别担心!你可以这样应对Windows 7/8.1的重大修补举措

译文
系统 Windows 系统运维
微软正在改变它修补Windows7和8.1的方式。本文中将向您转达截止目前我们所获知的有关信息;并将与你共同探讨怎样使Windows继续以你的方式运行。

【51CTO.com快译】2016年10月将成为微软修补Windows 7和8.1举措的一个重大分水岭。尽管大多数组织仍在推迟把他们的Windows产品升级到Windows 10;但是,如果你还没有准备好有关细节的话,这次重大修补举措将可能对您产生重大影响。

这次重大修补举措将导致的结果是:Windows7和8.1将不再接收单个修补程序。相反,他们将启用每月一次的两种分开类型的更新:一种是只与安全相关的补丁包;另一种是完整的更新集合。其中,安全补丁包类型并不包含微软累积的所有补丁;而后者则包含微软累积的所有补丁。而且,每一种类型有其自己的专门的部署方法。但是,仅仅是换汤不换药而已。听起来很简单,对不对?

Windows10安装要点

从今天起,你可以下载Windows10安装超级指南(http://www.infoworld.com/resources/111525/microsoft-windows/windows-10-installation-superguide#tk.ifw-infsb),并不断关注微软技术中有关Windows报告方面的通知(http://www.infoworld.com/newsletters/signup.html#tk.ifw-infsb)。

然而,麻烦还是存在的;而且,对于许多组织来说,可能意味着一个真正的麻烦。下面,我们将分块剖析在Windows 7/8.1更新时,你需要了解的问题,希望能帮助你避免因微软这次重大修补调整给你带来的麻烦。

微软新的Windows 7/8.1补丁策略

六个星期前,微软产品经理NathanMercerkicked关闭了一个长时间的讨论话题;此话题是关于从今年10月份开始修补Windows 7和8.1及Server2012R2新方向方面的。有关详情,您可在TechNet博客(另外,还有100多个其他相关的话题)搜索到。不过,下面介绍的仅是其概要信息:

  • 安全补丁将每个月合并为单个的仅安全更新(Security-only Update),用户可以从微软更新目录(https://catalog.update.microsoft.com/)处下载。那些使用企业网络的用户可以通过WSUS或SCCM访问这种仅安全更新。仅安全更新不是累积性的。
  • 所有安全相关及安全无关的补丁程序将被合并成一个累积更新,称为“每月汇总”(Monthly Rollup)。您可以从Windows Update(现今大多数个人用户从此处获取补丁程序)或者Update Catalog(任何人都可以从此处下载并安装补丁程序)或从WSUS或SCCM访问此每月汇总。当你安装每月汇总时,Windows更新只会下载增量补丁程序。
  • 微软将逐渐向每月汇总中添加更旧的补丁。但是目前,先别指望能从每月的汇总中看到一大堆的补丁程序,但请务必注意,微软正朝着这个方向努力。
  • 您可以卸载整个仅安全更新或整个的每月汇总。没有单独的补丁程序,因此也就没有单独的补丁卸载,而且你不能隐藏单个补丁程序。

从表面上看,这是相对简单的:没有更多独立的补丁程序,仅提供两种不同的每月更新。仅安全有关的更新必须下载和安装,而完整的补丁包集合可以通过Windows更新方式来下载安装。仅安全相关的更新不是累积性的;但是每月汇总包,包括安全和与安全无关的更新却是累积的。

那些继续使用Windows更新的用户将得到所有微软的Windows补丁程序。而那些关闭Windows更新的用户则可以手动方式仅安装安全相关的补丁程序。但在任何情况下,单个补丁程序——如我们已经认识了十年的那样——只能作为微软补丁文档中的一个要点形式存在。

于是,在那些文档中,有关这些补丁的信息细节往往会变得混乱无比。作为全球领先的人才、健康、养老和投资咨询机构,美世公司确认存在以下问题:

  • Net将被单独更新,或者使用结合进一个安全相关或者安全无关的.Net框架每月汇总,或者是结合仅安全相关的更新,下载地址是Update Catalog和WSUS。
  • Internet Explorer 11程序有关更新将以每月汇总和仅安全更新两种方式提供。但是,尚不清楚IE11补丁是否将列入新的安全更新或每月汇总中。我们已经看到与安全无关的IE更新已列入IE安全更新的情况。这种区别在未来可能成为关键。
  • 对于那些没有升级到Internet Explorer 11的用户,微软不会强迫他们转到IE11,但是我们打算最终一定安装每月汇总中的补丁程序,无论我们的员工使用的是哪个版本的IE。这一点类似于.Net汇总一样对待。
  • 值得庆幸的是,驱动程序的更新将不包括在仅安全更新或每月汇总中。
  • 带外安全补丁程序在可用时即被寄送来,然后将纳入后续的仅安全更新及每月汇总中。
  • 当前尚没有针对Vista或Server 2008的补丁程序变动。

