Wprowadzenie do problemu / definicja luki
Microsoft potwierdził, iż listopadowa aktualizacja bezpieczeństwa Windows 10 w ramach ESU — KB5068781 — może nie instalować się na części urządzeń firmowych, kończąc się błędem 0x800f0922 (CBS_E_INSTALLERS_FAILED). Problem ma dotyczyć komputerów aktywowanych poprzez Windows Subscription Activation (WSA) zarządzane z Microsoft 365 Admin Center. Na dziś producent bada sprawę i nie opublikował obejścia (workaroundu).
W skrócie
- Kogo dotyczy? Wybrane urządzenia z Windows 10 22H2 objęte Extended Security Updates (ESU) i aktywowane subskrypcyjnie (WSA) z Microsoft 365 Admin Center. Instalacja KB5068781 może się wycofywać z kodem 0x800f0922.
- Status producenta: Problem potwierdzony, w trakcie dochodzenia, brak obejścia.
- Kiedy wydano KB5068781? 11 listopada 2025 r., jako pierwszą aktualizację ESU dla Windows 10.
- Powiązane zmiany: Równolegle Microsoft wypuścił KB5071959 (out-of-band) naprawiający proces rejestracji do ESU (inną usterkę, sprzed wydania KB5068781). To nie jest naprawa błędu 0x800f0922, ale warto o niej wiedzieć w kontekście enrolmentu do ESU.
Kontekst / historia / powiązania
Windows 10 zakończył standardowe wsparcie 14 października 2025 r., a Microsoft uruchomił program ESU (w tym wariant bezpłatny na rok w określonych regionach/ścieżkach) zapewniający jeszcze poprawki bezpieczeństwa. Pierwszym pakietem w tym cyklu dla Windows 10 22H2 jest KB5068781. Chwilę wcześniej Microsoft publikował KB5071959 — aktualizację poza harmonogramem, która naprawia problemy z samą rejestracją/enrolmentem do ESU (m.in. błędy kreatora zapisu). To inny wątek niż bieżący błąd 0x800f0922 przy instalacji KB5068781.
Analiza techniczna / szczegóły usterki
Symptom: instalator KB5068781 przebiega, po restarcie następuje rollback i w Windows Update widzimy 0x800f0922. W dziennikach CBS.log błąd mapuje się do CBS_E_INSTALLERS_FAILED.
Zakres: Microsoft wskazuje, iż przypadłość jest izolowana do urządzeń aktywowanych przez Windows Subscription Activation (WSA) z poziomu Microsoft 365 Admin Center. WSA to mechanizm “step-up” licencjonowania (np. z Pro do Enterprise) oparty o przypisanie subskrypcji w Entra ID/M365, bez klasycznej aktywacji KMS/MAK.
Co to oznacza technicznie?
Aktualizacja LCU (KB5068781) instaluje także sklejony SSU (KB5068780). Błąd 0x800f0922 to kod generowany przez komponent CBS, gdy jedna z faz instalacji/konfiguracji pakietu kończy się niepowodzeniem. W opisywanym case’ie Microsoft zawęża problem do interakcji z mechanizmem subskrypcyjnej aktywacji Windows, a nie do klasycznych przyczyn 0x800f0922 (np. brak miejsca w System Reserved, problemy z .NET czy brak łączności do WU/WSUS). Na dziś producent nie publikuje obejścia, jedynie status “investigating”.
Praktyczne konsekwencje / ryzyko
- Brak łatek bezpieczeństwa z 11.2025 na części floty = zwiększona powierzchnia ataku (ESU zawiera poprawki na świeże CVE). Priorytetem jest kontrola ekspozycji i tymczasowe zabezpieczenia tam, gdzie deployment utknął.
- Ryzyko niespójności zgodności (compliance) — urządzenia niezgodne z polityką patchowania mogą wywołać alerty w audytach.
- Potencjalne opóźnienia w ring-based deployment — konieczność pauzy/holda dla segmentu WSA.
Rekomendacje operacyjne / co zrobić teraz
1) Natychmiastowe działania “higieniczne”
- Zidentyfikuj wpływ – odfiltruj urządzenia z Windows Subscription Activation: # Czy urządzenie jest Enterprise via Subscription Activation? (Get-ComputerInfo).WindowsEditionId slmgr /dlv # W Event Viewer sprawdź aktywację: Applications and Services Logs > Microsoft > Windows > Security-SPP
- Oznacz ring “on hold” dla WSA-aktywnych urządzeń względem KB5068781, utrzymując rollout na maszynach bez WSA (o ile brak incydentów). Polityka WSUS/WUfB: tymczasowy safeguard hold dla danej grupy.
- Wymuś instalację SSU/LCU w poprawnej kolejności (jeśli stosujesz obrazy offline/WSUS Catalog). KB5068781 zawiera SSU (KB5068780), ale przy serwisowaniu obrazów offline zwróć uwagę na wymagania w sekcji “How to get this update”.
2) Walidacja enrolmentu ESU (osobny wątek, ale ważny)
- Upewnij się, iż enrolment ESU jest zakończony sukcesem. jeżeli wcześniej miałeś błąd kreatora zapisu do ESU: zastosuj KB5071959 (OOB) — dotyczy rejestracji, nie naprawia błędu 0x800f0922 przy instalacji KB5068781.
