Для управления обновлениями Windows можно использовать PowerShell модуль PSWindowsUpdate. Модуль PSWindowsUpdate доступен для загрузки из PowerShell Gallery и позволяет администратору просканировать, скачать, установить, удалить или скрыть обновления на локальном или удаленных рабочих станциях и серверах Windows.
Содержание:
- Установка модуля управления обновлениями PSWindowsUpdate
- Сканировать и загрузить обновления Windows с помощью PowerShell
- Установка обновлений Windows с помощью команды Install-WindowsUpdate
- >Просмотр истории установленных обновлений в Windows
- Удаление обновлений в Windows с помощью PowerShell
- Скрыть ненужные обновления Windows с помощью PowerShell
- Управление обновлениями Windows на удаленных компьютерах через PowerShell
Установка модуля управления обновлениями PSWindowsUpdate
В современных версиях Windows 10/11 и Windows Server 2022/2019/2016 модуль PSWindowsUpdate можно установить из онлайн репозитория PowerShell Gallery с помощью команды:
Install-Module -Name PSWindowsUpdate
Подтвердите добавление репозитариев, нажав Y. Проверьте, что модуль управлениям обновлениями установлен в Windows:
Get-Package -Name PSWindowsUpdate
- В изолированной среде модуль PSWindowsUpdate можно установить в офлайн режиме;
- В старых версиях Windows для использования модуля нужно предварительно обновить версию PowerShell.
Можно удаленно установить PSWindowsUpdate на другие компьютеры в сети. Следующая команда скопирует файлы модуля на указанные компьютеры (для доступа к удаленным компьютерам используется WinRM).
$Targets = "srv1.winitpro.loc", "srv2.winitpro.loc"
Update-WUModule -ComputerName $Targets -local
Политика выполнения PowerShell скриптов в Windows по умолчанию блокирует запуск командлетов из сторонних модулей, в том числе PSWindowsUpdate. Чтобы разрешить запуск любых локальных скриптов, выполните команду:
Set-ExecutionPolicy –ExecutionPolicy RemoteSigned -force
Либо вы можете разрешить запускать команды модуля в текущей сессии PowerShell:
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
Импортируйте модуль в сессию PowerShell:
Import-Module PSWindowsUpdate
Выведите список доступных командлетов:
Get-command -module PSWindowsUpdate
Проверить текущие настройки клиента Windows Update:
Get-WUSettings
ComputerName : WKS22122 WUServer : http://MS-WSUS:8530 WUStatusServer : http://MS-WSUS:8530 AcceptTrustedPublisherCerts : 1 ElevateNonAdmins : 1 DoNotConnectToWindowsUpdateInternetLocations : 1 TargetGroupEnabled : 1 TargetGroup : WorkstationsProd NoAutoUpdate : 0 AUOptions : 3 - Notify before installation ScheduledInstallDay : 0 - Every Day ScheduledInstallTime : 3 UseWUServer : 1 AutoInstallMinorUpdates : 0 AlwaysAutoRebootAtScheduledTime : 0 DetectionFrequencyEnabled : 1 DetectionFrequency : 4
В данном примере клиент Windows Update на компьютере настроен с помощью GPO на получение обновлений с локального сервера обновлений WSUS.
Сканировать и загрузить обновления Windows с помощью PowerShell
Чтобы просканировать компьютер на сервере обновлений и вывести список обновлений, которые ему требуется, выполните команду:
Get-WindowsUpdate
или
Get-WUList
Команда должна вывести список обновлений, которые нужно установить на вашем компьютере.
Команда Get-WindowsUpdate при первом запуске может вернуть ошибку:
Value does not fall within the expected range.
Для исправления ошибки нужно сбросить настройки агента Windows Update, перерегистрировать библиотеки и восстановить исходное состояние службы wususerv с помощью команды:
Reset-WUComponents -Verbose
Чтобы проверить, откуда получает ли Windows обновлений с серверов Windows Update в Интернете или локального WSUS, выполните команду:
Get-WUServiceManager
В этом примере вы видите, компьютер настроен на получение обновлений с локального сервера WSUS (Windows Server Update Service = True). В этом случае вы должны увидеть список обновлений, одобренных для вашего компьютера на WSUS.
Если вы хотите просканировать ваш компьютер на серверах Microsoft Update в Интернете (кроме обновлений Windows на этих серверах содержатся обновления Office и других продуктов), выполните команду:
Get-WUlist -MicrosoftUpdate
Вы получаете предупреждение:
Get-WUlist : Service Windows Update was not found on computer
Чтобы разрешить сканирование на Microsoft Update, выполните команду:
Add-WUServiceManager -ServiceID "7971f918-a847-4430-9279-4a52d1efe18d" -AddServiceFlag 7
Чтобы убрать определенные продукты или конкретные KB из списка обновлений, которые получает ваш компьютер, вы их можете исключить по:
- Категории (-NotCategory);
- Названию (-NotTitle);
- Номеру обновления (-NotKBArticleID).
Например, чтобы исключить из списка обновления драйверов, OneDrive, и одну конкретную KB:
Get-WUlist -NotCategory "Drivers" -NotTitle OneDrive -NotKBArticleID KB4533002
Скачать все доступные обновления на компьютер (обновления загружаются в локальный кэш обновлений в каталоге
C:\Windows\SoftwareDistribution\Download
).
Get-WindowsUpdate -Download -AcceptAll
Windows загрузит все доступные патчи сервера обновлений (MSU и CAB файлы) в локальный каталог обновлений, но не запустит их автоматическую установку.
Установка обновлений Windows с помощью команды Install-WindowsUpdate
Чтобы автоматически скачать и установить все доступные обновления для вашей версии Windows с серверов Windows Update (вместо локального WSUS), выполните:
Install-WindowsUpdate -MicrosoftUpdate -AcceptAll -AutoReboot
Ключ AcceptAll включает одобрение установки для всех пакетов, а AutoReboot разрешает автоматическую перезагрузку Windows после завершения установки обновлений.
Также можно использовать следующе параметры:
- IgnoreReboot – запретить автоматическую перезагрузку;
- ScheduleReboot – задать точное время перезагрузки компьютера.
Можете сохранить историю установки обновлений в лог файл (можно использовать вместо WindowsUpdate.log).
Install-WindowsUpdate -AcceptAll -Install -AutoReboot | Out-File "c:\$(get-date -f yyyy-MM-dd)-WindowsUpdate.log" -force
Можно установить только конкретные обновления по номерам KB:
Get-WindowsUpdate -KBArticleID KB2267602, KB4533002 -Install
Если вы хотите пропустить некоторые обновления при установке, выполните:
Install-WindowsUpdate -NotCategory "Drivers" -NotTitle OneDrive -NotKBArticleID KB4011670 -AcceptAll -IgnoreReboot
Проверить, нужна ли перезагрузка компьютеру после установки обновления (атрибуты RebootRequired и RebootScheduled):
Get-WURebootStatus
>Просмотр истории установленных обновлений в Windows
С помощью команды Get-WUHistory вы можете получить список обновлений, установленных на компьютере ранее автоматически или вручную.
Можно получить информацию о дате установки конкретного обновления:
Get-WUHistory| Where-Object {$_.Title -match "KB4517389"} | Select-Object *|ft
Вывести даты последнего сканирования и установки обновлении на компьютере:
Get-WULastResults |select LastSearchSuccessDate, LastInstallationSuccessDate
Удаление обновлений в Windows с помощью PowerShell
Для корректного удаления обновления Windows используется командлет Remove-WindowsUpdate. Вам достаточно указать номер KB в качестве аргумента параметра KBArticleID.
