Как посмотреть установленные обновления windows server

Обновлено: 04.07.2024

Windows Server Update Services или WSUS предназначен для распространения обновлений внутри сети. Он позволит скачивать все пакеты для их установки на один сервер и распространять данные пакеты по локальной сети. Это ускорит процесс получения самих обновлений, а также даст администратору контроль над процессом их установки.

В данной инструкции мы рассмотрим пример установки и настройки WSUS на Windows Server 2012 R2.

Перед установкой

Рекомендуется выполнить следующие действия, прежде чем начать установку WSUS:

    .
  1. Настраиваем статический IP-адрес.
  2. При необходимости, добавляем компьютер в домен.
  3. Устанавливаем все обновления Windows.

Также нужно убедиться, что на сервере достаточно дискового пространства. Под WSUS нужно много места — в среднем, за 2 года использования, может быть израсходовано около 1 Тб. Хотя, это все условно и, во многом, зависит от количества программных продуктов, которые нужно обновлять и как часто выполнять чистку сервера от устаревших данных.

Установка роли

Установка WSUS устанавливается как роль Windows Server. Для начала запускаем Диспетчер серверов:

Запуск диспетчера серверов в Windows Server

В правой части открытого окна нажимаем Управление - Добавить роли и компоненты:

Переходим к добавлению ролей Windows Server

На странице приветствия просто нажимаем Далее (также можно установить галочку Пропускать эту страницу по умолчанию):

Пропускаем стрницу приветствия

На следующей странице оставляем переключатель в положении Установка ролей или компонентов:

Устанавливаем роли и компоненты

Далее выбираем сервер из списка, на который будем ставить WSUS:

Выбор целевого сервера для развертывания WSUS

В окне «Выбор ролей сервера» ставим галочку Службы Windows Server Update Services - в открывшемся окне (если оно появится) нажимаем Добавить компоненты:

Выбираем для установки роль WSUS

Среди компонентов оставляем все по умолчанию и нажимаем Далее:

Никаких дополнительный компонентов устанавливать не нужно

Мастер запустит предварительную настройку служб обновления — нажимаем Далее:

Предварительная настройка WSUS

Среди ролей службы можно оставить галочки, выставленные по умолчанию:

Выбор ролей службы WSUS

Прописываем путь, где WSUS будет хранить файлы обновлений:

Указываем путь, по которому WSUS должен хранить файлы обновлений

* в нашем примере был прописан путь C:\WSUS Updates. Обновления нужно хранить на разделе с достаточным объемом памяти.

Запустится настройка роли IIS — просто нажимаем Далее:

Переходим к настройке IIS

Среди служб ролей оставляем все галочки по умолчанию и нажимаем Далее:

Не меняем настройки ролей служб при установки IIS

В последнем окне проверяем сводную информацию о всех компонентах, которые будут установлены на сервер и нажимаем Установить:

Подтверждаем намерение установить роль WSUS

Процесс установки занимаем несколько минут. После завершения можно закрыть окно:

Дожидаемся окончания установки WSUS

Установка роли WSUS завершена.

Первый запуск и настройка WSUS

После установки наш сервер еще не готов к работе и требуется его первичная настройка. Она выполняется с помощью мастера.

В диспетчере сервера кликаем по Средства - Службы Windows Server Update Services:

Среди средств управления сервером выбираем Службы Windows Server Update Services

При первом запуске запустится мастер завершения установки. В нем нужно подтвердить путь, по которому мы хотим хранить файлы обновлений. Кликаем по Выполнить:

Завершаем установку WSUS, подтвердив путь хранения файлов обновлений

. и ждем завершения настройки:

Дожидаемся окончания постустановки

Откроется стартовое окно мастера настройки WSUS — идем далее:

Начальное окно при настройке WSUS

На следующей странице нажимаем Далее (при желании, можно принять участие в улучшении качества продуктов Microsoft):

Соглашаемся или отказывается принять участие в улучшении продуктов Microsoft

Далее настраиваем источник обновлений для нашего сервера. Это может быть центр обновлений Microsoft или другой наш WSUS, установленный ранее:

Настройка источника обновлений для WSUS

* в нашем примере установка будет выполняться из центра Microsoft. На данном этапе можно сделать сервер подчиненным, синхронизируя обновления с другим WSUS.

Если в нашей сети используется прокси-сервер, задаем настройки:

Настройка прокси-сервера

* в нашем примере прокси-сервер не используется.

