Обновления безопасности windows server 2012 r2

Почему не нужно бояться

Windows 11, как и другая современная ОС семейства Windows не превратится «в тыкву», если не устанавливать на нее самые свежие обновления. Операционка в данном случае продолжит работать, как ни в чем не бывало, равно как и сторонние программы, будь то браузер, почтовый клиент или что-то еще.

Яркий пример – ОС Windows 7. Поддержку данной системы Microsoft прекратила еще в январе 2020 г., однако ее доля среди российских Windows-ПК по-прежнему составляет 21,09% против всего-навсего 5,54% у Windows 11 (данные StatCounter на август 2022 г.).

Выйти из ситуации может установка актуальной версии Windows 11 с нуля. Многие россияне знают, где взять дистрибутив

Кроме того, Microsoft известна на весь мир своим умением выпускать обновления для своих ОС, ломающие те или иные компоненты системы, нередко ключевые. Несмотря на то, что Windows 11 не исполнилось и года (ее релиз состоялся 5 октября 2021 г.), она уже успела нахватать более десятка проблемных патчей.

Также не следует забывать про позицию топ-менеджмента Microsoft. В начале лета 2022 г. президент корпорации Брэд Смит (Brad Smith) на весь мир заявил, что Microsoft постарается полностью уничтожить свой российский офис. Бизнес в России компания остановила еще весной 2022 г.

По мнению Романа Мылицына, руководителя направления перспективных исследований группы «Астра», принимая такое решение, Microsoft руководствовалась вовсе не собственными желаниями. «Конечно, такой шаг совершенно нелогичен с точки зрения бизнеса и современной клиенториентированной компании, – сообщил CNews Мылицын. – Однако такие действия продиктованы не рыночной целесообразностью, а нормативно-правовыми документами, принятыми в США по политическим мотивам с целью ограничения доступа России к западным технологиям и решениям. Именно в этой связи так актуальны действия российского государства, направленные на оперативное обеспечение технологического суверенитета».

Обновить справку можно несколькими методами:

Если доступ в интернет на компьютере есть, то откройте PowerShell от имени администратора и введите команду:

У вас начнется скачивание свежей справки для каждого встроенного модуля.

Если у вас есть нестандартные модули, вроде тех, что мы добавляли при поиске ID сеанса пользователя(/how-to-determine-the-user-id-and-session-number-on-rds/), то на них справка может не обновиться и вы получите ошибку:

Если по какой-то причине у вас на рабочей станции, где требуется обновить справку PowerShell, нет выхода в интернет, то я предлагаю вам создать на компьютере с интернетом, автономную, локальную копию, в виде выгрузки XML пакетов со справкой. В оснастке PowerShell, открытой обязательно от имени администратора введите команду:

Убедитесь, что путь куда будут заливаться ваши файлы есть.

В результате у вас скачается порядка 200 файлов cab и XML. Каждый соответствует своему командлету.

Далее вы копируете эту папку или подключаетесь к ней по сети, тут не важно. На сервере или компьютере без интернета, открываем PowerShell и применяем команду, единственное укажите ваш путь

В тоге вы получаете самую свежую информацию по командам. Напоминаю, что так же можно посмотреть Online справку в PowerShell, для этого выполните:

Подробнее про справку можете почитать на Microsoft (https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.core/get-help?view=powershell-6).

В некоторых случаях, обновить справку можно и через Proxy, выполните код:

Windows 8.1 и Windows 8

В Windows 8.1 и Windows 8 функция подсистемы Windows PowerShell 2.0 по умолчанию включена.
Однако для его использования следует включить параметр для необходимой ему платформы Microsoft .NET Framework 3.5. Этот раздел также поясняет, как включать и отключить компонент подсистемы Windows PowerShell 2.0.

Включение .NET Framework 3.5

1. На экране Пуск введите компоненты Windows.

2. В панели Приложения щелкните Параметры, а затем выберите Включение или отключение компонентов Windows.

3. В поле Компоненты Windows выберите элемент .NET Framework 3.5 (включает .NET 2.0 и 3.0).

   При выборе элемента .NET Framework 3.5 (включает .NET 2.0 и 3.0) поле заливается, указывая, что выбрана только часть компонента. Этого достаточно для подсистемы Windows PowerShell 2.0.

