Delen via

Microsoft Security Advisory 4022345

  • Artikel

Fout van Windows Update-client identificeren en corrigeren om updates te ontvangen

Gepubliceerd: 9 mei 2017 | Bijgewerkt: 12 mei 2017

Versie: 1.3

Samenvatting

Microsoft brengt dit beveiligingsadvies uit om informatie te bieden met betrekking tot een ongebruikelijk implementatiescenario waarin de Windows Update-client mogelijk niet goed scant op updates of deze downloadt. Dit scenario kan van invloed zijn op klanten die een windows 10- of Windows Server 2016-besturingssysteem hebben geïnstalleerd en die zich nog nooit interactief hebben aangemeld bij het systeem of er verbinding mee hebben gemaakt via extern bureaublad-services. Deze systemen ontvangen mogelijk geen Windows-updates totdat een gebruiker de eerste installatie heeft voltooid door zich interactief aan te melden of door u aan te melden via extern bureaublad-services.

Om dit scenario aan te pakken, heeft Microsoft een update uitgebracht voor de Windows Update-client via een mechanisme voor zelfherstel in het Release-kanaal van Windows Update om het Gedrag van Windows Update te corrigeren voor serverbesturingssystemen die niet scannen op of ontvangen, updates. Nadat machines niet vastgelopen zijn door dit mechanisme, worden alle bestaande instellingen die een systeembeheerder heeft geconfigureerd, gehonoreerd en worden updates niet gedwongen op een computer die is geconfigureerd om Windows-updates uit te schakelen.

Dit advies biedt klanten richtlijnen om te bepalen of ze worden beïnvloed door dit ongebruikelijke scenario en welke acties ze moeten ondernemen om het gedrag te corrigeren.

Adviesdetails

Betrokken software

De volgende softwareversies of -edities worden beïnvloed. Versies of edities die niet worden vermeld, vallen na de levenscyclus van de ondersteuning of worden niet beïnvloed. Zie Microsoft Ondersteuning Levenscyclus om de levenscyclus van de ondersteuning voor uw softwareversie of -editie te bepalen.

Clientbesturingssystemen
Windows 10 voor 32-bits systemen
Windows 10 voor x64-systemen
Windows 10 versie 1511 voor 32-bits systemen
Windows 10 versie 1511 voor x64-systemen
Windows 10 versie 1607 voor 32-bits systemen
Windows 10 versie 1607 voor x64-systemen
Windows 10 versie 1703 voor 32-bits systemen
Windows 10 versie 1703 voor x64-systemen
Serverbesturingssystemen
Windows Server 2016
Windows Server 2016 (Server Core-installatie)

Factoren beperken

Microsoft heeft de volgende beperkende factoren geïdentificeerd:

  • Gebruikers die zich interactief aanmelden bij een systeem, worden niet beïnvloed door dit gedrag. De meeste gebruikers melden zich interactief aan bij Windows na de eerste installatie en worden niet beïnvloed.
  • Servers die zijn verbonden met internet ontvangen automatisch de update via het WU zelfherstelsysteem. Alleen klanten met geïsoleerde netwerken of die Windows Update-URL's met een firewall hebben geblokkeerd, moeten mogelijk handmatige actie ondernemen.
  • Veel hulpprogramma's en scanners voor bedrijfssoftware kunnen een aanmeldingsgebeurtenis veroorzaken, waardoor een systeem niet wordt beïnvloed door dit probleem. Er is een gebeurtenislogboek, zoals beschreven in de veelgestelde vragen, die kan worden gecontroleerd om te bepalen of een hulpprogramma een aanmelding veroorzaakt en zo een updatefout verhindert.

Veelgestelde vragen over advies

Hoe kan ik weten of ik getroffen ben?

