네트워크에 연결되지 않은 워크 스테이션에 Windows 보안 업데이트 설치

비슷한 질문이 많이 있었지만 모두 오래되었거나 오프라인 네트워크 또는 오프라인 서버를 가정합니다.

우리는 많은 원격 위치를 가지고 있으며, 대부분 자체 IT 상점이 없습니다. 각 위치에는 어떤 종류의 네트워크에도 연결되어 있지 않은 둘 이상의 워크 스테이션이있을 수 있습니다. 해당 워크 스테이션은 Windows 10 Enterprise를 실행하고 있습니다. 그 중 어느 것도 협상 할 수 없습니다.

1 년에 2-4 회, 응용 프로그램 업데이트를 준비합니다. 원격 위치는 보안 웹 포털을 통해 해당 업데이트를 검색하여 플래시 드라이브에로드 한 후 각 워크 스테이션에 해당 업데이트를 적용합니다. 마지막 업데이트 이후 Windows 용 보안 또는 중요 업데이트도 설치할 수있는 기회로 사용하고 싶습니다.

지금까지 내가 본 가장 좋은 옵션은 WSUS Offline이지만 증분 업데이트를 쉽게 수행 할 수 없으며 결국에는 다운로드 크기가 불합리하게됩니다. WSUS 또는 SCCM을 사용하지 않았지만 오프라인 설치 관리자를 만들 수있는 옵션이없는 것 같습니다. 대상 워크 스테이션은 매우 잠겨 있으므로 이상적인 세상에서는 결과 실행 파일에 Microsoft 또는 Microsoft가 서명하고 싶습니다.

다른 옵션이 있습니까? 가능한 경우 엔터프라이즈 솔루션 비용을 지불하는 데 아무런 문제가 없습니다. 지금은 WSUS Offline에서 소스를 가져와 내 요구에 맞게 수정하는 것을 진지하게 고려하고 있지만 개발 리소스를 묶지 않을 것입니다.

windows-10 windows-update

— TBridges42
소스

불합리한 GB 수는 몇 개입니까?

— cybernard

catalog.update.microsoft.com 에 대해 알고 있습니까? MSU 파일에 번들로 제공되는 패치를 다운로드 할 수 있습니다. 설치하기위한 스크립트를 포함시키는 것이 어렵지 않아야합니다. 문제는 단지 마이크로 소프트가 작은 패치를 만드는 방법을 모른다는 것입니다.

— cybernard

특정 번호가 마음에 들지 않습니다. 현재 계획중인 플래시 드라이브는 16GB이지만 플래시 드라이브는 저렴합니다. 더 큰 문제는 일부 원격 위치에 끔찍한 인터넷 연결이 있다는 것입니다. 나는 그들 중 일부가 DSL 연결을 가지고 있다고 확신하지만 참여하지 않기로 선택할 수도 있습니다.

— TBridges42

업데이트를 개별적으로 다운로드 할 수 있다는 것을 알고 있었지만 그러한 방식으로 번들로 제공 될 수 있다는 것을 몰랐습니다. 그것은 가능할 수 있습니다.

— TBridges42

답변:

최신 패치 모델을 사용하면 모든 것이 누적되므로 그 크기가 너무 큽니다. 기본적으로 제품 서비스 팩당 월 단위가되었습니다. 따라서 이러한 컴퓨터에로드 한 제품에 따라 (# 1) OS 및 (# 2) IE, (# 3) .NET Framework 및 ( # 4) 설치된 사무실.

예 : 1 월과 6 월에 1 년에 2 배씩 패치하는 경우 2018 년 1 월이 2017 년을 대체하고 2018 년 6 월이 2018 년 2 월 ~ 5 월을 대체하기 때문에 다른 10 개월의 물건을 적용 할 필요가 없습니다.

— 클레이튼
소스

http://catalog.update.microsoft.com (올바른 OS 및 x86 또는 x64 용으로 구입해야합니다.) KB #######을 한 번에 하나씩 입력하고 장바구니에 추가하십시오. c : \ updates로 이동 한 폴더

Wusa.exe 파일은 % windir % \ System32 폴더에 있습니다. Windows Update 독립 실행 형 설치 관리자는 Windows Update Agent API를 사용하여 업데이트 패키지를 설치합니다.

for /R "C:\Updates\" %i in (*.msu) do wusa "%i" /quiet /norestart

파일 이름의 시작 부분에 1,2,3 등을 추가하여 패치 이름을 바꾸어 올바른 순서로 설치하는 것이 좋습니다. 배치 파일에 여러 개의 wsu가 있거나 있습니다.

wusa "package1.msu" /quiet /norestart
wusa "package2.msu" /quiet /norestart
wusa "package3.msu" /quiet /norestart
...

물론 업데이트가 있는지 확인하고 필요한 업데이트 만 적용하는보다 지능적인 스크립트를 만들 수 있습니다.

여기서 업데이트 할 수있는 유일한 문제는 강제로 재부팅해야하며 스크립트가 해당 조건을 처리해야합니다. 또한 업데이트를 설치하지 못하면 더 많은 오류 검사가 필요합니다.

또 다른 잠재적 인 답변은 전체 이미징입니다. Microsoft의 imagex를 사용하여 창을 wim 파일로 캡처 할 수 있습니다. 그런 다음 wim 파일이있는 USB 스틱에 Windows PE 환경이 있어야합니다. wimfile을 배포하고 재부팅 한 후 완료하십시오.

여기서 장점은 모든 패치가 올바르게 배포 된 것입니다. 컴퓨터가 균일하게 구성됩니다.

최종 사용자가 파일을 저장해야하는 경우 하드 드라이브를 c : 및 d :로 분할 한 다음 모든 사용자 파일을 D :에 저장하여 C : 드라이브를 원하는대로 다시 이미징 할 수 있습니다.

가장 큰 단점은 크기이며, 이미지를 철저하게 정리하더라도 훨씬 더 클 것입니다. 16 또는 32GB는 프로그램의 크기와 원하지 않는 파일의 하드 드라이브를 얼마나 철저하게 제거하는지에 따라 다릅니다.

— 사이 버나드
소스