【51CTO.com快譯】2016年10月將成為微軟修補(bǔ)Windows 7和8.1舉措的一個(gè)重大分水嶺。盡管大多數(shù)組織仍在推遲把他們的Windows產(chǎn)品升級(jí)到Windows 10;但是，如果你還沒(méi)有準(zhǔn)備好有關(guān)細(xì)節(jié)的話，這次重大修補(bǔ)舉措將可能對(duì)您產(chǎn)生重大影響。

這次重大修補(bǔ)舉措將導(dǎo)致的結(jié)果是：Windows7和8.1將不再接收單個(gè)修補(bǔ)程序。相反，他們將啟用每月一次的兩種分開類型的更新：一種是只與安全相關(guān)的補(bǔ)丁包;另一種是完整的更新集合。其中，安全補(bǔ)丁包類型并不包含微軟累積的所有補(bǔ)丁;而后者則包含微軟累積的所有補(bǔ)丁。而且，每一種類型有其自己的專門的部署方法。但是，僅僅是換湯不換藥而已。聽起來(lái)很簡(jiǎn)單，對(duì)不對(duì)?

Windows10安裝要點(diǎn)

從今天起，你可以下載Windows10安裝超級(jí)指南(http://www.infoworld.com/resources/111525/microsoft-windows/windows-10-installation-superguide#tk.ifw-infsb)，并不斷關(guān)注微軟技術(shù)中有關(guān)Windows報(bào)告方面的通知(http://www.infoworld.com/newsletters/signup.html#tk.ifw-infsb)。

然而，麻煩還是存在的;而且，對(duì)于許多組織來(lái)說(shuō)，可能意味著一個(gè)真正的麻煩。下面，我們將分塊剖析在Windows 7/8.1更新時(shí)，你需要了解的問(wèn)題，希望能幫助你避免因微軟這次重大修補(bǔ)調(diào)整給你帶來(lái)的麻煩。

微軟新的Windows 7/8.1補(bǔ)丁策略

六個(gè)星期前，微軟產(chǎn)品經(jīng)理NathanMercerkicked關(guān)閉了一個(gè)長(zhǎng)時(shí)間的討論話題;此話題是關(guān)于從今年10月份開始修補(bǔ)Windows 7和8.1及Server2012R2新方向方面的。有關(guān)詳情，您可在TechNet博客(另外，還有100多個(gè)其他相關(guān)的話題)搜索到。不過(guò)，下面介紹的僅是其概要信息：

• 安全補(bǔ)丁將每個(gè)月合并為單個(gè)的僅安全更新(Security-only Update)，用戶可以從微軟更新目錄(https://catalog.update.microsoft.com/)處下載。那些使用企業(yè)網(wǎng)絡(luò)的用戶可以通過(guò)WSUS或SCCM訪問(wèn)這種僅安全更新。僅安全更新不是累積性的。
• 所有安全相關(guān)及安全無(wú)關(guān)的補(bǔ)丁程序?qū)⒈缓喜⒊梢粋€(gè)累積更新，稱為“每月匯總”(Monthly Rollup)。您可以從Windows Update(現(xiàn)今大多數(shù)個(gè)人用戶從此處獲取補(bǔ)丁程序)或者Update Catalog(任何人都可以從此處下載并安裝補(bǔ)丁程序)或從WSUS或SCCM訪問(wèn)此每月匯總。當(dāng)你安裝每月匯總時(shí)，Windows更新只會(huì)下載增量補(bǔ)丁程序。
• 微軟將逐漸向每月匯總中添加更舊的補(bǔ)丁。但是目前，先別指望能從每月的匯總中看到一大堆的補(bǔ)丁程序，但請(qǐng)務(wù)必注意，微軟正朝著這個(gè)方向努力。
• 您可以卸載整個(gè)僅安全更新或整個(gè)的每月匯總。沒(méi)有單獨(dú)的補(bǔ)丁程序，因此也就沒(méi)有單獨(dú)的補(bǔ)丁卸載，而且你不能隱藏單個(gè)補(bǔ)丁程序。

從表面上看，這是相對(duì)簡(jiǎn)單的：沒(méi)有更多獨(dú)立的補(bǔ)丁程序，僅提供兩種不同的每月更新。僅安全有關(guān)的更新必須下載和安裝，而完整的補(bǔ)丁包集合可以通過(guò)Windows更新方式來(lái)下載安裝。僅安全相關(guān)的更新不是累積性的;但是每月匯總包，包括安全和與安全無(wú)關(guān)的更新卻是累積的。

那些繼續(xù)使用Windows更新的用戶將得到所有微軟的Windows補(bǔ)丁程序。而那些關(guān)閉Windows更新的用戶則可以手動(dòng)方式僅安裝安全相關(guān)的補(bǔ)丁程序。但在任何情況下，單個(gè)補(bǔ)丁程序——如我們已經(jīng)認(rèn)識(shí)了十年的那樣——只能作為微軟補(bǔ)丁文檔中的一個(gè)要點(diǎn)形式存在。

于是，在那些文檔中，有關(guān)這些補(bǔ)丁的信息細(xì)節(jié)往往會(huì)變得混亂無(wú)比。作為全球領(lǐng)先的人才、健康、養(yǎng)老和投資咨詢機(jī)構(gòu)，美世公司確認(rèn)存在以下問(wèn)題：

• Net將被單獨(dú)更新，或者使用結(jié)合進(jìn)一個(gè)安全相關(guān)或者安全無(wú)關(guān)的.Net框架每月匯總，或者是結(jié)合僅安全相關(guān)的更新，下載地址是Update Catalog和WSUS。
• Internet Explorer 11程序有關(guān)更新將以每月匯總和僅安全更新兩種方式提供。但是，尚不清楚IE11補(bǔ)丁是否將列入新的安全更新或每月匯總中。我們已經(jīng)看到與安全無(wú)關(guān)的IE更新已列入IE安全更新的情況。這種區(qū)別在未來(lái)可能成為關(guān)鍵。
• 對(duì)于那些沒(méi)有升級(jí)到Internet Explorer 11的用戶，微軟不會(huì)強(qiáng)迫他們轉(zhuǎn)到IE11，但是我們打算最終一定安裝每月匯總中的補(bǔ)丁程序，無(wú)論我們的員工使用的是哪個(gè)版本的IE。這一點(diǎn)類似于.Net匯總一樣對(duì)待。
• 值得慶幸的是，驅(qū)動(dòng)程序的更新將不包括在僅安全更新或每月匯總中。
• 帶外安全補(bǔ)丁程序在可用時(shí)即被寄送來(lái)，然后將納入后續(xù)的僅安全更新及每月匯總中。
• 當(dāng)前尚沒(méi)有針對(duì)Vista或Server 2008的補(bǔ)丁程序變動(dòng)。

美世公司還提供了一份有關(guān)每月匯總中與安全無(wú)關(guān)部分的第三個(gè)星期二預(yù)覽(Third Tuesday Preview)版本的詳細(xì)說(shuō)明。后面我們也要分析一下它相應(yīng)的具體情況。

立即帶來(lái)的影響

對(duì)于大多數(shù)Windows更新用戶來(lái)說(shuō)，最重要的是：他們不需要改變?nèi)魏螙|西。自動(dòng)更新設(shè)置與以前一樣工作;即系統(tǒng)還是出現(xiàn)與以前一樣的“自動(dòng)下載和安裝”提示，即還是下載補(bǔ)丁，但是讓用戶自己選擇何時(shí)安裝，或者選擇何時(shí)通知他但不下載補(bǔ)丁，或從不檢查更新狀態(tài)。“以接收重要更新的相同方式為我提供推薦的更新(R)”復(fù)選框的功能與以前一樣。如果微軟標(biāo)記某一項(xiàng)更新為“Recommended”(推薦)并且選中該復(fù)選框，那么此更新項(xiàng)將在Windows更新列表中選中(準(zhǔn)備安裝)。如果未勾選此項(xiàng)，則該更新項(xiàng)在“Optional”(可選)類別中顯示為未選中狀態(tài)。