Klanten die zich interactief aanmelden bij hun computers of die zich aanmelden via extern bureaublad-services, worden niet beïnvloed door dit probleem. Klanten die gebruikmaken van geautomatiseerde mechanismen voor het bouwen en implementeren van installatiekopieën, zoals DISM en Windows Deployment Services, kunnen Windows 10- of Windows 2016-systemen hebben waarbij updates niet automatisch worden gescand of gedownload. Actieve systemen die zijn geïmplementeerd en die nog nooit interactief zijn aangemeld, of die zijn aangemeld via extern bureaublad-services, kunnen ertoe leiden dat deze systemen een status hebben waarin updates niet worden gescand of gedownload. Een systeem dat is geconfigureerd als een headless machine, wordt niet beïnvloed.

Ik heb me aangemeld bij mijn systeem. Moet ik verdere handmatige actie ondernemen?

Alleen klanten die automatische updates niet hebben ingeschakeld of die automatische update-URL's met een firewall hebben geblokkeerd, moeten controleren op updates en handmatig installeren. Klanten die WSUS gebruiken en die hebben geblokkeerd dat systemen toegang hebben tot de Windows Update-URL's, moeten ook de huidige cumulatieve update handmatig installeren. Wsus biedt ook de mogelijkheid om te controleren of computers updates ontvangen. Zolang een systeem updates ontvangt, is er geen actie nodig. Zie het Microsoft Knowledge Base-artikel 294871 voor meer informatie over specifieke configuratieopties bij het automatisch bijwerken.

Ik gebruik een betrokken client-besturingssysteem. Ontvang ik een automatische update?

Nee, er is momenteel geen plan om een automatische update voor clientversies van het besturingssysteem vrij te geven. Volg de richtlijnen in de sectie Voorgestelde acties van dit document, waarin wordt uitgelegd hoe dit scenario kan worden aangepakt voor deze besturingssysteemversies.

Hoe kan ik bepalen of mijn systeem Headless is?

U kunt de waarde van de sleutel 'Headless' in het register controleren. Deze sleutel bevindt zich op een pad van HKLM\SYSTEM\CurrentControlSet\Control\WinInit. Als deze sleutel een niet-nulwaarde heeft, wordt deze uitgevoerd als een headless systeem. Als de sleutel geen waarde heeft of de waarde nul is, is het systeem niet headless en wordt dit probleem mogelijk beïnvloed. Als u deze waarde handmatig wijzigt, wordt dit probleem niet opgelost en wordt dit niet voorgesteld.

Zijn er gebeurtenislogboeken die ik kan controleren om te bepalen of mijn systeem de juiste aanmeldingsgebeurtenis heeft?

Ja. U kunt 4624-beveiligingsevenementen controleren in het beveiligingslogboek voor aanmeldingstype 2 of 10. Als een systeem een van deze gebeurtenissen heeft, wordt dit probleem niet beïnvloed.

Voorgestelde acties

Aanmelden bij elke computer

Als u een laag aantal mogelijk getroffen machines hebt, kunt u er het eenvoudigst voor zorgen dat uw machines zich niet in deze status bevinden door u aan te melden bij elke computer. Dit kan een interactieve aanmelding of een aanmelding via extern bureaublad zijn. U hoeft dit slechts eenmaal te doen nadat het besturingssysteem is geïnstalleerd.

Overige informatie

Feedback

  • U kunt feedback geven door het Microsoft Help- en ondersteuningsformulier, de klantenservice contact met ons op te geven.

Ondersteuning

Vrijwaring

De informatie die in dit advies wordt verstrekt, wordt "zoals zodanig" verstrekt zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.

Revisies

  • V1.0 (9 mei 2017): Advies gepubliceerd.
  • V1.1 (10 mei 2017): Advies bijgewerkt met vermeldingen van aanmeldingstype 2-gebeurtenislogboeken. Dit is alleen een informatieve wijziging.
  • V1.2 (mei 11, 2017): advies bijgewerkt om de WSUS-omgeving te verduidelijken. Dit is alleen een informatieve wijziging.
  • V1.3 (17 mei 2017): Veelgestelde vragen bijgewerkt om de update te verduidelijken die moet worden geïnstalleerd: "de huidige cumulatieve update". Dit is alleen een informatieve wijziging.

Pagina gegenereerd 2017-05-17 10:48Z-07:00.