Remove-WindowsUpdate -KBArticleID KB4011634
Скрыть ненужные обновления Windows с помощью PowerShell
Вы можете скрыть определенные обновления, чтобы они никогда не устанавливались службой обновлений Windows Update на вашем компьютер (чаще всего скрывают обновления драйверов). Например, чтобы скрыть обновления KB2538243 и KB4524570, выполните такие команды:
$HideList = "KB2538243", "KB4524570"
Get-WindowsUpdate -KBArticleID $HideList -Hide
или используйте alias:
Hide-WindowsUpdate -KBArticleID $HideList -Verbose
Теперь при следующем сканировании обновлений с помощью команды Get-WindowsUpdate скрытые обновления не будут отображаться в списке доступных для установки.
Вывести список скрытых обновлений:
Get-WindowsUpdate –IsHidden
Обратите внимание, что в колонке Status у скрытых обновлений появился атрибут H (Hidden).
Отменить скрытие обновлений можно так:
Get-WindowsUpdate -KBArticleID $HideList -WithHidden -Hide:$false
или так:
Show-WindowsUpdate -KBArticleID $HideList
Управление обновлениями Windows на удаленных компьютерах через PowerShell
Практически все командлеты модуля PSWindowsUpdate позволяют управлять обновлеями на удаленных компьютерах. Для этого используется атрибут
-Computername Host1, Host2, Host3
. На удаленных компьютерах должен быть включен и настроен WinRM (вручную или через GPO). Модуль PSWindowsUpdate можно использовать для удаленного управлений обновлениями Windows как на компьютерах в домене AD, так и в рабочей группе (потребует определенной настройки PowerShell Remoting).
Для удаленного управления обновлениями компьютерах, нужно добавить имена компьютеров доверенных хостов winrm, или настроить удаленное управление PSRemoting через WinRM HTTPS:
winrm set winrm/config/client ‘@{TrustedHosts="HOST1,HOST2,…"}’
Или с помощью PowerShell:
Set-Item wsman:\localhost\client\TrustedHosts -Value wsk-w10BO1 -Force
С помощью Invoke-Command можно разрешить использовать модуль PSWindowsUpdate на удаленных компьютерах и открыть необходимые порты в Windows Defender Firewall (команда
Enable-WURemoting
):
Invoke-Command -ComputerName $computer -ScriptBlock {Set-ExecutionPolicy RemoteSigned -force }
Invoke-Command -ComputerName $computer -ScriptBlock {Import-Module PSWindowsUpdate; Enable-WURemoting}
Проверить список доступных обновлений на удаленном компьютере:
Get-WUList –ComputerName server2
Скачать и установить все доступные обновлений на нескольких удаленных серверах:
$ServerNames = “server1, server2, server3”
Invoke-WUJob -ComputerName $ServerNames -Script {ipmo PSWindowsUpdate; Install-WindowsUpdate -AcceptAll | Out-File C:\Windows\PSWindowsUpdate.log } -RunNow -Confirm:$false -Verbose -ErrorAction Ignore
Командлет Invoke-WUJob (ранее командлет назывался Invoke-WUInstall) создаст на удаленном компьютере задание планировщика, запускаемое от SYSTEM. Можно указать точное время для установки обновлений Windows:
Invoke-WUJob -ComputerName $ServerNames -Script {ipmo PSWindowsUpdate; Install-WindowsUpdate –AcceptAll -AutoReboot | Out-File C:\Windows\PSWindowsUpdate.log } -Confirm:$false -TriggerDate (Get-Date -Hour 20 -Minute 0 -Second 0)
Проверить статус задания установки обновлений:
Get-WUJob -ComputerName $ServerNames
Если команда вернет пустой список, значит задача установки на всех компьютерах выполнена.
Проверьте наличие обновления на нескольких удаленных компьютерах:
"server1","server2" | Get-WUHistory| Where-Object {$_.Title -match "KB4011634"} | Select-Object *|ft
Получить дату последней установки обновлений на всех компьютерах в домене можно с помощью командлета Get-ADComputer из модуля AD PowerShell:
$Computers=Get-ADComputer -Filter {enabled -eq "true" -and OperatingSystem -Like '*Windows*' }
Foreach ($Computer in $Computers)
{
Get-WULastResults -ComputerName $Computer.Name|select ComputerName, LastSearchSuccessDate, LastInstallationSuccessDate
}
PowerShell модуль PSWindowsUpdate удобно использовать для загрузки и установки обновлений Windows из командной строки (единственный доступны вариант в случае установки обновлений на хосты без графического интерфейса: Windows Server Core и Hyper-V Server). Также этот модуль незаменим, когда нужно одновременно запустить и проконтролировать установку обновлений сразу на множестве серверов/рабочих станциях Windows.
Графический журнал истории обновлений в Windows в панели управления содержит базовую информацию об установленных обновлений (URI команда быстрого доступа
ms-settings:windowsupdate-history
) и не удобен для поиска. В этой статье рассмотрим, как вывести список установленных обновлений в Windows из командной строки, узнать, когда последний раз ставились обновления на компьютере, и как проверить, установлено ли определенное обновление на локальном или удаленном компьютере.
Ранее для вывода списка обновлений в Windows чаще использовалась утилита командной строки wmic. Чтобы получить удобную табличку со списком установленных обновлений, запустите
cmd.exe
и выполните команду:
wmic qfe list brief /format:table
В таблице будут показаны номера обновлений (HotFixID), даты установки (InstalledOn), а также имя пользователя, который установил обновление (InstalledBy).
Пользователь
NT AUTHORITY\SYSTEM
указывает на то, что обновление было установлено автоматически службой Windows Update. Если обновление Windows было установлено вручную, здесь будет указано имя пользователя.
Однако Microsoft анонсировала, что поддержка использование инструментов для обращения к WMI (включая утилиту wmic) будет отключена по умолчанию в новых версиях Windows (начиная с Windows 11 24H2), поэтому для получения информации об обновления лучше использовать PowerShell.
Аналогичная PowerShell команда для вывода таблицы со список установленных обновлений (с сортировкой по дате установки):
Get-HotFix | Select-Object HotFixID, InstalledOn, InstalledBy, Description| sort InstalledOn -Desc
Этот командлет получает информацию из класса Win32_QuickFixEngineering, поэтому такой же список можно вывести так:
Get-CimInstance -ClassName Win32_QuickFixEngineering| select HotFixID, InstalledOn | sort InstalledOn -Descending
Выгрузить список установленных обновлений в текстовый файл:
Get-HotFix |Format-Table -AutoSize > c:\temp\updatelist.txt
Проверить, установлено ли конкретное обновление по (KBID):
Get-HotFix -id 'KB5049621'
Вывести список обновлений на удаленном компьютере:
Get-HotFix -ComputerName wks333
Проверить, установлено ли определенное обновление на нескольких компьютерах (список компьютеров в AD можно сформировать с помощью командлета Get-ADComputer).
$computers = @('Computer1', 'Computer2', 'Computer3')
$updateId = 'KB5049622'
foreach ($computer in $computers) {
$hotfix = Get-HotFix -ComputerName $computer -Id $updateId -ErrorAction SilentlyContinue
if ($hotfix) {
Write-Host "Update $updateId is installed on $computer."