美世公司还提供了一份有关每月汇总中与安全无关部分的第三个星期二预览(Third Tuesday Preview)版本的详细说明。后面我们也要分析一下它相应的具体情况。

立即带来的影响

对于大多数Windows更新用户来说,最重要的是:他们不需要改变任何东西。自动更新设置与以前一样工作;即系统还是出现与以前一样的“自动下载和安装”提示,即还是下载补丁,但是让用户自己选择何时安装,或者选择何时通知他但不下载补丁,或从不检查更新状态。“以接收重要更新的相同方式为我提供推荐的更新(R)”复选框的功能与以前一样。如果微软标记某一项更新为“Recommended”(推荐)并且选中该复选框,那么此更新项将在Windows更新列表中选中(准备安装)。如果未勾选此项,则该更新项在“Optional”(可选)类别中显示为未选中状态。

微软在过去的几个月中一直在研究该补丁的处理技术。你可能还没有注意到,但微软的确已推出了有关Windows 7和Windows 8.1的详细技术支持页面。

Windows 7和8.1补丁程序的开发已经开始酝酿。到目前为止,我们已经看到出现三种Windows7非安全性更新资料,即7月份发布的KB3172605、8月份发布的KB3179573和9月份发布的KB3185278。这些内容***出现在前面提到的“可选的”类别中显示为未选中的补丁,然后升级到“推荐的”补丁列表中。正如我几个星期前所解释的:“其一般的补丁发布模式是:先采用累积更新方案(即‘修补程序汇总’)以‘可选的’方式发布;等一个月时间看看是否什么发生问题。如果没有出现什么问题,则在下个月将其更改为‘推荐的’。”

如果在你的机器的Windows上选中“以接收重要更新的相同方式为我提供推荐的更新(R)”,那么***次周二补丁(Patch Tuesday)中与安全无关的补丁汇总不会安装;但是,它会在随后的一个月进行安装。这是聪明的办法;看起来像是会起作用。还有这样一些用户,他们曾经被与安全无关的补丁程序伤害过;于是,对于与安全无关的补丁,他们会费尽心思检查并最终同意不勾选“Optional”选项。

到目前为止,我们还没有看到任何有关于累积性安全无关补丁或捆绑式安全补丁与安全无关补丁的测试消息。但无论如何,微软的这种新型补丁模式已经开始成为关注的焦点。

信任问题

当然,问题是许多个人和组织并不信任“安装所有微软补丁”的办法。这也难怪他们——他们从Windows10中得到过很深刻的教训。而且,很多人并不喜欢也不信任微软的所谓的增强遥测能力,他们把微软的这种功能视同“窥探”。

接下来要介绍的针对Windows7和8.1的补丁已经从今年10月份开始主要针对个人用户提供支持,但作为系统管理员可能也会对这种支持很感兴趣。

Windows 7/8.1用户分为两个阵营:一类是信任微软更新补丁的用户,另一类是只想安装安全补丁的用户。我们不妨分别称之为A组和B组:

  • A组用户愿意采取所有微软新的遥测系统,当然这也包括安装那些潜在的有用的与安全无关的更新。
  • B组用户并不愿意接受任何更多的窥探,除非是绝对需要;他们不在乎某些更新功能,例如夏令时区域变化等,但很想持续应用安全补丁程序。

其实,还有一个第三组,不妨称之为W组。这一组用户不想使用微软的任何补丁程序,包括安全补丁等。我并不建议你属于W组用户,但是鉴于微软在过去对Windows 7和8.1机器在不经用户允许的情况下就对其进行更改的情况,这还是可以理解的。

对于A组用户来说,打补丁要容易得多:设置一次就忘不了,除非存在巨大错误。对于B组用户来说,发生窥探的可能性小得多——但也不能保证绝对不会发生窥探情况——因为补丁程序是完全可以人工控制的。你可以从B组移到A组;但据我所知,在没有完全重新安装Windows 7或8.1的情况下是没有办法从A组移动到B组的。

微软以自己武断的方式混合发行安全和与安全无关的补丁程序的历史由来已久。如果微软继续发行带错误的安全更新,然后在与安全无关的更新中修复安全更新错误(例如8月份的KB 3179573和7月份的KB 3172605)的话,这将给普通用户和系统管理员同样带来麻烦。到目前为止,让我们假设微软将使用只与安全有关的更新补丁来修复只与安全有关的错误。如果他们不这样做的话,那么我们都将生活在一个深受伤害的世界里。

如何应对微软重大修补举措?