Для первичной настройки WSUS должен проверить подключение к серверу обновлений. Также будет загружен список актуальных обновлений. Нажимаем Начать подключение:

Подключаемся к серверу обновлений для получения списка обновлений

. и дожидаемся окончания процесса:

Ждем завершения подключения WSUS к центру обновлений

Выбираем языки программных продуктов, для которых будут скачиваться обновления:

Выбор языковых версий обновлений

Внимательно проходим по списку программных продуктов Microsoft и выбираем те, которые есть в нашей сети, и для который мы хотим устанавливать обновления:

Отмечаем программы Microsoft для обноления

* не стоит выбирать все программные продукты, так как на сервере может не хватить дискового пространства.

Выбираем классы обновлений, которые мы будем устанавливать на компьютеры:

Выбор классов обновлений для загрузки WSUS

* стоит воздержаться от установки обновлений, которые могут нанести вред, например, драйверы устройств в корпоративной среде не должны постоянно обновляться — желательно, чтобы данный процесс контролировался администратором.

Настраиваем синхронизацию обновлений. Желательно, чтобы она выполнялась в автоматическом режиме:

Настройка синхронизации обновлений между WSUS и настроенным центром обновлений

Мы завершили первичную настройку WSUS. При желании, можно установить галочку Запустить первоначальную синхронизацию:

Завершение настройки WSUS

После откроется консоль управления WSUS.

Завершение настройки сервера обновлений

Наш сервис установлен, настроен и запущен. Осталось несколько штрихов.

Установка Microsoft Report Viewer

Для просмотра отчетов, необходим компонент, который не ставится с WSUS. Для его установки нужно сначала зайти в установку ролей и компонентов:

Переход к установке ролей и компонентов

Выбор для установки .NET Framework 3.5

Продолжаем установку и завершаем ее.

Загружаем Microsoft Report Viewer

После выполняем установку приложения и перезапускаем консоль WSUS — отчеты будут доступны для просмотра.

Донастройка WSUS

Мастер установки предлагает выполнить большую часть настроек, но для полноценной работы необходимо несколько штрихов.

1. Группы компьютеров

При подключении новых компьютеров к серверу, они должны распределиться по группам. Группы позволят применять разные обновления к разным клиентам.

В консоли управления WSUS переходим в Компьютеры - кликаем правой кнопкой мыши по Все компьютеры и выбираем Добавить группу компьютеров. :

Переходим к добавлению группы компьютеров

Вводим название для группы и повторяем действия для создания новой группы. В итоге получаем несколько групп, например:

Пример созданных групп компьютеров в WSUS

2. Автоматические утверждения

После получения сервером обновлений, они не будут устанавливаться, пока системный администратор их не утвердит для установки. Чтобы не заниматься данной работой в ручном режиме, создадим правила утверждения обновлений.

В консоли управления WSUS переходим в раздел Параметры - Автоматические утверждения:

Переходим к настройкам автоматического утверждения обновлений

Кликаем по Создать правило:

Переходим к созданию правил

У нас есть возможность комбинировать условия, при которых будут работать наши правила. Например, для созданных ранее групп компьютеров можно создать такие правила:

  • Для тестовой группы применять все обновления сразу после их выхода.
  • Для рабочих станций и серверов сразу устанавливать критические обновления.
  • Для рабочих станций и серверов применять обновления спустя 7 дней.
  • Для серверов устанавливать обновления безопасности по прошествии 3-х дней.

3. Добавление компьютеров в группы

Ранее, нами были созданы группы компьютеров. После данные группы использовались для настройки автоматического утверждения обновлений. Для автоматизации работы сервера осталось определить, как клиентские компьютеры будут добавляться в группы.

В консоли WSUS переходим в Параметры - Компьютеры:

Переходим к параметрам компьютеров в WSUS

Если мы хотим автоматизировать добавление компьютеров в группы, необходимо установить переключатель в положение Использовать на компьютерах групповую политику или параметры реестра:

Использовать на компьютерах групповую политику или параметры реестра

Настройка клиентов

И так, наш сервер готов к работе. Клиентские компьютеры могут быть настроены в автоматическом режиме с помощью групповой политики Active Directory или вручную в реестре. Рассмотрим оба варианта. Также стоит отметить, что, как правило, проблем совместимости нет — WSUS сервер на Windows Server 2012 без проблем принимает запросы как от Windows 7, так и Windows 10. Приведенные ниже примеры настроек являются универсальными.

Групповая политика (GPO)

Открываем инструмент настройки групповой политики, создаем новые политики для разных групп компьютеров — в нашем примере:

  1. Для тестовой группы.
  2. Для серверов.
  3. Для рабочих станций.

Создаем GPO для соответствующих организационных юнитов. Открываем данные политики на редактирование и переходим по пути Конфигурация компьютера - Политики - Административные шаблоны - Компоненты Windows - Центр обновления Windows. Стоит настроить следующие политики:

* 8530 — сетевой порт, на котором по умолчанию слушает сервер WSUS. Уточнить его можно на стартовой странице консоли управления WSUS.

