Aktualizacja systemu Windows w trybie Offline

Aktualizacje to bardzo ważne pliki, które szczególnie wpływają na bezpieczeństwo naszego systemu operacyjnego. Ale ponadto wprowadzają poprawki i usprawnienia doprowadzające do większej stabilności oraz niekiedy większej funkcjonalności. Specjaliści do spraw informatyki radzą, aby aktualizacje starać instalować się na bieżąco. Nie zawsze jest to jednak możliwe. Szczególnie kiedy nie posiadamy w miarę szybkiego i stabilnego łącza internetowego.

Windows Update to usługa, która dostarcza aktualizacje dla systemów Microsoftu. Towarzyszy nam ona już od wersji Windows 95, chodź pozbawiona była ona kilku funkcji jakie znamy dzisiaj (np. aktualizacje automatyczne). Od momentu wprowadzenia Visty, usługa zyskała zupełnie nowy obraz. Nie musimy już odwiedzać strony internetowej, którą użytkownicy Windows XP jeszcze bardzo dobrze pamiętają, aktualizacje wyszukiwane są na bieżąco w tle, a administratorzy mogą korzystać z lokalnym repozytoriów skąd zaciągane są paczki. To znacznie ułatwiło bieżącą instalację poprawek, chodź nie obeszło się bez problemów. Jednym z nich jest czas aktualizacji. Windows Update wymaga bieżącego połączenia z Internetem. Albowiem do pozyskania zasobów niezbędna jest komunikacja z serwerami Microsoftu w celu otrzymania dokładnej listy dostępnych aktualizacji. Pobieranie plików szczególnie w środowiskach działających offline jest bardzo uciążliwe, gdyż producent do dzisiaj nie biorze pod uwagę mechanizmu pozwalającego wskazać lokalne źródło. Mimo, że dostęp do szerokopasmowego łącza jest dzisiaj znacznie większy niż kilkanaście lat temu, nadal istnieją środowiska, które z powodów bezpieczeństwa mają ograniczoną komunikację, a luki w takich systemach łatać trzeba jak w każdym innym.

Z pomocą przychodzi nam społeczność, a konkretnie programista Torsten Wittrock. Jest on autorem, zapewne słynnego w kręgu administratorów, oprogramowania do przeprowadzania aktualizacji systemów Windows w trybie offline – WSUS Offline. Narzędzie, z którego sam korzystam nie raz, szczególnie w początkowych fazach instalacji systemu, zaoszczędzi nam mnóstwo czasu i nerwów na zaciąganie setki megabajtów poprawek. Jako, że temat aktualizacji jest powszechny postanowiłem napisać krótki artykuł przedstawiający obsługę tego narzędzia.

Przygotowanie obrazu

WSUS Offline nie wymaga instalacji. Działa on w trybie Portable, czyli bez zaawansowanej integracji z systemem. Jako samodzielna i niezależna aplikacja w systemie Windows. Wszystkie dane zapisywane są w głównym katalogu pliku wykonawczego. W celu pobrania WSUS Offline musimy udać się na stronę producenta – www.wsusoffline.net.

Główna strona producenta WSUS Offline
Główna strona producenta WSUS Offline

Na zrzucie powyżej widzimy zaznaczoną czerwoną ramką miejsce, w którym musimy kliknąć, aby pobrać najnowszą wersję aplikacji. Po naciśnięciu na odsyłacz powinno zostać wywołane okienko pobierania archiwum ZIP.

Pobrane archiwum rozpakowujemy w miejscu, gdzie mamy wystarczającą ilość miejsca, aby przechowywać pobrane obrazy. W zależności jakie wersje systemów wybierzemy może być to coś pomiędzy 20-80 GB. Rozpakowany program jest już gotowy do działania, ale przed jego uruchomieniem wykonamy jeszcze parę rzeczy. Po pierwsze włączenie bardziej zaawansowanego mechanizmu pobierania paczek – Aria2. Wchodzimy do katalogu, gdzie znajduje się WSUS Offline, a następnie do podkatalogu cmd.