从10月份发行的星期二补丁(October Patch Tuesday)开始,有两种非常不同的补丁方案可以修复Windows 7和8.1机器,你需要在其中作出选择。目前,有关细节尚未完全获悉——一定会改变的;但估计,也仅是粗略操作。下面介绍你需要做的事情。

选择哪一种方案可不是像问“我相信微软吗?”这么简单。你必须问问自己手动安装安全补丁所导致的可能的额外麻烦是否值得让微软的新窥探例程关闭您的计算机。你还必须搞明白安装新的与安全无关的补丁(在最近的几个月,我们已经看到微软改善了磁盘清理工具,修复了各种错误,时区更改,特殊情况下的性能改进及其他几个补丁)是否值得把本机暴露于微软的数据收集活动(我们没有这方面的细节信息)。

请注意:已经落户于您的机器上的窥探例程将继续呆在原处,即使你选择了B组用户类型,除非您能够手动卸载这些例程。在此,我不想通过问题名称提及KB 2952664这一信息。

***步:在A组和B组中作出选择。

第二步:如果你属于A组用户类型,那么你应该设置“Windows更新”。

如果你正在玛莎阿姨的PC上工作,那么请在下拉框中选择“自动(推荐),为我的计算机自动下载推荐的更新并安装它们”。

如果你确实想签约的话,请选择“检查更新,但让我选择是否下载和安装它们”或“从不检查更新(不推荐)”。两种选择的行为类似,但***个选择当有可用的新的更新时将(至少在理论上)会在系统托盘中时钟图标附近显示一条提示相应的信息。

无论在上述哪一种情况下,请都要勾选标记“以接收重要更新的相同方式为我提供推荐的更新”,并单击【确定】。

就这些。

如果您正在使用一台永远不会手动更新的机器,那么打开“自动更新”功能将是一个明智的选择。反之,如果您使用安装有大量TLC硬盘的机器,而且你对Windows发布的消息极为关注的话,那么我建议你关闭“自动更新”功能。关闭后,您将能够观察自动更新程序会安装***的更新,然后自己来决定何时去修补程序。

在A组中关闭“自动更新”功能是一个信任微软且需要立即表决的举动。

在Windows 8.1桌面模式下,按住Windows键的同时按下X键,然后选择【控制面板】。在Windows 7中,使用管理员级帐户单击【开始】-【控制面板】。在这两种情况下,单击【系统和安全】(SystemandSecurity)。在“Windows更新”程序中,单击【打开/关闭自动更新】链接。(注意:如果您在控制面板中使用的是图标查看方式,那么你可以单击【Windows更新】,然后在左边选择【更改设置】。)

第三步:如果属于B组用户类型,请关闭Windows更新。

在B组中,你不需要(或想要)Windows更新。有许多的方法可以将Windows更新关闭,但最简单的选项是使用正常的“控制面板”设置。

该方法与A组相同。在Windows 8.1的桌面模式下,按住Windows键和X键,然后选择“控制面板”。在 Windows 7中,使用管理员级别的帐户,请单击“开始”—“控制面板”。在这两种情况下,都要单击“系统和安全”。在“Windows更新”下,通过单击打开或关闭自动更新链接。在下拉框中选择“从不检查更新(不推荐)”,并单击【确定】按钮。

现在,你可以随时根据需要不时地检查更新。

虽然我们没有综合列表式的KB补丁指出您应该卸载哪些补丁,但是为了尽量减少微软窥探可能,在网站atAskWoody.com上展开了对此的激烈辩论。当然,也欢迎您的加入,但是请一定要认识这并不是那么简单的事情;例如,一个窥探你的机器信息的补丁可能对我的机器来说是一次大规模的清理操作。更进一步说,由于缺乏来自雷德蒙德(美国华盛顿州城市,微软总部)的消息而且还没有来自高层的明确的解释,我们都只是在猜测分析罢了。

