Отключить обновления windows server 2008 r2

Обновлено: 04.07.2024

Доступно автоматическое обновление отозванных сертификатов для систем Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2 Это обновление расширяет существующую технологию автоматического обновления корневых сертификатов в Windows Vista и Windows 7, позволяющую явно помечать скомпрометированные или ненадежные сертификаты как недоверенные.

Список доверия сертификатов — это заданный список элементов, подписанных надежной организацией. Все элементы в списке проверяются и утверждаются надежной организацией. Это обновление расширяет существующую функциональность, добавляя известные недоверенные сертификаты в хранилище недоверенных сертификатов, используя список доверия сертификатов с их открытыми ключами или хэшами сигнатуры. После установки этого обновления пользователи могут быстро автоматически обновлять недоверенные сертификаты.

Пользователи автономных систем не смогут воспользоваться этим улучшением. Им по-прежнему потребуется устанавливать обновления корневых сертификатов при их выходе. См. раздел "Дополнительные сведения".

В рамках этого обновления изменены URL-адреса Центра обновления Windows для загрузки списков доверенных и недоверенных сертификатов. Это может вызвать проблемы на предприятиях, зафиксировавших эти адреса в исключениях брандмауэра.

К ним относятся:

Дополнительная информация

Пользователи автономных систем могут устанавливать это обновление, однако они не смогут использовать его преимущества. Фактически, установка этого обновления может привести к сбоям запусков служб сразу же после перезапуска сервера. В службах, выполняющих задачи подтверждения сертификатов, во время запуска может возникать увеличенная задержка при попытке получения по сети надежных и ненадежных списков доверия сертификатов из Центра обновления Windows.

Если ваши компьютеры работают под управлением Windows Vista, Windows 7, Windows Server 2008 или Windows Server 2008 R2 и на них используется средство автоматического обновления отозванных сертификатов (если установлено обновление из статьи базы знаний 2677070 или KB 2813430), дочитайте этот раздел и просмотрите статью базы знаний Майкрософт2813430 для получения подробных сведений. Пользователям не нужно ничего делать — защита этих компьютеров выполняется автоматически.

Если система не имеет доступа к Центру обновления Windows, так как она не подключена к Интернету, или правила брандмауэра блокируют Центр обновления Windows, то время ожидания получения по сети истечет, прежде чем служба сможет продолжить свою процедуру запуска. В некоторых случаях это время ожидания получения по сети может превышать время ожидания запуска службы в 30 секунд. Если после 30 секунд служба не может сообщить, что запуск завершен, то диспетчер служб (SCM) останавливает эту службу.

Если не удается избежать этого обновления в автономных системах, то можно отключить получение по сети надежных и ненадежных списков доверия сертификатов. Для этого отключите автоматическое обновление корневых сертификатов с помощью параметров групповой политики. Чтобы отключить автоматическое обновление корневых сертификатов с помощью параметров групповой политики, выполните следующие действия.

Создайте групповую политику или измените существующую в редакторе локальных групповых политик.

В редакторе локальных групповых политик дважды щелкните элемент Политики в узле Конфигурация компьютера.

Последовательно дважды щелкните элементы Конфигурация Windows, Параметры безопасности и Политики открытого ключа.

Дважды щелкните в области сведений элемент Параметры подтверждения пути сертификата.

Перейдите на вкладку Получение по сети, установите флажок Определить следующие параметры политики и снимите флажок Автоматически обновлять сертификаты в программе корневых сертификатов Microsoft (рекомендуется).

После внесения данного изменения автоматическое обновление корневых сертификатов будет отключено в тех системах, к которым применяется эта политика. Рекомендуется применять эту политику только к тем системам, которые не имеют доступа к Интернету или которым правила брандмауэра запрещают доступ к Центру обновления Windows.

Если автоматическое обновление корневых сертификатов отключено, то администраторы должны вручную управлять корневыми сертификатами, которым доверяет Windows. Доверенные корневые сертификаты можно распространять на компьютеры под управлением Windows с помощью групповой политики. Дополнительные сведения об управлении корневыми сертификатами, которым доверяет Windows, см. на следующем веб-сайте Майкрософт:

Общие сведения о списках доверия сертификатовДополнительные сведения о программе корневых сертификатов в Windows см. в следующей статье базы знаний Майкрософт:

931125
Участники программы корневых сертификатов Windows

Сведения о замещении обновления

Это обновление пришло на смену следующему обновлению:

2603469 Резервное копирование состояния системы не содержит закрытых ключей центра сертификации в Windows Server 2008 или Windows Server 2008 R2

Сведения о скачивании

Указанные ниже файлы можно скачать с веб-сайта Центра загрузки Майкрософт.

