В этой статье мы рассмотрим пример интеграции обновлений безопасности из WSUS Offline Updater в задание установки Windows 10 по сети с помощью Microsoft Deployment Toolkit (MDT) 2013. Таким образом, можно настроить автоматическое развертывание полностью пропатченного образа Windows 10. Хотя существуют и другие способы интеграции обновлений в образ Windows, например, непосредственно в wim файл образа системы или с помощью встроенных средств MDT, мы рассмотрим использование WSUS Offline Updater, как достаточно удобного и функционального инструмента, и его возможности интеграции с MDT.
WSUS Offline Updater
В первую очередь нам нужно скачать последнюю версию WSUS Offline Updater (http://download.wsusoffline.net/). На момент написания статьи была доступна версия WSUS Offline Updater 10.7.
WSUS Offline Updater – это бесплатная утилита, разработанная для автоматического получения всех обновлений безопасности для определенного продукта Microsoft с сайта Microsoft Update или локального WSUS сервера. Обновления сохраняются в локальную папку и администратор в дальнейшем может установить эти обновления офлайн на изолированных компьютерах, без необходимости подключать их к интернету или локальной сети. Утилита позволяет скачать обновления для всех поддерживаемых версий Windows (Vista,7, 8,10 / Windows Server 2008, 2008 R2, 2012, 2012 R2), пакета Office 2010, 2013 и 2016, .Net Frameworks, C ++ Runtime libraries, базы обновлений Windows Defender, Microsoft Security Essentials и т.д.
Скачайте и распакуйте содержимое архива wsusoffline107.zip в любой каталог. В моем случае это C:\Distr\wsusoffline.
Запустите исполняемый файл UpdateGenerator.exe (WSUS Offline Update Generator)
Выберите версию Windows, для которой нужно получить список обязательных обновлений безопасности. Например, для Windows 10, нужно выбрать в секции Windows 10 / Server 2016 (w100 / w100-x64) нужную разрядность (x64 Global (multilingual updates) и нажать Start. 
Утилита получит список доступных обновлений и начнет закачивать файлы, которые еще не были получены. Это означает, что программу можно периодически запускать, чтобы загрузить только последние недостающие обновления, не перезакачивая все пакеты заново. В зависимости от скорости доступа в интернет, на скачивание всех обновлений продукта может занять довольно продолжительное время.
Советы.
- В настройках программы можно указать, чтобы обновления загружались н с интернета (сайтов Microsoft Update site), а с локального WSUS сервера.
- При подключении к интернету через прокси, настройки прокси сервера можно задать, нажав кнопку Proxy
Все закачанные обновления сохраняются в каталог Client.
Для установки обновлений на клиенте используется программа с графическим интерфейсом UpdateInstaller.exe. В нашем случае GUI не требуется, ведь обновления должны устанавливаться автоматом без взаимодействия с пользователем. В этом случае лучше использовать файл сценария Update.cmd (он в свою очередь запускает скрипт \cmd\DoUpdate.cmd). Таким образом, MDT 2013 должен запускать файл update.cmd при разворачивании Windows 10 на клиенте.
- В каталоге wsus хранится последняя версия агента обновлений Windows (Windows Update Agent)
- В каталоге w100-x64\glb хранятся сами файлы обновлений для Windows 10 в формате *.cab
Интеграция WSUS Offline Updater с MDT 2013
После того, как все обновления будут скачаны на локальный диск, закройте окно WSUS Offline Updater и скопируйте содержимое папки Client на ваш север MDT. Я поместил ее в папку C:\DeploymentShare\Scripts.
Осталось добавить в задание установки Windows 10 задачу запуска установки обновлений.
Откройте консоль Deployment Workbench (MDT), и в разделе Task Sequences найдите нужное задание, в которое вы хотите добавить этап установки обновлений. В нашем примере это Deploy Win 10 x64 Pro. Откройте его свойства и перейдите на вкладку Task Sequence.
Создадим новое задание MDT, которое монтирует сетевую папку с обновлениями (Client) в отдельный диск (файл update.cmd не работает с UNC путями) и запустит файл update.cmd для старта установки обновлений.
В группе заданий State Restore -> Custom Task после создадим два новых задания6
- Монтирует сетевой диск с каталогом Client по UNC пути
- Запускает скрипт update.cmd.
Создадим новое задание (Add->General->Run Command Line) с именем Mount Network Folder
В строке Command line укажем следующую команду:
cscript.exe "%SCRIPTROOT%\ZTIConnect.wsf" /uncpath:\\10.10.0.70\DeploymentShare\Scripts\client
Второе задание с именем Install Windows Updates Offline должно содержать следующую строку запуска:
Cmd.exe /c “Y:\DeploymentShare\Scripts\client\update.bat”
Осталось обновлять каталог распространения, щелкнув ПКМ по корню MDT шары и выбрав пункт «Update Deployment Share».
Установка обновлений при разворачивании ПК с Windows 10 по сети
Осталось протестировать работу задания развертывания Windows 10 на клиенте (это может быть виртуальная или физическая машина). Включим тестовую машину и запустим загрузку по сети с помощью PXE.
Выберите нужный Task Sequence и дождитесь окончания установки Windows 10. После окончания установки, должно появиться окно с заголовком “Administrator DoUpdate”, в которой будет отображаться процесс установки обновлений безопасности Windows.
Дождитесь окончания установки и перезагрузите компьютер.
Итак, мы настроили автоматическую установку обновлений безопасности Windows в процессе развёртывания Windows 10 на клиентах с помощью Microsoft Deployment Toolkit и WSUS Offline Updater.
Что-то я не до конца понял.
WSUS Offline Updater может использоваться как некий заменитель WSUS в небольших офисах?
Я имею ввиду, создаётся некая шара, туда качаются апдейты по заданию шедулера. По расписанию через шедулер на клиентах запускается процесс установки. Такое же ведь возможно осуществить?
В теории да, можно на WSUS Offline Updater реализовать обновление клиентов в изолированной сети из некой общей сетевой папки. Если у вас не 100% идентичные ПК, вам придется учитывать версии ОС, установленный софт, зависимости.
Так что думаю, это будет костыль, ведь есть нормальный WSUS.