Özet
Microsoft, Ocak 2024 aylık kümülatif güncellemesi olarak KB5034439 (Windows Server 2022) ve KB5034441 (Windows 10 22H2) yayınladı. Bu güncelleme BitLocker ve WinRE (Windows Recovery Environment) için önemli bir güvenlik yaması içeriyordu (CVE-2024-20666). Ancak yükleme hatasıyla (0x80070643) başarısız oluyor — sebebi yeterli boş alan olmayan Recovery Partition.
Etkilenme durumu: 2026 Nisan itibarıyla hâlâ binlerce kurumsal cihazda manuel müdahale gerektiriyor. Microsoft otomatik fix yayınlamadı, yönetici komutlarıyla çözülüyor.
Semptomlar
Windows Update geçmişinde:
Security Update for Windows Server 2022 (KB5034439)
Status: Failed to install on 2/1/2026 — 0x80070643Ya da event log:
Event ID 20
Installation Failure: Windows failed to install the following update
with error 0x80070643: Security Update for Windows (KB5034439).WSUS sunucusunda onaylanan ama 50-200 cihazda “failed” durumunda kalan güncelleme — toplu raporlarda açıkça görülür.
Kök Sebep
Güncellemenin gerektirdiği minimum 250 MB boş alan recovery partition’ında yok. Eski cihazlarda (2019-2022’den önce kurulum) Recovery Partition 500-550 MB arasında, ve hemen hemen tamamı dolu.
KB5034439 yeni WinRE image’ını bu partition’a yazmaya çalışıyor, yer olmadığı için geri dönüyor.
Geçici Çözüm (Manuel — Microsoft Onaylı)
Adım 1: Recovery Partition boyutunu kontrol
reagentc /infoÇıktı örneği:
Windows RE location: \\?\GLOBALROOT\device\harddisk0\partition4\Recovery\WindowsRE
Boot Configuration Data (BCD) identifier: {xxx}
Recovery image location:
Recovery image index: 0Bulunan partition index’i not et (yukarıda partition4).
Adım 2: WinRE’yi devre dışı bırak
reagentc /disableAdım 3: Diskpart ile partition boyutunu büyüt
diskpartlist disk
select disk 0
list partition
select partition 3 # Recovery'den ÖNCEKİ partition (genelde C:)
shrink desired=250 minimum=250
select partition 4 # Recovery partition
extend⚠️ Uyarı: Bu işlem sürücü değişikliği yapar. Önce tam yedek alınmalı.
Adım 4: WinRE’yi tekrar aktif et
reagentc /enable
reagentc /infoAdım 5: KB5034439’u tekrar yükle
Windows Update’te “Retry” veya Microsoft Update Catalog’dan manuel indirip kurun.
Kurumsal Ortamda Toplu Çözüm
50+ cihazlı ortamda manuel imkansız. Microsoft’un yayımladığı PowerShell script’ini GPO ile uygulamak mümkün:
- Microsoft script: KB5034957 WinRE update script
- SCCM / Intune compliance policy ile prepopulate edilebilir
Bizim önerimiz:
- Cihaz envanteri çıkar (hangi Recovery Partition kaç MB)
- Etkilenen cihazlara uzak script gönderimi (PSRemoting veya RMM)
- Non-business hours’ta otomatik shrink + extend + KB yükleme
Risk ve Dikkat Noktaları
-
BitLocker aktifse recovery partition genişletme öncesi BitLocker suspend edilmeli:
manage-bde -protectors -disable C:İşlem sonrası resume:
manage-bde -protectors -enable C: -
Partition düzenleme başarısız olursa boot problem çıkabilir. WinRE ISO hazır bulundurun.
-
Virtual machine’lerde Hyper-V veya VMware snapshot önerilir (geri dönüş için).
Etki Seviyesi
- Acil mi? Hayır — güvenlik yaması önemli ama CVE-2024-20666 local attack vector, remote exploit yok.
- Ne zamana kadar uygulanmalı? 6 ay içinde hedefleniyorsa makul. Compliance (ISO 27001, SOC 2) denetimlerinde “outstanding security patches” soruluyor.
- Atlanabilir mi? Uzun vadeli önerilmez — WinRE işlev dışı olduğu için recovery/restore senaryolarında sorun çıkarır.
İlgili Kaynaklar
- Microsoft KB5034957 — Updating WinRE partition size
- CVE-2024-20666 — BitLocker Security Feature Bypass
- Windows Server 2022 Update History
Bizim Ekipten Not
Bu sorun 2024 başından beri kurumsal ortamlarda yaşanıyor ve Microsoft otomatik düzeltme yayınlamadı. Benzer büyüklükte bir kurumda (150 kullanıcı) toplu çözüm yaklaşık 2-3 gün ekip çalışması gerektirdi: envanter, planlama, staged rollout, doğrulama.
Sonraki KB5036892 (Haziran 2024) aynı Recovery Partition’a yazmıyor ama WinRE güncellemesi geleceği için bu gap kapatılmalı.
WSUS/Intune ortamınızda KB5034439 failure cihazları mı var? Kurumsal patch management hizmetimizle bu tür toplu remediation sorunlarını sizin için yönetiyoruz. Teknik görüşme talep edin.