Включение и отключение подсистемы Windows PowerShell 2.0

1. На экране Пуск введите компоненты Windows.
2. В панели Приложения щелкните Параметры, а затем выберите Включение или отключение компонентов Windows.
3. В поле Компоненты Windows разверните узел Windows PowerShell 2.0 и установите либо снимите флажок Windows PowerShell 2.0 Engine.

Ручная установка обновлений, полученных с WSUS

Эта методика установки обновлений на Windows Core 2012 является оптимальной в большинстве случаев: с помощью групповой политики или путем ручной модификации реестра указывается WSUS сервер и задается режим ручного запуска установки обновлений, затем в профилактическое окно администратор сервера вручную стартует установку обновлений. Возникает вопрос: как же запустить установку обновлений, полученных со WSUS сервера, на Windows Core 2012? В этом нам поможет утилита sconfig, входящая в стандартную поставку Windows Core.

Выберите 6 пункт: Download and Install Updates

На вопрос необходимо ли искать все или рекомендованные обновления, выберем все (A).

Система обнаружит и отобразит список обнаруженных обновлений и предложит их установить (все сразу, по одному) или совсем отказаться от их установки.

Если выбрана установка обновлений, систем приступит к закачке и установке обновлений Windows Server Core 2012.

После установки обновлений, система может потребовать перезагрузки.

Требования к подсистеме Windows PowerShell

Windows PowerShell 4.0 предназначен для обратной совместимости с Windows PowerShell 3.0 и Windows PowerShell 2.0. Командлеты, поставщики, оснастки, модули и сценарии, написанные для Windows PowerShell 2.0, выполняются и в Windows PowerShell 3.0, и в Windows PowerShell 4.0 без изменений.

Однако из-за изменений в политике активации среды выполнения в Microsoft .NET Framework 4 основные программы Windows PowerShell, написанные для Windows PowerShell 2.0 и скомпилированные с помощью среды CLR 2.0, не могут выполняться без изменения в Windows PowerShell 3.0, которые компилируются в среде CLR 4.0.

Подсистеме Windows PowerShell 2.0 требуется Microsoft .NET Framework версии не ниже 2.0.50727. Этому требованию удовлетворяет Microsoft .NET Framework 3.5 с пакетом обновления 1 (SP1). Этому требованию не удовлетворяет Microsoft .NET Framework 4 и более поздних версий.

Дополнительные сведения о добавлении или установке подсистемы Windows PowerShell 2.0 и требуемых версий Microsoft .NET Framework см. в статье Установка подсистемы Windows PowerShell 2.0. Дополнительные сведения о запуске подсистемы Windows PowerShell 2.0 см. в статье Запуск подсистемы Windows PowerShell 2.0.

Устранение ошибок Windows Update, вызванных повреждением хранилища компонентов

В справке предыдущих ОС Microsoft для ошибки 80073712 есть описание, из которого следует, что причиной является повреждение хранилища компонентов. Для Windows Vista и Windows 7 была выпущена утилита System Update Readiness Tool (CheckSUR), призванная устранить целый ряд ошибок Windows Update.

80070002	 ERROR_FILE_NOT_FOUND
8007000D	 ERROR_INVALID_DATA
800F081F	 CBS_E_SOURCE_MISSING
80073712	 ERROR_SXS_COMPONENT_STORE_CORRUPT
800736CC	 ERROR_SXS_FILE_HASH_MISMATCH
800705B9	 ERROR_XML_PARSE_ERROR
80070246	 ERROR_ILLEGAL_CHARACTER
8007370D	 ERROR_SXS_IDENTITY_PARSE_ERROR
8007370B	 ERROR_SXS_INVALID_IDENTITY_ATTRIBUTE_NAME
8007370A	 ERROR_SXS_INVALID_IDENTITY_ATTRIBUTE_VALUE
80070057	 ERROR_INVALID_PARAMETER
800B0100	 TRUST_E_NOSIGNATURE
80092003	 CRYPT_E_FILE_ERROR
800B0101	 CERT_E_EXPIRED
8007371B	 ERROR_SXS_TRANSACTION_CLOSURE_INCOMPLETE
80070490	 ERROR_NOT_FOUND

Для исправления этих ошибок в Windows 8 и более новых ОС утилита CheckSUR не нужна, потому что все необходимое уже встроено в систему! Вы можете восстановить поврежденные компоненты с помощью командлета PowerShell (рекомендуемый способ) или утилиты DISM.exe.

