Автор Тема: Вредные и подозрительные обновления для Windows - сюда  (Прочитано 121098 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
В общем, после установки этого обновления перестают применяться политики пользователя. Для того, чтобы они начали применяться, надо давать разрешение на чтение на объекты GPO для аутентифицированых пользователей и/или компьютеров домена.


Updated: 16 June 2016, 13:06:01
У меня в домене на Win2k8R2 на всех объектах политик, к которым применялось Security filtering, пришлось добавлять разрешение на чтение для Authenticated Users и Domain computers.

И если раньше можно было просто не устанавливать это обновление, то теперь, в 10-ке оно уже интегрировано, увы. Authenticated Users не вариант, у нас по крайней мере (политики применяются только на конкретные группы пользователей), приходится Domain computers добавлять в каждую политику.

Оффлайн shs

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
Authenticated Users не вариант, у нас по крайней мере (политики применяются только на конкретные группы пользователей),
не уловил связи логической я, например

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
А-а, там же только на чтение, а не на применение политики, сморозил глупость, простите  :pardon:

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
В общем, после установки этого обновления перестают применяться политики пользователя. Для того, чтобы они начали применяться, надо давать разрешение на чтение на объекты GPO для аутентифицированых пользователей и/или компьютеров домена.
В общем очень подробно про это обновление, и что и как делать, чтобы меньше телодвижений делать тут:
Обновление MS16-072 ломает Group Policy. Что с этим делать?

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Цитировать
As part of the Patch Tuesday goodness, Microsoft is releasing .NET Framework 4.7. As has always been the case, .NET updates can break things customers (and Microsoft) weren’t expecting.
Microsoft is aware of at least one glaring issue for the update and the Exchange team is warning customers NOT to install it.
In .NET Framework 4.7 and Exchange Server, Microsoft provides its support statement. Essentially…
At this time, .NET Framework 4.7 is not supported by Exchange Server. Please resist installing it on any of your systems after its release to Windows Update.
However, the company is sure that some customers will have seen the  message too late and is providing guidance on what to do if the update was already installed, which is the basic steps for safely removing the update, repairing the old version, and then blocking 4.7 from installing again.

http://myitforum.com/myitforumwp/2017/06/13/dont-install-todays-net-framework-update-on-exchange-server/

Цитировать
We wanted to post a quick note to call out that our friends in .NET are releasing .NET Framework 4.7 to Windows Update for client and server operating systems it supports.
At this time, .NET Framework 4.7 is not supported by Exchange Server. Please resist installing it on any of your systems after its release to Windows Update.
We will be sure to release additional information and update the Exchange supportability matrix when .NET Framework 4.7 becomes a supported version of .NET Framework with Exchange Server. We are working with the .NET team to ensure that Exchange customers have a smooth transition to .NET Framework 4.7, but in the meantime, delay this particular .NET update on your Exchange servers. Information on how this block can be accomplished can be found in article 4024204, How to temporarily block the installation of the .NET Framework 4.7.
It’s too late, I installed it. What do I do now?
If .NET Framework 4.7 was already installed and you need to roll back to .NET Framework 4.6.2, here are the steps:
Note: These instructions assume you are running the latest Exchange 2016 Cumulative Update or the latest Exchange 2013 Cumulative Update as well as .NET Framework 4.6.2 prior to the upgrade to .NET Framework 4.7 at the time this article was drafted. If you were running a version of .NET Framework other than 4.6.2 or an older version of Exchange prior to the upgrade of .NET Framework 4.7, then please refer to the Exchange Supportability Matrix to validate what version of .NET Framework you need to roll back to and update the steps below accordingly. This may mean using different offline/web installers or looking for different names in Windows Update based on the version of .NET Framework you are attempting to roll back to if it is something other than .NET Framework 4.6.2.
1. If the server has already updated to .NET Framework 4.7 and has not rebooted yet, then reboot now to allow the installation to complete.
2. Stop all running services related to Exchange.  You can run the following cmdlet from Exchange Management Shell to accomplish this:
(Test-ServiceHealth).ServicesRunning | %{Stop-Service $_ -Force}
3. Depending on your operating system you may be looking for slightly different package names to uninstall .NET Framework 4.7.  Uninstall the appropriate update.  Reboot when prompted.
    On Windows 7 SP1 / Windows Server 2008 R2 SP1, you will see the Microsoft .NET Framework 4.7 as an installed product under Programs and Features in Control Panel.
    On Windows Server 2012 you can find this as Update for Microsoft Windows (KB3186505) under Installed Updates in Control Panel.
    On Windows 8.1 / Windows Server 2012 R2 you can find this as Update for Microsoft Windows (KB3186539) under Installed Updates in Control Panel.
    On Windows 10 Anniversary Update and Windows Server 2016 you can find this as Update for Microsoft Windows (KB3186568) under Installed Updates in Control Panel.
4. After rebooting check the version of the .NET Framework and verify that it is again showing version 4.6.2.  You may use this method to determine what version of .NET Framework is installed on a machine. If it shows a version prior to 4.6.2 go to Windows Update, check for updates, and install .NET Framework 4.6.2.  If .NET Framework 4.6.2 is no longer being offered via Windows Update, then you may need to use the Offline Installer or the Web Installer. Reboot when prompted.  If the machine does show .NET Framework 4.6.2 proceed to step 5.
    .NET Framework 4.6.2 offline installer.
    .NET Framework 4.6.2 web installer.
5. After confirming .NET Framework 4.6.2 is again installed, stop Exchange services using the command from step 2.  Then, run a repair of .NET 4.6.2 by downloading the offline installer, running setup, and choosing the repair option.  Reboot when setup is complete.
6. Apply any security updates specifically for .NET 4.6.2 by going to Windows update, checking for updates, and installing any security updates found.  Reboot after installation.
7. After reboot verify that the .NET Framework version is 4.6.2 and that all security updates are installed.
8. Follow the steps here to block future automatic installations of .NET Framework 4.7.
The Exchange Team

