Чтобы убедиться, что образ Windows, который вы устанавливаете на компьютеры в своей сети, всегда содержит последние обновления безопасности, вы можете добавить новые пакеты обновлений в автономный установочный образ Windows с помощью DISM. В этом руководстве я покажу вам, как внедрить исправления безопасности в ISO/WIM-образ Windows 11/10 и Windows Server 2022/2019/2016.
В этом примере мы покажем вам, как добавить последнее накопительное обновление безопасности (апрель 2023) в установочный образ Windows 11 22H2. Мы добавим накопительное обновление KB5025239 в образ. Встроенная поддержка решения для паролей локального администратора (Windows LAPS) добавлена в Windows 11 с обновлением KB5025239.
Как добавить обновления Windows в автономный образ?
Вам понадобятся следующие файлы:
- Установочный образ Windows в формате ISO или его файл install.WIM;
- Файл обновления .MSU, который можно загрузить из каталога обновлений Microsoft (Как вручную загрузить файлы Windows Update?). Просто загрузите последнее накопительное обновление для вашей версии Windows и Service Stack Update (SSU).
Создайте на компьютере следующую структуру каталогов:
- C:\updates\mnt — это папка, в которую мы смонтируем файл install.wim, содержащий установочный образ Windows;
- C:\updates\msu — это каталог, в который нужно скопировать файлы обновлений для вашей версии Windows в формате MSU;
- C:\updates\WinImage\ — скопируйте файл install.wim (или install.esd) из файла Исходники каталог установочного образа Windows 11 22H2 в этот каталог. Вы также можете скопировать образ WIM с сервера WDS, MDT, SCCM или любого другого инструмента развертывания ОС, используемого для установки Windows с помощью сетевой загрузки PXE.
Монтирование файла образа Windows (WIM) с помощью DISM
Современные установочные ISO-образы Windows, созданные с помощью Media Creation Tool, используют сжатый формат ESD вместо файла WIM. Вы не можете напрямую изменить образ Windows в формате ESD. Поэтому сначала необходимо преобразовать файл ESD в формат WIM с помощью инструмента DISM.
Смонтируйте ISO-образ на виртуальный диск:
Mount-DiskImage –ImagePath "C:\DIstr\iso\Windows1122h2.iso"
Перечислите редакции Windows в файле образа ESD/WIM:
DISM /Get-WimInfo /WimFile:"E:\sources\install.esd"
В этом примере мы экспортируем только WIM-файл Windows 11 Pro Edition из образа ESD (его индекс 6, поэтому мы укажем /SourceIndex:6 в следующей команде):
dism /export-image /SourceImageFile:"E:\sources\install.esd" /SourceIndex:6 /DestinationImageFile:C:\Updates\WInImage\win11pro.wim /Compress:max /CheckIntegrity
Смонтируйте файл install.wim, содержащий образ установки Windows, в каталог C:\updates\mnt с помощью DISM:
dism /mount-wim /wimfile:C:\Updates\WinImage\win11pro.wim /index:1 /mountdir:C:\updates\mnt
/index:1 , поскольку WIM-образ содержит только одну редакцию Windows 11 Pro. Если WIM-образ содержит несколько редакций Windows, необходимо указать индекс нужной редакции, либо выполнить интеграцию обновлений для каждой редакции по очереди.DISM: Добавление обновлений MSU и CAB в WIM-образ Windows
Теперь вы можете начать процесс интеграции подходящих обновлений MSU из указанного исходного каталога в автономный образ Windows.
dism /image:C:\updates\mnt /add-package /packagepath:C:\updates\msu
Если DISM обнаружит неправильное обновление (не соответствует версии ОС, разрядности или если обновление уже установлено), он пропустит его и запишет информацию в C:\Windows\Logs\DISM\dism.log.
Если вы не хотите вручную загружать файлы обновлений MSU с Microsoft Update, вы можете использовать в качестве источника эталонный компьютер с той же версией Windows, на котором уже установлены последние обновления безопасности, и получить все необходимые файлы обновлений непосредственно с него. Windows сохраняет все исправления (CAB-файлы), полученные с серверов Windows Update или сервера WSUS, в папку C:\Windows\SoftwareDistribution\Download каталог.
Следующая команда запускает интеграцию файлов обновлений, которые уже были загружены и установлены на удаленном компьютере (называются PC1234) в образ install.wim:
Start /w for /R \\PC1234\C$\Windows\SoftwareDistribution\Download\ %f in (*.cab) do dism /image:C:\updates\mnt /add-package /packagepath:"%f"
В этом примере мы получим доступ к каталогу обновлений на удаленном компьютере через административный ресурс C$. Появится окно, позволяющее отслеживать процесс установки обновлений для автономного образа Windows. DISM попытается добавить каждый CAB-файл, найденный на удаленном компьютере, в ваш образ Windows WIM.
dism /image:C:\updates\mnt /Cleanup-Image /StartComponentCleanup /ResetBase /ScratchDir:C:\Temp
Последний шаг — сохранение изменений и размонтирование WIM-образа Windows.
dism /unmount-wim /mountdir:C:\updates\mnt /commit
dism /Cleanup-Wim
После установки обновлений вы можете проверить, что они были успешно интегрированы в образ Windows. Список обновлений, которые были установлены сегодня на смонтированный WIM-образ Windows
DISM /Image:C:\updates\mnt /Get-Packages /format:table | select-string "4/20/2023"
Вы также можете просмотреть список установленных обновлений в автономном WIM-образе:
Dism /image:C:\Updates\WinImage\win11pro.wim /Get-Packages
dism /split-Image /imagefile:C:\Update\Winmage\install.wim /swmfile:C:\Update\WinImage\install.swm /filesize:4096
Остается только скопировать полученный образ install.wim (или SWM-файлы) в исходный каталог на носителе или на виртуальной машине, либо пересобрать установочный ISO-образ с помощью таких инструментов, как oscdimg/UltraISO/Dism++.
Пример команды для создания установочного ISO-образа Windows с поддержкой UEFI и BIOS из локальной папки (файл oscdimg.exe входит в состав Windows ADK, Assessment and Development Kit):
oscdimg.exe -h -m -o -u2 -udfver102 -bootdata:2#p0,e,bc:\win11\iso\boot\etfsboot.com#pEF,e,bc:\win11\iso\efi\microsoft\boot\efisys.bin -lWin10 c:\iso c:\win11.iso
