Microsoft Security Advisory 4022345
Identifiera och korrigera fel i Windows Update-klienten för att ta emot uppdateringar
Publicerad: 9 maj 2017 | Uppdaterad: 12 maj 2017
Version: 1.3
Sammanfattning
Microsoft släpper den här säkerhetsrekommendationen för att tillhandahålla information om ett ovanligt distributionsscenario där Windows Update-klienten kanske inte söker efter eller laddar ned uppdateringar korrekt. Det här scenariot kan påverka kunder som har installerat ett Windows 10- eller Windows Server 2016-operativsystem och som aldrig interaktivt har loggat in på systemet eller anslutit till det via fjärrskrivbordstjänster. Dessa system kanske inte får Windows-uppdateringar förrän en användare har slutfört den första installationen genom att interaktivt logga in eller genom att logga in via fjärrskrivbordstjänster.
För att åtgärda det här scenariot har Microsoft släppt en uppdatering till Windows Update-klienten via en självåterställningsmekanism i Windows Update-versionskanalen för att korrigera Windows Update-beteendet för serveroperativsystem som inte söker efter eller tar emot uppdateringar. När datorerna har fastnat av den här mekanismen kommer alla befintliga inställningar som en systemadministratör har konfigurerat att uppfyllas och uppdateringar kommer inte att tvingas på en dator som har konfigurerats för att inaktivera Windows Uppdateringar.
Den här rådgivningen ger vägledning för kunder att identifiera om de påverkas av det här ovanliga scenariot och vilka, om några, åtgärder de behöver vidta för att korrigera beteendet.
Rådgivande information
Programvara som påverkas
Följande programvaruversioner eller utgåvor påverkas. Versioner eller utgåvor som inte visas har antingen passerat sin supportlivscykel eller påverkas inte. Information om hur du fastställer supportlivscykeln för din programvaruversion eller utgåva finns i Microsoft Support Lifecycle.
| Klientoperativsystem |
|---|
| Windows 10 för 32-bitarssystem |
| Windows 10 för x64-baserade system |
| Windows 10 Version 1511 för 32-bitarssystem |
| Windows 10 Version 1511 för x64-baserade system |
| Windows 10 Version 1607 för 32-bitarssystem |
| Windows 10 Version 1607 för x64-baserade system |
| Windows 10 Version 1703 för 32-bitarssystem |
| Windows 10 Version 1703 för x64-baserade system |
| Serveroperativsystem |
| Windows Server 2016 |
| Windows Server 2016 (Server Core-installation) |
Mildrande faktorer
Microsoft har identifierat följande förmildrande faktorer:
- Användare som loggar in på ett system interaktivt påverkas inte av det här beteendet. De flesta användare loggar in interaktivt i Windows efter den första installationen och påverkas inte.
- Servrar som är anslutna till Internet tar automatiskt emot uppdateringen via WU-självåterställningssystemet. Endast kunder med isolerade nätverk eller som har blockerat Url:er för Windows Update med en brandvägg kan behöva vidta manuella åtgärder.
- Många programdistributionsverktyg och skannrar för företag kan orsaka en inloggningshändelse, vilket förhindrar att ett system påverkas av det här problemet. Det finns en händelselogg, som beskrivs i vanliga frågor och svar, som kan kontrolleras för att avgöra om ett verktyg orsakar en inloggning och därmed förhindrar eventuella uppdateringsfel.
Vanliga frågor och svar om rådgivning
Hur gör jag för att vet om jag påverkas?
Kunder som interaktivt loggar in på sina datorer eller som loggar in via fjärrskrivbordstjänster påverkas inte av det här problemet. Kunder som använder automatiserade mekanismer för avbildningsskapande och distribution, till exempel DISM och Windows Deployment Services, kan ha Windows 10- eller Windows 2016-system där uppdateringar inte genomsöks eller laddas ned automatiskt. Att köra system som har distribuerats och som aldrig har loggats in interaktivt, eller som har loggats in via fjärrskrivbordstjänster, kan leda till att dessa system är i ett tillstånd där uppdateringar inte genomsöks eller laddas ned. Ett system som konfigurerats som en huvudlös dator påverkas inte.
Jag har loggat in på mitt system. Måste jag vidta ytterligare manuella åtgärder?
