2024 年 8 月 13 日 — KB5041160 (OS 内部版本 20348.2655)

有关 Windows 更新术语的信息，请参阅有关 Windows 更新类型和每月质量更新类型的文章。有关 Windows Server 2022 的概述，请参阅其更新历史记录页。

备注请关注 @WindowsUpdate 以查看新内容将何时发布到 Windows 发布运行状况仪表板。

改进

此安全更新程序包括质量改进。下面是此更新在安装此知识库时解决的关键问题的摘要。如果有新功能，也会列出这些功能。括号中的粗体文本表示我们记录的更改的项目或区域。

[远程桌面会话主机 (RDSH) ] 用户无法连接到 RDSH，主机会丢失数据。这是因为 win32kbase.sys 停止响应。
[Windows Defender 应用程序控制 (WDAC) ] 内存泄漏可能会随着时间的流逝而耗尽系统内存。预配设备时会出现此问题。
[受保护的进程光 (PPL) 保护] 可以绕过它们。
[Windows 内核易受攻击的驱动程序阻止列表文件 (DriverSiPolicy.p7b) ] 此更新将添加到面临“自带易受攻击驱动程序” (BYOVD) 攻击风险的驱动程序列表中。
[Microsoft 365 Defender (已知问题] 网络检测和响应 (NDR) 服务可能会遇到问题。这会中断网络数据报告。如果此问题影响你，则Microsoft 365 管理中心的服务运行状况页上会显示一条消息。还可以在服务运行状况页上查看 NDR 的状态。
[BitLocker (已知问题) ] 启动设备时会显示 BitLocker 恢复屏幕。安装 2024 年 7 月 9 日更新后，会发生这种情况。如果启用设备加密，则更有可能发生此问题。转到 “设置” > “隐私”&“安全 ”> “设备加密”。若要解锁驱动器，Windows 可能会要求你输入Microsoft帐户中的恢复密钥。
[锁屏界面] 此更新解决了 CVE-2024-38143。因此，锁屏界面上“使用我的 Windows 用户帐户”复选框无法连接到 Wi-Fi。
[NetJoinLegacyAccountReuse] 此更新会删除此注册表项。有关详细信息，请参阅 KB5020276 - Netjoin：域加入强化更改。
[安全启动高级目标 (SBAT) 和 Linux 可扩展固件接口 (EFI) ] 此更新将 SBAT 应用于运行 Windows 的系统。这会阻止易受攻击的 Linux EFI (Shim 引导加载程序) 运行。此 SBAT 更新不适用于双启动 Windows 和 Linux 的系统。应用 SBAT 更新后，较旧的 Linux ISO 映像可能无法启动。如果发生这种情况，请与 Linux 供应商合作以获取更新的 ISO 映像。
[域名系统 (DNS) ] 此更新强化了 DNS 服务器安全性，以解决 CVE-2024-37968。如果域的配置不是最新的，你可能会收到 SERVFAIL 错误或超时。
[行打印机守护程序 (LPD) 协议] 使用此已弃用的协议进行打印可能无法按预期工作或失败。安装 2024 年 7 月 9 日及更高版本的更新后，会出现此问题。

备注当它不再可用时，使用它的客户端（如 UNIX）将不会连接到服务器进行打印。 UNIX 客户端应使用 Internet 打印协议 (IPP) 。 Windows 客户端可以使用 Windows 标准端口监视器连接到共享 UNIX 打印机。

如果已安装较早的更新，那么此程序包中只有新的更新程序会下载并安装到设备上。

有关安全漏洞的详细信息，请参阅安全更新指南和 2024 年 8 月安全汇报。

Windows Server 2022 服务堆栈更新 (KB5041590) - 20348.2641

此更新对服务堆栈进行了质量改进，服务堆栈是安装 Windows 更新的组件。服务堆栈更新 (SSU) 可确保你拥有强大且可靠的服务堆栈，让你的设备可以接收和安装 Microsoft 更新。

此更新中的已知问题

症状	解决方法
安装此更新后，可能无法更改用户帐户个人资料图片。尝试通过选择按钮“开始”>“设置”>“帐户”>“你的信息”来更改个人资料图片时，如果在“创建图片”下单击“浏览一个”，可能会收到错误消息，错误代码为 0x80070520。	在进一步调查后，我们得出结论，此问题对此 Windows 版本的影响非常有限或没有影响。如果在设备上遇到此问题，请联系 Windows 支持以获取帮助。
安装 2024 年 7 月 9 日或之后发布的 Windows 更新后，Windows Server 可能会影响整个组织的远程桌面连接。如果在远程桌面网关中使用旧协议（基于 HTTP 进行远程过程调用），则可能会出现此问题。由此导致，远程桌面连接可能会中断。此问题可能会间歇性发生，例如每隔 30 分钟重复一次。在此间隔内，登录会话将丢失，用户将需要重新连接到服务器。 IT 管理员可以将其作为 TSGateway 服务的终止进行跟踪，该服务会无响应，并显示异常代码 0xc0000005。	此问题已在 KB5044281 中得到解决。
安装此安全更新后，如果在设备中为 Windows 和 Linux 启用了双启动安装程序，则启动 Linux 可能会遇到问题。由于此问题，设备可能无法启动 Linux 并显示错误消息“验证填充码 SBAT 数据失败：安全策略冲突”。出现严重错误：SBAT 自检查失败：违反安全策略。” 2024 年 8 月 Windows 安全更新将安全启动高级目标 (SBAT) 设置应用于运行 Windows 以阻止旧的易受攻击的启动管理器的设备。此 SBAT 更新不会应用于检测到双重启动的设备。在某些设备上，双启动检测未检测到某些自定义的双启动方法，并在不应应用 SBAT 值时应用了它。	2024 年 9 月 Windows 安全更新 (KB5042881) 及更高版本的更新不包含导致此问题的设置。在仅限 Windows 的系统上，安装 2024 年 9 月或更高版本的更新后，可以设置 CVE-2022-2601 和 CVE-2023-40547 中记录的注册表项，以确保应用 SBAT 安全更新。在双启动 Linux 和 Windows 的系统上，安装 2024 年 9 月或更高版本的更新后，无需执行其他步骤。
安装此更新后，Kubernetes 上的容器网络可能无法按预期运行，从而阻止容器访问外部网络或在 Pod 之间通信。这可能会影响用户使用 Server 2022 上的 Calico 在开发实例或生产实例上设置容器网络。受影响的容器将不会连接到 Internet，并且在主机设备的防火墙中将阻止流量。从容器中 ping 外部地址（例如“microsoft.com”）时，用户可能会观察到“常规失败”等错误。使用具有 Windows 家庭版和专业版的设备的人员不太可能受到影响，因为此问题主要影响使用容器网络的服务器和企业环境。	此问题已在 KB5044281 中得到解决。

症状

解决方法

安装此更新后，可能无法更改用户帐户个人资料图片。

尝试通过选择按钮“开始”>“设置”>“帐户”>“你的信息”来更改个人资料图片时，如果在“创建图片”下单击“浏览一个”，可能会收到错误消息，错误代码为 0x80070520。

在进一步调查后，我们得出结论，此问题对此 Windows 版本的影响非常有限或没有影响。

如果在设备上遇到此问题，请联系 Windows 支持以获取帮助。

安装 2024 年 7 月 9 日或之后发布的 Windows 更新后，Windows Server 可能会影响整个组织的远程桌面连接。如果在远程桌面网关中使用旧协议（基于 HTTP 进行远程过程调用），则可能会出现此问题。由此导致，远程桌面连接可能会中断。

此问题可能会间歇性发生，例如每隔 30 分钟重复一次。在此间隔内，登录会话将丢失，用户将需要重新连接到服务器。 IT 管理员可以将其作为 TSGateway 服务的终止进行跟踪，该服务会无响应，并显示异常代码 0xc0000005。