} else {
Write-Host "Update $updateId is NOT installed on $computer."
}
}
Вывести дату последней успешной установки обновлений в Windows:
Get-HotFix| sort InstalledOn -Desc|select InstalledOn -First 1
Есть отдельный PowerShell модуль PSWindowsUpdate для управления обновлениями. В его состав входя командлеты
Get-WUHistory
(вывести полную историю установки обновления, включая ошибк) и
Get-WULastResults
(дату последнего успешного обновления и сканирования на сервере обновлений).
Уведомление
Эта статья базы знаний Майкрософт представлена в исходном виде и не является заменой для более актуальных данных, предоставляемых по обычным каналам обновления. Актуальные данные, датированные более поздним числом, чем указанные здесь данные, приведены в Руководстве по обновлению системы безопасности и других вспомогательных материалах.
Аннотация
См. продукты, к которым относятся сведения из данной статьи.
Обновление для системы безопасности MS17-010 устраняет несколько уязвимостей в Windows Server Message Block (SMB) версии 1. Одну из них использует программа-шантажист WannaCrypt. Без обновления MS17-010 компьютеры подвергаются повышенному риску со стороны разнообразных вредоносных программ. В этой статье описано несколько быстрых способов, позволяющих определить наличие обновления на компьютере.
Способ 1. Проверка по номеру базы знаний
Проверьте наличие обновлений, указанных в приведенной ниже таблице (кроме помеченных как «Не содержит исправление MS17-010»). Если любое из них установлено, значит установлено и обновление MS17-010.
Таблица 1 из 2: Windows 7 с пакетом обновления 1 (SP1) или более поздней версии. Указанное исправление содержат следующие накопительные пакеты обновления из базы знаний (кроме столбца «Только безопасность за апрель, 4B»). Под каждым номером базы знаний указан номер версии обновленного Srv.sys.
|
Версии Windows |
Только обновление безопасности за март (14.03.17) |
Ежемесячный накопительный пакет за март |
Предварительная версия ежемесячного накопительного пакета за март |
Только обновление безопасности |
Ежемесячный накопительный пакет за апрель |
Предварительная версия ежемесячного накопительного пакета за апрель |
Только обновление безопасности за май |
Ежемесячный накопительный пакет за май |
Ссылка для скачивания |
|
Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1) |
4012212 |
4012215 |
4012218 |
4015546 |
4015549 |
4015552 |
4019263 |
4019264 |
https://support.microsoft.com/ru-ru/help/4009469 |
|
Windows 2012 |
4012214 |
4012217 |
4012220 |
4015548 |
4015551 |
4015554 |
4019214 |
4019216 |
https://support.microsoft.com/ru-ru/help/4009471 |
|
Windows 8.1 и Windows Server 2012 R2 |
4012213 |
4012216 |
4012219 |
4015547 Не содержит исправление MS17-010 |
4015550 |
4015553 |
4019213 |
4019215 |
https://support.microsoft.com/ru-ru/help/4009470 |
|
Windows 10 версии 1507 |
4012606 |
4016637 |
— |
— |
4015221 |
— |
— |
4019474 10.0.10240.17394 |
https://support.microsoft.com/ru-ru/help/4000823 |
|
Windows 10 версии 1511 |
4013198 |
4016636 |
— |
— |
4015219 |
— |
— |
4019473 |
https://support.microsoft.com/ru-ru/help/4000824 |
|
Windows 10 версии Windows Server 2016 |
4013429 |
4016635 |
— |
— |
4015217 |
— |
— |
4019472 |
https://support.microsoft.com/ru-ru/help/4000825 |
Таблица 2 из 2: продолжение для обновлений за май и июнь 2017 г.
|
Версии Windows |
Предварительная версия ежемесячного накопительного пакета за май (16.05.2017) |
Только обновление безопасности за июнь (13.06.2017) |
Ежемесячный накопительный пакет за июнь (13.06.2017) |
Ссылка для скачивания |
|
Windows 7 и Windows Server 2008 R2 |
4019265 |
4022722 |
4022168 |
https://support.microsoft.com/ru-ru/help/4009469 |
|
Windows Server 2012 |
4019218 |
4022718 |
4022724 |
https://support.microsoft.com/ru-ru/help/4009471 |
|
Windows 8.1 и Windows Server 2012 R2 |
4019217 |
4022717 |
4022720 |
https://support.microsoft.com/ru-ru/help/4009470 |
|
Windows 10 версии 1507 |
— |
— |
4032695 |
https://support.microsoft.com/ru-ru/help/4000823 |
|
Windows 10 версии 1511 |
— |
— |
4032693 |
https://support.microsoft.com/ru-ru/help/4000824 |
|
Windows 10 версии 1607 и Windows Server 2016 |
— |
— |
4022723 |
https://support.microsoft.com/ru-ru/help/4000825 |
Таблица 2. Другие версии Windows. Использование KB 4012598 в качестве обновления для системы безопасности.
|
Версии Windows |
Номер статьи базы знаний и |
Ссылка для скачивания |
|
Windows Server 2003 с пакетом обновления 2 (SP2) |
4012598 |
Windows Server 2003 с пакетом обновления 2 (SP2) x64 Windows Server 2003 с пакетом обновления 2 (SP2) x86 |
|
Windows XP |
4012598 |
Windows XP с пакетом обновления 2 (SP2) x64 Windows XP с пакетом обновления 3 (SP3) x86 Windows XP Embedded с пакетом обновления 3 (SP3) x86 |
|
Windows Vista с пакетом обновления 2 (SP2) |
4012598 |
Windows Vista с пакетом обновления 2 (SP2) Windows Vista с пакетом обновления 2 (SP2) x64 |
|
Windows Server 2008 с пакетом обновления 2 (SP2) |
4012598 |
Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (SP2) Windows Server 2008 для 64-разрядных (x64) систем с пакетом обновления 2 (SP2) Windows Server 2008 для систем Itanium с пакетом обновления 2 (SP2) |
|
Windows 8 |
4012598 |
Windows 8 x86, Windows 8 x64 |
Таблица 3. Дополнительные обновления, содержащие исправление.
Windows 8.1 и Windows Server 2012 R2
|
Дата выпуска |
Номер статьи базы знаний |
Страница поддержки |
|
21 марта 2017 г. |
4012219 |
21 марта 2017 г. KB4012218 (предварительная версия ежемесячного накопительного пакета) |
|
18 апреля 2017 г. |
4015553 |
18 апреля 2017 г. KB4015553 (предварительная версия ежемесячного накопительного пакета) |
|
16 мая 2017 г. |
4019217 |
16 мая 2017 г. KB4019217 (предварительная версия ежемесячного накопительного пакета) |
|
27 июня 2017 г. |
4022720 |
27 июня 2017 г. KB4022720 (предварительная версия ежемесячного накопительного пакета) |
Windows Server 2012
|
Дата выпуска |
Номер статьи базы знаний |
Страница поддержки |
|
21 марта 2017 г. |
4012220 |
21 марта 2017 г. KB4012220 (предварительная версия ежемесячного накопительного пакета) |
|
18 апреля 2017 г. |
4015554 |
18 апреля 2017 г. KB4015554 (предварительная версия ежемесячного накопительного пакета) |
|
16 мая 2017 г. |
4019218 |
16 мая 2017 г. KB4019218 (предварительная версия ежемесячного накопительного пакета) |
|
27 июня 2017 г. |
4022721 |
27 июня 2017 г. KB4022721 (предварительная версия ежемесячного накопительного пакета) |
Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1)
|
Дата выпуска |
Номер статьи базы знаний |
Страница поддержки |
|
21 марта 2017 г. |
4012218 |
21 марта 2017 г. KB4012218 (предварительная версия ежемесячного накопительного пакета) |
|
18 апреля 2017 г. |
4015552 |
18 апреля 2017 г. KB4015552 (предварительная версия ежемесячного накопительного пакета) |
|
16 мая 2017 г. |
4019265 |
16 мая 2017 г. KB4019265 (предварительная версия ежемесячного накопительного пакета) |
|
27 июня 2017 г. |
4022168 |
27 июня 2017 г. KB4022168 (предварительная версия ежемесячного накопительного пакета) |
Способ 2. Проверка по версии файла %systemroot%\system32\drivers\srv.sys
Проверьте версию файла %systemroot%\system32\drivers\srv.sys по приведенной ниже таблице. Если фактическое значение больше или равно указанному здесь, обновление MS17-010 установлено.
