我们有一个脚本拒绝为我们的本地 Windows 更新服务器更新KB890830,但我们最近发现有人在脚本运行之前批准了每月更新之一,并且恶意软件删除工具 (MRT) 已安装在我们所有的服务器上。
我们过去曾遇到过 MRT 问题并希望将其删除,但现在脚本拒绝了更新,我们在该View installed updates部分下找不到任何内容来删除它。我们也尝试运行,wusa.exe /uninstall /KB:890830但它返回了错误:
此计算机上未安装更新 KB890830。
按照C:\Windows\debug\mrt.log,C:\Windows\System32\MRT.exe被在控制面板的操作中心部分中定义的“自动维护”窗口期间每天运行。所以它肯定被安装并每天运行。
我尝试使用SysInternals AutoRuns并查看计划任务,但无法找到它的启动位置。
我们如何禁用或卸载 Windows 服务器上的恶意软件删除工具以防止其运行?
为了将其放入更多生产箱,我正在测试 Windows 2016 更新行为。我sconfig在“Windows 更新设置”中选择了“DownloadOnly”,并将“活动时间”配置为 07:00 到 19:00。
据我了解,此设置应按以下方式工作:
主要问题:上述理解是否正确?
我问是因为在 Windows 2016 域控制器上进行测试并手动安装更新时,即使通知显示“您的设备计划在活动时间以外重启(活动时间为 07:00 到 19:00)”,重启也永远不会发生。
我注意到在 Task Manager\Library\Windows\Windows Update 中,musnotification.exe RebootDialog创建了一个 Reboot Task launching以在 19:20 运行,并且每 30/60 分钟运行一次。
第二个问题:默认情况下,当有登录的远程桌面用户时,Windows 2016 的行为如何?它通知吗?它重新启动吗?如果会话处于断开连接状态怎么办?
注意:我知道政策No auto-restart with logged on users for scheduled automatic updates installations,但是:
仅当配置自动更新策略配置为执行更新的计划安装时,此策略才适用。
当然,我完全理解服务器应该只在适当的时候打补丁和重启。但是,我真的很想了解当前(Win2016)更新行为背后的逻辑。我强烈觉得我错过了一些东西,因为这应该是一项基本的维护任务。
我已经阅读了这些信息,但我真的很想听听一些第一手的 Windows 系统管理员经验。
我在具有多种硬件的环境中工作,因此我们通常使用自动安装和组策略而不是驱动器映像来部署 Windows 7。我们总是需要手动执行的一个步骤是打开 Windows Update 并告诉它升级到 Microsoft更新。如何自动部署 Microsoft Update?
我已经搜索了一段时间,但还没有找到关于 Windows 更新如何与 Server Core 2012 一起工作的问题的答案。我有几个域控制器,我刚刚上线并决定将它们更改为服务器核心。我发现的两件事是使用sconfig但在使用时收到以下错误消息
?Microsoft (R) Windows Script Host Version 5.8
Copyright (C) Microsoft Corporation. All rights reserved.
Inspecting system...
===============================================================================
Server Configuration
===============================================================================
1) Domain/Workgroup: Domain: mydomain
2) Computer Name: mydc
3) Add Local Administrator
4) Configure Remote Management Enabled
5) Windows Update Settings: Automatic
6) Download and Install Updates
7) Remote Desktop: Disabled
8) Network Settings
9) Date and Time
10) Help improve the product with CEIP Not participating
11) Windows Activation
12) …有没有办法在每次 Windows 更新完成时运行特定的脚本(即,在重新启动之后或在不需要重新启动的更新之后)?
我的应用程序受到MSCOMCTL.OCX 更新的影响,似乎每次 Windows 更新更新时,用户都需要应用我的修复脚本。
编辑:对于 Windows 7 及更高版本。
我正在尝试通过 Chocolatey 在服务器上安装powershell 4.0。它失败了:
[错误] [错误] 使用 C:\Users\jdearing\AppData\Local\Temp\chocolatey\Powershell4\Powershell4Install.msu /quiet /norestart /log:"C:\Chocolatey\lib\powershell4.4.0. 0.20131204\tools\PowerShell.v4.Install.log”未成功。退出代码是“5”。
我在应用程序日志中什么也没得到,而且该日志似乎是二进制数据。我找不到 wusa.exe 的返回码列表。
此问题与 Windows 更新在最后一个会话注销 Server 2003 时强制重新启动有关。已安装更新并且重新启动未决。显然,如果最后一个会话在白天被注销,这是有问题的。服务器受网络范围的 GPO 约束。有什么办法可以防止这种行为吗?
我已经阅读了很多关于这个问题的文章,但大多数建议修改一个不可用的设置,即“计划的自动更新安装不自动重启”。我的设置是:“对于预定的自动更新安装,登录用户不自动重启”,这显然不是我想要的。
据我所知,这种行为是无法解决的。我也许可以从网络范围的 GP 中删除服务器,然后手动处理更新(不需要)或为服务器创建 GPO 并使用选项 3 下载但不安装更新,这又是不理想的。我对自动安装方面感到满意,但希望能够防止上述重启行为并让它在设定的时间重启。
当微软拉取坏补丁时,WSUS 是自动拉取补丁还是我们需要手动拉取?
如果我们必须手动完成,我们如何保持在坏补丁之上?
我们更改了 webfilter 的一些策略,现在我们看到一些客户端正在尝试访问ctldl.windowsupdate.com但被阻止。
由于我们使用的是 WSUS 服务器,我的印象是这是计算机寻找更新的唯一地方。
客户端 pc 应该能够访问 ctldl.windowsupdate.com 吗?
Microsoft 似乎在 Server 2016 中删除了此注册表项。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install
有谁知道具有上次 Windows 更新安装成功日期/时间的等效注册表项?或者也许是查询这个值的不同方法?
我花了几个小时谷歌搜索,但一无所获。我能找到的最近的注册表项是:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
但是,它没有上次成功安装日期/时间的密钥。
windows-update ×10
wsus ×4
windows ×2
windows-7 ×2
automation ×1
deployment ×1
scripting ×1
uninstall ×1
update ×1