Лайвлупинг, медиапродакшн и все эти ваши компьютеры: заметки с тегом WSUS

Битва двух якодзун, или KB4484305 против KB5002653

Sun, 01 Dec 2024 21:15:41 +0300

В ноябрьской пачке обновлений Microsoft выпустили исправление KB5002653, закрывающее серьёзные уязвимости в Excel. К сожалению, спустя несколько дней оказалось, что по ходу нанесения пользы обновление немножко сильно закручивает гайки, и в части запуска надстроек экселю срывает резьбу, отчего надстройки стартовать перестают.

Достаточно оперативно выпустили патч на патч под номером KB4484305, однако он не поддерживает централизованное распространение через WSUS, его надо запускать на хосте руками с админ правами и ещё подтверждать с лицензионное соглашение галочкой в интерфейсе. В интернетах информации о способе патчить с его помощью автоматически — нет, одни стенания и печаль.

Итак, откатывать проблемное обновление — значит оставлять дыры в системе. Оставлять его — значит на всех компах, где всплыли проблемы, руками ставить исправления силами специально обученных мастеров клика и энтера. Что делать? Конечно, не сдаваться и творчески подходить к вопросу.

Гуглящиеся привычные ключи запуска типа /QUIET /NORESTART /EULA accept не подходят, а вот запуск файла патча с аргументом /? выдаёт искомый секрет /passive, который заставляет установщик и EULA принять, и остановить юзеру процесс не даёт. Конечно, идеально было бы вообще никаких окон не показывать, но и так сойдёт.

Сам же инсталлятор можно распространить на машины и запустить с ключом от имени администратора с помощью вашего любимого средства автоматизации и централизованного управления (добавить соль и перец по вкусу).

Дополнительный гуглёж по «passive» дал страничку из документации с ключами, оставлю её для справки:
https://learn.microsoft.com/ru-ru/windows/win32/msi/standard-installer-command-line-options

Кстати, успешность патчинга можно проверить по версии файла «c:\Program Files\Microsoft Office\Office16\1049\XLINTL32.DLL», она должен стать «16.0.5474.1002»

Ну и раз способ этот в интернетах не гуглился, оформлю тут отдельными абзацами, чтобы искалось.

Автоматическая тихая установка KB4484305

excel2016-kb4484305-fullfile-x64-glb.exe /passive

Silent unattended install of KB4484305

excel2016-kb4484305-fullfile-x64-glb.exe /passive

КЭНК: тихое удаление обновления Windows по номеру KB

Mon, 15 Mar 2021 13:29:36 +0300

Задача: тихо удалить с хоста обновление Windows по номеру KB.

Какое-то время проблема легко решалась через wusa.exe /uninstall /kb:XXXXXX /quiet, но теперь в Windows 10 команда с ключом quiet просто игнорируется, а без ключа — задает много вопросов пользователю, что ожидаемо, но не подходит для решения задачи.

В интернетах быстро гуглится способ, который хорош, но не универсален. Способ рассчитывает на то что KB будет упомянута в имени пакета для DISM, а это бывает не всегда — в примере ниже у двух последних обновлений номера KB в имени пакета нет.

Ситуацию усложняет то, что в разных локалях ОС команда dism выдает информацию на разных языках, да к тому же не структурированным объектом — а строкой. К счастью, из строки все же можно выцепить имя пакета, а по нему — запросить подробную информацию (тоже строкой), где номер KB есть (судя по моим тестам) всегда:

Итоговое решение задачи такое:

смотрим список всех установленных обновлений и выдергиваем имена пакетов
по каждому пакету смотрим расширенное описание и ищем в нём искомый номер KB
если в описании найден нужный номер KB — пакет по его имени отправляется на деинсталляцию через DISM.exe /Online /Remove-Package /PackageName:$sFoundPackageName /quiet /norestart

Короткий сниппет, иллюстрирующий подход:

$sKBNumber = "4578968"
$aUpdts = dism /online /get-packages | ? {$_.Contains("Package_for")} | %{($_.Split(":"))[1].Trim()}
foreach ($sUpdate in $aUpdts) {
$sInfo = (dism /online /get-packageinfo /packagename:$sUpdate) -join(", ")
if ($sInfo.Contains($sKBNumber)) {
write-host "Found package $sUpdate for KB number $sKBNumber"
# uncomment below to uninstall package
# DISM.exe /Online /Remove-Package /PackageName:$sUpdate /quiet /norestart
}
}

КЭНК! Слава роботам!

Cекреты старца Всасиуса — 2021

Thu, 25 Feb 2021 16:40:55 +0300

Краткий дайджест открытий и новинок в области обновлений Windows за прошедшее десятилетие

Отличный способ обнаруживать клиентов с дублированным SusClientIds через логи на сервере (хорошо применимо в сетях и инфраструктурах, где сбор данных скриптами и удалёнными запросами перекрыт бикоз оф эта ваша сесурити) https://ms07.de/blog/?p=277

Современная замена wuauclt.exe от майрософт, тайная и непонятно планируемая ли к полноценному запуску https://omgdebugging.com/2017/10/09/command-line-equivalent-of-wuauclt-in-windows-10-windows-server-2016/

Windows Update MiniTool и PSWindowsUpdate — гуевый и консольный способы принудительно ставить обновления, в том числе из интернетов в обход WSUS

Современные политики уведомлений в Windows 10 — можно мягко но настойчиво задалбывать пользователя просьбами о ребуте, и принудительно перезапускаться через N дней. Вебдванольно и градиентно, как в лучших домах.

Вроде прогресс, а вроде те же грабли что и в 2010-м.

Cекреты старца Всасиуса

Fri, 29 Oct 2010 09:26:00 +0300

... а ежели подопечный твой занемог, и припадать к живительной благодати wsus отказывается, а ты к бесовским заклинаниям клонирования обращался до того, то снеси ветку реестра WindowsUpdate в HKLM, перезапусти службу, и дай сначала gpupdate /force, а потом и wuauclt.exe /detectnow /resetauthorization. ...

... а ежели и это не игоняет хворобу, то переустанови wsus update agent свежий из житницы благословенной что умудренному сединами Биллу принадлежит, да тайный ключ /wuforce не забудь ...

... а ежели и тогда издыхает бедолага, то проверь чтоб windows installer был установлен, да версии последней, что в тех же веб-чертогах микрософтовых хранится ...

... а коль совсем ничего не помогает, то призови на помощь WSUS Client Diagnostic Tool, ибо силой великою обладает он, и знаниями тайными поделится, да обрати внимание на проксевые настройки любомудрые ...

... ну а если совсем ничего не получается, то посыпь клавиатуру толчеными мышиными хвостами, да окропи чивасригалом восемнадцатилетним, поелику ничто уже ему не поможет, ибо неисповедимы пути виндовсапдейтовские ...