Этап 1 – восстановление поврежденного хранилища компонентов

Восстановление можно выполнить без установочного диска Windows, но в некоторых случаях он может вам понадобиться.

Восстановление без установочного диска

В этом случае используются файлы хранилища на локальном диске и Windows Update.

Запустите PowerShell и выполните команду:

Repair-WindowsImage -Online -RestoreHealth

Альтернативно, вы можете выполнить в командной строке, запущенной с правами администратора, команду:

Dism /Online /Cleanup-Image /RestoreHealth

Длительность процедуры восстановления зависит от конфигурации ПК и степени повреждения хранилища. У меня она заняла около 7 минут, а ее результат вы видите на рисунке ниже.

Состояние хранилища компонентов обозначается параметром Image Health State. У него Healthy означает, что с хранилищем компонентов все нормально. Для дальнейшей диагностики переходите к проверке целостности системных файлов чуть ниже ↓ Если же повреждение хранилища не исправлено, нужно попробовать сделать это с помощью установочного диска.

Восстановление с помощью установочного диска

Когда системе не удается восстановить какие-либо компоненты, вам может помочь оригинальный установочный диск.

Щелкните правой кнопкой мыши по ISO-образу и выберите в меню Подключить

Обратите внимание на букву диска, которую получил подключенный образ.
В PowerShell выполните команду:
Repair-WindowsImage -Online -RestoreHealth -Source:WIM:Е:\sources\install.wim:1
Здесь буква «E» соответствует букве подключенного образа, а цифра «1» — индексу издания в образе (в примере используется образ Windows 8 Enterprise с единственным изданием).

По окончании процедуры убедитесь, что хранилище компонентов в порядке (Healthy).

Этап 2 – проверка целостности системных файлов

Строго говоря, этот этап не имеет отношения к восстановлению компонентов. Однако техническая поддержка Microsoft рекомендует после проверки целостности хранилища компонентов также проверить и целостность системных файлов. Для этого в командной строке, запущенной от имени администратора, выполните команду:

sfc /scannow

У меня один из файлов был поврежден, и утилита SFC успешно восстановила его.

Случаи, когда системе не удалось восстановить какие-либо файлы, выходят за рамки этой статьи (я разберу их в другой раз).

Этап 3 – установка обновления

Итак, две команды восстановили целостность хранилища компонентов и системных файлов. Самое время попробовать установить обновление заново.

Как видите, на сей раз у меня все сработало!

2.4. Настройка групп компьютеров WSUS

Группы компьютеров являются важной частью эффективного использования WSUS. Группы компьютеров позволяют проверять обновления и направлять их на конкретные компьютеры. По умолчанию имеются две группы компьютеров: «Все компьютеры» и «Неназначенные компьютеры»

По умолчанию каждый клиентский компьютер прежде всего контактирует с сервером WSUS, а сервер добавляет клиентский компьютер в обе указанные группы

По умолчанию имеются две группы компьютеров: «Все компьютеры» и «Неназначенные компьютеры». По умолчанию каждый клиентский компьютер прежде всего контактирует с сервером WSUS, а сервер добавляет клиентский компьютер в обе указанные группы.

Вы можете создать любое количество групп пользовательских компьютеров, необходимое для управления обновлениями в вашей организации. Наилучшей методикой является создание не менее одной группы компьютеров для проверки обновлений до их развертывания на других компьютерах вашей организации.

2.4.1. Выбор способа назначения клиентских компьютеров группам компьютеров

Есть два подхода к назначению клиентских компьютеров группам компьютеров. Правильный подход для организации будет зависеть от того, как обычно осуществляется управление клиентскими компьютерами.

• Нацеливание на стороне сервера. Это подход по умолчанию. В этом случае вы назначаете клиентские компьютеры группам компьютеров с помощью консоли администрирования WSUS.

