Установка обновлений безопасности Windows на рабочих станциях, не подключенных к сети

Question

Я видел ряд подобных вопросов, но все они либо устарели, либо предполагают автономную сеть или автономные серверы.

У нас есть большое количество удаленных офисов, большинство из которых не имеют собственных IT-магазинов. Каждое из этих мест имеет как минимум две и, возможно, множество рабочих станций, которые вообще не подключены к какой-либо сети. Эти рабочие станции работают под управлением Windows 10 Enterprise. Ни одна из этих вещей не подлежит обсуждению.

Два-четыре раза в год мы готовим обновление для нашего приложения. Удаленные местоположения получают это обновление через наш защищенный веб-портал, загружают его на флэш-диск и применяют это обновление на каждой рабочей станции. Я хотел бы использовать это как возможность для установки любых обновлений безопасности или критических обновлений для Windows с момента последнего обновления.

Пока что мой лучший вариант, который я видел, - это WSUS Offline, но он не облегчает инкрементные обновления, и без этого размер загрузки в конечном итоге станет неоправданным. Я не использовал WSUS или SCCM, но, похоже, у них нет возможности создать автономный установщик. Целевые рабочие станции очень закрыты, поэтому в моем идеальном мире я хотел бы, чтобы итоговые исполняемые файлы были подписаны либо Microsoft, либо нами.

Есть ли другие варианты, на которые я должен обратить внимание? У нас нет проблем с оплатой корпоративного решения, если оно доступно. Прямо сейчас я серьезно подумываю взять исходный код WSUS Offline и изменить его в соответствии со своими потребностями, но я бы не стал связывать свои ресурсы для разработки.

Answer 1

С новой моделью патча все стало кумулятивным, и поэтому они такие большие. По сути, они стали ежемесячным пакетом услуг для каждого продукта. Таким образом, в зависимости от того, какие продукты вы загрузили на эти машины, вам потребуется только самое последнее обновление для: (# 1) ОС, а затем любой версии (# 2) IE, (# 3) .NET Framework и, возможно, (# 4) Офис, который установлен.

Пример: если вы вносите исправления 2 раза в год, например, в январе и июне, вам не нужно применять материал из других 10 месяцев года, поскольку январь 2018 года заменяет что-либо с 2017 года, а июнь 2018 года заменяет февраль-май 2018 года.

Answer 2

http://catalog.update.microsoft.com (убедитесь, что вы получаете один для правильной ОС и x86 или x64). Введите KB ####### по одному и добавьте их в корзину. При появлении запроса перейдите в папку c:\updates

Файл Wusa.exe находится в папке% windir%\System32. Автономный установщик Центра обновления Windows использует API агента Центра обновления Windows для установки пакетов обновлений.

for /R "C:\Updates\" %i in (*.msu) do wusa "%i" /quiet /norestart

Я бы предложил переименовать патчи, добавив 1,2,3 и т.д. В начало имени файла, чтобы они были установлены в правильном порядке. Либо, чем просто или просто есть пакет wsu в командном файле.

wusa "package1.msu" /quiet /norestart
wusa "package2.msu" /quiet /norestart
wusa "package3.msu" /quiet /norestart
...

Конечно, вы можете создать более интеллектуальный скрипт, который проверяет наличие обновлений и применяет только необходимые.

Единственная потенциальная проблема обновления здесь может иметь обязательную перезагрузку, и ваш сценарий должен будет справиться с этим условием. Также обновления не могут быть установлены, что потребует дополнительной проверки ошибок.

---

Другой потенциальный ответ - полная визуализация. Вы можете использовать imagex от Microsoft, чтобы записывать окна в файл wim. Затем поместите среду Windows PE на USB-накопитель с файлом wim. Разверните wimfile, перезагрузите компьютер и все готово.

Преимущество здесь в том, что вы знаете, что все исправления развернуты правильно. Компьютер будет в единой конфигурации.

Если конечному пользователю необходимо сохранить файлы, я бы предложил разделить жесткий диск на c: и d: затем сохранить все пользовательские файлы на D:, чтобы вы могли перезаписывать диск C: по желанию.

Самый большой недостаток - размер, даже если вы тщательно очистите изображение, оно будет намного больше. Может быть, 16 или 32 ГБ зависит от того, насколько велика ваша программа и насколько тщательно вы очищаете жесткий диск от ненужных файлов.