https://blogs.technet.microsoft.com/exchange/2017/06/13/net-framework-4-7-and-exchange-server/
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
А-а, ну да, такая же фигня, как с 4.6 была, .NET Framework выпустили быстрей, чем продукты к нему адаптировали.


Updated: 14 June 2017, 18:26:33

Ну и кстати, в реестре ключ добавил, службу Windows Update перезапустил, все равно в обновлениях для установки Framework 4.7 присутствует. Сервер (2016) перегружать что-то неохота.
« Последнее редактирование: 14 июня 2017, 18:35:29 от Retif »

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Цитировать
This security update resolves vulnerabilities in Microsoft Office that could allow remote code execution if a user opens a specially crafted Office file. To learn more about these vulnerabilities, see Microsoft Common Vulnerabilities and Exposures CVE-2017-8506, Microsoft Common Vulnerabilities and Exposures CVE-2017-8507, and Microsoft Common Vulnerabilities and Exposures CVE-2017-8508.

https://support.microsoft.com/en-us/help/3191932/descriptionofthesecurityupdateforoutlook2016june13,2017

Цитировать
Security Update for Outlook 2016 Could Cause Email Attachment Blocking Issues
A security update release from Microsoft for Outlook 2016 comes with a clear warning…
If an email message includes an attached email message, and the attached email message’s subject line ends with an unsafe file name extension as listed in the Blocked attachments in Outlook page, the email attachment will be blocked for recipients. To fix this issue, save the email message to the computer and rename its subject line so that it does not end with an unsafe file name extension. Then, attach it to the email message to be sent.
So, unless you read every tidbit of every piece of information that Microsoft releases, you might have missed it. Or, as is the case most often, Microsoft tends to deliver its patches long before its guidance is actually available.
However, even with this warning, the update is being reported to causing general attachment issues – not just the specific one described in the warning. Some are reporting that Word and Excel attachments can’t be opened from an Outlook email nor can they be saved to disk.
Uninstalling KB3191932 fixes the problem.

http://myitforum.com/myitforumwp/2017/06/14/security-update-for-outlook-2016-could-cause-email-attachment-blocking-issues/


Updated: 16 June 2017, 08:10:19

Цитировать
KB4022719 Causes Internet Explorer to Print Blank Pages
Essentially, after KB4022719 is installed (the monthly rollup for Windows 7 SP1), any content that is opened in a frame in Internet Explorer fails to print. Blank pages print out when users attempt to print the content contained in the frame.
Uninstalling KB4022719 solves the problems, but that shouldn’t be the ultimate solution.

http://myitforum.com/myitforumwp/2017/06/15/kb4022719-causes-printing-problems-with-internet-explorer/
https://answers.microsoft.com/en-us/ie/forum/ie11-windows_7/kb4022719-printing-issues/e431c6e1-5f27-4bef-93ce-d8d9ae23a477
« Последнее редактирование: 16 июня 2017, 08:10:19 от Triangle »
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Цитировать
15.06.2017 Автор:Алексей Максимов

Внимание. Обновления Microsoft Office, выпущенные 13.06.2017, а именно KB3191898 (Outlook 2007 SP3), KB3203467 (Outlook 2010 SP2), KB3191938 (Outlook 2013), KB3191932 (Outlook 2016) способны сделать невозможной работу с вложениями в Outlook.  Об этом свидетельствует опыт знакомых "самураев", отважно использующих auto approve на WSUS и сообщения из открытых источников (ссылки ниже). Рекомендуем не торопиться с развёртыванием данных обновлений через WSUS без предварительного тщательного тестирования.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн shs

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
Цитировать
15.06.2017 Автор:Алексей Максимов

Внимание. Обновления Microsoft Office, выпущенные 13.06.2017, а именно KB3191898 (Outlook 2007 SP3), KB3203467 (Outlook 2010 SP2), KB3191938 (Outlook 2013), KB3191932 (Outlook 2016) способны сделать невозможной работу с вложениями в Outlook.  Об этом свидетельствует опыт знакомых "самураев", отважно использующих auto approve на WSUS и сообщения из открытых источников (ссылки ниже). Рекомендуем не торопиться с развёртыванием данных обновлений через WSUS без предварительного тщательного тестирования.
Невнятная формулировка. На самом деле после установки этого обновления Outlook начинает блокировать, как якобы небезопасные, вложения, чьи имена содержат либо более одной точки подряд, либо восклицательный знак + еще несколько багов.

