⚠️ Secure Boot 证书即将过期 — 需优先安装

Windows 补丁变更操作

KB5078752 — FortiClient EMS 服务器 (Windows Server 2019)
变更编号
CHG-2026-05-KB5078752
目标设备
FortiClient EMS Server
当前 OS
Windows Server 2019 (17763)
补丁类型
累积安全更新
修复 CVE
CVE-2026-25185
EMS 兼容性
✅ TAC 确认无冲突
负责人
Kevin Tang
关联 Case
#11794617
01

变更背景

2026-05-05,Wiz CSPM 扫描发现 EMS 服务器存在 6 个 CVE,其中 CVE-2026-25185(Windows Shell Link Processing 欺骗漏洞)为操作系统层漏洞,需通过 Windows 累积更新修复。

⚠️ Secure Boot 证书过期风险

KB5078752 包含 Secure Boot 证书续期更新。Windows Secure Boot 证书将于 2026年6月 到期。如不及时安装,设备可能无法正常启动。此补丁需优先安排。

💡 TAC 确认

Fortinet TAC 工程师唐子聪确认:KB5078752 与 EMS 7.2.14 无兼容性冲突,可直接安装,不影响 EMS 正常运行。

02

风险评估

风险项等级说明应对措施
EMS 服务中断 重启期间 EMS 服务停止,终端无法通信 选择业务低峰窗口,重启前确认无大批量终端任务
补丁安装失败 CBS 组件损坏或磁盘空间不足 提前检查磁盘空间 ≥5GB,确认无其他安装任务
EMS 启动异常 补丁与 EMS 组件冲突(TAC 已排除) 卸载补丁 → 或 trigger 云平台同事做阿里云快照恢复 + 联系 TAC
SQL Server 异常 系统更新后 SQL 服务未自动启动 卸载补丁重启;如不行 trigger 云平台同事做快照恢复
03

变更前准备(T-1 天)

📋

Pre-Check 清单

  • 已确认补丁文件在桌面:C:\Users\Administrator\Desktop\9dce98bd2132ac8dcf4ae644ff36ec1ac7a734.msu(799MB)
  • 确认服务器磁盘空间 ≥ 5GB 可用
  • 已记录当前系统版本基线:winver → OS Build 17763.xxxx
  • 已记录 EMS 服务基线状态(用于对比)
  • 已协调云平台/运维组同事在阿里云控制台创建 EMS 服务器快照(网络组无快照权限)
    需提前沟通,确认变更窗口当天对方可配合操作
📊

基线快照(变更前记录)

检查项记录命令当前值
OS 版本winver / systeminfo | findstr Build10.0.17763.8389
已安装补丁dism /online /get-packages | findstr KB(变更当天填写)
04

执行安装(维护窗口内)

⏱️ 维护窗口

建议选择 工作日晚间 22:00–次日 02:00周末,避开终端活跃时段。预计总耗时 30–60 分钟。

1

安装补丁

双击桌面上的 9dce98bd2132ac8dcf4ae644ff36ec1ac7a734.msu 文件(799MB),按 Windows Update Standalone Installer 向导完成安装:

  • 弹出安装确认对话框后,点击 「是」 开始安装
  • 安装过程约 5–15 分钟,有进度条显示
  • 安装完成后会提示 「需要重启」,先不要重启,先执行下一步验证

文件路径:C:\Users\Administrator\Desktop\9dce98bd2132ac8dcf4ae644ff36ec1ac7a734.msu

2

确认安装结果

验证补丁已成功安装:

dism /online /get-packages | findstr KB5078752

应看到状态为 Installed。如果看不到,检查日志:

type %SystemRoot%\WindowsUpdate.log | findstr /i "KB5078752"
3

重启服务器

带 60 秒倒计时的重启命令(给其他管理员缓冲时间):

shutdown /r /t 60 /c "Installing KB5078752, rebooting in 60s"

如需取消重启:shutdown /a

4

等待重启完成

通过 RDP 或控制台等待系统重启完成。预计 3–8 分钟。

05

变更后验证(T+0)

Post-Check 清单

1

确认系统版本已更新

winver
systeminfo | findstr Build

应显示 OS Build 17763.8511

2

登录 EMS Web GUI 验证

浏览器打开 EMS 管理页面,确认能正常登录、页面加载正常。检查设备连接状态,确认 Fabric 连接正常。抽查 2–3 台终端的 FortiClient 连接状态,确认能正常注册到 EMS。

3

检查 Windows 事件日志

wevtutil qe System /c:10 /f:text /q:"*[System[(EventID=6008 or EventID=41 or Level=2)]]" 2>nul

检查是否有异常关机、蓝屏或严重错误事件。

✅ 验证通过标准

以上 3 项全部通过后,在变更记录中签核完成。如有任何一项异常,立即执行回退方案。

06

回退方案

🔙 回退触发条件

重启后出现以下任一情况,立即执行回退:

  • EMS 服务无法启动或反复崩溃
  • EMS Web GUI 无法访问
  • 终端大面积无法连接 EMS
  • SQL Server 启动失败或数据库损坏
  • 系统蓝屏或无法正常启动
A

方案一:卸载补丁(推荐)

通过 DISM 直接卸载 KB5078752,无需其他团队协助:

dism /online /remove-package /packagename:Package_for_KB5078752~31bf3856ad364e35~amd64~~17763.8511.1.0

卸载后重启服务器:

shutdown /r /t 60 /c "Rolling back KB5078752, rebooting in 60s"

⚠️ 此方案仅在补丁安装后、重启前执行更安全。如果重启后才发现问题,Secure Boot 证书更新可能已生效,此时优先尝试方案二。

B

方案二:阿里云快照恢复(后备)

如果卸载补丁无法解决问题,需要通过阿里云快照恢复整个服务器。

⚠️ 权限说明

EMS 服务器托管在阿里云,网络组账号无快照恢复权限。需要 trigger 云平台/运维组同事协助操作:

  • 联系云平台/运维组同事,提供服务器实例 ID 和变更前快照名称
  • 由对方在阿里云控制台执行快照回滚
  • 回滚完成后,网络组验证 EMS 服务和终端连接

恢复后确认 EMS 服务正常、终端可连接。

C

回退后确认

确认系统版本回到变更前,EMS Web GUI 可正常访问,终端可连接。在变更记录中标注回退原因。

07

变更时间线

T-1 天
备份(SQL Full Backup + 服务器快照)、下载补丁、通知团队
T-0 开始
登录服务器、记录基线
T+5 min
执行 wusa.exe 安装补丁(~5-15 min)
T+20 min
确认安装结果、执行重启
T+30 min
重启完成、EMS Web GUI + 事件日志验证
T+45 min
验证通过 → 变更完成;验证失败 → 执行回退

预计总耗时:30–60 分钟(含验证)。如需回退,额外 15–30 分钟。

A

参考信息

补丁下载KB5078752 — Microsoft Support
FortiCare Case#11794617 (P4)
TAC 工程师唐子聪 (Aaron Tang) — tanga@fortinet.com
EMS 序列号FCTEMS8823004700
FortiGuard PSIRThttps://fortiguard.fortinet.com/psirt
← 返回主页