Windows server 2008 r2 не обновляется

Обновлено: 21.11.2024

Microsoft выпустила исправление безопасности SIGred для серверов Windows с 2008 по 2019 год. Затрагиваются все эти серверы Windows с установленной ролью DNS. Существует только обновление безопасности и ежемесячное накопительное обновление. Вам решать, какой из них вы хотите установить. После установки одного из обновлений и перезагрузки исправление SIGRed дает сбой в Windows Server 2008 R2. Отображается ошибка: Ошибка настройки обновлений Windows. Возврат изменений. Не выключайте компьютер. Почему это происходит и как решить эту проблему?

Оглавление

Уязвимость SIGRed, связанная с удаленным выполнением кода DNS-сервера Windows

CVE-2020-1350 | Уязвимость удаленного выполнения кода Windows DNS Server обнаружена Check Point. Microsoft присваивает уязвимости максимально возможный уровень риска 10,0 по шкале «Общая система оценки уязвимостей» (CVSS).

Контрольная точка:

Исследователи Check Point недавно обнаружили критическую уязвимость, которая позволяет злоумышленнику сделать именно это в DNS-сервере Windows, важном компоненте любой сетевой среды Windows. Мы сообщили об этом в Microsoft, которая признала уязвимость критической (оценка CVSS 10,0 — максимально возможная серьезность) и выпустила для нее срочное исправление. Мы настоятельно рекомендуем пользователям применить исправление к уязвимым версиям Windows DNS Server с 2003 по 2019 год, чтобы предотвратить использование этой уязвимости.

Майкрософт:

На серверах системы доменных имен Windows существует уязвимость, которая делает возможным удаленное выполнение кода, когда они не могут правильно обрабатывать запросы. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код в контексте учетной записи локальной системы. Серверы Windows, настроенные как DNS-серверы, подвержены риску этой уязвимости. Чтобы воспользоваться этой уязвимостью, злоумышленник, не прошедший проверку подлинности, может отправлять вредоносные запросы на DNS-сервер Windows. Обновление устраняет уязвимость, изменяя способ обработки запросов DNS-серверами Windows.

Хронология раскрытия информации SIGRed

• 19 мая 2020 г. — первоначальный отчет в Microsoft.
• 18 июня 2020 г. — Microsoft выпустила CVE-2020-1350 для этой уязвимости.
• 09 июля 2020 г. – Microsoft признала эту проблему критической уязвимостью, которую можно использовать для червей, с оценкой CVSS 10,0.
• 14 июля 2020 г. — Microsoft выпустила исправление (вторник исправлений).

Не удается установить исправление SIGRed Microsoft в Windows Server 2008 R2

Вы не можете установить KB4565524 или KB4565539 на Server 2008 R2, это не удается. Сначала он выглядит великолепно, потому что устанавливает обновление. После обновления приходится перезагружаться. После перезагрузки сервера появится следующая ошибка: Ошибка настройки обновлений Windows. Возврат изменений. Не выключай свой компьютер. Windows Server 2008 R2 не установил обновления, произошел сбой.

Почему исправление SIGRed не удалось установить в Windows Server 2008 R2?

Решение KB4565524 и KB4565539 не обновляется

У вас отсутствует лицензия на обновления безопасности для расширителя (ESU). Если вы не купите его, исправление SIGRed от Microsoft не будет установлено при обновлении.

Нажмите на следующие страницы и перейдите в раздел предварительных условий:

14 июля 2020 г. — KB4565524 (ежемесячный накопительный пакет)
14 июля 2020 г. — KB4565539 (только обновление системы безопасности)

Вы должны установить перечисленные ниже обновления и перезагрузить устройство перед установкой последнего накопительного пакета. Установка этих обновлений повышает надежность процесса обновления и устраняет потенциальные проблемы при установке накопительного пакета и применении исправлений безопасности Microsoft.

