Setup. установка приложения

При обслуживании корпоративной сети часто возникает необходимость установить и настроить ПО одновременно на нескольких рабочих местах, чтобы не тратить время на ручную подготовку каждого из них.

Одним из решений данной задачи в ОС Windows является установка с помощью групповых политик настроенного приложения сразу для всех компьютеров в домене. Однако данное решение возможно только при наличии MSI-пакета приложения.

В данной статье мы покажем, как развернуть клиентское приложение TrueConf с заданными настройками на всех машинах домена и локально на одной из них.

Серверные ОС часто используются с английским интерфейсом. Поэтому для удобства названия элементов интерфейса в статье приведены на двух языках: русском и английском (через символ “/”).

Установка с параметрами должна производиться от лица пользователя, имеющего административные права. Это необходимо учесть если вы не хотите строго следовать инструкции и произвести установку вручную или с помощью стороннего скрипта (например, PowerShell).

Зачем нужны MSI-пакеты?

Файл с расширением .msi (сокращение от Microsoft Installer) является установщиком для ОС Windows. Внутри он представляет из себя контейнер с инструкциями и данными, необходимыми для установки конкретного приложения.

Более привычной для рядовых пользователей Windows является установка ПО с помощью исполняемых exe-файлов. MSI-установка в свою очередь актуальна для корпоративных задач благодаря основным преимуществам:

Возможность развернуть MSI-пакет на всех компьютерах домена через групповые политики.
Возможности настроить процесс установки с помощью параметров (в контексте MSI называемых ключами), а также передать параметры самому приложению (должно быть поддержано его разработчиками).

Список ключей для установки

Подробнее о настройке клиентского приложения TrueConf с помощью JSON-параметров читайте в соответствующей статье нашей базы знаний.

Подготовка файла MST для задания настроек при установке через групповые политики

Ключи для MSI-пакета, устанавливаемого средствами групповых политик, указываются в .mst файле. Создать такой файл можно с помощью утилиты Orca, которая входит в состав Microsoft Windows Installer SDK.

Описанные далее действия можно проделать на любом компьютере, не обязательно чтоб он находился в целевом домене:

Скачайте инсталлятор Windows SDK с официального сайта Microsoft и запустите его.
Конкретно для нашей задачи на этапе выбора компонентов для установки достаточно отметить только флажок MSI Tools.
Далее перейдите в директорию, куда установились инструменты Windows SDK (по умолчанию это C:\Program Files (x86)\Windows Kits), а оттуда проследуйте по следующему пути: \bin\sdk_version\x86 (вместо sdk_version будет ваша версия Windows SDK). Здесь вы найдёте MSI-инсталлятор утилиты Orca – обычно это файл с названием Orca-x86_en-us.msi. Установите и запустите утилиту.
Через команду меню File → Open откройте MSI-пакет клиентского приложения TrueConf:
В разделе Tables выберите пункт Property. В правой части окна отобразится список доступных MSI-ключей приложения, а также некоторая служебная информация.
Далее необходимо перевести утилиту в режим редактирования выбрав команду Transform → New Transform:
После этого укажите значения необходимых ключей в столбце Value.
Сохраните настроенные параметры в файле .mst, выбрав команду Transform → Generate Transform:

Установка MSI-пакета с помощью групповых политик

Для того чтобы развернуть клиентское приложение TrueConf на всех машинах, объединённых в домен, необходимо выполнить следующие действия на контроллере этого домена:

Разместите MSI-установщик клиентского приложения и MST-файл с настроенными ключами на контроллере домена по следующему пути:
Каталог SYSVOL обязательно должен быть доступен для обнаружения клиентскими машинами в домене. В противном случае установка будет невозможна.
Перейдите в консоль управления групповыми политиками. Для этого нажмите клавиши Win + R, и в появившемся окне введите команду gpmc.msc.
Создайте новый объект групповой политики (GPO, Group Policy Object). Для этого нажмите правой кнопкой мыши на нужном домене и в появившемся меню выберите пункт Создать объект групповой политики в этом домене и связать его / Create a GPO in this domain, and link in here:
Введите имя созданной политики и нажмите OK.
Правой кнопкой мыши нажмите на созданном GPO и выберите команду Правка… / Edit… в контекстном меню.
Появится окно настройки объекта групповой политики. В дереве настроек, расположенном в левой части окна, нажмите правой кнопкой мыши на пункте Конфигурация компьютера / Computer Configuration → Политики / Policies → Конфигурация программ / Software Settings → Установка программ / Software installation, а затем выберите Создать / New → Пакет / Package:
В окне проводника выберите MSI-установщик, размещённый в сетевом каталоге SYSVOL в 1 пункте как показано выше.
После этого появится окно выбора типа развёртывания. Здесь нужно выбрать Особый / Advanced:
Если не выбрать опцию Особый / Advanced, то не будет возможности добавить MST-файл с настройками.
Далее появится окно настройки процесса развёртывания. Здесь перейдите на вкладку Модификации / Modifications, нажмите кнопку Добавить / Add и в появившемся окне проводника выберите файл настроек. После загрузки файла, нажмите ОК.
Обновите настройки GPO, выполнив в консоли команду:
Настройки GPO обновятся, и приложения будут установлены на клиентских машинах во время следующего входа их пользователей в свои учётные записи.

