Microsoft 安全咨询4022345
识别和更正Windows 更新客户端接收更新失败
发布时间: 2017 年 5 月 9 日 |更新时间:2017 年 5 月 12 日
版本: 1.3
执行摘要
Microsoft 正在发布此安全公告,以提供与Windows 更新客户端可能无法正确扫描或下载更新的常见部署方案相关的信息。 此方案可能会影响安装了 Windows 10 或 Windows Server 2016 操作系统的客户,并且从未以交互方式登录到系统或通过远程桌面服务连接到该系统的客户。 在用户以交互方式登录或通过远程桌面服务登录完成初始设置之前,这些系统可能不会收到 Windows 更新。
为了解决这种情况,Microsoft 已通过Windows 更新发布通道中的自我修复机制发布了对 Windows 更新 客户端的更新,以更正未扫描或接收更新的服务器操作系统的Windows 更新行为。 在此机制取消卡住计算机后,系统管理员配置的所有现有设置将遵循,并且不会在配置为禁用Windows 更新的计算机上强制更新。
此公告为客户提供了指导,用于确定它们是否受这种不常见方案的影响,以及他们需要采取哪些操作来纠正行为。
咨询详细信息
受影响的软件
以下软件版本或版本受到影响。 未列出的版本或版本要么超过其支持生命周期,要么不受影响。 若要确定软件版本或版本的支持生命周期,请参阅Microsoft 支持部门生命周期。
| 客户端操作系统 |
|---|
| 适用于 32 位系统的 Windows 10 |
| 基于 x64 的系统版 Windows 10 |
| 适用于 32 位系统的 Windows 10 版本 1511 |
| 基于 x64 的系统版 Windows 10 版本 1511 |
| 适用于 32 位系统的 Windows 10 版本 1607 |
| 基于 x64 的系统版 Windows 10 版本 1607 |
| 适用于 32 位系统的 Windows 10 版本 1703 |
| 基于 x64 的系统版 Windows 10 版本 1703 |
| 服务器操作系统 |
| Windows Server 2016 |
| Windows Server 2016 (服务器核心安装) |
缓解因素
Microsoft 已确定以下缓解因素:
- 以交互方式登录到系统的用户不受此行为的影响。 大多数用户在初始设置后以交互方式登录到 Windows,并且不会受到影响。
- 连接到 Internet 的服务器将自动通过 WU 自我修复系统接收更新。 只有具有隔离网络或已阻止具有防火墙Windows 更新 URL 的客户可能需要手动操作。
- 许多企业软件部署工具和扫描程序可能会导致登录事件,从而阻止系统受到此问题的影响。 常见问题解答中介绍了一个事件日志,可以检查确定工具是否会导致登录,从而排除任何更新失败。
咨询常见问题解答
如何实现知道我是否受到影响?
以交互方式登录到其计算机或通过远程桌面服务登录的客户不受此问题的影响。 使用自动映像生成和部署机制(如 DISM 和 Windows 部署服务)的客户可以具有 Windows 10 或 Windows 2016 系统,其中不会自动扫描或下载更新。 运行已部署且从未以交互方式登录或通过远程桌面服务登录的系统,可能会导致这些系统处于未扫描或下载更新的状态。 配置为无外设计算机的系统不会受到影响。
我已登录到我的系统。 我必须采取进一步的手动操作吗?
只有未启用自动更新或已阻止防火墙自动更新 URL 的客户需要检查更新并手动安装。 使用 WSUS 和阻止系统访问Windows 更新 URL 的客户还必须手动安装当前的累积更新。 或者,WSUS 包括能够审核计算机是否收到更新。 只要系统接收更新,就不需要执行任何操作。 有关自动更新中的特定配置选项的信息,请参阅 Microsoft 知识库文章294871。
我正在使用受影响的客户端 OS。 是否会收到自动更新?
否,目前没有计划发布客户端 OS 版本的自动更新。 请遵循本文档的“建议操作”部分中的指南,其中介绍了如何针对这些 OS 版本解决此方案。
如何确定我的系统是否为无外设?
可以检查注册表中“无外设”键的值。 此键位于“HKLM\SYSTEM\CurrentControlSet\Control\WinInit”的路径。 如果此键具有任何非零值,则它作为无外设系统运行。 如果键没有值,或其值为零,则系统不会无外设,并且可能会受到此问题的影响。 手动更改此值不会修正此问题,不建议这样做。
是否有事件日志可以检查来确定我的系统是否具有正确的登录事件?
是的。 可以在 2 或 10 的安全事件日志中检查 4624 个安全事件。 如果系统有任何此类事件,则它不受此问题的影响。
建议的操作
登录到每台计算机
如果计算机数量较少,则确保计算机未处于此状态的最简单方法是登录到每台计算机。 这可以是交互式登录,也可以是通过远程桌面登录。 安装操作系统后,只需执行此操作一次。
其他信息
反馈
- 可以通过完成 Microsoft 帮助和支持表单、 客户服务联系我们来提供反馈。
支持
- 美国和加拿大的客户可以从安全支持部门获得技术支持。 有关详细信息,请参阅 Microsoft 帮助和支持。
- 国际客户可以从其本地 Microsoft 子公司获得支持。 有关详细信息,请参阅国际性支持。
- Microsoft TechNet 安全性 提供有关 Microsoft 产品安全性的其他信息。
免责声明
此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2017 年 5 月 9 日):已发布公告。
- V1.1(2017 年 5 月 10 日):公告已更新,包括登录类型 2 安全事件日志条目。 这只是一项信息性更改。
- V1.2(2017 年 5 月 11 日):公告已更新,以阐明 WSUS 环境。 这只是一项信息性更改。
- V1.3(2017 年 5 月 17 日):更新了常见问题解答,以阐明需要安装的更新:“当前累积更新”。 这只是一项信息性更改。
页面生成的 2017-05-17 10:48Z-07:00。