Для исправления ситуации в Outlook 2010 27.06 MS выпустила обновление kb3015545, причем его x86 вариант оказался неудачным и стал крашить обновленный Outlook, после чего эта x86 часть обновления была отозвана, а 64-битный вариант доступен для скачивания. Но и тут есть нюансы:  kb3015545 - недоступно для распространения через WSUS, а доступно только для тех, кто обновляется напрямую с MS. Так же его можно скачать и установить вручную с сайта MS.
« Последнее редактирование: 06 июля 2017, 10:33:20 от shs »

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
У меня пользователи в регионах где автоапдейт локально пожаловались на то что блочить стало почти всё, независимо от имен.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн shs

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
почти всё
Дык по ссылке сходи, почитай - что конкретно блочится, а заодно, какие обновления надо поставить, чтобы это вылечить

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Цитировать
Октябрьские обновления для Windows 10 (KB4041676 , KB4041691) и Windows Server 2016 (KB4041676), загруженные на WSUS/SCCM, способны вызвать сбой загрузки ОС

13.10.2017Автор:Алексей Максимов

Внимание. Октябрьские обновления для Windows 10 v1703 (KB4041676), Windows 10 v1607 (KB4041691) и Windows Server 2016 (KB4041691), которые ранее были загружены в локальные хранилища WSUS и SCCM SUP, способны вывести из строя целевые ОС, сделав невозможной загрузку ОС, выполненную после установки обозначенных обновлений.

Сообщения о проблемах начали появляться пару дней назад, и на данный момент уже опубликована статья, описывающая ситуации, при которых возможно столкнуться с проблемой и известные методы её решения для тех, кто уже "приплыл": Windows devices may fail to boot after installing October 10 version of KB4041676 or KB4041691 that contained a publishing issue

Для обхода проблемы с данным обновлением рекомендуем выполнить повторную синхронизацию метаданных и контента Ваших локальных хранилищ обновлений в WSUS и SCCM SUP, после чего выполнить тестирование развёртывания данных обновлений.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Цитировать
Октябрьское обновление Windows 10 Fall Creators Update (1709) способно нарушить работу ПО КриптоПро CSP версий 3.9 и 4.0 на компьютерах в домене Active Directory

Внимание. Если в вашей инфраструктуре компьютеры c Windows 10 включены в домен Active Directory и при этом на компьютерах используется программный пакет КриптоПро CSP версий 3.9 и 4.0 c хранением ключей в системном реестре Windows, то стоит воздержаться от развёртывания свежего Октябрьского обновления Windows 10 Fall Creators Update (версия 1709), так как данное обновление способно нарушить работу с ключами КриптоПро для непривилегированных пользователей. Об этом недавно было объявлено на сайте ООО "Крипто-Про": Проблемы доступа к ключам КриптоПро CSP в случае обновления до Windows 10 Fall Creators Update.
https://blog.it-kb.ru/2017/10/24/windows-10-fall-creators-update-1709-may-break-cryptopro-csp-version-3-9-and-4-on-computers-in-active-directory-domain/
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн 6wings

  • Постоялец
  • ***
  • Сообщений: 372
  • Рейтинг: 1
  • Пол: Мужской
  • Шестикрыл
    • Andy.Rodionov
    • Просмотр профиля
  • Откуда: Москва (Южное Бутово)
Один из физ. компов на Кваде с Вин 64х очень странно обновлялся последние 2 раза. Обновления устанавливались только после откатов. Т.е. первый раз неудачно, потом откат на предыдущее (как было до 1-го раза), потом удачно. И так 2 раза. Хрень какая-то. Ничего особенного из приложений на этом компе не установлено, всё примерно то же самое и на других (в разных вариантах).
Авторский сайт http://rodionov.info

Оффлайн 6wings

  • Постоялец
  • ***
  • Сообщений: 372
  • Рейтинг: 1
  • Пол: Мужской
  • Шестикрыл
    • Andy.Rodionov
    • Просмотр профиля
  • Откуда: Москва (Южное Бутово)
Относительно недавно МС перевели Definition updates for MSE из статуса необязательных в статус важных. Казалось бы, зачем? MSE и так прекрасно сам регулярно обновляет свои вирусные определения, не требуя никаких действий от оператора. Теперь же каждый день стало выскакивать сообщение о необходимости установить Definition update. Это анноит ((

Но это ещё не всё - буквально со вчерашнего дня Preview of Rollups (ежемесячных) тоже попали в "важные". Которые нафих не нужны потому что они Preview (или есть другие мнения?)

Короче, будьте бдительны при установке обновлений и обращайте внимание на то, что ставите.
Авторский сайт http://rodionov.info