1月12日，2021-KB4598288 （每月汇总）

改进和修复

此安全更新包括更新 KB4592498 （12月8日发布的2020）中的改进和修补程序，并解决以下问题：

• 解决了打印机远程过程调用（RPC）绑定处理远程 Winspool 界面的身份验证的方式中存在的安全旁路漏洞。 有关详细信息，请参阅 KB4599464。

• 解决了基于 HTTPS 的 intranet 服务器的安全漏洞问题。 安装此更新后，基于 HTTPS 的内联网服务器无法利用用户代理默认检测更新。 如果客户端未配置系统代理，则使用这些服务器的扫描将失败。
  
  如果必须利用用户代理，则必须使用 Windows Update 策略 "允许用户代理" 来配置该行为（ 如果使用系统代理进行检测失败）。 若要确保最高级别的安全性，还可在所有设备上使用 Windows Server 更新服务（WSUS）传输层安全性（TLS）证书驻留。 有关详细信息，请参阅Windows 设备的扫描更改和安全性改进。
  
  备注此更改不会影响使用 HTTP WSUS 服务器的客户。

• 解决了一个问题，即应用程序（MIT）领域受信任的托管标识中的主体无法从 Active Directory 域控制器（Dc）中获取 Kerberos 服务票证。 在安装了包含 2020-17049 的 CVE- 防护的 Windows 更新安装了2020，并且已将 PerfromTicketSignature 配置为 1 或更高版本，则会出现此问题。 如果呼叫者在未提供 USER_NO_AUTH_DATA_REQUIRED 标志的情况下提交 PAC 的票证授予票证（TGT），则 KRB_GENERIC_ERROR 的票证获取将失败。

• Windows 应用平台和框架的安全更新、Windows 图形、Windows 基础知识、Windows 加密、Windows 虚拟化和 Windows 混合存储服务。

有关已解决的安全漏洞的详细信息，请参阅新的安全更新指南网站。

此更新中的已知问题

如何获取此更新

在安装此更新之前

重要提示如果客户购买了这些操作系统的本地版本的扩展安全更新（ESU），则必须按照KB4522133中的步骤，在2020年1月14日延长支持结束后继续接收安全更新。

有关 ESU 和受支持的版本的详细信息，请参阅KB4497181。

先决条件：

必须安装下面列出的更新，然后 重启设备安装最新的汇总前 。 安装这些更新可提高更新过程的可靠性，并在安装汇总和应用 Microsoft 安全修补程序时缓解潜在问题。

1. 2019 年 4 月 9 日服务堆栈更新 (SSU) (KB4493730)。 若要获取此 SSU 的独立程序包，请在 Microsoft 更新目录中进行搜索。 安装仅 SHA-2 签名的更新时，需要此更新。

2. 2019 年 10 月 8 日发布了最新 SHA-2 更新 (KB4474419)。 如果你使用的是 Windows 更新，则将自动为你提供最新的 SHA-2 更新。 安装仅 SHA-2 签名的更新时，需要此更新。 有关 SHA-2 更新的更多信息，请参阅针对 Windows 和 WSUS 的 2019 SHA-2 代码签名支持要求。

3. 扩展安全更新（ESU）许可准备包（KB4538484）或延长安全更新（ESU）许可包（KB4575904）的更新。 将从 WSUS 向你提供 ESU 许可准备包。 若要获取 ESU 许可准备包的独立软件包，请在 Microsoft 更新目录中进行搜索。

安装上述各项后，Microsoft 强烈建议您安装最新SSU （KB4580971）。 如果你使用的是 Windows 更新，则将自动为你提供最新的 SSU（如果你是 ESU 客户）。 若要获取最新 SSU 的独立程序包，请在 Microsoft 更新目录中进行搜索。 有关 SSU 的一般信息，请参阅服务堆栈更新和服务堆栈更新 (SSU)： 常见问题。

安装此更新

文件信息

有关此更新中提供的文件的列表，请下载累积更新4598288的文件信息。