Windows系统如何进行离线更新？（Windows Sever 2012 ...

唐宏昌

背景：某项目一台Windows Sever 2012 R2的服务器被扫描出大量漏洞。
例如：
◆Microsoft Windows SMB远程代码执行漏洞(CVE-2017-0148) (MS 17-010)
◆Microsoft Windows CredS SP远程执行代码漏洞(CVE-2018-0886) 等等。
上述漏洞只是一部分，这些漏洞需要通过Windows更新进行修复。

问题来了：漏洞通过自动更新是很方便的，直接点自动更新就完事修复了。但是该服务器位于纯内网环境，内外网完全物理隔离，如何对其进行离线更新?如何针对漏洞进行对应更新下载？

解决方法：
微软是提供Windows离线更新包的，那么从微软官网下载离线更新包传输到需要更新的PC或服务器上进行更新。

漏洞针对更新：直接搜索漏洞编号，例如MS17-010后，可以查到这些漏洞的针对性更新，然后下载更新去传输到PC或服务器上双击运行，就完成更新了（打不上见下文遇到的问题）。



查找漏洞对应系统的更新：



获取离线更新包途径（微软官网）：
1.下载地址：https://support.microsoft.com/zh-cn/help/4009470 （里面包含所有Windows Sever 2012 R2 的近几年的更新）
如果漏洞过多的话可以直接把所有安全更新下载好全部打上。



2.下载地址：https://www.catalog.update.microsoft.com/Search.aspx?q=KB4562253该地址可以下载知道了更新序列号（例如KB4562253）去下载针对性更新。（其它Windows系统也可以去这里下载更新）



说明：更新包下载下来后，为.msu的后缀文件。直接在需要进行更新的电脑上双击运行该文件即可进行更新。



离线更新时遇到的问题：
为什么下载最新的更新包进行更新提示如下：
Windows更新独立安装程序：此更新不适用于你的计算机



原因分析：

• 下载系统型号不对，例如需要2012的下成2016的更新包。
  
• 下载更新包的位数不对，系统分为32位系统和64位系统。
  

如何看系统位数：计算机—属性



如下图下载更新包时：



适合基于X86的系统：即系统为32位系统
适合基于X64的系统：即系统为64位系统
一定要选择对应的系统下载。

3. 一些更新包是有前置依赖更新的，比如Windows Sever 2012 R2系统中：
需要在安装此更新前安装其它更新，所以一定要注意查看该更新的说明备注。



Windows Sever 2012 R2 就先需要安装这个KB2919442才能安装后续更新，不然就是提示更新不可用。

凝望彼岸

在进行补丁安装的时候，需要断网吗

大炮特靠谱

无外网进行离线安装，有网络直接自动更新吧