Windows 10 Version 22H2 安全更新，更新失败，求指导如何解决

hhu88

KB5034441这个更新已经被咖喱软撤下了。

zerozerone

recovery_oem reagentc setreimage path
之前处理一个OEM系统(恢复分区)RE分区失效，仅供参考。OEM_RE分区通常都比较大1-1.5-15G，基本不存在更新RE补丁时候，空间不足的情况。
这里的恢复分区即指RE分区。

w10\w11此前升级过winre补丁，近期比较频繁，由于微软补丁本身问题，造成表象存在re分区使用空间不足的情况。
通过补丁自动更新re镜像，受多种因素影响（除空间容量问题）、re配置异常、re版本一致性不对应等，造成升级失败，表象为补丁更新失败。

（某种角度看re成为安全隐患）预期微软会加强re高度绑定系统引导，号称加强引导安全性、封闭性，产生re同OS版本匹配问题，多数时候系统备份只备份系统本身，
如re在其他分区的情况，恢复系统后可能存在匹配异常，re功能异常，升级re相关补丁出现故障。
众所周知微软已经不进行补丁发布前测试，且re引导环境严重依赖本机主系统驱动支持兼容水平，从主系统驱动直接植入、使用主系统驱动，兼容性问题非常突出。
那么小众硬件环境、较新的系统这种re失效失能的情况越发突出，自w10以来越来越多。
系统下覆盖安装依然会存在匹配问题。

解决思路，备份系统整盘备份（单磁盘系统），避免恢复后匹配问题。
手动调整RE分区容量致1G-1.5G，目前w11的默认re配置分区大小为800+MB。oemre如故障、手动配置。
为规避EFI\MSR\RE分区等关联问题，全新安装时，彻底清除掉efi\msr\re分区，重新配置，确保匹配一致性。
（微软补丁对efi\os\re分区补丁修复是跨月、跨季度的、一致性问题非常严重）水多了添面、面多了添水，哈哈。

（严重警告：全新安装，如有高度绑定系统id，硬件id，系统关联id等的授权软件、分区安全、管理软件标识的、授权标记的，可能造成授权失效，硬码变更、安全分区损毁等情况，解决问题首先得非常情况自身环境、现状，避免按图索骥、刻舟求剑造成更严重问题）

OEM机器，避免大跨度升级系统，造成OEM系统关联的RE失效，微软初期发布的系统根本不考虑OEM的情况，即使是发布“成熟”2年的系统依然我行我素。
w8.1\w10\w11莫不如此。

系统下覆盖升级安装、仅全新efi\msr的半全新安装造成问题必然的。

更新补丁时、如有re补丁，避免其他强关联影响引导的操作，比如驱动安装、系统API、系统环境参数配置调整，造成re补丁后续阶段更新中断的情况。
另外re补丁不可逆。且微软补丁反复拉抽屉是常态。厂家作死的路子，跟不跟风险自处。

以上都是胡说八道，不解释、不举例、不反驳、不回复。



操作案例：

C:\WINDOWS\system32>reagentc /?

配置 Windows 恢复环境(Windows RE)和系统重置。

REAGENTC.EXE <命令> <参数>

可以指定以下命令:

  /info             - 显示 Windows RE 和系统重置配置
                      信息。
  /setreimage       - 设置自定义 Windows RE 映像的位置。
  /enable           - 启用 Windows RE。
  /disable          - 禁用 Windows RE。
  /boottore         - 将系统配置为在下次系统启动时
                      启动 Windows RE。
  /setbootshelllink - 在启动菜单中向“重置和还原”页添加
                      条目。

有关这些命令及其参数的详细信息，请键入
REAGENTC.EXE <命令> /?。

  示例:
    REAGENTC.EXE /setreimage /?
    REAGENTC.EXE /disable /?

REAGENTC.EXE: 操作成功。

C:\WINDOWS\system32>reagentc /setreimage /?
设置自定义 Windows 恢复环境(Windows RE)映像的位置。

REAGENTC.EXE /setreimage /path <dir_name> [/target <dir_name>] [/logpath <file_path>]

  /path <dir_name>      - 指定包含自定义 Windows RE
                          映像(winre.wim)的目录。
  /target <dir_name>    - 指定 Windows 安装。如果未指定
                          此参数，则使用正在运行的操作
                          系统。
  /logpath <file_path>  - 指定日志文件的路径。如果未指定
                          此参数，则默认路径为 Windows\Logs\
                          Reagent\Reagent.log。

  示例:
    REAGENTC.EXE /setreimage /path r:\Recovery\WindowsRE /logpath C:\Temp\Reagent.log
    REAGENTC.EXE /setreimage /path r:\Recovery\WindowsRE /target C:\Windows

REAGENTC.EXE: 操作成功。


C:\WINDOWS\system32>reagentc /setreimage /path \\?\GLOBALROOT\device\harddisk0\partition5\Recovery\WindowsRE
目录设置为: \\?\GLOBALROOT\device\harddisk0\partition5\Recovery\WindowsRE

REAGENTC.EXE: 操作成功。


C:\WINDOWS\system32>reagentc /info
Windows 恢复环境(Windows RE)和系统初始化配置
信息:

    Windows RE 状态:           Disabled
    Windows RE 位置:
    引导配置数据(BCD)标识符:   38f90831-6e40-11ed-b1ff-c9ef417a3091
    恢复映像位置:
    恢复映像索引:              0
    自定义映像位置:
    自定义映像索引:            0

REAGENTC.EXE: 操作成功。


C:\WINDOWS\system32>reagentc /enable
REAGENTC.EXE: 操作成功。


C:\WINDOWS\system32>reagentc /info
Windows 恢复环境(Windows RE)和系统初始化配置
信息:

    Windows RE 状态:           Enabled
    Windows RE 位置:           \\?\GLOBALROOT\device\harddisk0\partition5\Recovery\WindowsRE
    引导配置数据(BCD)标识符:   ba569f79-9c17-11ee-b21b-7894499d6901
    恢复映像位置:
    恢复映像索引:              0
    自定义映像位置:
    自定义映像索引:            0

REAGENTC.EXE: 操作成功。

tim6252

P2FX 发表于 2024-1-10 10:43
不是C盘，是跟在C盘后面的隐藏恢复分区：
https://support.microsoft.com/en-us/topic/kb5034441-windows ...

谢谢你的解答  帮了大忙

Zen1983

cyberms 发表于 2024-1-10 08:55
先升级23H2再装

https://support.microsoft.com/zh-cn/topic/kb5027397-%E4%BD%BF%E7%94%A8%E5%90%AF%E7%9 ...

问一下23H2，自己更新没有，一定要外部下载更新吗？

heartrending

    Windows RE 状态:           Enabled
    Windows RE 位置:           \\?\GLOBALROOT\device\harddisk0\partition4\Recovery\WindowsRE
    引导配置数据(BCD)标识符:   e175e29d-d2c7-11ee-91ee-97be92c7e2cf
    恢复映像位置:
    恢复映像索引:              0
    自定义映像位置:
    自定义映像索引:            0

REAGENTC.EXE: 操作成功。

这个算啥情况？

monkeylab

heartrending 发表于 2024-2-26 18:37
Windows RE 状态:           Enabled
    Windows RE 位置:           \\?\GLOBALROOT\device\harddisk ...

挺正常啊，这个分区大于750MB就能能更新巨硬那个补丁了。

hxd027

hhu88 发表于 2024-1-14 12:15
KB5034441这个更新已经被咖喱软撤下了。

没有啊，我现在每次更新其他的都会有这个更新，但是我本身是没有分配恢复分区的，自然也就不存在这个更新要解决的问题，但是每次都会要求更新，并且更新失败。烦人

JackyMuyi

前两天重装Win10系统后也是不停地给我推送这个KB5034441补丁，同样也是安装失败，上微软官网上查到有这么一条页面：KB5034441：适用于 Windows 10 版本 21H2 和 22H2 的 Windows 恢复环境更新：2024 年 1 月 9 日

此更新自动将安全 OS 动态更新（KB5034232）应用到正在运行的电脑上的 Windows 恢复环境 (WinRE)，以解决可能允许攻击者使用 WinRE 绕过 BitLocker 加密的安全漏洞。 有关详细信息，请参阅 CVE-2024-20666。

对于安装失败的问题微软是这么解释的：

重要说明

此更新需要恢复分区中有 250 MB 的可用空间才能成功安装。 如果恢复分区没有足够的可用空间，则此更新将失败。 在这种情况下，你会收到以下错误消息：

0x80070643 - ERROR_INSTALL_FAILURE

要避免此错误或从此故障中恢复，请按照手动调整分区大小以安装 WinRE 更新的说明操作，然后尝试安装此更新。

或者，如果要使用示例脚本来增加 WinRE 恢复分区的大小，请参阅 扩展 Windows RE 分区。

解决方案的链接：
1. 手动调整分区大小以安装WinRE更新

2. 扩展WinRE分区

我用的第一种办法，把WinRE分区扩充到了600MB，现在问题已经解决：


不过也是因为自己刚格盘重装了系统，硬盘上没东西，所以搞起来容易些。

PS：如果是那种品牌机（不过至少新买的品牌机应该不会出现这种问题）以及硬盘上有重要文件、软件等情况的，建议还是无视这个补丁吧，调整分区毕竟是高风险行为。