«Что-то пошло не по плану. Отмена изменений». Это всё, что увидят некоторые пользователи Windows 11, когда майское обновление безопасности от Microsoft не сможет установиться из-за недостаточного свободного места в системном разделе EFI (ESP), оставив их системы незащищенными десятками содержавшихся в нём исправлений.
Эта проблема затрагивает устройства с ограниченным свободным местом — как правило, 10 МБ или меньше — на ESP. «На затронутых устройствах установка может пройти начальные этапы, но завершиться сбоем во время перезагрузки примерно на 35–36%», — сообщила Microsoft в уведомлении. Компания рекомендовала изменить настройку реестра Windows для принудительной установки обновления или откатить изменения и дождаться исправления проблемы в будущем обновлении.
Консультанты назвали это потенциально серьёзной проблемой, учитывая неожиданное воздействие и время, которое занимает установка заведомо обречённого на неудачу исправления.
Это тот тип сбоев, из-за которого руководители ИТ-отделов не спят по ночам, — говорит консультант по кибербезопасности Брайан Левин, исполнительный директор FormerGov. «Когда обновление безопасности не может установиться, потому что операционная система неверно оценивает состояние собственного загрузочного раздела, проблема не только в хранилище. Настоящая проблема — это доверие к процессу обновления», — сказал он. «Это провал базовой гигиены, замаскированный под техническую проблему. Обновление, которое не может надёжно определить доступное место в системном разделе EFI, — это не мелкая недоработка. Это напоминание о том, что даже зрелые платформы всё ещё испытывают трудности с осведомлённостью о зависимостях и предварительной проверкой».
Эрик Гренье, старший директор-аналитик Gartner, рекомендовал увеличить размер дискового раздела до 1,5 ГБ, чтобы обновление могло продолжиться. «Это не должно помешать бизнес-потребностям с точки зрения объёма доступного пространства для конечного пользователя», — сказал он, добавив, что это также позволит обновить среду восстановления Windows. Он предупредил, что собственная рекомендация Microsoft может привести к проблемам. «Я бы посоветовал, если организация захочет использовать исправленную настройку реестра, не только создать резервную копию реестра заранее, но и протестировать её на нескольких пилотных устройствах, прежде чем развёртывать на остальной части среды, и даже в этом случае я бы проводил медленное поэтапное развёртывание, чтобы убедиться, что ничего не сломается», — сказал он. «Такие исправления в производственной среде следует проводить с особой осторожностью, потому что при неправильном выполнении исправления потребуют вмешательства оператора».
Искрак Хан, генеральный директор Kodezi, поставщика инструментов для повышения производительности кодирования, считает, что виноваты и ИТ-команды, и Microsoft.
«Большинство ИТ-команд справедливо полагают, что если Windows Update проходит предварительные проверки и начинает установку, Microsoft уже достаточно проверила состояние системы, чтобы избежать сбоя на этапе перезагрузки. Если место на ESP критично для успеха обновления, программа установки должна была обнаружить и заблокировать это условие раньше с чётким сообщением об устранении проблемы», — сказал Хан. «Таким образом, хотя ИТ-среды могут со временем способствовать давлению на разделы, Microsoft по-прежнему отвечает за логику оркестрации и проверки, которая позволила обновлению продолжиться».
Хан добавил, что это может обернуться очень дорогостоящей головной болью для корпоративного ИТ. «Это проблема проектирования для корпоративного ИТ, потому что сбой во время перезагрузки гораздо более разрушителен, чем блокировка обновления до начала установки. С точки зрения обслуживания программного обеспечения, это именно тот крайний случай, который становится дорогостоящим в корпоративном масштабе. Небольшое ограничение раздела на части машин может обернуться заявками в службу поддержки, циклами отката, задержками установки исправлений и угрозой безопасности».
Дэвид Ньюман, технический директор консалтинговой фирмы Acceligence, согласился, что это существенная ИТ-проблема.
«Обновление, по-видимому, проходит ранние этапы, но затем даёт сбой во время перезагрузки, а это значит, что ИТ-специалисты могут узнать об этом только после того, как конечная точка уже израсходовала время окна обслуживания и откатилась. В масштабах предприятия это становится проблемой гигиены всего парка устройств, а не разовой проблемой службы поддержки», — сказал он. «Затронутые конечные точки могут оставаться без исправлений, пока ИТ-отдел тратит время на диагностику сбоя, о котором должно было быть сообщено ранее. Более важный урок заключается в том, что разделы, связанные с загрузкой, восстановлением и прошивкой, теперь являются частью гигиены управления исправлениями. Зрелые ИТ-команды должны включать проверку размера ESP и свободного места в отчёты о состоянии конечных точек, обновлять эталонные образы, чтобы новые развёртывания имели достаточную ёмкость ESP, и рассматривать очистку или изменение размера загрузочного раздела как часть инженерного цикла, а не как скрипты для устранения неполадок».
Microsoft не ответила на запрос о комментариях.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Evan Schuman
