Форум системных администраторов

IT => Windows => Тема начата: Retif от 02 Января 2016, 20:24:55

Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Retif от 02 Января 2016, 20:24:55
Насобирал тут (добавляйте еще, буду обновлять шапку):

KB3035583 - Обновление устанавливает приложение "Получить Windows 10" для Windows 8.1 и Windows 7 с пакетом обновления 1
kb2952664 - С его помощью переустанавливается другое вредного обновление - KB3035583;
KB3139929 - помимо устранения уязвимостей, устанавливает в системном трей предложение обновиться до Windows 10.
KB3173040 - еще одно напоминание о переходе на Windows 10.

kb3021917 - телеметрия

KB3112343 - вроде не вредное, подозрительное, предназначенное для облегчения перехода с 7 на 10.
*********

Необязательные телеметрические апдейты MS Windows 7 / 8 /8.1 / 2008 /2012 (от 19 авг 2015):
KB3080149
KB3075249
KB3077715
KB3078667
Телеметрическая информация передаётся на следующие сервера:
vortex-win.data.microsoft.com
settings-win.data.microsoft.com
Передача осуществляется через TCP по порту 443 с использованием SSL.
**************

Еще два шпионящих обновления для 7 и 8:
KB3068708
KB3022345
*************

KB3163622 - после установки этого обновления перестают применяться политики пользователя. Для того, чтобы они начали применяться, надо давать разрешение на чтение на объекты GPO для аутентифицированых пользователей и/или компьютеров домена.
*************

Подозрительные обновления:

kb3123862 - подозрительное.
kb3135445 - обновление Windows Update Client, подозрительное.
kb3138612 - вроде обновление Windows Update Agent. Потому подозрительное.

Полезные обновления и ссылки:
https://support.microsoft.com/en-us/kb/3065987 - для Windows 7
https://support.microsoft.com/en-us/kb/3065988 - для Windows 8.1
Это наоборот, полезное обновление, добавляет дополнительные опции в групповые политики операционной системы пользователя. Установка этого обновления не останавливает скачивание Windows 10, нужно еще зайти в групповые политики: Computer Configuration / Administrative Templates / Windows Components / Windows Update Policy и уже там выключить обновление до новой ОС.

Управление параметрами уведомлений и обновления в Windows 10
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: 6wings от 02 Января 2016, 20:53:53
Сайты, доступ к которым рекомендуется закрыть в hosts:

127.0.0.1 vortex.data.microsoft.com
127.0.0.1 vortex-win.data.microsoft.com
127.0.0.1 telecommand.telemetry.microsoft.com
127.0.0.1 telecommand.telemetry.microsoft.com.nsatc.net
127.0.0.1 oca.telemetry.microsoft.com
127.0.0.1 oca.telemetry.microsoft.com.nsatc.net
127.0.0.1 sqm.telemetry.microsoft.com
127.0.0.1 sqm.telemetry.microsoft.com.nsatc.net
127.0.0.1 watson.telemetry.microsoft.com
127.0.0.1 watson.telemetry.microsoft.com.nsatc.net
127.0.0.1 redir.metaservices.microsoft.com
127.0.0.1 choice.microsoft.com
127.0.0.1 choice.microsoft.com.nsatc.net
127.0.0.1 df.telemetry.microsoft.com
127.0.0.1 reports.wes.df.telemetry.microsoft.com
127.0.0.1 wes.df.telemetry.microsoft.com
127.0.0.1 services.wes.df.telemetry.microsoft.com
127.0.0.1 sqm.df.telemetry.microsoft.com
127.0.0.1 telemetry.microsoft.com
127.0.0.1 watson.ppe.telemetry.microsoft.com
127.0.0.1 telemetry.appex.bing.net
127.0.0.1 telemetry.urs.microsoft.com
127.0.0.1 telemetry.appex.bing.net:443
127.0.0.1 settings-sandbox.data.microsoft.com
127.0.0.1 vortex-sandbox.data.microsoft.com
127.0.0.1 survey.watson.microsoft.com
127.0.0.1 watson.live.com
127.0.0.1 watson.microsoft.com
127.0.0.1 statsfe2.ws.microsoft.com
127.0.0.1 corpext.msitadfs.glbdns2.microsoft.com
127.0.0.1 compatexchange.cloudapp.net
127.0.0.1 cs1.wpc.v0cdn.net
127.0.0.1 a-0001.a-msedge.net
127.0.0.1 statsfe2.update.microsoft.com.akadns.net
127.0.0.1 sls.update.microsoft.com.akadns.net
127.0.0.1 fe2.update.microsoft.com.akadns.net
127.0.0.1 diagnostics.support.microsoft.com
127.0.0.1 corp.sts.microsoft.com
127.0.0.1 statsfe1.ws.microsoft.com
127.0.0.1 pre.footprintpredict.com
127.0.0.1 i1.services.social.microsoft.com
127.0.0.1 i1.services.social.microsoft.com.nsatc.net
127.0.0.1 feedback.windows.com
127.0.0.1 feedback.microsoft-hohm.com
127.0.0.1 feedback.search.microsoft.com
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Triangle от 02 Января 2016, 23:43:40
https://www.facebook.com/groups/exchangeserverru/permalink/909993875782571/
KB3114409 Causes Outlook 2010 to run in Safe Mode
Безопасный режим, перестает работать поиск, фильтры, и много чего ещё соответсвенно.
Лечится только исправлением реестра, удаление обновления ни к чему не приводит.

32
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\14.0\Outlook\Security]
"DisableSafeMode"=dword:00000001

64:
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\14.0\Outlook\Security]
"DisableSafeMode"=dword:00000001
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: 6wings от 03 Января 2016, 00:29:00
кстати, все эти же номера обновлений встают не только на 7 и 8, но и на 2008 / 2008 R2 / 2012 / 2012 R2
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Retif от 12 Января 2016, 21:56:48
При KB3035583 уже написано, но вот немного новой информации:

Цитировать
Новый виток насаждения Windows 10: фоновый процесс следит за изменениями реестра
...
За бесплатный апгрейд до Windows 10 отвечает обновление KB3035583. Оно в том числе устанавливает программу GWX (Get Windows 10). Последняя проверяет компьютер на совместимость с Windows 10. Если компьютер может запускать «десятку», то программа предлагает её установить. Настойчивость этого предложения постепенно переходит границы: в прошлом месяце кнопка «отказаться» исчезла, теперь можно лишь закрыть окно.

