Ежемесячный набор исправлений качества системы безопасности для систем windows server 2008 r2

Обновлено: 04.07.2024

Программа Kaspersky Internet Security не может быть установлена на операционные системы Microsoft Windows 7 и Miсrosoft Windows Server 2008 R2, если не установлены следующие обновления операционной системы:

1. KB4490628 (обновление от 12 марта 2019);
2. KB4474419 (обновление от 23 сентября 2019).

Ошибка установки появляется в связи с тем, что компания Microsoft обновила алгоритм подписания модулей и драйверов сторонних программ. Теперь модули и драйверы сторонних программ (в том числе "Лаборатории Касперского") подписываются с помощью алгоритма хеширования SHA256. Вам необходимо установить обновления KB4490628 и KB4474419, чтобы модули и драйверы Kaspersky Internet Security могли быть подписаны с помощью алгоритма хеширования SHA256.

Вы можете установить обновления следующими способами.

Установка обновления через Центр обновления Windows

Если на вашем компьютере отключена автоматическая установка обновлений, выполните следующие действия:

В меню Пуск выберите пункт Панель управления → Система и безопасность → Центр обновления Windows .

Откроется окно Центр обновления Windows .

Все необходимые обновления будут автоматически скачаны и установлены на вашем компьютере.

Установка обновления Service Pack 1 вручную, если оно не установлено

Если ваш компьютер работает на базе операционной системы Windows 7 Service Pack 0 или Windows Server 2008 R2 Service Pack 0, сначала необходимо установить обновление Service Pack 1 (KB976932).

Чтобы установить обновление Service Pack 1, выполните следующие действия:

1. Перейдите по ссылке в каталог обновлений Microsoft.
2. Выберите версию операционной системы вашего компьютера и нажмите на кнопку Download .
3. Скачайте обновление к себе на компьютер по ссылке в открывшемся окне.
4. Установите обновление.

Установка обновления KB4490628 вручную

Чтобы установить обновление KB4490628 вручную, выполните следующие действия:

1. Перейдите по ссылке в каталог обновлений Microsoft.
2. Выберите версию операционной системы вашего компьютера и нажмите на кнопку Download .
3. Скачайте обновление к себе на компьютер по ссылке в открывшемся окне.
4. Установите обновление.

Установка обновления KB4474419 вручную

Чтобы установить обновление KB4474419 вручную, выполните следующие действия:

1. Перейдите по ссылке в каталог обновлений Microsoft.
2. Выберите версию операционной системы вашего компьютера и нажмите на кнопку Download .
3. Скачайте обновление к себе на компьютер по ссылке в открывшемся окне.
4. Установите обновление.

После установки обновлений перезагрузите компьютер и запустите установку программы Kaspersky Internet Security заново.

В связи с заменой железа решил заодно полностью переустановить венду, с форматированием винта. Это проще, чем чистить накопившийся годами мусор руками.

Памятка: перед установкой венды, в BIOS, в настройках USB, включить эмуляцию PS2 для мыши и клавы. Иначе венда их не увидит до установки USB-шных дров. Разумеется, следует позаботиться, чтобы USB дрова были записаны на какой-нибудь не USB носитель. На болванку, например. После установки дров эмуляцию можно отключить.

После завершения установки венды первым делом нам понадобятся обновления KB2685811 и KB3033929, без которых не встанут дрова от чипсета. Впрочем, их даже качать не надо, они прилагаются к комплекту дров, в папке Hotfix. Нужно только установить их первыми. Во вторую очередь нам может понадобиться KB2990941 (возможно, предварительно понадобится еще KB3087873), если мы планируем использовать SSD накопитель с NVMe. Опционально - ставим KB3125574 - ранний накопительный пакет обновлений, неофициально называемый SP3.

А потом, ради интереса, запускаем Windows Update и смотрим, что на сегодняшний день нам предлагается в списке важных обновлений:

Internet Explorer 11 - ну, с ишаком все понятно. Можно установить в качестве программы для загрузки браузера. А можно и не устанавливать.