Ждем применения политик. Для ускорения процесса некоторые компьютеры можно перезагрузить вручную.

Настройка клиентов через реестр Windows

Как говорилось выше, мы можем вручную настроить компьютер на подключение к серверу обновлений WSUS.

Для этого запускаем редактор реестра и переходим по пути: HKEY_LOCAL_MACHINE\SOFTWARE\Polices\Microsoft\Windows\WindowsUpdate. Нам необходимо создать следующие ключи:

Теперь переходим в раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Polices\Microsoft\Windows\WindowsUpdate\AU. Если он отсутствует, создаем вручную. После нужно создать ключи:

  • AUOptions, REG_DWORD — значение 2
  • AutoInstallMinorUpdates, REG_DWORD — значение 0
  • NoAutoUpdate, REG_DWORD — значение 0
  • ScheduledInstallDay, REG_DWORD — значение 0
  • ScheduledInstallTime, REG_DWORD — значение 3
  • UseWUServer, REG_DWORD — значение 1

После перезагружаем компьютер. Чтобы форсировать запрос к серверу обновлений, на клиенте выполняем команду:

Автоматическая чистка WSUS

Как говорилось ранее, сервер WSUS очень требователен к дисковому пространству. Поэтому удаление устаревшей информации является критически важным этапом его администрирования.

Саму чистку можно сделать в панели управления сервером обновления в разделе Параметры - Мастер очистки сервера.

Также можно воспользоваться командлетом в Powershell Invoke-WsusServerCleanup — целиком команда будет такой:

Get-WSUSServer | Invoke-WsusServerCleanup -CleanupObsoleteComputers -CleanupObsoleteUpdates -CleanupUnneededContentFiles -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates

Для автоматизации чистки создаем скрипт с расширением .ps1 и создаем задачу в планировщике. Чистку стоит делать раз в неделю.

date

17.08.2011

directory

Windows 7

comments

комментариев 5

Как узнать какие обновления ОС Windows установлены на вашем ПК или сервере? Конечно, можно открыть «Панель управления->Установка/удаление программ», либо элемент Update History в Windows 7/2008 и просмотреть список установленных обновлений, однако с помощью графического интерфейса нельзя ни выгрузить этот список, ни осуществить поиск по нему. В таком случае, необходимо прибегнуть к помощи командной строки. С помощью следующей команды можно вывести подробный список всех обновлений, которые установлены на данной системе Windows:


Текстовый файл с именем updatelist.txt создастся в каталоге C:\Windows\System32\.

Если нужно узнать установлено ли конкретное обновление Windows на данной системе (например, KB2544521), можно воспользоваться командой find, перенаправив вывод в нее:


Как вы видите, обновление KB2544521 уже установлено.

Однако будьте внимательными, все эти команды отображают лишь установленные обновления и хотфиксы для самой ОС Windows, информации об обновлениях любых других продуктов Microsoft (таких как, UAG, Office, TMG, SQL или Exchange) здесь отсутствует. Для просмотра установленных обновлений на эти продукты, необходимо в меню пуск набрать: “View Installed Updates”, после чего откроется стандартное окно, доступное из панели управления.


Для поиска конкретного обновления можно в окне поиска (в правом верхнем углу) набрать KB и номер апдейта, однако поиск выполняется не очень корректно, поэтому иногда проще найти нужное обновление простым просмотром списка.

Также при установке обновлений не стоит забывать, что они требуют перезагрузки системы. В Windows 7 после установки обновлений она перезагружается автоматически, что достаточно неудобно. К счастью, можно отключить автоматическую перезагрузку Windows после установки обновлений.

Для просмотра обновлений и управления ими можно использовать консоль WSUS.

Просмотр обновлений

На странице обновления можно выполнить следующие действия.

Просмотр обновлений. В обзоре обновления отображаются обновления, которые были синхронизированы с источника обновлений на сервер WSUS и доступны для утверждения.

Фильтровать обновления. В представлении по умолчанию можно фильтровать обновления по состоянию утверждения и состоянию установки. Значение по умолчанию — для неутвержденных обновлений, необходимых некоторым клиентам или для которых произошел сбой установки на некоторых клиентах. Вы можете изменить это представление, изменив фильтры состояния утверждения и состояния установки, а затем нажав кнопку Обновить.

Создание новых представлений обновления. На панели действия выберите пункт новое представление обновлений. Можно отфильтровать обновления по классификации, продукту, группе, для которой они были утверждены, и дате синхронизации. Список можно отсортировать, щелкнув соответствующий заголовок столбца в заголовке окна.

Выполните поиск обновлений. Можно выполнить поиск отдельного обновления или набора обновлений по названию, описанию, статье базы знаний или номеру центра Microsoft Security Response Center для обновления.

