【51CTO.com快譯】2016年10月將成為微軟修補Windows 7和8.1舉措的一個重大分水嶺。盡管大多數組織仍在推遲把他們的Windows產品升級到Windows 10;但是，如果你還沒有準備好有關細節的話，這次重大修補舉措將可能對您產生重大影響。

這次重大修補舉措將導致的結果是：Windows7和8.1將不再接收單個修補程序。相反，他們將啟用每月一次的兩種分開類型的更新：一種是只與安全相關的補丁包;另一種是完整的更新集合。其中，安全補丁包類型并不包含微軟累積的所有補丁;而后者則包含微軟累積的所有補丁。而且，每一種類型有其自己的專門的部署方法。但是，僅僅是換湯不換藥而已。聽起來很簡單，對不對?

Windows10安裝要點

從今天起，你可以下載Windows10安裝超級指南(http://www.infoworld.com/resources/111525/microsoft-windows/windows-10-installation-superguide#tk.ifw-infsb)，并不斷關注微軟技術中有關Windows報告方面的通知(http://www.infoworld.com/newsletters/signup.html#tk.ifw-infsb)。

然而，麻煩還是存在的;而且，對于許多組織來說，可能意味著一個真正的麻煩。下面，我們將分塊剖析在Windows 7/8.1更新時，你需要了解的問題，希望能幫助你避免因微軟這次重大修補調整給你帶來的麻煩。

微軟新的Windows 7/8.1補丁策略

六個星期前，微軟產品經理NathanMercerkicked關閉了一個長時間的討論話題;此話題是關于從今年10月份開始修補Windows 7和8.1及Server2012R2新方向方面的。有關詳情，您可在TechNet博客(另外，還有100多個其他相關的話題)搜索到。不過，下面介紹的僅是其概要信息：

• 安全補丁將每個月合并為單個的僅安全更新(Security-only Update)，用戶可以從微軟更新目錄(https://catalog.update.microsoft.com/)處下載。那些使用企業網絡的用戶可以通過WSUS或SCCM訪問這種僅安全更新。僅安全更新不是累積性的。
• 所有安全相關及安全無關的補丁程序將被合并成一個累積更新，稱為“每月匯總”(Monthly Rollup)。您可以從Windows Update(現今大多數個人用戶從此處獲取補丁程序)或者Update Catalog(任何人都可以從此處下載并安裝補丁程序)或從WSUS或SCCM訪問此每月匯總。當你安裝每月匯總時，Windows更新只會下載增量補丁程序。
• 微軟將逐漸向每月匯總中添加更舊的補丁。但是目前，先別指望能從每月的匯總中看到一大堆的補丁程序，但請務必注意，微軟正朝著這個方向努力。
• 您可以卸載整個僅安全更新或整個的每月匯總。沒有單獨的補丁程序，因此也就沒有單獨的補丁卸載，而且你不能隱藏單個補丁程序。

從表面上看，這是相對簡單的：沒有更多獨立的補丁程序，僅提供兩種不同的每月更新。僅安全有關的更新必須下載和安裝，而完整的補丁包集合可以通過Windows更新方式來下載安裝。僅安全相關的更新不是累積性的;但是每月匯總包，包括安全和與安全無關的更新卻是累積的。

那些繼續使用Windows更新的用戶將得到所有微軟的Windows補丁程序。而那些關閉Windows更新的用戶則可以手動方式僅安裝安全相關的補丁程序。但在任何情況下，單個補丁程序——如我們已經認識了十年的那樣——只能作為微軟補丁文檔中的一個要點形式存在。

于是，在那些文檔中，有關這些補丁的信息細節往往會變得混亂無比。作為全球領先的人才、健康、養老和投資咨詢機構，美世公司確認存在以下問題：

• Net將被單獨更新，或者使用結合進一個安全相關或者安全無關的.Net框架每月匯總，或者是結合僅安全相關的更新，下載地址是Update Catalog和WSUS。
• Internet Explorer 11程序有關更新將以每月匯總和僅安全更新兩種方式提供。但是，尚不清楚IE11補丁是否將列入新的安全更新或每月匯總中。我們已經看到與安全無關的IE更新已列入IE安全更新的情況。這種區別在未來可能成為關鍵。
• 對于那些沒有升級到Internet Explorer 11的用戶，微軟不會強迫他們轉到IE11，但是我們打算最終一定安裝每月匯總中的補丁程序，無論我們的員工使用的是哪個版本的IE。這一點類似于.Net匯總一樣對待。
• 值得慶幸的是，驅動程序的更新將不包括在僅安全更新或每月匯總中。
• 帶外安全補丁程序在可用時即被寄送來，然后將納入后續的僅安全更新及每月匯總中。
• 當前尚沒有針對Vista或Server 2008的補丁程序變動。

美世公司還提供了一份有關每月匯總中與安全無關部分的第三個星期二預覽(Third Tuesday Preview)版本的詳細說明。后面我們也要分析一下它相應的具體情況。

立即帶來的影響

對于大多數Windows更新用戶來說，最重要的是：他們不需要改變任何東西。自動更新設置與以前一樣工作;即系統還是出現與以前一樣的“自動下載和安裝”提示，即還是下載補丁，但是讓用戶自己選擇何時安裝，或者選擇何時通知他但不下載補丁，或從不檢查更新狀態。“以接收重要更新的相同方式為我提供推薦的更新(R)”復選框的功能與以前一樣。如果微軟標記某一項更新為“Recommended”(推薦)并且選中該復選框，那么此更新項將在Windows更新列表中選中(準備安裝)。如果未勾選此項，則該更新項在“Optional”(可選)類別中顯示為未選中狀態。

微軟在過去的幾個月中一直在研究該補丁的處理技術。你可能還沒有注意到，但微軟的確已推出了有關Windows 7和Windows 8.1的詳細技術支持頁面。

Windows 7和8.1補丁程序的開發已經開始醞釀。到目前為止，我們已經看到出現三種Windows7非安全性更新資料，即7月份發布的KB3172605、8月份發布的KB3179573和9月份發布的KB3185278。這些內容***出現在前面提到的“可選的”類別中顯示為未選中的補丁，然后升級到“推薦的”補丁列表中。正如我幾個星期前所解釋的：“其一般的補丁發布模式是：先采用累積更新方案(即‘修補程序匯總’)以‘可選的’方式發布;等一個月時間看看是否什么發生問題。如果沒有出現什么問題，則在下個月將其更改為‘推薦的’。”

如果在你的機器的Windows上選中“以接收重要更新的相同方式為我提供推薦的更新(R)”，那么***次周二補丁(Patch Tuesday)中與安全無關的補丁匯總不會安裝;但是，它會在隨后的一個月進行安裝。這是聰明的辦法;看起來像是會起作用。還有這樣一些用戶，他們曾經被與安全無關的補丁程序傷害過;于是，對于與安全無關的補丁，他們會費盡心思檢查并最終同意不勾選“Optional”選項。

到目前為止，我們還沒有看到任何有關于累積性安全無關補丁或捆綁式安全補丁與安全無關補丁的測試消息。但無論如何，微軟的這種新型補丁模式已經開始成為關注的焦點。

信任問題

當然，問題是許多個人和組織并不信任“安裝所有微軟補丁”的辦法。這也難怪他們——他們從Windows10中得到過很深刻的教訓。而且，很多人并不喜歡也不信任微軟的所謂的增強遙測能力，他們把微軟的這種功能視同“窺探”。

接下來要介紹的針對Windows7和8.1的補丁已經從今年10月份開始主要針對個人用戶提供支持，但作為系統管理員可能也會對這種支持很感興趣。

Windows 7/8.1用戶分為兩個陣營：一類是信任微軟更新補丁的用戶，另一類是只想安裝安全補丁的用戶。我們不妨分別稱之為A組和B組：

• A組用戶愿意采取所有微軟新的遙測系統，當然這也包括安裝那些潛在的有用的與安全無關的更新。
• B組用戶并不愿意接受任何更多的窺探，除非是絕對需要;他們不在乎某些更新功能，例如夏令時區域變化等，但很想持續應用安全補丁程序。

其實，還有一個第三組，不妨稱之為W組。這一組用戶不想使用微軟的任何補丁程序，包括安全補丁等。我并不建議你屬于W組用戶，但是鑒于微軟在過去對Windows 7和8.1機器在不經用戶允許的情況下就對其進行更改的情況，這還是可以理解的。

對于A組用戶來說，打補丁要容易得多：設置一次就忘不了，除非存在巨大錯誤。對于B組用戶來說，發生窺探的可能性小得多——但也不能保證絕對不會發生窺探情況——因為補丁程序是完全可以人工控制的。你可以從B組移到A組;但據我所知，在沒有完全重新安裝Windows 7或8.1的情況下是沒有辦法從A組移動到B組的。

微軟以自己武斷的方式混合發行安全和與安全無關的補丁程序的歷史由來已久。如果微軟繼續發行帶錯誤的安全更新，然后在與安全無關的更新中修復安全更新錯誤(例如8月份的KB 3179573和7月份的KB 3172605)的話，這將給普通用戶和系統管理員同樣帶來麻煩。到目前為止，讓我們假設微軟將使用只與安全有關的更新補丁來修復只與安全有關的錯誤。如果他們不這樣做的話，那么我們都將生活在一個深受傷害的世界里。

如何應對微軟重大修補舉措?

從10月份發行的星期二補丁(October Patch Tuesday)開始，有兩種非常不同的補丁方案可以修復Windows 7和8.1機器，你需要在其中作出選擇。目前，有關細節尚未完全獲悉——一定會改變的;但估計，也僅是粗略操作。下面介紹你需要做的事情。

選擇哪一種方案可不是像問“我相信微軟嗎?”這么簡單。你必須問問自己手動安裝安全補丁所導致的可能的額外麻煩是否值得讓微軟的新窺探例程關閉您的計算機。你還必須搞明白安裝新的與安全無關的補丁(在最近的幾個月，我們已經看到微軟改善了磁盤清理工具，修復了各種錯誤，時區更改，特殊情況下的性能改進及其他幾個補丁)是否值得把本機暴露于微軟的數據收集活動(我們沒有這方面的細節信息)。

請注意：已經落戶于您的機器上的窺探例程將繼續呆在原處，即使你選擇了B組用戶類型，除非您能夠手動卸載這些例程。在此，我不想通過問題名稱提及KB 2952664這一信息。

***步：在A組和B組中作出選擇。

第二步：如果你屬于A組用戶類型，那么你應該設置“Windows更新”。

如果你正在瑪莎阿姨的PC上工作，那么請在下拉框中選擇“自動(推薦)，為我的計算機自動下載推薦的更新并安裝它們”。

如果你確實想簽約的話，請選擇“檢查更新，但讓我選擇是否下載和安裝它們”或“從不檢查更新(不推薦)”。兩種選擇的行為類似，但***個選擇當有可用的新的更新時將(至少在理論上)會在系統托盤中時鐘圖標附近顯示一條提示相應的信息。

無論在上述哪一種情況下，請都要勾選標記“以接收重要更新的相同方式為我提供推薦的更新”，并單擊【確定】。

就這些。

如果您正在使用一臺永遠不會手動更新的機器，那么打開“自動更新”功能將是一個明智的選擇。反之，如果您使用安裝有大量TLC硬盤的機器，而且你對Windows發布的消息極為關注的話，那么我建議你關閉“自動更新”功能。關閉后，您將能夠觀察自動更新程序會安裝***的更新，然后自己來決定何時去修補程序。

在A組中關閉“自動更新”功能是一個信任微軟且需要立即表決的舉動。

在Windows 8.1桌面模式下，按住Windows鍵的同時按下X鍵，然后選擇【控制面板】。在Windows 7中，使用管理員級帳戶單擊【開始】-【控制面板】。在這兩種情況下，單擊【系統和安全】(SystemandSecurity)。在“Windows更新”程序中，單擊【打開/關閉自動更新】鏈接。(注意：如果您在控制面板中使用的是圖標查看方式，那么你可以單擊【Windows更新】，然后在左邊選擇【更改設置】。)

第三步：如果屬于B組用戶類型，請關閉Windows更新。

在B組中，你不需要(或想要)Windows更新。有許多的方法可以將Windows更新關閉，但最簡單的選項是使用正常的“控制面板”設置。

該方法與A組相同。在Windows 8.1的桌面模式下，按住Windows鍵和X鍵，然后選擇“控制面板”。在 Windows 7中，使用管理員級別的帳戶，請單擊“開始”—“控制面板”。在這兩種情況下，都要單擊“系統和安全”。在“Windows更新”下，通過單擊打開或關閉自動更新鏈接。在下拉框中選擇“從不檢查更新(不推薦)”，并單擊【確定】按鈕。

現在，你可以隨時根據需要不時地檢查更新。

雖然我們沒有綜合列表式的KB補丁指出您應該卸載哪些補丁，但是為了盡量減少微軟窺探可能，在網站atAskWoody.com上展開了對此的激烈辯論。當然，也歡迎您的加入，但是請一定要認識這并不是那么簡單的事情;例如，一個窺探你的機器信息的補丁可能對我的機器來說是一次大規模的清理操作。更進一步說，由于缺乏來自雷德蒙德(美國華盛頓州城市，微軟總部)的消息而且還沒有來自高層的明確的解釋，我們都只是在猜測分析罷了。

關于減小已安裝在您的機器上的窺探補丁影響的我所見過的可能***的建議來自ch100網站，它建議您首先要關閉客戶體驗改善程序(Customer Experience Improvement Program，簡稱“CEIP”)。

步驟3.1：點擊“開始”—“控制面板”>“行動中心”。

步驟3.2：在相關的設置下，選擇設置“CustomerExperienceImprovementProgram”。

步驟3.3：選擇“不”，即說明“我不想參加此項目”，然后單擊“確定”。

然后，ch100建議您明確地卸載三個補丁：KB 2952664(或其Windows 8.1大致等價物KB 2976978)、KB 3150513和KB 3021917。這些補丁都值得卸載，因為它們似乎規避CEIP設置。關于為什么那三個補丁沒有出現在Windows 7SP2匯總中，有一個原因在今年5月份已經發行說明。

總之，對于B組用戶來說，要關閉“自動更新”，關閉CEIP，卸載KB2952664(或KB2976978)、KB3150513和KB3021917。

下一步

在接下來的幾個月中，更新的實際過程會變得有點復雜，不只是因為A組類型用戶和B組類型用戶之間的區別，還因為其他補丁(如.Net、IE和Flash等的補丁)會在不確定的時候發行。

那些提交到自動更新的A組類型用戶會過得輕松一些：Windows更新會主動下載，像微軟一貫風格那樣，然后自動安裝所有的補丁。如果有一個破壞了什么內容的糟糕的補丁程序的話——幾乎每個月都有這樣的情況發生—那么相應的補丁將可能出現在下個月的補丁中。

那些想看看在他們安裝更新之前是否有任何東西被破壞的A組類型用戶將有一項稍微困難的任務。他們需要等待，直到他們應用***的更新，然后簡單地以手動方式運行Windows更新：

步驟1：單擊“開始”——“控制面板”——“系統和安全”。然后，在“Windows更新”中，勾選“更新”選項。

步驟2：不改變任何東西——不勾選或取消選擇任何特定的更新，不更改任何設置。

步驟3：單擊“安裝更新”，Windows將可能重新啟動。

B組類型用戶將不得不時不時地檢查新的更新(你可以再一次參考Woody on Windows(http://www.infoworld.com/blog/woody-on-windows/)或AskWoody.com(https://www.askwoody.com/)網站處信息);當僅安全更新被A組類型用戶測試過后，他們將必須從Windows更新目錄處下載更新。

目前，Windows更新目錄還停留在上世紀90年代的老是一團糟狀態。由于它依賴微軟專有的ActiveX控件，從而導致如果你不使用Internet Explorer的話，很難從Windows更新目錄中抽取某些內容。微軟已經承諾很快就會修好這個問題。在此期間，您能夠使用任何瀏覽器登錄到Windows更新目錄處，只是該方法比較復雜，而且你并不清楚應該尋找哪些內容。

在我們從微軟得到進一步指導之前，您應在A組類型用戶和B組類型用戶之間作出選擇，按照上述步驟操作，同時確保你關閉“自動更新”功能。

按照現在情況，我們都要接受累積更新的方案。Windows 10已經使用了這一方案;Windows 7和8.1也將要遵循此方案。如果你想使用一個補丁程序，你將不得不安裝所有補丁——如果其中出現一個壞的補丁，你只能卸載整個補丁包。

只要所有補丁程序正確工作，一切都會很好。

原文標題：How to prepare for the Windows 7/8.1 ‘patchocalypse’，作者：Woody Leonhard

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】