|
Версии Windows |
Минимальная обновленная версия Srv.sys |
|
Windows XP |
5.1.2600.7208 |
|
Windows Server 2003 с пакетом обновления 2 (SP2) |
5.2.3790.6021 |
|
Windows Vista |
GDR:6.0.6002.19743, LDR:6.0.6002.24067 |
|
Windows 7 |
6.1.7601.23689 |
|
Windows 8 |
6.2.9200.22099 |
|
Windows 8.1 |
6.3.9600.18604 |
|
Windows 10 TH1 v1507 |
10.0.10240.17319 |
|
Windows 10 TH2 v1511 |
10.0.10586.839 |
|
Windows 10 RS1 v1607 |
10.0.14393.953 |
Способ 3. Проверка с помощью WMI и Windows PowerShell
Используйте инструментарий WMI и Windows PowerShell, чтобы узнать, установлены ли исправления MS17-010.
Команда WMI
Чтобы найти определенный номер базы знаний, откройте окно командной строки с повышенными привилегиями, а затем выполните следующую команду:
wmic qfe get hotfixid | find "KB1234567"
Примечания
-
В этой команде замените <KB1234567> на фактический номер базы знаний.
-
Для поиска нескольких обновлений используйте символ амперсанда (&). Например, выполните следующую команду:
wmic qfe get hotfixid | find «KB4012212» & wmic qfe get hotfixid | find «KB4012215» & wmic qfe get hotfixid | find «KB4015549»
Команды PowerShell
Для проверки локальной системы запустите следующий административный командлет PowerShell:
get-hotfix -id KB1234567
Примечания
-
В этой команде замените <KB1234567> на фактический номер базы знаний.
-
Для поиска нескольких обновлений используйте запятую (,). Например, выполните следующую команду:
get-hotfix -id KB4012212,KB4012215,KB4015549
Чтобы проверить все компьютеры в домене Active Directory или подразделении, запустите следующий административный командлет PowerShell на контроллере домена:
foreach ( $n in (get-adcomputer -searchbase ‘OU=workstations,dc=contoso,dc=com’ -filter * -property * | select name )) {get-hotfix -computername $n.name -id KB1234567}
Примечание. Часть «OU=workstations,dc=contoso,dc=com» можно изменить, чтобы она указывала на корень раздела каталога в домене Active Directory, например «dc=contoso,dc=com» для поиска компьютеров во всем домене. В этой команде замените <KB1234567> на фактический номер базы знаний.
Как устранить ошибку «обновление неприменимо» при установке
Если на компьютерах отсутствуют необходимые исправления, то при установке MS17-010 в Windows 8.1 или Windows Server 2012 R2 может возникнуть следующая ошибка:
Обновление неприменимо к вашему компьютеру.
Чтобы устранить эту ошибку, выполните следующие действия:
-
Убедитесь, что устанавливается подходящее обновление. Для этого проверьте номер базы знаний из таблицы 1 в описании способа 1. Сравните его со своей версией системы, уровнем пакета обновления и разрядностью системы (x64, IA64 или x86).
-
Проверьте, не отсутствуют ли какие-либо зависимости. Для Windows 8.1 и Windows Server 2012 R2 установите зависимые исправления, как указано в следующих статьях:
-
KB 2919355: Обновление для Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2: апрель 2014 г.
-
KB 2919442: Обновление стека обслуживания за март 2014 г. для Windows 8.1 и Windows Server 2012 R2
-
KB 3173424: Обновление стека обслуживания для Windows 8.1 и Windows Server 2012 R2: 12 июля 2016 г.
-
-
Если вам не удается установить накопительный пакет обновления, попробуйте использовать другую его версию. Доступные обновления указаны в таблице 1.
Скрипт PowerShell
Следующий скрипт Windows PowerShell сравнивает версию Srv.sys на локальном компьютере с версией, указанной в таблице в методе 2.
Сохраните этот скрипт в файл .ps1 и запустите его (скрипт) из PowerShell. Этот скрипт применим к Windows XP, Windows Server 2003 и более поздним версиям. Требуется Windows PowerShell 2.0 или более поздняя версия.
[reflection.assembly]::LoadWithPartialName("System.Version")
$os = Get-WmiObject -class Win32_OperatingSystem
$osName = $os.Caption
$s = "%systemroot%\system32\drivers\srv.sys"
$v = [System.Environment]::ExpandEnvironmentVariables($s)
If (Test-Path "$v")
{
Try
{
$versionInfo = (Get-Item $v).VersionInfo
$versionString = "$($versionInfo.FileMajorPart).$($versionInfo.FileMinorPart).$($versionInfo.FileBuildPart).$($versionInfo.FilePrivatePart)"
$fileVersion = New-Object System.Version($versionString)
}
Catch
{
Write-Host "Unable to retrieve file version info, please verify vulnerability state manually." -ForegroundColor Yellow
Return
}
}
Else
{
Write-Host "Srv.sys does not exist, please verify vulnerability state manually." -ForegroundColor Yellow
Return
}
if ($osName.Contains("Vista") -or ($osName.Contains("2008") -and -not $osName.Contains("R2")))
{
if ($versionString.Split('.')[3][0] -eq "1")
{
$currentOS = "$osName GDR"
$expectedVersion = New-Object System.Version("6.0.6002.19743")
}
elseif ($versionString.Split('.')[3][0] -eq "2")
{
$currentOS = "$osName LDR"
$expectedVersion = New-Object System.Version("6.0.6002.24067")
}
else
{
$currentOS = "$osName"
$expectedVersion = New-Object System.Version("9.9.9999.99999")
}
}
elseif ($osName.Contains("Windows 7") -or ($osName.Contains("2008 R2")))
{
$currentOS = "$osName LDR"
$expectedVersion = New-Object System.Version("6.1.7601.23689")
}
elseif ($osName.Contains("Windows 8.1") -or $osName.Contains("2012 R2"))
{
$currentOS = "$osName LDR"
$expectedVersion = New-Object System.Version("6.3.9600.18604")
}
elseif ($osName.Contains("Windows 8") -or $osName.Contains("2012"))
{
$currentOS = "$osName LDR"
$expectedVersion = New-Object System.Version("6.2.9200.22099")
}
elseif ($osName.Contains("Windows 10"))
{
if ($os.BuildNumber -eq "10240")
{
$currentOS = "$osName TH1"
$expectedVersion = New-Object System.Version("10.0.10240.17319")
}
elseif ($os.BuildNumber -eq "10586")
{
$currentOS = "$osName TH2"
$expectedVersion = New-Object System.Version("10.0.10586.839")
}
elseif ($os.BuildNumber -eq "14393")
{
$currentOS = "$($osName) RS1"
$expectedVersion = New-Object System.Version("10.0.14393.953")
}
elseif ($os.BuildNumber -eq "15063")
{
$currentOS = "$osName RS2"
"No need to Patch. RS2 is released as patched. "
return
}
}
elseif ($osName.Contains("2016"))
{
$currentOS = "$osName"
$expectedVersion = New-Object System.Version("10.0.14393.953")
}
elseif ($osName.Contains("Windows XP"))
