исправление для microsoft windows kb2534111 что такое
Обновление KB5007253 Preview для Windows 10, версия 21H2, 21H1, 20H2 и 2004
Обновлено: 23.11.2021. Обновление KB5007253 (Сборки 19044.1387, 19043.1387, 19042.1387 и 19041.1387) Preview доступно для установки в Центре обновления Windows как «необязательное исправление» и для ручной загрузки в Каталоге Центра обновления Майкрософт.
Обновлено: 19.11.2021. Новые версии обновлений KB5007253 (Build 19044.1381) для Windows 10, версия 21H2 и KB5007253 (Build 19043.1381) для Windows 10, версия 21H1 доступны участникам программы Windows Insider на канале предварительного выпуска Release Preview.
Обновлено: 16.11.2021. Обновление KB5007253 (Build 19044.1379) для Windows 10, версия 21H2 и обновление KB5007253 (Build 19043.1379) для Windows 10, версия 21H1 доступны участникам программы Windows Insider на канале предварительного выпуска Release Preview.
Накопительный пакет обновления KB5007253 (Build 19044.1387) предназначен для Windows 10 версии 21H2 (October 2021 Update) на базе процессоров x86, x64 (amd64), ARM64. Microsoft официально выпустила Windows 10, версия 21H2. В настоящее время Microsoft выполняет поэтапное развертывание «Обновления функций до Windows 10, версия 21H2» с помощью машинного обучения. Для перехода на новую версию вы можете ознакомится с отдельным руководством по загрузке и установке Windows 10 версии 21H2.
Накопительный пакет обновления KB5007253 (Build 19043.1387) предназначен для Windows 10 версии 21H1 (May 2021 Update) на базе процессоров x86, x64 (amd64), ARM64 и Windows Server (21H1) для систем на базе процессоров x64 и ARM64.
Накопительный пакет обновления KB5007253 (Build 19042.1387) предназначен для Windows 10 версии 20H2 (October 2020 Update) на базе процессоров x86, x64 (amd64), ARM64 и Windows Server (20H2) для систем на базе процессоров x64 и ARM64.
Накопительный пакет обновления KB5007253 (Build 19041.1387) предназначен для Windows 10 версии 2004 (May 2020 Update) на базе процессоров x86, x64 (amd64), ARM64 и Windows Server (2004) для систем на базе процессоров x64 и ARM64.
Установка через Центр обновления Windows
Инсайдерские сборки
Накопительное обновление KB5007253 для ПК доступно через Центр обновления Windows для участников программы Windows Insider на канале Release Preview. Для установки перейдите в меню Параметры > Обновление и безопасность и нажмите Проверить наличие обновлений.
Для завершения установки потребуется перезагрузка компьютера. После обновления номер сборки Windows 10 поменяется на 19044.1387 для Windows 10, версия 21H2 и 19043.1387 для Windows 10, версия 21H1.
Стабильные версии
Накопительное обновление 5007253 для ПК устанавливается вручную через Центр обновления Windows. Для проверки перейдите в меню Параметры > Обновление и безопасность и нажмите Проверить наличие обновлений.
В разделе Доступно необязательное исправление нажмите Загрузить и установить.
Для завершения установки потребуется перезагрузка компьютера. После обновления номер сборки Windows 10 поменяется на 19044.1387 для Windows 10, версия 21H2, 19043.1387 для Windows 10, версия 21H1, 19042.1387 для Windows 10, версия 20H2 и 19041.1387 для Windows 10, версия 2004.
Скачать обновление KB5007253
Вы можете скачать обновление KB5007253 (.1387) в виде MSU-файлов из Каталога Центра обновления Майкрософт и установить его вручную по ссылке ниже:
Чтобы установить пакет обновления MSU, вам достаточно дважды щелкнуть по нему.
Для завершения установки потребуется перезагрузка компьютера. После обновления номер сборки Windows 10 поменяется на 19044.1387 для Windows 10, версия 21H2, 19043.1387 для Windows 10, версия 21H1, 19042.1387 для Windows 10, версия 20H2 и 19041.1387 для Windows 10, версия 2004.
Улучшения и исправления KB5007253 (Сборки 19044.1387, 19043.1387, 19042.1387 и 19041.1387) Preview
Если вы устанавливали предыдущие обновления, то на этот раз будут применены только новые изменения в составе накопительного пакета.
3 способа поиска отсутствующих патчей в Windows
Ни в одной операционной системе нет такого большого количества уязвимостей как в Windows, и для исправления проблем зачастую приходится выпускать патчи в спешке
3 способа поиска отсутствующих патчей в Windows
Ни в одной операционной системе нет такого большого количества уязвимостей как в Windows, и для исправления проблем зачастую приходится выпускать патчи в спешке. С точки зрения атакующего понимание, какие патчи присутствуют системе, может стать решающим фактором успеха при эксплуатации брешей и проникновении в систему. В этой статье мы рассмотрим три метода для поиска патчей, установленных в системе: Metasploit, WMIC и Windows Exploit Suggester.
В Metasploit будет использоваться пост-модуль для поиска отсутствующих патчей. В случае с WMIC будут запускаться команды напрямую в шелле системы для просмотра патчей. При помощи Windows Exploit Suggester мы будем сравнивать патчи, установленные в системе, с базой данных уязвимостей. В качестве атакующей системы будет использоваться Kali Linux, атакуемой – непропатченная версия Windows 7.
В терминале запускаем команду msfconsole.
Для запуска пост-модуля нам нужно скомпрометировать целевую систему и получить meterpreter-сессию. Поскольку мы имеем дело с непропатченной версией Windows 7, то можем выполнить быструю эксплуатацию при помощи EternalBlue.
Загружаем соответствующий модуль при помощи команды use:
Настраиваем нужные опции и выполняем команду run для запуска эксплоита:
У нас появилась meterpreter-сессия в целевой системе. Поскольку пост-модули работают в текущей сессии в фоновом режиме, нам нужно перевести сессию в этот режим.
Теперь загружаем модуль при помощи команды use:
Если ввести команду options, Metasploit покажет все доступные настройки для текущего модуля:
При помощи команды set устанавливаем номер сессии, которая находится в фоновом режиме:
Теперь вводим команду run для запуска модуля:
После отработки модуля видно, что первые два патча не установлены. Кроме того, отображены некоторые дополнительные потенциальные уязвимости и связанные патчи.
WMIC (Windows Management Instrumentation Command-Line) представляет собой утилиту для выполнения WMI-операций в ОС Windows. В некотором смысле этот инструмент является командной оболочкой и может работать в интерактивном и неинтерактивном режиме.
Вначале нам нужен шелл в целевой системе. Используя ранее полученную meterpreter-сессию, подключаемся к системному шеллу.
Запускаем команду sessions с флагом –i для взаимодействия с сессией:
В появившемся приглашении Meterpreter вводим команду shell и попадаем в системный шелл:
Теперь мы можем воспользоваться утилитой WMIC для просмотра установленных патчей. Вводим команду wmic qfe list и получаем список QFE-патчей (quick fix engineering), присутствующих в системе:
По каждом патчу выводится ID, описание, информация об установке и URL. Мы также можем добавить к нашей команде слово full для получения сведений в немного другом формате:
Этот метод очень удобен, поскольку не требует ничего, кроме базового шелла в целевой системе для запуска WMIC.
Windows Exploit Suggester требует результатов отработки команды systeminfo в целевой системе для последующего сравнения с базой данных. Поскольку у нас все еще есть шелл, запускаем следующую команду:
Сохраняем полученные результаты в текстовый файл на локальной машине:
Теперь при помощи утилиты wget загружаем скрипт с GitHub:
Устанавливаем все необходимые зависимости (в нашем случае пакет python—xlrd).
Когда все необходимое установленное, нужно сгенерировать базу данные бюллетеней безопасности от Microsoft. Windows Exploit Suggester выполняет эту операцию автоматически, если указать аргумент update:
Теперь запускаем утилиту с указанием файлов с информацией от systeminfo и только что сгенерированной базой:
Скрипт возвратит патчи, которые не установленные в целевой системе, вместе с релевантной информацией и ссылками:
Вероятно, этот метод позволяет получить наиболее достоверную информацию, поскольку при сравнении мы используем обновленную базу данных. Кроме того, здесь возможен удаленный запуск.
В этом руководстве мы рассмотрели несколько методов для получения информации о неустановленных патчей на машине с ОС Windows. Вначале мы использовали пост-модуль в Metasploit, потом утилиту WMIC и в конце скрипт Windows Exploit Suggester, написанный на Python. Получение списка патчей чрезвычайно полезно во время атаки, поскольку мы сразу же сужаем количество потенциальных эксплоитов, экономим время и в итоге сильно упрощаем себе жизнь.
Пользователи Windows 7 должны установить патчи KB4474419 и KB4490628, чтобы получать обновления
Ранее все обновления доставлялись с помощью SHA-1 и SHA-2. Алгоритм хеширования SHA-1 имеет ряд известных недостатков, и Microsoft планирует отказаться от SHA-1 и полностью перейти на улучшенный алгоритм SHA-2 в сентябре 2019 года.
Хотя данное изменение не представляет какой-либо проблемы для Windows 8.1, Windows 10 и соответствующих им серверных версий, этого нельзя сказать о Windows 7 и Windows Server 2008. Причина проста: обновления SHA-2 не поддерживаются в данных операционных системах.
Любое обновление, которое поставляется исключительно в SHA-2 версии и подписано только с помощью SHA-2, невозможно верифицировать на устройствах Windows 7 или Windows Server 2008. Это означает, что такие обновления не будут устанавливаться на устройствах под управлением данных версий Windows, пока не будет установлен патч для обновлений SHA-2.
Microsoft опубликовала график событий, связанных с переходом на SHA-2, на странице поддержки:
| Целевая дата | Событие | Применяется для |
|---|---|---|
| 12 марта, 2019 | В качестве обновлений безопасности выпущены патчи KB4474419 и KB4490628, которые добавляют поддержку SHA-2. | Windows 7 SP1, Windows Server 2008 R2 SP1 |
| 12 марта, 2019 | Для WSUS 3.0 с пакетом обновления SP2 выпущен патч KB4484071, который добавляет поддержку доставки обновлений, подписанных с помощью SHA-2. Для тех пользователей, которые используют WSUS 3.0 SP2, этот патч должен быть установлен не позднее 18 июня 2019 года. | WSUS 3.0 SP2 |
| 9 апреля, 2019 | В качестве обновления безопасности выпущены патч KB4493730, в котором добавлена поддержка SHA-2 для служебного стека (SSU). | Windows Server 2008 SP2 |
| 18 июня, 2019 | Цифровые подписи обновлений Windows 10 будут изменены с двойной подписи (SHA-1 / SHA-2) только на SHA-2. Никаких действий со стороны клиента не потребуется. | Windows 10 1709, Windows 10 1803, Windows 10 1809, Windows Server 2019 |
| 18 июня, 2019 | Обязательно: для клиентов, использующих WSUS 3.0 SP2, патч поддержки SHA-2 KB4484071 должен быть установлен к этой дате. | WSUS 3.0 SP2 |
| 16 июля, 2019 | Обязательно: Для обновления устаревших версий Windows потребуется установить патчи поддержки SHA-2. Установка патчей поддержки, выпущеных в марте и апреле, потребуется для продолжения получения обновлений для этих версий Windows. | Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2008 SP2 |
| 16 июля, 2019 | Цифровые подписи обновлений Windows 10 изменены с двойной подписи (SHA-1 / SHA-2) только на SHA-2. Никаких действий со стороны клиента не требуется. | Windows 10 1507, Windows 10 1607, Windows 10 1703 |
| 13 августа, 2019 | Содержимое обновлений для старых версий Windows подписано SHA-2 (встроенные подписанные двоичные файлы и каталоги). Никаких действий со стороны клиента не требуется. | Windows 7 SP1, Windows Server 2008 R2 SP1 |
| 10 сентября, 2019 | Устаревшие цифровые подписи обновлений Windows будут изменены с двойной подписи (SHA-1 / SHA-2) только на SHA-2. Никаких действий со стороны клиента не потребуется. | Windows Server 2012, Windows 8.1, Windows Server 2012 R2 |
Обновления, выпущенные до 12 июня 2019 года, по-прежнему будут доступны в виде SHA-1 версий, в противном случае произошла бы полная блокировка получения каких-либо обновлений.
Устройства, на которых не установлен патч SHA-2, перестанут получать обновления, начиная с 16 июля 2019 года до тех пор, пока патч не будет установлен в системе.
В целях обеспечения безопасности, обновления операционной системы Windows в настоящее время имеют двойную подпись с использованием алгоритмов хеширования SHA-1 и SHA-2. Проверка подлинности позволяет убедиться, что обновления поставляются непосредственно от корпорации Майкрософт и не были подменены во время доставки. Из-за ряда недостатков алгоритма SHA-1 и необходимости соответствия современным отраслевым стандартам Microsoft станет подписывать обновления Windows, исключительно с помощью более безопасного алгоритма SHA-2.
Исправляем ошибки установки обновлений Windows 7
Windows 7 по-прежнему остается популярной операционной системой в корпоративной среде, несмотря на то, что уже вышли две новые версии клиентских ОС. Расширенная поддержка «семёрки» закончится лишь 14 января 2020 г., а это значит, что ближайшие 4 года для нее будут выходить обновления, исправляющие обнаруженные уязвимости.
Существует правило – если есть обновления, то есть и проблемы с их установкой. Давайте разберем, какие основные проблемы возникают при обновлении Windows 7 через Windows Server Update Services (WSUS) и как их исправить с наименьшими затратами.
Ошибка #1. Failed to find updates with error code 80244010
Эту ошибку вы практически гарантированно будете наблюдать на любой системе, впервые обратившейся к серверу WSUS. В WindowsUpdate.log также встретится предупреждение:
WARNING: Exceeded max server round trips
Причина проблемы в том, что список обновлений стал слишком большим, и клиент не может принять его за один заход. Подробности — blogs.technet.microsoft.com/sus/2008/09/18/wsus-clients-fail-with-warning-syncserverupdatesinternal-failed-0x80244010
Какое решение предлагает Microsoft? Если после ошибки запустить повторный поиск обновлений, то процесс загрузки метаданных продолжится с момента возникновения ошибки. Терпение господа, терпение. Три, пять попыток wuauclt /detectnow – и все образуется. Не забудьте при повторном поиске дождаться окончания предыдущего цикла поиска, иначе магия не сработает!
Ошибка #2. Не устанавливаются обновления Windows с ошибкой 0x80070308
Встречается эпизодически, и в одном случае из 100 у нее есть единственное и очень специфическое решение — удалить ключ
HKLM\Components\PendingRequired=1
Перезагрузиться. Здесь важно не переусердствовать, не следует удалять никакие другие ключи в этом разделе, даже если они вам очень не нравятся, потому что после этого обновления прекратят ставиться навсегда.
Ошибка #3. Все другие ошибки
Summary:
Seconds executed: 1164
Found 16 errors
Fixed 4 errors
Проблема заключается в том, что во время установки обновлений в системе могут появиться битые файлы. Что является причиной — неисправная сеть, диск, оперативная память, сам Windows Update – выяснить не получится, а исправить ошибки для установки последующих обновлений придется.
Как правило, повреждаются *.cat, *.mum, *.manifest файлы. У кого-то повреждаются *.dll, но я на практике не сталкивался. И вроде бы средство SURT должно само исправить ошибки, поскольку внутри него есть огромный каталог эталонных файлов. Только в последний раз SURT обновлялся в октябре 2014 года, а исправлений на операционную систему с тех пор вышло бесчисленное множество, и многих файлов в каталоге не хватает.
Ниже я опишу последовательность действий, необходимых для исправления ошибок установки обновлений на Windows 7 x64 с использованием SURT. Для редакции x86 просто потребуется другой пакет SURT из KB947821.
Последовательность действий будет следующая.
1. Запустить первый проход Windows6.1-KB947821-v34-x64.msu
Пользователя от работы отвлекать не потребуется, все сделаем удаленно. Создаем следующий командный файл и запускаем его:
где BUHWKS02 – целевая машина.
Когда скрипт отработает и встанет на паузу, проверяем %windir%\Logs\CBS\CheckSUR.log
Если ошибок не найдено – дело не в битых обновлениях.
Если он заканчивается
Summary:
Seconds executed: 1164
Found 16 errors
Fixed 4 errors
CSI Manifest All Zeros Total count: 6
CSI Catalog Corrupt Total count: 3
Fixed: CSI Catalog Corrupt. Total count: 3
CBS MUM Corrupt Total count: 3
CBS Catalog Corrupt Total count: 3
CSI Catalog Thumbprint Invalid Total count: 1
Fixed: CSI Catalog Thumbprint Invalid. Total count: 1
Unavailable repair files:
winsxs\manifests\wow64_microsoft-windows-gdi32_31bf3856ad364e35_6.1.7601.19091_none_c19fa2719495aca9.manifest
winsxs\manifests\amd64_microsoft-windows-capi2-weakcrypto_31bf3856ad364e35_6.1.7601.23290_none_5e936c9c5ce2e8e6.manifest
winsxs\manifests\wow64_microsoft-windows-gdi32_31bf3856ad364e35_6.1.7601.23290_none_c22840d8adb43043.manifest
winsxs\manifests\amd64_microsoft-windows-gdi32_31bf3856ad364e35_6.1.7601.19091_none_b74af81f6034eaae.manifest
winsxs\manifests\amd64_microsoft-windows-capi2-weakcrypto_31bf3856ad364e35_6.1.7601.19091_none_5e0ace3543c4654c.manifest
winsxs\manifests\amd64_microsoft-windows-gdi32_31bf3856ad364e35_6.1.7601.23290_none_b7d3968679536e48.manifest
servicing\packages\Package_2_for_KB3123479
то будем исправлять.
2. Копируем эталонные файлы на целевую машину
Microsoft предлагает нам длинную, путанную процедуру с извлечением хороших файлов из обновлений и размещением их в определенные каталоги средства SURT. При этом пути в статьях неверные. Где-то и вовсе рекомендуют подкладывать оригинальные msu файлы.
Самый простой и правильный вариант следующий — скопировать эталонные файлы с рабочей системы:
*.mum and *.cat из C:\Windows\servicing\Packages складываются в %windir%\Temp\CheckSUR\servicing\packages
*.manifest из C:\Windows\winsxs\Manifests складываются в %windir%\Temp\CheckSUR\winsxs\manifests\
Проблема в том, что битых файлов обычно десятки, и их очень сложно выбрать и скопировать. Тогда на помощь приходит следующий скрипт PowerShell (эталонной считается машина, с которой вы запускаете скрипт)
Как видите, скрипт прост и может быть легко заточен напильником под вашу инфраструктуру.
3. Запускаем второй проход Windows6.1-KB947821-v34-x64.msu
=================================
Checking System Update Readiness.
Binary Version 6.1.7601.22471
Package Version 26.0
2016-03-03 09:15
Checking Windows Servicing Packages
Checking Package Manifests and Catalogs
Checking Package Watchlist
Checking Component Watchlist
Checking Packages
Checking Component Store
Summary:
Seconds executed: 1435
No errors detected
Ошибка #4. Если SURT отработал нормально, а обновления все равно не ставятся
Попробуйте прибегнуть к старому приему – сбросить службу Windows Update в исходное состояние. Для этого необходимо удалить каталог %windir%\SoftwareDistribution.
Ошибка #5
Клиент исчезает из консоли WSUS. Любопытная ошибка, связанная с неправильным клонированием машин и задвоением (затроением и т.д.) идентификаторов клиентов. Решается так:
Ошибка #6
GetCookie failure, error = 0x8024400D, soap client error = 7, soap error code = 300, HTTP status code = 200
SyncUpdates failure, error = 0x80072EE2, soap client error = 5, soap error code = 0, HTTP status code = 200
Windows Update Client failed to detect with error 0x80072ee2
Ошибка связана с нехваткой ресурсов в AppPool WSUS. Решение — снять лимит на потребляемую память. Как это сделать — статья.
Коротко: Открываем IIS, Application Pools, WsusPool, Advanced Settings.
Параметр Private Memory Limit устанавливаем в 0.
Продолжение темы настройки WSUS — в моей следующей статье: https://habrahabr.ru/post/329440/
PS:
Многие ошибки решены в новом клиенте WSUS:
1. KB3125574 «Windows 7 post SP1 Convenience Rollup Update». Внимательно ознакомьтесь с разделом Known issues!
Предварительно необходимо установить KB3020369 «April 2015 servicing stack update for Windows 7 and Windows Server 2008 R2».
Обновление KB5007215 (Build 22000.318) для Windows 11, версия 21H2
Накопительный пакет обновления KB5007215 (Build 22000.318) предназначен для Windows 11 версии 21H2 (первоначальный выпуск) на базе процессоров x64 (amd64) и ARM64.
Windows 11, Версия 21H2 (Сборка ОС 22000.318)
Компания Microsoft выпустила Windows 11 – 5 октября 2021 года. Новая операционная система развертывается в поэтапном режиме, а это значит, что обновление будет доступно не всем сразу. Хотя есть способы ускорить данный процесс и установить Windows 11 уже сейчас, сначала лучше проверить совместимость вашей системы с Windows 11, используя официальное приложение PC Health Check.
Обновление доступно в рамках Вторника патчей.
Установка через Центр обновления Windows
Накопительное обновление 5007215 для ПК устанавливается автоматически через Центр обновления Windows. Для проверки перейдите в меню Параметры > Центр обновления Windows и нажмите Проверить наличие обновлений.
Накопительное обновление для Windows 11 для систем на базе процессоров x64, 2021 11 (KB5007215)
Для завершения установки потребуется перезагрузка компьютера. После обновления номер сборки Windows 11, версия 21H2 поменяется на 22000.318.
Скачать обновление KB5007215
Вы также можете скачать обновление из Каталога Центра обновления Майкрософт и установить его вручную по ссылке ниже:
Скачать Windows 11 Build 22000.318
Готовые ISO-образы Windows 11 Build 22000.318 на русском языке, созданные по данным инструкциям, вы можете скачать здесь.
Улучшения и исправления KB5007215 (Сборка 22000.318)
Данное обновление включает обновления качества. Новые функции системы не представлены. Список ключевых изменений:
Если вы устанавливали предыдущие обновления, то на этот раз будут применены только новые изменения в составе накопительного пакета.