1. Обновление стека обслуживания (SSU) от 12 марта 2019 г. (KB4490628). Чтобы получить автономный пакет для этого SSU, найдите его в каталоге Центра обновления Майкрософт. Это обновление необходимо для установки обновлений, подписанных только SHA-2.
2. Последнее обновление SHA-2 (KB4474419), выпущенное 10 сентября 2019 г. Если вы используете Центр обновления Windows, вам автоматически будет предложено последнее обновление SHA-2. Это обновление необходимо для установки обновлений, подписанных только SHA-2. Дополнительную информацию об обновлениях SHA-2 см. в статье Требование поддержки подписи кода SHA-2 для Windows и WSUS от 2019 г.
3. SSU от 9 июня 2020 г. (KB4562030) или более поздней версии. Чтобы получить отдельный пакет для этого SSU, найдите его в каталоге Центра обновления Майкрософт.
4. Пакет подготовки к лицензированию расширенных обновлений безопасности (ESU) (KB4538483) выпущен 11 февраля 2020 г. Пакет подготовки к лицензированию ESU будет предложен вам WSUS. Чтобы получить отдельный пакет для пакета подготовки к лицензированию ЕСУ, найдите его в каталоге Центра обновления Майкрософт.

Теперь я рекомендую вам обновить все ваши машины до Windows Server 2016 или Windows Server 2019. А пока закройте уязвимость DNS, взгляните на следующий шаг.

Исправить уязвимость DNS с помощью реестра

Чтобы обойти эту уязвимость, внесите следующее изменение в реестр, чтобы ограничить размер самого большого разрешенного входящего пакета ответа DNS на основе TCP.

Исправить уязвимость DNS Windows Server с помощью управления групповыми политиками

Создайте объект групповой политики в управлении групповыми политиками со следующим разделом реестра. Свяжите объект групповой политики с Windows Server 2008 R2, на котором установлена ​​роль DNS.

Значение: TcpReceivePacketSize

Тип: DWORD

Значение данных: 0xFF00

Запустите командную строку от имени администратора и перезапустите службы DNS: net stop DNS && net start DNS

Исправить уязвимость DNS Windows Server с помощью командной строки

Если у вас есть только пара Windows Server 2008 R2 с установленной ролью DNS, вы можете добавить раздел реестра вручную. Чтобы ускорить его, используйте командную строку.

Запустите командную строку от имени администратора. Используйте команду reg-add.

Исправить уязвимость DNS Windows Server с помощью PowerShell

Запустите PowerShell от имени администратора. Выполните следующие три команды.

Windows Server 2008 R2 теперь защищен от уязвимости CVE-2020-1350. Имейте в виду, что вы по-прежнему не можете обновляться до новых обновлений безопасности и ежемесячных накопительных обновлений.

Заключение

В этой статье вы узнали, почему исправление SIGRed не работает в Windows Server 2008 R2. Убедитесь, что в Windows Server 2008 R2 установлены необходимые компоненты. Сделайте это перед установкой одного из обновлений, упомянутых в этой статье. Если вы собираетесь перейти на более новую версию Windows Server и не собираетесь покупать ESU, создайте раздел реестра в Windows Server 2008 R2 для исправления уязвимости.

Я рекомендую вам обновить Windows Server 2008 R2 до Windows Server 2016/2019. После этого выведите из эксплуатации все системы Windows Server 2008 R2.

Понравилась ли вам эта статья? Если это так, вам может понравиться Отключение брандмауэра Windows с помощью PowerShell. Не забудьте подписаться на нас и поделиться этой статьей.

АЛИ ТАДЖРАН

Что читают другие

У нас есть синхронизация Azure AD Connect с клиентом Microsoft 365. Мы создали…

Как массово добавить пользователей в группу безопасности AD из CSV-файла с помощью PowerShell? Вы…

Как изменить учетную запись соединителя AD DS в Azure AD Connect? После создания объявления…

У нас есть Windows Server 2008 R2, которая не хочет обновляться. Код ошибки: 80248014. Пробовал FixIt с сайта Microsoft - не помогло.

Пожалуйста, помогите мне обновить Windows?

BC AdBot (войдите для удаления)

• Консультант БК
• 2693 сообщения
• В АВТОНОМНОМ РЕЖИМЕ

• Пол: мужской
• Местное время: 16:55

Вы используете для обновлений сервер WSUS или получаете их напрямую от Microsoft? Убедитесь, что ключи реестра и/или групповая политика настроены правильно, в зависимости от источника ваших обновлений.

Вы используете антивирус на этом сервере? Известно, что некоторые антивирусные программы вызывают проблемы с запуском обновлений.

