วิธีการอัปเดต Windows เพื่อป้องกันมัลแวร์ WannaCry

0

คิดว่าช่วงวันสองวันที่ผ่านมาหลายคนคงยุ่งอยู่กับการตรวจสอบและอัพเดต Patch หมายเลข MS17-010 เพื่อป้องกัน Windows จากมัลแวร์เรียกค่าไถ่ WannaCry หรือ WannaCrypt ซึ่งวิธีการอัพเดต Windows ให้เป็นปัจจุบันนั้นไม่ใช่เรื่องยากในกรณีที่ทำกับคอมพิวเตอร์ไม่กี่เครื่อง แต่ถ้าต้องอัพเดตคอมพิวเตอร์จำนวนหลาย 10 เครื่อง หรือเป็น 100 เครื่องนั้น นอกจากไม่ใช่งานที่สนุกแล้วยังเป็นงานที่ต้องใช้เวลาไม่น้อยอีกด้วย บทความนี้ผมจึงมีวิธีการร่นหรือลดเวลาการอัพเดต Windows ให้สั้นลงมาฝากครับ

บทความนี้สำหรับใช้ในกรณีที่ไม่ได้ตั้งให้ Windows ทำการอัพเดตระบบโดยอัตโนมัติ นะครับ

ด้วยเหตุผลและความจำเป็นบางอย่างทำให้หลายคนเลือกที่จะปิดการอัพเดต Windows โดยอัตโนมัติ กรณีดังกล่าวนี้ การอัพเดตระบบ Windows (คุณ)จะต้องทำทีละเครื่อง โดยเริ่มจากการล็อกอินเข้าเครื่องคอมพิวเตอร์แล้วรัน Windows Update จากนั้นสั่งตรวจสอบอัพเดตกับเซิร์ฟเวอร์ Microsoft Update บนอินเทอร์เน็ต ต่อจากนั้นทำการติดตั้งอัพเดต (ถ้ามี) หลังทำการติดตั้งแล้วเสร็จต้องทำการรีสตาร์ทเครื่องเพื่อให้การติดตั้งเสร็จสมบูรณ์ ซึ่งขั้นตอนเหล่านี้ต้องใช้เวลานานหลายนาทีต่อเครื่อง และถ้าอินเทอร์เน็ตไม่ค่อยแรงด้วยแล้วอาจต้องใช้เวลาเป็น 10 นาที(หรือนานกว่านั้น)ต่อเครื่องเลยทีเดียว วิธีการเลี่ยงปัญหานี้คือการดาวน์โหลดไฟล์อัพเดตที่ต้องการ ซึ่งในที่นี้จะโฟกัสที่ Patch หมายเลข MS17-010 จากนั้นจึงทำการติดตั้งโดยใช้ DISM.exe

ขั้นตอนการทำงาน

1. ทำการดาวน์โหลดไฟล์อัพเดต Windows จากเว็บไซต์ Microsoft Update Catalog โดยสามารถเปิดหน้าดาวน์โหลดไฟล์อัพเดตได้ด้วยการคลิกชื่อ Windows ที่ต้องการในคอลัมน์ Operating System บนหน้าเว็บไซต์ MS17-010 ไฟล์ที่ได้มีนามสกุล .msu ส่วนชื่อไฟล์จะขึ้นอยู่กับระบบปฏิบัติการ Windows เช่น Windows 8.1 32-บิต จะได้ไฟล์ชื่อ windows8.1-kb4019215-x86_fe1cafb988ae5db6046d6e389345faf7bac587d7.msu

สำหรับ Windows XP และ Windows Server 2003 ดาวน์โหลดได้จากเว็บไซต์ Microsoft

ตัวอย่าง: ไฟล์อัพเดตสำหรับ 2017-05 Security Monthly Quality Rollup สำหรับ Windows 8.1 และ Windows Server 2012 R2

2. ให้เก็บไฟล์ที่ได้ (นามสกุล .msu) ในโฟลเดอร์ที่สะดวกต่อการใช้งาน เช่น C:\HotFix จากนั้นให้ทำการแตกไฟล์โดยใช้ 7-Zip หรือรันคำสั่ง Expand ที่คอมมานด์พร้อมท์ด้วยสิทธิ์สิทธิ์ผู้ดูแลระบบ* ตามตัวอย่างด้านล่าง

Expand -F:* C:\HotFix\windows8.1-kb4019215-x86_fe1cafb988ae5db6046d6e389345faf7bac587d7.msu C:\HotFix\KB4019215

>> ต้องสร้างโฟลเดอร์ C:\HotFix\KB4019215 ไว้ล่วงหน้านะครับ

3. (การติดตั้งบนเครื่องโลคอล) รันคำสั่ง DISM.exe ที่คอมมานด์พร้อมท์ด้วยสิทธิ์สิทธิ์ผู้ดูแลระบบ* ตามตัวอย่างด้านล่าง

ตัวอย่าง: ติดตั้งอัพเดต KB4019215 บน Windows 8.1 (32-บิต)
อัพเดต MS17-010 สำหรับ Windows 8.1 นั้นปัจจุบันเป็นอัพเดตหมายเลข KB4019215 โดยมีลำดับการออกจาก KB4012216->KB4015550->KB4019215 (อัพเดตด้านขวามือเป็น supersede ของด้านซ้ายมือครับ)
DISM.exe /Online /Add-Package /PackagePath:C:\HotFix\KB4019215\Windows8.1-KB4019215-x86.cab /NoRestart

>> สวิทช์ /NoRestart เป็นการรันโดยไม่ต้องแสดงพร้อมท์ให้รีสตาร์ทเครื่องหลังติดตั้งแล้วเสร็จ