  Такой подход позволяет быстро перемещать клиентские компьютеры из одной группы в другую по мере изменения обстоятельств. Но это означает, что новые клиентские компьютеры нужно вручную перемещать из группы неназначенных компьютеров в соответствующую группу компьютеров.

• Нацеливание на стороне клиента. В этом случае каждый клиентский компьютер назначается той или иной группе компьютеров с помощью параметров политики, заданных на самом клиентском компьютере.

  Такой подход упрощает назначение новых клиентских компьютеров соответствующим группам, так как процедура выполняется на этапе настройки клиентского компьютера для получения обновлений с сервера WSUS. Но это означает, что клиентские компьютеры невозможно назначать группам компьютеров или перемещать из одной группы в другую с помощью консоли администрирования WSUS. Вместо этого необходимо изменить политики клиентских компьютеров.

2.4.2. Включение нацеливания на стороне клиента (при необходимости)

Важно!

Пропустите этот шаг, если планируете использовать нацеливание на стороне сервера.

1. В консоли администрирования WSUS в разделе Службы обновления разверните узел сервера WSUS и щелкните Параметры.

2. На вкладке Общие в области Параметры выберите Использовать групповую политику или параметры реестра на компьютерах.

2.4.3. Создание нужных групп компьютеров

Примечание

Группы компьютеров, в которые будут добавляться клиентские компьютеры, необходимо создавать с помощью консоли администрирования WSUS, независимо от того, какой подход вы используете: нацеливание на стороне сервера или на стороне клиента.

1. В консоли администрирования WSUS в разделе Службы обновления разверните узел сервера WSUS, разверните узел Компьютеры, щелкните правой кнопкой мыши пункт Все компьютеры, а затем щелкните Добавить группу компьютеров.

2. В диалоговом окне Добавить группу компьютеров в поле Имя укажите имя новой группы. Нажмите кнопку Добавить.

Потенциальные проблемы

Отсутствие доступа к обновлениям Windows 11 не сулит россиянам ничего хорошего, однако ситуация, на самом деле, далеко не самая критичная. По сути, единственное, чего лишатся жители России после очередных санкций Microsoft – это новых «фишек» системы и патчей безопасности, входящих в такие апдейты.

Невозможность получить эти патчи грозит потенциальными проблемами безопасности. Это частично решается установкой дополнительного «антихакерского» софта – антивируса и брандмауэра. А если не посещать сомнительные сайты и не открывать письма от неизвестных адресатов, то риск стать жертвой взлома или получить вирус снижается почти до нуля.

Установка WSUS

До того, как производить оптимизацию WSUS, рекомендуем еще в процессе установки принять решение о некоторых параметрах установки. Итак, наши рекомендации:

MS SQL база данных вместо Windows Internal Database

Определитесь, в какой базе данных будет храниться WSUS. Рекомендации таковы:

1. Устанавливаем MS SQL Server. Мало того, что эта СУБД рассчитана на большие объемы данных (чего здесь не требуется), так она еще позволяет легко и удобно обслуживать базу данных (что требуется регулярно).
2. Установить MS SQL базу данных можно также на отдельном сервере (типа SQL сервера для IT служб), что в случае использования виртуальных машин позволяет сэкономить ресурсы, в первую очередь оперативную память: SQL нужен для WSUS, Kaspersky Security Center, службы мониторинга сети и т.д.

Требования к Microsoft .NET Framework

В следующей таблице приведены требования к .NET Framework для Windows PowerShell.

Версия	Требование к .NET
Windows PowerShell 5.1	Требует полную установку Microsoft .NET Framework 4.5. Windows 8.1 и Windows Server 2012 R2 включают Microsoft .NET Framework 4.5 по умолчанию.
Windows PowerShell 5.0	Требует полную установку Microsoft .NET Framework 4.5. Windows 8.1 и Windows Server 2012 R2 включают Microsoft .NET Framework 4.5 по умолчанию.
Windows PowerShell 4.0	Требует полную установку Microsoft .NET Framework 4.5. Windows 8.1 и Windows Server 2012 R2 включают Microsoft .NET Framework 4.5 по умолчанию.
Windows PowerShell 3.0	Требует полную установку Microsoft .NET Framework 4. Windows 8 и Windows Server 2012 содержат Microsoft .NET Framework 4.5 по умолчанию, что удовлетворяет этому требованию.

