7 Minuty
Microsoft uvolnil mimořádnou aktualizaci out-of-band (OOB) pro Windows 11 a Windows Server poté, co uživatelé zjistili, že USB klávesnice a myši přestaly fungovat v prostředí Windows Recovery Environment (WinRE). Rychlá oprava cílí na stroje s Windows 11 24H2 a 25H2 a také na Windows Server 2025 a její nasazení je kritické pro obnovení funkčnosti při zotavení systému.
Rychlá reakce na zásadní chybu ve WinRE
Dne 14. října 2025 způsobil komponent související s WinRE, který byl součástí pravidelné sady oprav Patch Tuesday od Microsoftu, nečekaný vedlejší efekt: USB vstupní zařízení přestala v prostředí zotavení reagovat. Uživatelé tak mohli systém nabootovat do WinRE, ale nemohli již procházet nabídky pro obnovu, protože klávesnice a myši byly nepoužitelné — přitom se stejná zařízení chovala zcela normálně v běžném prostředí Windows.
Aby problém odstranil co nejrychleji, vydal Microsoft aktualizaci KB5070762, což je Safe OS dynamický out-of-band update (někdy označovaný jako Dynamic Update balíček). Tento balíček navazuje na první nouzové vydání KB5070773, které přímo řešilo iniciální problém s USB vstupem. Microsoft popisuje KB5070762 jako aktualizaci, která zlepšuje chování Windows Recovery Environment na Windows 11 (24H2 a 25H2) a Windows Server 2025.
Incident rychle upozornil na význam WinRE jako záchranného nástroje při řešení problémů, obnově po selhání nebo při reinstalaci systému. Z blokující chyby, která bránila základním operacím obnovy, se následkem koordinované reakce stala opravitelná závada, avšak událost zdůraznila potřebu rychlého nasazení oprav a jasných postupů pro správce IT.
Co přesně dělá Safe OS Dynamic Update
Dynamic Update balíčky jsou navrženy tak, aby se aplikovaly do existujících obrazů Windows před jejich nasazením nebo během instalačního procesu. Obsahují opravy pro binární soubory Setup.exe, komponenty SafeOS používané WinRE a další vylepšení týkající se průběhu instalace a obnovy. Díky tomu mohou Dynamic Update balíčky napravit problémy, které by jinak vyžadovaly kompletní repackaging obrazu nebo ruční zásah.
Mezi typické oblasti zásahu patří:
- opravy ovladačů a služeb potřebných pro WinRE a SafeOS,
- úpravy binárek Setup.exe, které ovlivňují průběh spuštění obnovy,
- zachování jazykových balíčků (LP) a funkcí na vyžádání (FOD) během aktualizací nebo upgrade procesu.
Prakticky to znamená, že správci image a týmy zodpovědné za nasazení mohou dopředu nasadit KB5070762 do referenčních obrazů (WIM / VHD) pomocí nástrojů jako DISM nebo integračních postupů během vytváření instalačních médií. Update tak zajistí, že WinRE komponenty, které se spouštějí mimo hlavní operační systém, obsahují opravy dříve, než zařízení opustí výrobní linku nebo než jsou distribuovány do uživatelské základny.
Technické aspekty a příklady nasazení
Dynamic Update balíčky často ovlivňují SafeOS — odlehčené prostředí, které je spouštěno mimo plnohodnotný systém Windows právě pro účely obnovy a reinstalace. SafeOS má vlastní sadu driverů a modulů a není automaticky identické s jádrem a instalovanými ovladači hlavního systému. Pokud se v SafeOS zavede bug nebo pokud chybí kompatibilní USB ovladače, může to vést k tomu, že periferie fungují v běžném Windows, ale nikoli v režimu obnovy.
V praxi Dynamic Update může přidat nebo upravit komponenty SafeOS, aktualizovat INF soubory, nebo vyměnit části Setupu, které rozhodují o tom, které ovladače se mají nahrát při spuštění WinRE. To zlepšuje konzistenci chování mezi běžným OS a prostředím obnovy a snižuje riziko, že bude systém neobnovitelný kvůli chybě vstupních zařízení.
Proč je to důležité
Představte si situaci, kdy potřebujete obnovit systém po selhání, ale nemůžete procházet nabídky obnova, protože USB klávesnice je nefunkční. To je přesně scénář, kterému chtěl Microsoft předejít tímto nouzovým vydáním. Oprava SafeOS a WinRE opět obnovila standardní podporu USB v prostředí pro obnovení, takže správci i koncoví uživatelé mohou spolehlivě provádět diagnostiku a opravy.
