和Windows Server 2016系统,提供了识别方法和解决方案。

识别和纠正Windows更新客户端无法接收更新的故障

发布日期:2017年5月9日
更新日期:2017年5月12日
版本:1.3

执行摘要

微软发布此安全公告,旨在提供与一个不常见部署场景相关的信息,在该场景中,Windows更新客户端可能无法正确扫描或下载更新。此场景可能影响安装了Windows 10或Windows Server 2016操作系统,且从未交互登录系统或通过远程桌面服务连接系统的客户。这些系统在用户通过交互登录或远程桌面服务登录完成初始设置之前,可能无法接收Windows更新。

为解决此场景,微软通过Windows更新发布通道中的自修复机制发布了Windows更新客户端的更新,以纠正未扫描或接收更新的服务器操作系统的Windows更新行为。在此机制解除计算机的阻塞状态后,系统管理员配置的所有现有设置都将得到遵守,更新不会强制安装在已配置为禁用Windows更新的计算机上。

本公告为客户提供指导,帮助他们识别是否受到此不常见场景的影响,以及需要采取哪些措施(如有)来纠正此行为。

公告详情

受影响软件

以下软件版本或版本受到影响。未列出的版本要么已超过其支持生命周期,要么不受影响。要确定软件版本或版本的支持生命周期,请参阅Microsoft支持生命周期。

客户端操作系统

  • Windows 10 for 32-bit Systems
  • Windows 10 for x64-based Systems
  • Windows 10 Version 1511 for 32-bit Systems
  • Windows 10 Version 1511 for x64-based Systems
  • Windows 10 Version 1607 for 32-bit Systems
  • Windows 10 Version 1607 for x64-based Systems
  • Windows 10 Version 1703 for 32-bit Systems
  • Windows 10 Version 1703 for x64-based Systems

服务器操作系统

  • Windows Server 2016
  • Windows Server 2016(服务器核心安装)

缓解因素

微软已确定以下缓解因素:

  • 交互登录系统的用户不受此行为影响。大多数用户在初始设置后交互登录Windows,因此不受影响。
  • 连接到互联网的服务器将通过WU自修复系统自动接收更新。只有具有隔离网络或使用防火墙阻止了Windows更新URL的客户可能需要手动操作。
  • 许多企业软件部署工具和扫描程序可能导致登录事件,从而防止系统受此问题影响。可以在FAQ中描述的事件日志中检查工具是否导致登录,从而排除任何更新失败。

公告FAQ

如何知道我是否受到影响?

交互登录计算机或通过远程桌面服务登录的客户不受此问题影响。使用自动映像构建和部署机制(如DISM和Windows部署服务)的客户可能拥有未自动扫描或下载更新的Windows 10或Windows 2016系统。已部署且从未交互登录或通过远程桌面服务登录的运行系统可能导致这些系统处于未扫描或下载更新的状态。配置为无头机器的系统不会受到影响。

我已登录系统。是否必须采取进一步的手动操作?

只有未启用自动更新或使用防火墙阻止了自动更新URL的客户需要检查更新并手动安装。使用WSUS并阻止系统访问Windows更新URL的客户还必须手动安装当前累积更新。或者,WSUS包含审核计算机是否接收更新的能力。只要系统正在接收更新,就无需采取任何操作。有关自动更新中特定配置选项的信息,请参阅Microsoft知识库文章294871。

我正在使用受影响的客户端操作系统。我会收到自动更新吗?

不会,目前没有计划为客户端操作系统版本发布自动更新。请遵循本文档"建议操作"部分中的指导,该部分解释了如何针对这些操作系统版本解决此场景。

如何确定我的系统是否为无头系统?

您可以检查注册表中"Headless"键的值。此键位于"HKLM\SYSTEM\CurrentControlSet\Control\WinInit"路径。如果此键具有任何非零值,则它作为无头系统运行。如果该键没有值或其值为零,则系统不是无头系统,可能受此问题影响。手动更改此值不会修复此问题,不建议这样做。

是否有事件日志可以检查以确定我的系统是否具有正确的登录事件?

是的。您可以在安全事件日志中检查登录类型为2或10的4624安全事件。如果系统有任何这些事件,则不受此问题影响。

建议操作

登录每台计算机

如果您有少量可能受影响的计算机,确保计算机不处于此状态的最简单方法是登录每台计算机。这可以是交互式登录,或通过远程桌面登录。您只需在操作系统安装后执行一次此操作。

其他信息

反馈

您可以通过填写Microsoft帮助和支持表单、客户服务联系我们提供反馈。

支持

美国和加拿大的客户可以从安全支持获得技术支持。有关更多信息,请参阅Microsoft帮助和支持。 国际客户可以从当地的Microsoft子公司获得支持。有关更多信息,请参阅国际支持。 Microsoft TechNet安全提供有关Microsoft产品中安全的其他信息。

免责声明

本公告中提供的信息"按原样"提供,不作任何明示或暗示的担保。Microsoft否认所有明示或暗示的担保,包括适销性和特定用途适用性的担保。在任何情况下,Microsoft Corporation或其供应商均不对任何损害承担法律责任,包括直接、间接、附带、后果性、商业利润损失或特殊损害,即使Microsoft Corporation或其供应商已被告知可能发生此类损害。某些州不允许排除或限制附带或后果性损害的责任,因此上述限制可能不适用。

修订版本

  • V1.0(2017年5月9日):公告发布。
  • V1.1(2017年5月10日):公告更新以包括登录类型2安全事件日志条目。这仅是信息性更改。
  • V1.2(2017年5月11日):公告更新以澄清WSUS环境。这仅是信息性更改。
  • V1.3(2017年5月17日):更新FAQ以澄清需要安装的更新:“当前累积更新”。这仅是信息性更改。

页面生成于2017年5月17日 10:48Z-07:00。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次