Aktualizowanie systemu z Windows Update i WSUS Offline Update

Bardzo ważną czynnością zabezpieczającą system przed szkodliwym oprogramowaniem jest jego regularne aktualizowanie, czyli instalowanie najnowszych aktualizacji i poprawek wydawanych przez Microsoft. System Windows ma wbudowany mechanizm automatycznej aktualizacji, który pobiera i instaluje najnowsze poprawki bez potrzeby ingerencji użytkownika. Wydawane poprawki i hotfixy likwidują dziury w systemie, przez które mogły by przedostać się szkodniki do systemu. Nie instalowanie poprawek powoduje, że mamy nie załatany, nie aktualizowany system, bardzo podatny na atak wirusów i malware.

Aby system otrzymywał najnowsze aktualizacje musi posiadać najnowszy tzw. Service Pack, zbiór dotychczas wydawanych poprawek.

Windows 8.1
Windows 8.1 Update (32-bit)
Windows 8.1 Update (64-bit)
Aktualizacje dostępne z poziomu Windows Update lub z linków poniżej. Przed zainstalowaniem tej zbiorczej aktualizacji musimy mieć zainstalowane wszystkie poprzednio wydane poprawki.

Windows 8
Aktualizowanie systemu Windows 8 do wersji Windows 8.1
Windows 8.1 to darmowa aktualizacja dla W8 dostępna do pobrania tylko z poziomu Sklepu Windows. Przed zainstalowaniem tej zbiorczej aktualizacji musimy mieć zainstalowane poprawki KB2871389 oraz KB2917499. Inaczej pakiet nie będzie proponowany do instalacji.

Windows 7
Dodatek Service Pack 1 dla systemów Windows 7 i Windows Server 2008 R2 (KB976932)
Instalator jest wielojęzyczny i uniwersalny dla każdego systemu, nie ma podziału na wersję EN czy PL. Po kliknięciu buttonu Pobierz wyskoczy lista plików do pobrania: windows6.1-KB976932-X86.exe (32-bit) + windows6.1-KB976932-X64.exe (64-bit). Po zainstalowaniu SP1 i IE9 należy uruchomić Windows Update w celu zainstalowania poprawek wydanych po SP1. Aktualizujemy również przeglądarkę IE do wersji 11, nawet jak z niej nie korzystamy.

Windows Vista
Informacje na temat instalowania dodatku Windows Vista Service Pack 2 (SP2)
Aby zainstalować dodatek SP2 KB948465, należy najpierw zainstalować dodatek Windows Vista Service Pack 1. Instalator jest uniwersalny dla każdego pakietu językowego. Aktualizujemy również przeglądarkę IE do wersji 9 (wyższe wersje nie są wspierane).

Windows XP
Windows XP Serwice Pack 3
Internet Explorer 8

Wsparcie dla Windows XP zakończyło się w dniu 8 kwietnia 2014 roku – od tego momentu Microsoft nie wydaje już nowych poprawek bezpieczeństwa. Nowo odkryte luki nie są łatane, a korzystanie z systemu nie jest bezpieczne. Zalecane jest przejście na nowsze systemy Windows 7 czy 8.1.
Po zainstalowaniu SP3 uruchamiamy Windows Update i instalujemy poprawki wydane po SP3. Poprawki dla XP są jednojęzyczne – nie można zainstalować wersji angielskiej na polskim systemie.

Windows Update – aktualizowanie w trybie online

Windows 7 / Windows 8.1
W nowszych systemach Windows Vista/7/8.1 funkcja Aktualizacje automatyczne, dostępna w Windows XP, została zastąpiona przez Windows Update:
Panel sterowania >>> System i zabezpieczenia >>> Windows Update.

Domyślnie sprawdzanie dostępności aktualizacji i instalacja łatek odbywa się automatycznie. Można to jednak zmienić w ustawieniach. Dostępne opcje:

•  Zainstaluj aktualizacje automatycznie
•  Pobierz aktualizacja, ale pozwól mi wybrać, czy je zainstalować
•  Wyszukaj aktualizacje, ale pozwól mi wybrać, czy je pobrać i zainstalować
•  Nigdy nie sprawdzaj, czy są aktualizacje

