Windows 7中,GDR补丁、LDR补丁、Hotfix热修补丁、Windows Update推送补丁有哪些区别?
本帖最后由 lucky8pm 于 2025-3-24 12:48 编辑在Windows 7中,GDR补丁、LDR补丁、Hotfix热修补丁和Windows Update推送补丁在发布范围、适用场景及稳定性等方面存在显著差异。以下是具体区别:1. GDR补丁(General Distribution Release)
[*]定义与用途:GDR补丁是微软通过常规渠道(如Windows Update)向所有用户推送的标准化更新,主要用于修复广泛存在的安全漏洞或稳定性问题。其特点是经过全面测试,兼容性高。
[*]发布方式:通过Windows Update自动分发,用户无需手动操作。
[*]适用场景:适用于普通用户和大多数企业环境,解决普遍性问题。
2. LDR补丁(Limited Distribution Release)
[*]定义与用途:LDR补丁属于受限分发补丁,通常针对特定用户或复杂问题提供,可能包含更多实验性修复。其稳定性略低于GDR,但修复范围更广。
[*]发布方式:默认不通过Windows Update推送,需通过特定渠道(如企业支持服务)手动获取或通过注册表启用LDR分支。
[*]适用场景:适用于需要紧急修复但无法等待常规更新的企业用户,或用于调试复杂系统问题。
3. Hotfix热修补丁
[*]定义与用途:Hotfix是针对特定漏洞或故障的快速修复补丁,通常未经全面测试,仅通过微软支持服务提供。其特点是快速响应,但可能存在兼容性风险。
[*]发布方式:需用户主动联系微软技术支持获取,或从微软下载中心手动安装。
[*]适用场景:用于紧急修复关键系统崩溃或安全漏洞,常见于企业级技术支持场景。
4. Windows Update推送补丁
[*]定义与用途:这是微软通过Windows Update平台定期发布的补丁集合,包括安全更新、功能改进和累积补丁。其内容可能整合了GDR补丁或其他已验证的修复程序。
[*]发布方式:自动推送并安装(需用户启用自动更新),也可手动检查更新。
[*]适用场景:面向所有用户,提供长期稳定的系统维护。
核心区别总结
类型稳定性分发范围安装方式适用场景
GDR补丁高全局推送(默认)自动(Windows Update)普遍性系统问题修复
LDR补丁中受限分发(需手动启用)手动或注册表启用复杂问题或紧急修复需求
Hotfix热修补丁低按需提供(技术支持)手动安装关键漏洞的快速临时修复,不重启电脑
Windows Update推送补丁高全局推送(可选自动)所有用户常规系统维护与累积更新
企业环境下的实践建议
[*]补丁筛选策略
[*]使用WSUS(Windows Server Update Services)时,可通过"分类"筛选仅部署GDR补丁,避免非必要功能更新影响系统稳定性。
[*]通过wmic qfe list full /format:table命令可验证已安装补丁的GDR/LDR属性。
[*]风险控制措施
[*]对Windows Update推送的补丁进行分级评估:
[*]GDR补丁:优先部署(如KB编号以"Security Only"标识的更新)
[*]非GDR补丁:在测试环境中验证兼容性后再推广。
GDR补丁与Windows Update推送补丁的区别:
GDR补丁是Windows Update推送内容的重要组成部分。当系统触发LDR(Limited Distribution Release)分支时,Windows Update可能推送包含额外调试代码的补丁,此时实际安装的补丁可能超出GDR范畴。Windows Update推送补丁包含了GDR、功能补丁、服务堆栈、LDR等复合内容。
根据微软官方资料:https://learn.microsoft.com/zh-h ... -vs-gdrldr-hotfixes
In general, when you update a server from Windows Update the operating system will preferto download only security related (GDR) hotfixes.
一般来说,当您从 Windows Update 服务器更新时,操作系统将优先仅下载与安全相关的 (GDR) 修补 程序。
If you have however manually installed a non-security hotfix that updates a file on yoursystem, that file will from now on be updated from the QFE/LDR tree.