{
$currentOS = "$osName"
$expectedVersion = New-Object System.Version("5.1.2600.7208")
}
elseif ($osName.Contains("Server 2003"))
{
$currentOS = "$osName"
$expectedVersion = New-Object System.Version("5.2.3790.6021")
}
else
{
Write-Host "Unable to determine OS applicability, please verify vulnerability state manually." -ForegroundColor Yellow
$currentOS = "$osName"
$expectedVersion = New-Object System.Version("9.9.9999.99999")
}
Write-Host "`n`nCurrent OS: $currentOS (Build Number $($os.BuildNumber))" -ForegroundColor Cyan
Write-Host "`nExpected Version of srv.sys: $($expectedVersion.ToString())" -ForegroundColor Cyan
Write-Host "`nActual Version of srv.sys: $($fileVersion.ToString())" -ForegroundColor Cyan
If ($($fileVersion.CompareTo($expectedVersion)) -lt 0)
{
Write-Host "`n`n"
Write-Host "System is NOT Patched" -ForegroundColor Red
}
Else
{
Write-Host "`n`n"
Write-Host "System is Patched" -ForegroundColor Green
}
#
Ссылки
Указания для клиентов по атакам WannaCrypt
Центр Майкрософт по защите от вредоносных программ
Блог Центра Майкрософт по защите от вредоносных программ
Обновление для системы безопасности MS17-010
Запросы Configuration Manager SQL Server по отчетам о соответствии для MS17-010
Данная статья также применима к:
-
Windows Server 2016
-
Windows 10 версии 1607
-
Windows 10 версии 1511
-
Windows 10 версии 1507
-
Windows Server 2012 R2
-
Windows 8.1
-
Windows Server 2012
-
Windows 8
-
Windows Server 2008 R2
-
Windows 7
-
Windows Server 2008 с пакетом обновления 2 (SP2)
-
Windows Vista
-
Windows Server 2003 с пакетом обновления 2 (SP2)
-
Windows XP
Нужна дополнительная помощь?
Нужны дополнительные параметры?
Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.
Модуль PSWindowsUpdate, автором которого является Michal Gajda, позволяет управлять параметрами обновления ОС Windows на любом компьютере под управлением PowerShell 2.0 или выше.
PSWindowsUpdate даёт возможность администраторам предприятий проверять и устанавливать обновления на удаленных рабочих станциях и серверах. Он особенно удобен в использовании для установки обновлений на Windows Server Core, у которых нет GUI, а также во время настройки Windows в режиме аудита.
Загрузить модуль можно на сайте Microsoft TechNet.
После загрузки, извлекаем содержимое файла в папку C:\Windows\System32\WindowsPowerShell\v1.0\Modules\.
Если на данном этапе появляется предупреждение User Access Control, выбираем «Продолжить».
Для извлечения файлов, необходимо запустить консоль PowerShell с правами администратора и выполнить команду, которая разрешит выполнять системные сценарии:
Set-ItemProperty -Path HKLM:\Software\Policies\Microsoft\Windows\PowerShell -Name ExecutionPolicy -Value ByPassДанная команда дает возможность выполнять нам неподписанные скрипты PowerShell, но при этом несколько снижает уровень безопасности (т.к. в случае ошибки администратора может быть запущен скрипт, способный навредить системе).
В случае, если на данном этапе возникнет ошибка:
Set-ItemProperty : Не удается найти путь "HKLM:\Software\Policies\Microsoft\Windows\PowerShell", так как он не существу ет. строка:1 знак:1 + Set-ItemProperty -Path HKLM:\Software\Policies\Microsoft\Windows\Powe ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : ObjectNotFound: (HKLM:\Software\...dows\PowerShell:String) [Set-ItemProperty], ItemNotFo undException + FullyQualifiedErrorId : PathNotFound,Microsoft.PowerShell.Commands.SetItemPropertyCommand…необходимо зайти в gpedit.msc (Нажать сочетание клавиш Windows + R, откроется окно выполнить, ввести gpedit.msc и нажать Enter), перейти в раздел Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Windows PowerShell и переключить состояние политики «Включить выполнение сценариев» в режим «Включено».
После изменения настроек политики, необходимо перезапустить консоль PowerShell, повторно выполнить команду, разрешающую сценарии, и проверить, повторится ли ошибка. Если выполнение завершится без ошибок, то можно проверить состояние политики с помощью команды:
Get-ExecutionPolicy -ListТеперь, если всё прошло успешно, вывод PowerShell будет примерно следующим:
Затем, импортируем модуль PSWindowsUpdate и запрашиваем список доступных команд:
Import-Module PSWindowsUpdateGet-Command –module PSWindowsUpdate
Одним из наиболее значимых командлетов является Get-WUInstall, который предназначен для загрузки и установки обновлений. Для просмотра обновлений, доступных для установки из MicrosoftUpdate, выполним команду
Get-WUinstall -MicrosoftUpdate -ListOnlyРезультат выполнения:
Точно такой же результат можно получить с помощью команды Get-WUList –MicrosoftUpdate:
Для установки с подтверждением вручную для каждого обновления можно использовать команду Get-WUInstall –MicrosoftUpdate:
Прочие параметры PSWindowsUpdate
Рассмотрим некоторые параметры, способные упростить жизнь системному администратору:
- Установка всех доступных обновлений из MicrosoftUpdate с последующей перезагрузкой:
Get-WUInstall –MicrosoftUpdate –AcceptAll –AutoReboot - Запрет установки отдельного обновления из MicrosoftUpdate по названию и номеру KB:
Hide-WUUpdate –Title "Название*" –KBArticleID "KB1234567" –MicrosoftUpdate –Confirm:$falseи отмена запрета в случае необходимости:
Hide-WUUpdate –Title "Название*" –KBArticleID "KB1234567" –MicrosoftUpdate –HideStatus:$false –Confirm:$false
Скрипт совместим со всеми операционными системами, начиная с Windows Vista и заканчивая Windows 10. Работоспособность сценария пока не проверялась на Windows Server 2016. Операционная система Windows Server 2003 не поддерживается.
При необходимости, для задания параметру ExecutionPolicy значения Restricted (настройки по умолчанию), можно воспользоваться следующей командой:
Set-ItemProperty -Path HKLM:\Software\Policies\Microsoft\Windows\PowerShell -Name ExecutionPolicy -Value RestrictedВы когда-нибудь задумывались, с помощью чего формируется список установленных обновлений Windows? А через какое API его достать? Ответы на эти и другие возникающие вопросы я постараюсь дать в своём небольшом исследовании.
Предыстория или с чего всё началось.