Wybór jest indywidualny. Osobiście mam wybraną opcję „Wyszukaj aktualizacje, ale pozwól mi wybrać, czy je pobrać i zainstalować”. Otrzymuje wówczas informacje i monity o dostępnych aktualizacjach, ale mam pełną kontrolę nad ich instalacją. Na słabszych komputerach można ustawić opcję nie sprawdzania aktualizacji i kompletnie wyłączyć usługę Windows Update: optymalizacja uslug w systemie Windows. Microsoft wydaje poprawki raz w miesiącu, w drugi wtorek miesiąca. Wówczas ręcznie uruchamiamy sprawdzanie aktualizacji: w opcjach Windows Update zmieniamy na Wyszukaj aktualizacje, ale… Usługa się automatycznie uruchomi, wyszuka poprawki,wybieramy te, które chcemy zainstalować, instalujemy, a po ponownym uruchomieniu komputera wyłączamy usługę i zmieniamy ustawienia na Nigdy nie sprawdzaj, czy… W ten sposób usługa nie działa cały czas, ale tylko raz w miesiącu na czas aktualizacji.
Pobieranie aktualizacji wymaga dodatkowo włączonej usługi Inteligentnego transferu w tle.

Windows XP

XP posiada mechanizm pobierający poprawki o nazwie Aktualizacje automatyczne:
Panel sterowania >>> Centrum zabezpieczeń >>> Aktualizacje automatyczne.
Możemy wybrać sposób działania:

• automatyczne pobieranie i instalowanie bez potrzeby ingerencji użytkownika
• pobranie aktualizacji, ale użytkownik decyduje, kiedy będą instalowane
• powiadomienie o nowych aktualizacjach, bez ich pobierania i instalowania
• całkowite wyłączenie aktualizacji

Każdy ustawia sobie wg upodobań, sam mam ustawioną opcję powiadamiania. Wówczas ikona w zasobniku systemowym wyświetla powiadomienia.

Po jej kliknięciu zaznaczamy aktualizacje, które mają być pobrane i zainstalowane:

Dostępność najnowszych aktualizacji można także sprawdzić w witrynie Windows Update. Link mamy w Centrum zabezpieczeń >>> z lewego paska klikamy w Sprawdź, czy są dostępne najnowsze aktualizacje z witryny Windows Update.
Do prawidłowego działania Aktualizacji automatycznych wymagana jest włączona usługa Aktualizacje automatyczne + Usługa Inteligentnego transferu w tle: optymalizacja uslug w systemie Windows

WSUS Offline Update – aktualizowanie w trybie offline

Strona domowa
Licencja: GNU General Public License
Strona pobierania: najnowsza wersja

Windows Update działa tylko wówczas, gdy mamy dostęp do Internetu. Poprawki (windows update downloader) i hotfixy (windows hotfix downloader) są najpierw pobierane z serwerów Microsoftu, a następnie instalowane z lokalnego źródła.

W przypadku, gdy chcielibyśmy zaktualizować system w trybie offline z pomocą przychodzi nam bardzo przydatna aplikacja WSUS Offline Update. Program pozwala pobrać wszystkie ważne aktualizacje bezpieczeństwa dla systemu Windows, następnie utworzyć obraz ISO do nagrania na płytę CD, z której możemy zainstalować aktualizacje na innym komputerze, nawet bez dostępu do Internetu.

Po uruchomieniu programu – plik UpdateGenerator.exe (nie wymaga instalacji) wybieramy edycje systemu Windows oraz pakietu Office, do którego chcemy pobrać aktualizacje. Aktualna wersja pozwala pobrać poprawki do Windows Vista, 7, 8 i 8.1 oraz Serwer 2008 / 2012, nie wspierając już Windows XP / Office 2003 (ostatnia wersja obsługująca XP to 9.2.1, zakładka Legacy products).
W przypadku Windows XP / pakietu Office łatki są oddzielnie wydawane dla każdej wersji językowej systemu, zaznaczamy więc Polish. Dla Windows Vista/7/8.1 aktualizacje są wielojęzyczne, uniwersalne dla każdej wersji językowej systemu.
Po wybraniu systemów w sekcji Options określamy, czy mają być uwzględniane Service Packi, aktualizacje do .NET Framework, Microsoft Visual C++, definicje Windows Defender i Microsoft Security Essentials.
Aplikacja ma możliwość skopiowania plików na nośniki USB (USB medium), oraz bardzo przydatną opcję stworzenia obrazu dysku w formacie ISO, który możemy nagrać na płytę (Create ISO image(s).
Po wybraniu wszystkich opcji klikamy button „Start”.

Rozpocznie się pobieranie aktualizacji w konsolowym Wget. Uruchamiając po raz pierwszy program pobierze wszystkie dotychczas wydane Service Packi i aktualizacje, więc może to trochę potrwać. Przykładowo dla Windows Vista 64-bit rozmiar wszystkich aktualizacji to 2,5GB, dla Windows 7 64-bit to 1,8GB. Do tego dochodzą pliki pakietu .Net Framework – 1,3GB. Jak widać, ilość aktualizacji jest duża, jeżeli wybieramy kilka systemów. Poprawki zapisują się lokalnie w podfolderze client i tam pozostają. Uruchamiając po raz kolejny aplikacja pobierze tylko te poprawki, które są nowo wydane – pozostałe są uwzględniane z lokalnego źródła. Tak więc wielkość pobierania będzie wówczas dość mała.

