Malgré une stratégie de mises à jour automatiques apparemment désactivée, de nombreux administrateurs ont découvert la présence de la pile de maintenance KB5039334 sur leurs serveurs Windows Server 2016. Cet article explique pourquoi cette installation « forcée » est normale, comment la comprendre, la contrôler et en tirer parti pour sécuriser vos environnements.
Vous pensiez vos serveurs 2016 à l’abri des mises à jour ? La SSU KB5039334 s’est tout de même invitée ! Comprenez son rôle, les mécanismes qui la poussent, et adoptez de véritables bonnes pratiques plutôt que de tenter de la bloquer.
Contexte et symptômes observés
- Entrée KB5039334 visible dans Programmes et fonctionnalités > Mises à jour installées.
- Aucun redémarrage planifié, mais état « Installé » dans l’historique Windows Update.
- Paramètre GPO
Configure Automatic Updates = Disableddéjà appliqué. - Serveur connecté à un serveur WSUS interne ou géré par SCCM.
Pourquoi KB5039334 peut-elle s’installer ?
Les Servicing Stack Updates (SSU) entretiennent le cœur même du moteur Windows Update ; elles sont donc traitées de façon prioritaire et indépendante des préférences d’automatisation de l’administrateur.
| Raison | Mécanisme interne | Effet constaté |
|---|---|---|
| Classification « Critical Updates » | Windows juge l’ancienne pile (KB5037016) insuffisante pour appliquer de futures LCU et propage la nouvelle SSU. | L’approbation « Critical Updates » dans WSUS suffit pour déclencher le téléchargement. |
| Recherche manuelle ou « dual scan » | Une interrogation manuelle (wuauserv) ou un mode hybride WSUS + WUfB force l’agent local à vérifier le catalogue Microsoft. | L’installation se produit même si Schedule Install Day est désactivé. |
| Protection de la fiabilité | Microsoft marque la SSU « Permanent » afin d’éviter tout blocage futur. | L’entrée n’apparaît pas dans la liste des correctifs désinstallables. |
Comparatif des builds avant/après
| État | Version de pile | Numéro de build client |
|---|---|---|
| Avant (KB5037016) | 10.0.14393.6452 | 14393.7267 |
| Après (KB5039334) | 10.0.14393.6610 | 14393.7414 |
Impact opérationnel
Une SSU est généralement non bloquante : elle ne réclame pas de redémarrage immédiat et n’entraîne pas de modification fonctionnelle visible. Son absence, en revanche, peut empêcher l’application future des Latest Cumulative Updates (LCU) de sécurité.
Mesures de contrôle et bonnes pratiques
1. Vérifier les stratégies GPO
- Configure Automatic Updates = Disabled n’interdit pas l’installation d’une SSU.
- Appliquez aussi Do not connect to any Windows Update Internet locations = Enabled si vous dépendez exclusivement d’un WSUS interne.
- Sur les serveurs isolés, désactivez Dual Scan en positionnant
WUServeretWUStatusServerau même FQDN et en activant DisableDualScan.
2. Analyser les journaux
Les événements suivants confirment l’origine et la chronologie :
| Journal & ID | Description pertinente |
|---|---|
| Microsoft‑Windows‑WindowsUpdateClient/Operational – ID 2 | Le service d’update détecte la présence de KB5039334 « Install Started ». |
| ID 19 | Téléchargement terminé. |
| ID 21 | Installation réussie (statut 0x0). |
Get-WinEvent -LogName Microsoft-Windows-WindowsUpdateClient/Operational |
? { $_.Id -in 2,19,21 } |
Select TimeCreated,Id,Message |
Sort TimeCreated -Descending3. Gérer les SSU via WSUS/SCCM
- Laissez la classification Critical visible, mais exigez une validation manuelle avant approbation.
- Mettez en place un anneau pilote de 10 % de serveurs représentatifs.
- Employez les Phased Deployments de SCCM pour escalader vers la production après 48 h sans échec.
- N’utilisez pas
Declinesystématique : une SSU refusée par WSUS rompt la chaîne d’installation des LCU mensuelles.
4. Documenter et planifier
Intégrez une vérification SSU dans votre fenêtre de maintenance mensuelle :
- Surveillez les publications de Microsoft le deuxième mardi du mois (Patch Tuesday).
- Testez en laboratoire dès le lendemain.
- Déployez sur l’anneau pilote puis, sous 7 jours, sur l’ensemble.
Procédure de désinstallation : peut‑on retirer KB5039334 ?
KB5039334 est marquée Permanente ; la commande wusa /uninstall /kb:5039334 retournera L’élément n’est pas applicable. La seule solution de rollback consiste à restaurer une image ou snapshot précédant l’installation, ce qui n’est généralement pas justifié.
Script d’inventaire rapide
$servers = Get-Content .\ListeServeurs.txt
Invoke-Command -ComputerName $servers -ScriptBlock {
Get-HotFix -Id KB5039334 -ErrorAction SilentlyContinue |
Select @{n='Serveur';e={$env:COMPUTERNAME}}, HotFixID, InstalledOn
} | Format-Table -AutoSizeQuestions / Réponses fréquentes
| Question | Réponse synthétique |
|---|---|
| KB5039334 impose‑t‑elle un reboot ? | Non, sauf si une autre mise à jour l’exige dans le même cycle. |
| Puis‑je différer l’installation sans la bloquer ? | Oui : approuvez manuellement dans WSUS et planifiez la fenêtre « Install + Reboot ». |
| Impacte‑t‑elle IIS, AD, SQL Server ? | Aucun composant applicatif n’est touché ; seuls les services Windows Update et CBS (Component Based Servicing) sont modifiés. |
| Les serveurs offline sont‑ils concernés ? | Non, sauf si vous importez manuellement le package ou un ISO cumulatif récent qui l’inclut. |
| SSU cumulée ou individuelle ? | Depuis 2020 les SSU sont incluses dans la LCU pour Windows 10/11, mais pas pour Server 2016 : elles restent séparées. |
Bonnes pratiques récapitulatives
- Acceptez l’installation des SSU ; elles garantissent la fiabilité du pipeline de correctifs.
- Appliquez une gouvernance WSUS / SCCM claire : validation pilote, approbation contrôlée, suivi de conformité.
- Surveillez les Event Logs et automatisez l’inventaire avec PowerShell.
- Documentez chaque déploiement : date, version, impact observé.
- Évitez de decline sans motif : cela complique lourdement la maintenance future.
Conclusion
La présence de KB5039334 sur vos hôtes Windows Server 2016 n’est ni une erreur ni une intrusion : elle reflète la volonté de Microsoft de maintenir à jour la pile de maintenance essentielle au cycle de vie du système. Plutôt que de chercher à bloquer ces mises à jour critiques, adoptez une démarche de gestion maîtrisée : validation pilote, calendrier prévisible et communication interne. Vous garantirez ainsi la sécurité, la stabilité et la conformité de vos infrastructures, tout en éliminant les surprises de dernière minute.