В нашей компании каждый год проходит конференция молодых специалистов, где каждый участник может решить проблему какого-либо отдела (список тем заранее предлагается).
Раньше на каждое «ТО» с помощью WSUS подтягивались все выпущенные обновления и распространялись на все машины. Также периодически выходили ТСБ (технические сервисные бюллетени), в которых указывалось, что требуется установить необходимые обновления в виде изолированных пакетов. В итоге у нас накапливаются обновления, которые в WSUS отследить нельзя, а можно было увидеть только через панель управления в разделе «Установленные обновления».
Бывают ситуации, когда АРМ или сервер «падает» и приходится его восстанавливать из образа, созданного некоторое время назад. При восстановлении из образа есть вероятность того, что мы можем потерять нужные нам обновления (которые пришли в виде изолированных пакетов), которые устанавливались до падения машины. Объяснил максимально подробно насколько мог, потому что уточнения будут уже коммерческой тайной.
Вот поэтому и возникла идея создать программу, которая бы могла извлечь этот список обновлений (желательно удаленно по локальной сети), записать в файл/базу, сравнить текущий перечень с неким шаблоном и выдать сообщение на SCADA систему через один из протоколов — SNMP, OPC.
Как вы могли догадаться из названия статьи, уже на выборе метода получения списка у меня возникла непростая задача. Я, как обычно, решил поискать нужное в поисковике, задал вопросы на профильных ресурсах (раз, два, на английском stackoverflow почему-то не понравился мой вопрос и его пришлось удалить), но все ответы не давали нужного результата. Поэтому пришлось разбираться самому, о чем и пойдет речь далее.
Консольные команды
Начнем с простого и воспользуемся тем, что предлагает нам Windows без использования сторонних средств. Это можно сделать с помощью следующих команд:
- wmic qfe list
- systeminfo
- dism /online /get-packages
- через PowerShell:
- Get-HotFix
- Get-SilWindowsUpdate (доступно только в серверных редакциях)
- Get-WmiObject -Class win32_quickfixengineering — через доступ к WMI классу win32_quickfixengineering (о WMI чуть позже)
Получить список через графический интерфейс можно через стандартный пункт Панели управления «Установка/удаление программ», но скопировать оттуда мы ничего не можем. Каждый инструмент панели управления представлен файлом .cpl в папке Windows\System. Файлы .cpl в системную папку Windows автоматически загружаются при запуске панели управления. За пункт Программы отвечает файл Appwiz.cpl. Его анализ ни к чему не привел.
Вывод консольной команды можно перенаправить в файл и дальше начать его парсить, но это неправильно, плюс вызов программы (по правилам СБ не пройдет) и об удаленном получении списка речь не идёт. Поэтому предлагаю вам просто вызвать команды, сравнить количество обновлений в каждом списке, со списком через Панель управления и продолжить наше расследование дальше.
Формально все методы получения списка обновлений можно разделить на две группы: локальные и сетевые.
Все методы проверялись на чистых образах систем (Windows 7, 8, Server 2012 R2) с интегрированными обновлениями, после каждого обновления через Центр обновления с официальных серверов Microsoft проводилась дополнительная проверка. Остановимся на каждом из них подробнее.
WUA
WUApi (Windows Update Agent API) — использование API агента обновления Windows. Самый явный вариант, название которого говорит само за себя. Использовать для этого будем библиотеку Wuapi.dll.
Примечание: далее для своего удобства все результаты я буду вставлять в List. Это, возможно, не рационально, но тогда мне это казалось хорошей идеей.
Пример реализации
using WUApiLib;
public static List<string> listUpdateHistory()
{
//WUApi
List<string> result = new List<string>(200);
try
{
UpdateSession uSession = new UpdateSession();
IUpdateSearcher uSearcher = uSession.CreateUpdateSearcher();
uSearcher.Online = false;
ISearchResult sResult = uSearcher.Search("IsInstalled=1 And IsHidden=0");
string sw = "Количество обновлений через WUApi: " + sResult.Updates.Count;
result.Add(sw);
foreach (WUApiLib.IUpdate update in sResult.Updates)
{
result.Add(update.Title);
}
}
catch (Exception ex)
{
result.Add("Что-то пошло не так: " + ex.Message);
}
return result;
}
Есть и вторая вариация этого метода: Update Session — получение информации с помощью подключения к сессии обновления Windows Update Agent (в данном случае работаем не напрямую с библиотекой).
Пример реализации
public static List<string> Sessionlist(string pc)
{
List<string> result = new List<string>(50); //не забудь изменить количество
object sess = null;
object search = null;
object coll = null;
try
{
sess = Activator.CreateInstance(Type.GetTypeFromProgID("Microsoft.Update.Session", pc));
search = (sess as dynamic).CreateUpdateSearcher();
int n = (search as dynamic).GetTotalHistoryCount();
int kol = 0;
//coll = (search as dynamic).QueryHistory(1, n);
coll = (search as dynamic).QueryHistory(0, n);
result.Add("Количество через Update.Session: " + n);
foreach (dynamic item in coll as dynamic)
{
if (item.Operation == 1) result.Add(item.Title);
kol++;
//Console.WriteLine("Количество: " + kol);
}
result.Add("Количество в цикле: " + kol);
}
catch (Exception ex)
{
result.Add("Что-то пошло не так: " + ex.Message);
}
finally
{
if (sess != null) Marshal.ReleaseComObject(sess);
if (search != null) Marshal.ReleaseComObject(search);
if (coll != null) Marshal.ReleaseComObject(coll);
}
return result;
}
Microsoft подсказывает об удаленном использовании API.
Главный минусы этих двух методов — не позволяют найти исправления KB, которые не распространяются через Центр обновления Windows. Можно увидеть только то, что прошло через сам агент обновления, то есть данный вариант нас не устраивает.
DISM
Система обслуживания образов развертывания и управления ими (Deployment Image Servicing and Management) — это средство командной строки, которое может использоваться для обслуживания образа Windows или для подготовки образа среды предустановки Windows (Windows PE). Является заменой диспетчера пакетов (Pkgmgr.exe), PEimg и Intlcfg.
Данная утилита используется для интеграции обновлений, сервис паков в образ системы. Обновления Windows представляют собой отдельные модули, которые могут быть представлены в нескольких вариантах:
- .cab-файлы (Cabinet) — архивы. Предназначены для распространения и установки при помощи модулей Центра обновлений Windows в автоматизированном режиме;
- .msu-файлы (Microsoft Update Standalone Package) — исполняемые файлы. Предназначены для распространения и установки самими пользователями в ручном режиме через каталог обновлений Microsoft. Фактически представляют собой упакованный набор, состоящий из .cab-, .xml, .txt-файлов.
Ранее упомянутая команда dism /online /get-packages отображает основную информацию обо всех пакетах в wim образе/текущей системе. Microsoft позаботилась о нас и предоставляет NuGet packages для удобного использования API.