Не все хотят обновляться до «десятки», а напоминания продолжают приходить. В октябре Microsoft пообещала, что от предложений обновиться можно будет полностью отказаться, хотя такой возможности пока не появилось. Некоторые пользователи полностью избавились от занудливых предложений редактированием значений AllowOSUpgrade, DisableOSUpgrade, DisableGWX и ReservationsAllowed в реестре. Вернее было бы сказать, что подобное решение предлагается самой Microsoft: представитель компании посоветовал редактировать реестр на официальном форуме.

Для более простого укрощения GWX и обновления KB3035583 была написана утилита GWX Control Panel (в прошлом GWX Stopper). Она устанавливает нужные значения в реестре, удаляет иконки из области уведомлений и файлы, которые сложно удалить вручную, освобождает гигабайты, занятые файлами обновления.

Вуди Леонхард замечает, что новая версия обновления KB3035583 вводит фоновые процессы, которые дважды в сутки проверяют некоторые значения реестра. Затем она устанавливает их в изначальное состояние, если они были изменены. Разработчик программы GWX Control Panel Джош Мэйфилд объяснил, как это происходит.

Существует несколько версий KB3035583. Все они обновляются до самой новой по мере доступности. Кроме заметной пользователю иконки в области уведомлений обновление содержит несколько фоновых процессов, которые выполняют некие задачи по расписанию.



    DisableGWX (DWORD) в HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Windows\Gwx — это значение, которое GWX.EXE проверяет при запуске. Если оно установлено на 1, то GWX.EXE завершается. В области уведомлений не появляется иконка с предложением обновиться. Пользователю может показаться, что проблема решена. Но несколько других фоновых задач и от само обновление KB3035583 всё ещё «висят» в системе.
    Роль AllowOSUpgrade документирована слабо. Похоже, что оно предотвращает выполнение апгрейда до Windows 10, который был инициирован через Windows Update. Можно подумать, что установка значения на 0 позволит забыть о обновлении. Но на некоторых компьютерах несколько фоновых процессов, связанных с обновлением KB3035583, меняют значение AllowOSUpgrade на 1. К примеру, это задача refreshgwxconfig-B, которая запускается дважды в сутки. В видеоролике выше на отметке 2:30 продемонстрирован пример работы такой задачи. Подобное поведение появилось примерно месяц назад и только на некоторых компьютерах.
    Напротив, ReservationsAllowed не включается, а отключается (устанавливается значение 0) этими фоновыми процессами. Об этом значении тоже известно мало. Мэйфилд говорит, что доступное в официальной документации оказалось неверным. По мнению разработчика, это значение регулирует переход от системы резервации обновления, когда их не хватало на всех при старте, к общедоступности, когда качать и устанавливать можно без очереди.
    DisableOSUpgrade (DWORD) в HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate не существует по умолчанию, и его нужно создавать самостоятельно. Нужное значение — 1. Мэйфилд не замечал, чтобы фоновые процессы меняли его. Как ручное задание значения, так и редактирование политики обновления отражены на страницах официальной поддержки.


Значения могут меняться новыми версиями обновления KB3035583. Удаление обновления не всегда работает, поскольку оно может возвращаться, даже если его скрыть. GWX Control Panel упрощает редактирование этих значений реестра, а также выполняет несколько других задач, связанных с нежелательным апгрейдом до Windows 10.

http://geektimes.ru/post/269070/
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: shs от 13 Января 2016, 08:28:07
https://support.microsoft.com/en-us/kb/3065987 - для Windows 7
https://support.microsoft.com/en-us/kb/3065988 - для Windows 8.1
Это наоборот, полезное обновление, добавляет дополнительные опции в групповые политики операционной системы пользователя. Установка этого обновления не останавливает скачивание Windows 10, нужно еще зайти в групповые политики: Computer Configuration / Administrative Templates / Windows Components / Windows Update Policy и уже там выключить обновление до новой ОС.
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Retif от 13 Января 2016, 09:16:17
shs, ты про это?
Цитировать
Официально предоставленным способом полностью отказаться от предложения обновиться до Windows 10 можно в gpedit.msc:

    Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update, double-clicking Turn off the upgrade to the latest version of Windows through Windows Update, and then clicking Enabled.

По сути он просто добавит в реестре ключик DisableOSUpgrade.
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: shs от 13 Января 2016, 10:35:34
shs, ты про это?
Цитировать
Официально предоставленным способом полностью отказаться от предложения обновиться до Windows 10 можно в gpedit.msc:

    Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update, double-clicking Turn off the upgrade to the latest version of Windows through Windows Update, and then clicking Enabled.

По сути он просто добавит в реестре ключик DisableOSUpgrade.
Да, просто не в той теме (рука дрогнула)
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Retif от 13 Января 2016, 20:28:40
kb2952664 сегодня прилетело. Описания толком не нашел (на MS вообще только состав изменяемых файлов), но вроде как тоже связано с обновлением 7-ки до следующей версии. Подозрительное в общем.

Цитировать
22 апреля, компания Microsoft через службу Автоматического обновления распространила "важный" патч KB2952664 для ОС Windows 7. Это обновление, фактически, распространяется под статусом обязательного, т.к. на большинстве систем "важные" обновления устанавливаются автоматически. По официальной информации Microsoft, данное обновление повышает совместимость и упрощает переход на Windows 8.1. Более детальное описание говорит о наличие некой таблицы настроек более 30 программ, использующих ресурсы операционной системы. По предположению специалистов, данное обновление может быть связано с недавним изменением алгоритма обновления ОС Windows 8. Вместе с тем, спустя несколько дней, компания Microsoft перевыпустила другое обновление - KB2919355 для Windows RT 8.1, 8.1 и Server 2012 R2, устраняющее проблемы с согласованностью работы криптоалгоритмов, используемых при обновление ОС в корпоративной сети. Это обновление является обязательным для реализации возможности получения всех будущих обновлений указанными ОС. Конечно же, приведение всех алгоритмов обновления ОС к единому образцу это хорошо, но зачем распространять пакет совместимости, который может понадобиться лишь при переходе на более современную версию ОС в виде обязательного обновления, остается загадкой.

http://uinc.ru/news/oa759.html

Upd. Вот и на гиктаймсе про него написали:

Цитировать
Обновление KB3035583 обычно переустанавливается с помощью другого обновления KB2952664. Как только '664 попало в систему ,'583 запрашивается с сервера для скачивания и установки. Таким образом, именно '664 может быть ключевым элементом для управления назойливой кампанией "Get Windows 10".

«Нынешние патчи [вроде GWX Control Panel — прим.пер.] не в полной мере исправляют эту ситуацию, и я не думаю, что они когда-либо исправят её, поскольку автор патча GWX изолирует только исполняемый файл GWX и обновление '583», — написал читатель, который провёл для нас подробное расследование.

