Comunicado de Segurança da Microsoft 4022345
Identificando e corrigindo a falha do cliente Windows Update para receber atualizações
Publicado: terça-feira, 9 de maio de 2017 | Atualizado: May 12, 2017
Versão: 1.3
Resumo Executivo
A Microsoft está lançando este comunicado de segurança para fornecer informações relacionadas a um cenário de implantação incomum no qual o Cliente do Windows Update pode não verificar ou baixar atualizações corretamente. Este cenário pode afetar os clientes que instalaram um sistema operativo Windows 10 ou Windows Server 2016 e que nunca iniciaram sessão interativamente no sistema ou se ligaram ao mesmo através de serviços de ambiente de trabalho remoto. Estes sistemas poderão não receber atualizações do Windows até que um utilizador tenha concluído a configuração inicial iniciando sessão interactivamente ou iniciando sessão através de serviços de ambiente de trabalho remoto.
Para resolver esse cenário, a Microsoft lançou uma atualização para o Cliente do Windows Update por meio de um mecanismo de autorrecuperação no canal de lançamento do Windows Update para corrigir o comportamento do Windows Update para sistemas operacionais de servidor que não estão verificando ou recebendo atualizações. Depois que as máquinas forem desbloqueadas por esse mecanismo, todas as configurações existentes que um administrador do sistema configurou serão respeitadas e as atualizações não serão forçadas em uma máquina que tenha sido configurada para desabilitar as Atualizações do Windows.
Este comunicado fornece orientação para que os clientes identifiquem se são afetados por esse cenário incomum e quais, se houver, ações precisam tomar para corrigir o comportamento.
Detalhes do Comunicado
Software afetado
As seguintes versões ou edições de software são afetadas. As versões ou edições que não estão listadas já passaram do seu ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida do suporte para a versão ou edição do software, consulte Ciclo de vida do suporte da Microsoft.
Sistemas Operativos Clientes |
---|
Windows 10 para sistemas de 32 bits |
Windows 10 para sistemas baseados em x64 |
Windows 10 Versão 1511 para sistemas de 32 bits |
Windows 10 Versão 1511 para sistemas baseados em x64 |
Windows 10 Versão 1607 para sistemas de 32 bits |
Windows 10 Versão 1607 para sistemas baseados em x64 |
Windows 10 Versão 1703 para sistemas de 32 bits |
Windows 10 Versão 1703 para sistemas baseados em x64 |
Sistemas operacionais de servidor |
Windows Server 2016 |
Windows Server 2016 (instalação Server Core) |
Fatores atenuantes
A Microsoft identificou os seguintes fatores atenuantes:
- Os utilizadores que iniciam sessão num sistema interactivamente não são afetados por este comportamento. A maioria dos utilizadores inicia sessão interactivamente no Windows após a configuração inicial e não são afetados.
- Os servidores que estão conectados à internet receberão automaticamente a atualização através do sistema de autorrecuperação WU. Apenas os clientes com redes isoladas ou que bloquearam URLs do Windows Update com um firewall podem precisar executar ações manuais.
- Muitas ferramentas de implantação de software empresarial e scanners podem causar um evento de login, o que impede que um sistema seja afetado por esse problema. Há um log de eventos, descrito nas Perguntas frequentes, que pode ser verificado para determinar se uma ferramenta causa um login e, assim, impede qualquer falha de atualização.
FAQ Consultivo
Como sei se sou afetado?
Os clientes que iniciam sessão interactivamente nos seus computadores ou que iniciam sessão através de serviços de ambiente de trabalho remoto não são afetados por este problema. Os clientes que usam mecanismos automatizados de criação e implantação de imagens, como o DISM e os Serviços de Implantação do Windows, podem ter sistemas Windows 10 ou Windows 2016 em que as atualizações não são verificadas ou baixadas automaticamente. A execução de sistemas que foram implantados e que nunca foram conectados interativamente, ou que foram conectados por meio de serviços de área de trabalho remota, pode resultar em que esses sistemas estejam em um estado em que as atualizações não são verificadas ou baixadas. Um sistema configurado como uma máquina sem cabeça não será afetado.
Fiz login no meu sistema. Devo tomar outras medidas manuais?
Somente os clientes que não habilitaram a atualização automática ou que bloquearam URLs de atualização automática com um firewall precisam verificar se há atualizações e instalar manualmente. Os clientes que usam o WSUS e que bloquearam o acesso dos sistemas às URLs do Windows Update também devem instalar a atualização cumulativa atual manualmente. Como alternativa, o WSUS inclui a capacidade de auditar se as máquinas recebem atualizações. Enquanto um sistema estiver recebendo atualizações, nenhuma ação será necessária. Para obter informações sobre opções de configuração específicas na atualização automática, consulte o artigo 294871 da Base de Dados de Conhecimento Microsoft.
Estou usando um sistema operacional cliente afetado. Receberei uma atualização automática?
Não, atualmente não há nenhum plano para lançar uma atualização automática para versões do sistema operacional cliente. Siga as orientações na seção Ações sugeridas deste documento, que explica como esse cenário pode ser resolvido para essas versões do sistema operacional.
Como posso determinar se o meu sistema é Headless?
Você pode verificar o valor da chave "Headless" localizado no registro. Essa chave está localizada em um caminho de "HKLM\SYSTEM\CurrentControlSet\Control\WinInit". Se essa chave tiver qualquer valor diferente de zero, ela será executada como um sistema Headless. Se a chave não tiver valor, ou se o seu valor for zero, o sistema não está sem cabeça e pode ser afetado por este problema. Alterar esse valor manualmente não corrigirá esse problema e não é sugerido.
Há logs de eventos que eu possa verificar para determinar se meu sistema tem o evento de logon adequado?
Sim. Você pode verificar 4624 eventos de segurança no Log de Eventos de Segurança para Tipo de Logon de 2 ou 10. Se um sistema tiver qualquer um desses eventos, ele não será afetado por esse problema.
Ações Sugeridas
Faça login em cada máquina
Se você tiver um número baixo de máquinas possivelmente afetadas, a maneira mais simples de garantir que suas máquinas não estejam nesse estado é fazer login em cada máquina. Pode ser um início de sessão interativo ou um início de sessão através do ambiente de trabalho remoto. Você só precisa fazer isso uma vez depois que o sistema operacional estiver instalado.
Outras informações
Comentários
- Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.
Suporte
- Os clientes nos Estados Unidos e Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações, consulte a Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações, consulte Suporte internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Exclusão de Responsabilidade
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (9 de maio de 2017): Comunicado publicado.
- V1.1 (10 de maio de 2017): Comunicado atualizado para incluir entradas do Log de Eventos de Segurança Tipo 2 de Logon. Esta é apenas uma alteração informativa.
- V1.2 (11 de maio de 2017): Comunicado atualizado para esclarecer o ambiente do WSUS. Esta é apenas uma alteração informativa.
- V1.3 (17 de maio de 2017): Perguntas frequentes atualizadas para esclarecer a atualização que precisa ser instalada: "a atualização cumulativa atual". Esta é apenas uma alteração informativa.
Página gerada em 2017-05-17 10:48Z-07:00.