Пример реализации
using Microsoft.Dism;
public static List<string> DISMlist()
{
List<string> result = new List<string>(220);
try
{
DismApi.Initialize(DismLogLevel.LogErrors);
var dismsession = DismApi.OpenOnlineSession();
var listupdate = DismApi.GetPackages(dismsession);
int ab = listupdate.Count;
//Console.WriteLine("Количество обновлений через DISM: " + ab);
string sw = "Количество обновлений через DISM: " + ab;
result.Add(sw);
foreach (DismPackage feature in listupdate)
{
result.Add(feature.PackageName);
//result.Add($"[Имя пакета] {feature.PackageName}");
//result.Add($"[Дата установки] {feature.InstallTime}");
//result.Add($"[Тип обновления] {feature.ReleaseType}");
}
}
catch (Exception ex)
{
result.Add("Что-то пошло не так: " + ex.Message);
}
return result;
}
Количество обновлений совпадало с количеством из списка Панели управления до первого апдейта через центр управления — после него количество обновлений стало меньше (было 214, стало 209), хотя по логике они должны были увеличиться. Примеры вывода До обновления, После обновления.
С чем это связано я могу только предполагать — возможно, какие-то обновления замещали предыдущие, следовательно, и количество стало меньше.
Чуть позже я наткнулся на утилиту от китайцев DISM++, которая основана не на DISM API или DISM Core API, но имеющиеся в ней библиотеки не имеют нужных мне открытых методов, поэтому я забросил эту идею и продолжил поиски дальше.
WSUS
Windows Server Update Services (WSUS) — сервер обновлений операционных систем и продуктов Microsoft. Сервер обновлений синхронизируется с сайтом Microsoft, скачивая обновления, которые могут быть распространены внутри корпоративной локальной сети. Опять же специальный инструмент, предназначенный для работы с обновлениями.
Распространяется только на серверных редакциях ОС Windows, поэтому был развернут следующий стенд:
- основная система – Windows Server 2016;
- а через систему виртуализации Hyper-V были развернуты две клиентские ОС:
- Windows 8.1
- Windows 7
Все системы соединены в единую виртуальную локальную сеть, но
без выхода в сеть Интернет
.
Немного советов
Чтобы не выделять раздел жесткого диска для новой системы я пользуюсь WinNTSetup и устанавливаю систему в VHD диски — загрузчик, начиная с Windows 7 (редакций Professional/Ultimate), прекрасно справляется с загрузкой с образа диска. Полученные таким образом диски можно спокойно использовать и в Hyper-V — убиваете сразу двоих зайцев. Не забудьте только сделать заранее копию хранилища BCD через команду bcdedit /export e:\bcd_backup.bcd.
Настраивать AD для рассылки обновлений я не захотел, поэтому просто прописал в групповых политиках путь к WSUS серверу:
Обязательно уделите внимание на порт, я из-за опечатки (8350 вместо 8530) не мог получить обновления на клиентских машинах, хотя сделано было всё верно. Так же названия пунктов в групповых политиках на Windows 7 и Windows 8 различаются.
Для получения отчета средствами WSUS необходимо дополнительно установить пакет — система уведомит вас об этом.
А теперь немного кода
//не забудьте добавить ссылку на библиотеку
using Microsoft.UpdateServices.Administration;
public static List<string> GetWSUSlist(params string[] list)
{
List<string> result = new List<string>(200); //не забудь изменить количество
string namehost = list[0]; //имя Пк, на котором будем искать string = "example1";
string servername = list[1]; //имя сервера string = "WIN-E1U41FA6E55";
string Username = list[2];
string Password = list[3];
try
{
ComputerTargetScope scope = new ComputerTargetScope();
IUpdateServer server = AdminProxy.GetUpdateServer(servername, false, 8530);
ComputerTargetCollection targets = server.GetComputerTargets(scope);
// Search
targets = server.SearchComputerTargets(namehost);
// To get only on server FindTarget method
IComputerTarget target = FindTarget(targets, namehost);
result.Add("Имя ПК: " + target.FullDomainName);
IUpdateSummary summary = target.GetUpdateInstallationSummary();
UpdateScope _updateScope = new UpdateScope();
// See in UpdateInstallationStates all other properties criteria
//_updateScope.IncludedInstallationStates = UpdateInstallationStates.Downloaded;
UpdateInstallationInfoCollection updatesInfo = target.GetUpdateInstallationInfoPerUpdate(_updateScope);
int updateCount = updatesInfo.Count;
result.Add("Кол -во найденных обновлений - " + updateCount);
foreach (IUpdateInstallationInfo updateInfo in updatesInfo)
{
result.Add(updateInfo.GetUpdate().Title);
}
}
catch (Exception ex)
{
result.Add("Что-то пошло не так: " + ex.Message);
}
return result;
}
public static IComputerTarget FindTarget(ComputerTargetCollection coll, string computername)
{
foreach (IComputerTarget target in coll)
{
if (target.FullDomainName.Contains(computername.ToLower()))
return target;
}
return null;
}
Так как интернета нет, то ситуация с обновлениями выходит как на скриншоте ниже:
Поведение похоже на WUApi — если обновления не прошли через них, то они не знают об этом. Поэтому данный метод снова не подходит.
WMI
Windows Management Instrumentation (WMI) в дословном переводе — инструментарий управления Windows.
WMI — реализованный корпорацией Майкрософт стандарт управления предприятием
через Интернет
для централизованного администрирования и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows. WMI является открытой унифицированной системой интерфейсов доступа к любым параметрам операционной системы, устройствам и приложениям, которые функционируют в ней.
Данный метод позволяет получить данные как с локальной машины, так и удаленно в пределах локальной сети. Для обращения к объектам WMI используется специфический язык запросов WMI Query Language (WQL), который является одной из разновидностей SQL. Получать список мы будем через WMI класс win32_quickfixengineering.
Пример реализации
using System.Management;
public static List<string> GetWMIlist(params string[] list)
{
List<string> result = new List<string>(200); //не забудь изменить количество
ManagementScope Scope;
string ComputerName = list[0];
string Username = list[1];
string Password = list[2];
int kol = 0;
if (!ComputerName.Equals("localhost", StringComparison.OrdinalIgnoreCase))
{
// Возвращает или задает полномочия, которые используются для проверки подлинности
// указанного пользователя.
ConnectionOptions Conn = new ConnectionOptions();
Conn.Username = Username;
Conn.Password = Password;
//Если значение свойства начинается со строки «NTLMDOMAIN:» аутентификация NTLM будет использоваться, и свойство должно содержать доменное имя NTLM.
Conn.Authority = "ntlmdomain:DOMAIN";
Scope = new ManagementScope(String.Format("\\\\{0}\\root\\CIMV2", ComputerName), Conn);
}
else
Scope = new ManagementScope(String.Format("\\\\{0}\\root\\CIMV2", ComputerName), null);
try
{
Scope.Connect();
ObjectQuery Query = new ObjectQuery("SELECT * FROM Win32_QuickFixEngineering");
ManagementObjectSearcher Searcher = new ManagementObjectSearcher(Scope, Query);
foreach (ManagementObject WmiObject in Searcher.Get())
{
result.Add(WmiObject["HotFixID"].ToString());
//Console.WriteLine("{0,-35} {1,-40}", "HotFixID", WmiObject["HotFixID"]);// String
//result.Add();
/*result.Add("{0,-17} {1}", "Тип обновления: ", WmiObject["Description"]);
result.Add("{0,-17} {1}", "Ссылка: ", WmiObject["Caption"]);
result.Add("{0,-17} {1}", "Дата установки: ", WmiObject["InstalledOn"]);*/
kol++;
}
result.Add("Количество равно " + kol);
}
catch (Exception ex)
{
result.Add("Что-то пошло не так: " + ex.Message);
}
return result;
}
Количественно всё совпадает (даже после обновлений), поэтому было решено использовать этот метод. Для программного создания WMI запросов советую использовать следующую утилиту — WMI Delphi Code Creator. Благодаря ей я немного по другому взглянул на свой код и решил использовать заготовку из этой программы.