Просмотр сведений, состояния и журнала редакций для каждого обновления.

Утвердите и отклоните обновления.

Просмотр обновлений

В консоли администрирования WSUS разверните узел обновления, а затем щелкните все обновления.

По умолчанию обновления отображаются с заголовком, классификацией, установленным/неприменимым процентом и состоянием утверждения. Если вы хотите отобразить другие или другие свойства обновления, щелкните правой кнопкой мыши заголовок столбца и выберите соответствующие столбцы.

Чтобы выполнить сортировку по различным критериям, таким как состояние загрузки, заголовок, классификация, Дата выпуска или состояние утверждения, щелкните соответствующий заголовок столбца.

Фильтрация списка обновлений, отображаемых на странице «обновления»

В консоли администрирования WSUS разверните узел обновленияи выберите пункт все обновления.

Создание нового представления обновлений на WSUS

В консоли администрирования WSUS разверните узел обновленияи выберите пункт все обновления.

На панели действия выберите пункт новое представление обновлений.

В окне Добавление представления обновлений в разделе Шаг 1. Выбор свойстввыберите свойства, необходимые для фильтрации представления обновлений.

Выберите обновления для определенной классификации, чтобы отфильтровать обновления, относящиеся к одной или нескольким классификациям обновлений.

Выберите обновления для конкретного продукта, чтобы отфильтровать обновления для одного или нескольких продуктов или семейств продуктов.

Выберите обновления утверждены для определенной группы, чтобы отфильтровать обновления, утвержденные для одной или нескольких групп компьютеров.

Выберите обновления, которые были синхронизированы в течение определенного периода времени для фильтрации обновлений, синхронизируемых в определенное время.

Выберите обновления обновления WSUS, чтобы отфильтровать обновления WSUS.

В разделе Шаг 2. изменение свойствщелкните подчеркнутые слова, чтобы выбрать нужные значения.

В разделе Шаг 3. Укажите имя, присвойте новому представлению имя.

Новое представление появится на панели древовидного представления в разделе обновления. Он будет отображаться, как стандартные представления, в центральной области при выборе.

Поиск обновления

Выберите узел обновления (или любой узел под ним).

На панели действия нажмите кнопку Поиск.

В окне поиска на вкладке обновления введите условия поиска. Можно использовать текст из полей номер статьи заголовок, Описаниеи База знаний Майкрософт (KB) . Каждый из этих элементов является свойством, указанным на вкладке сведения в свойствах обновления.

Просмотр свойств обновления

В консоли администрирования WSUS разверните узел обновленияи выберите пункт все обновления.

В списке обновлений щелкните обновление, которое требуется просмотреть.

В нижней области отобразятся различные разделы свойств:

В строке заголовка отображается заголовок обновления. например, обновление безопасности для проигрыватель Windows Media 9 (KB911565).

В разделе Состояние отображается состояние установки обновления (компьютеры, на которых он должен быть установлен, компьютеры, на которых он был установлен, а также компьютеры, на которых он был установлен или неприменим), и сведения об общей информации (KB и номер версии MSRC, Дата выпуска). и т. д.).

В разделе Описание приводится краткое описание обновления.

В разделе Дополнительные сведения отображаются следующие сведения.

Режим установки обновления (независимо от того, является ли он съемным, запрашивает перезагрузку, требует ввода данных пользователем или должен быть установлен исключительно).

Содержит ли обновление условия лицензионного соглашения на использование программного обеспечения корпорации Майкрософт

Продукты, к которым применяется обновление

Обновления, заменяющие это обновление

Обновления, заменяемые этим обновлением

Языки, поддерживаемые обновлением

Обратите внимание, что эту процедуру можно выполнить только для одного обновления за раз. Если выбрано несколько обновлений, на панели « Свойства » будет отображаться только первое обновление в списке.

Управление обновлениями с помощью WSUS

Обновления используются для обновления или предоставления полной замены файла для программного обеспечения, установленного на компьютере. Каждое обновление, доступное на Центр обновления Майкрософт, состоит из двух компонентов:

Метаданные: предоставляет сведения об обновлении. Например, метаданные предоставляют информацию о свойствах обновления, что позволяет узнать, для чего это обновление полезно. Метаданные также содержат условия лицензионного соглашения на использование программного обеспечения корпорации Майкрософт. Пакет метаданных, который скачивается для обновления, обычно значительно меньше пакета файла обновления.

Файлы обновления. фактические файлы, необходимые для установки обновления на компьютере.

