Windows Server 2025 WSUS阻止ESU更新:安全加固变更详解

本文详细解析Windows Server 2025中WSUS的安全加固变更如何阻止向生命周期结束系统分发扩展安全更新,涵盖受影响系统、解决方案及迁移建议,帮助管理员应对更新管理挑战。

Windows Server 2025 WSUS阻止ESU更新

Windows Server 2025实施了安全加固变更,阻止WSUS向生命周期结束的操作系统分发扩展安全更新(ESU)。这些修改影响了通过WSUS接收ESU更新的Windows Server 2012和2012 R2系统,要求管理员实施变通方案或升级基础设施。

WSUS中的安全加固变更

从2025年9月安全更新开始,运行在Windows Server 2025上的WSUS移除了不再符合微软合规和安全标准的旧版二进制文件依赖。此加固移除了WSUS用于更新客户端设备Windows Update中SelfUpdate服务的特定DLL和可执行文件。微软发布这些变更以加强软件供应链,并从更新基础设施中淘汰过时组件。

这些修改专门针对与生命周期结束操作系统相关的二进制文件,阻止这些系统通过Windows Server 2025上的WSUS接收扩展安全更新。此变更仅适用于运行在已接收2025年9月或之后安全更新的Windows Server 2025上的WSUS服务器。

受影响的操作系统

确认受影响的系统

WSUS加固变更直接影响订阅扩展安全更新的Windows Server 2012和Windows Server 2012 R2系统。这两个版本已于2023年10月10日达到扩展终止日期,但仍有资格通过2026年10月13日获得ESU覆盖。使用Windows Server 2025上WSUS的组织将在2025年9月安全更新后默认发现ESU分发被阻止,但他们可以通过应用微软的临时修复方案来恢复ESU服务。

不受影响的系统

加固变更不影响Windows 10及更高版本的Windows。尚未达到支持终止的在市产品继续通过Windows Server 2025上的WSUS接收更新而不会中断。Windows Server 2016、Windows Server 2019、Windows Server 2022和Windows Server 2025系统保持完整的更新功能。

分层部署的例外

包含连接的下游和上游服务器的WSUS分层部署不受加固变更影响。同一层次结构中WSUS服务器之间的同步继续正常运作,更新分发继续进行而无中断。安全修改仅影响从Windows Server 2025上的WSUS向生命周期结束客户端系统交付ESU更新,而不影响层次结构内WSUS服务器之间的更新复制。

变通方案程序

需要继续向Windows Server 2012或2012 R2系统分发ESU更新的组织可以通过恢复已移除的二进制文件来实施临时变通方案。该程序涉及从较旧受支持版本的WSUS复制SelfUpdate文件夹,并在IIS中将其配置为虚拟目录。

要求

变通方案需要访问受支持的较旧WSUS版本,例如运行2025年8月安全更新或更早版本的Windows Server 2025,或Windows Server 2022。管理员需要权限在目标WSUS服务器上复制文件和修改IIS配置。

实施步骤

  1. 识别较旧受支持的WSUS版本(Windows Server 2025 2025年8月更新或更早版本,或Windows Server 2022)
  2. 在源服务器上导航到%systemdrive%\Program Files\Update Services
  3. 复制整个SelfUpdate文件夹及其内容
  4. 将文件夹传输到运行2025年9月或之后安全更新的Windows Server 2025系统上的WSUS安装路径
  5. 打开Internet Information Services(IIS)管理器
  6. 在WSUS网站下添加SelfUpdate文件夹作为虚拟目录

完成这些步骤后,受影响系统的ESU更新分发将恢复。微软建议此方法仅作为短期解决方案。

WSUS弃用状态

微软于2024年9月宣布弃用WSUS,标志着该更新服务的新功能开发结束。弃用表明微软不再投资新功能,也不接受WSUS的功能请求。该服务在Windows Server 2025中仍然可用,并继续接收对现有功能的支持,微软会在问题出现时予以解决。

公司保留了当前WSUS功能,并继续通过WSUS渠道发布更新。先前通过WSUS发布的所有内容仍受支持。微软没有计划从在市版本的Windows Server(包括Windows Server 2025)中移除WSUS,尽管该服务已进入仅维护的生命周期阶段。

替代更新管理解决方案

微软建议从WSUS过渡到基于云的更新管理工具以实现长期基础设施可持续性。Windows Autopatch为客户端系统提供自动化更新管理,而Microsoft Intune提供全面的端点管理能力,包括更新部署。Azure Update Manager为服务器工作负载提供集中式更新管理,支持本地和云环境。

使用Microsoft Configuration Manager的组织可以继续运行而不受WSUS弃用影响。Configuration Manager与WSUS集成进行更新管理,此功能仍完全受支持。

迁移建议

微软建议将旧版操作系统升级到Windows Server 2025,而不是依赖扩展安全更新作为长期策略。组织应制定迁移计划,在ESU计划于2026年10月结束之前将Windows Server 2012和2012 R2系统过渡到受支持版本。

用户反馈

管理员将最近的加固变更和功能限制视为实现WSUS完全生命周期结束的第一步,逐渐使该平台无法使用,以强制迁移到基于云的替代方案。

微软弃用WSUS已对运行气隙和断开连接网络的组织造成严重关切。向Azure Update Manager等基于云的解决方案的推动消除了由于安全要求或法规合规性而无法连接到互联网的环境的可行选项。管理封闭网络的管理员没有明显的本地替代方案,因为微软的替换策略假设了许多组织无法提供的云连接性。

WSUS弃用公告引发了对微软强制组织转向基于订阅的云服务的批评。虽然WSUS将保留在Windows Server 2025中,但缺乏未来开发表明微软打算完全淘汰免费的本地更新管理。此过渡特别影响依赖WSUS作为没有持续许可费用的成本效益解决方案的小型组织和预算受限组织。

来源

  • Windows Server 2025中Windows Server Update Services的加固变更
  • Windows Server 2012 - Microsoft生命周期
  • Windows Server 2012 R2 - Microsoft生命周期
  • Windows Server Update Services(WSUS)弃用
  • 本地WSUS替换
  • 微软已正式弃用WSUS
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次