2024 年 8 月 13 日 — KB5041828 (月度汇总)
Applies To
Windows Server 2012 R2 ESU发布日期:
2024/8/13
版本:
月度汇总
重要说明 尝试在运行 Windows Server 2012 R2 的已启用 Azure Arc 的设备上安装此扩展安全更新 (ESU) 可能会失败。 若要成功安装,请确保 仅满足 ESU 的所有终结点子集 ,如 连接的计算机代理网络要求中所述。 |
-
Windows 8.1已于 2023 年 1 月 10 日终止支持 (EOS) ,此时不再提供技术支持和软件更新。 如果你的设备运行 Windows 8.1,建议将它们升级到更新的、正在使用的和受支持的 Windows 版本。 如果设备不符合运行更新版本 Windows 的技术要求,建议将其替换为支持 Windows 11 的设备。
Microsoft 将不会为 Windows 8.1 提供延长安全更新 (ESU) 计划。 如果在 2023 年 1 月 10 日之后继续使用 Windows 8.1,可能会增加组织面临的安全风险或影响其履行合规性义务的能力。 有关详细信息,请参阅 Windows 8.1 支持将于 2023 年 1 月 10 日结束。
建议升级到更高版本的 Windows。 有关详细信息,请参阅 升级到更高版本的 Windows。
-
Windows Server 2012 R2 终止支持 (EOS) 日期为 2023 年 10 月 10 日。 可购买延长安全更新 (ESU),并将持续三年,可每年续订,直到最终日期 2026 年 10 月 13 日。 有关详细信息,请参阅 Windows Server 终止支持:关键日期。 有关继续接收安全更新的过程的信息,请参阅 KB5031043。 建议升级到更高版本的 Windows Server。 有关详细信息,请参阅 Windows Server 升级概述。
-
Windows Embedded 8.1 工业企业 版和 Windows Embedded 8.1 工业专业版 已于 2023 年 7 月 11 日终止支持 (EOS) 。 因此,不再提供技术支持和软件更新。
更改日期 |
更改说明 |
2024 年 9 月 20 日 |
更新了 Windows/Linux 启动问题的已知问题。 |
摘要
详细了解此累积安全更新,包括改进、任何已知问题以及如何获取更新。
注意 有关各种类型的 Windows 更新(例如关键更新、安全性更新、驱动程序更新、Service Pack 等)的信息,请参阅 用于描述Microsoft软件更新的标准术语的说明。 若要查看其他笔记和消息,请参阅Windows 8.1和Windows Server 2012 R2 更新历史记录主页。
改进
此累积安全更新包括 2024 年 7 月 9 日发布的更新KB5040456 () 的改进。 下面是此更新所解决的关键问题的摘要。 括号中的粗体文本表示我们记录的更改的项目或区域。
-
[NetJoinLegacyAccountReuse] 删除此注册表项。 有关详细信息,请参阅 KB5020276。
-
[BitLocker (已知问题) ] 启动设备时会显示 BitLocker 恢复 屏幕。 安装 2024 年 7 月 9 日更新后,会发生这种情况。 如果 启用设备加密 ,则更有可能发生此问题。 转到 “设置” > “隐私”&“安全 ”> “设备加密”。 若要解锁驱动器,Windows 可能会要求你输入Microsoft帐户中的恢复密钥。
-
[安全启动高级目标 (SBAT) 和 Linux 可扩展固件接口 (EFI) ]此更新将 SBAT 应用于运行 Windows 的系统。 这会阻止易受攻击的 Linux EFI (Shim 引导加载程序) 运行。 此 SBAT 更新不适用于双启动 Windows 和 Linux 的系统。 应用 SBAT 更新后,较旧的 Linux ISO 映像可能无法启动。 如果发生这种情况,请与 Linux 供应商合作以获取更新的 ISO 映像。
-
[域名系统 (DNS) ] 此更新强化了 DNS 服务器安全性,以解决 CVE-2024-37968。 如果域的配置不是最新的,你可能会收到 SERVFAIL 错误或超时。
有关已解决的安全漏洞的详细信息,请参阅部署 |安全更新指南和 2024 年 8 月安全汇报。
此更新中的已知问题
症状 |
后续步骤 |
安装 2024 年 7 月 9 日或之后发布的 Windows 更新后,Windows Server 可能会影响整个组织的远程桌面连接。 如果在远程桌面网关中使用旧协议 (通过 HTTP) 进行远程过程调用,则可能会发生此问题。 因此,远程桌面连接可能会中断。 此问题可能会间歇性发生,例如每 30 分钟重复一次。 在此时间间隔内,登录会话会丢失,用户需要重新连接到服务器。 IT 管理员可以将此跟踪为 TSGateway 服务的终止,该服务因异常代码 0xc0000005而无响应。 |
若要解决此问题,请使用以下选项之一: 选项 1:禁止通过管道进行连接,以及通过 RD 网关的端口 \pipe\RpcProxy\3388。 此过程需要使用连接应用程序,例如防火墙软件。 有关禁止连接和移植连接的指导,请参阅有关连接和防火墙软件的文档。 选项 2:编辑客户端设备的注册表,并将 RDGClientTransport 的值设置为 0x00000000 (0) 在 Windows 注册表编辑器中,导航到以下注册表位置: HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client 查找 RDGClientTransport 并将其值设置为 0 (零) 。 这会将 RDGClientTransport 的值更改为 0x00000000 (0) 。 我们正寻求一种解决方案,并会在即将发布的版本中提供更新。 |
安装此安全更新后,如果在设备上启用了适用于 Windows 和 Linux 的双重启动安装程序,则启动 Linux 可能会遇到问题。 由于此问题,设备可能无法启动 Linux,并显示错误消息“验证填充码 SBAT 数据失败:安全策略冲突。 出现严重错误:SBAT 自检查失败:违反安全策略。” 此 2024 年 8 月 Windows 安全更新将安全启动高级目标 (SBAT) 设置应用于运行 Windows 以阻止旧的易受攻击的启动管理器的设备。 此 SBAT 更新不会应用于检测到双重启动的设备。 在某些设备上,双启动检测未检测到某些自定义的双启动方法,并在不应应用 SBAT 值时应用了它。 |
2024 年 9 月发布的 Windows 更新 (KB5043138) 不包含导致此问题的设置。 在仅限 Windows 的系统上,安装 2024 年 9 月或更高版本的更新后,可以设置 CVE-2022-2601 和 CVE-2023-40547 中记录的注册表项,以确保应用 SBAT 安全更新。 在双启动 Linux 和 Windows 的系统上,安装 2024 年 9 月或更高版本的更新后,无需执行其他步骤。 |
有关任何过去已知问题的当前状态,请参阅Windows Server 2012 R2 已知问题页。
如何获取此更新
安装此更新前
强烈建议在安装最新的月度汇总之前,为操作系统安装最新的服务堆栈更新 (SSU) 。 SU 提高了更新过程的可靠性,以缓解安装每月汇总并应用Microsoft安全修补程序时的潜在问题。 有关 SSU 的一般信息,请参阅服务堆栈更新和服务堆栈汇报 (SSU) :常见问题。
如果使用Windows 更新,系统会自动为你提供最新的 SSU (KB5041588) 。 若要获取最新 SSU 的独立程序包,请在 Microsoft 更新目录中进行搜索。
语言包
若在安装此更新后安装语言包,则必须重新安装此更新。 因此,我们建议先安装所需的全部语言包,然后再安装此更新。 有关详细信息,请参阅了解如何将语言包添加到 Windows。
安装此更新
若要安装此更新,请使用以下发布频道之一。
可用 |
后续步骤 |
是 |
此更新会通过 Windows 更新自动下载并安装。 |
可用 |
后续步骤 |
是 |
若要获取此更新的独立包,请转到 Microsoft更新目录 网站。 若要从更新目录下载更新,请参阅 从 Windows 更新目录下载更新的步骤。 |
可用 |
后续步骤 |
是 |
如果按照以下方式配置“产品和分类”,此更新将自动同步:
有关在 WSUS 中配置的详细信息,请参阅 Windows Server Update Services (WSUS)。 有关在配置管理器中进行配置的详细信息,请参阅同步软件更新。 |
文件信息
有关此更新中提供的文件列表,请下载 更新KB5041828的文件信息。