Используйте следующие ссылки, чтобы загрузить Microsoft .NET Framework из центра загрузки Майкрософт.

Версия	Ссылка
.NET Framework 4.5 ()	Microsoft .NET Framework 4.5
.NET Framework 4 ()	Microsoft .NET Framework 4 (веб-установщик)

Почему центр обновления не работает в режиме аудита Windows 8.1

Ответ поддержки Microsoft процитирован кем-то на форуме TechNet. Центр обновлений Windows проверяет, завершила ли система этап OOBE (из которого вы и входите в аудит). Если не завершила, обновление не выполняется.

С одной стороны, это предотвращает перезагрузку на этапе OOBE. С другой стороны, у ОЕМов появляется возможность контролировать набор устанавливаемых обновлений при создании фабричного образа, даже если он настроен на автоматическое обновление.

Почему Microsoft изменила поведение именно в Windows 8.1, я не знаю – возможно, именно по просьбам ОЕМов. Однако заметьте, что не работает именно обновление из панели управления, а значит есть обходной путь.

Необходимо обновить Windows Server 2012 R2 до 2019

Поскольку основная поддержка Windows Server 2012 R2 прекращена в 2018 г., а расширенная — в 2023 г., рекомендуется обновить Windows 2012 R2 до версии 2019.

Кроме того, есть и другие весомые причины.

1. Новая система более совместима с новыми сервисами и приложениями.

Windows Server 2019 упрощает интеграцию Linux с новыми функциями, такими как контейнеры Linux в Windows, подсистема Windows для Linux (WSL) и новая платформа приложений Windows Server 2019.

2. Новая система безопаснее.

Windows Server 2019 построен на надежном фундаменте безопасности. Теперь он не только блокирует угрозы, но и отслеживает предполагаемые угрозы и реагирует на них. Windows Server 2019 предназначен для использования в облаке или в облаке. Пользователи могут более легко подключать свои существующие локальные среды к Microsoft Azure.

Автоматическая чистка WSUS

Как говорилось ранее, сервер WSUS очень требователен к дисковому пространству. Поэтому удаление устаревшей информации является критически важным этапом его администрирования.

Саму чистку можно сделать в панели управления сервером обновления в разделе Параметры — Мастер очистки сервера.

Также можно воспользоваться командлетом в Powershell Invoke-WsusServerCleanup — целиком команда будет такой:

Get-WSUSServer | Invoke-WsusServerCleanup -CleanupObsoleteComputers -CleanupObsoleteUpdates -CleanupUnneededContentFiles -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates

Установка роли WSUS на Windows Server 2016

Шаги по установке роли служб обновления Windows Server (WSUS) в Windows Server 2019 включают:

• Войдите на сервер Windows 2016, на котором вы планируете установить роль сервера WSUS, используя учетную запись, которая является членом группы локальных администраторов.
• В диспетчере серверов нажмите «Manage» и нажмите «Add Roles and Features » .
• На странице «Before you begin» нажмите « Next» .
• На странице выбора типа установки выберите вариант Role-based or feature-based installation . Нажмите «Next» .

На странице «Выбор сервера» проверьте имя сервера и нажмите « Next» .

Роли сервера — Windows Server Update Services

На странице «Роли сервера» выберите роль « Windows Server Update Services ». Вы должны увидеть поле Add Features, необходимые для служб Windows Server Update Services. Нажмите « Add Features» и нажмите «Next» .

На странице «Select features» оставьте параметры по умолчанию и нажмите « Next» .

На странице Службы обновления Windows Server нажмите кнопку Далее .

Тип базы данных WSUS — службы ролей

Необходимо выбрать службы ролей/тип базы данных для установки служб Windows Server Update. Выберите «WID Connectivity» и «WSUS Services» . Нажмите «Next» .

Расположение содержимого WSUS

Укажите расположение содержимого для хранения обновлений. Я бы рекомендовал хранить обновления на другом диске, а не на диске C:. Размер этой папки со временем может увеличиться, и вы не хотите, чтобы эта папка находилась на диске C:. Поэтому выберите либо отдельный диск, либо храните обновления на удаленном сервере.