3) Diagnostyka na hostach dotkniętych 0x800f0922 (playbook)
Uwaga: to nie są oficjalne obejścia bieżącej usterki WSA→KB5068781, ale dobra praktyka diagnostyczna przy 0x800f0922 i aktualizacjach LCU.
- Zbierz logi do analizy: # CBS, DISM, WindowsUpdate, Setup md C:\Temp\WUlogs copy C:\Windows\Logs\CBS\CBS.log C:\Temp\WUlogs\ Get-WinEvent -LogName "Setup" -MaxEvents 200 | Export-Csv C:\Temp\WUlogs\Setup.csv -NoTypeInformation Get-WinEvent -LogName "Microsoft-Windows-WindowsUpdateClient/Operational" -MaxEvents 500 | Export-Csv C:\Temp\WUlogs\WUClient.csv -NoTypeInformation
- Weryfikacja łączności do usług MS (proxy/SSL inspection):
- Zezwól na wymagane end-pointy aktualizacji i CRL, szczególnie jeżeli w środowisku jest TLS inspection. (Microsoft podkreśla znaczenie łańcucha certyfikatów/CRL przy SSU/LCU.)
- Reset komponentów Windows Update (bezpieczne): net stop wuauserv net stop bits net stop cryptsvc ren C:\Windows\SoftwareDistribution SoftwareDistribution.bak ren C:\Windows\System32\catroot2 catroot2.bak net start cryptsvc net start bits net start wuauserv
- Sprawdzenie i naprawa komponentów systemowych: DISM /Online /Cleanup-Image /RestoreHealth sfc /scannow
- Test instalacji z Microsoft Update Catalog (poza WUfB/WSUS), tylko na pilotażu: # Przykład: instalacja ręczna pobranego .msu wusa.exe C:\Temp\windows10.0-kb5068781-x64_*.msu /quiet /norestart
4) Tymczasowe polityki zabezpieczające, jeżeli host nie łapie łatki 11/2025
- Zwiększ twardość konfiguracji:
- Wymuś ASR rules, atak-surface reduction (MDfE/Defender for Endpoint).
- Włącz/zaostrz Controlled Folder Access, Smart App Control lub AppLocker/WDAC gdzie to możliwe.
- Zaostrzone blokady makr i WDAC/Applocker w stacjach o podwyższonym ryzyku.
- Segmentacja: ogranicz dostęp z hostów niezałatanych do systemów krytycznych (ZTA/Conditional Access).
- Telemetria i detekcje: dodatkowe alerty na LSA Protection, Credential Guard, WinRM/PowerShell Remoting i anomalia w procesach instalatora.
5) Komunikacja i change management
- Zgłoś wyjątek patchowania z uzasadnieniem (vendor-confirmed issue) i planem aktualizacji zaraz po opublikowaniu poprawki przez MS.
- Ustal monitoring: reguły, które wyłapią pojawienie się “Resolved KB” w karcie aktualizacji KB5068781 / Release Health.
Różnice / porównania z innymi przypadkami (0x800f0922)
Klasyczny 0x800f0922 w historii Windows bywał skutkiem m.in.:
- Za małej partycji System Reserved (brak miejsca na instalację komponentów),
- Problemów z .NET Framework podczas konfiguracji,
- Braku łączności do WU/WSUS lub punktów CRL (proxy/inspection),
- Uszkodzonych zadań Harmonogramu utrudniających konfigurację pakietu.
W bieżącym incydencie Microsoft jednoznacznie wskazuje na urządzenia z WSA (aktywowane subskrypcyjnie z M365 Admin Center). To zawęża troubleshooting i odróżnia przypadek od “typowego” 0x800f0922.
Podsumowanie / najważniejsze wnioski
- KB5068781 (ESU, 11.2025) może nie instalować się na części urządzeń firmowych i zwracać 0x800f0922. Dotyczy aktywacji WSA (M365 Admin Center). Brak obejścia, Microsoft prowadzi analizę.
- Zatrzymaj rollout dla ringów WSA, utrzymaj łatanie pozostałych maszyn, wzmocnij kontrole kompensacyjne i monitoruj kartę KB pod kątem “Resolved KB”.
- Pamiętaj o oddzielnym wątku enrolmentu do ESU — tu pomóc może KB5071959 (OOB), ale nie rozwiązuje omawianego błędu instalacji.
Źródła / bibliografia
- Microsoft Support — KB5068781 (Windows 10 22H2, 11.11.2025) — sekcja Known issues (0x800f0922; WSA/M365 Admin Center; status “investigating”). (Microsoft Support)
- BleepingComputer — potwierdzenie problemu, relacje administratorów, kontekst ESU. (BleepingComputer)
- Microsoft Learn — Windows Subscription Activation (WSA) — definicja i sposób działania aktywacji subskrypcyjnej. (Microsoft Learn)
- Microsoft Support — KB5071959 (Out-of-band) — naprawa problemów enrolmentu ESU (osobny wątek). (Microsoft Support)
