Открыть список
Как стать автором
Обновить

Комментарии 103

Позвольте высказать слова поддержки в адрес автора за естественный язык, присущий обычному человеку, а не писателю, коих нынче на Хабре становится всё больше и больше. Просто человек просто поделился новостью. Спасибо.
image

Передаю привет любителям автоматических обновлений.
Сча вам расскажут что автоматические обновления это манна небесная и защищает от злостных супер хацкеров которые все взломают если не накатить обновление вотпрямсчас. А теперь вы защищены, нельзя взломать то что неработает.
Спасибо за UpdatePack — вот это действительно манна небесная:)
На самом деле.
Жаль, для Win10 такого нет:(

И тебе привет, человек, возможно, не понимающий, что WU — это инструмент со своей целью и ограничениями, который может приносить больше пользы, чем вреда, при правильном дизайне системы.

А «правильный дизайн» — это какой? По умолчанию в десятке автообновления включены. Это правильный дизайн? И при падении компа в BSOD после очередного апдейта он приносит больше пользы?
В случае, когда весь интернет был завален советами с «оптимизацией» винды, за которые их авторам по хорошему нужно руки вырывать? А после слития инструментов АНБ по взлому винды толпа шифровалищиков (от уязвимостей, закрытых за пару месяцев до их появления и начала массового шествия по пользователям) просто угробила кучу пользовательских данных (ну да, это же не так страшно, как бсод?)?
Ну, я до сих пор жду рецепт правильного поведения для того, чтоб обезопасить большинство неопытных пользователей, в том числе от того, что кто-то им по доброте душевной оптимизирует компьютер с отключением любых обновлений…
Надо им поставить линукс. БЕЗ ГУЯ!
Гарантия почти 100% что не сумеют сделать вообще ничего вредного для компуктера.
В случае особой жестокости поставить Free DOS.

Все остальные варианты мне кажется вообще толком ничего не гарантируют от талантливого чайника.

А «правильный дизайн» — это какой?
Правильный дизайн системы автоматического обновления в корпоративной сети — это, например, когда у вас обновления ставятся не в среду утром, а в понедельник вечером, чтобы, если вдруг проявится аналогичная описанной в статье проблеме, у вас было время отозвать обновление из WSUS.
Или, например, когда у вас действительно большая сеть и вы часть компьютеров основных типов выделяете под отдельную политику, которая устанавливает обновления раньше, чем на остальные, чтобы успеть отозвать обновление в случае массовых проблем.
С серверами отдельная история, и правильное применение автоматических обновлений нужно проектировать не менее тщательно.


при падении компа в BSOD после очередного апдейта
1% компов, поимевших проблемы с обновлениями в течение года, например, приносят меньше вреда, чем 100% компов с незапаченными уязвимостями, позволяющими автоматическое распространение зловреда внутри сети.


Всё вышеизложенное касается только корпоративных сетей. Для домашнего использования — ну, делайте бэкапы, настройте периоды активности, чтобы автообновление вам не мешало и живите спокойно.

когда у вас обновления ставятся не в среду утром, а в понедельник вечером, чтобы,
Поставилось в понедельник вечером, пришел во вторник утром — кирпич. Так? ;)

Или, например, когда у вас действительно большая сеть и вы часть компьютеров основных типов выделяете под отдельную политику, которая устанавливает обновления раньше, чем на остальные
То есть под одни только обновления Windows выделяется отдельный администратор. Это хорошо, если организация под 1000 мест и с однородной техникой. И тем не менее, любая проблема у сотрудника на месте — выпадание из продуктивной деятельности.

Нет, ИМХО правильный дизайн — это когда раскатывание обновлений и их откат, в случае проблем — это в 1 клик и без часа на перезагрузки.
И помимо этого, легкий доступ к информации об обновлениях. Что, для чего, и какие проблемы возникают (а ля доступ к отзывам пользователей). В security есть mailing lists для оповещений и новостей, у Microsoft — почему-то проблемы всегда уже обнаруживаются на месте либо через СМИ.

Для домашнего использования — ну, делайте бэкапы, настройте периоды активности
Допустим: настроил период активности, там не знаю, поставил, чтобы раз в месяц только тревожила Win10. Но вот, в последнюю неделю поставил рендер/задачу, которая будет идти недельку-две и её прерывание — это ручной и муторный (пере)запуск. Что мне делать?
Или я не так компьютером пользуюсь?
Личный рекорд — установка обновления Windows 10, начавшееся в пятницу вечером и закончившееся в понедельник утром на не слишком торопливом компьютере СБ (две системы видеонаблюдения + СКУД). Удивительно, но закончилось не окирпичиванием, ну почти, если не считать навязчиво установленного снова драйвера мыши на com-порт, куда на самом деле был подключён пульт СКУД, а данные с него трактовались как хаотичные команды передвижения/нажатия мыши.
Прекрасные советы, актуальные для Корпораций с тысячами пользователей.
Когда в компании 11 компьютеров, из которых два технологических, ваши советы несколько, э, неактуальны, начиная с расходов на лицензии Windows Server, который для такого количества пользователей не-ну-жен сов-сем.

В результате обновления KB5000802 компьютер коммерческого директора того завода не работал сутки, пока техник по компьютерам тестировал hardware, начиная с SSD. Диагностировать проблему удалось только на следующий день, когда ещё два компьютера обновились — стало понятно, где искать.
Как ни печально об этом говорить, но если «вчера работало, а сегодня уже BSoD», то для спокойствия стоит проверить состояние диска(хотя бы по S.M.A.R.T.), и если там проблем нет, то проверять какие обновления ставились перед последней перезагрузкой. И диагностируется это не целый день. В данной конкретной ситуации после проверки диска, и изучения описания обновлений(увы, описания проблем в MSKB на тот момент не было) откатил систему, и на две недели заблокировал обновления. Бухгалтер смог продолжить работу в течении часа.

P.S. Не скажу что прям каждый день что-то из-за обновлений ломается, но так как такое случается время от времени(и не только на десятке, на семёрке как-то обновление поломало печать на матричных Эпсонах, но без BSoD), поэтому проверка свеже установленных обнов один из первых пунктов при диагностике внезапно возникшей проблемы с Win10/MS Office(тут обновления для японского календаря постоянно вызывают проблему у одной старой, но очень нужной программы на MS Access 2010, так что уже знаю на что в описании обновления смотреть :)).
Пока техник доехал (аутсорсинг, приехал через 2 часа после заявки), пока на другом компьютере настроили учётную запись для временной работы, пока переписали файлы на файловый сервер, уже больше, чем полдня прошло.
Час на тестирование SSD — там Kingston 400-й серии, то ещё глюкало, пока не прогонишь тест чтения всего диска, не поймёшь его живость.
Тестирование памяти, проверка блока питания — вот и рабочий день закончился.
Ну что вы, прекрасно понимающий что такое WU. Как, к сожалению, понимают это и в MS, и тестируют обновления на обычных пользователях, и только потом эти обновления попадают на канал LTSC. А так да — обновления нужно ставить, и чем быстрее — тем лучше… Или можно немного подождать?

Автоматических? А они бывают не автоматические? Я у себя на десятке всё что можно поотключал и она всёравно меня не спрашивает, обновляется когда вздумается.

Задайте дату (отложить сегодня до 15.04? легко), когда она должна обновиться по вашему или поставьте обновления по вашему требованию тогда, когда вам удобно до оной даты. Это работает.
Одно но: требуется чтоб пользователь взял процесс в свои руки и делал это регулярно.
«пользователь взял процесс в свои руки» — к вашему сведению, пользоватьель не обязан разбираться в тонкостях системного администрирования. А ещё довожу до вашего сведения, что в подавляющем большинстве малых предприятий нет ресурсов содержать инженера-системного администратора.
Можно уточнить, как по вашему:
Потерять все данные из-за «шифровальщика» из-за уязвимости, закрытой два месяца назад у бизнесов деньги есть, а на админа нет, поэтому давайте отключим обновления совсем?
PS. Я начинал с эникея-админа на малом предприятии, если что.
Защита от «Потерять все данные из-за «шифровальщика»» делается за 3 минуты путём запрета запуска программ из папок «Загрузки», «Рабочий стол», «временные файлы интернета» и «Документы» и скриптов javascript и VBscript в %tmp% в Software restriction policy.

Эксплоиты 0-day и шифровальщики, которые ничего не взламывают кроме социальных навыков пользователя, вы, видимо, не встречали.
В моей практике были обращения пользвоателей «я пытаюсь открыть присланный акт сверки, а он не открывается» (SRP запрещает запуск *.js, а заявительнаца пыталась «открыть» присланый по имэйлу файл «Акт сверки.xls .........js»)
Защита от «Потерять все данные из-за «шифровальщика»» делается за 3 минуты путём запрета запуска программ из папок «Загрузки», «Рабочий стол», «временные файлы интернета» и «Документы» и скриптов javascript и VBscript в %tmp% в Software restriction policy.
А ещё довожу до вашего сведения, что в подавляющем большинстве малых предприятий нет ресурсов содержать инженера-системного администратора.
Ясно, понятно. Админа нет и пользователи ничего не умеют!
Правда при таких правилах без админа они и работать не смогут никак серьезно, но это ерунда. Им же комп нужен в интернетике потупить. А если нет, то мне прям интересно, как они отчетность ежемесячно сдают, ничего не умея и не имея прав установить программу с отчетностью новую от налоговой?
Программы сейчас устанавливает их служба поддержки в рамках подписки, позавчера наблюдал. Теперь видимо в резюме достаточно указывать «уверенный пользователь Anydesk».
Сотрудник техподдержки, кстати, без тени сомнения расшарил папку пользователю «Все» — так удобнее и быстрее.
Обычно по энидеску к тебе подключена служба поддержки той фигни, которая не работает (передаю привет такскому и нашей налоговой). А не той, которая комп обслуживает (и, собственно, знает как и откуда запускать и с каким паролем).
Попытка одновременного двойного удаленного подключения как-то такая себе идея, как по мне…
А уж всяких парусников и 1-ников к компам юзеров подпускать без контроля так вообще не стоит… Они с такой сложной системой вообще не справятся
К вашему сведению, отчётность формирует программа «1с: предприятие», никаких программ «от налоговой» устанавливать пользователю не надо.
а программы от разных «СКБ Контур», «ЭДО» и прочих устанавливает тамошняя техподдержка через брендированный VNC, Anydesk и прочие Teamviwer Quick Support.
Бухгалтер знает, как оформить документы, чтобы инспектор не докопался, и за это получает зарплату.
Коммерс умет «продать снег эскимосу зимой» и за это получает зарплату.
Современному пользователю служебного ПК не нужно умение устанавливать програмы, более того, оно ему вредно (напортачить может).
К вашему сведению, 1с предприятие не всегда работает нормально. И не все отчеты там нормально проходят. А халтурщики оной на подписке умеют часто примерно столько же, как описанный вами пользователь.
а программы от разных «СКБ Контур», «ЭДО» и прочих устанавливает тамошняя техподдержка через брендированный VNC, Anydesk и прочие Teamviwer Quick Support.
И все эти брендированные доступы первым делом вызывают админов, как только что-то идёт не так. А так как ваш пользователь не знает что и почему, то пойдёт не так примерно куча всего.
Вот только у вас раз за разом не бьются настройки, описанные вами, и заявление про то, что денег на спецов нет.
Откройте для себя слово «Аутсорсинг».
Ну то есть деньги есть на самом деле? Просто не хотят тратить больше, а аутсорсеры не умеют правильно готовить винду?
Аналогичный привет любителям бездумно сносить обновления, и не смотреть при этом на сайт разработчика МФУ годами.
Сам я такой же, тоже попался на эти грабли. Но хотя бы заинтересовался вопросом с другой стороны: «можно ли как-то жить и с этим обновлением»?
Оказалось что можно. Есть пакет драйверов 6.0.1908 (2020)
www.kyoceradocumentsolutions.com/download/model_ru.html?r=92&s=23&m=110&p=21
И подходит не только для M2540, но и многих других МФУ Kyocera, даже откровенно древних, типа FS-1035MFP.

Не только принтеры куосера, но и 1с с хасп ключиком

Сегодня столкнулись с этим. Спасибо Майкрософт.
Кьосера, вроде, японская.
Я про обнову винды. Это же их вина по сути
Откуда такая уверенность? В комментариях вот пишут, что проблема только с компами на Intel. Тоже индусы?
Ну как бы, вчера все работало, а сегодня у компов с ЦПУ от интел проблемы… Это же не интел обнову выпустили?
Да и заголовок новости как бы намекает ))
Кто-то выпустил драйвера, при обращении к которым система падает в синий экран. Заголовок как бы намекает на двух возможных виновников. Драйвера для принтеров Kyocera пишет только один из них ::
Я вовсе не хотел обижать индусов. Это была шутка. Мир?
в связи с тем, что падает и на 1с, и на адобовском софте…
Падает из-за того, что по умолчанию выбран принтер Kyocera и 1С и Adobe при запуске обращается за информацией о принтере по умолчанию, отсюда БСОД, выбрать принтер по умолчанию любой другой и без печати падать не будет, читайте тему, на которую ссылаетесь, полностью…
В той теме xXxLeVIaFaNxXx не отписывал, что у них весь офис на киосерах. Хотя может и так, мы пока наблюдаем…
в связи с тем, что падает и на 1с, и на адобовском софте…

Вы таки полагаете, что
image

Эти драйверы сертифицированы Microsoft, то есть прошли какие-то тесты на совместимость.

Хотя Kyocera тоже сильно сдала в последние годы и с «обновлённым» интерфейсом в принтерах одни проблемы.
Драйвера принтеров в Windows работают не в ядре, а в юзерспейс, и какими бы кривыми они ни были, их кривизна не должна приводить к падению всей системы.
Иногда лучше уж падение. Был замечательный случай с принтером HP1000 на XP и Office2003 — при его расшаривании могли надолго зависать приложения офиса и Explorer. К примеру, пользователь открывает из Outlook вложеный .xls, виснет Explorer, Outlook, Excel. Незадействованные программы продолжают работать, в т.ч. Word. Зависание могло длиться минут до пятнадцати. В итоге если ничего не предпринимать, документ загружался и всё работало как ни в чём не бывало, до следующей перезагрузки и попытки открытия документа.
На сайтах Microsoft и HP было напоминание, что эта модель не совсем сетевая.
Ну, о том, как Excel может жить своей жизнью в отличие от других приложений офиса или просто приложений — уже легенды можно складывать.
Не-не-не, Excel — вообще любимый инструмент, его привёл только потому что чаще использую. В той ситуации запуск из Outlook вордовского документа приводила к аналогичному результату, Word вис с Outlook'ом и Explorer'ом, Excel продолжал работать.
А то что они сводные, не родные, действительно заметно.

Зная качество дров у киосеры — я бы не на мекомягких грешил

1С 8.3.18.1289 падает ⇨ причина не в Kyocera.
Драйверы принтера работают в пространстве пользователя, а не в ядре ⇨ причина BSOD не в драйвере принтера
Спасибо, утром столкнулись с синим экраном при попытке печати на принтерах Киосеры, на других принтерах все ОК.
Причём, как оказалось, не на всех Kyocera BSOD. На серии ECOSYS всё ок, Taskalfa выпадает.

Ecosys тоже валится.

Подтверждаю. И смена драйверов на XPS или PCL на некоторых машинах не помогают.
Откат обновления помог.
ппц конечно… несколько часов данная трабла делала мозг!
переключил драйвер на универсальный. завтра попробую 6 версию от кьёсеры поставить.
Интересно, что в моей ситуации не было вышеуказанных обновлений. Поэтому откатывать нечего.
KB5000808 и KB5000802 это номера обновлений для Windows 10 1909 и 20H2 соответственно, для Windows Server 2019 и ранних версий Windows 10 номер обновления иной, например KB5000822 для Windows 10 1809/Server 2019.
Еще на форумах Microsoft появилась информация что помогает провернуть следующий трюк на затронутой системе: Для принтера Kyocera, установленного по умолчанию в системе — Настройка печати — Изображение — Шрифты — Ставим галочку «Отключить шрифты устройства»
отключал шрифты — не помогло.
Мне кажется, проблемы с синим экраном у Kyocera всегда были. Я его еще на windows 2003 ловил.

Думаю кому-нибудь пригодится — при использовании kyocera classic pcl driver бсода нет.
Естественно наличие драйвера зависит от модели принтера/МФУ.

M2030dn после установки KX V4 driver (PCL 6/XL and XPS) (certified and signed by Microsoft) (Kxv4_v511708_signed проблема ушла. Использовал XPS, на PCL не проверял.

Также при использовании драйверов XPS машины перестали падать в BSOD
Kyocera ECOSYS P3045dn KX — BSOD
Kyocera ECOSYS P3045dn KX (XPS) — работает

Микрософт пишут что они в курсе:

После установки этого обновления может возникнуть APC_INDEX_MISMATCH с синим экраном при попытке печати на определенных принтерах в некоторых приложениях.

Мы в настоящее время изучаете эту возможность и разоинформим вас, когда станут доступны дополнительные сведения.
Вчера утром обновление пропало из WU для всех ОС и пришлось вручную качать его из каталога для проверки. Неужели телеметрия сработала?
У меня сегодня KB5000802, удалённое вчера, просится обратно.
Можно скрыть обновление через Windows Update MiniTool или wushowhide.diagcab (Microsoft заботится о пользователях, так что данная утилита с его серверов уже удалена, спасибо archive.org, что сохранили).
Спасибо, попробую.
Столкнулся с обновлением KB5000802 немного с другой стороны.
У компьютера с windows 10 Pro пропал доступ к общей папке на windows 2003 server.
Пока помогло только удаление обновления KB5000802.

Неужели наконец-то сподобилась принудительно отключать SMB1? Ура!

Так это… уже давно как бы
Более того при активации протокола smb 1, он автоматически отключается при не использовании его через какое то время — судя по утверждениям в интернете…

Скорее обновой запретить его включать.

Старые сетевые Киосеры в топку, они же в сетевую папку только по SMB1 умеют.
Я правильно понимаю? Дружно идём и покупаем новые МФУ. Да и старые NAS туда же.

Производители железа и топ-менеджеры корпораций аплодируют Вам стоя!

Это была ирония.

Можно и в топку. Ну или на SMTP настроить, например.
Насколько старые? У нас было несколько штук кьосер разных моделей (4002i, 2135dn, 6235cidn, 8525, etc), мы написали их представителям и нам предоставили новые прошивки, с поддержкой более других протоколов.
Ради сетевых Киосер завёл FTP в локалке — так работает стабильно, без единого отвала. С виндовыми шарами не хотели работать периодически.
Спасибо Microsoft! Не страшны нам диверсии запада направленные против информационных систем. Уже привыкли к BSoD'ам. Падают системы каждый второй вторник очередного месяца.
Ой, нам уже столько лет рассказывают про вечно падающую в бсод винду, что мы сегодня смогли наконец-то на неё посмотреть: из порядка 40 вин10 одна сегодня начала падать в ресет при попытке печатать на сетевую киосеру.
Забавное это обновление — KB5000802. После его установки в меню «Панель управления» — «Администрирование» отображается пустой список, хотя количество элементов, отображённое в статусной строке, ненулевое.
После удаления обновления меню стало отображаться нормально.
Просьба проверить вид меню «Администрирование», у кого установилась KB5000802.

Ещё сегодня Explorer завис на несколько минут, причём не работали ни Ctrl-Alt-Del, ни Ctrl-Shift-Esc, при этом переключаться между открытыми окнами по Alt-Tab было можно. Такого не припомню со времён Windows 95/98, но таки смогли. Похоже, на пути «Мой компьютер» -> «Этот компьютер» -> «Наш компьютер» осталось дописать пару небольших обновлений.
Не пожтверждаю. Все в порядке.
У нас вся бухгалтерия на киосерах. Спасибо, теперь понятно в чем причина… удалили обновление, все заработало.
На машинах с Windows 10 (сборка 1809) помогает удаление обновления KB5000822
Вот все номера мартовских обновлений с 20H2 по 1803:
wusa /uninstall /kb:5000802
wusa /uninstall /kb:5000808
wusa /uninstall /kb:5000822
wusa /uninstall /kb:5000809
первое правила сисадмина — выключи все обновления!
О да, прекрасно помню админов, которые этим правлом руководствовались.
Положить на недели 1,5 федеральную сеть медлабораторий из-за шифровальщика через уже два месяца как закрытую дырку — дорогого стоит.
Побольше таких в нашей профессии, глядишь прочим будут платить больше.

Если я правильно понял, о каком инциденте речь — то там не было бэкапов даже у людей...

Да на самом деле несколько таких инцендентов было, один вроде не так чтоб особо давно, кстати. А один уже года три назад…
первое правила сисадмина — выключи все обновления!
И отруби сетевой кабель, чтобы не пролезли ни обновы, ни вирусы (а можно из розетки вынуть кампуктер и никогда не включать — надёжность 100%)

Пока вылезло в 2 ПК. Помогло обновиться до последних обновлений. И установка драйвера KX v4 Printer Driver (6.0.1527) для m2735dn.

Скачал пакет 6.0.1908 с официального сайта www.kyoceradocumentsolutions.com/download/index_ru.html?r=92
Пока кажется все заработало вместе с обновлением kb5000802. Драйвера подходят для большинства имеющихся у меня МФУ Kyocera. Точно работают с FS-1035, M2035, M2235, M2540. Для других не проверял.
Слушайте, да я как-то подменил лексмарк на киосеру и всё печатало. По мне уже давно нужно было всем выработать нормальный стандарт универсальных сетевых драйевров для принтеров…
Есть такие — pcl, PostScript, pdf, xps, dicom — один стандарт стандартнее другого. Не говоря уже о конкретных реализациях…
Вот почему то в итоге оказывается, что эти все такие стандартные стандарты настолько стандартны, что через 20 лет, когда тебе нужно найти lpt принтер для настолько старого типа медприбора, то не только лишь все в принципе поддерживали какой-то там эпсоновский вариант вывода, по причине чего очень хочется ругаться матом, так как выпуск с портом лпт вообще оставался у пары калек.
Грусть-печаль.
ESC/P? Вроде Epson'овские же лазерники некоторые его поддерживают, искать на вторичном рынке.
Ну вот эпсоновский сдох, а на матричные врачи не соглашались. выкрутились новым бразером с дополнительно купленным уникальным лпт кабелем за 3,5к рублей (ещё один пример отношения к стандартам — на принтере разъем дсаб 25 стоит, распайка 1к1 к лпт на другой стороне, а цена как на позолоченный для аудиофилов). Печатал не прям то что надо, но через какое-то время и прибор того
Нет прибора — нет проблем. А стоимость нового наверняка отбивает интерес напрочь.
Ну, лизинг и все дела. Но даже лям-другой при недорогих ценах на тесты окупается очень долго, поэтому просто ради моды менять приборы не получается)
У нас на заводе используется несколько типов МФУ от Kyocera:
M3040dn, M2735dn, FS-6525MFP, M2030dn, M2635dn
Данный BSoD выбивается только при отправке на M2735dn с рабочей станции с Windows 10
Список некорректных обновлений: 5000822, 5000802, 5000808
«У нас на заводе используется несколько типов МФУ от Kyocera»
Фабрика Гознака?
Вот нормальный не BSOD'ящий драйвер под множество моделей Kyocera. Ставьте либо конкретный под вашу модель, а если нет такого — «KX (PCL6) v4 Driver for Universal Printing».

Исправили в KB5001565, KB5001566, KB5001567 и KB5001568.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.