Ошибка, которую вы получаете, указывает на то, что ваши файлы Центра обновления Windows повреждены. Если инструмент fixit не смог решить проблему, вам придется сбросить WU вручную.

Вы должны начать с открытия командной строки, запуска ее от имени администратора и запуска sfc /scannow.

Если это все равно не решит проблему, перейдите в services.msc и остановите службы BITS, wuauserv и cryptsrv. Затем перейдите в C:\Windows и переименуйте папку Software Distribution во что-то вроде Software Distributon.bak. Перезапустите службы или перезагрузите сервер, что в основном делает то же самое.

Попробуйте обновить еще раз.

Вы используете для обновлений сервер WSUS или получаете их напрямую от Microsoft? Убедитесь, что ключи реестра и/или групповая политика установлены правильно, в зависимости от источника ваших обновлений.

Напрямую от Microsoft, с реестром все в порядке.

Вы используете антивирус на этом сервере? Известно, что некоторые антивирусные программы вызывают проблемы с запуском обновлений.

Основы безопасности Microsoft.

Ошибка, которую вы получаете, указывает на то, что ваши файлы Центра обновления Windows повреждены. Если инструмент исправления не смог решить проблему, вам придется сбросить WU вручную.

Вы должны начать с открытия командной строки, запуска ее от имени администратора и запуска sfc /scannow.

К сожалению, это не помогло.

Если это не помогло решить проблему, перейдите в services.msc и остановите службы BITS, wuauserv и cryptsrv. Затем перейдите в C:\Windows и переименуйте папку Software Distribution во что-то вроде Software Distributon.bak. Перезапустите службы или перезагрузите сервер, что в основном делает то же самое.
Попробуйте обновить еще раз.

Ну, однажды это помогло. Он установил некоторые обновления, затем перезагрузился. Через несколько дней я проверил, что происходит. Итак, на данный момент:
1.Windows не обновляется автоматически, мне нужно нажать кнопку для поиска обновлений.
2. Когда я пытаюсь найти обновления, я снова получаю сообщение об ошибке 80248014.

Появляется экран Центра обновления Windows, и я нажимаю «Загрузить обновления». Затем я получаю полосу прокрутки по экрану с надписью «Загрузка обновлений», но счетчики никогда не увеличиваются (всего 0 КБ, завершено 0%). Я пробовал несколько вещей, найденных через Google, чтобы решить эту проблему, но пока ничего не сработало.

Я перерегистрировал и выполнил sfc для каждой DLL, которая, как мне кажется, может быть связана (чуть больше 150), я не использую прокси-серверы.

Я загрузил обновления вручную, но Windows зависает с сообщением "Поиск обновлений", который никогда не завершает поиск.

В моем журнале я могу найти только следующие ошибки:

Погуглив первую ошибку, я наткнулся на несколько шагов по ее устранению:

1. Нажмите «Пуск» и введите services.msc в поле поиска, затем щелкните службы, как показано выше. Прокрутите список вниз до Центра обновления Windows, щелкните его правой кнопкой мыши и выберите "Стоп".

2. Введите это в поле поиска %windir%\SoftwareDistribution, щелкните "Распространение ПО" в поле выше и удалите все содержимое папки "Загрузить".

3. Вернитесь и снова включите службу Центра обновления Windows.

Что я уже пробовал, но безуспешно.

Позже он предлагает загрузить MicrosoftFixit.wu.Run.exe от Microsoft и попробовать это, что у меня и не получилось. Я также пробовал установить патч Microsoft для Windows6.1-KB947821-v14-x64.msu, который навсегда зависает с раздражающим сообщением «Поиск обновлений на этом компьютере».

Я пытался загрузить сторонний FixWU, но ничего не получилось.

Я попытался принудительно переустановить агент Центра обновления Windows с помощью WindowsUpdateAgent30-x64.exe /wuforce

Я проверил ПК на наличие антивирусов, руткитов, вредоносных программ и ничего подобного. Я сбросил все VPN-подключения и временно отключил брандмауэр, но все равно ничего.

Я проверил права доступа к C: и его подпапкам, и встроенные пользователи, и администраторы имеют права на чтение/запись.

