Instalando atualizações de segurança do Windows em estações de trabalho não conectadas em rede

0

Eu tenho visto várias perguntas semelhantes, mas todas estão desatualizadas ou presumo em uma rede off-line ou em servidores off-line.

Temos um grande número de locais remotos, a maioria dos quais não possui suas próprias lojas de TI. Cada um desses locais tem pelo menos duas e possivelmente muitas estações de trabalho que não estão conectadas a nenhum tipo de rede. Essas estações de trabalho estão executando o Windows 10 Enterprise. Nenhuma dessas coisas é negociável.

Duas a quatro vezes por ano, preparamos uma atualização para nosso aplicativo. Os locais remotos recuperam essa atualização através do nosso portal da Web seguro, carregam-na em uma unidade flash e aplicam essa atualização em cada estação de trabalho. Eu gostaria de usar isso como uma oportunidade para também instalar qualquer segurança ou atualizações críticas para o Windows desde a última atualização.

Até agora, a melhor opção que já vi é o WSUS Offline, mas não facilita a execução de atualizações incrementais e, sem isso, o tamanho do download se tornará irracional. Eu não usei o WSUS ou o SCCM, mas parece que eles não têm a opção de criar um instalador offline. As estações de trabalho de destino estão muito bloqueadas, então no meu mundo ideal eu gostaria que o (s) executável (s) resultante (s) fosse (m) assinado (s) pela Microsoft ou por nós.

Existem outras opções para as quais eu deveria estar olhando? Não temos problemas em pagar por uma solução empresarial, se disponível. No momento, estou pensando seriamente em tirar o código-fonte do WSUS Offline e modificá-lo para atender às minhas necessidades, mas prefiro não amarrar meus recursos de desenvolvimento.

    
por TBridges42 31.01.2018 / 05:16

2 respostas

1

Com o modelo de patch mais recente, tudo se tornou cumulativo e é por isso que eles são muito grandes. Eles essencialmente se tornaram um pacote mensal de serviços por produto. Então, dependendo de quais produtos você carregou nestas máquinas, você só precisa da atualização mais recente para: (# 1) O sistema operacional e, em seguida, qualquer versão do (# 2) IE, (# 3) .NET Framework e talvez ( # 4) O Office que está instalado.

Exemplo: se você está corrigindo 2x por ano em janeiro e junho, não precisa aplicar material dos outros 10 meses do ano porque janeiro de 2018 substitui qualquer coisa de 2017 e junho de 2018 substitui fevereiro a maio de 2018.

    
por 01.02.2018 / 21:44
0

link (Certifique-se de obter o do sistema operacional correto e x86 ou x64) Digite o KB ####### um de cada vez e adicione-os ao carrinho Quando solicitado por uma pasta, navegue até c: \ updates

O arquivo Wusa.exe está na pasta% windir% \ System32. O instalador autônomo do Windows Update usa a API do Windows Update Agent para instalar pacotes de atualização.

for /R "C:\Updates\" %i in (*.msu) do wusa "%i" /quiet /norestart

Eu sugeriria renomear os patches, adicionando um 1,2,3 e etc ao início do nome do arquivo, para que eles sejam instalados na ordem correta. Ou então, ou apenas tem um monte de wsu no arquivo de lote.

wusa "package1.msu" /quiet /norestart
wusa "package2.msu" /quiet /norestart
wusa "package3.msu" /quiet /norestart
...

Você poderia, é claro, criar um script mais inteligente que verifique a presença de atualizações e apenas aplique as necessárias.

O único problema em potencial aqui nas atualizações pode ter reinicializações obrigatórias, e seu script terá que lidar com essa condição. Também atualizações podem falhar na instalação, o que exigiria mais verificação de erros.

Outra possível resposta é a imagem completa. Você pode usar o imagex, da microsoft, para capturar janelas em um arquivo wim. Em seguida, ter um ambiente windows PE no pendrive com o arquivo wim. Implante o wimfile, reinicie e conclua o seu trabalho.

A vantagem aqui é que você sabe que todos os patches foram implantados corretamente. O computador estará em uma configuração uniforme.

Se o usuário final precisar armazenar arquivos, sugiro que particione o disco rígido em c: ed: depois armazene todo o arquivo do usuário em D: assim você poderá refazer a imagem da unidade C:.

A maior desvantagem é o tamanho, mesmo que você limpe a imagem completamente, ela será muito maior. Talvez 16 ou 32GB dependa de quão grande é o seu programa e de quão bem você esfrega o disco rígido de arquivos indesejados.

    
por 31.01.2018 / 05:46