Skrypt aktywujący Aria2
Skrypt aktywujący Aria2

W katalogu cmd mamy plik skryptu o nazwie ActivateAria2Downloads.cmd. Dwukrotne kliknięcie na niego spowoduje jego uaktywnienie. Dzięki niemu skorzystamy z lepszego algorytmu, który będzie wykorzystywany podczas pobierania plików z serwerów Microsoft. Skróci to znacznie czas oczekiwania i spowoduje lepsze wykorzystanie przepustowości łącza.

Pozostałe skrypty pozwalają na dodatkowe dostosowanie preferencji aktualizacji oraz zredukowanie ich rozmiaru. Na przykład RemoveGermanLanguageSupport.cmd czy RemoveEnglishLanguageSupport.cmd spowoduje, że nie będą pobierane aktualizacje dla systemów dostępnych w języku angielskim lub niemieckim. AddOffice2010x64Support.cmd dołącza aktualizacje dla pakietu Office w wersji 64-bitowej. Aby włączyć lub wyłączyć którąś z tych funkcji, które nie są nam potrzebne, wystarczy kliknąć na skrypt i go uruchomić.

Konfiguracja procesu pobierania zawartości

Mamy już przygotowany WSUS Offline. Czas teraz dokładnie zdefiniować jakie paczki mają zostać pobrane. Robimy to już na poziomie głównym aplikacji, czyli uruchamiamy nasze narzędzie klikając na plik wykonywalny UpdateGenerator.exe.

Okno wyboru wersji systemu Windows
Okno wyboru wersji systemu Windows

Program podzielony jest na dwie zakładki – Windows oraz Office. Pierwsza przedstawia nam wszystkie wersje systemu Windows do jakich mogą zostać pobrane aktualizacje. Windows XP był wspierany jeszcze tylko w WSUS Offline 9.x. Obecnie możemy pobrać aktualizacje zaczynając od Windows Server 2008, kończąc na Windows 10. Wspierane są obydwie architektury. Domyślnie wszystko pobierane jest w wielu językach. Wyłączyć to możemy w wcześniej wspomnianych skryptach. Zaznaczamy odpowiedni kwadracik. Dokonujemy w ten sposób wyboru do jakiego systemu mają być pobrane paczki. Przejdźmy jeszcze na drugą zakładkę.

Zakładka wybory pakietu Office
Zakładka wybory pakietu Office

Podobnie jak z systemami, tutaj dokonujemy wyboru pakietu Office, do którego mają zostać pobrane aktualizacje. W przeciwieństwie do poprzedniej funkcjonalności, tutaj możemy jeszcze wybrać konkretne języki. Wyjątek stanowi już Office 2016. Dla niego pobierane są wszystkie. W wersji WSUS Offline 10 wspierany jest tylko Office 2010 lub nowszy.

Pozostałe opcje WSUS Offline
Pozostałe opcje WSUS Offline

Konfiguracja zachowania programu

Pozostałe opcje dotyczą już samego działania programu WSUS Offline. Do wyboru mamy następujące opcje:

  • Verify downloaded updates – Sprawdza każdy pobrany pakiet. Jego sumę kontrolną w celu uniknięcia błędów lub problemów. Niestety zalecam odznaczenie tej opcji ze względu na to, że niezbyt dobrze działa i powoduje zatrzymanie całego procesu pobierania plików w najbardziej nieodpowiednim momencie.
  • Include C++ Runtime Libraries and .NET Frameworks – Powoduje, że zostaną dołączone dodatkowe paczki z bibliotekami takimi jak Microsoft .NET Framework 4.7 czy Visual C++ Redistributable. Będą one automatycznie instalowane podczas aktualizacji systemu.
  • Include Microsoft Security Essentials – Dołącza do aktualizacji oprogramowanie antywirusowe tworzone przez firmę Microsoft. Generalnie zawsze odznaczam tą opcję.
  • Include Service Packs – Dołącza zestaw aktualizacji dostępnych w ramach Service Pack. Jeśli takowo istnieje dla wybranego systemu to zostanie on również pobrany i zainstalowany podczas aktualizacji. Moje zalecenie jest takie, aby pobierać go oddzielnie i instalować oddzielnie. A potem skorzystać z WSUS Offline.
  • Use ‘security onlu updates’ instead of ‘quality rollups’ – Spowoduje, że zostaną pobrane tylko aktualizacje związane z bezpieczeństwem systemu.
  • Include Windows Defender definitions – Pobiera definicje sygnatur wirusów dla program Windows Defender.