Pro IT oddělení znamená obnovení funkčnosti WinRE méně zdlouhavých intervencí na místě, nižší počet servisních zásahů a menší riziko, že se z kritické chyby stane vážná provozní událost. Pro individuální uživatele to opět znamená, že běžné zotavení ze selhání disku, obnovení přehrání systému nebo instalace systému z média budou proveditelné i bez speciálních nástrojů či dočasného připojení alternativních vstupních zařízení.
Jak získat aktualizaci
Microsoft uvádí, že aktualizace by se měla na postižených systémech stáhnout a nainstalovat automaticky prostřednictvím Windows Update. Avšak v závislosti na nastavení politik Windows Update, zásadách Windows Update for Business, nebo konfiguracích WSUS/SCCM se může distribuce lišit — zejména ve velkých podnicích, kde je centralizovaná kontrola nad nasazováním aktualizací.
- Zkontrolujte Windows Update pro automatické doručení.
- Nebo vyhledejte 'KB5070762' na webu Microsoft Update Catalog pro ruční stažení.
- Aplikujte Dynamic Update balíčky do image před nasazením, pokud spravujete provisioning nebo imaging OS.
Pro ruční nasazení vyhledejte na Microsoft Update Catalog konkrétní balíček přizpůsobený pro vaši verzi Windows 11 (24H2 nebo 25H2) nebo pro Windows Server 2025. Stáhněte správnou architekturu (x64 / ARM64) a proveďte instalaci podle interních postupů organizace. Pokud používáte nástroje jako DISM k offline servisování WIM obrazů, integrujte Dynamic Update do referenčního obrazu před jeho distribucí.
Nasazení v podnikových prostředích
Pro enterprise IT týmy je doporučený postup následující:
- Otestujte aktualizaci v testovacím prostředí nebo na vzorových zařízeních, abyste ověřili kompatibilitu s interními ovladači a FOD/LP konfiguracemi.
- Integrujte KB5070762 do referenčních WIM/VHD obrazů a vytvořte nové instalační médium či provisioning paket.
- Distribuujte aktualizované obrazy prostřednictvím SCCM, Intune nebo jiných distribučních mechanismů podle existujících procesů nasazení.
Takový přístup zajišťuje, že chování WinRE je opravené i na nově imageovaných zařízeních a minimalizuje riziko, že se problém znovu zobrazí při obnově nebo reinstalaci systému. Administrátoři by kromě toho měli sledovat logy aktualizací, stav nasazení přes reporting nástrojů (SCCM/Intune) a vyhodnocovat telemetrii, pokud ji organizace sbírá.
Ověření a testování
Po instalaci aktualizace ověřte funkčnost WinRE a USB vstupu provedením základních testů: restartujte zařízení do prostředí obnovení (WinRE), vyzkoušejte navigaci pomocí připojené USB klávesnice a myši, otevřete možnost obnovení systému, diagnostiky a příp. příkazový řádek přes WinRE. Pokud problémy přetrvávají, ověřte verzi KB v seznamu nainstalovaných aktualizací a zkontrolujte systémové logy (Event Viewer) pro chybové hlášky týkající se WinRE nebo SafeOS komponent.
V případě řízených distribucí přes WSUS/SCCM pamatujte, že aktualizace může vyžadovat restart a její nasazení může být řízeno fázovaně. Doporučuje se plánovat nasazení v oknech údržby a informovat koncové uživatele o nutnosti restartu v důsledku bezpečnostních aktualizací či opravných balíčků.
Microsoftova rychlá OOB reakce zdůraznila, jak kritická je stabilita WinRE pro diagnostiku a zotavení ze selhání. Pokud jste zaznamenali výpadky USB vstupu v WinRE po říjnové aktualizaci, nainstalujte KB5070762 co nejdříve — buď automaticky přes Windows Update, nebo ručně přes Microsoft Update Catalog.
Dodatečné doporučení: zachovejte dokumentaci o verzích a nasazených opravách, pravidelně testujte obnovovací postupy a zahrňte validaci WinRE do rutinních kontrol bezpečnosti a provozní připravenosti. Taková praxe snižuje riziko výpadků služeb a urychlí obnovu v krizových situacích.
Zdroj: neowin
Zanechte komentář