Обновление для Windows 7 для систем на базе 64-разрядных (x64) процессоров (KB3138612) - обновление обновлятора венды, включающее в себя все последние достижения по задалбыванию пользователей с целью мотивировать их на переход к десятой венде. Засуньте его себе в жопу.

Обновление для Windows 7 для систем на базе процессоров x64 (KB2506014) - хотфикс безопасности системы, устраняющий уязвимость от ужасного хакерского руткита TDL4. Все бы ничего, но данный фикс устарел сразу после появления, поскольку разработчики TDL4 фиксят свой продукт намного быстрее слоупоков из Некрософт. Короче, не нужен.

Обновление для Windows 7 для систем на базе процессоров x64 (KB971033) - обновление проверки подлинности венды. О да, это самое необходимое обновление! Жить без него мы ну никак не сможем.

Ежемесячный набор исправлений качества системы безопасности для систем Windows 7 на базе процессоров x64 (KB4054518), 12 2017 г. - накопительный пакет обновлений, фиксящий несколько достаточно экзотических багов, вероятность встречи с которыми близка к нулю. Можно поставить. А можно и наплевать.

Ежемесячный набор исправлений качества системы безопасности для систем Windows 7 на базе процессоров x64 (KB4516065), 09 2019 г. - финальный накопительный пакет, на котором, собственно, и заканчивается этот хреновый цирк под названием "поддержка операционной системы". Как и в предыдущем случае, в списке исправлений лично я не нашел ничего, с чем мог бы столкнуться даже чисто теоретически.

Накопительное обновление для системы безопасности флагов блокировки элементов ActiveX в ОС Windows 7 для систем на базе процессоров x64 (KB2900986) - ну, это можно и поставить, хуже не станет.

ЗЫ: Список необязательных обновлений мы даже рассматривать не будем, их там 90 штук, и среди них есть такие, которые пытаются подсунуть нам откровенную гадость типа телеметрии Diagnostics and Telemetry tracking service (KB3080149, KB3068708 и еще около десятка). Оно нам надо? Тем более, раз "необязательно". Разве что можно отметить обновление KB2852386, которое добавляет в утилиту очистки диска (cleanmgr.exe) возможности ликвидировать мусор, оставшийся после обновлений системы (примерно 4 гига в папке winsxs).

Как обычно, ежемесячные обновления поставляются в двух пакетах: накопительный набор (monthly rollup) и отдельное обновление безопасности. Накопительное обновление поставляется большинству пользователей в автоматическом режиме, в то время как обновление безопасности нужно загружать вручную.

Обновления для Windows 8.1 и Windows Server 2012

Ежемесячное обновление для Windows 8.1 (KB5006714) и Windows Server 2012 доступно для установки в Каталоге Центра обновления Майкрософт и автоматически через службу обновления Windows. Обновление безопасности KB5006729 доступно только для ручной установки из каталога. Обновления включают следующие изменения:

• Исправлена проблема, когда у пользователя нет возможности отслеживать сбои активации DCOM на сервере под управлением Windows Server 2012 R2.
• Исправлена проблема, из-за которой сервер печати в Интернете не мог упаковать драйвер для отправки клиенту.
• Реализован параметр групповой политики для следующего значения реестра:
  • Расположение в реестре: HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows NT \ Printers \ PointAndPrint
  • Имя значения: RestrictDriverInstallationToAdministrators
  • Значение: 1
  • Package Point and Print - Approved Servers
  • Point and Print Restrictions

  Обновления имеют одну известную проблему:

  • Некоторые операции, такие как rename, могут не работать для Cluster Shared Volume (CSV) и приводить к ошибке «STATUS_BAD_IMPERSONATION_LEVEL (0xC00000A5)».