Нажмите «Далее» .

Далее у вас будет настройка роли Web Server Role(IIS) , нажмите пару раз next

Окончательное подтверждение перед установкой WSUS. Проверьте настройки и нажмите « Install» .

После завершения установки WSUS щелкните Launch Post-Installation tasks после установки .

Либо сделайте это тут

Дождитесь окончания процесса

Первый запуск и настройка WSUS

После установки наш сервер еще не готов к работе и требуется его первичная настройка. Она выполняется с помощью мастера.

В диспетчере сервера кликаем по Средства — Службы Windows Server Update Services:

При первом запуске запустится мастер завершения установки. В нем нужно подтвердить путь, по которому мы хотим хранить файлы обновлений. Кликаем по Выполнить:

. и ждем завершения настройки:

Откроется стартовое окно мастера настройки WSUS — идем далее:

На следующей странице нажимаем Далее (при желании, можно принять участие в улучшении качества продуктов Microsoft):

Далее настраиваем источник обновлений для нашего сервера. Это может быть центр обновлений Microsoft или другой наш WSUS, установленный ранее:

* в нашем примере установка будет выполняться из центра Microsoft. На данном этапе можно сделать сервер подчиненным, синхронизируя обновления с другим WSUS.

Если в нашей сети используется прокси-сервер, задаем настройки:

* в нашем примере прокси-сервер не используется.

Для первичной настройки WSUS должен проверить подключение к серверу обновлений. Также будет загружен список актуальных обновлений. Нажимаем Начать подключение:

. и дожидаемся окончания процесса:

Выбираем языки программных продуктов, для которых будут скачиваться обновления:

Внимательно проходим по списку программных продуктов Microsoft и выбираем те, которые есть в нашей сети, и для который мы хотим устанавливать обновления:

* не стоит выбирать все программные продукты, так как на сервере может не хватить дискового пространства.

Выбираем классы обновлений, которые мы будем устанавливать на компьютеры:

* стоит воздержаться от установки обновлений, которые могут нанести вред, например, драйверы устройств в корпоративной среде не должны постоянно обновляться — желательно, чтобы данный процесс контролировался администратором.

Настраиваем синхронизацию обновлений. Желательно, чтобы она выполнялась в автоматическом режиме:

Мы завершили первичную настройку WSUS. При желании, можно установить галочку Запустить первоначальную синхронизацию:

После откроется консоль управления WSUS.

Управление автоматическим обновлением в Sever Core 2012

Текущие настройки службы обновлений можно получить с помощью команды:

Cscript scregedit.wsf /AU /v

Включить автоматическую установке обновлений можно с помощью команд:

Net stop wsuaserv cscript scregedit.wst /AU 4  

net start wsuaserv

Отключить автоматическое обновление можно так:

Net stop wsuaserv

cscript scregedit.wsf /AU 1

net start wsuaserv

Запустить принудительный поиск доступных обновлений можно с помощью команды:

wuauclt /detectnow

Если сервер должен установить обновления автоматически, но не перезагружаться, можно отключить автоматическую перезагрузку Windows после установки обновлений.

Знакомство с «Центром обновления Windows»

«Центр обновления Windows» можно открыть следующими способами:

• Нажмите на кнопку «Пуск» для открытия меню, откройте «Панель управления» и из списка компонентов панели управления выберите «Центр обновления Windows»;
• Нажмите на кнопку «Пуск» для открытия меню, откройте «Все программы» и из списка выберите «Центр обновления Windows»;
• Нажмите на кнопку «Пуск» для открытия меню, в поле поиска или введите wuapp.exe и откройте приложение в найденных результатах.

А также можно создать значок и поместить его на рабочий стол. Для этого сделаем следующее:

1. На рабочем столе нажимаем на правую кнопку для появления контекстного меню. В контекстном меню выбираем команду «Создать», а затем «Ярлык».
2. В поле «Укажите расположение объекта» введите cmd /c wuapp.exe и нажмите «Далее»;
3. Назовите ярлык «Центр обновления Windows» и нажмите на «Готово»;
4. Перейдите в свойства объекта и в выпадающем списке «Окно» выберите «Свернутое в значок»;
5. Нажмите на кнопку «Сменить значок» и в поле «Искать значки в следующем файле» введите %SystemRoot%\System32\wucltux.dll;
6. Нажмите «ОК».