但是,如果您手动安装了非安全修补程序来更新系统上的文件,则该文件将立即从 QFE/LDR 树中更新 。
非常有用的总结。可惜对于Windows7来说,由于元数据库损坏,推送机制变得混乱,而微软似乎并不准备修复它,毕竟早已停服了 gwaijyut 发表于 2025-3-20 09:11
非常有用的总结。可惜对于Windows7来说,由于元数据库损坏,推送机制变得混乱,而微软似乎并不准备修复它, ...
“由于元数据库损坏,推送机制变得混乱”
我只能说,情况没有那么严重,问题确实有。
KB3125574和月度汇总都属于LDR分支,所以情况变得有点复杂了,但是如果仅仅只打仅安全性更新(从2016年10月开始),那非安全性更新还要不要打? lucky8pm 发表于 2025-3-21 10:30
“由于元数据库损坏,推送机制变得混乱”
我只能说,情况没有那么严重,问题确实有。
KB3125574和月度汇总 ...
一个很有意思的话题。
这里引用一些编程原则大致聊一聊。
每个补丁都是一个独立的实体,如果操作系统用于生产环境,对稳定性的追求高于其他一切,补丁的选择至少应该遵循以下三个原则:
单一职责(Single Responsibility Principle):在程序设计中指的是,一个类应该有且仅有一个引起它变化的原因,否则类应该被拆分。引用到补丁的选择也基本一致,一个补丁应该有且仅有一个/一类需要它的原因;
开闭原则(Open Close Principle):一个软件实体应当对扩展开放,对修改关闭。软件实体应尽量在不修改原有代码的情况下进行扩展。引申到补丁的选择,例如一个生产系统,在RTM版本中运行良好,这时候微软推出了SP1,你升级还是不升级?原则上是不升级;
迪米特原则(Least Knowledge Principle):一个软件实体应当尽可能少地与其他实体发生相互作用。例如去年11月的月度汇总,秒杀了一堆浏览器,很明显,这个月度汇总违反了这个原则
2楼说的元数据库损坏,哈哈,那只是我的猜测,也不能说损坏,但至少其中一个分支的服务端是有问题的,可以追溯到微软推送陈旧补丁的时候。如果没有人为干预,WU都是基于GDR推送,所推送的补丁包理论上都包含GDR、LDR两个副本(NT5.x是这样,现在似乎有点变化),默认使用GDR副本升级(除非你上一个相关补丁指定使用了LDR)。可以随便找一个补丁文件,使用解压工具查看该cab是否包含update-bf.mum文件,如果包含,则这个补丁文件同时包含了GDR、LDR两个副本,通过dism,可以指定你想要的副本进行安装。关于服务分支以及补丁类别的更详细信息,可以移步参阅这篇比较陈旧的文章,希望对你有所帮助。
再说说KB3125574,第一个版本微软声称替代了一百多个补丁,经过4次修改,现在能够下载到的版本,替代了66个,我多次测试了这个数据,逼近66(63-65)。后来换了个思路,与其测试替代了多少补丁,不如看看它没有替代哪些补丁,没有替代的,理论上都需要。在补丁说明站点,找到了下面这份列表:
---------------------------------------------------------------------------------------------------------------------------------------------------------
You may download and install such fixes manually after you determine whether they apply to your deployment scenarios. Specifically, the following fixes are not included in this convenience rollup:
2620264 You cannot start any RemoteApp applications through a Windows Server 2008-based or later Terminal Server or RD Gateway
2646060 An update that selectively disables the Core Parking feature in Windows 7 or in Windows Server 2008 R2 is available
2647954 The PIN dialog box does not appear or you are presented with all the certificates in the store when you try to access a WebDAV server in Windows 7 or in Windows Server 2008 R2
2663685 Changes that are not replicated to a downstream server are lost on the upstream server after an automatic recovery process occurs in a DFS Replication environment in Windows Server 2008 R2
2695321 IPsec session takes 5 to 6 minutes to connect to a storage controller on a computer that is running Windows Vista, Windows Server 2008, Windows 7, or Windows Server 2008 R2
2727994 You cannot open or save Office 2010 documents on a WebDAV file server on a computer that is running Windows 7 or Windows Server 2008 R2
2728738 You experience a long logon time when you try to log on to a Windows 7-based or a Windows Server 2008 R2-based client computer that uses roaming profiles
2750841 An IPv6 readiness update is available for Windows 7 and for Windows Server 2008 R2
2752259 An update that improves the performance of the Printbrm.exe command-line tool in Windows 7 or in Windows Server 2008 R2 is available
2891144 Application does not draw polylines correctly when you run it through an RD Session in Windows Server 2008 R2 SP1
2898851 Description of the security update for the .NET Framework 3.5.1 on Windows 7 Service Pack 1 and Windows Server 2008 R2 Service Pack 1: May 13, 2014
2907020 "Location is not available" error when you access a mapped network drive after Windows standby or resume
2918833 Third-party IMEs give users unprotected access to your Windows 7-based or Windows Server 2008 R2-based system
2923766 Black screen when you plug in a monitor on a computer or open a lid of a laptop that is running in Windows
2925489 You cannot establish an IPsec connection with certain third-party devices in Windows
2990184 A FIPS-compliant recovery password cannot be saved to AD DS for BitLocker in Windows 7 or Windows Server 2008 R2
2781512 - WinRM operations to Hyper-V fail on a Windows 7 SP1-based or Windows Server 2008 R2 SP1-based computer that has Windows Management Framework 3.0 installed
2823180 - Update is available for Windows Management Framework 3.0 in Windows 7 SP1, Windows Server 2008 R2 SP1, or Windows Server 2008 SP2
2802886 - You cannot register an SPN from a Windows 7, Windows 8, Windows Server 2008 R2 or Windows Server 2012-based client computer in a disjoint namespace
2842230 - "Out of memory" error on a computer that has a customized MaxMemoryPerShellMB quota set and has WMF 3.0 installed
2887064 - The Start-Process cmdlet ignores the "-Wait" parameter when the cmdlet is started remotely on a Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Vista SP2, or Windows Server 2008 SP2 computer that has Windows Management Framework 3.0 installed
2889748 - High memory usage by the Svchost.exe process after you install Windows Management Framework 3.0 on a Windows-based computer
2830615 - $MyInvocation.MyCommand object is set to null when you run the script by using PowerShell 3.0 in Windows 8 or in Windows Server 2012
This convenience rollup also does not include any of the servicing updates for Internet Explorer. If you require the servicing updates for Internet Explorer, download and install the latest Security update for Internet Explorer.
---------------------------------------------------------------------------------------------------------------------------------------------------------
列表信息比较陈旧,需要做进一步判断,作为参考,应该是没什么问题的
gwaijyut 发表于 2025-3-22 12:41
一个很有意思的话题。
这里引用一些编程原则大致聊一聊。
“该cab是否包含update-bf.mum文件,如果包含,则这个补丁文件同时包含了GDR、LDR两个副本,通过dism,可以指定你想要的副本进行安装”
第三次接触到这方面的知识点,学习了 win7/2008r2在2016年3月开始的补丁版本号就已经从gdr改成ldr了;2008和vista稍晚一些也改成ldr了 treegarden 发表于 2025-3-24 09:39
win7/2008r2在2016年3月开始的补丁版本号就已经从gdr改成ldr了;2008和vista稍晚一些也改成ldr了 ...
感谢提供这么详细的时间{:5_266:} https://forums.mydigitallife.net/threads/windows-7-hotfix-repository.19461/page-398#post-760362
https://forums.mydigitallife.net/threads/windows-7-hotfix-repository.19461/page-561
类似话题在上面的站点有一些有趣的讨论,时间跨度超过十年,非常的哇塞 gwaijyut 发表于 2025-3-24 11:39
https://forums.mydigitallife.net/threads/windows-7-hotfix-repository.19461/page-398#post-760362
http ...
10年以前?非常感谢,我去看看先{:5_264:} lucky8pm 发表于 2025-3-24 09:55
感谢提供这么详细的时间
没事,我只是每个月都会更新补丁,更新完会看一眼系统版本号
页:
[1]