Comunicado de Segurança da Microsoft 4022345

  • Artigo

Identificando e corrigindo a falha do cliente Windows Update para receber atualizações

Publicado: terça-feira, 9 de maio de 2017 | Atualizado: May 12, 2017

Versão: 1.3

Resumo executivo

A Microsoft está lançando este comunicado de segurança para fornecer informações relacionadas a um cenário de implantação incomum no qual o Windows Update Client pode não verificar ou baixar atualizações corretamente. Esse cenário pode afetar os clientes que instalaram um sistema operacional Windows 10 ou Windows Server 2016 e que nunca fizeram logon interativamente no sistema ou se conectaram a ele por meio de serviços de área de trabalho remota. Esses sistemas podem não receber atualizações do Windows até que um usuário tenha concluído a configuração inicial fazendo logon interativamente ou fazendo logon por meio de serviços de área de trabalho remota.

Para resolver esse cenário, a Microsoft lançou uma atualização para o Windows Update Client por meio de um mecanismo de auto-recuperação no canal de lançamento do Windows Update para corrigir o comportamento do Windows Update para sistemas operacionais de servidor que não estão verificando ou recebendo atualizações. Depois que os computadores forem desbloqueados por esse mecanismo, todas as configurações existentes que um administrador do sistema configurou serão respeitadas e as atualizações não serão forçadas em um computador que tenha sido configurado para desabilitar as Atualizações do Windows.

Este comunicado fornece orientação para que os clientes identifiquem se são afetados por esse cenário incomum e quais, se houver, ações precisam tomar para corrigir o comportamento.

Detalhes do Comunicado

Softwares afetados

As seguintes versões ou edições de software são afetadas. As versões ou edições que não estão listadas já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Ciclo de Vida do Suporte da Microsoft.

Sistemas operacionais clientes
Windows 10 para sistemas de 32 bits
Windows 10 para sistemas baseados em x64
Windows 10 versão 1511 para sistemas de 32 bits
Windows 10 versão 1511 para sistemas baseados em x64
Windows 10 versão 1607 para sistemas de 32 bits
Windows 10 versão 1607 para sistemas baseados em x64
Windows 10 versão 1703 para sistemas de 32 bits
Windows 10 versão 1703 para sistemas baseados em x64
Sistemas operacionais de servidor
Windows Server 2016
Windows Server 2016 (instalação Server Core)

Fatores atenuantes

A Microsoft identificou os seguintes fatores atenuantes:

  • Os usuários que fazem logon em um sistema interativamente não são afetados por esse comportamento. A maioria dos usuários faz login interativamente no Windows após a configuração inicial e não é afetada.
  • Os servidores conectados à internet receberão automaticamente a atualização por meio do sistema de auto-recuperação WU. Somente clientes com redes isoladas ou que bloquearam URLs do Windows Update com um firewall talvez precisem executar ações manuais.
  • Muitas ferramentas de implantação de software corporativo e scanners podem causar um evento de login, o que impede que um sistema seja afetado por esse problema. Há um log de eventos, descrito nas Perguntas frequentes, que pode ser verificado para determinar se uma ferramenta causa um login e, portanto, impede qualquer falha de atualização.

Perguntas frequentes sobre o Advisory

Como saber se sou afetado?

Os clientes que fazem logon interativamente em seus computadores ou que fazem logon por meio de serviços de área de trabalho remota não são afetados por esse problema. Os clientes que usam mecanismos automatizados de criação e implantação de imagens, como o DISM e os Serviços de Implantação do Windows, podem ter sistemas Windows 10 ou Windows 2016 em que as atualizações não são verificadas ou baixadas automaticamente. A execução de sistemas que foram implantados e que nunca foram conectados interativamente ou que fizeram logon por meio de serviços de área de trabalho remota pode resultar em um estado em que as atualizações não são verificadas ou baixadas. Um sistema configurado como uma máquina sem cabeça não será afetado.

Entrei no meu sistema. Devo tomar outras medidas manuais?

Somente os clientes que não habilitaram a atualização automática ou que bloquearam URLs de atualização automática com um firewall precisam verificar se há atualizações e instalar manualmente. Os clientes que usam o WSUS e que bloquearam o acesso de sistemas às URLs do Windows Update também devem instalar a atualização cumulativa atual manualmente. Como alternativa, o WSUS inclui a capacidade de auditar se as máquinas receberem atualizações. Enquanto um sistema estiver recebendo atualizações, nenhuma ação será necessária. Para obter informações sobre opções de configuração específicas na atualização automática, consulte o Artigo 294871 da Base de Dados de Conhecimento Microsoft.

Estou usando um sistema operacional cliente afetado. Receberei uma atualização automática?

Não, no momento não há nenhum plano para lançar uma atualização automática para versões do sistema operacional cliente. Siga as orientações na seção Ações sugeridas deste documento, que explica como esse cenário pode ser resolvido para essas versões do sistema operacional.

Como posso determinar se o meu sistema é Headless?

Você pode verificar o valor da chave "Headless" localizada no registro. Essa chave está localizada em um caminho de "HKLM\SYSTEM\CurrentControlSet\Control\WinInit". Se essa chave tiver qualquer valor diferente de zero, ela será executada como um sistema Headless. Se a chave não tiver valor ou seu valor for zero, o sistema não ficará sem cabeça e poderá ser afetado por esse problema. Alterar esse valor manualmente não corrigirá esse problema e não é sugerido.

Existem logs de eventos que posso verificar para determinar se meu sistema tem o evento de logon adequado?

Sim. Você pode verificar 4624 eventos de segurança no log de eventos de segurança para Tipo de logon de 2 ou 10. Se um sistema tiver qualquer um desses eventos, ele não será afetado por esse problema.

Ações sugeridas

Faça login em cada máquina

Se você tiver um número baixo de máquinas possivelmente afetadas, a maneira mais simples de garantir que suas máquinas não estejam nesse estado é fazer login em cada máquina. Pode ser um logon interativo ou um logon via área de trabalho remota. Você só precisa fazer isso uma vez depois que o sistema operacional é instalado.

Outras Informações

Feedback

Suporte

Aviso de isenção de responsabilidade

As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões

  • V1.0 (9 de maio de 2017): Comunicado publicado.
  • V1.1 (10 de maio de 2017): Comunicado atualizado para incluir entradas do Log de Eventos de Segurança do Tipo 2 de Logon. Esta é apenas uma alteração informativa.
  • V1.2 (11 de maio de 2017): Comunicado atualizado para esclarecer o ambiente do WSUS. Esta é apenas uma alteração informativa.
  • V1.3 (17 de maio de 2017): Perguntas frequentes atualizadas para esclarecer a atualização que precisa ser instalada: "a atualização cumulativa atual". Esta é apenas uma alteração informativa.

Página gerada em 17/05/2017 10:48Z-07:00.