На первом скриншоте отображен диалог центра обновления Windows:

Проверка обновлений

Чтобы проверить обновления, нужно сделать следующее:

1. Открыть «Центр обновления Windows»;
2. В левой области нужно нажать на ссылку «Поиск обновлений» и подождать, пока операционная система Windows будет выполнять поиск последних обновлений;
3. После того, как появится сообщение о доступности или необходимости проверки важных обновлений, нажав на него можно просмотреть и выбрать важные обновления, которые необходимо установить. В том случае, если уже установлены все важные и критические обновления, а остались только необязательные, вы увидите следующее:

Как видно на предыдущем скриншоте, могут отображаться как важные, так и необязательные обновления. Если при наличии только необязательных обновлений кнопка «Установить обновления» не отображается, нужно выбрать пункт «Необязательных обновлений: хх шт. доступны», где хх – это количество дополнительных изменений. После чего нажать на кнопку «ОК». Важные обновления помогают повысить безопасность Windows и всего компьютера, и их необходимо устанавливать. Необязательные обновления чаще всего представляют собой обновления драйверов устройств или программ, не оказывающие существенного влияния на их работу. Можно устанавливать необязательные обновления драйверов, если в них появились новые функции (например, дополнительные языки) или если существующие драйверы или программы работают нестабильно.

Можно указать частоту проверки обновлений. При помощи следующего твика можно указать промежуток времени в часах между поисками доступных обновлений. Истинное время ожидания определяется путем вычитания от 0 до 20 процентов от указанного времени. Например, если в данной политике задается обнаружение с периодом 20 часов, то все клиенты, к которым применяется эта политика, будут проверять наличие обновлений с интервалом 16-20 часов.

Windows Registry Editor Version 5.00


"DetectionFrequencyEnabled"=dword:00000001
"DetectionFrequency"=dword:00000014

Настройка WSUS

Открываем раздел Options.Здесь можно изменить те данные, которые вносились при первичной настройке WSUS, либо запустить настройку заново.

Открываем Update files and Languages и задаем скачивание обновлений после утверждения.Тем самым с Microsoft не будут загружаться не нужные обновления и захламлять место на диске. Минус данного способа в том, что если пользователь ПК решил обновить свой Windows, а обновления еще не были утверждены и закачены на сервер, то это вызовет ошибку в обновлении на ПК пользователя.

Если галочка убрана, то все обновления нужные и не нужные после синхронизации с Microsoft будут загружаться на сервер.

Что следует понимать под не нужными обновлениями. Предположим вы не давно обновили версию Windows на Windows 10 и на всех компьютерах у вас версия 1909. Соответственно обновления для всех остальных версий вам не нужны. 

Классификация обновлений

На этом этапе мы разделим обновления по классификации.Выбираем Updates и правой кнопкой, выбираем New Update View.1. Устанавливаем галочки2. Выбираем классификацию обновления3. Выбираем продукт4. Задаем имя.

В нашем примере мы создаем более мелкие классификации обновлений.

Если этот вариант Вам не нравится, Вы можете объединить в один Update View все обновления, например, для Windows 10 или один тип обновлений для нескольких ОС.

Для Windows Defender выбираем Definition Updates. Windows Defender проверяет наличие обновлений через клиента автоматического обновления. 

Обычное обновление системы (Think Outside the Box!)

Но, допустим, вы не разобрались с модулем PowerShell или не знали про скрипт VBS. Однако задача-то перед вами какая? Создать обновленный образ системы, обобщенный с помощью sysprep. При этом вовсе необязательно обновлять Windows именно в режиме аудита!

Можно прийти к цели иначе, что я и сделал :

1. Завершите этап OOBE – укажите имя компьютера, создайте локальную учетную запись – все как при обычной установке.
2. Обновите систему из центра обновлений Windows и перезагрузитесь. Можете также очистить папку WinSxS.
3. Войдите в режим аудита командой:

   %SystemRoot%\system32\sysprep\sysprep.exe /audit /reboot

4. В командной строке от имени администратора выполните rundll32.exe sysdm.cpl,EditUserProfiles и удалите профиль пользователя, созданный на шаге 1.
5. В командной строке, запущенной от имени администратора, удалите учетную запись пользователя, которую создали на шаге 1:

   net user “ИмяПользователя” /delete

Остается лишь запечатать образ (команда в конце предыдущего раздела статьи).