Mając utworzony obraz ISO (pliki zapisują się w podfolderze iso, osobno dla każdej wersji językowej i osobno dla systemu 32-bitowego oraz 64-bitowego) nagrywamy go na płytę CD lub montujemy w wirtualnym napędzie. Uruchamiamy plik UpdateInstaller.exe i wykonujemy aktualizację systemu >>> proces instalacji jest widoczny w oknie wiersza poleceń. Zaznaczamy elementy, które chcemy aktualizować. Skrypt analizuje zainstalowane poprawki w systemie wykorzystując Windows Update Agent (WUA) i instaluje tylko te, których brakuje. Jeżeli brak jest podstawowych Service Packów – są one instalowane w pierwszej kolejności. Zaletą jest to, że możemy aktualizować goły system bez żadnych Service Packów – zainstalują się po kolei + łatki wydane po ostatniej zbiorczej aktualizacji. Czasami jest to kilka etapów, które wymagają restartów. Po restarcie ponawiamy procedurę. Mamy również możliwość automatyzacji: „Automatic reboot and recall” – opcja automatycznego restartu i ponowienia sesji oraz „Shut down on completion” – instalacja nienadzorowana, wyłączenie komputera po zainstalowaniu całego kompletu aktualizacji.

Polskie wersje Internet Explorer oraz .Net Framework.
Program domyślnie pobiera angielskie wersje językowe przeglądarki IE oraz pakietów .NET Framework, plus edycje w języku niemieckim. Aby pobrać te elementy w języku polskim musimy wykorzystać skrypt \cmd\AddCustomLanguageSupport.cmd

W wierszu poleceń przechodzimy do katalogu skryptów programu i uruchamiamy skrypt z parametrem:

AddCustomLanguageSupport.cmd plk

Aby usunąć wersje niemieckie i angielskie uruchamiamy skrypt:

RemoveGermanLanguageSupport.cmd
RemoveEnglishLanguageSupport.cmd

Skrypt uruchamiamy tylko raz, przed pierwszym uruchomieniem.

WSUS Offline Update to aplikacja, która pozwala zaktualizować system Windows w trybie offline, bez dostępu do Internetu. Nic nie stoi na przeszkodzie, aby wykorzystać go na każdym innym komputerze z dostępem do sieci – instalacja poprawek jest szybsza, odpada oczekiwanie na ich pobieranie.

WSUS Offline Update nie pobiera wszystkich aktualizacji – missing update?
Poruszę jeszcze jedną kwestię – sytuacja po instalacji poprawek poprzez WSUS i sprawdzenie dostępności aktualizacji poprzez Windows Update, gdzie wyświetli się ich określona liczba do zainstalowania. Ktoś powie, że program nie spełnia swojej roli, ale taka jest zasada jego działania.
Aplikacja korzysta z kataloguu Wsusscn2.cab Microsoftu, który dynamicznie określa, które poprawki mają być pobierane. Zawiera on bazę wszystkich poprawek oznaczonych jako „krytyczne” oraz istotne z punktu bezpieczeństwa (system przechodzi test Microsoft Baseline Security Analyzer), ale nie musi zawierać wszystkich oznaczonych jako „ważne” oraz „opcjonalne”. Zaletą tego sposobu działania jest to, że program nie korzysta ze statycznych list poprawek i jest na bieżąco z repozytorium aktualizacji bezpośrednio w dniu wydania poprawek (drugi wtorek miesiąca), bez konieczności wydawania nowej wersji programu. Wadą jest to, że nie wszystkie poprawki zostaną zainstalowane, tak jak w trybie online – można to rozwiązać poprzez statyczne listy. Podsumowując trzeba stwierdzić, że WSUS nie może w pełni zastąpić Windows Update w trybie online, co nigdy nie było celem programu. Głównym zadaniem jest szybka instalacja wymaganych poprawek bezpieczeństwa na świeżo zainstalowanym systemie, co pozwoli na bezpieczne połączenie z Internetem.

Kompletne aktualizacje dla Windows XP, full, final download autopatcher XP

Jak pisałem, dla Windows XP nie są już wydawane poprawki. Aby mieć w pełni aktualny system wystarczy zainstalować zbiór aktualizacji dla systemu, przeglądarki IE8, .NET Framework oraz Direct X – wszystko w powyższym linku