[Немецкий]По состоянию на 10 августа корпорация Майкрософт выпустила различные обновления для систем Windows 7 с пакетом обновления 1 (SP1), которые все еще поддерживаются ЕСУ. Также с ESU Bypass v11 все работает. Но эти обновления безопасности также доступны для Windows Server 2008 R2 с поддержкой ESU. Вот некоторая информация о Ежемесячном накопительном пакете и обновлениях только для системы безопасности для этой операционной системы.

Обновления для Windows 7/Windows Server 2008 R2

Для Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1) были выпущены накопительный пакет и обновление только для системы безопасности. Однако эти обновления доступны только для систем с лицензией ESU (2-й год). Историю обновлений для Windows 7 можно найти на этой странице Microsoft.

По состоянию на июль 2020 года все обновления Windows отключают функцию RemoteFX vGPU из-за уязвимости CVE-2020-1036 (см. также KB4570006).

После установки этого обновления предпринимаются попытки запуска виртуальных машин. (ВМ) с включенным RemoteFX vGPU не удастся. KB5003209 (ежемесячный накопительный пакет) для Windows 8.1/Server 2012 R2.

Для установки обновления требуется либо действующая лицензия ESU на 2021 год, либо обход ESU v11 (см.).

KB5005088 (ежемесячный накопительный пакет) для Windows 7/Windows Server 2008 R2

Обновление KB5005088 (ежемесячный накопительный пакет обновления для Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1)) содержит (помимо исправлений безопасности, выпущенных в предыдущем месяце) улучшения и исправления ошибок, а также устраняет следующие проблемы:

• Изменяет требование прав по умолчанию для установки драйверов при использовании Point and Print. После установки этого обновления у вас должны быть права администратора для установки драйверов. Если вы используете Point and Print, см. статью KB5005652, Изменение режима работы Point and Print по умолчанию и CVE-2021-34481 для получения дополнительной информации.
• Решает проблему, из-за которой не удается выполнить проверку подлинности с помощью смарт-карты (PIV) на принтерах и сканерах, не соответствующих RFC, требующих проверки подлинности с помощью смарт-карты. Дополнительные сведения см. в статье KB5005392.
• Это обновление также содержит различные улучшения безопасности внутренних функций ОС.

Подробности об устраненных уязвимостях можно найти на этой странице. Это обновление автоматически загружается и устанавливается через Центр обновления Windows. Пакет также доступен через каталог обновлений Microsoft и распространяется через WSUS. Подробные сведения о требованиях и известных проблемах можно найти в статье базы знаний.

Что касается исправления точки и печати, я не уверен, действительно ли оно исправлено (см.).

KB5005089 (только для системы безопасности) для Windows 7/Windows Server 2008 R2

Обновление KB5005089 (только обновление безопасности) предназначено для Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1) с ESU-Lizenz zur Verfügung.Das Update adressiert folgende Punkte.

• Изменяет требование прав по умолчанию для установки драйверов при использовании Point and Print. После установки этого обновления у вас должны быть права администратора для установки драйверов. Если вы используете Point and Print, см. статью KB5005652, Изменение режима работы Point and Print по умолчанию и CVE-2021-34481 для получения дополнительной информации.
• Решает проблему, из-за которой не удается выполнить проверку подлинности с помощью смарт-карты (PIV) на принтерах и сканерах, не соответствующих RFC, требующих проверки подлинности с помощью смарт-карты. Дополнительные сведения см. в статье KB5005392.
• Это обновление также содержит различные улучшения безопасности внутренних функций ОС.

Обновление доступно через WSUS или в каталоге Центра обновления Майкрософт. Чтобы установить обновление, необходимо выполнить предварительные требования, перечисленные в статье базы знаний и в накопительном обновлении выше. Обновление содержит ошибки, описанные в статье базы знаний. Кроме того, должно быть установлено обновление безопасности KB5005036 для Internet Explorer 11 от августа 2021 года (поддержка IE 11 прекращается). Обязательно заранее установите последнее обновление стека обслуживания.

Читайте также:

  
• Как удалить учетную запись в Windows XP
  
• Как скрыть USB-накопитель в Windows 10
  
• Обновленная версия Crysis не работает на Windows 10
  
• Как удалить gnome в Ubuntu
  
• Выбор дистрибутива Debian