Изучение работы обновления '664 объясняет, почему так сложно контролировать GWX. Обновление постоянно «мутирует» — оно часто изменяется и содержит иную нагрузку. Microsoft не документировала его поведение и уже давно отказалась от объяснений, что обновления KB делают на самом деле.

https://geektimes.ru/post/273004/
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Retif от 05 Февраля 2016, 11:54:18
kb3123862 прилетело. Подозрительное тоже.

Цитировать
Updated capabilities to upgrade Windows 8.1 and Windows 7

The update adds capabilities to some computers that lets users easily learn about Windows 10 or start an upgrade to Windows 10. Before you install this update, see the Prerequisites section. For more information about Windows 10, see Windows 10.



Updated: 05 February 2016, 12:12:16

И еще kb3135445, вроде как обновление Windows Update Client, но блин, от MS уже подвоха везде ждешь.


Updated: 05 February 2016, 12:13:51

Вот тут оно есть в нерекомендуемых обновлениях:
http://forum.ru-board.com/topic.cgi?forum=62&topic=24100&start=4011&limit=1&m=1
 ???
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: shs от 05 Февраля 2016, 12:55:56
Отписался в feedback по этому обновлению: What are these improvements for? What exactly do these some improvements improve?

Описание невнятное чуть более чем полностью: "это обновление производит некоторые улучшения в Windows Update Client"
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Triangle от 11 Февраля 2016, 16:38:06
Цитировать
The Microsoft Exchange team has issued a warning to customers to not install .NET Framework 4.6.1 on Exchange servers.
    We wanted to post a quick note to call out that since yesterday, the .NET Framework 4.6.1 has been made a recommended update on WU (Windows Update).
    As we have already stated in the Exchange Supportability Matrix, at this time, this version of .NET framework is not supported by Exchange. In fact, we know of some issues if it is installed.
    We are working with the .NET team to ensure that Exchange customers have a smooth transition to .NET Framework 4.6.1, but in the meantime, delay this particular .NET update on your Exchange servers (information on how this can be accomplished can be found in the KB article 3133990, How to temporarily block the installation of the .NET Framework 4.6.1).
Be cautious when approving updates in your WSUS or other deployment system, that you do not inadvertently approve the update for your Exchange servers.
As always, check the Exchange Supportability Matrix when determining which versions of .NET Framework to install or update on your servers.
Paul Cunningham
Microsoft MVP, Office Servers and Services
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Retif от 12 Февраля 2016, 14:08:58
Статья по настройке телеметрии, сюда же закину, спасибо Найту:
https://technet.microsoft.com/en-us/library/mt577208(v=vs.85).aspx
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Triangle от 02 Марта 2016, 17:59:03
  PAGE_FAULT_IN_NONPAGED_AREA igdpmd64.sys илиigdpmd32.sys
У меня появлялось при запуске IE
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Retif от 03 Марта 2016, 19:54:10
kb3138612 - вроде обновление Windows Update Agent. Потому подозрительное.
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Retif от 10 Марта 2016, 11:07:08
Цитировать
Бюллетень MS16-023: Когда критическое обновление безопасности Windows затрагивает не только безопасность

В минувшие дни Microsoft объявили о выпуске новых бюллетеней безопасности в числе которых содержится MS16-023. Задачей данного обновления безопасности является устранение критических уязвимостей в Internet Explorer позволяющих осуществлять исполнение произвольного кода.

Однако, в Microsoft решили, что вместе с критическими обновлениями безопасности своим пользователям так же можно установить и что-нибудь еще…


Все дело в том, что установив на свои компьютеры критическое обновление KB3139929 пользователи Windows 7 и Windows 8.1, помимо устранения уязвимостей, в довесок обнаружат в системном трее назойливое предложение обновиться до Windows 10.

В поисках объяснений происходящему внимательно вчитываемся в описание KB3139929 где нас уведомляют о том, что это обновление безопасности которое содержит правки не относящиеся к безопасности.

(https://habrastorage.org/getpro/habr/post_images/874/f88/18a/874f8818a8b8fa287868231b66ef3d9e.png)

Вот так просто и не замысловато, под видом благодетели, в Microsoft предприняли новый шаг по распространению навязыванию как Windows 10, так и компонентов системы в которых пользователь явно не нуждался и получил оттуда откуда совершенно не ожидал.

В заключении хочется отметить тот факт, что обновление прилетает даже с отключением рекомендуемых и получением лишь критических обновлений безопасности. Отсюда можно сделать вывод, что пользователям Windows 7 / 8.1 теперь придется внимательно читать описания к каждому обновлению, дословно изучать бюллетени со всеми зависимостями, дабы убедиться в том, что они установят исключительно заплатки безопасности а не что-нибудь еще.
https://habrahabr.ru/post/278933/
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Retif от 21 Марта 2016, 10:28:50
Цитировать
Microsoft использует приёмы зловредов для продвижения Windows 10 перевод
Софт, Операционные системы, Информационная безопасность, Windows, Microsoft
Как многие успели заметить, Microsoft применяет настойчивую и постоянно изменяющуюся тактику для повторного запуска на компьютерах приложения "Get Windows 10" или GWX, так что от него довольно трудно избавиться.

Те, кто отклоняет предложение, вскоре снова сталкиваются с ним много раз [что некоторых очень раздражает — прим.пер.]. Для борьбы с GWX больше подходят методы борьбы с вредоносными программами.

GWX действительно похожа на вирус: она использует канал, предназначенный для одной цели (обновления безопасности), c другой целью (реклама); она изменяет «векторы» атаки»; использует «полиморфные» техники для обхода фильтров; постоянно изменяет установленные пользователем настройки и разрешения.

В технической прессе подробно освещали, как убрать обновление KB3035583, которое постоянно появляется в системе даже после удаления. Однако изучение проблемы показало, что KB3035583 — скорее симптом, а не причина повторного инфицирования GWX.

Обновление KB3035583 обычно переустанавливается с помощью другого обновления KB2952664. Как только '664 попало в систему ,'583 запрашивается с сервера для скачивания и установки. Таким образом, именно '664 может быть ключевым элементом для управления назойливой кампанией "Get Windows 10".

«Нынешние патчи [вроде GWX Control Panel — прим.пер.] не в полной мере исправляют эту ситуацию, и я не думаю, что они когда-либо исправят её, поскольку автор патча GWX изолирует только исполняемый файл GWX и обновление '583», — написал читатель, который провёл для нас подробное расследование.

