13. srpna 2024 – KB5041851 (měsíční kumulativní aktualizace)

Platí pro
Windows Server 2012 ESU
Důležité Instalace této prodloužené aktualizace zabezpečení (ESU) může selhat při pokusu o její instalaci na zařízení s podporou služby Azure Arc se systémem Windows Server 2012. Pro úspěšnou instalaci se ujistěte, že jsou splněné všechny podmnožiny koncových bodů pouze pro ESU , jak je popsáno v tématu Síťové požadavky agenta připojeného počítače.
Informace o konci podpory

Poznámka

Změnový protokol
Změnit datum Popis změny
Září 20, 2024 Aktualizovali jsme známý problém se spouštěním Windows/Linux.

Souhrn

Další informace o této kumulativní aktualizaci zabezpečení, včetně vylepšení, všech známých problémů a postupu, jak aktualizaci získat

Poznámka

Vylepšení

Tato kumulativní aktualizace zabezpečení obsahuje vylepšení, která jsou součástí aktualizace KB5040485 (vydané 9. července 2024). Tady najdete souhrn klíčových problémů, které tato aktualizace řeší. Tučný text v hranatých závorkách označuje položku nebo oblast změny, kterou dokumentujeme.

  • [NetJoinLegacyAccountReuse] Odebere tento klíč registru. Další informace najdete v tématu KB5020276.
  • [BitLocker (známý problém)] Při spuštění zařízení se zobrazí obrazovka pro obnovení nástroje BitLocker . K tomu dojde po instalaci aktualizace z 9. července 2024. K tomuto problému s větší pravděpodobností dojde, pokud je šifrování zařízení zapnuté. Přejděte na Nastavení>Soukromí & Zabezpečení>Šifrování zařízení. Při odemčení disku vás systém Windows může požádat o zadání obnovovacího klíče z vašeho účtu Microsoft.
  • [SBAT (Secure Boot Advanced Targeting) a rozhraní EFI (Linux Extensible Firmware Interface)] Tato aktualizace aplikuje SBAT na systémy se systémem Windows. Tím se zastaví spuštění zranitelných Linux EFI (Shim bootloader). Tato aktualizace SBAT se nebude vztahovat na systémy, které používají duální spouštění Windows a Linuxu. Po použití aktualizace SBAT se starší image ISO systému Linux nemusí spustit. Pokud k tomu dojde, obraťte se na dodavatele systému Linux a získejte aktualizovaný obraz ISO.
  • [DNS (Domain Name System)] Tato aktualizace posiluje zabezpečení serverů DNS, aby řešila chybu CVE-2024-37968. Pokud konfigurace vašich domén nejsou aktuální, může se zobrazit chyba SERVFAIL nebo vypršel časový limit.

Další informace o vyřešených bezpečnostních chybách naleznete v Nasazení | Průvodce aktualizacemi zabezpečení a Aktualizace zabezpečení ze srpna 2024.

Známé problémy v této aktualizaci

Příznaky Další krok
Po instalaci aktualizace Windows vydané 9. července 2024 nebo později můžou Windows Server ovlivnit připojení ke vzdálené ploše v rámci organizace. Tento problém může nastat, pokud je v bráně vzdálené plochy použit starší protokol (vzdálené volání procedur přes HTTP). V důsledku toho může dojít k přerušení připojení ke vzdálené ploše.
K tomuto problému může docházet přerušovaně, například každých 30 minut. V tomto intervalu dojde ke ztrátě uživatelských relací a uživatelé se budou muset znovu připojit k serveru. Správci IT to můžou sledovat jako ukončení služby TSGateway, která přestane reagovat s kódem výjimky 0xc0000005.
Pokud chcete tento problém vyřešit, použijte jednu z následujících možností:
Možnost 1: Zakažte připojení přes kanál a port \pipe\RpcProxy\3388 přes bránu RD
Tento proces bude vyžadovat použití aplikací pro připojení, jako je například software brány firewall. Pokyny k zakázání a přenosu připojení najdete v dokumentaci k vašemu připojení a softwaru brány firewall.
Možnost 2: Upravte registr klientských zařízení a nastavte hodnotu RDGClientTransport na 0x00000000 (0).
V Editoru registru systému Windows přejděte do následujícího umístění registru:
HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client
Vyhledejte RDGClientTransport a nastavte jeho hodnotu na 0 (nula). Tím se hodnota RDGClientTransport změní na 0x00000000 (0).
Pracujeme na řešení a v nadcházející verzi poskytneme aktualizaci.
Po instalaci této aktualizace zabezpečení můžete mít problémy se spuštěním systému Linux, pokud jste na svém zařízení povolili nastavení duálního spouštění pro Windows a Linux.
V důsledku tohoto problému se může stát, že se zařízení nepodaří spustit Linux a zobrazí se chybová zpráva "Ověření selhání dat shim SBAT: Porušení zásad zabezpečení. Něco se nepovedlo: Samoobslužná kontrola SBAT neproběhla úspěšně: Porušení zásad zabezpečení.”
Tato aktualizace zabezpečení Windows ze srpna 2024 aplikuje nastavení SBAT (Secure Boot Advanced Targeting) na zařízení se systémem Windows a blokuje staré správce spouštění s ohroženým zabezpečením. Tato aktualizace SBAT se nepoužije na zařízení, kde se detekuje duální spouštění. Na některých zařízeních detekce duálního spouštění nerozpoznává některé přizpůsobené metody duálního spouštění a použila hodnotu SBAT, když se neměla použít.
Aktualizace Windows (KB5043125) vydaná v září 2024 neobsahuje nastavení, která tento problém způsobila.
Další vylepšení k vyřešení tohoto problému byla zahrnuta do aktualizace zabezpečení Windows (KB5058451) z května 2025 a novějších aktualizací.
V systémech jenom pro Windows můžete po instalaci aktualizace ze září 2024 nebo novější nastavit klíč registru popsaný v CVE-2022-2601 a CVE-2023-40547 a zajistit tak použití aktualizace zabezpečení SBAT.
V systémech, které podporují duální spouštění systémů v systému Linux a Windows, nejsou po instalaci aktualizace ze září 2024 nebo novější nutné žádné další kroky.

Aktuální stav všech známých problémů v minulosti najdete na stránce se známými problémy ve systému Windows Server 2012.

Jak získat tuto aktualizaci

Před instalací této aktualizace

Důrazně doporučujeme, abyste si před instalací nejnovější kumulativní aktualizace nainstalovali nejnovější servisní aktualizaci SSU pro váš operační systém. Aktualizace SSU zlepšují spolehlivost procesu aktualizací a omezují rizika případných problémů při instalaci kumulativní aktualizace a při použití oprav zabezpečení od Microsoftu. Obecné informace o aktualizacích SSU najdete v článku o servisních aktualizacích SSU a v nejčastějších dotazech k aktualizacím SSU (Servicing Stack Updates).

Pokud používáte služba služba Windows Update, bude vám nejnovější servisní aktualizace SSU (KB5041589) nabídnuta automaticky. Pokud chcete získat samostatný balíček s touto nejnovější aktualizací SSU, vyhledejte ho v Katalogu služby Microsoft Update.

Jazykové sady

Pokud po instalaci této aktualizace nainstalujete jazykovou sadu, musíte tuto aktualizaci přeinstalovat. Proto před instalací této aktualizace doporučujeme nainstalovat všechny jazykové sady, které potřebujete. Další informace najdete v tématu Další informace o přidání jazykové sady do Windows.

Instalace této aktualizace

K instalaci této aktualizace použijte jeden z následujících kanálů vydávání.


K dispozici Další krok
Ano Tato aktualizace se automaticky stáhne a nainstaluje ze služby služba Windows Update.

Informace o souborech

Pokud chcete získat seznam souborů poskytovaných v rámci této aktualizace, stáhněte si informace o souborech pro aktualizaci KB5041851.