Удаление приложения со всех машин домена

Для того чтобы централизованно удалить приложение, установленное на машинах в домене:

Откройте консоль управления групповыми политиками gpmc.msc.
Правой кнопкой мыши нажмите на объект групповой политики, с помощью которого настраивалось доменное развёртывание MSI-пакета.
В появившемся контекстном меню выберите команду Правка… / Edit…:
Откроется окно настройки объекта групповой политики. В дереве настроек в левой части окна выберите пункт Конфигурация компьютера / Computer Configuration → Политики / Policies → Конфигурация программ / Software Settings → Установка программ / Software installation.
Справа отобразится список приложений, установленных в рамках редактируемой групповой политики. Правой кнопкой мыши нажмите на приложении TrueConf Client и в появившемся контекстном меню выберите Все задачи / All Tasks → Удалить / Remove.
В открывшемся окне выберите опцию Немедленное удаление этого приложения с компьютеров всех пользователей / Immediately uninstall the software from users and computers и нажмите OK:
Затем обновите настройки GPO, выполнив в консоли команду:
При следующем входе пользователей в свои учётные записи на их машинах произойдёт деинсталляция приложения TrueConf.

Локальная установка MSI-пакета

MSI-пакет также можно установить локально, на одной машине. Для этого:

Скачайте его с официального сайта TrueConf.
Откройте командную строку и перейдите в каталог со скачанным MSI-установщиком.
Выполните следующую команду для установки приложения:
Вместо your_params укажите необходимые параметры, состоящие из MSI-ключа и его значения по следующему шаблону:
Параметры должны быть разделены пробелами. Пример команды для установки с параметрами представлен ниже:

После этого клиентское приложение TrueConf с указанными настройками будет установлено на нужной машине.

Установка ПроАТМ¶

Устанавливать ПроАТМ следует из под учетной записи с правами администратора.

Подготовительные действия¶

Убедитесь, что на УС установлены драйвера уровня XFS для устройств входящих в состав УС.
Убедитесь, что сервис «Установщик Windows» запущен: в списке служб ОС Windows (Панель управления > Администрирование > Службы) состояние службы «Установщик Windows» («Windows Installer») – «Работает» («Running»). Если данный сервис остановлен, то запустите его: в свойствах службы «Установщик Windows» («Windows Installer») нажмите кнопку Запустить (Start).
Автоматическое определение параметров отключено¶

Установка с помощью мастера установки ПроАТМ¶

Номер версии ПроАТМ, указанный на рисунках и в примерах, может отличаться от номера устанавливаемой версии ПроАТМ на УС.

Запустите файл . Откроется экран приветствия мастера установки ПроАТМ. Для перехода к следующему шагу нажимайте кнопку Далее. Чтобы прервать установку нажмите кнопку Отмена.

../_images/welcome.png

Экран приветствия мастера установки ПроАТМ¶

\\\
"2022.08.24 9:02(44.749) ""Запущен Мастер Установки ПроАТМ 5.7.7 (rev 31876)."
"2022.08.24 9:03(08.273) ""Запущена установка приложения ПроАТМ 5.7.7 (rev 31876)."
"2022.08.24 9:03(45.230) ""Установка приложения ПроАТМ 5.7.7 (rev 31876) успешно завершена"

В процесе работы мастера установки выполните следующие действия:

На шаге «Выборочная установка» выберите компоненты ПроАТМ, которые необходимо установить. По умолчанию будут установлены только базовые компоненты и служба логировани RedLabel.
Шаг «Выборочная установка» (компоненты ПроАТМ по умолчанию)¶
На шаге «Выбор кастомизационного пакета для ПроАТМ», если установка кастомизации не требуется, то снимите флаг Установить кастомизацию. Если кастомизацию необходимо установить, то не снимайте флаг Установить кастомизацию и укажите путь к папке , которая содержит файл . По умолчанию флаг Установить кастомизацию установлен и поиск папки выполняется в текущей папке.
Шаг «Выбор кастомизационного пакета для ПроАТМ» (слева – указан путь к папке «Custom», справа – установка кастомизации не требуется)¶
Если в папке , указанной в поле Путь, нет файла или имя папки отличается от «Custom», то после нажатия кнопки Далее появится сообщение о том, что указанный путь не содержит кастомизационного пакета. В этом случае нажмите кнопку ОК и укажите корректный путь к папке .
Сообщение о том, что в указанной папке нет кастомизационного пакета¶
Чтобы все настройки вступили в силу после завершения установки поставьте флаг Перезагрузить систему сейчас и нажмите кнопку Готово.

../_images/reboot_os.png

Установка ПроАТМ завершена. Установлен флаг «Перезагрузить систему сейчас»¶

Установка из командной строки¶

  \        "<путь к папке>\Custom"

/i %s – установить ПроАТМ.
/qn – не показывать интерфейс мастера установки.
ADDLOCAL (необязательный) – модули ПроАТМ, которые необходимо установить, несколько модулей указываются через запятую. Возможные модули:
- ADM_SBKZ_EXPANSION – подсистема АДМ СБ Казахстан;
- ADM_SB_EXPANSION – подсистема АДМ СБ РФ;
- PROSET_EXPANSION – подсистема ПроСЭТ;
- ALL – установка всех подсистем.
CUSTOMIZATION_PATH (необязательный) – путь к папке , которая содержит файл .

Пример команды для установки ПроАТМ с подсистемой режиме ПроСЭТ:

Проверка целостности ПО¶

В соответствии с требованиями стандарта PCI PA DSS, а также регламентами безопасности банков, в ПроАТМ предусмотрен механизм проверки целостности ПО и настроек.

Механизм проверки целостности ПО по умолчанию включен. Для того, чтобы его отключить, отправьте запрос ООО «Система».

Множество защищаемых объектов может состоять из файлов и отдельных записей системного реестра, в т.ч. файлов стороннего ПО или файлов ОС. Это множество задается кастомизацией. По умолчанию будут защищаться только исполняемые модули ПроАТМ.

В процессе установки ПроАТМ инсталлятор создает базу контрольных сумм файлов (файл в папке ). Целостность защищаемых объектов проверяет системная служба ProAtmAuxServices (исполняемый файл ) с определенной периодичностью. В момент запуска ПО утилита FS365.Starter запрашивает статус целостности ПО у службы ProAtmAuxServices. Если целостность нарушена или не удалось получить статус из-за нарушения работы механизма проверки, то запуск ПО будет прерван.

После запуска ПО статус целостности периодически запрашивает ПроАТМ. Если целостность ПО нарушена, то УС переходит в режиме «Out Of Service» с занесением события в журнал и в мониторинг. Последующая перезагрузка выявит нарушение целостности и не позволит запустить ПО. Для восстановления целостности рекомендуется переустановить ПО.

Проверка цифровой подписи дистрибутивов ПО¶

Утилита DorsIntegrityCheck проверяет цифровую подпись дистрибутивов ПО ПроАТМ и ПроАТМ/XFS с целью обеспечения контроля их целостности при передаче заказчику.

-f имя файла – имя файла инсталлятора для проверки, включая путь к файлу. Если путь содержит пробелы, то необходимо заключить его в кавычки. В случае отсутствия данного ключа проверка подписи будет выполнена для файла инсталлятора ProAtm*.exe в текущей папке.
-s имя файла подписи – имя файла подписи инсталлятора, включая путь к файлу. Если путь содержит пробелы, то необходимо заключить его в кавычки. В случае отсутствия данного ключа для проверки подписи будет использован файл с расширением .sig и c тем же именем и папкой, что и инсталлятор.

Для использования данной утилиты без указания дополнительных параметров запуска, необходимо, чтобы проверяемый дистрибутивный комплект и файл подписи находились в той же директории, что и утилита DorsIntegrityCheck.

Результат проверки дистрибутивного комплекта выводится на экран:

Verification OK – подпись верна;
Verification FAIL – подпись не совпала.

Результат дублируется кодом завершения процесса:

0 – подпись верна;
1 – подпись не совпала.

