微軟“甩鍋”神操作？伺服器“安全更新”成“系統大換血”，企業懵了

編譯 | 燕珊

上週，不少系統管理員遇到了這樣一個讓人崩潰又無語的問題——他們的 Windows Server 系統在一次原本應該只是安全更新的過程中，意外地升級到了 Windows Server 2025。

這個問題最早是由網路應用安全公司 Heimdal 的一位客戶報告的。當他們在 11 月 5 日早上抵達辦公室時，發現每一臺 Windows Server 2022 系統要麼已經自動升級到了 Windows Server 2025，要麼正在進行升級。

後來發現，問題的根源在於，一項原本應該是安全補丁的更新，竟然變成了一個完整的作業系統升級。 據瞭解，Heimdal 提供的補丁管理服務依賴於微軟準確地標記每一個補丁，確保將更新應用到相應的軟體上。

無論如何，對於通常謹慎行事的系統管理員來說，未經計劃的作業系統升級，尤其是升級到全新的作業系統，這絕不是一次簡單的“虛驚一場”。甚至有批評聲音認為：更新機制出問題了，其嚴重性不亞於惡意程式碼注入。

追蹤問題

當有客戶報告問題時，Heimdal 團隊就迅速開始調查這一問題，但由於初期問題牽涉的範圍較小，根源並不容易追蹤。根據 Heimdal 釋出在 Reddit 上的帖子，他們直到當天 18:05 才確認問題背後的貓膩：Windows 更新 API 錯誤地將 Windows Server 2025 的升級標記為安全更新 KB5044284。

在 Heimdal 的補丁倉庫中，他們發現該更新的 GUID 與通常關聯 Windows 11 的 KB5044284 條目並不匹配。這個不一致導致他們得出結論：微軟錯誤地將該更新分類，影響了更新的釋出速度和分類方式。經過與微軟知識庫（KB）的進一步對比，Heimdal 確認 KB5044284 號確實是與 Windows 11 相關，而不是 Windows Server 2025。

Heimdal 彼時預估大約有 7% 的客戶受到了這次意外升級的影響。為了應對這一問題，其馬上在所有伺服器組策略中封鎖了 KB5044284。但是，這對於那些已經遇到升級問題的管理員來說，安慰有限。

而對於未及時發現問題的使用者來說，後果可能會更為複雜。回滾到之前的配置將是一個挑戰，受影響的使用者將不得不依賴備份恢復，或者支付 Windows Server 2025 的許可費用。

截圖源自 Reddit 社羣

此外，使用者還需要應對新版本作業系統帶來的各種變化，包括新的功能、可能的相容性問題以及與 Windows Server 2025 相關的其他變動。

微軟已“解決”問題

此次事件最引人注目的問題之一是，Windows Server 2025 作為一項付費許可選項，竟然透過本應是安全更新的渠道進行了釋出。這讓部分業內人士質疑，在常規安全更新中混入重大的作業系統升級是否明智。

微軟在前幾天也已經更新了其公告板，明確了確實有裝置被自動升級的事實。但微軟表示：“這一問題出現在使用第三方產品來管理客戶端和伺服器更新的環境中。”

根據微軟的說法：“Windows Server 2025 功能更新作為可選更新發布，屬於升級分類：‘DeploymentAction=OptionalInstallation’。”——“功能更新的後設資料應被視為可選的，而非推薦的，補丁管理工具應按此解釋。”

然而，微軟的解釋與一些第三方機構和使用者的實際經歷略有出入。根據 Heimdal 上週的報告，更新被錯誤分類，隨後，微軟將其“撤回”。此外，The Register 援引一位讀者的說法表示，一臺未執行任何第三方更新服務的獨立伺服器也遭遇了突如其來的隔夜更新。

目前，微軟將這一問題描述為“已緩解”，但至今尚未提供任何回滾工具來幫助受影響的管理員。這意味著許多管理員只能依賴備份恢復，或者可能需要支付升級費用。微軟還承認了與此相關的另一個問題：一些使用者在 Windows Update 中看到的升級 banner，可能加劇了混淆。

雖然微軟表示正在與第三方供應商合作最佳化最佳實踐，但大家可能會期待微軟能夠做出更加全面的回應，其中包括提供回滾工具，或者至少提供某種方式來解決由標籤錯誤帶來的問題。

自動化管理的漏洞

有分析指出，此次 Windows Server 2025 更新錯誤不僅僅是一個簡單的標籤錯誤問題。

儘管微軟的更新系統為全球使用者提供了無數安全補丁和功能升級，但此次事件暴露了其在處理關鍵更新時的漏洞，尤其是在自動化和更新標記管理機制上的不足。

作為全球最大的技術公司之一，微軟理應擁有完善的錯誤檢測和自動化稽覈機制。The Register 指出，自動化應當是避免此類錯誤的關鍵，而微軟本應透過多重檢查機制來防止更新標籤錯誤的傳播。然而，這些顯然措施未能發揮應有作用。

此外，Windows 更新系統過時，仍然根植於“帝國時代”的計算理念，這導致其更新和補丁管理效率低下。

不過，軟體更新、補丁和升級管理的普遍問題並非微軟獨有，整個行業都面臨類似挑戰，尤其是在開源軟體的更新管理中，軟體包管理的複雜性也是一個難以解決的痛點。儘管開源系統提供了更多定製化和靈活性，但在大規模部署和企業環境中，仍面臨更新管理和系統相容性的挑戰。

或許，這次事件為行業敲響了警鐘，提醒各方應更加重視更新機制的設計、測試和管理，確保每一次作業系統更新都不會打亂使用者的業務流程。此外，也有聲音呼籲，行業應構建一個開放、統一、透明的更新框架，在提升作業系統與應用程式相容性的同時，增強更新管理的可靠性。

參考連結：

https://www.theregister.com/2024/11/11/microsoft_windows_2025_mitigated/?td=rt-3a

https://www.theregister.com/2024/11/06/windows_server_2025_surprise/

https://www.theregister.com/2024/11/11/windows_server_2025_opinion/