Что такое патч безопасности? Патч (от англ. patch — заплатка) — это небольшой фрагмент кода, который Microsoft выпускает для исправления уязвимостей, ошибок или недоработок в операционной системе. Если представить Windows как стену, то каждая уязвимость — это трещина в ней, а патч — цемент, которым эту трещину заделывают.
Как Microsoft классифицирует уязвимости
Прежде чем выпустить патч, Microsoft оценивает серьёзность проблемы по четырём уровням:
🔴 Critical (Критический) Уязвимость позволяет злоумышленнику удалённо выполнить произвольный код без каких-либо действий со стороны пользователя. Пример — червь WannaCry использовал именно критическую уязвимость EternalBlue в протоколе SMB.
🟠 Important (Важный) Атака возможна, но требует определённых условий: например, пользователь должен открыть вредоносный файл или перейти по ссылке.
🟡 Moderate (Умеренный) Эксплуатация затруднена из-за ограничений самой системы — например, атака работает только в нестандартных конфигурациях.
🟢 Low (Низкий) Практически теоретические угрозы, которые крайне сложно реализовать на практике.
Типы обновлений безопасности
Security Update (Обновление безопасности)
Целевое исправление одной конкретной уязвимости. Минимальный по размеру, но точечный по воздействию.
Cumulative Update (Накопительное обновление)
Включает в себя все предыдущие патчи плюс новые исправления. Начиная с Windows 10, Microsoft перешла именно на эту модель — устанавливать «всё сразу», а не по отдельности. Это упростило администрирование, но увеличило размер загружаемых файлов.
Service Pack (Сервисный пакет)
Устаревший формат, характерный для Windows XP/Vista/7. По сути — огромный накопительный патч, выходивший раз в несколько лет.
Out-of-Band Update (Внеплановое обновление)
Выходит экстренно, вне обычного расписания. Так Microsoft реагирует на уязвимости нулевого дня, которые уже активно эксплуатируются хакерами.

Patch Tuesday — что это и почему именно вторник
Microsoft выпускает плановые обновления безопасности каждый второй вторник месяца — эта традиция существует с 2003 года. Логика проста: компаниям нужно предсказуемое расписание, чтобы планировать тестирование и развёртывание патчей в своей инфраструктуре. Системный администратор, знающий, что «патчи всегда во второй вторник», может заранее подготовить тестовую среду и регламент.
Интересный побочный эффект: хакеры тоже знают об этом расписании. Сразу после Patch Tuesday они анализируют опубликованные исправления, чтобы понять, какие уязвимости были закрыты, и попытаться атаковать системы, где патчи ещё не установлены. Этот период называют Exploit Wednesday.
Технические механизмы доставки патчей
Windows Update / Microsoft Update
Основной канал для домашних пользователей. Работает через фоновую службу wuauserv, которая периодически опрашивает серверы Microsoft.
Windows Server Update Services (WSUS)
Корпоративное решение: организация разворачивает внутренний сервер, который получает обновления от Microsoft и затем распределяет их по рабочим станциям. Это позволяет:
- Тестировать патчи перед массовым развёртыванием
- Контролировать, какие обновления устанавливаются
- Экономить трафик (патч скачивается один раз, а не на каждую машину)
Microsoft Endpoint Configuration Manager (MECM/SCCM)
Продвинутый инструмент для крупных предприятий с тысячами устройств. Позволяет гибко управлять политиками обновлений, создавать отчёты о статусе патчей и автоматизировать весь процесс.
Microsoft Update Catalog
Веб-портал, где можно вручную скачать любой патч в виде .msu или .cab файла — полезно для изолированных систем без доступа в интернет.

Что происходит внутри системы при установке патча
- Проверка целостности — система верифицирует цифровую подпись Microsoft на пакете обновления.
- Анализ зависимостей — установщик проверяет, установлены ли предыдущие патчи, от которых зависит новый.
- Создание точки восстановления — Windows сохраняет состояние системы (для накопительных обновлений).
- Замена файлов — новые версии системных библиотек (
.dll), исполняемых файлов и драйверов заменяют старые. - Обновление реестра — вносятся необходимые изменения в конфигурацию.
- Перезагрузка — многие патчи требуют перезапуска, так как заменяемые файлы могут быть заблокированы запущенными процессами.
Типичные уязвимости, которые закрывают патчи
| Тип уязвимости | Описание | Пример |
|---|---|---|
| RCE (Remote Code Execution) | Удалённое выполнение кода | EternalBlue (MS17-010) |
| LPE (Local Privilege Escalation) | Повышение привилегий | PrintNightmare |
| DoS (Denial of Service) | Отказ в обслуживании | Множество уязвимостей в стеке TCP/IP |
| Information Disclosure | Утечка данных | Spectre/Meltdown (частично) |
| Spoofing | Подмена идентификации | Уязвимости в NTLM |
| Tampering | Нарушение целостности данных | Уязвимости в подписи кода |
Почему некоторые не устанавливают патчи — и почему это опасно
Среди системных администраторов бытует поговорка: «Работает — не трогай». И в этом есть логика: патч теоретически может сломать специфическое корпоративное ПО. Однако цена промедления часто несоразмерно выше.
История знает немало случаев, когда игнорирование патчей приводило к катастрофам. Атака WannaCry в 2017 году заразила сотни тысяч компьютеров по всему миру — притом что Microsoft выпустила закрывающий патч за два месяца до начала эпидемии. Больницы, банки и государственные структуры по всему миру парализовало именно потому, что системы не были обновлены вовремя.
Лучшие практики управления патчами
Для домашних пользователей:
- Включите автоматическое обновление и не откладывайте перезагрузку
- Проверяйте раздел «Центр обновления Windows» хотя бы раз в месяц
- Не используйте пиратские сборки Windows — они, как правило, блокируют обновления
Для корпоративной среды:
- Тестируйте патчи на небольшой группе машин перед массовым развёртыванием
- Соблюдайте окно установки патчей не позднее 30 дней с момента выхода (для критических — 7 дней)
- Ведите актуальный реестр всех устройств в сети
- Особое внимание уделяйте системам, которые не перезагружались месяцами — они накапливают «долг» по патчам
- Для систем без интернета настройте WSUS или используйте офлайн-инструменты вроде WSUS Offline Update
Как проверить, какие патчи установлены
Через PowerShell:
Get-HotFix | Sort-Object InstalledOn -Descending
Через командную строку:
wmic qfe list brief /format:table
Для конкретного обновления:
Get-HotFix -Id KB5034441
Патчи безопасности — это не бюрократия и не прихоть Microsoft, а фундаментальная часть кибергигиены. Каждое необновлённое устройство в сети — потенциальная точка входа для злоумышленника, и чем дольше оно остаётся без патча, тем выше вероятность, что этой возможностью воспользуются.