如何将安全更新集成到 Windows 映像 (ISO/WIM)

为了确保部署到网络中计算机的 Windows 映像始终具有最新的安全更新，您可以使用 DISM 将新的更新包添加到脱机 Windows 安装映像中。在本指南中，我将向您展示如何将安全补丁注入 Windows 11/10 和 Windows Server 2022/2019/2016 ISO/WIM 安装映像中。

在此示例中，我们将向您展示如何将最新的累积安全更新（2023 年 4 月）整合到 Windows 11 22H2 安装映像中。我们将添加累积更新

KB5025239

到图像。通过更新 KB5025239，Windows 11 添加了对本地管理员密码解决方案 (Windows LAPS) 的本机支持。

如何将 Windows 更新添加到脱机映像？

您将需要以下文件：

• ISO格式的Windows安装映像或其install.WIM文件；

• 可以从 Microsoft 更新目录下载的 .MSU 更新文件（如何手动下载 Windows 更新文件？）。只需下载适用于您的 Windows 版本和服务堆栈更新 (SSU) 的最新累积更新。

检查您的 Windows 发行版的位数和版本是否与您下载的更新相匹配。否则，您在安装更新时将看到以下消息：“更新不适用于您的计算机”。

在您的计算机上创建以下目录结构：

• C:\updates\mnt - 是我们将安装包含 Windows 安装映像的 install.wim 文件的文件夹；

• C:\updates\msu - 是您需要将 MSU 格式的 Windows 版本更新文件复制到的目录；

  

• C:\updates\WinImage\ - 将 install.wim（或 install.esd）文件从 Windows 11 22H2 安装映像的 Sources 目录复制到此目录中。您还可以从 WDS 服务器、MDT、SCCM 或用于使用 PXE 网络引导安装 Windows 的任何其他操作系统部署工具复制 WIM 映像。
  

使用 DISM 挂载 Windows 映像文件 (WIM)

使用媒体创建工具创建的现代 Windows 安装 ISO 映像使用 ESD 压缩格式而不是 WIM 文件。您无法直接修改 ESD 格式的 Windows 映像。因此，您必须首先使用 DISM 工具将 ESD 文件转换为 WIM 格式。

将 ISO 映像挂载到虚拟驱动器：

Mount-DiskImage -ImagePath "C:\DIstr\iso\Windows1122h2.iso"

列出 ESD/WIM 映像文件中的 Windows 版本：

DISM /Get-WimInfo /WimFile:"E:\sources\install.esd"

在此示例中，我们将仅从 ESD 映像导出 Windows 11 专业版 WIM 文件（其索引为 6，因此我们将指定

/SourceIndex:6

在下一个命令中）：

dism /export-image /SourceImageFile:"E:\sources\install.esd" /SourceIndex:6 /DestinationImageFile:C:\Updates\WInImage\win11pro.wim /Compress:max /CheckIntegrity

使用 DISM 将包含 Windows 安装映像的 install.wim 文件装载到 C:\updates\mnt 目录：

dism /mount-wim /wimfile:C:\Updates\WinImage\win11pro.wim /index:1 /mountdir:C:\updates\mnt

提示。在本例中，我们指定

/index:1

因为 WIM 映像仅包含 Windows 11 Pro 的一个版本。如果您的 WIM 映像包含多个版本的 Windows，则必须指定所需版本的索引，或者必须依次对每个版本执行更新集成。

DISM：将 MSU 和 CAB 更新添加到 Windows WIM 映像

现在，您可以开始将指定源目录中合适的 MSU 更新集成到脱机 Windows 映像中。

dism /image:C:\updates\mnt /add-package /packagepath:C:\updates\msu

如果 DISM 检测到错误的更新（与操作系统版本、位数不匹配，或者更新是否已安装。），它将跳过它并将信息写入

C:\Windows\Logs\DISM\dism.log

。

如果您不想从 Microsoft 更新手动下载 MSU 更新文件，您可以使用具有相同 Windows 版本且已安装最新安全更新的参考计算机作为源，并直接从中获取所有必要的更新文件。 Windows 将从 Windows 更新服务器或 WSUS 服务器接收到的所有补丁（CAB 文件）保存到

C:\Windows\SoftwareDistribution\Download

目录。

以下命令开始将已下载并安装在远程计算机（称为 PC1234）上的更新文件集成到 install.wim 映像中：

Start /w for /R \PC1234\C$\Windows\SoftwareDistribution\Download\ %f in (*.cab) do dism /image:C:\updates\mnt /add-package /packagepath:"%f"

了解如何从 CAB 和 MSU 文件手动安装 Windows 更新。

在此示例中，我们将通过 C$管理共享访问远程计算机上的更新目录。将出现一个窗口，允许您跟踪脱机 Windows 映像的更新安装过程。 DISM 将尝试将其在远程计算机上找到的每个 CAB 文件添加到 Windows WIM 映像中。

您可以通过删除未使用的更新文件来减小 WIM 映像的大小（请阅读文章 Windows 中的 WinSxS 文件夹清理）。运行命令：

dism /image:C:\updates\mnt /Cleanup-Image /StartComponentCleanup /ResetBase /ScratchDir:C:\Temp

最后一步是保存更改并卸载 Windows WIM 映像。

dism /unmount-wim /mountdir:C:\updates\mnt /commit
dism /Cleanup-Wim

安装更新后，您可以验证更新是否已成功集成到 Windows 映像中。列出今天在已安装的 Windows WIM 映像上安装的更新

DISM /Image:C:\updates\mnt /Get-Packages /format:table | select-string "4/20/2023"

您还可以在脱机 WIM 映像中查看已安装更新的列表：

Dism /image:C:\Updates\WinImage\win11pro.wim /Get-Packages

如果生成的 install.wim 文件大于 4GB，您将无法使用它在基于 UEFI 的计算机上安装 Windows。事实上，要在 UEFI 设备上安装 Windows，您应该将安装介质格式化为 FAT32。 FAT32 文件系统不支持大于 4GB 的文件（How to Create UEFI Bootable USB Flash Drive to Install Windows?）。

在这种情况下，您必须将原始 install.wim 拆分为较小的 SWM 文件：

dism /split-Image /imagefile:C:\Update\Winmage\install.wim /swmfile:C:\Update\WinImage\install.swm /filesize:4096

剩下的就是将生成的 install.wim 映像（或 SWM 文件）复制到介质上的源目录或虚拟机，或使用 oscdimg/UltraISO/Dism++ 等工具重建安装 ISO 映像。

用于从本地文件夹创建具有 UEFI 和 BIOS 支持的 Windows 安装 ISO 映像的示例命令（oscdimg.exe 是 Windows ADK、评估和开发工具包的一部分）：

oscdimg.exe -h -m -o -u2 -udfver102 -bootdata:2#p0,e,bc:\win11\iso\boot\etfsboot.com#pEF,e,bc:\win11\iso\efi\microsoft\boot\efisys.bin -lWin10 c:\iso c:\win11.iso

DISM 还可用于将驱动程序添加到 Windows 安装映像。例如，您可以将 PCI Express (NVMe) 或 USB 3.0 控制器驱动程序注入 Windows 安装介质中。