XML
Полученные данные методом WMI меня не остановили, и я решился на „поверхностный реверс-инжиниринг“. Воспользуемся утилитой Process Monitor из сборника программ Sysinternals Suite для выявления файлов и ветвей реестра, которые используются при вызове выше перечисленных консольных команд и обращению к пункту „Установленные обновления“ через Панель управления.
Моё внимание привлек файл wuindex.xml, расположенный в папке C:\Windows\servicing\Packages\. Для его анализа была написана следующая программа:
Пример консольного приложения
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.Xml;
using System.Text.RegularExpressions;
using System.IO;
namespace XMLviewer
{
class Program
{
static void Main(string[] args)
{
string writePath = AppDomain.CurrentDomain.BaseDirectory + "XML Обновлений " + Environment.MachineName + ".txt";
if (!File.Exists(writePath))
{
Console.WriteLine("Создаю пустой txt файл");
}
else
{
Console.WriteLine("Файл XML Обновлений.txt существует, он будет перезаписан");
File.Delete(writePath);
}
//регулярное выражение для поиска по маске KB
Regex regex = new Regex(@"KB[0-9]{6,7}");
//Regex(@"(\w{2}\d{6,7}) ?");
//SortedSet не поддерживает повторяющиеся элементы, поэтому повторяющиеся элементы мы "группируем" ещё на стадии добавления
SortedSet<string> spisok = new SortedSet<string>();
XmlDocument xDoc = new XmlDocument();
string path = "C:\\Windows\\servicing\\Packages\\wuindex.xml"; //путь до нашего xml
xDoc.Load(path);
int kol = 0; //кол-во компонентов
int total = 0; //кол-во дочерних элементов в xml
int total2 = 0; //кол-во полученных обновлений
XmlNodeList name = xDoc.GetElementsByTagName("Mappings");
foreach (XmlNode xnode in name)
{
//Console.WriteLine(xnode.Name);
kol++;
XmlNode attr = xnode.Attributes.GetNamedItem("UpdateId");
//Console.WriteLine(attr.Value);
foreach (XmlNode childnode in xnode.ChildNodes)
{
XmlNode childattr = childnode.Attributes.GetNamedItem("Package");
total++;
//Console.WriteLine(childattr.Value);
MatchCollection matches = regex.Matches(childattr.Value);
if (matches.Count > 0)
{
foreach (Match match in matches)
//Console.WriteLine(match.Value);
spisok.Add(match.Value);
}
else
{
//Console.WriteLine("Совпадений не найдено");
}
}
}
try
{
StreamWriter sw = new StreamWriter(writePath);
foreach (string element in spisok)
{
//Console.WriteLine(element);
sw.WriteLine(element);
total2++;
}
sw.Close();
}
catch (Exception ex)
{
Console.WriteLine("Ошибка: " + ex.Message);
}
//Console.WriteLine("\n");
Console.WriteLine("Количество пакетов: " +kol);
Console.WriteLine("Количество дочерних элементов в xml: " + total);
Console.WriteLine("Количество KB обновлений: " + total2);
Console.WriteLine("Нажмите любую клавишу для выхода.");
Console.Read();
}
}
}
К сожалению, данный файл встречается не на всех системах и принцип его генерирования и обновления остался для меня загадкой. Поэтому снова данный метод нам не подходит.
CBS
Вот мы подошли к тому, с чем связаны все эти методы. Продолжая анализ логов Process Monitor я выявил следующие папки и файлы.
Файл DataStore.edb, расположенный в папке C:\Windows\SoftwareDistribution\DataStore. Это база данных, в которой содержится история всех обновлений установленной версии Windows, включая те обновления, которые только стоят в очереди.
Для анализа файла DataStore.edb использовалась программа ESEDatabaseView. В БД существует таблица tbUpdates, содержимое которой трудно интерпретировать.
После мое внимание привлек процесс TiWorker.exe, который вызывался каждый раз при открытии пункта в Панели управления. Он „ходил“ по многим папкам, одна из которых вывела меня на верный путь.
C:\Windows\SoftwareDistribution — это папка, используемая службой обновления Windows для загрузки обновлений на компьютер с последующей их установкой, а также хранит сведения обо всех ранее установленных обновлениях.
Папка WinSxS, расположенная по адресу C:\Windows\winsxs. Это служебная папка операционной системы Windows служащая для хранения ранее установленных версий системных компонентов. Благодаря ее наличию существует возможность отката к более старой версии обновления в случае необходимости.
C:\Windows\servicing — основная составляющая всей системы, имя которой Component-Based Servicing (CBS).
CBS — обслуживание на основе компонентов, составляющая Windows, интегрированная с службой Windows Update. В противоположность обслуживанию на основе файлов File-Based Servicing (FBS) (для ОС, предшествующих Windows Vista), в котором файлы обновлялись прямо в системных директориях, в CBS появилась целая иерархия директорий и целое семейство (стек) модулей/библиотек обслуживания.
CbsApi.dll — основная библиотека поддержки технологии CBS. Не имеет открытых методов, поэтому напрямую использовать её я не смог. Microsoft использует TrustedInstaller.exe и TiWorker.exe для доступа к методам данной библиотеки и уже через эти процессы выводит нужные нам данные. Записи ведутся в C:\Windows\Logs\CBS\CBS.log.
На момент создания прототипа программы (на скриншотах можете увидеть май 2019) русскоязычной информации о CBS не было, но в конце августа нашлась очень хорошая статья в блоге — http://datadump.ru/component-based-servicing. Очень интересная статья, которая подтвердила мой опыт и собрала в себе нужную информацию. И ещё по теме: http://www.outsidethebox.ms/17988/
Вывод
Microsoft слишком усложнила тривиальную задачу по получению списка обновлений и сделала этот процесс не совсем явным. Всё это сделано для безопасности, но не для простоты использования. Соглашусь с автором статьи — в получении обновлений стали отсутствовать предсказуемость и прозрачность.
В результате исследования была написана следующая программа, демонстрацию работы которой можно увидеть в данном видео:
В планах дописать:
- сравнение списка необходимых обновлений с полученным;
- передать результат по протоколу SNMP/OPC (если у кого есть опыт поделитесь в комментариях);
- организовать установку недостающих „офлайн“ обновлений из указанной папки.
Если вы знаете ещё методы получения списка не только обновлений, но и дополнительных компонентов (Adobe Flash, Acrobat Reader и т.д.) или у вас есть другие интересные предложения, напишите об этом в комментариях или в личные сообщения — буду рад любой обратной связи. И поучаствуйте в опросе к данной статье — так я буду знать, будет ли интересен мой опыт аудитории Habrahabr.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Продолжить тему о том, как всем этим управлять через SNMP/OPC?
11.85% Нет, не интересно16
17.04% Бессмысленное занятие, займись лучше другим23
Проголосовали 135 пользователей. Воздержались 50 пользователей.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
И пользуясь случаем ещё один опрос: рассказать про ЕГИССО — что это какое, как мучаются люди и что люди разрабатывают, чтобы с этим работать?
78.4% Интересно прочитать про ужасы от Пенсионного фонда (Да)98
21.6% Спасение утопающих — дело рук самих утопающих (Нет)27
Проголосовали 125 пользователей. Воздержались 44 пользователя.