Усиление защиты изменений для Windows Server Update Services в Windows Server 2025 г.

Краткое содержание

В современном быстро развивающемся цифровом ландшафте поддержание соответствия требованиям и безопасности в организации имеет первостепенное значение. В рамках этого обязательства мы вносим некоторые важные изменения в Windows Server Update Services (WSUS). Начиная с обновления для системы безопасности за сентябрь 2025 г. службы WSUS, работающие в Windows Server 2025 г., удаляют зависимости от старого кода, который больше не поддерживается. Это означает, что операционные системы Windows , которые достигли конца жизненного цикла, больше не будут получать расширенные обновления безопасности (ESU), если вы не примете дополнительные меры.

Влияет ли это изменение на операционные системы?  

Это изменение защиты безопасности влияет только на операционные системы, которые достигли окончания поддержки (EOS). Это не повлияет на рыночную продукцию. Windows 10 и более поздних версий Windows не затрагиваются.

В частности, это изменение будет препятствовать обновлению конечных точек Windows под управлением Windows Server 2012 и Windows Server 2012 R2 и только тех, которые используют расширенные обновления безопасности (ESU). Расширенная дата окончания для этих версий — 10 октября 2023 г., и ESU могут быть доступны до 2026 года.

Ознакомьтесь со средством поиска политики жизненного цикла Майкрософт и часто задаваемыми вопросами о жизненном цикле — Windows для ваших версий Windows. 

Как это изменение повлияет?  

Как и в случае с всеми изменениями в области защиты безопасности, это изменение не выполняется легко. Удаление некоторых двоичных файлов из WSUS помогает обеспечить целостность и безопасность нашей цепочки поставок программного обеспечения. Это, в частности, относится к зависимостям от компонентов, которые больше не соответствуют нашим стандартам соответствия и безопасности. Эти двоичные файлы включают библиотеки DLL и EXEs, которые WSUS использует для обновления службы SelfUpdate в клиентский компонент Центра обновления Windows (WU) на устройствах.

Преимущество безопасности при удалении этих двоичных файлов из Windows Server 2025 г. может привести к изменениям, если вы используете обновления ESU для Windows Server 2012.

Важно! Если СЛУЖБЫ WSUS являются частью иерархического развертывания (например, подключенные подчиненные серверы и серверы вышестоящий), это не повлияет на вашу среду. Синхронизация и распределение обновлений будут продолжать работать должным образом.

Краткосрочные и долгосрочные дальнейшие шаги

Нужно ли по-прежнему обновлять устройства под управлением любой из затронутых операционных систем Windows? Рассмотрите следующие временные действия для восстановления службы для обновлений ESU на Windows Server 2012:

1. Выберите более раннюю поддерживаемую версию WSUS. Например, Windows Server 2025 г. в обновлении для системы безопасности за август 2025 г. или более ранней версии или Windows Server 2022 г.

2. Найдите папку SelfUpdate в этой версии WSUS по адресу %systemdrive%\Program Files\Update Services.

3. Скопируйте папку "SelfUpdate" и ее содержимое из выбранной более старой версии WSUS.

4. Поместите его в путь установки WSUS на Windows Server 2025 г., обновленный с обновлением для системы безопасности, выпущенным в сентябре 2025 г. или позже.

5. Добавьте эту папку в качестве виртуального каталога на веб-сайте WSUS в службах IIS.

 После выполнения этих действий служба возобновится. Чтобы обеспечить безопасность в долгосрочной перспективе, мы рекомендуем обновить устаревшие версии ОС и обновить до Windows Server 2025.  ​​​​​​​