Информация о выявленных потенциальных проблемах с установкой обновлений по своей природе динамична и постоянно изменяется. Я всегда даю ссылку на актуальный список обновлений KB из текущего релиза, с которыми связаны потенциальные проблемы. После релиза можно следить за обновленной информацией на портале Windows Release Health (он для этого и был создан) https://aka.ms/wri.
К вопросу об организации компьютеров общего пользования в школах есть возможностей автоматически откатывать все изменения, сделанные в течении рабочего сеанса, после перезагрузки ОС. То есть Вы делаете "золотой" образ ОС, настраиваете всё, что нужно, запускаете школьных "хакеров" на урок, после урока перезагружаете ОС и все изменения откатываются к "золотому" состоянию, настроенному администратору. Реализуется это за счет функции Unified Write Filer, которая есть в поставке Windows 10 Education, но не включена по умолчанию. Подробнее можно почитать в нашей статье Unified Write Filter (UWF) feature (unified-write-filter) | Microsoft Docs.
Из-за того, что текущая модель поддержки жизненного цикла ОС Microsoft подразумевает накопительные пакеты обновлений, для того, чтобы закрыть одну из уязвимостей нужно установить кумулятивный пакет обновлений за текущий месяц. Так что нужный апдейт практически всегда это накопительный пакет или пакет со всеми обновлениями безопасности за текущий месяц. Иногда еще нужно установить внеочередные обновлений, как, например, в январе сего года.
Вы можете импортировать пакеты внеочередных обновлений из Microsoft Update Catalog в Ваш сервер WSUS через административную консоль и использовать стандартные политики для централизованного и автоматизированного распространения и установки обновлений в Вашей инфраструктуре вместо ручной загрузки и точечной установки. Пошаговые инструкции есть в нашей статье WSUS and the Catalog Site | Microsoft Docs.
Для Windows 10, version 1809/Windows Server 2019 обновления пока не доступны. Как только будет информация - опубликую, так что следите за комментариями.
У нас нет информации о том, что январские обновления потенциально приводят к проблемам с принтерами. Ранее известные проблемы с доступом к сетевым принтерам были разрешены в ноябрьском и декабрьском выпусках прошлого года.
Судя по нашим данным, для 2012 R2 проблема с LSASS проявляется реже. Также считаю необходимым напомнить, что для Windows Server 2012 R2 закончилась основная фаза поддержки и стоит планировать минрацию на более новые версии.
Любые изменения, вносимые в инфраструктуру должны быть предварительно протестированы и верифицированы перед внесением в производственную среду. Тем более для КД и других систем уровня Tier 0. В данном случае, задача приоритезации уязвимостей и установки закрывающих их обновлений безопасности реализуется на стыке дисциплин patch management + vulnerability management.
Стоит отметить, что проблема проявляется далеко не всегда. Например, на КД WS2016 и более новых версия проблема проявляется в большинстве случаев, если в лесу используются теневые объекты учетных записей (shadow principals), которые в свою очередь используются в редких сценариях PIM/PAM (Red Forest/ESAE).
В любом случае, подобные риски можно адресовать стандартной процедурой тестирования и верификации обновлений ПО перед их установкой на сисетмы производственной среды. Тем на контроллеры домена AD и другие системы Tier 0.
Тут нужно понимать, что старт подробного анализа проблемы начинается не с поста на реддит, а с нескольких кейсов, заказчиков в службе поддержки вендора. Также на анализ, воспроизведение и triage также нужно время. Потенциальная проблема проявляется далеко нге во всех случаях. В частности на КД WS2016+ проблема проявляется в большинстве случаев, если в лесу используются теневые объекты учетных записей, которые в свою очереднь использовать в редких сценариях PIM (Red forest/ESAE). Не могу не упоминуть, что обновления для КД должны всесторонне тестироваться и верифицироваться в тестовой и staging средах ПЕРЕД установкой на КД в производственной среде.
:D
Это означает, что все уязвимости находящиеся в очереди до февральского выпуска обновлений безопасности имеют уровень важности не выше "Important".
Не совсем, данное изменение касается только макросов в документах MS Office, загруженных из сети Интернет (зоны "Internet" и "Restricted sites").
Ключевое слово здесь "иногда" :)
В Windows 10 IoT тоже есть этот функционал.
Важно! Доступны внеочередные обновления для решения потенциальных проблем с Windows 10 Enterprise 2019 LTSC, Windows 10 IoT Enterprise 2019 LTSC, Windows Server 2019 January 18, 2022—KB5010791 (OS Build 17763.2458) Out-of-band (microsoft.com)
В данный момент обе проблемы в указанной статье имеют статус "Разрешена":
Информация о выявленных потенциальных проблемах с установкой обновлений по своей природе динамична и постоянно изменяется. Я всегда даю ссылку на актуальный список обновлений KB из текущего релиза, с которыми связаны потенциальные проблемы. После релиза можно следить за обновленной информацией на портале Windows Release Health (он для этого и был создан) https://aka.ms/wri.