Коды ошибок утилиты:

Для запуска утилиты с параметрами рекомендуется использовать cmd-файл, сформированный в кодировке OEM 866. В случае использования cmd–файла, сформированного в кодировке Win 1251, необходимо перед запуском утилиты DorsIntegrityCheck установить корректное значение текущей кодовой страницы: chcp 1251.

Установку Kaspersky Endpoint Security из командной строки можно выполнить в одном из следующих режимов:

В интерактивном режиме с помощью мастера установки приложения.
В тихом режиме. После запуска установки в тихом режиме ваше участие в процессе установки не требуется (тихая установка). Для установки приложения в тихом режиме используйте ключи /s и /qn.
Перед установкой приложения в тихом режиме откройте и прочитайте Лицензионное соглашение и текст Политики конфиденциальности. Лицензионное соглашение и текст Политики конфиденциальности входят в комплект поставки Kaspersky Endpoint Security. Приступайте к установке приложения, только если вы полностью прочитали, понимаете и принимаете положения и условия Лицензионного соглашения, если вы понимаете и соглашаетесь, что ваши данные будут обрабатываться и пересылаться (в том числе в третьи страны), согласно Политике конфиденциальности, если вы полностью прочитали и понимаете Политику конфиденциальности. Если вы не принимаете положения и условия Лицензионного соглашения и Политику конфиденциальности, не устанавливайте и не используйте Kaspersky Endpoint Security.

Вы можете просмотреть список команд для установки приложения с помощью команды /h. Чтобы получить справку по синтаксису команды установки, введите setup_kes.exe /h. В результате инсталлятор покажет окно с описанием параметров команды (см. рис. ниже).

Описание параметров команды установки

Чтобы установить приложение или обновить предыдущую версию приложения, выполните следующие действия:

Запустите интерпретатор командной строки cmd от имени администратора.
Перейдите в папку, в которой расположен дистрибутив Kaspersky Endpoint Security.
Выполните команду:

В результате приложение будет установлено на компьютер. Вы можете убедиться, что приложение установлено, и проверить параметры приложения с помощью команды status.

Параметры установки приложения


	Согласие с положениями Лицензионного соглашения. Текст Лицензионного соглашения входит в комплект поставки Kaspersky Endpoint Security. Согласие с положениями Лицензионного соглашения является необходимым условием для установки приложения или обновления версии приложения.
	Согласие с Политикой конфиденциальности. Текст Политики конфиденциальности входит в комплект поставки Kaspersky Endpoint Security. Согласие с Политикой конфиденциальности является необходимым условием для установки приложения или обновления версии приложения.
	Согласие или отказ участвовать в Kaspersky Security Network (KSN). Если параметр не указан, Kaspersky Endpoint Security запросит подтверждения участия в KSN при первом запуске приложения. Возможные значения: `1` – согласие участвовать в KSN. `0` – отказ участвовать в KSN (значение по умолчанию). Дистрибутив Kaspersky Endpoint Security оптимизирован для использования Kaspersky Security Network. Если вы отказались от участия в Kaspersky Security Network, то сразу после завершения установки обновите Kaspersky Endpoint Security.
	Автоматическая перезагрузка компьютера после установки или обновления приложения, если требуется. Если параметр не задан, автоматическая перезагрузка компьютера запрещена. При установке Kaspersky Endpoint Security перезагрузка не требуется. Перезагрузка требуется, только если перед установкой необходимо удалить несовместимые приложения. Также перезагрузка может потребоваться при обновлении версии приложения.
	Выключение проверки на наличие несовместимого ПО. Список несовместимого ПО приведен в файле incompatible.txt в комплекте поставки. Если параметр не задан, при обнаружении несовместимого ПО установка Kaspersky Endpoint Security будет прекращена.
	Запрет на автоматическое удаление найденного несовместимого ПО. Если параметр не задан, Kaspersky Endpoint Security пытается удалить несовместимое ПО. Включить автоматическое удаление несовместимого ПО при установке Kaspersky Endpoint Security с помощью установщика msiexec невозможно. Для автоматического удаления несовместимого ПО используйте исполняемый файл setup_kes.exe.
	Проверка цифровых подписей файлов найденного несовместимого ПО. Для удаления несовместимого ПО Kaspersky Endpoint Security запускает файл инсталлятора программного обеспечения. Если у файла инсталлятора нет цифровой подписи, Kaspersky Endpoint Security считает такой файл недоверенным, и для предотвращения исполнения вредоносного кода приложение прекращает удаление несовместимого ПО. Если приложение не может проверить цифровую подпись файла найденного несовместимого ПО, установка Kaspersky Endpoint Security будет остановлена с ошибкой. Значение по умолчанию отличается в зависимости от способа установки приложения: `0` – проверка цифровой подписи выключена (значение по умолчанию при развертывании через Kaspersky Security Center). `1` – проверка цифровой подписи включена (значение по умолчанию при локальной установке приложения).
	Установка приложения в конфигурации Endpoint Detection and Response Agent (EDR Agent) для интеграции с решением Kaspersky Endpoint Detection and Response (KATA). Эта конфигурация нужна в том случае, если в вашей организации развернута система защиты конечных точек (англ. Endpoint Protection Platform – EPP) от сторонних поставщиков и решение Kaspersky Endpoint Detection and Response (KATA) от “Лаборатории Касперского”. Таким образом, Kaspersky Endpoint Security в конфигурации Endpoint Detection and Response Agent может быть совместим со сторонними EPP-приложениями. Вы также можете использовать EDR Agent для интеграции с решением Kaspersky Managed Detection and Response. Для этого вам нужно изменить состав компонентов приложения.

	Установка пароля для доступа к управлению функциями и параметрами Kaspersky Endpoint Security (пароль устанавливается вместе с параметрами `KLLOGIN` и `KLPASSWDAREA`).
	Определение области действия пароля для доступа к Kaspersky Endpoint Security. При попытке пользователя выполнить действие из этой области Kaspersky Endpoint Security запрашивает учетные данные пользователя (параметры `KLLOGIN` и `KLPASSWD`). Для указания множественного значения используйте символ “`;`“. Возможные значения: `SET` – изменение параметров приложения. `EXIT` – завершение работы приложения. `DISPROTECT` – выключение компонентов защиты и остановка задач проверки. `DISPOLICY` – выключение политики Kaspersky Security Center. `UNINST` – удаление приложения с компьютера. `DISCTRL` – выключение компонентов контроля. `REMOVELIC` – удаление ключа. `REPORTS` – просмотр отчетов. Например, `KLPASSWDAREA=SET;KLPASSWDAREA=UNINST;KLPASSWDAREA=EXIT`.
	Включение или выключение трассировки приложения. После запуска Kaspersky Endpoint Security приложение сохраняет файлы трассировки в папке `%ProgramData%\Kaspersky Lab\KES.21.17\Traces`. Возможные значения: `1` – трассировка включена. `0` – трассировка выключена (значение по умолчанию).
	Уровень детализации трассировки. Возможные значения: `100` (критический). Только сообщения о неустранимых ошибках. `200` (высокий). Сообщения обо всех ошибках, включая неустранимые. `300` (диагностический). Сообщения обо всех ошибках, а также предупреждения. `400` (важный). Сообщения обо всех ошибках, предупреждения, а также дополнительная информация. `500` (обычный). Сообщения обо всех ошибках, предупреждениях, а также подробная информация о работе приложения в нормальном режиме (значение по умолчанию). `600` (низкий). Все сообщения.
	Включение или выключение режима совместимости с Azure WVD. Возможные значения: `1` – режим совместимости с Azure WVD включен. `0` – режим совместимости с Azure WVD выключен (значение по умолчанию). Функция позволяет корректно показывать состояние виртуальной машины Azure в консоли Kaspersky Anti Targeted Attack Platform. Для контроля за состоянием компьютера Kaspersky Endpoint Security отправляет на серверы KATA телеметрию. Телеметрия включает в себя идентификатор компьютера (Sensor ID). Режим совместимости с Azure WVD позволяет назначать постоянный уникальный Sensor ID для этих виртуальных машин. Если режим совместимости выключен, то из-за особенностей работы виртуальных машин Azure Sensor ID может изменяться после перезагрузки компьютера. Из-за этого возможно дублирование виртуальных машин в консоли.
	Технология AM-PPL доступна для операционных систем Windows 10 версии 1703 (RS2) и выше, Windows Server 2019. `1` – защита процессов Kaspersky Endpoint Security с использованием технологии AM-PPL включена (значение по умолчанию). `0` – защита процессов Kaspersky Endpoint Security с использованием технологии AM-PPL выключена.
	Режим обновления приложения: `Seamless` – обновление приложения с перезагрузкой компьютера (значение по умолчанию). `Force` – обновление приложения без перезагрузки. Вы можете обновлять версию приложения без перезагрузки начиная с версии 11.10.0. Для обновление более ранних версий приложения необходимо выполнять перезагрузку компьютера. Также вы можете устанавливать патчи без перезагрузки начиная с версии 11.11.0. При установке Kaspersky Endpoint Security перезагрузка не требуется. Таким образом, режим обновления приложения будет установлен в параметрах приложения. Вы можете изменить этот параметр в настройках приложения или в политике. Если приложение уже установлено, при установке обновления приоритет параметра из командной строки ниже, чем параметр, заданный в настройках приложения или в файле setup.ini. То есть, если в командной строке задан режим `Force`, а в параметрах приложения задан режим `Seamless`, инсталлятор установит обновление с перезагрузкой (`Seamless`).
	`1` – управление через REST API разрешено. `0` – управление через REST API запрещено (значение по умолчанию).
	Добавление имени пользователя является необходимым условием для управления приложением через REST API.
	Порт для управления приложением через REST API. По умолчанию используется порт 6782. Убедитесь, что порт свободен.
	Сертификат для идентификации запросов (например, `RESTAPI_Certificate=C:\cert.pem`). Для безопасной работы Kaspersky Endpoint Security с REST-клиентом вам нужно настроить идентификацию запросов. Для этого вам нужно установить сертификат и в дальнейшем подписывать полезные данные каждого запроса.
	Управление приложением с помощью систем администрирования. К системам администрирования относится, например, Kaspersky Security Center. Кроме систем администрирования “Лаборатории Касперского” вы можете использовать сторонние решения. Для этого Kaspersky Endpoint Security предоставляет API. `1` – управление приложением c помощью систем администрирования разрешено (значение по умолчанию). `0` – разрешено управление приложением только через локальный интерфейс.
`setup_kes.exe /pEULA=1 /pPRIVACYPOLICY=1 /pKSN=1 /pALLOWREBOOT=1` `setup_kes.exe /pEULA=1 /pPRIVACYPOLICY=1 /pKSN=1 /pENABLETRACES=1 /pTRACESLEVEL=600 /s`

