Microsoft Security Advisory 4022345
Identifizieren und Korrigieren des Fehlers des Windows Update-Clients zum Empfangen von Updates
Veröffentlicht: 9. Mai 2017 | Aktualisiert: 12. Mai 2017
Version: 1.3
Kurzfassung
Microsoft veröffentlicht diese Sicherheitsempfehlung, um Informationen zu einem ungewöhnlichen Bereitstellungsszenario bereitzustellen, in dem der Windows Update-Client möglicherweise nicht ordnungsgemäß nach Updates sucht oder herunterlädt. Dieses Szenario kann sich auf Kunden auswirken, die ein Windows 10- oder Windows Server 2016-Betriebssystem installiert haben und die sich noch nie interaktiv am System angemeldet oder über Remotedesktopdienste verbunden haben. Diese Systeme erhalten möglicherweise erst Windows-Updates, wenn ein Benutzer die Ersteinrichtung abgeschlossen hat, indem er sich interaktiv anmeldet oder sich über Remotedesktopdienste anmeldet.
Um dieses Szenario zu beheben, hat Microsoft ein Update für den Windows Update-Client über einen Selbstheilungsmechanismus im Windows Update-Veröffentlichungskanal veröffentlicht, um das Windows Update-Verhalten für Serverbetriebssysteme zu korrigieren, die nicht nach Updates suchen oder empfangen. Nachdem Computer durch diesen Mechanismus nicht mehr hängen bleiben, werden alle vorhandenen Einstellungen, die ein Systemadministrator konfiguriert hat, berücksichtigt, und Updates werden nicht auf einem Computer erzwungen, der zum Deaktivieren von Windows-Updates konfiguriert wurde.
Diese Empfehlung bietet Kunden Anleitungen, um festzustellen, ob sie von diesem ungewöhnlichen Szenario betroffen sind, und was, falls vorhanden, Aktionen, die sie ergreifen müssen, um das Verhalten zu korrigieren.
Beratungsdetails
Betroffene Software
Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, sind entweder über ihren Supportlebenszyklus oder nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.
| Clientbetriebssysteme |
|---|
| Windows 10 für 32-Bit-Systeme |
| Windows 10 für x64-basierte Systeme |
| Windows 10 Version 1511 für 32-Bit-Systeme |
| Windows 10 Version 1511 für x64-basierte Systeme |
| Windows 10, Version 1607 für 32-Bit-Systeme |
| Windows 10, Version 1607 für x64-basierte Systeme |
| Windows 10, Version 1703 für 32-Bit-Systeme |
| Windows 10 Version 1703 für x64-basierte Systeme |
| Serverbetriebssysteme |
| Windows Server 2016 |
| Windows Server 2016 (Server Core-Installation) |
Mildernde Faktoren
Microsoft hat die folgenden mildernden Faktoren identifiziert:
- Benutzer, die sich interaktiv bei einem System anmelden, sind von diesem Verhalten nicht betroffen. Die meisten Benutzer melden sich nach der ersteinrichtung interaktiv bei Windows an und sind nicht betroffen.
- Server, die mit dem Internet verbunden sind, erhalten das Update automatisch über das WU-Selbstheilungssystem. Nur Kunden mit isolierten Netzwerken oder die Windows Update-URLs mit einer Firewall blockiert haben, müssen möglicherweise manuelle Maßnahmen ergreifen.
- Viele Tools und Scanner für die Unternehmenssoftwarebereitstellung können zu einem Anmeldeereignis führen, wodurch verhindert wird, dass ein System von diesem Problem betroffen ist. Es gibt ein Ereignisprotokoll, das in den häufig gestellten Fragen beschrieben wird, um zu ermitteln, ob ein Tool eine Anmeldung verursacht und dadurch einen Updatefehler ausschließt.
Häufig gestellte Fragen zu Beratungen
Gewusst wie wissen, ob ich betroffen bin?
Kunden, die sich interaktiv bei ihren Computern anmelden oder sich über Remotedesktopdienste anmelden, sind von diesem Problem nicht betroffen. Kunden, die automatisierte Imageerstellungs- und Bereitstellungsmechanismen wie DISM und Windows-Bereitstellungsdienste verwenden, könnten Windows 10- oder Windows 2016-Systeme haben, bei denen Updates nicht automatisch gescannt oder heruntergeladen werden. Ausgeführte Systeme, die bereitgestellt wurden und noch nie interaktiv angemeldet wurden oder über Remotedesktopdienste angemeldet wurden, können dazu führen, dass diese Systeme in einem Zustand sind, in dem Updates nicht gescannt oder heruntergeladen werden. Ein system, das als kopflose Maschine konfiguriert ist, wird nicht beeinträchtigt.