И пример подобной настройки Windows 10 Unified Write Filter с описанием процесса создания исключений для конкретных папок и файлов в системе общего пользования (киоске) Set up a kiosk environment using Unified Write Filter (UWF) in Windows 10 | by Jason Corchuelo | Tulpep | Medium.
К вопросу об организации компьютеров общего пользования в школах есть возможностей автоматически откатывать все изменения, сделанные в течении рабочего сеанса, после перезагрузки ОС. То есть Вы делаете "золотой" образ ОС, настраиваете всё, что нужно, запускаете школьных "хакеров" на урок, после урока перезагружаете ОС и все изменения откатываются к "золотому" состоянию, настроенному администратору. Реализуется это за счет функции Unified Write Filer, которая есть в поставке Windows 10 Education, но не включена по умолчанию. Подробнее можно почитать в нашей статье Unified Write Filter (UWF) feature (unified-write-filter) | Microsoft Docs.
Из-за того, что текущая модель поддержки жизненного цикла ОС Microsoft подразумевает накопительные пакеты обновлений, для того, чтобы закрыть одну из уязвимостей нужно установить кумулятивный пакет обновлений за текущий месяц. Так что нужный апдейт практически всегда это накопительный пакет или пакет со всеми обновлениями безопасности за текущий месяц. Иногда еще нужно установить внеочередные обновлений, как, например, в январе сего года.
Вы можете импортировать пакеты внеочередных обновлений из Microsoft Update Catalog в Ваш сервер WSUS через административную консоль и использовать стандартные политики для централизованного и автоматизированного распространения и установки обновлений в Вашей инфраструктуре вместо ручной загрузки и точечной установки. Пошаговые инструкции есть в нашей статье WSUS and the Catalog Site | Microsoft Docs.
Для Windows 10, version 1809/Windows Server 2019 обновления пока не доступны. Как только будет информация - опубликую, так что следите за комментариями.
Внеочередные фиксы потенциальных проблем с перезагрузкой серверов 2008/2008 R2 (только для заказчиков с действующим контрактом Extended Security Updates, ESU):
KB5010798: Out-of-band update for Windows 7 SP1 and Server 2008 R2 SP1: January 17, 2022 (microsoft.com)
KB5010799: Out-of-band update for Windows Server 2008 SP2: January 17, 2022 (microsoft.com)
У нас нет информации о том, что январские обновления потенциально приводят к проблемам с принтерами. Ранее известные проблемы с доступом к сетевым принтерам были разрешены в ноябрьском и декабрьском выпусках прошлого года.
Судя по нашим данным, для 2012 R2 проблема с LSASS проявляется реже. Также считаю необходимым напомнить, что для Windows Server 2012 R2 закончилась основная фаза поддержки и стоит планировать минрацию на более новые версии.
Любые изменения, вносимые в инфраструктуру должны быть предварительно протестированы и верифицированы перед внесением в производственную среду. Тем более для КД и других систем уровня Tier 0. В данном случае, задача приоритезации уязвимостей и установки закрывающих их обновлений безопасности реализуется на стыке дисциплин patch management + vulnerability management.
Потенциальные проблемы с перезагрузкой КД после установки обновлений задокументированы здесь:
Windows Server 2022 | Microsoft Docs
Windows 10, version 20H2 and Windows Server, version 20H2 | Microsoft Docs
Windows 8.1 and Windows Server 2012 R2 | Microsoft Docs
Стоит отметить, что проблема проявляется далеко не всегда. Например, на КД WS2016 и более новых версия проблема проявляется в большинстве случаев, если в лесу используются теневые объекты учетных записей (shadow principals), которые в свою очередь используются в редких сценариях PIM/PAM (Red Forest/ESAE).
В любом случае, подобные риски можно адресовать стандартной процедурой тестирования и верификации обновлений ПО перед их установкой на сисетмы производственной среды. Тем на контроллеры домена AD и другие системы Tier 0.
Тут нужно понимать, что старт подробного анализа проблемы начинается не с поста на реддит, а с нескольких кейсов, заказчиков в службе поддержки вендора. Также на анализ, воспроизведение и triage также нужно время.
Потенциальная проблема проявляется далеко нге во всех случаях. В частности на КД WS2016+ проблема проявляется в большинстве случаев, если в лесу используются теневые объекты учетных записей, которые в свою очереднь использовать в редких сценариях PIM (Red forest/ESAE).
Не могу не упоминуть, что обновления для КД должны всесторонне тестироваться и верифицироваться в тестовой и staging средах ПЕРЕД установкой на КД в производственной среде.
Задокументировали после тщательного анализа и верификации через сутки. Почему патчи вдруг должны быть отозваны?
Потенциальная проблема с Hyper-V ВМ на системах с UEFI, работающих на Windows Server 2012/2012 R2 задокументирована здесь: Windows 8.1 and Windows Server 2012 R2 | Microsoft Docs
Потенциальная проблема с Hyper-V ВМ на системах с UEFI, работающих на Windows Server 2012/2012 R2 задокументирована здесь: Windows 8.1 and Windows Server 2012 R2 | Microsoft Docs