Изучение работы обновления '664 объясняет, почему так сложно контролировать GWX. Обновление постоянно «мутирует» — оно часто изменяется и содержит иную нагрузку. Microsoft не документировала его поведение и уже давно отказалась от объяснений, что обновления KB делают на самом деле.

Системные логи содержат хронику частых изменений '664.

Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.1.3 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.2.1 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.2.3 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.3.0 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.4.1 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.4.4 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.5.3 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.6.1 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.7.4 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.8.2 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.9.6 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.9.8 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.10.5 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.14.2 Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.15.2
Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.1.3 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.2.1 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.2.3 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.3.0 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.4.1 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.4.4 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.5.3 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.6.1 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.7.4 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.8.2 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.9.6 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.9.8 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.10.5 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.14.2 Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.15.2
Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.1.3 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.2.1 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.2.3 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.3.0 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.4.1 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.4.4 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.5.3 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.6.1 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.7.4 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.8.2 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.9.6 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.9.8 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.10.5 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.14.2 Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.15.2

Windows Update считает каждую новую версию новым обновлением и новым объектом для инсталляции. Так что каждый раз, когда Microsoft изменяет номер версии KB2952664, все предыдущие попытки пользователя заблокировать обновление аннулируются.

Многие не знают, что удаление из системы KB3035583 или KB2952664 деинсталлирует только одну версию патча. Позже он будет переустановлен с альтернативной версией. Сам файл с пакетом KB2952664 кешируется в папке C:\Windows\SoftwareDistribution\Download. Фильтрация дампа реестра на тестовой машине показала более 80 записей реестра, связанных с установкой '583 и '664, главным образом в разделах HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\PackageDetect и HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\Packages.

Пока вы не избавитесь от ВСЕХ системных обновлений "Get Windows 10", всплывающее окно GWX продолжит появляться. Следует удалить:

KB2952664
KB3035583
C:\Windows\System32\GWX
C:\Windows\SoftwareDistribution\Download\*KB2952664*
C:\Windows\SoftwareDistribution\Download\*KB3035583*
ВСЕ записи реестра с KB2952664
(желательно) KB3035583

Так называемый «патч» для удаления GWX на самом деле только прячет значок с напоминанием "Get Windows 10" из трея, но не отменяет реальную инсталляцию назначенных обновлений Windows 10.

Microsoft крайне затруднила удаление GWX понятным способом. Его нельзя автоматизировать, и если вы пропустите одну из 80 записей в реестре, процесс возобновляется.

Количество записей в реестре зависит от того, какие предыдущие версии KB2952664 устанавливались и в каком количестве. Для изменения некоторых записей в реестре нужно переустановить разрешения, что затрудняет задачу.

Наш местный сисадмин и блогер Тревор Потт (Trevor Pott) советует системным администраторам предпринять три шага. Во-первых, запушить изменения в реестре через Group Policy Object (GPO). Во-вторых, убедиться в отсутствии установленных патчей GWX. В-третьих, заблокировать их в службе Windows Server Update Services (WSUS).

«Отсутствие прозрачности, особенно недостаток документации, создаёт огромные проблемы для корпоративных пользователей. Вероятнее всего, это «ложь через умолчание», сказал Потт, потому что документация многих патчей не описывает их поведение в полной мере.

«Microsoft уменьшает количество версий Windows и устраняет пользовательские функции для удаления, задержки, сокращения, фильтрации или блокирования патчей, — говорит Потт. — Сисадмины хотят получить ясное представление, что содержится в патчах, и контролировать все аспекты своих систем — а получают пакет неопределённой лжи, откровенной лжи и дезинформации».

Официальная позиция Microsoft изложена ниже. Компания сказала нам следующее:

    «Потребители могут выбрать вариант не устанавливать обновление Windows 10 или удалить обновление из Windows Update (WU), изменив настройки WU. Приложение Get Windows 10 контролируется через контрольную панель менеджера уведомлений Windows 7 и Windows 8.1, и потребители могут отключить уведомления об апгрейде в системном трее. Значок приложения "Get Windows 10" тоже может быть удалён оттуда.

    Для IT-администраторов существует возможность отключить обновление через настройки групповых политик или ключ реестра DisableUpgrade. Все остальные ключи реестра не предназначены для контроля уведомлений или управления процессом апгрейда и не рекомендуются к использованию компанией Microsoft. См. KB3080351 для дополнительной информации».


Но это далеко не полная картина. Совет Microsoft не учитывает того факта, что GWX мутирует и удаление этих апдейтов не избавляет от появления GWX в будущем.

На прошлой неделе админам пришлось избавляться от обновления безопасности IE, которое создало новый вектор атаки для GWX. Похоже, неудобства пользователей не кажутся особой проблемой, так что Microsoft продолжает использовать эту рекламную схему.

В своё время компания Microsoft стремилась подчеркнуть, что облачные сервисы конкурентов не преуспеют, пока пользователи не станут им доверять. Но её сверхагрессивная тактика с приёмами, типичными для вредоносного ПО, и отсутствие прозрачности наталкивают на мысль, что Microsoft хорошо бы прибраться в своём собственном хозяйстве.

https://geektimes.ru/post/273004/
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: shs от 21 Марта 2016, 10:57:13
я чо-то никак не пойму, если есть возможность в Политике указать, что я не хочу апгрейдиться на Win10 (а, IIUC, такая возможность существует), то нафига все эти пляски с бубном (с удалением и блокированием обновлений)? Запилите полику и все.  :pardon:
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Retif от 08 Апреля 2016, 21:44:44
kb2952664 сегодня опять прилетело. Уже в третий раз.
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: airdwarf от 14 Апреля 2016, 05:58:50
How to manage Windows 10 notification and upgrade options   ::)
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Retif от 14 Апреля 2016, 09:18:11
airdwarf, ну в принципе, про выключение из групповых политик у меня в первом посте написано.
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: airdwarf от 14 Апреля 2016, 20:29:48
Retif, на заборе тоже написано, а там - дрова мануал от вендора.
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Retif от 14 Апреля 2016, 20:48:58
airdwarf,  :facepalm2:

Полезные обновления:
https://support.microsoft.com/en-us/kb/3065987 - для Windows 7
https://support.microsoft.com/en-us/kb/3065988 - для Windows 8.1
Это наоборот, полезное обновление, добавляет дополнительные опции в групповые политики операционной системы пользователя. Установка этого обновления не останавливает скачивание Windows 10, нужно еще зайти в групповые политики: Computer Configuration / Administrative Templates / Windows Components / Windows Update Policy и уже там выключить обновление до новой ОС.
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Triangle от 12 Мая 2016, 07:13:54
После установки Обновления Microsoft KB3133977 для Windows 7, некоторые пользователи могут столкнуться с проблемой "Secure Boot Violation", которая не дает системе загрузиться.
Чтобы защитить системы пользователя от вредоносных атак, материнские платы ASUS обеспечивают функцию Microsoft Secure Boot по умолчанию. Эта функция выполняет проверку легальности загрузчика, чтобы загрузиться в ОС. Так как Windows 7 не поддерживает Secure Boot (https://technet.microsoft.com/ru-ru/library/hh824987.aspx), с обновлением KB3133977, система может обнаружить несогласованные ключи ОС, в результате сбоя загрузки.
Пожалуйста, измените настройки UEFI Secure Boot, как описано ниже; это позволит системе загружаться в операционную систему успешно.

http://www.asus.com/ru/support/faq/1016356/
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: 6wings от 16 Мая 2016, 18:41:25
взято с ру-борд:

Цитировать
### НЕрекомендуемые обновления ###
 
 *** Windows 10 migration ***
 -KB3021917  09.02.15  Обновление для Windows 7 (для перехода на Windows 10)
 -KB2990214  06.04.15  Windows Update Client for Windows 7 (для перехода на Windows 10) (заменен на KB3138612)
 -KB3050265  02.06.15  Windows Update Client for Windows 7 (для перехода на Windows 10) (заменен на KB3138612)
 -KB3065987  13.07.15  Windows Update Client for Windows 7 (для перехода на Windows 10) (заменен на KB3138612)
 -KB3075851  03.08.15  Windows Update Client for Windows 7 (для перехода на Windows 10) (заменен на KB3138612)
 -KB3083324  31.08.15  Windows Update Client for Windows 7 (для перехода на Windows 10) (заменен на KB3138612)
 -KB3083710  06.10.15  Windows Update Client for Windows 7 (для перехода на Windows 10) (заменен на KB3138612)
 -KB2977759  06.10.15  Обновление для Windows 7 (для перехода на Windows 10) (заменен на KB2952664)
 -KB3102810  03.11.15  Windows Update Client for Windows 7 (для перехода на Windows 10) (заменен на KB3138612)
 -KB3112343  01.12.15  Windows Update Client for Windows 7 (для перехода на Windows 10) (заменен на KB3138612)
 -KB3121461  11.01.16  Обновление для Windows 7 (для перехода на Windows 10) (заменен на KB2952664)
 -KB3135445  02.02.16  Windows Update Client for Windows 7 (для перехода на Windows 10) (заменен на KB3138612)
 -KB3123862  03.02.16  Обновление для Windows 7 (для перехода на Windows 10)
 -KB3138612  01.03.16  Windows Update Client for Windows 7 (для перехода на Windows 10)
 -KB3035583-v3  22.03.16  Обновление для Windows 7 (для перехода на Windows 10)
 -KB2952664-v17  05.04.16  Обновление для Windows 7 (для перехода на Windows 10)
 -KB3150513  04.05.16  Обновление для Windows 7 (для перехода на Windows 10)
 
 *** Spy&Telemetry ***
 -KB971033   22.02.11  Windows Activation Technologies (обновления технологии проверки подлинности ОС)
 -KB2882822 07.10.13  Обновление для Windows 7 (Diagnostics and Telemetry tracking service) (заменен на KB3080149)
 -KB3022345 05.05.15  Обновление для Windows 7 (Diagnostics and Telemetry tracking service) (заменен на KB3068708)
 -KB3068708 02.06.15  Обновление для Windows 7 (Diagnostics and Telemetry tracking service) 
 -KB3080149 17.08.15  Обновление для Windows 7 (Diagnostics and Telemetry tracking service) 
 -KB3075249 17.08.15  Обновление для Windows 7 (Update that adds telemetry points) 
 -KB3081954 19.10.15  Обновление для Windows 7 (Update that adds telemetry points) 
 
 ### Другие обновления ###
 
-KB3071740  21.07.15  Обновление для Windows 7 (Hyper-V update for Windows virtual machines )
 
 *** TMP (временно не отнесенные в основной список) ***
-KB3020370  20.04.15  Update for Windows 7 (Cmitrust.dll) (для KB3020369)
 
 ### Скрипт для удаления не рекомендуемых обновлений (включает замененные обновления) ###

Код:
@echo off
 rem Windows 10 migration uninstall
 start /w wusa.exe /uninstall /kb:3021917
 for /L %%i in (1,1,7) do start /w wusa.exe /uninstall /kb:3035583
 start /w wusa.exe /uninstall /kb:2990214
 start /w wusa.exe /uninstall /kb:3050265
 start /w wusa.exe /uninstall /kb:3065987
 start /w wusa.exe /uninstall /kb:3075851
 start /w wusa.exe /uninstall /kb:3083324
 start /w wusa.exe /uninstall /kb:3083710
 start /w wusa.exe /uninstall /kb:3102810
 start /w wusa.exe /uninstall /kb:3112343
 start /w wusa.exe /uninstall /kb:3121461
 for /L %%i in (1,1,19) do start /w wusa.exe /uninstall /kb:2952664
 start /w wusa.exe /uninstall /kb:2977759
 start /w wusa.exe /uninstall /kb:3135445
 start /w wusa.exe /uninstall /kb:3123862
 start /w wusa.exe /uninstall /kb:3138612
 start /w wusa.exe /uninstall /kb:3150513
 rem Telemetry service uninstall
 start /w wusa.exe /uninstall /kb:2882822
 start /w wusa.exe /uninstall /kb:3022345
 start /w wusa.exe /uninstall /kb:3068708
 start /w wusa.exe /uninstall /kb:3080149
 start /w wusa.exe /uninstall /kb:3075249
 start /w wusa.exe /uninstall /kb:3081954 
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Retif от 22 Мая 2016, 17:33:19
Не пойму, что за обновление kb3156417? Rollup почему-то пишут.
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Retif от 10 Июня 2016, 22:30:05
Не пойму, что за обновление kb3156417? Rollup почему-то пишут.


Вот что нагуглилось:
Цитировать

    KB 3156417: May 2016 update rollup for Windows 7 SP1 and Windows Server 2008 R2 SP1.

This is the first of the new breed of nonsecurity patches. According to the KB article, it includes only two fixes, KB 3155039 and KB 3155218, both relatively benign. As of early Wednesday morning, the KB articles for those two fixes aren't available.