  Обновления для Windows 7 и Windows Server 2008 R2 SP1

  
  

  Для Windows 7 и Windows Server 2008 R2 SP1 доступно ежемесячное обновление KB5006743 и обновление безопасности KB5006728. Обновления включают следующие изменения:

  • Исправлена проблема, из-за которой сервер печати в Интернете не мог упаковать драйвер для отправки клиенту.
  • Реализован параметр групповой политики для следующего значения реестра:
    • Расположение в реестре: HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows NT \ Printers \ PointAndPrint
    • Имя значения: RestrictDriverInstallationToAdministrators
    • Значение: 1
    • Package Point and Print - Approved Servers
    • Point and Print Restrictions

    Обновления для Windows 7 имеют общие известные проблемы:

    • Обновление безопасности исправляет уязвимости в Internet Explorer.

    Как обычно, вы можете зайти в Центр обновления Windows, чтобы проверить наличие обновлений и получить ежемесячные накопительные исправления. Вы также можете перейти по отдельным ссылкам для ручного скачивания обновлений безопасности из Каталога Центра обновления Майкрософт.

    В 2020 году Microsoft завершила поддержку двух популярных продуктов – Windows 7 и Windows Server 2008 R2. Однако в тысячах компаний все еще работают персональные компьютеры и серверы под управлением этих операционных систем. К чему может привести дальнейшая эксплуатация устаревшего ПО и что делать руководителю, дабы избежать рисков?

    Почему завершение поддержки — это важно

    Microsoft больше не присылает пользователям Windows 7 и Server 2008 R2 автоматических обновлений системы, в том числе исправлений свежеобнаруженных уязвимостей. Для каждого, кто несет ответственность за состояние корпоративной ИТ-инфраструктуры, что означает три серьезные проблемы.

    Проблема 1. Компьютеры и серверы будут уязвимы для атак вирусов-шифровальщиков

    WannaCry и NotPetya — лишь самые известные из шифровальщиков, эпидемия которых за последние несколько лет охватила миллионы компьютеров, в том числе и в нашей стране. Как результат – в российских компаниях такой вирус чаще всего шифрует базу «1С» и файловые хранилища (обычно вместе с локальными резервными копиями). Без обновлений от такаих угроз не защищен ни один бизнес – будь в нем хоть пять ПК, хоть тысяча. Данные атаки носят массовый характер, а зараженные файлы могут «улететь» по цепочке клиентам и партнерам.

    Просто заплатить вымогателям за расшифровку не вариант — гарантий анонимные злоумышленники никаких не дают. И обычные антивирусы от таких угроз не спасают, ведь зловреды постоянно изменяются. Правда, помочь могут специализированные средства информационной безопасности. Уязвимости обнаруживаются регулярно: официальная поддержка Windows 7 завершилась 14 января, а 17 января уже обнаружилась новая уязвимость.

    Итак, «просто ничего не делать» при отсутствии поддержки операционных систем нельзя.

    Проблема 2. Совместимость с ПО

    Заменить операционные системы на всех компьютерах — непростой процесс даже для небольшой компании. Дело в том, что версии Windows совместимы с определенными версиями прикладного ПО, например Adobe, Corel, «1C» и т. д. Но после прекращения поддержки Windows 7 далеко не все новые версии стороннего ПО могут быть установлены на устаревшую ОС.

    Проблема 3. Совместимость с «железом»

    Поставить «семерку» на самое современное «железо» не получится – новые версии процессоров Intel и AMD не поддерживают Windows 7.

    То же самое справедливо и для серверного оборудования. Можно приобрести новый сервер за полмиллиона рублей, но воспользоваться ранее купленной лицензией Windows Server 2008 R2 тоже не получится – ПО и «железо» просто не распознают друг друга. Конечно же, виртуализация была, есть и будет, но она не позволяет решить проблемы с безопасностью (см. проблему 1).

    Что же делать, если у меня Windows 7 или Server 2008

    Есть несколько вариантов развития событий – какой из них выбрать, зависит от особенностей бизнеса. В первую очередь, необходимо провести аудит инфраструктуры. Он состоит из трех этапов:

    Чтобы автоматизировать данный этап, Microsoft предлагает бесплатный программный пакет Assessment and Planning Toolkit (MAP). Он покажет, какие версии Windows и Windows Server и в каком количестве используются в инфраструктуре.

    Более того, этот же инструмент продемонстрирует, какие именно пакеты обновлений были установлены. И, увы, очень часто обнаруживается, что на многих рабочих местах они не установлены вовсе. Иными словами, огромный набор уязвимостей, обнаруженных за 10 лет, доступен любому злоумышленнику.

    Независимо от того, решите вы в дальнейшем перейти на Windows 10 или остаться на «семерке» (такой вариант я опишу ниже), следует установить все обновления. Дело в том, что киберпреступники прекрасно осведомлены о завершении поддержки, а значит, в этом году рабочие станции и серверы под управлением устаревших версий Windows и Windows Server будут в зоне их пристального внимания. Если обновления не устанавливались, то площадь уязвимости вашей инфраструктуры огромна и решать эту проблему нужно быстро.

    В небольшой компании достаточно просто физически дойти до каждого ПК и вручную обновить ОС. Если же рабочих станций больше 20-30, то можно использовать еще одну бесплатную службу – WSUS (Windows Server Update Services). Правда, чтобы настроить ее, понадобятся лицензии на Windows Server и определенные навыки: можно прокачать их самостоятельно либо привлечь технологического партнера (недорого).

    На данном этапе необходимо просчитать, во что обойдется для вашего бизнеса каждый из вариантов действий. А их, как и всего остального в этой статье, тоже три.

    Путь 1. Перейти на Windows 10

    Наиболее очевидная опция — заменить устаревшие «семерки» на «десятки», проинсталлировав новую версию, как и раньше, в своей инфраструктуре. Причем у Microsoft имеется предложение по переходу (оно называется Windows 10 Upgrade), в рамках которого можно сэкономить около 2 тыс. рублей на каждой лицензии – то есть порядка 16% от стоимости.

    Во время сбора данных необходимо убедиться, что все рабочие станции и серверы достаточно производительны, чтобы на них можно было установить новую версию ОС. Если все окей, приобретаем лицензии и начинаем процесс перехода. В маленькой компании можно обойтись дедовским методом: загрузить образ Windows на флешку и ногами обойти все рабочие станции. Для среднего же и крупного бизнеса переход нужно проводить в нерабочее время. Порядок следующий: сначала создается образ Windows с основными программными пакетами (Office, Adobe Acrobat и т. д.), а затем его централизованно отправляют на необходимое количество ПК, находящихся в сети. Если должной квалификации нет, здесь также может помочь технологический партнер.

    Путь 2. Платить за обновления безопасности

    Однако в случае обнаружения крупных уязвимостей патчи все-таки выпускаются: например, во время эпидемии WannaCry корпорация разослала обновление для устаревших версий бесплатно. Но в 2018 году Microsoft сделала заявление, что все апдейты для Windows 7 и Windows Server 2008 R2 будут платными. (Понять ее можно: разработка обновлений — дорогостоящий процесс.)

    Экономически данный вариант не слишком выгоден и подходит только в качестве временной меры. Например, в текущем году за каждое устройство с Windows 7 придется выложить не менее четырех с лишним тысяч рублей. В 2021-м цена вырастет как минимум вдвое. Из-за нерегулярности обновлений устройствам под управлением устаревших ОС лучше всего ограничить выход в Интернет. Однако такой вариант позволит сделать переход на новые версии более плавным – ведь новое «железо» будет приобретаться с новой версией ОС.

    Путь 3. Перейти в виртуальную среду Microsoft Azure

    Но в таком случае обязательно понадобится помощь партнера: очень важно не просто корректно перенести данные, но и сделать так, чтобы сервисы простаивали как можно меньше времени.

    Читайте также:

      
    • Подключение к серверу заблокирован xbox live windows 10
      
    • Vaio care windows 10 восстановление
      
    • Nhl чтобы не вылетала на windows 7
      
    • Как изменить браузер по умолчанию в windows xp
      
    • Windows 10 графический пароль пропал