Настройка автоматических обновлений

Управляя автоматическим обновлением при помощи групповой политики, вы выбираете одну из следующих конфигураций:

• Автоматическая загрузка и установка по расписанию (Auto Download And Schedule The Install) Обновления загружаются автоматически и устанавливаются согласно заданному вами расписанию. Когда обновление загружено, ОС уведомляет пользователя о том, какие обновления будут установлены по расписанию. При этом пользователь может установить обновления немедленно или дождаться назначенного времени.

• Локальный администратор может менять параметры (Allow Local Admin То Choose Setting) Параметры автоматического обновления настраиваются на каждом компьютере в отдельности локальным администратором. При любом другом параметре у локальных пользователей и администраторов нет нрава изменять параметры автоматического обновления.

Чтобы настроить автоматические обновления при помощи групповой политики, выполните следующие действия:

1. В GPMC щелкните правой кнопкой нужный GPO и выберите Изменить (Edit).

2. В редакторе политики раскройте узел Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Обновления Windows (Computer Configuration\Administrative Templates\Windows Components\Windows Update).

3. Щелкните дважды политику Настройка автоматического обновления (Configure Automatic Updates). Чтобы включить управление автоматическим обновлением при помощи групповой политики, установите переключатель Включен (Enabled). Чтобы отключить его, установите переключатель Выключен (Disabled), щелкните ОК и пропустите остальные шаги.

4. Выберите нужный способ обновления в списке Настройка автоматического обновления (Configure Automatic Update).

5. Если вы выбрали вариант Автоматическая загрузка и установка по расписанию (Auto Download And Schedule The Install), здесь же задайте расписание. Щелкните ОК, чтобы сохранить изменения.

Оптимизация автоматических обновлений

Как правило, большинство автоматических обновлений устанавливается при перезапуске компьютера. Некоторые обновления можно устанавливать немедленно, не прерывая работу системных служб и не требуя перезагрузки системы. Чтобы разрешить немедленную установку некоторых обновлений, выполните следующие действия:

1. В GPMC щелкните правой кнопкой нужный GPO и выберите Изменить (Edit).

2. В редакторе политики раскройте узел Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Центр обновления Windows (Computer Configuration\Administrative Templates\Windows Components\Windows Update).

3. Щелкните дважды политику Разрешить немедленную установку автоматических обновлений (Allow Automatic Updates Immediate Installation). В диалоговом окне свойств политики установите переключатель Включен (Enabled) и щелкните ОК.

По умолчанию уведомления об обновлениях посылаются только пользователям с административными полномочиями. Чтобы рассылать их всем пользователям, зарегистрировавшимся на компьютере, выполните следующие действия:

1. В GPMC щелкните правой кнопкой нужный GPO и выберите Изменить (Edit).

2. В редакторе политики раскройте узел Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Обновления Windows (Computer Configuration\Administrative Templates\Windows Components\Windows Update).

3. Щелкните дважды политику Разрешать пользователям, не являющимся администраторами, получать уведомления об обновлениях (Allow Non-Administrators То Receive Update Notifications). В диалоговом окне свойств политики установите переключатель Включен (Enabled) и щелкните ОК.

При настройке автоматических обновлений полезны также следующие политики:

• Автоматическое обновление Windows (Windows Automatic Updates) При каждом подключении пользователя к Интернету Windows производит поиск доступных обновлений. Чтобы отказаться от поиска, включите эту политику. Она расположена в узле Конфигурация пользователя\Административные шаблоны\Система (User Configuration\Administrative Templates\System).

• Отключить автоматическое обновление ADM-файлов (Turn Off Automatic Update Of ADM Files) В процессе автоматического обновления может произойти изменение групповой политики. Как правило, это выражается в установке новых политик, доступ к которым открывается при очередном запуске редактора политик. Если вы не хотите, чтобы групповая политика обновлялась в процессе автоматического обновления, включите эту политику. Она расположена в узле Конфигурация пользователя\Административные шаблоны\Система\Групповая политика (User Configuration\Administrative Templates\System\Group Policy). Параметры этой политики игнорируются, если вы включили политику Всегда использовать локальные файлы ADM для редактора объектов групповой политики (Always Use Local ADM Files For The Group Policy Object Editor).

• Запретить использование любых средств Центра обновления Windows (Remove Access То Use АН Windows Update Features) Закрывает доступ ко всем функциям системы обновления Windows. Если эта политика включена, все эти функции удаляются, и настроить их нельзя. В их число входят команды Центр обновления Windows (Windows Update) из меню Пуск (Start) и меню Internet Explorer Сервис (Tools), а также функция обновления драйверов в Диспетчере устройств (Device Manager). Эта политика расположена в узле Конфигурация пользователя\Административные шаблоны\Компоненты Windows\Обновления Windows (User Configuretion\Administrative Templates\Windows Components\Windows Update).

Обновление в интрасети

В сетях с сотнями и тысячами компьютеров автоматическое обновление может занимать существенную долю полосы пропускания, и, разумеется, нет никакого смысла проверять обновления и загружать их индивидуально на каждом компьютере. Помочь вам призвана политика Указать размещение службы обновлений Майкрософт в интрасети (Specify Intranet Microsoft Update Service Location), которая указывает отдельным компьютерам проверять наличие обновлений на заданном внутреннем сервере.

К серверу обновлений предъявляются следующие требования: на нем должны быть запущены службы WSUS (Windows Server Update Services), он должен быть настроен как веб-сервер, работающий под управлением Microsoft Internet Information Services (IIS), и ему необходима мощность, достаточная для обработки дополнительной нагрузки, которая в больших сетях при пиковой загруженности может быть весьма значительной. Кроме того, серверу обновлений необходим доступ к внешней сети по порту 80. Проследите, чтобы ни брандмауэр, ни прокси-сервер не препятствовали работе по этому порту.

В процессе обновления отслеживается информация о конфигурации и статистике по каждому компьютеру. Эта информация необходима для нормального обновления. Она может храниться как на специальном сервере статистики (внутреннем IIS-сервере) , так и на самом сервере обновлений.

Чтобы настроить использование внутреннего сервера обновлений, выполните следующие действия:

1. Установив и настроив сервер обновлений, откройте для редактирования GPO, с которым будете работать. В редакторе политики раскройте узел Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Обновления Windows (Computer Configuration\ Administrative Templates\Windows Components\Windows Update).

2. Щелкните дважды политику Указать размещение службы обновлений Майкрософт в интрасети (Specify Intranet Microsoft Update Service Location). В диалоговом окне свойств установите переключатель Включен (Enabled).

4. Введите URL сервера статистики в поле Укажите сервер статистики в интрасети (Set The Intranet Statistics Server). Здесь можно указать тот же самый адрес.

5. Щелкните ОК. После обновления соответствующего GPO системы, работающие под управлением ОС Windows 2000 Service Pack 3 или более поздней версии, Windows ХР Service Pack 1 или более поздней версии, Windows Server 2003, Windows Vista и Windows Server 2008 будут в поисках обновлений связываться с внутренним сервером обновлений. Несколько первых дней или даже недель особенно внимательно следите за серверами обновлений и статистики, чтобы убедиться в их корректной работе.

date

25.03.2019

directory

Windows 10, Windows 7, Windows Server 2012 R2, Windows Server 2016

comments

комментария 4

На моей практике уже не раз случалось, что свежие обновления безопасности для продуктов Microsoft, выпускаемые в рамках MS Patch Tuesday, вызывают проблемы в работе операционной системы Windows или стороннего ПО. Проблемы, вызываемые обновлениями, бывают как массовыми, встречающимися у большого количества пользователей, так и частными – встречающимися в редких сочетания определённой версии Windows ОС и некоторых приложений (яркий такой пример проблемы описан здесь).

Если обновление Windows (или Office) вызывает проблему на компьютерах многих пользователей, и это подтверждается специалистами Microsoft, обновление отзывается компанией и через некоторое время заменяется новым, в котором исправляются найденные ошибки. Если обновление Windows вызывает проблемы, пользователь или администратора может самостоятельно удалить уже установленные обновления безопасности.