关于减小已安装在您的机器上的窥探补丁影响的我所见过的可能***的建议来自ch100网站,它建议您首先要关闭客户体验改善程序(Customer Experience Improvement Program,简称“CEIP”)。

步骤3.1:点击“开始”—“控制面板”>“行动中心”。

步骤3.2:在相关的设置下,选择设置“CustomerExperienceImprovementProgram”。

步骤3.3:选择“不”,即说明“我不想参加此项目”,然后单击“确定”。

然后,ch100建议您明确地卸载三个补丁:KB 2952664(或其Windows 8.1大致等价物KB 2976978)、KB 3150513和KB 3021917。这些补丁都值得卸载,因为它们似乎规避CEIP设置。关于为什么那三个补丁没有出现在Windows 7SP2汇总中,有一个原因在今年5月份已经发行说明。

总之,对于B组用户来说,要关闭“自动更新”,关闭CEIP,卸载KB2952664(或KB2976978)、KB3150513和KB3021917。

下一步

在接下来的几个月中,更新的实际过程会变得有点复杂,不只是因为A组类型用户和B组类型用户之间的区别,还因为其他补丁(如.Net、IE和Flash等的补丁)会在不确定的时候发行。

那些提交到自动更新的A组类型用户会过得轻松一些:Windows更新会主动下载,像微软一贯风格那样,然后自动安装所有的补丁。如果有一个破坏了什么内容的糟糕的补丁程序的话——几乎每个月都有这样的情况发生—那么相应的补丁将可能出现在下个月的补丁中。

那些想看看在他们安装更新之前是否有任何东西被破坏的A组类型用户将有一项稍微困难的任务。他们需要等待,直到他们应用***的更新,然后简单地以手动方式运行Windows更新:

步骤1:单击“开始”——“控制面板”——“系统和安全”。然后,在“Windows更新”中,勾选“更新”选项。

步骤2:不改变任何东西——不勾选或取消选择任何特定的更新,不更改任何设置。

步骤3:单击“安装更新”,Windows将可能重新启动。

B组类型用户将不得不时不时地检查新的更新(你可以再一次参考Woody on Windows(http://www.infoworld.com/blog/woody-on-windows/)或AskWoody.com(https://www.askwoody.com/)网站处信息);当仅安全更新被A组类型用户测试过后,他们将必须从Windows更新目录处下载更新。

目前,Windows更新目录还停留在上世纪90年代的老是一团糟状态。由于它依赖微软专有的ActiveX控件,从而导致如果你不使用Internet Explorer的话,很难从Windows更新目录中抽取某些内容。微软已经承诺很快就会修好这个问题。在此期间,您能够使用任何浏览器登录到Windows更新目录处,只是该方法比较复杂,而且你并不清楚应该寻找哪些内容。

在我们从微软得到进一步指导之前,您应在A组类型用户和B组类型用户之间作出选择,按照上述步骤操作,同时确保你关闭“自动更新”功能。

按照现在情况,我们都要接受累积更新的方案。Windows 10已经使用了这一方案;Windows 7和8.1也将要遵循此方案。如果你想使用一个补丁程序,你将不得不安装所有补丁——如果其中出现一个坏的补丁,你只能卸载整个补丁包。

只要所有补丁程序正确工作,一切都会很好。

原文标题:How to prepare for the Windows 7/8.1 ‘patchocalypse’,作者:Woody Leonhard

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

责任编辑:赵宁宁 来源: 51CTO
相关推荐

2011-05-13 10:19:03

2014-02-12 17:46:36

Windows 8.1

2013-10-17 09:28:00

Windows 8.1Windows 8

2016-12-19 14:55:10

人工智能工作

2010-03-04 09:07:44

2021-01-03 14:40:19

Windows 10Windows微软

2020-07-06 10:55:38

CIO首席信息官IT

2010-02-12 09:20:33

Windows 7系统漏洞

2014-04-03 10:20:09

Build 2014Windows 8.1

2013-05-30 14:00:41

Windows 8.1

2009-10-10 13:57:42

微软windows 7补丁

2013-06-08 14:57:50

2009-09-28 09:10:26

Windows 7

2016-11-17 12:20:46

Windows 7微软补丁

2009-08-05 08:51:28

Windows 7 R系统漏洞

2016-02-15 10:06:25

2012-08-29 10:15:34

硅谷创业收购

2011-02-23 15:22:16

2010-08-09 09:09:18

2022-05-20 16:38:45

网络安全白帽黑客CFAA法律
点赞
收藏

51CTO技术栈公众号