Pole poniżej pozwala nam utworzyć obraz ISO pobranych aktualizacji. Jest to robione automatycznie. Opcja per selected product and language spowoduje, że zostanie utworzony plik osobno dla wybranej wersji systemu/pakietu i jego języka. Z kolei per selected language, ‘x86-cross-product’ (desktop only) tylko dla każdego języka osobno. Druga opcja dotyczy tylko 32 bitowych produktów. Zawsze zaznaczam tą pierwszą opcję. Zawartość aktualizacji możemy również przekopiować do katalogu lub nośnika wymiennego np. pendrive. W tym celu zaznaczmy opcję Copy updates for selected products into directory i wybieramy obok ścieżkę. Gdy już zakończymy i dokonamy wyborów możemy rozpocząć proces klikając na przycisk Start.

Proces pobierania aktualizacji

Czas pobierania zasobów tak naprawdę zależy od prędkości naszego łącza internetowego. Przy aktywacji mechanizmu Aria2 jesteśmy w stanie wykorzystać całą przepustowość. Teraz kiedy aktualizacje są pobierane pozostaje nam tylko czekać. Okno konsoli informuje nas o postępach w procesie.

Proces pobierania aktualizacji
Proces pobierania aktualizacji

Podczas oczekiwania możemy natknąć się na pewien błąd, który przerywa cały proces. Otóż jeśli na konsoli zostanie wyświetlony komunikat, że nie można odnaleźć następujących plików:

  • AutoLogon.zip,
  • Sigcheck.zip,
  • Streams.zip.

To musimy wyczyścić odwołania do źródeł w celu pominięcia ich pobrania. Są to aplikacje wchodzące w skład pakietu Sysinternals. Nie pełnią one funkcji aktualizacji. Są to narzędzia usprawniające zarządzanie systemem. Odwołania do źródeł znajdziemy w pliku tekstowym, który znajduje się w katalogu WSUS Offline, podkatalog static, a następnie plik StaticDownloadLinks-sysinternals.txt. Usunięcie zawartości spowoduje, że ta sekcja zostanie całkowicie pominięta. Staraj się nie usuwać tego pliku. W przeciwnym razie podczas uruchamiania pobierania wystąpi błąd.

W przypadku innych błędów czy zdarzeń możemy je prześledzić sprawdzając katalog log, gdzie w pliku tekstowym zapisywany jest cały dziennik. Wszystkie pobrane pliki i utworzone obrazy będą zamieszczane w katalogu iso.

Aktualizacja stacji końcowej

Mamy już przygotowane obrazy. Po wypaleniu na płycie lub przekopiowaniu na pendrive możemy zabrać się za aktualizację systemu. Przechodzimy do stacji, w której chcemy zainstalować najnowsze aktualizacje, a następnie przechodzimy menedżerem plików do katalogu WSUS Offline.

Główny katalog z WSUS Offline na stacji końcowej
Główny katalog z WSUS Offline na stacji końcowej

Rysunek Główny katalog z WSUS Offline na stacji końcowej

Interesuje nas plik UpdateInstaller.exe. Uruchamiamy go klikając dwa razy. W przypadku nośnika CD/DVD powinien uruchomić się autostart.

Program aktualizujący WSUS Offline
Program aktualizujący WSUS Offline

Jak widzimy dostępność opcji jest uzależniona od tego jakie komponenty pobraliśmy wcześniej lub jakie są już zainstalowane. Jeśli WSUS Offline wykryje obecność .NET Framework 4.7.2 to opcja jego instalacji zostanie zablokowana. W czerwonej ramce zaznaczyłem obszar, który informuje nas o dacie ostatniego pobrania plików. Dość istotny, szczególnie wtedy kiedy mija trochę czasu. Mogą wtedy wyjść już nowe paczki, które trzeba będzie dodatkowo zaciągnąć z usługi Windows Update lub stworzyć nowy obraz.

Zachowanie klienta

W grupie Installation wybieramy jakie dodatkowe komponenty mają zostać zainstalowane lub zaktualizowane. Oczywiście mówimy tutaj o komponentach wbudowanych i dostarczanych przez system. Z kolei grupa Control oferuje następujące zdarzenia:

  • Verify installation packages – Weryfikuje wszystkie pobrane paczki. Jeśli jest zablokowana oznacza to, że wcześniej nie zaznaczaliśmy jej podczas pobierania aktualizacji.
  • Shut down on completion – Wyłącza komputer po zainstalowaniu wszystkich aktualizacji.
  • Automatic reboot and recall – WSUS Offline będzie automatycznie restartował oraz wznawiał aktualizacje gdy tylko zajdzie taka potrzeba.
  • Show log file – Otwiera plik tekstowy, gdzie są zapisywane zdarzenia.

Opcje automatyzuje restarty wyglądają dość ciekawie, niestety muszę jednak was zawieść. WSUS Offline podczas aktualizacji tworzy tymczasowe konto użytkownika. Tak samo jak plan zasilania, aby zapobiec uśpieniu komputera. Te konta i konfiguracje tymczasowe często zawodzą. Głównie chodzi o uprawnienia. Nie pierwszy raz spotkałem się z sytuacją kiedy po restarcie, WSUS Offline nie był w stanie zalogować się do systemu i wznowić procesu. Poskutkowało to tym, że czas poświęcony na aktualizację systemu został zmarnowany. Dlatego zalecam ręczne restarty i nadzorowaniu od czasu do czasu procesu aktualizacji.

Kiedy już mamy cały proces konfiguracji za sobą rozpocznij aktualizację klikając na przycisk Start.

Aktualizacja systemu
Aktualizacja systemu

Sam proces aktualizacji wygląda niemal identycznie jak pobieranie aktualizacji z tą różnicą, że dzieje się to na stacji końcowej i nie musimy mieć dostępu do Internetu. Pozostaje nam więc czekać i ewentualnie restartować system. Po restarcie wystarczy ponownie uruchomić program, a WSUS Offline wznowi cały proces.

Podsumowanie i porady na koniec

Wiesz już zatem jak zaktualizować swój system bez konieczności zaciągania danych z repozytorium. Przynajmniej na stacji końcowej. WSUS Offline jest bardzo dobrym narzędziem w sytuacji kiedy chcemy szybko zainstalować poprawki bezpieczeństwa. Musisz jednak pamiętać, że posługiwanie się wyłącznie tylko tym programem nie zagwarantuje stuprocentowej dystrybucji. Otóż WSUS Offline pobiera tylko aktualizacje oznaczone jako poprawki bezpieczeństwa, zalecane i krytyczne. W przypadku aktualizacji funkcjonalności, te dostępne są tylko i wyłącznie za pośrednictwem agenta Windows Update. Na szczęście jest to wystarczające, aby zapewnić bezpieczeństwo i stabilność urządzeniom nie podłączonych do sieci. Mało tego WSUS Offline chroni nas przed takimi elementami jak telemetria czy mechanizmy diagnostyczne implementowane w celu zbierania danych czy obciążania komputera. W warunkach produkcyjnych takie incydenty jak nie sprawna aktualizacja są niedopuszczalne. Zatem wykorzystywanie WSUS Offline w tym wypadku jest jak najbardziej bezpieczne.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *