V této příručce ukážeme, jak integrovat nové balíčky aktualizace systému do offline offline obrazu systému Windows 10 / Windows 8.1 pomocí zabudovaných systémových nástrojů. Podobně můžete do distribuce Windows Server 2012 R2 / 2016 přidat nejnovější aktualizace zabezpečení..
V tomto příkladu ukážeme proces přidání nejnovějších kumulativních aktualizací zabezpečení (prosinec 2018) do instalačního obrazu systému Windows 10 1803. Potřebujeme tedy:
- Obraz instalace systému Windows 10 ve formátu ISO nebo jeho soubor WIM;
- Aktualizace ve formátu .msu, které je třeba stáhnout z aktualizačního serveru společnosti Microsoft (jak ručně stáhnout aktualizační soubory msu).
Vytvořte v počítači následující strukturu adresářů:
- C: \ aktualizace\ mnt - složka, do které chcete připojit soubor install.wim s bitovou kopií instalace systému Windows;
- C: \ aktualizace\ msu - Adresář, do kterého chcete umístit aktualizace pro vaši verzi systému Windows ve formátu MSU (v tomto příkladu jsme stáhli 2 aktualizace zabezpečení pro Windows 10 1803, vydané v prosinci 2018 v rámci Patch Tuesday - KB4471331 a KB4471324);
- C: \ aktualizace\ Win10Image \ - v tomto adresáři musíte zkopírovat soubor install.wim z instalačního obrazu systému Windows 10. V tomto příkladu jsme do něj připojili a rozbalili obsah iso obrazu původní distribuce Windows10x64-1803.iso. Může se však jednat také o soubor wim z virtuálního počítače, jeho šablonu, obrázek WDS nebo obrázek uložený v jiném systému automatického nasazení operačního systému (například SCCM) atd. Pokud váš obraz Windows 10 ISO obsahuje pouze soubor c: \ sources \ install.esd, můžete soubor ESD převést na WIM pomocí obslužného programu DISM:
dism / export-image /SourceImageFile:"C:\updates\Win10Image\install.esd "/ SourceIndex: 4 /DestinationImageFile:C:\updates\Win10Image\win10pro.wim / Compress: max / CheckIntegrity
Připojte soubor s instalačním bitem Windows 10 (install.wim) do adresáře C: \ updates \ mnt spuštěním příkazu na příkazovém řádku s právy správce:
dism / mount-wim /wimfile:C:\updates\Win10Image\install.wim / index: 1 / mountdir: C: \ updates \ mnt
DISM / Get-WimInfo /WimFile:C:\updates\Win10\install.wim
V našem příkladu obrázek obsahuje pouze jednu edici OS - verzi systému Windows 10 Pro s indexem 1, takže v příkazu určíme install.wim / index: 1.
Nyní můžete zahájit proces integrace příslušných aktualizací MSU umístěných v zadaném adresáři do bitové kopie systému Windows.
dism / image: C: \ updates \ mnt / add-package / packagepath: C: \ updates \ msu
Pokud systém zjistí nevhodnou aktualizaci (verze operačního systému se neshoduje, bitová hloubka nebo pokud je aktualizace již nainstalována), bude přeskočena a odpovídající informace budou zapsány do protokolu C: \ Windows \ Logs \ DISM \ dism.log..
Chcete-li zmenšit velikost obrázku odstraněním souborů nepoužitých aktualizací (viz článek o čištění složky WinSxS), spusťte příkaz:
dism / image: C: \ updates \ mnt / Cleanup-Image / StartComponentCleanup / ResetBase / ScratchDir: C: \ Temp
Pokud již máte počítač s podobnou verzí systému Windows 10, na kterém jsou již nainstalovány nejnovější aktualizace zabezpečení, můžete z něj získat všechny potřebné aktualizační soubory přímo. V tomto případě není nutné ručně vybírat a stahovat soubory aktualizace MSU z katalogu aktualizací Microsoft na internetu. Faktem je, že Windows ukládá všechny soubory aktualizace kabiny přijaté ze serverů Windows Update nebo WSUS do adresáře C: \ Windows \ SoftwareDistribution \ Download..
Připojte obraz instalace Wim systému Windows, který chcete upgradovat:
dism / mount-wim /wimfile:C:\updates\Win10\install.wim / index: 1 / mountdir: C: \ updates \ mnt
Pomocí následujícího příkazu spustíte integraci do obrazu install.wim aktualizačních souborů, které jsou již staženy a nainstalovány na jiném počítači prostřednictvím místní sítě:
Spusťte / w pro / R \\ Win10x64Patched \ C $ \ Windows \ SoftwareDistribution \ Download \% f in (* .cab) do dis / image: C: \ updates \ mnt / add-package / packagepath: ”% f”
V tomto příkladu Vyhrajte10x64patched - název počítače, na kterém jsou již nainstalovány potřebné aktualizace (verze operačního systému a bitová hloubka se musí shodovat). Tento počítač byl přirozeně přístupný prostřednictvím sítě a váš účet musí mít k němu práva správce. V důsledku spuštění příkazu se otevře nové okno, ve kterém můžete sledovat proces instalace aktualizací offline obrazu Windows. DISM se pokusí přidat každý soubor CAB nalezený ve vzdáleném počítači do bitové kopie Windows WIM.
Pokud při integraci aktualizací do bitové kopie systému Windows dojde k chybě: „Chyba 0xc0000135 Došlo k chybě při pokusu o zahájení procesu údržby obrazu umístěného na C: \ Update \ mount. Další informace naleznete v souboru protokolu. “, Ujistěte se, že používáte nejnovější verzi DISM (například se pokoušíte změnit obrázek Windows Server 2016 z Windows 8.1. Nainstalujte nejnovější dostupnou verzi Windows Assessment and Deployment Kit (Windows) ADK) pro váš operační systém a spusťte DISM přímo z adresáře C: \ Program Files (x86) \ Windows Kits \ 10 \ Assessment and Deployment Kit \ Deployment Tools \ amd64 \ DISM.A posledním krokem je uložení změn a odpojení připojeného obrazu.
dism / unmount-wim / mountdir: C: \ updates \ mnt / commit
demontáž / vyčištění
Zbývá zkopírovat výsledný obraz v souboru install.wim do zdrojového adresáře / virtuálního počítače nebo znovu vytvořit obraz iso instalace, například pomocí oscdimg), UltraISO nebo Dism++.
Pokud je velikost získaného souboru install.wim větší než 4 GB při instalaci obrazu Windows UEFI do systému, může dojít k chybě „Windows nemůže otevřít požadovaný soubor D: \ sources \ install.wim. Kód chyby: 0x8007000D“. V takovém případě musíte pomocí příkazu rozdělit původní soubor install.wim na menší soubory
dism / split-Image /imagefile:C:\Update\Win10Image\install.wim /swmfile:C:\Update\Win10Image\install.swm / fileize: 4096
(viz články Vytvoření spouštěcí jednotky USB Flash pro UEFI v systému Windows 7 a Windows Server 2016).
Poté lze původní soubor install.wim odstranit.
DISM také umožňuje ovládat instalaci ovladačů v obraze. Dříve jsme zkoumali, jak integrovat ovladače do instalačního obrazu systému Windows pomocí nástroje DISM nebo PowerShell cmdlet Add-WindowsDriver pomocí příkladu systému Windows 10 / 8.1 / Windows Server 2012 R2 / 2016 nebo Windows 7 (integrace ovladače USB3 do distribuce Win7).Nyní můžete distribuci používat s nejnovějšími integrovanými aktualizacemi zabezpečení k instalaci do počítačů v síti. Pravidelnou integrací nejnovějších aktualizací zabezpečení do bitové kopie systému Windows nasazenou na nových počítačích zvýšíte úroveň ochrany vaší infrastruktury před nejnovějšími zranitelnostmi a snížíte riziko infekce nových počítačů, dokud nezačnou aktualizovat z WSUS.