После установки приложения Kaspersky Endpoint Security происходит активация по пробной лицензии, если вы не указали код активации в файле setup.ini. Пробная лицензия обычно имеет небольшой срок действия. По истечении срока действия пробной лицензии Kaspersky Endpoint Security прекращает выполнять все свои функции. Чтобы продолжить использование приложения, вам нужно активировать приложение по коммерческой лицензии с помощью мастера активации приложения или специальной команды.

Во время установки приложения или обновления версии приложения в тихом режиме поддерживается использование следующих файлов:

Чтобы применить параметры из файлов setup.ini, install.cfg и setup.reg, разместите эти файлы в папке с дистрибутивом Kaspersky Endpoint Security. Также вы можете разместить файл setup.reg в другой папке. В этом случае вам нужно указать путь к файлу в команде установки приложения: SETUPREG=<path to the setup.reg file>.

Установка модуля управления обновлениями PSWindowsUpdate

В современных версиях Windows 10/11 и Windows Server 2022/2019/2016 модуль PSWindowsUpdate можно установить из онлайн репозитория PowerShell Gallery с помощью команды:

Install-Module -Name PSWindowsUpdate

Подтвердите добавление репозитариев, нажав Y. Проверьте, что модуль управлениям обновлениями установлен в Windows:

Get-Package -Name PSWindowsUpdate

Можно удаленно установить PSWindowsUpdate на другие компьютеры в сети. Следующая команда скопирует файлы модуля на указанные компьютеры (для доступа к удаленным компьютерам используется WinRM).

$Targets = "srv1.winitpro.loc", "srv2.winitpro.loc" Update-WUModule -ComputerName $Targets -local

Политика выполнения PowerShell скриптов в Windows по умолчанию блокирует запуск командлетов из сторонних модулей, в том числе PSWindowsUpdate. Чтобы разрешить запуск любых локальных скриптов, выполните команду:

Set-ExecutionPolicy –ExecutionPolicy RemoteSigned -force

Либо вы можете разрешить запускать команды модуля в текущей сессии PowerShell:

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process

Импортируйте модуль в сессию PowerShell:

Выведите список доступных командлетов:

Get-command -module PSWindowsUpdate

Проверить текущие настройки клиента Windows Update:

ComputerName                                 : WKS22122
WUServer                                     : http://MS-WSUS:8530
WUStatusServer                               : http://MS-WSUS:8530
AcceptTrustedPublisherCerts                  : 1
ElevateNonAdmins                             : 1
DoNotConnectToWindowsUpdateInternetLocations : 1
 TargetGroupEnabled                           : 1
TargetGroup                                  : WorkstationsProd
NoAutoUpdate                                 : 0
AUOptions                                    : 3 - Notify before installation
ScheduledInstallDay                          : 0 - Every Day
ScheduledInstallTime                         : 3
UseWUServer                                  : 1
AutoInstallMinorUpdates                      : 0
AlwaysAutoRebootAtScheduledTime              : 0
DetectionFrequencyEnabled                    : 1
DetectionFrequency                           : 4

В данном примере клиент Windows Update на компьютере настроен с помощью GPO на получение обновлений с локального сервера обновлений WSUS.

Сканировать и загрузить обновления Windows с помощью PowerShell

Чтобы просканировать компьютер на сервере обновлений и вывести список обновлений, которые ему требуется, выполните команду:

Команда должна вывести список обновлений, которые нужно установить на вашем компьютере.

Команда Get-WindowsUpdate при первом запуске может вернуть ошибку:

Value does not fall within the expected range.

Чтобы проверить, откуда получает ли Windows обновлений с серверов Windows Update в Интернете или локального WSUS, выполните команду:

В этом примере вы видите, компьютер настроен на получение обновлений с локального сервера WSUS (Windows Server Update Service = True). В этом случае вы должны увидеть список обновлений, одобренных для вашего компьютера на WSUS.

Если вы хотите просканировать ваш компьютер на серверах Microsoft Update в Интернете (кроме обновлений Windows на этих серверах содержатся обновления Office и других продуктов), выполните команду:

Вы получаете предупреждение:

Get-WUlist : Service Windows Update was not found on computer

Чтобы разрешить сканирование на Microsoft Update, выполните команду:

Чтобы убрать определенные продукты или конкретные KB из списка обновлений, которые получает ваш компьютер, вы их можете исключить по:

Категории (-NotCategory);
Названию (-NotTitle);
Номеру обновления (-NotKBArticleID).

Например, чтобы исключить из списка обновления драйверов, OneDrive, и одну конкретную KB:

Get-WUlist -NotCategory "Drivers" -NotTitle OneDrive -NotKBArticleID KB4533002

Get-WindowsUpdate -Download -AcceptAll

Windows загрузит все доступные патчи сервера обновлений (MSU и CAB файлы) в локальный каталог обновлений, но не запустит их автоматическую установку.

Установка обновлений Windows с помощью команды Install-WindowsUpdate

Install-WindowsUpdate -MicrosoftUpdate -AcceptAll -AutoReboot

Ключ AcceptAll включает одобрение установки для всех пакетов, а AutoReboot разрешает автоматическую перезагрузку Windows после завершения установки обновлений.

Также можно использовать следующе параметры:

IgnoreReboot – запретить автоматическую перезагрузку;
ScheduleReboot – задать точное время перезагрузки компьютера.

Можете сохранить историю установки обновлений в лог файл (можно использовать вместо WindowsUpdate.log).

Можно установить только конкретные обновления по номерам KB:

Get-WindowsUpdate -KBArticleID KB2267602, KB4533002 -Install

Если вы хотите пропустить некоторые обновления при установке, выполните:

Install-WindowsUpdate -NotCategory "Drivers" -NotTitle OneDrive -NotKBArticleID KB4011670 -AcceptAll -IgnoreReboot

Проверить, нужна ли перезагрузка компьютеру после установки обновления (атрибуты RebootRequired и RebootScheduled):

>Просмотр истории установленных обновлений в Windows

С помощью команды Get-WUHistory вы можете получить список обновлений, установленных на компьютере ранее автоматически или вручную.

Можно получить информацию о дате установки конкретного обновления:

Вывести даты последнего сканирования и установки обновлении на компьютере:

Удаление обновлений в Windows с помощью PowerShell

Для корректного удаления обновления Windows используется командлет Remove-WindowsUpdate. Вам достаточно указать номер KB в качестве аргумента параметра KBArticleID.

Remove-WindowsUpdate -KBArticleID KB4011634

Скрыть ненужные обновления Windows с помощью PowerShell

Вы можете скрыть определенные обновления, чтобы они никогда не устанавливались службой обновлений Windows Update на вашем компьютер (чаще всего скрывают обновления драйверов). Например, чтобы скрыть обновления KB2538243 и KB4524570, выполните такие команды:

$HideList = "KB2538243", "KB4524570" Get-WindowsUpdate -KBArticleID $HideList -Hide

или используйте alias:

Hide-WindowsUpdate -KBArticleID $HideList -Verbose

Теперь при следующем сканировании обновлений с помощью команды Get-WindowsUpdate скрытые обновления не будут отображаться в списке доступных для установки.

Вывести список скрытых обновлений:

Обратите внимание, что в колонке Status у скрытых обновлений появился атрибут H (Hidden).

Отменить скрытие обновлений можно так:

Get-WindowsUpdate -KBArticleID $HideList -WithHidden -Hide:$false

Show-WindowsUpdate -KBArticleID $HideList

Управление обновлениями Windows на удаленных компьютерах через PowerShell

Практически все командлеты модуля PSWindowsUpdate позволяют управлять обновлеями на удаленных компьютерах. Для этого используется атрибут
-Computername Host1, Host2, Host3
. На удаленных компьютерах должен быть включен и настроен WinRM (вручную или через GPO). Модуль PSWindowsUpdate можно использовать для удаленного управлений обновлениями Windows как на компьютерах в домене AD, так и в рабочей группе (потребует определенной настройки PowerShell Remoting).

Для удаленного управления обновлениями компьютерах, нужно добавить имена компьютеров доверенных хостов winrm, или настроить удаленное управление PSRemoting через WinRM HTTPS:

Или с помощью PowerShell:
Set-Item wsman:\localhost\client\TrustedHosts -Value wsk-w10BO1 -Force

С помощью Invoke-Command можно разрешить использовать модуль PSWindowsUpdate на удаленных компьютерах и открыть необходимые порты в Windows Defender Firewall (команда
Enable-WURemoting
):

Проверить список доступных обновлений на удаленном компьютере:

Get-WUList –ComputerName server2

Командлет Invoke-WUJob (ранее командлет назывался Invoke-WUInstall) создаст на удаленном компьютере задание планировщика, запускаемое от SYSTEM. Можно указать точное время для установки обновлений Windows:

Проверить статус задания установки обновлений:

Get-WUJob -ComputerName $ServerNames

Если команда вернет пустой список, значит задача установки на всех компьютерах выполнена.

Проверьте наличие обновления на нескольких удаленных компьютерах:

Получить дату последней установки обновлений на всех компьютерах в домене можно с помощью командлета Get-ADComputer из модуля AD PowerShell:

PowerShell модуль PSWindowsUpdate удобно использовать для загрузки и установки обновлений Windows из командной строки (единственный доступны вариант в случае установки обновлений на хосты без графического интерфейса: Windows Server Core и Hyper-V Server). Также этот модуль незаменим, когда нужно одновременно запустить и проконтролировать установку обновлений сразу на множестве серверов/рабочих станциях Windows.

:/> Поверхность Pro

Установка обновлений в windows c помощью power shell модуля ps windows update

Зачем нужны MSI-пакеты?

Список ключей для установки

Подготовка файла MST для задания настроек при установке через групповые политики

Установка MSI-пакета с помощью групповых политик

Удаление приложения со всех машин домена

Локальная установка MSI-пакета

Установка ПроАТМ¶

Подготовительные действия¶

Установка с помощью мастера установки ПроАТМ¶

Установка из командной строки¶

Проверка целостности ПО¶

Проверка цифровой подписи дистрибутивов ПО¶

Установка модуля управления обновлениями PSWindowsUpdate

Сканировать и загрузить обновления Windows с помощью PowerShell

Установка обновлений Windows с помощью команды Install-WindowsUpdate

>Просмотр истории установленных обновлений в Windows

Удаление обновлений в Windows с помощью PowerShell

Скрыть ненужные обновления Windows с помощью PowerShell

Управление обновлениями Windows на удаленных компьютерах через PowerShell

Оставьте комментарий Отменить ответ

Зачем нужны MSI-пакеты?

Список ключей для установки

Подготовка файла MST для задания настроек при установке через групповые политики

Установка MSI-пакета с помощью групповых политик

Удаление приложения со всех машин домена

Локальная установка MSI-пакета

Установка ПроАТМ¶

Подготовительные действия¶

Установка с помощью мастера установки ПроАТМ¶

Установка из командной строки¶

Проверка целостности ПО¶

Проверка цифровой подписи дистрибутивов ПО¶

Установка модуля управления обновлениями PSWindowsUpdate

Сканировать и загрузить обновления Windows с помощью PowerShell

Установка обновлений Windows с помощью команды Install-WindowsUpdate

>Просмотр истории установленных обновлений в Windows

Удаление обновлений в Windows с помощью PowerShell

Скрыть ненужные обновления Windows с помощью PowerShell

Управление обновлениями Windows на удаленных компьютерах через PowerShell

Похожее:

Оставьте комментарий Отменить ответ