У вас может возникнуть вопрос, является ли такой способ . Безусловно! Более того, в поисках доказательств я наткнулся на пошаговое руководство на TechNet, где именно такой сценарий и описан. Режим аудита просто ускоряет процесс подготовки образа, позволяя обойтись без создания учетной записи и последующего ее удаления (шаги 4 и 5).

Особенности обновления и конвертации Windows Server

Чтобы обновить Windows Server 2012 до Server 2016, вам необходимо учесть следующие требования:

Все редакции Windows Serer 2016 бывают только 64 битные (обновление с 32-разрядной Windows Server 2008 до 64-разрядной версии невозможно).

Windows Server 2012 можно обновить до Server 2016, более ранние версии Windows Server такой сценарий не поддерживают.

Не поддерживается обновление с одной редакции на другую ( т.е. нельзя обновить Windows Server 2012 Standart до версии Windows Server 2016 Datacenter).

• Обновление с одного языка на другой не поддерживается.
• Обновление, с переключением из режима Server Core в режим полноценного GUI (и наоборот) также не поддерживается.
• Обновление ранее установленной Windows Server на пробную версию Windows Server не поддерживается. Ознакомительные версии должны быть установлены в режиме чистой установки.
• При апгерейде отключите антивирусную защиту, поскольку она замедляет процесс, так как антивирус сканирует каждый файл, копируемый на диск.
• Если сервер использует NIC Teaming, отключите его. Вы можете включить NIC Teaming после завершения обновления ОС сервера.
• Прежде чем обновлять сервер создайте его резервную копию. При возникновении ошибок или проблем у вас будет возможность откатить систему к исходному состоянию.
• Проверьте, нет ли у в журналах сервера проблем и ошибок, если они есть – их необходимо устранить. В противном случае это может привести к ошибкам, которые способны спровоцировать сбой процесса обновления.

Ручная установка обновлений, полученных с WSUS

Эта методика установки обновлений на Windows Core 2012 является оптимальной в большинстве случаев: с помощью групповой политики или путем ручной модификации реестра указывается WSUS сервер и задается режим ручного запуска установки обновлений, затем в профилактическое окно администратор сервера вручную стартует установку обновлений. Возникает вопрос: как же запустить установку обновлений, полученных со WSUS сервера, на Windows Core 2012? В этом нам поможет утилита sconfig, входящая в стандартную поставку Windows Core.

Запустите утилиту

sconfig

Выберите 6 пункт: Download and Install Updates

На вопрос необходимо ли искать все или рекомендованные обновления, выберем все (A).

Система обнаружит и отобразит список обнаруженных обновлений и предложит их установить (все сразу, по одному) или совсем отказаться от их установки.

Если выбрана установка обновлений, систем приступит к закачке и установке обновлений Windows Server Core 2012.

После установки обновлений, система может потребовать перезагрузки.

Ручная установка обновлений, полученных с WSUS

Эта методика установки обновлений на Windows Core 2012 является оптимальной в большинстве случаев: с помощью групповой политики или путем ручной модификации реестра указывается WSUS сервер и задается режим ручного запуска установки обновлений, затем в профилактическое окно администратор сервера вручную стартует установку обновлений. Возникает вопрос: как же запустить установку обновлений, полученных со WSUS сервера, на Windows Core 2012? В этом нам поможет утилита sconfig, входящая в стандартную поставку Windows Core.

Выберите 6 пункт: Download and Install Updates

На вопрос необходимо ли искать все или рекомендованные обновления, выберем все (A).

Система обнаружит и отобразит список обнаруженных обновлений и предложит их установить (все сразу, по одному) или совсем отказаться от их установки.

Если выбрана установка обновлений, систем приступит к закачке и установке обновлений Windows Server Core 2012.

После установки обновлений, система может потребовать перезагрузки.