原始发布日期: 2025 年 9 月 9 日
KB ID:5067349
摘要
在当今快速发展的数字环境中,在整个组织中保持合规性和安全性至关重要。 作为此承诺的一部分,我们将对Windows Server Update Services (WSUS) 进行一些重要更改。 从 2025 年 9 月安全更新开始,Windows Server 2025 上运行的 WSUS 将删除对不再受支持的旧代码的依赖项。 这意味着, (已结束生命周期的 Windows作系统) 将不再有资格接收 ESU) (扩展安全更新,除非你采取其他作。
此更改是否会影响作系统?
此安全强化更改仅影响已终止支持 (EOS) 的作系统。 它不会影响市场内产品。 Windows 10及更高版本的 Windows 不受影响。
具体而言,此更改将阻碍更新运行 Windows Server 2012 和 Windows Server 2012 R2 的 Windows 终结点,并且仅阻碍使用扩展安全更新 (ESU) 的终结点的更新。 这些版本的延长结束日期为 2023 年 10 月 10 日,ESU 可能在 2026 年之前可用。
有关 Windows 版本,请参阅Microsoft生命周期策略搜索工具和生命周期常见问题解答 - Windows。
此更改有何影响?
与所有安全强化更改一样,此更改并非轻而易事。 从 WSUS 中删除某些二进制文件有助于确保软件供应链的完整性和安全性。 这特别适用于不再满足合规性和安全标准的组件的依赖项。 这些二进制文件包括 WSUS 用于更新设备上的 Windows 更新 (WU) 中的 SelfUpdate 服务的 DLL 和 EXE。
如果对Windows Server 2012使用 ESU 更新,则从 Windows Server 2025 中删除这些二进制文件的安全优势可能会带来更改。
重要说明:如果 WSUS 是分层部署 (的一部分,例如连接的下游服务器和) 上游服务器,则不会对环境造成影响。 同步和更新分发将继续按预期运行。
短期和长期后续步骤
是否仍需要更新运行任何受影响的 Windows作系统的设备? 请考虑以下临时步骤来还原Windows Server 2012上的 ESU 更新服务:
-
选择 WSUS 支持的较旧版本。 例如,Windows Server 2025 年 8 月安全更新或更早版本,或 2022 Windows Server。
-
在 %systemdrive%\Program Files\Update Services 中找到此版本的 WSUS 上的“SelfUpdate”文件夹。
-
从所选旧版 WSUS 复制“SelfUpdate”文件夹及其内容。
-
将其放置在 2025 年 9 月或之后发布的安全更新的 Windows Server 2025 上的 WSUS 安装路径下。
-
将此文件夹作为虚拟目录添加到 Internet Information Services (IIS) 的 WSUS 网站下。
完成这些步骤后,服务将恢复。 为了长期安全,我们建议升级旧版 OS 并升级到 Windows Server 2025。
