Applies ToWin 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019

发布日期:

2024/8/13

版本:

OS 内部版本 17763.6189

20 /11/17 有关 Windows 更新术语的信息,请参阅有关 Windows 更新类型和每月质量更新类型的文章。 有关Windows 10 版本 1809的概述,请参阅其更新历史记录页。    

Windows 更新不会安装Microsoft应用商店应用程序更新。 如果你是企业用户,请参阅 Microsoft 应用商店应用 - Configuration Manager。 如果你是使用者用户,请参阅在 Microsoft Store 中获取应用和游戏的更新

重要信息

  • 此更新解决了 Windows 操作系统的安全问题。 

改进

此安全更新包括改进。 下面是此更新在安装此知识库时解决的关键问题的摘要。 如果有新功能,也会列出这些功能。 括号中的粗体文本表示我们记录的更改的项目或区域。

  • [受保护的进程光 (PPL) 保护] 可以绕过它们。

  • [Windows 内核易受攻击的驱动程序阻止列表文件 (DriverSiPolicy.p7b) ] 此更新将添加到面临“自带易受攻击驱动程序” (BYOVD) 攻击风险的驱动程序列表中。

  • [BitLocker (已知问题) ] 启动设备时会显示 BitLocker 恢复 屏幕。 安装 2024 年 7 月 9 日更新后,会发生这种情况。 如果 启用设备加密 ,则更有可能发生此问题。 转到 “设置” > “隐私”&“安全 ”> “设备加密”。 若要解锁驱动器,Windows 可能会要求你输入Microsoft帐户中的恢复密钥。

  • [锁屏界面] 此更新解决了 CVE-2024-38143。 因此,锁屏界面上“使用我的 Windows 用户帐户”复选框无法连接到 Wi-Fi。

  • [NetJoinLegacyAccountReuse] 此更新会删除此注册表项。 有关详细信息,请参阅 KB5020276 - Netjoin:域加入强化更改

  • [安全启动高级目标 (SBAT) 和 Linux 可扩展固件接口 (EFI) ] 此更新将 SBAT 应用于运行 Windows 的系统。 这会阻止易受攻击的 Linux EFI (Shim 引导加载程序) 运行。 此 SBAT 更新不适用于双启动 Windows 和 Linux 的系统。 应用 SBAT 更新后,较旧的 Linux ISO 映像可能无法启动。 如果发生这种情况,请与 Linux 供应商合作以获取更新的 ISO 映像。

  • [域名系统 (DNS) ] 此更新强化了 DNS 服务器安全性,以解决 CVE-2024-37968。 如果域的配置不是最新的,你可能会收到 SERVFAIL 错误或超时。

  • [行打印机守护程序 (LPD) 协议] 使用此 已弃用的协议进行打印可能无法按预期工作或失败。 安装 2024 年 7 月 9 日及更高版本的更新后,会出现此问题。

    备注 当它不再可用时,使用它的客户端(如 UNIX)将不会连接到服务器进行打印。 UNIX 客户端应使用 Internet 打印协议 (IPP) 。 Windows 客户端可以使用 Windows 标准端口监视器连接到共享 UNIX 打印机。

如果已安装较早的更新,那么此程序包中只有新的更新程序会下载并安装到设备上。

有关安全漏洞的详细信息,请参阅新的安全更新指南网站和 2024 年 8 月安全汇报

Windows 10服务堆栈更新 (KB5041577) - 17763.6174

此更新对服务堆栈进行了质量改进,服务堆栈是安装 Windows 更新的组件。 服务堆栈更新 (SSU) 可确保你拥有强大且可靠的服务堆栈,让你的设备可以接收和安装 Microsoft 更新。 

此更新中的已知问题

症状

解决方法

安装 2024 年 7 月 9 日或之后发布的 Windows 更新后,Windows Server 可能会影响整个组织的远程桌面连接。 如果在远程桌面网关中使用旧协议(基于 HTTP 进行远程过程调用),则可能会出现此问题。 由此导致,远程桌面连接可能会中断。

此问题可能会间歇性发生,例如每隔 30 分钟重复一次。 在此间隔内,登录会话将丢失,用户将需要重新连接到服务器。 IT 管理员可以将其作为 TSGateway 服务的终止进行跟踪,该服务会无响应,并显示异常代码 0xc0000005

此问题已在 KB5044277 中得到解决。

安装此安全更新后,你可能会发现某些 Windows Server 2019 设备遇到系统速度变慢、无响应和高 CPU 使用率,尤其是加密服务。 

由于目录枚举错误,有限数量的组织报告在设备运行防病毒软件时观察到此问题,该防病毒软件针对 Windows 更新的“%systemroot%\system32\catroot2”文件夹执行扫描。 

到目前为止,我们的调查表明,此问题仅限于某些特定场景。 如果 IT 环境受到影响,你可能会发现你的设备:

  • 显示 CPU 使用率增加

  • 磁盘延迟/磁盘利用率增加

  • 指示 OS 或应用程序性能下降

  • 显示 CryptSVC 服务无法启动

  • 可以启动到黑屏

  • 启动速度缓慢

  • 冻结或挂起

此问题已在 KB5043050 中得到解决。

安装此安全更新后,如果在设备中为 Windows 和 Linux 启用了双启动安装程序,则启动 Linux 可能会遇到问题。 由于此问题,设备可能无法启动 Linux 并显示错误消息“验证填充码 SBAT 数据失败:安全策略冲突”。 出现严重错误:SBAT 自检查失败:违反安全策略。”

2024 年 8 月 Windows 安全更新将安全启动高级目标 (SBAT) 设置应用于运行 Windows 以阻止旧的易受攻击的启动管理器的设备。 此 SBAT 更新不会应用于检测到双重启动的设备。 在某些设备上,双启动检测未检测到某些自定义的双启动方法,并在不应应用 SBAT 值时应用了它。

2024 年 9 月 Windows 安全更新 (KB5043050) 及更高版本的更新不包含导致此问题的设置。

在仅限 Windows 的系统上,安装 2024 年 9 月或更高版本的更新后,可以设置 CVE-2022-2601CVE-2023-40547 中记录的注册表项,以确保应用 SBAT 安全更新。

在双启动 Linux 和 Windows 的系统上,安装 2024 年 9 月或更高版本的更新后,无需执行其他步骤。

如何获取此更新

安装此更新之前

Microsoft 现在将操作系统的最新服务堆栈更新 (SSU) 与最新的累积更新 (LCU) 组合在一起。 SSU 提高了更新过程的可靠性,以便缓解安装 LCU 时的潜在问题。 有关 SSU 的一般信息,请参阅服务堆栈更新服务堆栈更新 (SSU):常见问题解答。 

先决条件:

安装 LCU 之前,必须安装 2021 年 8 月 10 日 SSU (KB5005112) 。 

安装此更新

若要安装此更新,请使用以下 Windows 和 Microsoft 发布通道之一。

可用

下一步

无。 此更新将从 Windows 更新 自动下载并安装,Microsoft更新。

可用

下一步

无。 将根据配置的策略,从 Windows 更新 for Business 自动下载并安装此更新。

可用

下一步

若要获取此更新的独立包,请转到Microsoft更新目录网站。

可用

下一步

如果按如下所示配置产品和分类,此更新将自动与 Windows Server Update Services (WSUS) 同步:

产品:Windows 10

分类:安全更新

如果要删除 LCU

若要在安装组合的 SSU 和 LCU 包后删除 LCU,请使用 DISM/Remove-Package 命令行选项,并将 LCU 包名称用作参数。 可以使用以下命令查找包名称:DISM /online /get-packages

在组合包上使用 /uninstall 开关运行 Windows 更新 独立安装程序 (wusa.exe) 将不起作用,因为组合包包含 SSU。 安装后,无法从系统中删除 SSU。

文件信息

有关此更新中提供的文件列表,请下载累积更新5041578的文件信息

有关服务堆栈更新中提供的文件列表,请下载 SSU (KB5041577) - 版本 17763.6174 的文件信息。 

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。