Installer un SSU seul dans Windows 10 version 2004/20H2/21H1


  • Share on Pinterest

Mise à jour 2021-08-11: avec la publication de la mise à jour KB5005260, le contournement présenté dans cet article n’est plus requis. Nous le laissons toutefois en ligne à titre informatif.


Le 6 juillet dernier, Microsoft publiait des correctifs hors bande pour colmater la faille de sécurité nommée PrintNightmare. Pour Windows 10 version 2004/20H2/21H1, il porte le numéro KB5004945. Et il a besoin d’un préalable: la mise à jour de la pile de maintenance (servicing stack update, SSU) de mai 2021, qui n’est pas disponible de manière indépendante. Voici les informations vous permettant d’injecter un SSU seul s’il en est besoin dans des postes qui auraient manqué le train lors du Patch Tuesday en mai dernier.

Pourquoi extraire le SSU depuis un CU?

Dans sa série 2004/20H2/21H1, depuis mars 2021, Microsoft distribue des mises à jour du SSU à l’intérieur du même package de mise à jour cumulative de sécurité (CU). Dans un environnement où les mises à jour mensuelles sont déployées à l’aide de MECM ou WSUS, un administrateur n’a plus à se soucier d’installer un SSU préalablement à un CU.

Cependant, il peut arriver des situations incohérentes. C’est le cas du KB5003637 (CU de juin 2021 pour 2004/20H2/21H1) et des correctifs hors bande suivants, dont KB5004945. Ils nécessitent le SSU inclus dans le KB5003173; or, ils remplacent également KB5003173!

Plusieurs solutions de contournement existent: réinjecter/réactiver le KB5003173 expiré dans WSUS, ou créer un package/une application dans MECM afin d’installer KB5003173 au format MSU. Une solution plus légère, toutefois, est d’extraire le SSU depuis le KB5003173. Vous pourrez ensuite l’installer en créant un package/une application dans MECM.

Qui a besoin de déployer un SSU de manière indépendante?

Cette activité s’applique uniquement pour Windows 10 version 2004/20H2/21H1. Pour Windows 10 version 1909, par exemple, Microsoft continue de distribuer les SSU et les CU de manière séparée dans MECM/WSUS.

De plus, cette activité est requise uniquement lorsque:

  • un CU contient un SSU préalable à un CU ultérieur,
  • est expiré et n’est plus proposé dans votre console MECM/WSUS,
  • et que des postes de votre parc en ont encore besoin.

Actuellement, si certains de vos postes de travail ont Windows 10 en révision inférieure à 1904x.985, vous êtes concerné. Vous devez installer le SSU contenu dans KB5003173 avant de pouvoir installer des correctifs ultérieurs.

Extraire le SSU de KB5003173

  1. Rendez-vous sur le Catalogue Microsoft Update, et récupérez le KB5003173 en format MSU pour chacune des architectures présentes dans votre parc;
  2. Puis, exécutez la commande suivante dans une invite de commande afin de décompresser le fichier MSU:
    expand -f:*.cab <package>.msu .\
    Par exemple, pour la version x64:
    expand -f:*.cab windows10.0-kb5003173-x64_4e3b4345ad6e3bf44183d6f25879a0c5ca1b7ef9.msu .\
    Plusieurs fichiers CAB sont extraits; identifiez celui contenant le numéro KB5003137 dans son nom;
  3. Répéter la même opération sur ce fichier CAB pour extraire le SSU, également au format CAB:
    expand -f:*.cab <fichier>.cab .\
    Par exemple, pour la version x64:
    expand -f:*.cab Windows10.0-KB5003173-x64.cab

Au terme de cette dernière opération, vous obtenez un fichier SSU-<version>-<arch>.cab (par exemple: SSU-19041.985-x64.cab).

Ce fichier peut alors être injecté dans des postes de travail avec l’utilitaire DISM, avec la commande suivante: %WINDIR%\System32\dism.exe /Online /Add-Package /PackagePath:SSU-<version>-<arch>.cab

Il ne vous reste qu’à déployer le fichier CAB avec sa commande d’installation à l’aide de votre méthode préférée (par exemple, à l’aide d’une application).