Instalando atualizações de segurança do Windows em estações de trabalho fora da rede

tag-icon tag-icon windows-10 windows-update
Instalando atualizações de segurança do Windows em estações de trabalho fora da rede

Já vi várias perguntas semelhantes, mas todas estão desatualizadas ou presumem uma rede off-line ou servidores off-line.

Temos um grande número de locais remotos, a maioria dos quais não possui lojas próprias de TI. Cada um desses locais possui pelo menos duas e possivelmente muitas estações de trabalho que não estão conectadas a nenhum tipo de rede. Essas estações de trabalho executam o Windows 10 Enterprise. Nenhuma dessas coisas é negociável.

Duas a quatro vezes por ano, preparamos uma atualização para nosso aplicativo. Os locais remotos recuperam essa atualização através do nosso portal web seguro, carregam-na em uma unidade flash e aplicam essa atualização em cada estação de trabalho. Gostaria de usar isso como uma oportunidade para instalar também quaisquer atualizações críticas ou de segurança para o Windows desde a última atualização.

Até agora minha melhor opção que vi é o WSUS Offline, mas ele não facilita a realização de atualizações incrementais e sem isso eventualmente o tamanho do download se tornará irracional. Não usei WSUS ou SCCM, mas parece que eles não têm a opção de criar um instalador offline. As estações de trabalho de destino estão muito bloqueadas, portanto, no meu mundo ideal, gostaria que os executáveis ​​resultantes fossem assinados pela Microsoft ou por nós.

Há alguma outra opção que eu deveria examinar? Não temos problemas em pagar por uma solução empresarial, se disponível. No momento, estou pensando seriamente em pegar o código-fonte do WSUS Offline e modificá-lo para atender às minhas necessidades, mas prefiro não comprometer meus recursos de desenvolvimento.

Responder1

Com o modelo de patch mais recente, tudo se tornou cumulativo e é por isso que eles são tão grandes. Eles se tornaram essencialmente um pacote de serviços mensal por produto. Portanto, dependendo de quais produtos você carregou nessas máquinas, você só precisará da atualização mais recente para: (#1) O sistema operacional e qualquer versão do (#2) IE, (#3) .NET Framework e talvez ( #4) Office que está instalado.

Exemplo: se você estiver aplicando patches 2x por ano, digamos, em janeiro e junho, não precisará aplicar itens dos outros 10 meses do ano porque janeiro de 2018 substitui qualquer coisa de 2017 e junho de 2018 substitui fevereiro-maio ​​de 2018.

Responder2

http://catalog.update.microsoft.com (Certifique-se de obter aquele para o sistema operacional correto e x86 ou x64) Digite o KB####### um de cada vez e adicione-os ao carrinho Quando for solicitada uma pasta, navegue até c:\updates

O arquivo Wusa.exe está na pasta %windir%\System32. O instalador autônomo do Windows Update usa a API do Windows Update Agent para instalar pacotes de atualização.

for /R "C:\Updates\" %i in (*.msu) do wusa "%i" /quiet /norestart

Eu sugeriria renomear os patches, adicionando 1,2,3 e etc ao início do nome do arquivo, para que sejam instalados na ordem correta. Ou apenas tenha um monte de wsu no arquivo em lote.

wusa "package1.msu" /quiet /norestart
wusa "package2.msu" /quiet /norestart
wusa "package3.msu" /quiet /norestart
...

É claro que você poderia criar um script mais inteligente que verificasse a presença de atualizações e aplicasse apenas as necessárias.

O único problema potencial aqui, as atualizações podem ter reinicializações obrigatórias, e seu script terá que lidar com essa condição. Além disso, as atualizações podem falhar na instalação, o que exigiria mais verificações de erros.

Outra resposta potencial é a imagem completa. Você pode usar o imagex, da Microsoft, para capturar janelas em um arquivo wim. Em seguida, tenha um ambiente Windows PE no pendrive com o arquivo wim. Implante o wimfile, reinicie e pronto.

A vantagem aqui é que você sabe que todos os patches estão implantados corretamente. O computador estará em uma configuração uniforme.

Se o usuário final precisar armazenar arquivos, sugiro particionar o disco rígido em c: e d: e armazenar todos os arquivos do usuário em D: para que você possa recriar a imagem da unidade C: à vontade.

A maior desvantagem é o tamanho, mesmo se você limpar bem a imagem ela ficará muito maior. Talvez 16 ou 32 GB dependam do tamanho do seu programa e de quão bem você limpa o disco rígido de arquivos indesejados.

Responder3

  1. Baixe a atualização mais recente wsusscn2.cabaqui:http://go.microsoft.com/fwlink/?linkid=74689
  2. Obtenha o módulo PowerShell para gerenciar atualizações, baixe manualmente o.nupkg https://www.powershellgallery.com/packages/PSWindowsUpdate/2.2.0.2
  3. Copie esses dois arquivos para o USB que você usará para mover as atualizações para o computador.
  4. Descompacte-o .nupkgna pasta de módulos: C:\Program Files\WindowsPowerShell\Modulespara que o caminho final se pareça C:\Program Files\WindowsPowerShell\Modules\PSWindowsUpdatecom o conteúdo do nupkg nessa pasta.
  5. Importe o módulo:Import-Module PSWindowsUpdate
  6. Adicione o arquivo cab da etapa 1. como fonte de atualizações: Add-WUOfflineSync -Path C:\wsusscan.cabusando o caminho onde você colocou o arquivo cab.
  7. Obtenha o ServiceIDcriado na etapa 6 com: Get-WUServiceManager. Este comando lista todas as opções e seus GUIDs. Aquele que você procura terá o nome deOffline Sync Service
  8. Instale atualizações dessa nova fonte citando a ServiceIDetapa 7 onde coloquei <GUID>:

Install-WindowsUpdate -ServiceID <GUID> -AcceptAll -AutoReboot

informação relacionada