2024 年 8 月 13 日 — KB5041578 (OS 内部版本 17763.6189)
Applies To
Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019发布日期:
2024/8/13
版本:
OS 内部版本 17763.6189
20 Windows 更新类型和每月质量更新类型的文章。 有关Windows 10 版本 1809的概述,请参阅其更新历史记录页。
/11/17 有关 Windows 更新术语的信息,请参阅有关: Windows 更新不会安装Microsoft应用商店应用程序更新。 如果你是企业用户,请参阅 Microsoft 应用商店应用 - Configuration Manager。 如果你是使用者用户,请参阅在 Microsoft Store 中获取应用和游戏的更新。
重要信息
-
此更新解决了 Windows 操作系统的安全问题。
改进
此安全更新包括改进。 下面是此更新在安装此知识库时解决的关键问题的摘要。 如果有新功能,也会列出这些功能。 括号中的粗体文本表示我们记录的更改的项目或区域。
-
[受保护的进程光 (PPL) 保护] 可以绕过它们。
-
[Windows 内核易受攻击的驱动程序阻止列表文件 (DriverSiPolicy.p7b) ] 此更新将添加到面临“自带易受攻击驱动程序” (BYOVD) 攻击风险的驱动程序列表中。
-
[BitLocker (已知问题) ] 启动设备时会显示 BitLocker 恢复 屏幕。 安装 2024 年 7 月 9 日更新后,会发生这种情况。 如果 启用设备加密 ,则更有可能发生此问题。 转到 “设置” > “隐私”&“安全 ”> “设备加密”。 若要解锁驱动器,Windows 可能会要求你输入Microsoft帐户中的恢复密钥。
-
[锁屏界面] 此更新解决了 CVE-2024-38143。 因此,锁屏界面上“使用我的 Windows 用户帐户”复选框无法连接到 Wi-Fi。
-
[NetJoinLegacyAccountReuse] 此更新会删除此注册表项。 有关详细信息,请参阅 KB5020276 - Netjoin:域加入强化更改。
-
[安全启动高级目标 (SBAT) 和 Linux 可扩展固件接口 (EFI) ] 此更新将 SBAT 应用于运行 Windows 的系统。 这会阻止易受攻击的 Linux EFI (Shim 引导加载程序) 运行。 此 SBAT 更新不适用于双启动 Windows 和 Linux 的系统。 应用 SBAT 更新后,较旧的 Linux ISO 映像可能无法启动。 如果发生这种情况,请与 Linux 供应商合作以获取更新的 ISO 映像。
-
[域名系统 (DNS) ] 此更新强化了 DNS 服务器安全性,以解决 CVE-2024-37968。 如果域的配置不是最新的,你可能会收到 SERVFAIL 错误或超时。
-
[行打印机守护程序 (LPD) 协议] 使用此 已弃用的协议进行打印可能无法按预期工作或失败。 安装 2024 年 7 月 9 日及更高版本的更新后,会出现此问题。
备注 当它不再可用时,使用它的客户端(如 UNIX)将不会连接到服务器进行打印。 UNIX 客户端应使用 Internet 打印协议 (IPP) 。 Windows 客户端可以使用 Windows 标准端口监视器连接到共享 UNIX 打印机。
如果已安装较早的更新,那么此程序包中只有新的更新程序会下载并安装到设备上。
有关安全漏洞的详细信息,请参阅新的安全更新指南网站和 2024 年 8 月安全汇报。
Windows 10服务堆栈更新 (KB5041577) - 17763.6174
此更新对服务堆栈进行了质量改进,服务堆栈是安装 Windows 更新的组件。 服务堆栈更新 (SSU) 可确保你拥有强大且可靠的服务堆栈,让你的设备可以接收和安装 Microsoft 更新。
此更新中的已知问题
症状 |
解决方法 |
---|---|
安装 2024 年 7 月 9 日或之后发布的 Windows 更新后,Windows Server 可能会影响整个组织的远程桌面连接。 如果在远程桌面网关中使用旧协议(基于 HTTP 进行远程过程调用),则可能会出现此问题。 由此导致,远程桌面连接可能会中断。 此问题可能会间歇性发生,例如每隔 30 分钟重复一次。 在此间隔内,登录会话将丢失,用户将需要重新连接到服务器。 IT 管理员可以将其作为 TSGateway 服务的终止进行跟踪,该服务会无响应,并显示异常代码 0xc0000005。 |
此问题已在 KB5044277 中得到解决。 |
安装此安全更新后,你可能会发现某些 Windows Server 2019 设备遇到系统速度变慢、无响应和高 CPU 使用率,尤其是加密服务。 由于目录枚举错误,有限数量的组织报告在设备运行防病毒软件时观察到此问题,该防病毒软件针对 Windows 更新的“%systemroot%\system32\catroot2”文件夹执行扫描。 到目前为止,我们的调查表明,此问题仅限于某些特定场景。 如果 IT 环境受到影响,你可能会发现你的设备:
|
此问题已在 KB5043050 中得到解决。 |
安装此安全更新后,如果在设备中为 Windows 和 Linux 启用了双启动安装程序,则启动 Linux 可能会遇到问题。 由于此问题,设备可能无法启动 Linux 并显示错误消息“验证填充码 SBAT 数据失败:安全策略冲突”。 出现严重错误:SBAT 自检查失败:违反安全策略。” 2024 年 8 月 Windows 安全更新将安全启动高级目标 (SBAT) 设置应用于运行 Windows 以阻止旧的易受攻击的启动管理器的设备。 此 SBAT 更新不会应用于检测到双重启动的设备。 在某些设备上,双启动检测未检测到某些自定义的双启动方法,并在不应应用 SBAT 值时应用了它。 |
2024 年 9 月 Windows 安全更新 (KB5043050) 及更高版本的更新不包含导致此问题的设置。 在仅限 Windows 的系统上,安装 2024 年 9 月或更高版本的更新后,可以设置 CVE-2022-2601 和 CVE-2023-40547 中记录的注册表项,以确保应用 SBAT 安全更新。 在双启动 Linux 和 Windows 的系统上,安装 2024 年 9 月或更高版本的更新后,无需执行其他步骤。 |
如何获取此更新
安装此更新之前
Microsoft 现在将操作系统的最新服务堆栈更新 (SSU) 与最新的累积更新 (LCU) 组合在一起。 SSU 提高了更新过程的可靠性,以便缓解安装 LCU 时的潜在问题。 有关 SSU 的一般信息,请参阅服务堆栈更新和服务堆栈更新 (SSU):常见问题解答。
先决条件:
安装 LCU 之前,必须安装 2021 年 8 月 10 日 SSU (KB5005112) 。
安装此更新
若要安装此更新,请使用以下 Windows 和 Microsoft 发布通道之一。
可用 |
下一步 |
是 |
无。 此更新将从 Windows 更新 自动下载并安装,Microsoft更新。 |
可用 |
下一步 |
是 |
无。 将根据配置的策略,从 Windows 更新 for Business 自动下载并安装此更新。 |
可用 |
下一步 |
是 |
若要获取此更新的独立包,请转到Microsoft更新目录网站。 |
可用 |
下一步 |
是 |
如果按如下所示配置产品和分类,此更新将自动与 Windows Server Update Services (WSUS) 同步: 产品:Windows 10 分类:安全更新 |
如果要删除 LCU
若要在安装组合的 SSU 和 LCU 包后删除 LCU,请使用 DISM/Remove-Package 命令行选项,并将 LCU 包名称用作参数。 可以使用以下命令查找包名称:DISM /online /get-packages。
在组合包上使用 /uninstall 开关运行 Windows 更新 独立安装程序 (wusa.exe) 将不起作用,因为组合包包含 SSU。 安装后,无法从系统中删除 SSU。
文件信息
有关此更新中提供的文件列表,请下载累积更新5041578的文件信息。
有关服务堆栈更新中提供的文件列表,请下载 SSU (KB5041577) - 版本 17763.6174 的文件信息。