Когда обновления синхронизируются на сервере WSUS, файлы метаданных и файлы обновлений хранятся в двух разных расположениях. Метаданные хранятся в базе данных WSUS. Файлы обновления могут храниться либо на сервере WSUS, либо на Центр обновления Майкрософт серверах в зависимости от того, как настроены параметры синхронизации. Если вы решили хранить файлы обновления на Центр обновления Майкрософт серверах, то во время синхронизации будут скачаны только метаданные. Вы утверждаете обновления с помощью консоли WSUS, а затем клиентские компьютеры получают файлы обновления непосредственно из Центр обновления Майкрософт во время установки. Дополнительные сведения о параметрах хранения обновлений см. в разделе 1,3. Выберите стратегию хранилища WSUS из шага 1. Подготовка к развертыванию WSUS в разделе Руководство по развертыванию WSUS.

Вы будете настраивать и выполнять синхронизацию, добавлять компьютеры и группы компьютеров, а также регулярно развертывать обновления. В следующем списке приведены примеры общих задач, которые можно предпринять при обновлении компьютеров с помощью WSUS.

Определите общий план управления обновлениями на основе топологии сети и пропускной способности, потребностей компании и организационной структуры.

Следует ли настраивать иерархию серверов WSUS и как должна быть структурирована иерархия.

Какие группы компьютеров следует создать и как назначать им компьютеры (на стороне сервера или на стороне клиента).

база данных, используемая для метаданных обновления (например, внутренняя база данных Windows, SQL Server).

Должны ли обновления синхронизироваться автоматически и в какое время.

Задайте параметры синхронизации, такие как источник обновления, классификация продукта и обновления, язык, параметры подключения, место хранения и расписание синхронизации.

Получайте обновления и связанные метаданные на сервере WSUS с помощью синхронизации из Центр обновления Майкрософт или вышестоящего сервера WSUS.

Утвердите или отклоните обновления. Имеется возможность разрешить пользователям устанавливать обновления (если они являются локальными администраторами на клиентских компьютерах).

Настройка автоматических утверждений. Вы также можете указать, следует ли включить автоматическое утверждение редакций для существующих обновлений или утвердить редакции вручную. Если вы решите утвердить редакции вручную, сервер WSUS продолжит использовать старую версию до тех пор, пока новая редакция не будет утверждена вручную.

Проверьте состояние обновлений. Вы можете просмотреть состояние обновления, напечатать отчет о состоянии или настроить электронную почту для обычных отчетов о состоянии.

Обновление продуктов и классификаций

Обновления, доступные на Центр обновления Майкрософт, отличаются по продуктам (или семейству продуктов) и классификации.

Продукт — это конкретный выпуск операционной системы или приложения, например Windows Server 2012. Семейство продуктов представляет собой базовую операционную систему или приложение, от которых происходят отдельные продукты. примером семейства продуктов является Microsoft Windows, из которого Windows Server 2012 является членом. Можно выбрать продукты или семейства продуктов, для которых сервер должен синхронизировать обновления. Можно указать семейство продуктов или отдельные продукты в семействе. При выборе любого продукта или семейства продуктов будут обновлены текущие и будущие версии продукта.

Классификации обновлений представляют тип обновления. для любого конкретного продукта или семейства продуктов обновления могут быть доступны в нескольких классификациях обновлений (например, Windows 7 критические обновления и обновления для системы безопасности). В следующей таблице перечислены классификации обновлений.

Классы обновлений Описание
Критические обновления Широко выпущенные исправления для конкретных проблем, устраняющих критические ошибки, не связанные с безопасностью.
Обновления определений Обновления для определений вирусов или других файлов определений.
Драйверы Программные компоненты, разработанные для поддержки нового оборудования.
пакеты дополнительных компонентов; Новые выпуски функций, которые обычно сводятся в продукты в следующем выпуске.
Обновление системы безопасности Широко выпускают исправления для конкретных продуктов, устраняя проблемы безопасности.
пакеты обновления; Совокупные наборы всех исправлений, обновлений для системы безопасности, критических обновлений и обновлений, созданных с момента выпуска продукта. Пакеты обновления могут также содержать ограниченное количество изменений или функций проекта, запрошенных клиентом.
Инструменты Служебные программы и функции, помогающие выполнить задачу или набор задач.
накопительные пакеты обновления; Накопительный набор исправлений, обновлений для системы безопасности, критических обновлений и других обновлений, Объединенных в пакет для простоты развертывания. сводный показатель обычно предназначен для определенной области, например безопасности, или конкретного компонента, например службы IIS (IIS).
Обновления Широко выпущенные исправления для конкретных проблем, устраняющих некритические ошибки, связанные с безопасностью.

Значки, используемые для обновлений в Windows Server Update Services

Обновления в службах WSUS представлены одним из следующих значков. Для просмотра этих значков необходимо включить столбец замены в консоли Update Services.

Нет значка

Обновление не имеет отношения замены с другим обновлением.

Рабочие проблемы:

Рабочие проблемы отсутствуют.

