HOWTO: 解决 MS17-010 安全更新安装失败的故障问题
HOWTO: 解决 MS17-010 安全更新安装失败的故障问题
MS17-010 这个早在今年3月份就发布的安全更新,在这短短的几天里火遍了全球,其涉及的漏洞被恶意利用造成了不可估量的损失!针对事件本身 gOxiA 不再进行表态,而今天主要分享的内容是解决该补丁 - KB4012212(2017-03 Security Only Quality Update)在 Windows 7 上安装失败的故障问题。
周一上班相关同事开始着手处理补丁方案,但发现不少客户端都出现了安装失败的问题,提示部分更新安装失败,由于KB4012212是仅包含安全质量更新的补丁包,所以部分更新安装失败是无法保障MS17-010是否正确安装的,所以只能对故障进行排错,找到错误根因!还好在系统事件中记录了补丁的失败原因“0x80073712”即“组件存储已损坏”,但实际排错中发现安装其他更新是没有问题的。
只能跑一遍“sfc /scannow”先探探虚实,果然在27%时中断退出,提示无法完成修复,分析CBS 提取主要记录发现端倪,但貌似这些错误并不足以影响安全更新安装失败,看来焦点还是要回到 0x80073712 上,Msft Support 站点上扫了一圈还真找到了解决办法。
KB947821 中提到了“系统更新准备工具”可帮助修复一些 Windows 的损坏错误,补丁200-500MB左右,安装时间最少需要15分钟,在 gOxiA 的案例中该补丁足足打了1小时还多,在临近结束时(大概 90% 这个阶段)停滞不前,期间切勿重启计算机,因为扫描组件完整性确实耗时。KB947821 更新安装后,再次安装 KB4012212 顺利完成。
- KB947821 for Windows 7 x86:https://www.microsoft.com/zh-cn/download/details.aspx?id=3132
- KB947821 for Windows 7 x64:https://www.microsoft.com/zh-cn/download/details.aspx?id=20858
另外友情提示,在2016年5月微软为 Windows 7 和 8.1 提供了简化的更新方案,即更新汇总包!MS17-010 就包含在2017年3月汇总更新包中,当前最新版为5月汇总更新。(PS:懒惰或因规定不能每月常规补丁安装的,起码要坚持把安全汇总更新包给装上!!!)最后祝愿大家能安全度过此劫!
HOWTO: 使用预配置包为 Windows 10 设置默认应用关联
HOWTO: 使用预配置包为 Windows 10 设置默认应用关联
前段时间 gOxiA 与大家分享了一篇“HOWTO: 统一设置 Windows 10 的文件默认关联”的文章,文末提到可以使用 WICD 生成配置包供 Windows 10 用户使用。其中截图里的设置方式有误,gOxiA 表示由衷的歉意,实在对不住大家了!!!也为此,决定单独写一篇文章再与大家详细分享一下 WICD 制作默认应用关联预配置包的过程,希望能够将功补过!
要使用 ICD 通过预配置包来设置 Windows 10 的默认应用关联需要使用 Poilcy CSP ,借助 ApplicationDefaults/DefaultAssociationsConfiguration 进行预配置。但是该项的值需要使用 Base64 编码来填充,之前截图环境的服务器不能访问外网,也没有留意上一级的说明,导致犯下错误!DefaultAssociationsConfiguration 的说明如下:
DefaultAssociationsConfiguration
This setting specifies the XML file content (base64 encoded) thar contains file type and protocol default application associations. This file can be created using the DISM tool.
gOxiA 之前的错误也正是因为这个原因!我们需要将导出的默认应用关联文件 defaultappassoc.xml 内容借助 Base64 encoder 工具编码后再填写到配置中。例如配置IE为默认应用的 XML 内容如下:
<?xml version="1.0" encoding="UTF-8"?>
<DefaultAssociations>
<Association Identifier=".htm" ProgId="htmlfile" ApplicationName="Internet Explorer" />
<Association Identifier=".html" ProgId="htmlfile" ApplicationName="Internet Explorer" />
<Association Identifier=".url" ProgId="IE.AssocFile.URL" ApplicationName="Internet 浏览器" />
<Association Identifier=".website" ProgId="IE.AssocFile.WEBSITE" ApplicationName="Internet Explorer" />
<Association Identifier="http" ProgId="IE.HTTP" ApplicationName="Internet Explorer" />
<Association Identifier="https" ProgId="IE.HTTPS" ApplicationName="Internet Explorer" />
</DefaultAssociations>
在使用 Base64 encoder 编码后得到的值则如下示例,在这里推荐个网站真的很不错http://www.ofmonkey.com/
PD94bWwgdmVyc2lvbj0iMS4wIiBlbmNvZGluZz0iVVRGLTgiPz4KPERlZmF1bHRBc3
NvY2lhdGlvbnM+CiAgPEFzc29jaWF0aW9uIElkZW50aWZpZXI9Ii5odG0iIFByb2dJZD0iaHRtbGZp
bGUiIEFwcGxpY2F0aW9uTmFtZT0iSW50ZXJuZXQgRXhwbG9yZXIiIC8+CiAgPEFzc29jaWF0aW9
uIElkZW50aWZpZXI9Ii5odG1sIiBQcm9nSWQ9Imh0bWxmaWxlIiBBcHBsaWNhdGlvbk5hbWU9Ikl
udGVybmV0IEV4cGxvcmVyIiAvPgogIDxBc3NvY2lhdGlvbiBJZGVudGlmaWVyPSIudXJsIiBQcm9nS
WQ9IklFLkFzc29jRmlsZS5VUkwiIEFwcGxpY2F0aW9uTmFtZT0iSW50ZXJuZXQg5rWP6KeI5ZmoIi
AvPgogIDxBc3NvY2lhdGlvbiBJZGVudGlmaWVyPSIud2Vic2l0ZSIgUHJvZ0lkPSJJRS5Bc3NvY0Zpb
GUuV0VCU0lURSIgQXBwbGljYXRpb25OYW1lPSJJbnRlcm5ldCBFeHBsb3JlciIgLz4KICA8QXNzb2N
pYXRpb24gSWRlbnRpZmllcj0iaHR0cCIgUHJvZ0lkPSJJRS5IVFRQIiBBcHBsaWNhdGlvbk5hbWU9I
kludGVybmV0IEV4cGxvcmVyIiAvPgogIDxBc3NvY2lhdGlvbiBJZGVudGlmaWVyPSJodHRwcyIgUH
JvZ0lkPSJJRS5IVFRQUyIgQXBwbGljYXRpb25OYW1lPSJJbnRlcm5ldCBFeHBsb3JlciIgLz4KPC9EZ
WZhdWx0QXNzb2NpYXRpb25zPg==
下面就跟随 gOxiA 参考截图实践一次,首先启动 Windows 配置设计器(WICD,貌似现在叫 Windows Configuration Designer,这里姑且简称 ICD),友情提示该工具已经提供 UWP 版,可以直接从 Windows 应用商店安装,访问地址是:https://www.microsoft.com/store/apps/9nblggh4tx22。
在 ICD 起始页选择“高级预配”,并确认为“预配桌面设备”,输入个便于识别的名称,默认情况下 ICD 预配相关文件存储在文档的 WICD 目录下。
在“可用自定义项”列表中定位到 Polices | ApplicationDefaults | DefaultAssociationsConfiguration,将之前通过 Base64 encoder 取得的数据填写到数值框中。
最后通过工具导航栏导出预配包,在“描述预配包”步骤中,版本号会根据修改次数自动添加,所有者可以根据要实施的优先级别进行选择,等级保持 0 即可,如果预配包包含敏感数据应当对其进行加密,最后将生成的 ppkg 格式文件发给用户执行即可。如果预配包安装时发生错误,可以在事件查看器的“应用和服务日志”-“Microsoft”-“Windows”-“DeviceManagement-Enterprise-Diagnostics-Provider”-“Admin”下找到记录。
HOWTO: 通过 GPO 限制访问 Windows 设置
HOWTO: 通过 GPO 限制访问 Windows 设置
Windows 控制面板一直以来都是作为设置 Windows 系统选项的重要入口,但随着 Windows 系统的不断发展它正被被全新的 Windows “设置”所替代。如果你正在使用 Windows 10 v1703 会发现进入控制面板已经变得“不那么容易”,以往通过右键单击开始图标已经再也找不到控制面板的踪影,取而代之的是“设置”。使用新的“设置”面板可以直接从命令行直接进行调用,例如在运行中输入“ms-settings:”或“ms-settings:batterysaver”,而且新的“设置”也满足了统一架构的需求,试想同一 Windows 核心的移动端系统是使用传统的控制面板方便,还是全新的“设置”方便呢?结果一目了然!
在对“设置”有了大致的了解后,下面就要分享本文的重点,Windows 10 的增长速度有目共睹,昨晚的 Build 2017 大会上公布的最新数据显示全球已有5亿的 Windows 10 用户,而企业环境中的占有率也在不断上升,对于 Windows ITer 的挑战之一,在部署 Windows 10 后如何按照合规性要求来限制用户访问新的 Windows 设置呢?!
非常有价值的问题,而该问题已有了解决方案,利用 GPO 的“设置页面可见性”就可以轻松的实现。该设置位于“计算机配置”-“管理模板”-“控制面板”,提供了两种设置模式:showonly - 只显示指定的设置;hide - 隐藏指定的设置。
例如 gOxiA 为“设置页面可见性”添加“showonly:bluetooth”,那么 Windows 所有设置中将仅保留“设备”设置,如下图所示(PS:截图环境为英文):
现在已经知道如何通过 GPO 来限制访问 Windows 设置,那么每项设置具体对应的名称可从微软官方网站获取:https://docs.microsoft.com/en-us/windows/uwp/launch-resume/launch-settings-app,为了方便查询,也单独copy了一份在文末。
Category | Settings page | Supported SKUs | URI |
---|---|---|---|
Home page | Landing page for Settings | Both | ms-settings: |
System | Display | Both | ms-settings:screenrotation |
Notifications & actions | Both | ms-settings:notifications | |
Phone | Mobile only | ms-settings:phone | |
Messaging | Mobile only | ms-settings:messaging | |
Battery Saver | Both Only available on devices that have a battery, such as a tablet | ms-settings:batterysaver | |
Battery use | Both Only available on devices that have a battery, such as a tablet | ms-settings:batterysaver-usagedetails | |
Power & sleep | Desktop only | ms-settings:powersleep | |
About | Both | ms-settings:about | |
Encryption | Both | ms-settings:deviceencryption | |
Offline Maps | Both | ms-settings:maps | |
Devices | Default camera | Mobile only | ms-settings:camera |
Bluetooth | Both | ms-settings:bluetooth | |
Connected Devices | Desktop only | ms-settings:connecteddevices | |
Mouse & touchpad | Both Touchpad settings only available on devices that have a touchpad | ms-settings:mousetouchpad | |
Network & Wireless | NFC | Both | ms-settings:nfctransactions |
Wi-Fi | Both | ms-settings:network-wifi | |
Airplane mode | Both | ms-settings:network-airplanemode | |
Network & Internet | Data usage | Both | ms-settings:datausage |
Cellular & SIM | Both | ms-settings:network-cellular | |
Mobile hotspot | Both | ms-settings:network-mobilehotspot | |
Proxy | Desktop only | ms-settings:network-proxy | |
Status | Desktop only | ms-settings:network-status | |
Personalization | Personalization (category) | Both | ms-settings:personalization |
Background | Desktop only | ms-settings:personalization-background | |
Colors | Both | ms-settings:personalization-colors | |
Sounds | Mobile only | ms-settings:sounds | |
Lock screen | Both | ms-settings:lockscreen | |
Accounts | Access work or school | Both | ms-settings:workplace |
Email & app accounts | Both | ms-settings:emailandaccounts | |
Family & other people | Both | ms-settings:otherusers | |
Sign-in options | Both | ms-settings:signinoptions | |
Sync your settings | Both | ms-settings:sync | |
Other people | Both | ms-settings:otherusers | |
Your info | Both | ms-settings:yourinfo | |
Time and language | Date & time | Both | ms-settings:dateandtime |
Region & language | Desktop only | ms-settings:regionlanguage | |
Ease of Access | Narrator | Both | ms-settings:easeofaccess-narrator |
Magnifier | Both | ms-settings:easeofaccess-magnifier | |
High contrast | Both | ms-settings:easeofaccess-highcontrast | |
Closed captions | Both | ms-settings:easeofaccess-closedcaptioning | |
Keyboard | Both | ms-settings:easeofaccess-keyboard | |
Mouse | Both | ms-settings:easeofaccess-mouse | |
Other options | Both | ms-settings:easeofaccess-otheroptions | |
Privacy | Location | Both | ms-settings:privacy-location |
Camera | Both | ms-settings:privacy-webcam | |
Microphone | Both | ms-settings:privacy-microphone | |
Motion | Both | ms-settings:privacy-motion | |
Speech, inking & typing | Both | ms-settings:privacy-speechtyping | |
Account info | Both | ms-settings:privacy-accountinfo | |
Contacts | Both | ms-settings:privacy-contacts | |
Calendar | Both | ms-settings:privacy-calendar | |
Call history | Both | ms-settings:privacy-callhistory | |
Both | ms-settings:privacy-email | ||
Messaging | Both | ms-settings:privacy-messaging | |
Radios | Both | ms-settings:privacy-radios | |
Background Apps | Both | ms-settings:privacy-backgroundapps | |
Other devices | Both | ms-settings:privacy-customdevices | |
Feedback & diagnostics | Both | ms-settings:privacy-feedback | |
Update & security | For developers | Both | ms-settings:developers |