В этой статье мы рассмотрим, как правильно удалить обновления в ОС Windows (статья относится к Windows 10, 8.1, 7 и Windows Server 2016, 2012/R2, 2008/R2). Данные способы удаления обновлений можно использовать, если вы установили обновление вручную из CAB или MSU файла, автоматически получили его из Интернета с серверов Windows Update или своего сервера WSUS.

Вы можете удалить обновления в Windows (Windows Server) несколькими способами:

Внимание. Возможность удаления обновлений – это, в первую очередь, временное решение, к которому можно прибегнуть, чтобы, во-первых, быстро восстановить работоспособность системы или ПО, а во-вторых подтвердить факт, что проблема вызвана именно установкой нового обновления безопасности. О найденной проблеме рекомендуется сообщить в техподдержку Microsoft и дождаться появления новой версии обновлений. Ни в коем случае нельзя отключать автоматическое обновление системы, удалять обновления из соображений улучшения работы системы или освобождения места на диске (тем более в новых версиях Windows появился мастер очистки устаревших обновлений, позволяющий удалить старые версии обновленных файлов). В противном случае вы подвергаете серьезному риску безопасность своего компьютера!

Удаляем обновление Windows вручную через Панель управления

Рассмотрим, как удаляются обновления на примере Windows 10. Откройте меню Параметры (Settings) и перейдите в раздел Обновления и Безопасность (Update & Security) -> Центр обновления Windows (Windows update)-> Просмотр журнала обновлений (View Update History) -> Удалить обновления (Uninstall updates).

Просмотр журнала обновлений в windows 10

Также вы можете перейди в окно удаления обновлений через классическую Панель управления: Панель управления -> Программы -> Удаление программ (Control Panel\Programs\Programs and Features) и нажмите на кнопку “Просмотр установленных обновлений” (View installed updates).

Просмотр установленных обновлений в windows 10

В открывшемся окне появится список всех обновлений Windows и Office, установленных в системе. Найдите в списке нужное обновление (а если быть более точным, ненужное 🙂 ), выделите его, нажмите кнопку Удалить (Uninstall). Запуститься мастер удаления обновления.

Удаление установленного обновления через Панель Управления Windows

шт

На вопрос: “вы действительно хотите удалить это обновление?” ответьте Да..

Дождитесь окончания удаления обновления. После завершения сценария удаления обновления, Windows может запросить перезагрузку системы.

Как заблокировать (скрыть) конкретное обновление в Windows 10?

WUSA.exe: Удаление обновлений Windows из командной строки

Обновления Windows можно удалить также и из командной строки. Для этих целей в системе предусмотрена утилита wusa.exe (Windows Update Standalone Installer – автономный установщик обновлений Windows).

Вы можете вывести список всех обновлений, установленных на компьютере, командой:

wmic qfe list brief /format:table

wmic qfe list brief команда для вывод всех установленных обновлений Windows на компьютереvyvesti-spisok-obnovleniy

С помощью следующей команды, запущенной с правами администратора, мы удалим обновление KB2790655:
wusa.exe /uninstall /kb:2693643
Пользователь должен подтвердить удаление обновления.

wusa.exe удаление обновлений windows из командной строки

Если обновление нужно удалить в «тихом» режиме без запроса пользователя и предупредить его о последующей перезагрузке системы, команда будет выглядеть так:

wusa.exe /quiet /uninstall /kb:2693643 /promptrestart

Если нужно подавить запрос на перезагрузку, используйте команду:

wusa.exe /quiet /uninstall /kb:2693643 /norestart

Также вы можете удалить обновление из PowerShell с помощью модуля PSWindowsUpdate. Используется командлет Remove-WindowsUpdate формат команды:

Remove-WindowsUpdate -KBArticleID KB2693643 -NoRestart

Событие удаление обновления Windows фиксируется в системном журнале Setup EventID 7 и источником WUSA:

Событие от wusa с event id 7

Вы можете удалить обновление на удаленном компьютере с помощью PsExec, используется такой формат команды:

psexec.exe \\remotePK C:\Windows\System32\wusa.exe /quiet /uninstall /kb:2693643/warnrestart:600

Удаление обновлений на всех компьютерах домена через WSUS

wsus поиск обновлений

Если в вашей комании для установки обновлений на компьютеры домена используется корпоративный сервер WSUS, вы моежет удалить установленные одобренные обновления из консоли управления службы обновлений Update Services. Для этого щелкните ПКМ по ветке Updates и в меню выберите Search.

