Information

河南互联网络信息有限公司

800188.net

本文介绍如何将组策略配置为使用在受管理设备上激活 KIR 的已知问题回滚 (KIR) 策略定义。

适用于: Windows Server (所有受支持的版本) 、Windows 客户端 (所有受支持的版本)

摘要

Microsoft 为 Windows Server 2019 和 Windows 10 版本 1809 及更高版本开发了名为 KIR 的新 Windows 服务技术。 对于受支持的 Windows 版本,KIR 会回滚作为非安全Windows 更新版本的一部分应用的特定更改。 作为该版本的一部分所做的所有其他更改保持不变。 使用此技术,如果 Windows 更新导致回归或其他问题,则无需卸载整个更新并将系统返回到上一个已知的良好配置。 仅回滚导致问题的更改。 此回滚是暂时的。 Microsoft 发布修复问题的新更新后,不再需要回滚。

重要

KIR 仅适用于非安全更新。 这是因为回滚非安全更新的修补程序不会造成潜在的安全漏洞。

Microsoft 管理非企业设备的 KIR 部署过程。 对于企业设备,Microsoft 提供 KIR 策略定义 MSI 文件。 然后,企业可以使用组策略在混合Microsoft Entra ID或Active Directory 域服务 (AD DS) 域中部署 KIR。

备注

必须重启受影响的计算机才能应用此组策略更改。

KIR 过程

如果 Microsoft 确定非安全更新存在严重回归或类似问题,则 Microsoft 将生成 KIR。 Microsoft 在 Windows 运行状况仪表板中宣布 KIR,并将信息添加到以下位置:

对于非企业客户,Windows 更新过程会自动应用 KIR。 无需用户操作。

对于企业客户,Microsoft 提供了策略定义 MSI 文件。 企业客户可以使用企业组策略基础结构将 KIR 传播到托管系统。

若要查看 KIR MSI 文件的示例,请下载 Windows 10 (2004 & 20H2) 已知问题回滚031321 01.msi

KIR 策略定义的生命周期有限, (几个月,最多) 。 Microsoft 发布修正后的更新以解决原始问题后,不再需要 KIR。 然后,可以从组策略基础结构中删除策略定义。

使用 组策略 将 KIR 应用到单个设备

若要使用 组策略 将 KIR 应用于单个设备,请执行以下步骤:

  1. 将 KIR 策略定义 MSI 文件下载到设备。

    重要

    确保 .msi 文件名中列出的操作系统与要更新的设备的操作系统匹配。

  2. 在设备上运行 .msi 文件。 此操作在管理模板中安装 KIR 策略定义。
  3. 打开本地组策略 编辑器。 为此,请选择“ 开始”,然后输入 gpedit.msc
  4. 选择“本地计算机策略>计算机配置>管理模板>”KB ####### 问题 XXX 回滚>Windows 10版本 YYMM

    备注

    在此步骤中, ####### 是导致问题的更新的知识库文章编号。 XXX 是问题编号,YYMM 是Windows 10版本号。

  5. 右键单击该策略,然后选择 “编辑>禁用的>确定”。
  6. 重启设备。

有关如何使用本地组策略 编辑器的详细信息,请参阅使用本地组策略 编辑器使用管理模板策略设置

使用 组策略 将 KIR 应用于混合Microsoft Entra ID或 AD DS 域中的设备

若要将 KIR 策略定义应用于属于混合Microsoft Entra ID或 AD DS 域的设备,请执行以下步骤:

  1. 下载并安装 KIR MSI 文件
  2. (GPO) 创建组策略对象
  3. 创建并配置应用 GPO 的 WMI 筛选器
  4. 链接 GPO 和 WMI 筛选器
  5. 配置 GPO
  6. 监视 GPO 结果

1. 下载并安装 KIR MSI 文件

  1. 查看 KIR 版本信息或已知问题列表,以确定需要更新的操作系统版本。
  2. 将 KIR 策略定义 .msi 需要更新的文件下载到用于管理域组策略的计算机。
  3. 运行 .msi 文件。 此操作在管理模板中安装 KIR 策略定义。

    备注

    策略定义安装在 C:WindowsPolicyDefinitions 文件夹中。 如果已实现 组策略 中央存储,则必须将 .admx 和 .adml 文件复制到中央存储。

2. 创建 GPO

  1. 打开组策略管理控制台,然后选择“林:域名称>”。
  2. 右键单击域名,然后选择“ 在此域中创建 GPO”,并将其链接到此处
  3. 输入新 GPO 的名称 (例如 KIR Issue XXX) ,然后选择“ 确定”。

有关如何创建 GPO 的详细信息,请参阅创建组策略对象

3. 创建并配置应用 GPO 的 WMI 筛选器

  1. 右键单击“ WMI 筛选器”,然后选择“ 新建”。

  2. 输入新 WMI 筛选器的名称。

  3. 输入 WMI 筛选器的说明,例如筛选到所有Windows 10版本 2004 设备

  4. 选择“添加”。

  5. “查询”中,输入以下查询字符串:

    SQL
SELECT version, producttype from Win32_OperatingSystem WHERE Version = <VersionNumber>

重要

在此字符串中, <VersionNumber> 表示要应用 GPO 的 Windows 版本。 使用字符串) 中的数字时,版本号必须使用以下格式 (排除括号:

10.0.xxxxx

其中 xxxxx 是一个五位数。 目前,KIR 支持以下版本:

 
  1.  
    版本 内部版本号
    Windows 10版本 20H2 10.0.19042
    Windows 10版本 2004 10.0.19041
    Windows 10 版本 1909 10.0.18363
    Windows 10版本 1903 10.0.18362
    Windows 10 版本 1809 10.0.17763

    有关 Windows 版本和内部版本号的最新列表,请参阅 Windows 10 - 版本信息

    重要

    Windows 10版本信息页上列出的内部版本号不包括 10.0 前缀。 若要在查询中使用内部版本号,必须添加 10.0 前缀。

有关如何创建 WMI 筛选器的详细信息,请参阅 为 GPO 创建 WMI 筛选器

  1. 选择 之前创建的 GPO,打开 “WMI 筛选 ”菜单,然后选择刚刚创建的 WMI 筛选器。
  2. 选择“ ”接受筛选器。

5.配置 GPO

编辑 GPO 以使用 KIR 激活策略:

  1. 右键单击 之前创建的 GPO,然后选择“ 编辑”。
  2. 在组策略 编辑器,选择“GPOName>计算机配置>管理模板>KB ####### 问题 XXX 回滚>Windows 10版本 YYMM”。
  3. 右键单击该策略,然后选择 “编辑>禁用的>确定”。

有关如何编辑 GPO 的详细信息,请参阅从 GPMC 编辑组策略对象

6. 监视 GPO 结果

在 组策略 的默认配置中,托管设备应在 90 到 120 分钟内应用新策略。 若要加快此过程,可以在受影响的设备上运行gpupdate,以手动检查更新的策略。

请确保每个受影响的设备在应用策略后重启。

重要

在设备应用策略并重启后,将禁用引入问题的修补程序。

使用 Microsoft Intune ADMX 策略引入到托管设备部署 KIR 激活

备注

若要使用本部分中的解决方案,必须在计算机上安装 2022 年 7 月 26 日发布的累积更新或更高版本。

组策略和 GPO 与移动设备管理 (基于 MDM) 的解决方案(例如Microsoft Intune)不兼容。 这些说明将指导你如何使用 ADMX 引入Intune自定义设置,并配置 ADMX 支持的 MDM 策略来执行 KIR 激活,而无需 GPO。

若要在Intune托管设备上执行 KIR 激活,请执行以下步骤:

  1. 下载并安装 KIR MSI 文件以获取 ADMX 文件
  2. 在 Microsoft Intune 创建自定义配置文件
  3. 监视 KIR 激活

1. 下载并安装 KIR MSI 文件以获取 ADMX 文件

  1. 查看 KIR 版本信息或已知问题列表,确定必须更新的操作系统 (操作系统) 版本。

  2. 在用于登录Microsoft Intune的计算机上下载所需的 KIR 策略定义 .msi 文件。

    备注

    需要访问 KIR 激活 ADMX 文件的内容。

  3. .msi运行文件。 此操作在管理模板中安装 KIR 策略定义。

    备注

    策略定义安装在 C:WindowsPolicyDefinitions 文件夹中。

    如果要将 ADMX 文件提取到另一个位置,请使用 msiexec 具有 TARGETDIR 属性的 命令。 例如:

    控制台
  1. msiexec /i c:admx_file.msi /qb TARGETDIR=c:tempadmx
    

2. 在 Microsoft Intune 创建自定义配置文件

若要配置设备以执行 KIR 激活,需要为托管设备的每个 OS 创建自定义配置文件。 若要创建自定义配置文件,请执行以下步骤:

  1. 选择属性并添加配置文件的基本信息
  2. 添加自定义配置设置以引入用于 KIR 激活的 ADMX 文件
  3. 添加自定义配置设置以设置新的 KIR 激活策略
  4. 将设备分配到 KIR 激活自定义配置文件
  5. 使用适用性规则以设备为目标,以便按 OS 接收 KIR 自定义配置设置
  6. 查看并创建 KIR 激活自定义配置文件

答: 选择属性并添加有关配置文件的基本信息

  1. 登录到Microsoft Intune管理中心

  2. 选择“设备”>“配置文件”>“创建配置文件”。

  3. 选择以下属性:

    • 平台Windows 10及更高版本
    • 配置文件自定义模板>
  4. 选择“创建”。

  5. “基本信息”中,输入以下属性:

    • 名称:输入策略的描述性名称。 为策略命名,以便稍后可以轻松地识别它们。 例如,一个好的策略名称是“04/30 KIR 激活 - Windows 10 21H2”。
    • 说明:输入配置文件的说明。 此设置是可选的,但建议设置。

    备注

    平台配置文件类型 应已选择值。

  6. 选择“下一步”。

备注

有关创建自定义配置文件和配置设置的详细信息,请参阅在 Microsoft Intune 中使用自定义设备设置

在继续执行接下来的两个步骤之前,请在文本编辑器中打开 ADMX 文件 (例如,记事本) 提取文件的位置。 如果将其安装为 MSI 文件,则 ADMX 文件应位于路径 C:WindowsPolicyDefinitions 中。

下面是 ADMX 文件的示例:

XML
  <policies>  
    <policy name="KB5011563_220428_2000_1_KnownIssueRollback" … >  
      <parentCategory ref="KnownIssueRollback_Win_11" />  
      <supportedOn ref="SUPPORTED_Windows_11_0_Only" />  
      <enabledList…></enabledList>  
      <disabledList…></disabledList>  
    </policy>  
  </policies>

记录 和 parentCategory的值policy name。 此信息位于文件末尾的“策略”节点中。

B. 添加自定义配置设置以引入用于 KIR 激活的 ADMX 文件

此配置设置用于在目标设备上安装 KIR 激活策略。 按照以下步骤添加 ADMX 引入设置:

  1. 在“配置设置”中,选择“添加”。

  2. 输入以下属性:

    • 名称:输入配置设置的描述性名称。 为设置命名,以便稍后可以轻松识别它们。 例如,一个良好的设置名称是“ADMX 引入:04/30 KIR 激活 - Windows 10 21H2”。

    • 说明:输入设置的说明。 此设置是可选的,但建议设置。

    • OMA-URI:输入字符串 ./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/KIR/Policy/<ADMX 策略名称>

      备注

      将 ADMX 策略名称>替换为 <ADMX 文件中记录的策略名称的值。 例如,“KB5011563_220428_2000_1_KnownIssueRollback”。

    • 数据类型:选择“ 字符串”。

    • :使用文本编辑器打开 ADMX 文件, (例如记事本) 。 将要引入的 ADMX 文件的全部内容复制并粘贴到此字段中。

  3. 选择“保存”。

C. 添加自定义配置设置以设置新的 KIR 激活策略

此配置设置用于配置上一步中定义的 KIR 激活策略。

按照以下步骤添加 KIR 激活配置设置:

  1. 在“配置设置”中,选择“添加”。

  2. 输入以下属性:

    • 名称:输入配置设置的描述性名称。 为设置命名,以便稍后可以轻松识别它们。 例如,一个良好的设置名称是“KIR 激活:04/30 KIR 激活 - Windows 10 21H2”。

    • 说明:输入设置的说明。 此设置是可选的,但建议设置。

    • OMA-URI:输入字符串 ./Device/Vendor/MSFT/Policy/Config/KIR~Policy~KnownIssueRollback~<Parent Category>/<ADMX 策略名称>

      备注

      将父类别>替换为<上一步中记录的父类别字符串。 例如,“KnownIssueRollback_Win_11”。 将 ADMX 策略名称>替换为<上一步中使用的相同策略名称。

    • 数据类型:选择“ 字符串”。

    • :输入 <disabled/>

  3. 选择“保存”。

  4. 选择“下一步”。

D. 将设备分配到 KIR 激活自定义配置文件

定义自定义配置文件的功能后,请按照以下步骤确定要配置的设备:

  1. “分配”中,选择“ 添加所有设备”。
  2. 选择“下一步”。

E. 使用适用性规则以设备为目标,以便按 OS 接收 KIR 自定义配置设置

若要按适用于 GP 的 OS 面向设备,请在应用此配置之前添加适用性规则以检查设备 OS 版本 (内部版本) 。 可以在以下页面上查找支持的 OS 的内部版本号:

页面中显示的内部版本号的格式为 MMMMM.mmmm (M= 主要版本和 m= 次要版本) 。 OS 版本属性使用主版本数字。 在适用性规则中输入的 OS 版本值的格式应为“10.0.MMMMM”。 例如,“10.0.22000”。

按照以下说明为 KIR 激活设置正确的适用性规则:

  1. “适用性规则”中,通过在页面上已有的空白规则上输入以下属性来创建适用性规则:

    • 规则:如果从下拉列表中选择 “分配配置文件 ”。
    • 属性:从下拉列表中选择 “OS 版本 ”。
    • :输入格式为“10.0.MMMMM”的最小和最大 OS 版本号。
  2. 选择“下一步”。

备注

可以通过从“开始”菜单运行 winver 命令来找到设备的 OS 版本。 它将显示由“.”分隔的两部分版本号。 例如,“22000.613”。 对于最小操作系统版本,可以将左侧数字追加到“10.0”。 通过将 1 添加到最小 OS 版本号的最后一位数字来获取最大 OS 版本号。 对于此示例,可以使用以下值:
最小 OS 版本:“10.0.22000”
最大操作系统版本:“10.0.22001”

F。 查看并创建 KIR 激活自定义配置文件

查看自定义配置文件的设置,然后选择“ 创建”。

3.监视 KIR 激活

KIR 激活现在应该正在进行中。 按照以下步骤监视配置文件进度:

  1. 转到 “设备>配置文件”,然后选择现有配置文件。 例如,选择一个 macOS 配置文件。

  2. 选择“概述”选项卡。在此视图中,配置文件分配状态包括以下状态:

    • 已完成:策略已成功应用。
    • 错误:无法应用策略。 该消息通常显示链接到说明的错误代码。
    • 冲突:两个设置都应用于同一设备,Intune 无法解决冲突。 管理员应查看冲突。
    • 挂起:设备尚未签入 Intune,无法接收策略。
    • 不适用:设备无法接收策略。 例如,策略更新了 iOS 11.1 的特定设置,但设备使用的是 iOS 10。
评级: 0.00   票: 0   传出命中: 5   传入命中: 0   收藏 夹: 0  
Scroll to top