Значок замены


Это обновление заменяет другие обновления.

Рабочие проблемы:

Рабочие проблемы отсутствуют.

Значок замененного & замещающего значка


Это обновление заменено другим обновлением и заменяет другие обновления.

Рабочие проблемы:

При возможности замените эти обновления заменяемыми обновлениями.

Значок «Заменено»


Это обновление заменено другим обновлением.

Вы когда-нибудь задумывались, с помощью чего формируется список установленных обновлений Windows? А через какое API его достать? Ответы на эти и другие возникающие вопросы я постараюсь дать в своём небольшом исследовании.




Предыстория или с чего всё началось.

В нашей компании каждый год проходит конференция молодых специалистов, где каждый участник может решить проблему какого-либо отдела (список тем заранее предлагается).

Раньше на каждое «ТО» с помощью WSUS подтягивались все выпущенные обновления и распространялись на все машины. Также периодически выходили ТСБ (технические сервисные бюллетени), в которых указывалось, что требуется установить необходимые обновления в виде изолированных пакетов. В итоге у нас накапливаются обновления, которые в WSUS отследить нельзя, а можно было увидеть только через панель управления в разделе «Установленные обновления».

Наглядная схема обновления

Бывают ситуации, когда АРМ или сервер «падает» и приходится его восстанавливать из образа, созданного некоторое время назад. При восстановлении из образа есть вероятность того, что мы можем потерять нужные нам обновления (которые пришли в виде изолированных пакетов), которые устанавливались до падения машины. Объяснил максимально подробно насколько мог, потому что уточнения будут уже коммерческой тайной.

Как вы могли догадаться из названия статьи, уже на выборе метода получения списка у меня возникла непростая задача. Я, как обычно, решил поискать нужное в поисковике, задал вопросы на профильных ресурсах (раз, два, на английском stackoverflow почему-то не понравился мой вопрос и его пришлось удалить), но все ответы не давали нужного результата. Поэтому пришлось разбираться самому, о чем и пойдет речь далее.

Консольные команды

Начнем с простого и воспользуемся тем, что предлагает нам Windows без использования сторонних средств. Это можно сделать с помощью следующих команд:

  • wmic qfe list
  • systeminfo
  • dism /online /get-packages
  • через PowerShell:

  • Get-HotFix
  • Get-SilWindowsUpdate (доступно только в серверных редакциях)
  • Get-WmiObject -Class win32_quickfixengineering — через доступ к WMI классу win32_quickfixengineering (о WMI чуть позже)

Получить список через графический интерфейс можно через стандартный пункт Панели управления «Установка/удаление программ», но скопировать оттуда мы ничего не можем. Каждый инструмент панели управления представлен файлом .cpl в папке Windows\System. Файлы .cpl в системную папку Windows автоматически загружаются при запуске панели управления. За пункт Программы отвечает файл Appwiz.cpl. Его анализ ни к чему не привел.

Формально все методы получения списка обновлений можно разделить на две группы: локальные и сетевые.

Локальные и сетевые методы получения информации

Все методы проверялись на чистых образах систем (Windows 7, 8, Server 2012 R2) с интегрированными обновлениями, после каждого обновления через Центр обновления с официальных серверов Microsoft проводилась дополнительная проверка. Остановимся на каждом из них подробнее.


WUApi (Windows Update Agent API) — использование API агента обновления Windows. Самый явный вариант, название которого говорит само за себя. Использовать для этого будем библиотеку Wuapi.dll.
Примечание: далее для своего удобства все результаты я буду вставлять в List. Это, возможно, не рационально, но тогда мне это казалось хорошей идеей.

Есть и вторая вариация этого метода: Update Session — получение информации с помощью подключения к сессии обновления Windows Update Agent (в данном случае работаем не напрямую с библиотекой).

Microsoft подсказывает об удаленном использовании API.

Главный минусы этих двух методов — не позволяют найти исправления KB, которые не распространяются через Центр обновления Windows. Можно увидеть только то, что прошло через сам агент обновления, то есть данный вариант нас не устраивает.

Система обслуживания образов развертывания и управления ими (Deployment Image Servicing and Management) — это средство командной строки, которое может использоваться для обслуживания образа Windows или для подготовки образа среды предустановки Windows (Windows PE). Является заменой диспетчера пакетов (Pkgmgr.exe), PEimg и Intlcfg.

Данная утилита используется для интеграции обновлений, сервис паков в образ системы. Обновления Windows представляют собой отдельные модули, которые могут быть представлены в нескольких вариантах:

  • .cab-файлы (Cabinet) — архивы. Предназначены для распространения и установки при помощи модулей Центра обновлений Windows в автоматизированном режиме;
  • .msu-файлы (Microsoft Update Standalone Package) — исполняемые файлы. Предназначены для распространения и установки самими пользователями в ручном режиме через каталог обновлений Microsoft. Фактически представляют собой упакованный набор, состоящий из .cab-, .xml, .txt-файлов.