此问题已在 KB5044281 中得到解决。

安装此安全更新后，如果在设备中为 Windows 和 Linux 启用了双启动安装程序，则启动 Linux 可能会遇到问题。由于此问题，设备可能无法启动 Linux 并显示错误消息“验证填充码 SBAT 数据失败：安全策略冲突”。出现严重错误：SBAT 自检查失败：违反安全策略。”

2024 年 8 月 Windows 安全更新将安全启动高级目标 (SBAT) 设置应用于运行 Windows 以阻止旧的易受攻击的启动管理器的设备。此 SBAT 更新不会应用于检测到双重启动的设备。在某些设备上，双启动检测未检测到某些自定义的双启动方法，并在不应应用 SBAT 值时应用了它。

2024 年 9 月 Windows 安全更新 (KB5042881) 及更高版本的更新不包含导致此问题的设置。

在仅限 Windows 的系统上，安装 2024 年 9 月或更高版本的更新后，可以设置 CVE-2022-2601 和 CVE-2023-40547 中记录的注册表项，以确保应用 SBAT 安全更新。

在双启动 Linux 和 Windows 的系统上，安装 2024 年 9 月或更高版本的更新后，无需执行其他步骤。

安装此更新后，Kubernetes 上的容器网络可能无法按预期运行，从而阻止容器访问外部网络或在 Pod 之间通信。这可能会影响用户使用 Server 2022 上的 Calico 在开发实例或生产实例上设置容器网络。受影响的容器将不会连接到 Internet，并且在主机设备的防火墙中将阻止流量。

从容器中 ping 外部地址（例如“microsoft.com”）时，用户可能会观察到“常规失败”等错误。

使用具有 Windows 家庭版和专业版的设备的人员不太可能受到影响，因为此问题主要影响使用容器网络的服务器和企业环境。

此问题已在 KB5044281 中得到解决。

如何获取此更新

安装此更新之前

Microsoft 现在将操作系统的最新服务堆栈更新 (SSU) 与最新的累积更新 (LCU) 组合在一起。有关 SSU 的一般信息，请参阅服务堆栈更新和服务堆栈更新 (SSU)：常见问题解答。

脱机 OS 映像服务的先决条件：

请确保映像包含 KB5030216 (2023/09/12) 或更高版本的 LCU。如果没有，请在安装最新更新之前将其安装在脱机媒体上。此 LCU 将 SSU 版本更新为 20348.1960。这是防止错误0x800f0823 (CBS_E_NEW_SERVICING_STACK_REQUIRED) 必须具有的最低 SSU 版本。

安装此更新

若要安装此更新，请使用以下 Windows 和 Microsoft 发布通道之一。

Windows 更新商业版目录 Server Update Services

可用	下一步
是	无。此更新将从 Windows 更新自动下载并安装，Microsoft更新。

可用	下一步
是	无。将根据配置的策略，从 Windows 更新 for Business 自动下载并安装此更新。

可用	下一步
是	若要获取此更新的独立包，请转到Microsoft更新目录网站。

可用

下一步

是

如果按如下所示配置产品和分类，此更新将自动与 Windows Server Update Services (WSUS) 同步：

产品：Microsoft 服务器操作系统 21H2

分类：安全更新

如果要删除 LCU

若要在安装组合的 SSU 和 LCU 包后删除 LCU，请使用 DISM/Remove-Package 命令行选项，并将 LCU 包名称用作参数。可以使用以下命令查找包名称：DISM /online /get-packages。

在组合包上使用 /uninstall 开关运行 Windows 更新独立安装程序 (wusa.exe) 将不起作用，因为组合包包含 SSU。安装后，无法从系统中删除 SSU。

文件信息

有关此更新中提供的文件列表，请下载累积更新5041160的文件信息。

有关服务堆栈更新中提供的文件列表，请下载 SSU (KB5041590) - 版本 20348.2641 的文件信息。

2024 年 8 月 13 日 — KB5041160 (OS 内部版本 20348.2655)

改进

Windows Server 2022 服务堆栈更新 (KB5041590) - 20348.2641

此更新中的已知问题

如何获取此更新

需要更多帮助?

需要更多选项?

此信息是否有帮助?

谢谢您的反馈！