4. ทำการรีสตาร์ทระบบเพื่อให้การติดตั้งอัพเดต (Patch หมายเลข MS17-010) เสร็จสมบูรณ์

รายชื่ออัพเดตสำหรับปิดช่องโห่วเพื่อป้องกันมัลแวร์ WannaCry

บน Windows ที่ถูกตั้งให้ทำการอัพเดตอัตโนมัตินั้น Windows Update จะทำการติดตั้งอัพเดตทุกตัวที่จำเป็นให้โดยอัตโนมัติ แต่ในกรณีการติดตั้งอัพเดตแบบแมนนวล (อันนี้รวมทั้งการใช้ Windows Update และการใช้ไฟล์อัพเดตแบบ Standalone ครับ) นั้นมีปัญหาคือ คุณต้องรู้เองว่าต้องติดตั้งอัพเดตตัวใดบ้าง แต่คุณไม่ต้องเสียเวลาค้นหาเองเพราะว่ามีคนทำสรุปรายชื่อ Patch สำหรับปิดช่องโหว่ SMBv1 ของ Windows แต่ละเวอร์ชันไว้ให้บน Reddit เรียบร้อยแล้ว ตามรายละเอียดด้านล่าง

ข้อควรทราบ: อัพเดตด้านขวามือเป็น supersede ของด้านซ้ายมือ – หมายความอัพเดตด้านขวามือได้รวมการปรับปรุงและการปิดช่องโหว่ทั้งหมดของตัวซ้ายมือและช่องโหว่ที่ค้นพบใหม่

Windows 7

  • KB4012212
  • KB4012215->KB4015549->KB4019264

Windows Vista

  • KB4012598

Windows 8.1

  • KB4012216->KB4015550->KB4019215

Windows 10

  • KB4012606->KB4019474
  • KB4013198->KB4019473
  • KB4013429->KB4019472

Windows Server Server 2008

  • KB4012598->KB4018466

Windows Server 2008 R2

  • KB4012212
  • KB4012215->KB4015549->KB4019264

Windows Server 2012

  • KB4012217->KB4015551->KB4019216

Windows Server 2012 R2

  • KB4012213
  • KB4012216->KB4015550->KB4019215

การประยุกต์ใช้งาน

ทำการเก็บไฟล์ .cab ที่ได้จากการแตกไฟล์ที่ดาวน์โหลดจากไมโครซอฟท์ไว้ในแฟลชไดรฟ์ จากนั้นทำการสร้างแบตช์ไฟล์ (การสร้างแบตช์ไฟล์ทำได้โดยสร้างไฟล์ Text ด้วยโปรแกรม Notepad เหมือนปกติ แต่ขั้นตอนการบันทึกให้ใส่นามสกุลเป็น .bat) เพื่อทำการติดตั้งอัพเดตด้วย DISM.exe

รูปด้านล่างเป็นตัวอย่างแบตช์ไฟล์ สำหรับใช้ติดตั้งอัพเดต KB4012212, KB4012215 และ KB4019264 บน Windows 7 32-บิต

สามารถก็อปปี้ข้อความด้านล่างเพื่อใช้เป็นต้นแบบในการสร้างแบตช์ไฟล์อย่างรวดเร็ว

@ECHO ON
 start /wait DISM.exe /Online /Add-Package /PackagePath:"C:\HotFix\Windows6.1-KB4012212-x86.cab" /NoRestart
 start /wait DISM.exe /Online /Add-Package /PackagePath:"C:\HotFix\Windows6.1-KB4012215-x86.cab" /NoRestart
 start /wait DISM.exe /Online /Add-Package /PackagePath:"C:\HotFix\Windows6.1-KB4019264-x86.cab" /NoRestart

>> คำสั่ง start /wait เป็นการกำหนดให้รันคำสั่งให้แล้วเสร็จก่อนที่จะรันคำสั่งถัดไป

สรุป

การอัพเดต Patch หมายเลข MS17-010 เป็นเรื่องเร่งด่วนที่ต้องทำให้เสร็จโดยเร็ว (ยิ่งเร็วยิ่งดี ยิ่งเร็วเท่าใดยิ่งปลอดภัยจากมัลแวร์ WannaCry เท่านั้น) โดยกรณีที่มีเครื่องคอมพิวเตอร์ต้องอัพเดตเป็นจำนวนมาก วิธีการติดตั้งอัพเดตด้วย DISM.exe สามารถช่วยลดเวลาที่ใช้ในการอัพเดตระบบได้ เนื่องจากไฟล์ดาวน์โหลดเพียงครั้งเดียวสามารถนำไปใช้ได้กับคอมพิวเตอร์ทุกเครื่อง (ภายใต้เงื่อนไข Windows ต้องเป็นเวอร์ชันและรุ่นสถาปัตยกรรมเดียวกัน) และยังสามารถต่อยอดในการติดตั้งอัพเดตใหม่ๆ ที่จะออกในอนาคตได้อีกด้วย

วิธีการเปิดหน้าต่างคอมมานด์พร้อมท์
*การเปิดหน้าต่างคอมมานด์พร้อมท์ด้วยสิทธิ์ผู้ดูแลระบบบน Windows 8.1 และ 10 – กดปุ่ม Windows + X หรือคลิกขวาปุ่ม Start จากนั้นเลือก Command Prompt (Admin) คลิก Yes บนหน้า บนหน้า User Account Control (UAC) ถ้ามี

แหล่งอ้างอิง
How to use DISM to install a hotfix from within Windows

ประวัติการปรับปรุง
17 พฤษภาคม 2560: แก้ไขคำผิด, ปรับปรุงเนื้อหา
16 พฤษภาคม 2560: เผยแพร่ครั้งแรก

Share This
Facebooktwitterredditpinterestlinkedinmailby feather
Share.

Comments are closed.