Количество обновлений совпадало с количеством из списка Панели управления до первого апдейта через центр управления — после него количество обновлений стало меньше (было 214, стало 209), хотя по логике они должны были увеличиться. Примеры вывода До обновления, После обновления.

С чем это связано я могу только предполагать — возможно, какие-то обновления замещали предыдущие, следовательно, и количество стало меньше.

Чуть позже я наткнулся на утилиту от китайцев DISM++, которая основана не на DISM API или DISM Core API, но имеющиеся в ней библиотеки не имеют нужных мне открытых методов, поэтому я забросил эту идею и продолжил поиски дальше.

Windows Server Update Services (WSUS) — сервер обновлений операционных систем и продуктов Microsoft. Сервер обновлений синхронизируется с сайтом Microsoft, скачивая обновления, которые могут быть распространены внутри корпоративной локальной сети. Опять же специальный инструмент, предназначенный для работы с обновлениями.

Распространяется только на серверных редакциях ОС Windows, поэтому был развернут следующий стенд:

  • основная система – Windows Server 2016;
  • а через систему виртуализации Hyper-V были развернуты две клиентские ОС:
    • Windows 8.1
    • Windows 7

    Чтобы не выделять раздел жесткого диска для новой системы я пользуюсь WinNTSetup и устанавливаю систему в VHD диски — загрузчик, начиная с Windows 7 (редакций Professional/Ultimate), прекрасно справляется с загрузкой с образа диска. Полученные таким образом диски можно спокойно использовать и в Hyper-V — убиваете сразу двоих зайцев. Не забудьте только сделать заранее копию хранилища BCD через команду bcdedit /export e:\bcd_backup.bcd.

    Настраивать AD для рассылки обновлений я не захотел, поэтому просто прописал в групповых политиках путь к WSUS серверу:

    Параметры настройки

    Обязательно уделите внимание на порт, я из-за опечатки (8350 вместо 8530) не мог получить обновления на клиентских машинах, хотя сделано было всё верно. Так же названия пунктов в групповых политиках на Windows 7 и Windows 8 различаются.

    Для получения отчета средствами WSUS необходимо дополнительно установить пакет — система уведомит вас об этом.

    Так как интернета нет, то ситуация с обновлениями выходит как на скриншоте ниже:


    Поведение похоже на WUApi — если обновления не прошли через них, то они не знают об этом. Поэтому данный метод снова не подходит.

    Windows Management Instrumentation (WMI) в дословном переводе — инструментарий управления Windows.

    WMI — реализованный корпорацией Майкрософт стандарт управления предприятием через Интернет для централизованного администрирования и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows. WMI является открытой унифицированной системой интерфейсов доступа к любым параметрам операционной системы, устройствам и приложениям, которые функционируют в ней.

    Данный метод позволяет получить данные как с локальной машины, так и удаленно в пределах локальной сети. Для обращения к объектам WMI используется специфический язык запросов WMI Query Language (WQL), который является одной из разновидностей SQL. Получать список мы будем через WMI класс win32_quickfixengineering.

    Количественно всё совпадает (даже после обновлений), поэтому было решено использовать этот метод. Для программного создания WMI запросов советую использовать следующую утилиту — WMI Delphi Code Creator. Благодаря ей я немного по другому взглянул на свой код и решил использовать заготовку из этой программы.

    Полученные данные методом WMI меня не остановили, и я решился на „поверхностный реверс-инжиниринг“. Воспользуемся утилитой Process Monitor из сборника программ Sysinternals Suite для выявления файлов и ветвей реестра, которые используются при вызове выше перечисленных консольных команд и обращению к пункту „Установленные обновления“ через Панель управления.

    Моё внимание привлек файл wuindex.xml, расположенный в папке C:\Windows\servicing\Packages\. Для его анализа была написана следующая программа:

    К сожалению, данный файл встречается не на всех системах и принцип его генерирования и обновления остался для меня загадкой. Поэтому снова данный метод нам не подходит.

    Вот мы подошли к тому, с чем связаны все эти методы. Продолжая анализ логов Process Monitor я выявил следующие папки и файлы.

    Файл DataStore.edb, расположенный в папке C:\Windows\SoftwareDistribution\DataStore. Это база данных, в которой содержится история всех обновлений установленной версии Windows, включая те обновления, которые только стоят в очереди.

    Для анализа файла DataStore.edb использовалась программа ESEDatabaseView. В БД существует таблица tbUpdates, содержимое которой трудно интерпретировать.

