在非連網工作站上安裝 Windows 安全性更新

使用較新的補丁模型，一切都變得累積起來，這就是為什麼它們如此之大的原因。它們基本上已成為每個產品每月的服務包。因此，根據您在這些電腦上載入的產品，您只需要最新的更新：(#1) 作業系統，然後是 (#2) IE、(#3) .NET Framework 的任何版本，也許還有 ( # 4) 已安裝的Office。

範例：如果您每年在1 月和6 月打補丁2 次，則無需應用一年中其他10 個月的內容，因為2018 年1 月會替換2017 年的任何內容，而2018 年6 月會替換2018年2 月至5 月。

http://catalog.update.microsoft.com （確保您獲得的是適用於正確作業系統和 x86 或 x64 的版本）一次輸入一個 KB#######，然後將它們添加到購物車 當提示輸入資料夾時，瀏覽到 c:\updates

Wusa.exe 檔案位於 %windir%\System32 資料夾中。 Windows Update 獨立安裝程式使用 Windows Update 代理程式 API 來安裝更新套件。

for /R "C:\Updates\" %i in (*.msu) do wusa "%i" /quiet /norestart

我建議重命名補丁，在文件名的開頭添加 1、2、3 等，以便它們按正確的順序安裝。要么在批次文件中包含一堆 wsu。

wusa "package1.msu" /quiet /norestart
wusa "package2.msu" /quiet /norestart
wusa "package3.msu" /quiet /norestart
...

當然，您可以製作一個更聰明的腳本來檢查是否存在更新，並僅套用所需的更新。

這裡更新的唯一潛在問題可能是強制重新啟動，並且您的腳本必須處理該情況。此外，更新可能無法安裝，這需要更多的錯誤檢查。

---

另一個潛在的答案是全成像。您可以使用 Microsoft 的 imagex 將視窗擷取到 wim 檔案中。然後在 USB 隨身碟上就有一個包含 wim 檔案的 Windows PE 環境。部署 wimfile，重新啟動，然後就完成了。

這樣做的好處是您知道所有修補程式都已正確部署。計算機將採用統一配置。

如果最終用戶需要儲存文件，我建議將硬碟分割為 c: 和 d:，然後將所有使用者檔案儲存在 D: 上，以便您可以隨意重新映像 C: 磁碟機。

最大的缺點是尺寸，即使你徹底清理圖像它也會大得多。也許 16 或 32GB 取決於您的程式有多大以及您清除硬碟上不需要的檔案的徹底程度。

1. wsusscn2.cab從這裡下載最新的更新 cab ：http://go.microsoft.com/fwlink/?linkid=74689
2. 取得PowerShell模組來管理更新，手動下載.nupkg https://www.powershellgallery.com/packages/PSWindowsUpdate/2.2.0.2
3. 將這兩個檔案複製到 USB，您將使用它將更新移動到電腦。
4. 將其解壓縮.nupkg到模組資料夾中：C:\Program Files\WindowsPowerShell\Modules以便最終路徑看起來像C:\Program Files\WindowsPowerShell\Modules\PSWindowsUpdate該資料夾中 nupkg 的內容。
5. 導入模組：Import-Module PSWindowsUpdate
6. 新增步驟 1 中的 cab 檔案作為更新來源：Add-WUOfflineSync -Path C:\wsusscan.cab使用放置 cab 檔案的路徑。
7. 使用以下命令取得ServiceID在步驟 6 中建立的內容Get-WUServiceManager：此命令列出所有選項及其 GUID。您正在尋找的人的名字為Offline Sync Service
8. ServiceID透過引用我放置的步驟 7 中的內容來安裝來自該新來源的更新<GUID>：

Install-WindowsUpdate -ServiceID <GUID> -AcceptAll -AutoReboot