Ich habe mich bei meinem System angemeldet. Muss ich weitere manuelle Maßnahmen ergreifen?
Nur Kunden, die keine automatische Aktualisierung aktiviert haben oder die urLs für automatische Updates mit einer Firewall blockiert haben, müssen manuell nach Updates suchen und installieren. Kunden, die WSUS verwenden und die den Zugriff auf die Windows Update-URLs blockiert haben, müssen auch das aktuelle kumulative Update manuell installieren. Alternativ bietet WSUS die Möglichkeit, zu überwachen, ob Computer Updates erhalten. Solange ein System Updates empfängt, ist keine Aktion erforderlich. Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871.
Ich verwende ein betroffenes Clientbetriebssystem. Erhalte ich ein automatisches Update?
Nein, es gibt derzeit keinen Plan, ein automatisches Update für Clientbetriebssystemversionen freizugeben. Befolgen Sie die Anleitungen im Abschnitt "Vorgeschlagene Aktionen" dieses Dokuments, in dem erläutert wird, wie dieses Szenario für diese Betriebssystemversionen behoben werden kann.
Wie kann ich feststellen, ob mein System Headless ist?
Sie können den Wert des in der Registrierung befindlichen Schlüssels "Headless" überprüfen. Dieser Schlüssel befindet sich in einem Pfad von "HKLM\SYSTEM\CurrentControlSet\Control\WinInit". Wenn dieser Schlüssel einen Wert ungleich Null aufweist, wird er als Headless-System ausgeführt. Wenn der Schlüssel keinen Wert hat oder sein Wert null ist, ist das System nicht kopflos und kann von diesem Problem betroffen sein. Wenn Sie diesen Wert manuell ändern, wird dieses Problem nicht behoben und nicht vorgeschlagen.
Gibt es Ereignisprotokolle, die ich überprüfen kann, um festzustellen, ob mein System über das richtige Anmeldeereignis verfügt?
Ja. Sie können 4624 Sicherheitsereignisse im Sicherheitsereignisprotokoll auf den Anmeldetyp 2 oder 10 überprüfen. Wenn ein System über eines dieser Ereignisse verfügt, ist es von diesem Problem nicht betroffen.
Vorgeschlagene Aktionen
Melden Sie sich bei jedem Computer an
Wenn Sie über eine geringe Anzahl möglicherweise betroffener Computer verfügen, besteht die einfachste Möglichkeit, sicherzustellen, dass Ihre Computer nicht in diesem Zustand sind, sich bei jedem Computer anzumelden. Dies kann eine interaktive Anmeldung oder eine Anmeldung über Remotedesktop sein. Sie müssen dies nur einmal nach der Installation des Betriebssystems tun.
Sonstige Informationen
Feedback
- Sie können Feedback senden, indem Sie das Microsoft-Hilfe- und Supportformular ausfüllen, den Kundendienst kontaktieren Sie uns.
Unterstützung
- Kunden im USA und Kanada können technischen Support vom Sicherheitssupport erhalten. Weitere Informationen finden Sie unter Microsoft-Hilfe und -Support.
- Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen finden Sie unter "Internationaler Support".
- Microsoft TechNet Security bietet zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.
Haftungsausschluss
Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (9. Mai 2017): Empfehlung veröffentlicht.
- V1.1 (10. Mai 2017): Empfehlung aktualisiert, um Anmeldedaten vom Typ 2 sicherheitsrelevante Ereignisprotokolleinträge einzuschließen. Dies ist nur eine Informationsänderung.
- V1.2 (Mai 11, 2017): Empfehlung aktualisiert, um die WSUS-Umgebung zu klären. Dies ist nur eine Informationsänderung.
- V1.3 (17. Mai 2017): Aktualisierte FAQ zur Klärung des Updates, das installiert werden muss: "das aktuelle kumulative Update". Dies ist nur eine Informationsänderung.
Seite generiert 2017-05-17 10:48Z-07:00.