Endast kunder som inte har aktiverat automatisk uppdatering eller som har blockerat url:er för automatiska uppdateringar med en brandvägg behöver söka efter uppdateringar och installera dem manuellt. Kunder som använder WSUS och som har blockerat system från att komma åt URL:er för Windows Update måste också installera den aktuella kumulativa uppdateringen manuellt. Alternativt inkluderar WSUS möjligheten att granska om datorer tar emot uppdateringar. Så länge ett system tar emot uppdateringar krävs ingen åtgärd. Information om specifika konfigurationsalternativ vid automatisk uppdatering finns i Artikeln om Microsoft Knowledge Base 294871.
Jag använder ett berört klientoperativsystem. Kommer jag att få en automatisk uppdatering?
Nej, det finns för närvarande ingen plan för att släppa en automatisk uppdatering för klientoperativsystemversioner. Följ riktlinjerna i avsnittet Föreslagna åtgärder i det här dokumentet, som förklarar hur det här scenariot kan hanteras för dessa os-versioner.
Hur kan jag avgöra om mitt system är huvudlöst?
Du kan kontrollera värdet för nyckeln "Huvudlös" som finns i registret. Den här nyckeln finns på sökvägen "HKLM\SYSTEM\CurrentControlSet\Control\WinInit". Om den här nyckeln har ett värde som inte är noll körs den som ett huvudlöst system. Om nyckeln inte har något värde, eller om dess värde är noll, är systemet inte huvudlöst och kan påverkas av det här problemet. Om du ändrar det här värdet manuellt åtgärdas inte det här problemet och föreslås inte.
Finns det händelseloggar som jag kan kontrollera för att avgöra om mitt system har rätt inloggningshändelse?
Ja. Du kan kontrollera 4624 säkerhetshändelser i säkerhetshändelseloggen för inloggningstyp 2 eller 10. Om ett system har någon av dessa händelser påverkas det inte av det här problemet.
Föreslagna åtgärder
Logga in på varje dator
Om du har ett lågt antal datorer som eventuellt påverkas är det enklaste sättet att se till att dina datorer inte är i det här tillståndet att logga in på varje dator. Detta kan vara en interaktiv inloggning eller en inloggning via fjärrskrivbord. Du behöver bara göra detta en gång efter att operativsystemet har installerats.
Övrig information
Feedback
- Du kan ge feedback genom att fylla i microsofts hjälp- och supportformulär, kundtjänst kontakta oss.
Support
- Kunder i USA och Kanada kan få teknisk support från säkerhetssupporten. Mer information finns i Microsofts hjälp och support.
- Internationella kunder kan få support från sina lokala Microsoft-dotterbolag. Mer information finns i Internationell support.
- Microsoft TechNet Security innehåller ytterligare information om säkerhet i Microsoft-produkter.
Friskrivning
Informationen som tillhandahålls i denna rekommendation tillhandahålls "som den är" utan garanti av något slag. Microsoft frånsäger sig alla garantier, antingen uttryckliga eller underförstådda, inklusive garantier för säljbarhet och lämplighet för ett visst syfte. Under inga omständigheter ska Microsoft Corporation eller dess leverantörer vara ansvariga för eventuella skador, inklusive direkta, indirekta, tillfälliga, följdskador, förlust av företagsvinster eller särskilda skador, även om Microsoft Corporation eller dess leverantörer har informerats om risken för sådana skador. Vissa stater tillåter inte undantag eller begränsning av ansvar för följdskador eller oförutsedda skador, så den föregående begränsningen kanske inte gäller.
Revideringar
- V1.0 (9 maj 2017): Rådgivning publicerad.
- V1.1 (10 maj 2017): Rekommendationen har uppdaterats för att inkludera poster i säkerhetshändelseloggen av typ 2 för inloggningstyp 2. Detta är endast en informationsändring.
- V1.2 (11 maj 2017): Rekommendationen har uppdaterats för att klargöra WSUS-miljön. Detta är endast en informationsändring.
- V1.3 (17 maj 2017): Uppdaterade vanliga frågor och svar för att klargöra uppdateringen som måste installeras: "den aktuella kumulativa uppdateringen". Detta är endast en informationsändring.
Sidan genererades 2017-05-17 10:48Z-07:00.