    Таблица tbUpdates в ESEDatabaseView

    После мое внимание привлек процесс TiWorker.exe, который вызывался каждый раз при открытии пункта в Панели управления. Он „ходил“ по многим папкам, одна из которых вывела меня на верный путь.

    C:\Windows\SoftwareDistribution — это папка, используемая службой обновления Windows для загрузки обновлений на компьютер с последующей их установкой, а также хранит сведения обо всех ранее установленных обновлениях.

    Папка WinSxS, расположенная по адресу C:\Windows\winsxs. Это служебная папка операционной системы Windows служащая для хранения ранее установленных версий системных компонентов. Благодаря ее наличию существует возможность отката к более старой версии обновления в случае необходимости.

    C:\Windows\servicing — основная составляющая всей системы, имя которой Component-Based Servicing (CBS).

    CBS — обслуживание на основе компонентов, составляющая Windows, интегрированная с службой Windows Update. В противоположность обслуживанию на основе файлов File-Based Servicing (FBS) (для ОС, предшествующих Windows Vista), в котором файлы обновлялись прямо в системных директориях, в CBS появилась целая иерархия директорий и целое семейство (стек) модулей/библиотек обслуживания.

    CbsApi.dll — основная библиотека поддержки технологии CBS. Не имеет открытых методов, поэтому напрямую использовать её я не смог. Microsoft использует TrustedInstaller.exe и TiWorker.exe для доступа к методам данной библиотеки и уже через эти процессы выводит нужные нам данные. ‪Записи ведутся в C:\Windows\Logs\CBS\CBS.log.

    Вывод

    Microsoft слишком усложнила тривиальную задачу по получению списка обновлений и сделала этот процесс не совсем явным. Всё это сделано для безопасности, но не для простоты использования. Соглашусь с автором статьи — в получении обновлений стали отсутствовать предсказуемость и прозрачность.

    В результате исследования была написана следующая программа, демонстрацию работы которой можно увидеть в данном видео:

    Иногда требуется проверить установленные в системе обновления. Конечно, можно просмотреть журнал обновлений, однако выискивать нужное обновление в длинном списке достаточно сложно и долго. Поэтому гораздо проще воспользоваться командной строкой, которая предоставляет для этого несколько способов.

    Быстрее и проще всего отыскать нужный апдейт с помощью утилиты командной строки wmic.exe. Так следующая команда выведет полный список установленных обновлений:

    А так мы найдем найдем нужное:

    wmic qfe list | find ″KB982018″

    wmic

    Get-WmiObject

    PowerShell также позволяет просмотреть установленные обновления. Сделать это можно с помощью командлета Get-WmiObject, например:

    Get-WmiObject -Class win32_quickfixengineering -Filter ″HotFixID=′KB982018′″ | fl HotFixID, InstalledOn, Description, Caption

    Get-WmiObject

    Как видите, команда несколько сложнее и требуется дополнительно отформатировать вывод, однако результат такой же, как и у утилиты wmic. Что неудивительно, так как в обоих случаях данные получаются путем обращения к WMI классу win32_quickfixengineering. Обратите внимание, что он содержит данные только об обновлениях операционной системы и ее компонентов. Получить информацию об обновлениях для других продуктов MS (Office, Exchange и т.п) таким образом не получится.

    Get-SilWindowsUpdate

    В Windows Server 2012 R2 имеется модуль SoftwareInventoryLogging, предназначенный для инвентаризации установленного ПО. В состав этого модуля входит командлет Get-SilWindowsUpdate, с помощью которого также можно посмотреть установленные обновления. Например:

    Get-SilWindowsUpdate -ID kb3149090

    Get-SolWindowsUpdate

    Этот командлет также использует WMI запрос к классу MsftSil_WindowsUpdate. Get-SilWindowsUpdate очень прост и удобен в использовании, но к сожалению доступен он далеко не везде. Модуль SoftwareInventoryLogging присутствует только в серверных ОС начиная с Windows Server 2012 R2 с установленным обновлением KB3000850.

    Microsoft Update Client Install History

    $session = New-Object -ComObject ″Microsoft.Update.Session″
    $searcher = $session.CreateUpdateSearcher()
    $hystorycount = $searcher.GetTotalHistoryCount()
    $searcher.QueryHistory(0,$HistoryCount) | where | fl Date,Title,Description,SupportUrl

    Microsoft Update Client Install History

    Способ (в отличие от предыдущих) достаточно громоздкий, однако позволяет найти информацию об всех обновлениях обновления (как самой ОС, так и доп. приложений). Таким образом можно найти обновления, которые были установлены с помощью системы автоматического обновления. Если обновления были загружены и установлены вручную (или с помощью каких либо пользовательских сценариев), то таким образом найти их не удастся.

    Читайте также: