Tích hợp Windows Updates vào Windows 10 Install Image

Trong hướng dẫn này, tôi sẽ trình bày cách tích hợp các gói cập nhật Windows mới vào hình ảnh cài đặt ngoại tuyến của Windows 10 hoặc Windows 8.1 bằng các công cụ tích hợp sẵn. Theo cách tương tự, bạn có thể đưa các bản vá bảo mật mới nhất vào Windows Server 2012 R2 / 2016 để cài đặt ảnh ISO.

Trong ví dụ này, tôi sẽ hiển thị quá trình thêm các bản cập nhật bảo mật tích lũy mới nhất (tháng 12 năm 2018) vào hình ảnh cài đặt của Windows 10 1803. Vì vậy, chúng tôi sẽ cần:

• Hình ảnh cài đặt Windows 10 ISO ở định dạng hoặc tệp install.wim của nó;
• Các bản cập nhật ở định dạng .MSU cần được tải xuống từ Danh mục Microsoft Update (Cách tải xuống tệp cập nhật msu theo cách thủ công).

Tạo cấu trúc thư mục sau trên máy tính của bạn:

• C:\ Updates \ mnt là thư mục chứa tệp install.wim với hình ảnh cài đặt Windows sẽ được gắn vào;
• C:\ Updates \ msu là thư mục mà bạn cần đặt các bản cập nhật MSU cho phiên bản Windows của mình (trong ví dụ này, tôi đã tải xuống 2 bản cập nhật bảo mật cho Windows 10 1803, được phát hành vào tháng 12 năm 2018 - KB4471331 và KB4471324);
  
• C:\ Updates \ Win10Image \ trong thư mục này, bạn cần sao chép tệp install.wim từ ảnh cài đặt Windows 10 của mình. Trong ví dụ của chúng tôi, chúng tôi đã gắn và giải nén nội dung của ảnh ISO gốc Windows 10 Windows10x64-1803.iso. Tuy nhiên, nó có thể là tệp wim từ máy ảo, mẫu VM, hình ảnh WDS hoặc hình ảnh được lưu trữ trong phần mềm triển khai tự động của hệ điều hành khác (ví dụ:SCCM), v.v. Nếu hình ảnh ISO Windows 10 của bạn chỉ chứa tệp c:\ sources \ install.esd, bạn có thể chuyển đổi tệp ESD thành tệp WIM bằng tiện ích DISM:dism /export-image /SourceImageFile:"C:\updates\Win10Image\install.esd" /SourceIndex:4 /DestinationImageFile:C:\updates\Win10Image\win10pro.wim /Compress:max /CheckIntegrity
  
  

Gắn hình ảnh cài đặt Windows 10 (install.wim) vào thư mục C:\ Updates \ mnt bằng cách chạy lệnh sau trong dấu nhắc lệnh với tư cách quản trị viên:

dism /mount-wim /wimfile:C:\updates\Win10Image\install.wim /index:1 /mountdir:C:\updates\mnt

DISM /Get-WimInfo /WimFile:C:\updates\Win10\install.wim

Trong ví dụ của chúng tôi, hình ảnh chỉ chứa một phiên bản hệ điều hành - Windows 10 Pro với chỉ mục 1 , do đó trong lệnh chúng ta cần chỉ định install.wim / index:1 .

Giờ đây, bạn có thể chạy tích hợp các bản cập nhật MSU phù hợp nằm trong thư mục được chỉ định vào hình ảnh Windows 10:

dism /image:C:\updates\mnt /add-package /packagepath:C:\updates\msu

Nếu hệ thống phát hiện bản cập nhật sai (bản cập nhật không phù hợp với phiên bản hệ điều hành này và bitness hoặc nếu bản cập nhật đã được cài đặt), bản cập nhật đó sẽ bị bỏ qua và thông tin tương ứng sẽ được ghi vào C:\ Windows \ Logs \ DISM \ dism.log.

Để giảm kích thước của hình ảnh bằng cách xóa các tệp cập nhật cũ (xem bài viết về dọn dẹp thư mục WinSxS), hãy chạy lệnh:

dism /image:C:\updates\mnt /Cleanup-Image /StartComponentCleanup /ResetBase /ScratchDir:C:\Temp

Nếu bạn đã có một máy tính có phiên bản tương tự của Windows 10 đã được cài đặt các bản cập nhật bảo mật mới nhất, bạn có thể tải trực tiếp tất cả các tệp cập nhật cần thiết từ đó. Trong trường hợp này, bạn không cần phải tải xuống các tệp cập nhật MSU theo cách thủ công từ Danh mục Microsoft Update. Bí quyết là Windows lưu các tệp CAB của các bản cập nhật đã được tải xuống từ máy chủ Windows Update hoặc máy chủ WSUS vào thư mục C:\ Windows \ SoftwareDistribution \ Download.

Sử dụng lệnh sau, bạn sẽ bắt đầu tích hợp các tệp cập nhật vào hình ảnh install.wim đã được tải xuống và cài đặt trên một máy tính khác qua mạng cục bộ:

Start /w for /R \\Win10x64AlreadyPatchedPC\C$\Windows\SoftwareDistribution\Download\ %f in (*.cab) do dism /image:C:\updates\mnt /add-package /packagepath:”%f”

Trong ví dụ này, Win10x64AlreadPishedPC là tên của máy tính từ xa đã được cài đặt các bản cập nhật cần thiết (phiên bản hệ điều hành và bitness phải khớp). Tất nhiên, máy tính này phải có thể truy cập qua mạng và tài khoản của bạn phải được thêm vào nhóm quản trị viên cục bộ trên đó. Trong cửa sổ mở ra, bạn có thể xem quá trình cài đặt các bản cập nhật cho Windows image ngoại tuyến. DISM sẽ cố gắng thêm vào hình ảnh WIM của bạn từng tệp tệp CAB đã được tìm thấy trên một máy tính từ xa.

Và bước cuối cùng là lưu các thay đổi và ngắt kết nối hình ảnh Windows 10:

dism /unmount-wim /mountdir:C:\updates\mnt /commit
dism /Cleanup-Wim

Bạn chỉ phải sao chép install.wim vào thư mục nguồn / máy ảo hoặc xây dựng lại ảnh ISO cài đặt, e. g., sử dụng oscdimg, UltraISO hoặc Dism ++.

Nếu kích thước của tệp install.wim của bạn lớn hơn 4 GB, bạn có thể gặp phải lỗi “Windows không thể mở tệp được yêu cầu D:\ sources \ install.wim. Mã lỗi:0x8007000D ”trong quá trình cài đặt Windows trên hệ thống UEFI. Trong trường hợp này, bạn cần chia nguồn install.wim thành các tệp nhỏ hơn bằng lệnh:

dism /split-Image /imagefile:C:\Update\Win10Image\install.wim /swmfile:C:\Update\Win10Image\install.swm /filesize:4096

(xem bài viết Cách tạo ổ USB cài đặt Windows 7 có khả năng khởi động UEFI và Tạo ổ USB cài đặt Windows Server 2016 có thể khởi động).

Sau đó, cài đặt gốc có thể được gỡ bỏ.
DISM cũng cho phép bạn thêm trình điều khiển vào hình ảnh ngoại tuyến. Trước đây, chúng tôi đã xem xét cách tích hợp trình điều khiển vào hình ảnh cài đặt Windows bằng DISM hoặc lệnh ghép ngắn Add-WindowsDriver trên ví dụ của Windows 10 / 8.1 / Windows Server 2012 R2 / 2016 hoặc Windows 7 (Thêm trình điều khiển USB3 vào cài đặt Windows 7 của bạn).

Giờ đây, bạn có thể triển khai hình ảnh cài đặt Windows của mình với các bản cập nhật bảo mật mới nhất được tích hợp trên các máy tính trong mạng của bạn. Bằng cách thường xuyên tích hợp các bản cập nhật bảo mật mới nhất vào Windows image được triển khai trên các máy tính mới, bạn sẽ tăng cường bảo mật cho cơ sở hạ tầng của mình trước các lỗ hổng bảo mật mới nhất và giảm nguy cơ lây nhiễm cho các máy tính mới cho đến khi chúng bắt đầu cập nhật từ WSUS.