系统补丁方案记录 2024.0824

一、前言

打补丁是一件蛮复杂的事情，有人认为打补丁是很有必要；也有人认为不能打补丁，会影响系统性能。
虽说这不是咱们这篇文章需要讨论的问题，不过我觉得还是有必要站在运维的角度解释一下这件事的。
虽说微软的补丁有可能会带来这样那样的问题，但是它也会解决这样那样的的问题不是吗？
所以答案也显而易见，个人用户你爱打不打，企业单位就很有必要打补丁了；
因为作为运维，如果因为没及时打补丁造成了什么严重损失；
属于是运维人员的重大工作失误，造成的后果你大概率也承担不起！（当然，是万一出现）

二、思路

首先打补丁之前需要先捋清楚的一件事：那就是需要打的补丁多不多？

比如Windows7、Server 2008、Windows8、Server 2012以及初期的Windows10；由于系统发布时间比较长，那么多年积攒的补丁特别多，还有一些问题补丁不能打的，还有一些补丁存在关联关系，这类系统处理起来就比较麻烦。

比如后来的Windows10、Windows11,微软每个月都会发布“最新”的系统包，由于不是最原始的系统包，且有“月累积更新”补丁包的存在，这类系统处理起来就比较简单。

咱们先说补丁比较多的系统，这里又分了三种情况：

1、比如 Windows 7 SP1 和 Windows Server 2008 SP2：
优点：有集成补丁包，一键集成，不需要多操心，更新起来简单省事；
缺点：集成后系统体积特别大，需要手工做固化补丁操作。

2、比如 Windows 8.1 和 Windows Server 2012 R2：
优点：无，所以网络上你很少能见到每月更新这俩系统的。
缺点：没有集成补丁包，存在问题补丁，补丁之间相互依赖关系复杂

3、比如初期 Windows 10 和 LTSB/LTSC：
倒是有个叫Win_ISO_Patching_Scripts的小工具可以离线一键打补丁，
但是它有一些挺严重的缺陷，各位自己取舍：
1、如果没有梯子，你大概率获取不到补丁包；
2、就算你有梯子，它也会经常遗漏关键补丁，导致打的补丁不齐；
3、而且商业版系统，它不能防止跳大版本，LTSC系统倒是无需担心这个问题；
4、最后，它经常会把你系统的部分界面搞成英文版；
以上4点是我个人在使用过程中遇到的问题，如果你可以忍受，使用它离线打补丁就很方便。

如果你像我一样没法适应上述缺陷，这篇文章就有了存在的意义，它记录给自己，也记录给有缘人。

三、WinPC装机系统

3.1、Windows7 SP1

UpdatePack7R2全自动集成补丁：官方地址 | 国内分流

由于集成补丁较多，会造成两种现象：
1、第一次安装系统，会检测硬盘（这个现象对上古时期的笔记本来讲，简直是灾难）
2、系统包体积特别庞大（WIM格式镜像，大概会增加2G左右）；
处理思路：离线集成完补丁之后：
1、先进行基础的精简和集成操作，
2、然后通过虚拟机安装系统（不建议离线集成封装，因为会检测硬盘）
3、安装完系统后进行清理固化补丁（可大幅度缩减系统包体积）
4、封装，打包

3.2、Windows8、8.1

暂缺

四、WinSvr装机系统

1、Windows Server 2008 SP2

UpdatePack7R2全自动集成补丁：官方地址 | 国内分流
微软 Windows Server 2008 SP2 更新历史记录>>

同Windows7的处理方式

2、Windows Server 2012 R2

系统母盘：
SW_DVD9_Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_ChnSimp_-4_MLF_X19-82889.ISO
基础补丁：
比较麻烦，后续补充
当月累积更新补丁：
微软 Windows Server 2012 R2 更新历史记录>>

比较麻烦，后续补充

3、Windows Server 2016

系统母盘：
SW_DVD9_Win_Server_STD_CORE_2016_64Bit_ChnSimp_-4_DC_STD_MLF_X21-70525.ISO
基础补丁：
KB4103720：2018年5月累积更新（1274.9 MB）
KB4589210：2021年1月更新补丁（2.3 MB）
KB5012170：2022年8月安全更新（211 KB）
当月累积更新补丁：
微软 Windows Server 2016 更新历史记录>>

补丁数量不多，且补丁体积都属于正常体积；
所以，补丁的处理思路就比较清晰：
1、离线下载需要用到的补丁
2、使用NTLite直接进行集成+补丁固化
由于可以直接使用NTLite打补丁和固化补丁，所以推荐全离线集成式封装操作。

4、Windows Server 2019

系统母盘：
SW_DVD9_Win_Server_STD_CORE_2019_1809.19_64Bit_ChnSimp_DC_STD_MLF_X23-31940.ISO
基础补丁：
KB4589208：2021年1月 Intel 微代码更新（3.3 MB）
KB5012170：2022年8月安全启动 DBX（223 KB）
当月累积更新补丁：
微软 Windows Server 2019 更新历史记录>>

补丁数量不多，且补丁体积都属于正常体积；
所以，补丁的处理思路就比较清晰：
1、离线下载需要用到的补丁
2、使用NTLite直接进行集成+补丁固化
由于可以直接使用NTLite打补丁和固化补丁，所以推荐全离线集成式封装操作。

5、Windows Server 2022

微软 Windows Server 2022 更新历史记录>>

由于此系统包，官方每个月都在更新；所以不需要提供补丁方案。
如果你是使用的LVSC镜像，每个月没办法第一时间拿到最新系统包；
那么可以使用NTLite工具更新每月的安全累计更新和.Net的累积更新，一般就只需要安装这两个。