I installed KB 3156417 on a test machine and found that only the rollup envelope patch, KB 3156417, appears in the list of installed updates. That may present a problem, because neither KB 3155039 nor KB 3155218 can be uninstalled individually. You either remove the whole rollup -- both individual patches -- or leave it intact.

http://www.infoworld.com/article/3071689/microsoft-windows/new-windows-7-and-81-patches-usher-in-the-future-of-rollup-updating.html

Вроде всё нормально с этим обновлением, без приколов.
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: shs от 16 Июня 2016, 11:33:37
Последний patch tuseday - это просто праздник какой-то
https://support.microsoft.com/en-gb/kb/3163622

Цитировать
MS16-072 changes the security context with which user group policies are retrieved. This by-design behavior change protects customers’ computers from a security vulnerability. Before MS16-072 is installed, user group policies were retrieved by using the user’s security context. After MS16-072 is installed, user group policies are retrieved by using the machines security context.

Symptoms
All user Group Policy, including those that have been security filtered on user accounts or security groups, or both, may fail to apply on domain joined computers.
Cause
This issue may occur if the Group Policy Object is missing the Read permissions for the Authenticated Users group or if you are using security filtering and are missing Read permissions for the domain computers group.
Resolution
To resolve this issue, use the Group Policy Management Console (GPMC.MSC) and follow one of the following steps:•Add the Authenticated Users group with Read Permissions on the Group Policy Object (GPO).
•If you are using security filtering, add the Domain Computers group with read permission.

https://social.technet.microsoft.com/Forums/en-US/e2ebead9-b30d-4789-a151-5c7783dbbe34/patch-tuesday-kb3159398?forum=winserverGP


В общем, после установки этого обновления перестают применяться политики пользователя. Для того, чтобы они начали применяться, надо давать разрешение на чтение на объекты GPO для аутентифицированых пользователей и/или компьютеров домена.



Updated: 16 June 2016, 13:06:01

У меня в домене на Win2k8R2 на всех объектах политик, к которым применялось Security filtering, пришлось добавлять разрешение на чтение для Authenticated Users и Domain computers.
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Retif от 17 Июля 2016, 10:29:24
Еще одна напоминалка про установку 10-ки:

Цитировать
«Извините, что отвлекаем вас, но это важно» — очередное последнее предупрежение?

Компания Microsoft, похоже, никак не смирится с мыслью, что в мире все еще могут быть люди, которые, мало того что используют ОС Windows предыдущих версий, так еще, многократно ответив «нет» на самые заковыристые вопросы по поводу возможности обновиться до Windows 10 (да-да, включая те знаменитые варианты, на которые никак невозможно было ответить нет), не собираются оказываться от этого своего убеждения и далее.

Специально для таких упрямцев выпущено еще одно, «последнее китайское» обновление KB3173040, вся 5,3 мегабайтная суть которого сводится к выводу на экран милой таблички, полностью закрывающей экран, следующего вида:
(https://habrastorage.org/getpro/geektimes/post_images/9b3/882/217/9b3882217c15b919846ce06117633fa6.png)
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Retif от 21 Сентября 2016, 10:01:36
А вот и полезное обновление:
Цитировать
Срок минул, а напоминалки в иных системах как были, так и остались (возможно, неактивными). И вот (кто бы мог подумать?) в списке обновлений для Windows появилось оно — обновление KB3184143.

Это даже несколько неожиданно, но обновление на этот раз не устанавливает, а удаляет компоненты, направленные на получение бесплатного обновления. Да-да, Microsoft, как это странно не прозвучит, в данном случае прибирается за собой.

Список обновлений, которые устанавливали напоминалки и обновлялки, и которые будут удалены с установкой KB3184143:

KB 3035583 — Update installs Get Windows 10 app in Windows 8.1 and Windows 7 SP1
KB 3064683 — Windows 8.1 OOBE modifications to reserve Windows 10
KB 3072318 — Update for Windows 8.1 OOBE to upgrade to Windows 10
KB 3090045 — Windows Update for reserved devices in Windows 8.1 or Windows 7 SP1
KB 3123862 — Updated capabilities to upgrade Windows 8.1 and Windows 7
KB 3173040 — Windows 8.1 and Windows 7 SP1 end of free upgrade offer notification
KB 3146449 — Updated Internet Explorer 11 capabilities to upgrade Windows 8.1 and Windows 7
https://geektimes.ru/post/280668/
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Retif от 28 Ноября 2016, 10:34:16
В общем, после установки этого обновления перестают применяться политики пользователя. Для того, чтобы они начали применяться, надо давать разрешение на чтение на объекты GPO для аутентифицированых пользователей и/или компьютеров домена.


Updated: 16 June 2016, 13:06:01
У меня в домене на Win2k8R2 на всех объектах политик, к которым применялось Security filtering, пришлось добавлять разрешение на чтение для Authenticated Users и Domain computers.

И если раньше можно было просто не устанавливать это обновление, то теперь, в 10-ке оно уже интегрировано, увы. Authenticated Users не вариант, у нас по крайней мере (политики применяются только на конкретные группы пользователей), приходится Domain computers добавлять в каждую политику.
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: shs от 28 Ноября 2016, 18:54:15
Authenticated Users не вариант, у нас по крайней мере (политики применяются только на конкретные группы пользователей),
не уловил связи логической я, например
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Retif от 28 Ноября 2016, 19:28:30
А-а, там же только на чтение, а не на применение политики, сморозил глупость, простите  :pardon:
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Retif от 03 Февраля 2017, 11:29:14
В общем, после установки этого обновления перестают применяться политики пользователя. Для того, чтобы они начали применяться, надо давать разрешение на чтение на объекты GPO для аутентифицированых пользователей и/или компьютеров домена.
В общем очень подробно про это обновление, и что и как делать, чтобы меньше телодвижений делать тут:
Обновление MS16-072 ломает Group Policy. Что с этим делать?
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Triangle от 14 Июня 2017, 08:54:50
Цитировать
As part of the Patch Tuesday goodness, Microsoft is releasing .NET Framework 4.7. As has always been the case, .NET updates can break things customers (and Microsoft) weren’t expecting.
Microsoft is aware of at least one glaring issue for the update and the Exchange team is warning customers NOT to install it.
In .NET Framework 4.7 and Exchange Server, Microsoft provides its support statement. Essentially…
At this time, .NET Framework 4.7 is not supported by Exchange Server. Please resist installing it on any of your systems after its release to Windows Update.
However, the company is sure that some customers will have seen the  message too late and is providing guidance on what to do if the update was already installed, which is the basic steps for safely removing the update, repairing the old version, and then blocking 4.7 from installing again.

http://myitforum.com/myitforumwp/2017/06/13/dont-install-todays-net-framework-update-on-exchange-server/