Укажите номер KB или бюллетеня безопасности, который требуется найти и нажмите Find Now. В списке, содержащем найденные обновления для разных версий Windows, выделите обновления, которые требуется удалить и выберите в меню пункт Approve.

Затем выберите группу компьютеров, которая вас интересует и в выпадающем списке выберите пункт Approved for Removal.

WSUS - одобрить обновление к удалению

Удаление обновлений через WSUS

В нашем примере мы хотим удалить обновления на группе компьютеров, с именем Servers.

После процедуры обновления Windows на стороне клиентов WSUS (которая происходит по расписанию в соответствии с политикам WSUS и частотой синхронизации, которая задается параметром Automatic Update detection frequency, либо вы можете запустить цикл синхронизации вручную, набрав wuauclt /detectnow) в панели Windows Update соответствующее обновление появится с префиксом (Uninstall🙂 в названии.

Выберите обновление Windows которое нужно удалить

После удаления обновления в журнале Windows Update History появится запись об этом событии.

Журнал устоновки/удаления обновление безопасности Windows

Удаление обновлений на компьютерах домена с помощью политик GPO

Если вам нужно удалить определенное обновление на множестве компьютеров в домене Active Directory, в котором не используется WSUS, можно воспользоваться функционалом Startup/Shutdown скриптом групповых политик (GPO).

Для этого создайте новый объект GPO, нацеленный на нужную OU / сайт (пример таргетирования групповых политик на сайты AD описан здесь)/ или группу компьютеров. А затем в разделе Computer Configuration -> Policies -> Windows Settings -> Scripts (Startup/Shutdown) создайте новый скрипт с командой wusa из предыдущего раздела.

Удаление обновление с помощью GPO (групповых политик)

Также вы можете использовать PowerShell логон скрипты для удаления обновлений.

Как удалить обновление, если Windows не грузится?

Итак, мы рассмотрели самые распространенные сценарии удаления обновлений на компьютерах под управлением Windows.

Я пытаюсь отключить раздражающий запрос на перезагрузку, который появляется после установки обновлений. Максимум, что я могу отложить на 4 часа.

Я попытался отключить "re-prompt для перезагрузки с запланированными установками "и включить" No auto-restart [. ] для запланированной автоматической установки обновления" в политике компьютера - > Конфигурация компьютера - > Административные шаблоны - > Компоненты Windows - > Центр обновления Windows в gpedit.msc, безрезультатно.

Я посмотрел на различные руководства, и ничего, кажется, не работает.

Я хочу автоматического обновления, и у меня есть он установлен, чтобы уведомить меня немедленно, и позвольте мне выбрать, что скачать и установить. Я просто не хочу, чтобы этот экран придира, чтобы постоянно, по разным причинам.

пожалуйста, не отвечайте лекцией о том, почему я должен перезапустить автоматически, так как ваши предположения могут быть недействительными.

чтобы остановить эту службу, откройте команду Запрос (Пуск>Выполнить>cmd>ввод) и введите следующая команда sc stop wuauserv . Это не помешает Автоматические обновления на следующая загрузка. Так что не волнуйся, ты останешься получать обновления Windows. Только не надо забудьте перезагрузить в конце концов.

Пуск / Выполнить / gpedit.msc/ Local Computer Policy / Computer Configuration / Administrative Templates / Windows Components / Windows Update / и отключить Re-prompt for restart with scheduled installations .

Если вы хотите избавиться от Windows Уведомление об обновлении, то здесь WindowsUpdateSilencer полезный инструмент который работает в фоновом режиме и будет автоматически замолчать все окна уведомление об обновлениях.

(Я никогда не использовал эту программу и не могу ручаться за нее, особенно на сервере 2008.)

по данным здесь правильная конфигурация для Enable следующий вариант:

Нажмите Пуск - > Выполнить

перейти к политике локального компьютера - > Конфигурация компьютера - > Административные Шаблоны - > Компоненты Windows - > Центр Обновления Windows

дважды щелкните "нет автоматического перезапуска для запланированного автоматического Обновление установка"

по мере того как свое описание ясно соотвествует цели:

Читайте также: