HOWTO: 在 OOBE 阶段实现 Microsoft Edge 自动更新

[ 2026/05/22 13:35 | by gOxiA ]

microsoft-edge

HOWTO: 在 OOBE 阶段实现 Microsoft Edge 自动更新

        在组织环境中为用户执行交付时会遇到 Microsoft Edge 不是最新版本的问题,这些要交付用户的设备系统映像可能是 OEM 预装,或 IT 构建的标准化映像,但其 Edge 版本很难与当前版本同步,为了确保最终用户获得最新的版本来保障安全和最佳的适用体验,IT 人员需要设计实现在系统的初始化阶段执行 Microsoft Edge 自动更新,确保用户登录系统后首次打开的 Edge 已是最新版本。

        综上,在 Windows OOBE 阶段实现 Microsoft Edge 自动更新是最佳的方案。我们可以借助 MicrosoftEdgeUpdate 程序并加载相关的参数来触发其自动更新机制,以下是命令行示例:

Start-Process -FilePath \"C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe\" -argumentlist \"/silent /install appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&appname=Microsoft%20Edge&needsadmin=True\"

        其中的参数:

  • /silent 表示静默安装
  • /install 表示执行安装/更新动作
  • /appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062} 表示 Stable 版本
  • &needsadmin=True 表示需要管理员权限

        从参数上看 needsadmin 是重中之重,因为它将让更新运行在系统上下文中,确保是设备级别的更新。

        对于传统部署,我们可以在 oobeSystem 阶段添加 FirstLogonCommands,通过 SynchronousCommand 来执行更新这段命令行,以实现 Microsoft Edge 的自动更新,确保用户登录系统后使用的是最新版本的 Edge。

msedge-update-unattend

        如果当前组织利用 Intune 这类现代部署方案,则可以将这个命令行使用“Microsoft Win32 Content Prep Tool”工具打包为 .intunewin 文件上传 Intune 进行分发即可,但请确保其必须在 ESP 阶段执行。

msedge-update-inutne

Deployment | 评论(0) | 引用(0) | 阅读(118)

Windows Update 更新体验改进

[ 2026/04/27 11:14 | by gOxiA ]

Windows_logo_horiz_blue_rgb

Windows Update 更新体验改进

        前几天 Windows Blog 发布了新的博客文章选择将逐步推出 Windows Update 体验改进,其核心目标是给用户更多控制权,减少更新打断,并提升更新成功率与安全性。

  1. 更多更新控制权
    • OOBE 期间允许立即跳过更新,新设备首次设置时可选择立即跳过更新,以便更快进入桌面,这个特性允许个人用户能够更快的开始启用新电脑。但是,商业/受管理设备不适用这个特性,因为在组织环境下交付的设备和系统应该具有最新的安全更新来确保这些交付到最终用户手中的设备是安全可靠和合规的。
    • 无限次的延长更新暂停,暂停更新设置允许暂停到某个具体日期,最长可达35天,且不再受次数限制。一些个人用户无需再使用那些网上流传的不可靠方案!
    • 无需更新的关闭和重启选项,更新后电源菜单中将提供明确的“更新后重启”和“更新后关机”选项,确保用户不再误操作。
    • 驱动更新信息更透明,Windows更新中提供的驱动更新将新增设备类别,避免标题模糊。
  2. 减少更新带来的干扰
    • 减少每月重启次数,Windows更新将驱动、.NET、固件等更新与每月质量更新对齐,这将有效减少多次重启的体验。此外,Windows Insider 的实验和测试版用户仍保持每周更新。
    • 所有更新集中显示在“可用更新”区域,用户可选择提前安装,也可等待系统自动与下次质量更新同步。
  3. 提升更新成功率与安全性
    • 减少下载与安装的时间,特别改善网络差或在线时间少的设备体验。
    • 自动恢复更新失败,系统后台将会自动尝试修复失败的更新,以提高成功率。
    • 设备在安全更新发布后尽快加入更新,符合微软安全未来计划。
  4. 面向未来的更新体验
    • 新功能已开始向开发频道和新的实验频道推广。后续微软还将公布更多面向企业和管理员的控制能力。
Windows Client | 评论(0) | 引用(0) | 阅读(202)

Windows OSImage 标准化操作建议

[ 2026/04/13 10:32 | by gOxiA ]

Windows_logo_horiz_blue_rgb

Windows OSImage 标准化操作建议

        微软在去年8月发布的非安全更新(KB5064081),以及9月的安全更新(KB5065426)对回环认证保护进行了加强,以防止未经授权的尝试绕过回环检测。这一举措将有效提升 Windows 的安全性。但对那些并未执行 Windows OSImgae 标准化操作的组织,例如使用了未经 Sysprep 的 OSImage,将会遭遇 Kerberos 和 NTLM 身份验证失败的问题,例如访问 SMB 共享或通过远程桌面连接时,将出现认证失败的情况,在目标机器中会有 LsaSrv ID 6167 事件记录。

        那么具体 Windows 内部发生了什么变化?!Windows 在 2025年8月和9月的更新中,对用户账户控制(UAC)与认证机制继续宁了深度加固,其核心目标是阻断利用认证伪影进行的权限提升攻击,关键变化主要体现在以下几个方面:

1. UAC 权限边界被强化,过去管理员账户登录后,某些操作可能在未明确同意的情况下被提升权限。现在所有管理操作都必须经过用户明确批准,减少隐式高权限路径。管理员保护也因此收益,进一步减少了自动高程。

2. 机器 ID 生成方式改变,过去机器 ID 每次启动都会重新生成,导致系统只能基于当前启动状态判断是否为回环认证。这导致攻击者可能利用重启前遗留的认证伪影绕过令牌过滤。但现在机器 ID 由跨启动持久部分和当前启动部分组成。Windows 能检测到不同机器间共享的跨启动部分,从而识别克隆系统。任何跨主机的机器 ID 不一致都会触发认证失败(LsaSrv 6167)。

        以上信息也证实了那些部署了未经 Sysprep 的 Windows 系统映像将成为高风险隐患,多个设备将会共享相同的安全标识(SID)和机器 ID 跨启动部分。组织中的桌面团队应当主动行动起来,调整部署策略严格执行 Windows 桌面标准化规范,停止使用那些没有经过 Sysprep 的 OSImage 和设备,并进行重新部署。


推荐官方文档:

Deployment | 评论(0) | 引用(0) | 阅读(303)
分页: 3/496 第一页 上页 1 2 3 4 5 6 7 8 9 10 下页 最后页 [ 显示模式: 摘要 | 列表 ]