Applies ToWindows Server 2012 ESU

Release Date:

13/8/2024

Version:

每月彙總套件

重要: 當您嘗試在執行 Windows Server 2012 的 Azure Arc 功能裝置上安裝此擴充安全性更新 (ESU) 可能會失敗。 若要順利安裝,請確定僅符合 所有 ESU 端點子集 ,如 聯機計算機代理程序網路需求中所述。

變更日期

變更描述

2024年9月20日

已更新 Windows/Linux 啟動問題的已知問題。

摘要

深入瞭解此累積安全性更新,包括改善、任何已知問題,以及如何取得更新。

注意 安裝此更新前,請先確認已安裝如何取得此更新一節所列出的必要更新。

如需各種 Windows 更新類型的相關信息,例如關鍵、安全性、驅動程式、Service Pack 等,請參閱下列 用於描述軟體更新Microsoft的標準術語說明。 若要檢視其他筆記和訊息,請參閱 Windows Server 2012 更新記錄首頁

改善

此累積安全性更新包含屬於 2024 年 7 月 9 日發行KB5040485更新 ( 一部分的改進) 。 下列是此更新所解決之重大問題的摘要。 括弧內的粗體文字代表我們正在記錄的變更專案或區域。

  • [NetJoinLegacyAccountReuse] 拿掉此登錄機碼。 如需詳細資訊,請 參閱KB5020276

  • [BitLocker (已知問題) ] 當您啟動裝置時,會顯示 BitLocker 修復 畫面。 這會在您安裝 2024 年 7 月 9 日的更新之後發生。 如果 裝置加密 已開啟,就更可能發生此問題。 移至 [設定 > 隱私權 & 安全 性 > 裝置加密]。 若要解除鎖定磁碟驅動器,Windows 可能會要求您從Microsoft帳戶輸入修復密鑰。

  • [安全開機進階目標 (SBAT) 和 Linux 可擴展固件介面 (EFI) ]此更新會將SBAT套用至執行 Windows 的系統。 這會阻止受攻擊的Linux EFI (Shim 開機載入器) 執行。 此 SBAT 更新不適用於雙開機 Windows 和 Linux 的系統。 套用 SBAT 更新之後,較舊的 Linux ISO 影像可能無法開機。 如果發生這種情況,請與您的 Linux 廠商合作,以取得更新的 ISO 影像。

  • [域名系統 (DNS) ] 此更新會增強 DNS 伺服器的安全性,以處理 CVE-2024-37968。 如果您的網域設定不是最新狀態,您可能會收到 SERVFAIL 錯誤或逾時。

如需已解決安全性弱點的詳細資訊,請參閱部署 |安全性更新指南2024 年 8 月安全性 匯報

此更新中的已知問題

徵兆

下一步

安裝 2024 年 7 月 9 日或之後發行的 Windows 更新之後,Windows Server 可能會影響整個組織的遠端桌面連線。 如果在遠端桌面閘道中使用舊版通訊協定 (HTTP) 遠端過程呼叫,就可能會發生此問題。 由此產生的遠端桌面連線可能會中斷。

此問題可能會間歇性發生,例如每 30 分鐘重複一次。 此時,登入會話會遺失,使用者將需要重新連線到伺服器。 IT 系統管理員可以在 TSGateway 服務終止時進行追蹤,此服務在例外程式代碼 0xc0000005時不會回應。

若要解決此問題,請使用下列其中一個選項:

選項 1:不允許透過管道連接,而埠 \pipe\RpcProxy\3388 透過 RD 閘道

此程式需要使用連線應用程式,例如防火牆軟體。 請參閱連線和防火牆軟體的檔,以取得有關不允許和移轉連線的指導方針。

選項 2:編輯用戶端裝置的登錄,並將 RDGClientTransport 的值設為 0x00000000 (0)

在 Windows 登錄 編輯器 中,流覽至下列登錄位置:

HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client

尋找 RDGClientTransport ,並將其值設為 0 (零) 。 這會將 RDGClientTransport 的值變更 為 0x00000000 (0)

我們正在研究解決方案,將會在未來版本中提供更新。

安裝此安全性更新之後,如果您已在裝置上啟用 Windows 和 Linux 的雙開機設定,您可能會在啟動 Linux 時遇到問題。

由於此問題,您的裝置可能無法啟動 Linux,並顯示錯誤訊息「驗證 shim SBAT 數據失敗:安全策略違規。 發生嚴重錯誤:SBAT 自我檢查失敗:安全策略違規。」

此 2024 年 8 月 Windows 安全性更新針對執行 Windows 的裝置套用安全開機進階目標 (SBAT) 設定,以封鎖舊的、容易受攻擊的開機管理員。 此 SBAT 更新將不會套用至偵測到雙開機的裝置。 在某些裝置上,雙開機偵測未偵測到一些自定義的雙開機方法,並在未套用 SBAT 值時套用。

2024 年 9 月發行的 Windows 更新 (KB5043125) 不包含導致此問題的設定。

在僅限 Windows 的系統上,安裝 2024 年 9 月或更新版本更新之後,您可以設定 在 CVE-2022-2601CVE-2023-40547 中記錄的登錄機碼,以確保 SBAT 安全性更新已套用。 ​​​​​​​

在雙開機 Linux 和 Windows 的系統上,安裝 2024 年 9 月或更新版本之後,不需要執行其他步驟。

如需任何過去已知問題的目前狀態,請參閱 Windows Server 2012 已知問題] 頁面。 

如何取得此更新

安裝此更新之前

Microsoft 強烈建議您,在安裝最新彙總套件之前,先為您的作業系統安裝最新服務堆疊更新 (SSU)。 SSU 有助於在安裝彙總套件和套用 Microsoft 安全性修正程式時,提高更新程序防範潛在問題的可靠性。 如需 SSU 的一般資訊,請參閱維護堆疊更新服務堆疊 匯報 (SSU) :常見問題

如果您使用 Windows Update,系統會自動為您提供最新的 SSU (KB5041589) 。 若要取得最新 SSU 的獨立套件,請在 Microsoft Update Catalog 中搜尋。

語言套件

如果您在安裝此更新之後安裝語言套件,您必須重新安裝此更新。 因此,我們建議您在安裝此更新前,先安裝任何需要的語言套件。 如需詳細資訊,請參閱瞭解如何將語言套件新增至 Windows

安裝此更新

若要安裝此更新,請使用下列其中一個發行管道。

可供使用

下一步

此更新將從 Windows Update 自動下載並安裝。

可供使用

下一步

若要取得此更新的獨立套件,請移至 Microsoft Update Catalog 網站。

若要從 Update Catalog 下載更新,請參閱關於如何從 Windows Update Catalog 下載更新的步驟

可供使用

下一步

如果您依下列所示設定 [產品和分類],此更新即會自動同步:

  • 產品:Windows Server 2012

  • 分類:安全性更新

如需在 WSUS 中設定的詳細資訊,請參閱 Windows Server Update Services (WSUS)。

如需在 Configuration Manager 中設定的詳細資訊,請參閱同步處理軟體更新

檔案資訊

如需此更新中提供的檔案清單,請下載 更新KB5041851的檔案資訊

Need more help?

Want more options?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。