微軟在過(guò)去的幾個(gè)月中一直在研究該補(bǔ)丁的處理技術(shù)。你可能還沒(méi)有注意到，但微軟的確已推出了有關(guān)Windows 7和Windows 8.1的詳細(xì)技術(shù)支持頁(yè)面。

Windows 7和8.1補(bǔ)丁程序的開發(fā)已經(jīng)開始醞釀。到目前為止，我們已經(jīng)看到出現(xiàn)三種Windows7非安全性更新資料，即7月份發(fā)布的KB3172605、8月份發(fā)布的KB3179573和9月份發(fā)布的KB3185278。這些內(nèi)容***出現(xiàn)在前面提到的“可選的”類別中顯示為未選中的補(bǔ)丁，然后升級(jí)到“推薦的”補(bǔ)丁列表中。正如我?guī)讉€(gè)星期前所解釋的：“其一般的補(bǔ)丁發(fā)布模式是：先采用累積更新方案(即‘修補(bǔ)程序匯總’)以‘可選的’方式發(fā)布;等一個(gè)月時(shí)間看看是否什么發(fā)生問(wèn)題。如果沒(méi)有出現(xiàn)什么問(wèn)題，則在下個(gè)月將其更改為‘推薦的’。”

如果在你的機(jī)器的Windows上選中“以接收重要更新的相同方式為我提供推薦的更新(R)”，那么***次周二補(bǔ)丁(Patch Tuesday)中與安全無(wú)關(guān)的補(bǔ)丁匯總不會(huì)安裝;但是，它會(huì)在隨后的一個(gè)月進(jìn)行安裝。這是聰明的辦法;看起來(lái)像是會(huì)起作用。還有這樣一些用戶，他們?cè)?jīng)被與安全無(wú)關(guān)的補(bǔ)丁程序傷害過(guò);于是，對(duì)于與安全無(wú)關(guān)的補(bǔ)丁，他們會(huì)費(fèi)盡心思檢查并最終同意不勾選“Optional”選項(xiàng)。

到目前為止，我們還沒(méi)有看到任何有關(guān)于累積性安全無(wú)關(guān)補(bǔ)丁或捆綁式安全補(bǔ)丁與安全無(wú)關(guān)補(bǔ)丁的測(cè)試消息。但無(wú)論如何，微軟的這種新型補(bǔ)丁模式已經(jīng)開始成為關(guān)注的焦點(diǎn)。

信任問(wèn)題

當(dāng)然，問(wèn)題是許多個(gè)人和組織并不信任“安裝所有微軟補(bǔ)丁”的辦法。這也難怪他們——他們從Windows10中得到過(guò)很深刻的教訓(xùn)。而且，很多人并不喜歡也不信任微軟的所謂的增強(qiáng)遙測(cè)能力，他們把微軟的這種功能視同“窺探”。

接下來(lái)要介紹的針對(duì)Windows7和8.1的補(bǔ)丁已經(jīng)從今年10月份開始主要針對(duì)個(gè)人用戶提供支持，但作為系統(tǒng)管理員可能也會(huì)對(duì)這種支持很感興趣。

Windows 7/8.1用戶分為兩個(gè)陣營(yíng)：一類是信任微軟更新補(bǔ)丁的用戶，另一類是只想安裝安全補(bǔ)丁的用戶。我們不妨分別稱之為A組和B組：

• A組用戶愿意采取所有微軟新的遙測(cè)系統(tǒng)，當(dāng)然這也包括安裝那些潛在的有用的與安全無(wú)關(guān)的更新。
• B組用戶并不愿意接受任何更多的窺探，除非是絕對(duì)需要;他們不在乎某些更新功能，例如夏令時(shí)區(qū)域變化等，但很想持續(xù)應(yīng)用安全補(bǔ)丁程序。

其實(shí)，還有一個(gè)第三組，不妨稱之為W組。這一組用戶不想使用微軟的任何補(bǔ)丁程序，包括安全補(bǔ)丁等。我并不建議你屬于W組用戶，但是鑒于微軟在過(guò)去對(duì)Windows 7和8.1機(jī)器在不經(jīng)用戶允許的情況下就對(duì)其進(jìn)行更改的情況，這還是可以理解的。

對(duì)于A組用戶來(lái)說(shuō)，打補(bǔ)丁要容易得多：設(shè)置一次就忘不了，除非存在巨大錯(cuò)誤。對(duì)于B組用戶來(lái)說(shuō)，發(fā)生窺探的可能性小得多——但也不能保證絕對(duì)不會(huì)發(fā)生窺探情況——因?yàn)檠a(bǔ)丁程序是完全可以人工控制的。你可以從B組移到A組;但據(jù)我所知，在沒(méi)有完全重新安裝Windows 7或8.1的情況下是沒(méi)有辦法從A組移動(dòng)到B組的。

微軟以自己武斷的方式混合發(fā)行安全和與安全無(wú)關(guān)的補(bǔ)丁程序的歷史由來(lái)已久。如果微軟繼續(xù)發(fā)行帶錯(cuò)誤的安全更新，然后在與安全無(wú)關(guān)的更新中修復(fù)安全更新錯(cuò)誤(例如8月份的KB 3179573和7月份的KB 3172605)的話，這將給普通用戶和系統(tǒng)管理員同樣帶來(lái)麻煩。到目前為止，讓我們假設(shè)微軟將使用只與安全有關(guān)的更新補(bǔ)丁來(lái)修復(fù)只與安全有關(guān)的錯(cuò)誤。如果他們不這樣做的話，那么我們都將生活在一個(gè)深受傷害的世界里。

如何應(yīng)對(duì)微軟重大修補(bǔ)舉措?

從10月份發(fā)行的星期二補(bǔ)丁(October Patch Tuesday)開始，有兩種非常不同的補(bǔ)丁方案可以修復(fù)Windows 7和8.1機(jī)器，你需要在其中作出選擇。目前，有關(guān)細(xì)節(jié)尚未完全獲悉——一定會(huì)改變的;但估計(jì)，也僅是粗略操作。下面介紹你需要做的事情。

選擇哪一種方案可不是像問(wèn)“我相信微軟嗎?”這么簡(jiǎn)單。你必須問(wèn)問(wèn)自己手動(dòng)安裝安全補(bǔ)丁所導(dǎo)致的可能的額外麻煩是否值得讓微軟的新窺探例程關(guān)閉您的計(jì)算機(jī)。你還必須搞明白安裝新的與安全無(wú)關(guān)的補(bǔ)丁(在最近的幾個(gè)月，我們已經(jīng)看到微軟改善了磁盤清理工具，修復(fù)了各種錯(cuò)誤，時(shí)區(qū)更改，特殊情況下的性能改進(jìn)及其他幾個(gè)補(bǔ)丁)是否值得把本機(jī)暴露于微軟的數(shù)據(jù)收集活動(dòng)(我們沒(méi)有這方面的細(xì)節(jié)信息)。

請(qǐng)注意：已經(jīng)落戶于您的機(jī)器上的窺探例程將繼續(xù)呆在原處，即使你選擇了B組用戶類型，除非您能夠手動(dòng)卸載這些例程。在此，我不想通過(guò)問(wèn)題名稱提及KB 2952664這一信息。

***步：在A組和B組中作出選擇。

第二步：如果你屬于A組用戶類型，那么你應(yīng)該設(shè)置“Windows更新”。

如果你正在瑪莎阿姨的PC上工作，那么請(qǐng)?jiān)谙吕蛑羞x擇“自動(dòng)(推薦)，為我的計(jì)算機(jī)自動(dòng)下載推薦的更新并安裝它們”。

如果你確實(shí)想簽約的話，請(qǐng)選擇“檢查更新，但讓我選擇是否下載和安裝它們”或“從不檢查更新(不推薦)”。兩種選擇的行為類似，但***個(gè)選擇當(dāng)有可用的新的更新時(shí)將(至少在理論上)會(huì)在系統(tǒng)托盤中時(shí)鐘圖標(biāo)附近顯示一條提示相應(yīng)的信息。

無(wú)論在上述哪一種情況下，請(qǐng)都要勾選標(biāo)記“以接收重要更新的相同方式為我提供推薦的更新”，并單擊【確定】。

就這些。

如果您正在使用一臺(tái)永遠(yuǎn)不會(huì)手動(dòng)更新的機(jī)器，那么打開“自動(dòng)更新”功能將是一個(gè)明智的選擇。反之，如果您使用安裝有大量TLC硬盤的機(jī)器，而且你對(duì)Windows發(fā)布的消息極為關(guān)注的話，那么我建議你關(guān)閉“自動(dòng)更新”功能。關(guān)閉后，您將能夠觀察自動(dòng)更新程序會(huì)安裝***的更新，然后自己來(lái)決定何時(shí)去修補(bǔ)程序。

在A組中關(guān)閉“自動(dòng)更新”功能是一個(gè)信任微軟且需要立即表決的舉動(dòng)。

在Windows 8.1桌面模式下，按住Windows鍵的同時(shí)按下X鍵，然后選擇【控制面板】。在Windows 7中，使用管理員級(jí)帳戶單擊【開始】-【控制面板】。在這兩種情況下，單擊【系統(tǒng)和安全】(SystemandSecurity)。在“Windows更新”程序中，單擊【打開/關(guān)閉自動(dòng)更新】鏈接。(注意：如果您在控制面板中使用的是圖標(biāo)查看方式，那么你可以單擊【W(wǎng)indows更新】，然后在左邊選擇【更改設(shè)置】。)

第三步：如果屬于B組用戶類型，請(qǐng)關(guān)閉Windows更新。

在B組中，你不需要(或想要)Windows更新。有許多的方法可以將Windows更新關(guān)閉，但最簡(jiǎn)單的選項(xiàng)是使用正常的“控制面板”設(shè)置。

該方法與A組相同。在Windows 8.1的桌面模式下，按住Windows鍵和X鍵，然后選擇“控制面板”。在 Windows 7中，使用管理員級(jí)別的帳戶，請(qǐng)單擊“開始”—“控制面板”。在這兩種情況下，都要單擊“系統(tǒng)和安全”。在“Windows更新”下，通過(guò)單擊打開或關(guān)閉自動(dòng)更新鏈接。在下拉框中選擇“從不檢查更新(不推薦)”，并單擊【確定】按鈕。

現(xiàn)在，你可以隨時(shí)根據(jù)需要不時(shí)地檢查更新。

雖然我們沒(méi)有綜合列表式的KB補(bǔ)丁指出您應(yīng)該卸載哪些補(bǔ)丁，但是為了盡量減少微軟窺探可能，在網(wǎng)站atAskWoody.com上展開了對(duì)此的激烈辯論。當(dāng)然，也歡迎您的加入，但是請(qǐng)一定要認(rèn)識(shí)這并不是那么簡(jiǎn)單的事情;例如，一個(gè)窺探你的機(jī)器信息的補(bǔ)丁可能對(duì)我的機(jī)器來(lái)說(shuō)是一次大規(guī)模的清理操作。更進(jìn)一步說(shuō)，由于缺乏來(lái)自雷德蒙德(美國(guó)華盛頓州城市，微軟總部)的消息而且還沒(méi)有來(lái)自高層的明確的解釋，我們都只是在猜測(cè)分析罷了。

關(guān)于減小已安裝在您的機(jī)器上的窺探補(bǔ)丁影響的我所見過(guò)的可能***的建議來(lái)自ch100網(wǎng)站，它建議您首先要關(guān)閉客戶體驗(yàn)改善程序(Customer Experience Improvement Program，簡(jiǎn)稱“CEIP”)。

步驟3.1：點(diǎn)擊“開始”—“控制面板”>“行動(dòng)中心”。

步驟3.2：在相關(guān)的設(shè)置下，選擇設(shè)置“CustomerExperienceImprovementProgram”。

步驟3.3：選擇“不”，即說(shuō)明“我不想?yún)⒓哟隧?xiàng)目”，然后單擊“確定”。

然后，ch100建議您明確地卸載三個(gè)補(bǔ)?。篕B 2952664(或其Windows 8.1大致等價(jià)物KB 2976978)、KB 3150513和KB 3021917。這些補(bǔ)丁都值得卸載，因?yàn)樗鼈兯坪跻?guī)避CEIP設(shè)置。關(guān)于為什么那三個(gè)補(bǔ)丁沒(méi)有出現(xiàn)在Windows 7SP2匯總中，有一個(gè)原因在今年5月份已經(jīng)發(fā)行說(shuō)明。

總之，對(duì)于B組用戶來(lái)說(shuō)，要關(guān)閉“自動(dòng)更新”，關(guān)閉CEIP，卸載KB2952664(或KB2976978)、KB3150513和KB3021917。

下一步

在接下來(lái)的幾個(gè)月中，更新的實(shí)際過(guò)程會(huì)變得有點(diǎn)復(fù)雜，不只是因?yàn)锳組類型用戶和B組類型用戶之間的區(qū)別，還因?yàn)槠渌a(bǔ)丁(如.Net、IE和Flash等的補(bǔ)丁)會(huì)在不確定的時(shí)候發(fā)行。

那些提交到自動(dòng)更新的A組類型用戶會(huì)過(guò)得輕松一些：Windows更新會(huì)主動(dòng)下載，像微軟一貫風(fēng)格那樣，然后自動(dòng)安裝所有的補(bǔ)丁。如果有一個(gè)破壞了什么內(nèi)容的糟糕的補(bǔ)丁程序的話——幾乎每個(gè)月都有這樣的情況發(fā)生—那么相應(yīng)的補(bǔ)丁將可能出現(xiàn)在下個(gè)月的補(bǔ)丁中。

那些想看看在他們安裝更新之前是否有任何東西被破壞的A組類型用戶將有一項(xiàng)稍微困難的任務(wù)。他們需要等待，直到他們應(yīng)用***的更新，然后簡(jiǎn)單地以手動(dòng)方式運(yùn)行Windows更新：

步驟1：?jiǎn)螕?ldquo;開始”——“控制面板”——“系統(tǒng)和安全”。然后，在“Windows更新”中，勾選“更新”選項(xiàng)。

步驟2：不改變?nèi)魏螙|西——不勾選或取消選擇任何特定的更新，不更改任何設(shè)置。

步驟3：?jiǎn)螕?ldquo;安裝更新”，Windows將可能重新啟動(dòng)。

B組類型用戶將不得不時(shí)不時(shí)地檢查新的更新(你可以再一次參考Woody on Windows(http://www.infoworld.com/blog/woody-on-windows/)或AskWoody.com(https://www.askwoody.com/)網(wǎng)站處信息);當(dāng)僅安全更新被A組類型用戶測(cè)試過(guò)后，他們將必須從Windows更新目錄處下載更新。

目前，Windows更新目錄還停留在上世紀(jì)90年代的老是一團(tuán)糟狀態(tài)。由于它依賴微軟專有的ActiveX控件，從而導(dǎo)致如果你不使用Internet Explorer的話，很難從Windows更新目錄中抽取某些內(nèi)容。微軟已經(jīng)承諾很快就會(huì)修好這個(gè)問(wèn)題。在此期間，您能夠使用任何瀏覽器登錄到Windows更新目錄處，只是該方法比較復(fù)雜，而且你并不清楚應(yīng)該尋找哪些內(nèi)容。

在我們從微軟得到進(jìn)一步指導(dǎo)之前，您應(yīng)在A組類型用戶和B組類型用戶之間作出選擇，按照上述步驟操作，同時(shí)確保你關(guān)閉“自動(dòng)更新”功能。

按照現(xiàn)在情況，我們都要接受累積更新的方案。Windows 10已經(jīng)使用了這一方案;Windows 7和8.1也將要遵循此方案。如果你想使用一個(gè)補(bǔ)丁程序，你將不得不安裝所有補(bǔ)丁——如果其中出現(xiàn)一個(gè)壞的補(bǔ)丁，你只能卸載整個(gè)補(bǔ)丁包。

只要所有補(bǔ)丁程序正確工作，一切都會(huì)很好。

原文標(biāo)題：How to prepare for the Windows 7/8.1 ‘patchocalypse’，作者：Woody Leonhard

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】