Цитировать
We wanted to post a quick note to call out that our friends in .NET are releasing .NET Framework 4.7 to Windows Update for client and server operating systems it supports.
At this time, .NET Framework 4.7 is not supported by Exchange Server. Please resist installing it on any of your systems after its release to Windows Update.
We will be sure to release additional information and update the Exchange supportability matrix when .NET Framework 4.7 becomes a supported version of .NET Framework with Exchange Server. We are working with the .NET team to ensure that Exchange customers have a smooth transition to .NET Framework 4.7, but in the meantime, delay this particular .NET update on your Exchange servers. Information on how this block can be accomplished can be found in article 4024204, How to temporarily block the installation of the .NET Framework 4.7.
It’s too late, I installed it. What do I do now?
If .NET Framework 4.7 was already installed and you need to roll back to .NET Framework 4.6.2, here are the steps:
Note: These instructions assume you are running the latest Exchange 2016 Cumulative Update or the latest Exchange 2013 Cumulative Update as well as .NET Framework 4.6.2 prior to the upgrade to .NET Framework 4.7 at the time this article was drafted. If you were running a version of .NET Framework other than 4.6.2 or an older version of Exchange prior to the upgrade of .NET Framework 4.7, then please refer to the Exchange Supportability Matrix to validate what version of .NET Framework you need to roll back to and update the steps below accordingly. This may mean using different offline/web installers or looking for different names in Windows Update based on the version of .NET Framework you are attempting to roll back to if it is something other than .NET Framework 4.6.2.
1. If the server has already updated to .NET Framework 4.7 and has not rebooted yet, then reboot now to allow the installation to complete.
2. Stop all running services related to Exchange.  You can run the following cmdlet from Exchange Management Shell to accomplish this:
(Test-ServiceHealth).ServicesRunning | %{Stop-Service $_ -Force}
3. Depending on your operating system you may be looking for slightly different package names to uninstall .NET Framework 4.7.  Uninstall the appropriate update.  Reboot when prompted.
    On Windows 7 SP1 / Windows Server 2008 R2 SP1, you will see the Microsoft .NET Framework 4.7 as an installed product under Programs and Features in Control Panel.
    On Windows Server 2012 you can find this as Update for Microsoft Windows (KB3186505) under Installed Updates in Control Panel.
    On Windows 8.1 / Windows Server 2012 R2 you can find this as Update for Microsoft Windows (KB3186539) under Installed Updates in Control Panel.
    On Windows 10 Anniversary Update and Windows Server 2016 you can find this as Update for Microsoft Windows (KB3186568) under Installed Updates in Control Panel.
4. After rebooting check the version of the .NET Framework and verify that it is again showing version 4.6.2.  You may use this method to determine what version of .NET Framework is installed on a machine. If it shows a version prior to 4.6.2 go to Windows Update, check for updates, and install .NET Framework 4.6.2.  If .NET Framework 4.6.2 is no longer being offered via Windows Update, then you may need to use the Offline Installer or the Web Installer. Reboot when prompted.  If the machine does show .NET Framework 4.6.2 proceed to step 5.
    .NET Framework 4.6.2 offline installer.
    .NET Framework 4.6.2 web installer.
5. After confirming .NET Framework 4.6.2 is again installed, stop Exchange services using the command from step 2.  Then, run a repair of .NET 4.6.2 by downloading the offline installer, running setup, and choosing the repair option.  Reboot when setup is complete.
6. Apply any security updates specifically for .NET 4.6.2 by going to Windows update, checking for updates, and installing any security updates found.  Reboot after installation.
7. After reboot verify that the .NET Framework version is 4.6.2 and that all security updates are installed.
8. Follow the steps here to block future automatic installations of .NET Framework 4.7.
The Exchange Team

https://blogs.technet.microsoft.com/exchange/2017/06/13/net-framework-4-7-and-exchange-server/
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Retif от 14 Июня 2017, 13:11:28
А-а, ну да, такая же фигня, как с 4.6 была, .NET Framework выпустили быстрей, чем продукты к нему адаптировали.


Updated: 14 June 2017, 18:26:33

Ну и кстати, в реестре ключ добавил, службу Windows Update перезапустил, все равно в обновлениях для установки Framework 4.7 присутствует. Сервер (2016) перегружать что-то неохота.
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Triangle от 15 Июня 2017, 21:58:57
Цитировать
This security update resolves vulnerabilities in Microsoft Office that could allow remote code execution if a user opens a specially crafted Office file. To learn more about these vulnerabilities, see Microsoft Common Vulnerabilities and Exposures CVE-2017-8506, Microsoft Common Vulnerabilities and Exposures CVE-2017-8507, and Microsoft Common Vulnerabilities and Exposures CVE-2017-8508.

https://support.microsoft.com/en-us/help/3191932/descriptionofthesecurityupdateforoutlook2016june13,2017

Цитировать
Security Update for Outlook 2016 Could Cause Email Attachment Blocking Issues
A security update release from Microsoft for Outlook 2016 comes with a clear warning…
If an email message includes an attached email message, and the attached email message’s subject line ends with an unsafe file name extension as listed in the Blocked attachments in Outlook page, the email attachment will be blocked for recipients. To fix this issue, save the email message to the computer and rename its subject line so that it does not end with an unsafe file name extension. Then, attach it to the email message to be sent.
So, unless you read every tidbit of every piece of information that Microsoft releases, you might have missed it. Or, as is the case most often, Microsoft tends to deliver its patches long before its guidance is actually available.
However, even with this warning, the update is being reported to causing general attachment issues – not just the specific one described in the warning. Some are reporting that Word and Excel attachments can’t be opened from an Outlook email nor can they be saved to disk.
Uninstalling KB3191932 fixes the problem.

http://myitforum.com/myitforumwp/2017/06/14/security-update-for-outlook-2016-could-cause-email-attachment-blocking-issues/


Updated: 16 June 2017, 08:10:19

Цитировать
KB4022719 Causes Internet Explorer to Print Blank Pages
Essentially, after KB4022719 is installed (the monthly rollup for Windows 7 SP1), any content that is opened in a frame in Internet Explorer fails to print. Blank pages print out when users attempt to print the content contained in the frame.
Uninstalling KB4022719 solves the problems, but that shouldn’t be the ultimate solution.

http://myitforum.com/myitforumwp/2017/06/15/kb4022719-causes-printing-problems-with-internet-explorer/
https://answers.microsoft.com/en-us/ie/forum/ie11-windows_7/kb4022719-printing-issues/e431c6e1-5f27-4bef-93ce-d8d9ae23a477
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Triangle от 06 Июля 2017, 10:06:30
Цитировать
15.06.2017 Автор:Алексей Максимов

