Если вы хотите, чтобы образ Windows, которые вы распространяете на компьютеры, всегда содержал последние кумулятивные обновления безопасности, вы можете добавить новые пакеты обновления в установочный офлайн образ Windows с помощью DISM. Этот способ позволит вам обновить установочный ISO/WIM образ Windows 11/10 и Windows Server 2022/2019/2016.
В этом примере мы покажем, как добавить последнее кумулятивное обновление безопасности (от апреля 2023 года) в установочный образ Windows 11 22H2. Мы будем интегрировать в образ кумулятивное обновление KB5025239, которое в том числе добавляет в Windows встроенную поддержку Local Administrator Password Solution (Windows LAPS).
Подготовка к интеграции обновлений безопасности в образ Windows
Итак, нам понадобятся:
- Установочный образ Windows в ISO формате или его WIM файл;
- Файл с обновлениями в формате .MSU, которые нужно скачать с сервера обновлений Microsoft (как вручную скачать msu файлы обновлений). Достаточно скачать последнее кумулятивное обновления для вашей версии Windows.
На вашем компьютере создайте следующую структуру каталогов:
- C:\updates\mnt – – папка, в которую мы будем монтировать файл install.wim с установочным образом Windows;
- C:\updates\msu – каталог, в который нужно скопировать обновления для вашей версии Windows в формате MSU ;
- C:\updates\WinImage\ — в этот каталог нужно скопировать файл install.wim из каталога Sources вашего установочного образа Windows 11 22H2. Также вы можете о скопировать WIM образ с сервера WDS, MDT, SCCM или другого средства развертывания ОС, которое используется для установки Windows по сети через PXE.
Смонтировать WIM образ в Windows
В современных установочных ISO образах Windows, которые генерируются с помощью Media Creating Tool в целях экономии места вместо WIM файла используется формат ESD. Поэтому вам нужно сначала сконвертировать файл ESD в формат WIM с помощью утилиты DISM.
Смонтируйте ISO образ в виртуальный привод:
Mount-DiskImage –ImagePath "C:\DIstr\iso\Windows1122h2.iso"
Выведите список редакций Windows в образе:
DISM /Get-WimInfo /WimFile:"E:\sources\install.esd"
В этом примере мы экспортируем из ESD образа только WIM файл для редакции Windows 10 Pro (ее индекс 6, поэтому в следующей команде мы укажем
/SourceIndex:6
):
dism /export-image /SourceImageFile:"E:\sources\install.esd" /SourceIndex:6 /DestinationImageFile:C:\Updates\WInImage\win11pro.wim /Compress:max /CheckIntegrity
Смонтируйте файл install.wim c установочным образом Windows в каталог C:\updates\mnt с помощью DISM:
dism /mount-wim /wimfile:C:\Updates\WInImage\win11pro.wim /index:1 /mountdir:C:\updates\mnt
/index:1
. Если WIM образ содержит сразу несколько редакций Windows, нужно указать индекс нужной версии ОС, либо выполнить интеграцию обновления для каждого образа по очереди.DISM: Добавляем MSU и CAB обновления в WIM образ Windows
Теперь вы можете запустить процесс интеграции подходящих MSU обновлений из указанного каталога в ваш образ Windows.
dism /image:C:\updates\mnt /add-package /packagepath:C:\updates\msu
Если система обнаружит неподходящее обновление (не соответствует версия ОС, разрядность или если обновление уже установлено), оно будет пропущено, а в лог
C:\Windows\Logs\DISM\dism.log
будет записана соответствующая информация.
Если вы не хотите вручную качать MSU файлы обновлений, вы можете использовать в качестве источника компьютер с аналогичной версией Windows, на котором уже установлены последние обновления безопасности, вы можете получить все необходимые файлы обновления непосредственно с него. Дело в том, что Windows сохраняет все cab файлы обновлений, полученные с серверов Windows Update или сервера WSUS в каталог
C:\Windows\SoftwareDistribution\Download
.
С помощью следующей команды вы запустите интеграцию в образ install.wim файлов обновлений, которые уже скачаны и установлены на другом компьютере (с именем PC1122H2), через локальную сеть:
Start /w for /R \\PC1122H2\C$\Windows\SoftwareDistribution\Download\ %f in (*.cab) do dism /image:C:\updates\mnt /add-package /packagepath:”%f”
В данном примере мы получим доступ к каталогу обновлений на удаленном компьютере через административную шару C$. Появится окно, в котором можно наблюдать за процессом установки обновлений в офлайн образ Windows. DISM будет пытаться добавить в ваш WIM образ Windows каждый найденный CAB файл на удаленном компьютере.
dism /image:C:\updates\mnt /Cleanup-Image /StartComponentCleanup /ResetBase /ScratchDir:C:\Temp
И последний шаг – нужно сохранить изменения и отключить смонтированный образ.
dism /unmount-wim /mountdir:C:\updates\mnt /commit
dism /Cleanup-Wim
После завершения установки обновлений вы можете проверить, что обновления были успешно интегрированы в образ Windows. Вывести список установленных сегодня обновлений в смонтированном WIM образе Windows:
DISM /Image:C:\updates\mnt /Get-Packages /format:table | select-string "4/19/2023"
Или на офлайн WIM образе:
Dism /image:C:\Updates\WInImage\win11pro.wim /Get-Packages
В этом случае нужно разделить исходный install.wim на более маленькие SWM файлы командой:
dism /split-Image /imagefile:C:\Update\Winmage\install.wim /swmfile:C:\Update\WinImage\install.swm /filesize:4096
Осталось скопировать полученный образ в install.wim (или SWM файлы) в исходный каталог/виртуальную машину или пересобрать установочный ISO образ, например, с помощью oscdimg, UltraISO или Dism++.
Пример команды DISM для сборки установочного ISO Windows образа с поддержкой UEFI и BIOS:
oscdimg.exe -h -m -o -u2 -udfver102 -bootdata:2#p0,e,bc:\win11\iso\boot\etfsboot.com#pEF,e,bc:\win11\iso\efi\microsoft\boot\efisys.bin -lWin10 c:\iso c:\win11.iso