Внимание. Обновления Microsoft Office, выпущенные 13.06.2017, а именно KB3191898 (Outlook 2007 SP3), KB3203467 (Outlook 2010 SP2), KB3191938 (Outlook 2013), KB3191932 (Outlook 2016) способны сделать невозможной работу с вложениями в Outlook.  Об этом свидетельствует опыт знакомых "самураев", отважно использующих auto approve на WSUS и сообщения из открытых источников (ссылки ниже). Рекомендуем не торопиться с развёртыванием данных обновлений через WSUS без предварительного тщательного тестирования.
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: shs от 06 Июля 2017, 10:23:23
Цитировать
15.06.2017 Автор:Алексей Максимов

Внимание. Обновления Microsoft Office, выпущенные 13.06.2017, а именно KB3191898 (Outlook 2007 SP3), KB3203467 (Outlook 2010 SP2), KB3191938 (Outlook 2013), KB3191932 (Outlook 2016) способны сделать невозможной работу с вложениями в Outlook.  Об этом свидетельствует опыт знакомых "самураев", отважно использующих auto approve на WSUS и сообщения из открытых источников (ссылки ниже). Рекомендуем не торопиться с развёртыванием данных обновлений через WSUS без предварительного тщательного тестирования.
Невнятная формулировка. На самом деле после установки этого обновления Outlook начинает блокировать, как якобы небезопасные, вложения, чьи имена содержат либо более одной точки подряд, либо восклицательный знак + еще несколько багов.

Для исправления ситуации в Outlook 2010 27.06 MS выпустила обновление kb3015545, причем его x86 вариант оказался неудачным и стал крашить обновленный Outlook, после чего эта x86 часть обновления была отозвана, а 64-битный вариант доступен для скачивания. Но и тут есть нюансы:  kb3015545 - недоступно для распространения через WSUS, а доступно только для тех, кто обновляется напрямую с MS. Так же его можно скачать и установить вручную с сайта MS.
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Triangle от 06 Июля 2017, 12:34:50
У меня пользователи в регионах где автоапдейт локально пожаловались на то что блочить стало почти всё, независимо от имен.
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: shs от 06 Июля 2017, 15:52:40
почти всё
Дык по ссылке сходи, почитай - что конкретно блочится, а заодно, какие обновления надо поставить, чтобы это вылечить
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Triangle от 13 Октября 2017, 14:33:51
Цитировать
Октябрьские обновления для Windows 10 (KB4041676 , KB4041691) и Windows Server 2016 (KB4041676), загруженные на WSUS/SCCM, способны вызвать сбой загрузки ОС

13.10.2017Автор:Алексей Максимов

Внимание. Октябрьские обновления для Windows 10 v1703 (KB4041676), Windows 10 v1607 (KB4041691) и Windows Server 2016 (KB4041691), которые ранее были загружены в локальные хранилища WSUS и SCCM SUP, способны вывести из строя целевые ОС, сделав невозможной загрузку ОС, выполненную после установки обозначенных обновлений.

Сообщения о проблемах начали появляться пару дней назад, и на данный момент уже опубликована статья, описывающая ситуации, при которых возможно столкнуться с проблемой и известные методы её решения для тех, кто уже "приплыл": Windows devices may fail to boot after installing October 10 version of KB4041676 or KB4041691 that contained a publishing issue

Для обхода проблемы с данным обновлением рекомендуем выполнить повторную синхронизацию метаданных и контента Ваших локальных хранилищ обновлений в WSUS и SCCM SUP, после чего выполнить тестирование развёртывания данных обновлений.
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Triangle от 24 Октября 2017, 23:14:38
Цитировать
Октябрьское обновление Windows 10 Fall Creators Update (1709) способно нарушить работу ПО КриптоПро CSP версий 3.9 и 4.0 на компьютерах в домене Active Directory

Внимание. Если в вашей инфраструктуре компьютеры c Windows 10 включены в домен Active Directory и при этом на компьютерах используется программный пакет КриптоПро CSP версий 3.9 и 4.0 c хранением ключей в системном реестре Windows, то стоит воздержаться от развёртывания свежего Октябрьского обновления Windows 10 Fall Creators Update (версия 1709), так как данное обновление способно нарушить работу с ключами КриптоПро для непривилегированных пользователей. Об этом недавно было объявлено на сайте ООО "Крипто-Про": Проблемы доступа к ключам КриптоПро CSP в случае обновления до Windows 10 Fall Creators Update.
https://blog.it-kb.ru/2017/10/24/windows-10-fall-creators-update-1709-may-break-cryptopro-csp-version-3-9-and-4-on-computers-in-active-directory-domain/
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: 6wings от 22 Января 2018, 15:45:28
Один из физ. компов на Кваде с Вин 64х очень странно обновлялся последние 2 раза. Обновления устанавливались только после откатов. Т.е. первый раз неудачно, потом откат на предыдущее (как было до 1-го раза), потом удачно. И так 2 раза. Хрень какая-то. Ничего особенного из приложений на этом компе не установлено, всё примерно то же самое и на других (в разных вариантах).
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: 6wings от 25 Июля 2018, 15:09:52
Относительно недавно МС перевели Definition updates for MSE из статуса необязательных в статус важных. Казалось бы, зачем? MSE и так прекрасно сам регулярно обновляет свои вирусные определения, не требуя никаких действий от оператора. Теперь же каждый день стало выскакивать сообщение о необходимости установить Definition update. Это анноит ((

Но это ещё не всё - буквально со вчерашнего дня Preview of Rollups (ежемесячных) тоже попали в "важные". Которые нафих не нужны потому что они Preview (или есть другие мнения?)

Короче, будьте бдительны при установке обновлений и обращайте внимание на то, что ставите.
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Retif от 11 Ноября 2018, 11:25:06
Отделил: Обновление Hyper-V Server 2008 R2 1803. Слетают все службы интеграции. Не работает мышь и сеть.
Название: Вредные и подозрительные обновления для Windows - сюда
Отправлено: Triangle от 05 Декабря 2018, 17:07:29
Цитировать
Обновление для Windows 10 вызывает синий экран смерти на Surface Book 2

На форумах Microsoft и Reddit появились жалобы от пользователей на возникновение синего экрана смерти после установки кумулятивного обновления KB4467682, выпущенного во вторник для Windows 10 (версия 1803). По их словам, система выдавала ошибку SYSTEM THREAD EXCEPTION NOT HANDLED. Судя по обсуждениям на Reddit, одним пользователям удалось решить проблему, деинсталлировав обновление, однако у других после удаления обновления дорогостоящий Surface Book 2 становился полностью нерабочим.