Uwaga
WAŻNE Przed zainstalowaniem tej aktualizacji upewnij się, że zainstalowano wymagane aktualizacje wymienione w sekcji Jak uzyskać tę aktualizację .
Uwaga
NOWOŚĆ 11/10/20
Aby uzyskać informacje na temat różnych typów aktualizacji systemu Windows, takich jak krytyczne, zabezpieczeń, sterowników, dodatki Service Pack itp., zobacz następujący artykuł. Aby wyświetlić inne notatki i wiadomości, zobacz stronę główną historii aktualizacji systemów Windows 7 z dodatkiem SP1 i Windows Server 2008 R2 z dodatkiem SP1.
Ulepszenia i poprawki
Ta aktualizacja zabezpieczeń zawiera ulepszenia i poprawki, które były częścią aktualizacji KB4592471 (wydanej 8 grudnia 2020 r.), a także usuwa następujące problemy:
Usuwa lukę umożliwiającą obejście zabezpieczeń w sposobie, w jaki powiązanie zdalnego wywoływania procedur (RPC) obsługuje uwierzytelnianie dla zdalnego interfejsu Winspool. Aby uzyskać więcej informacji, zobacz KB4599464.
Rozwiązuje problem luk w zabezpieczeniach serwerów intranetowych opartych na protokole HTTPS. Po zainstalowaniu tej aktualizacji serwery intranetowe oparte na protokole HTTPS nie mogą domyślnie używać serwera proxy użytkownika do wykrywania aktualizacji. Skanowania korzystające z tych serwerów zakończą się niepowodzeniem, jeśli klienci nie mają skonfigurowanego serwera proxy systemu.
Jeśli musisz korzystać z serwera proxy użytkownika, musisz skonfigurować jego zachowanie przy użyciu zasad usługi Windows Update: zezwalaj na używanie serwera proxy użytkownika jako rezerwowego, jeśli wykrywanie za pomocą serwera proxy systemu nie powiedzie się. Aby zapewnić najwyższy poziom zabezpieczeń, wykorzystaj dodatkowo przypinanie certyfikatu TLS (Transport Layer Security) Windows Server Update Services na wszystkich urządzeniach. Aby uzyskać więcej informacji, zobacz Zmiany dotyczące skanowania, ulepszone zabezpieczenia dla urządzeń z systemem Windows.
Wskazówka Ta zmiana nie ma wpływu na klientów korzystających z serwerów HTTP WSUS.
Rozwiązuje problem polegający na tym, że podmiot zabezpieczeń w obszarze zaufanej tożsamości zarządzanej dla aplikacji (MIT) nie uzyskuje biletu usługi Kerberos z kontrolerów domeny usługi Active Directory. Ten problem występuje po zainstalowaniu aktualizacji systemu Windows zawierających zabezpieczenia CVE-2020-17049 wydane między 10 listopada a 8 grudnia 2020 r., a PerfromTicketSignature skonfigurowano na wartość 1 lub nowszą. Nabycie biletu nie powiedzie się KRB_GENERIC_ERROR , jeśli dzwoniący prześlą bilet TGT (Ticket Giving Ticket) bez PAC jako bilet dowodowy bez podania flagi USER_NO_AUTH_DATA_REQUIRED .
Aktualizacje zabezpieczeń platformy i struktury aplikacji aplikacja dla systemu Windows, grafiki systemu Windows, nośników w systemie Windows, składnika Windows Fundamentals, składnika Windows Cryptography, wirtualizacji systemu Windows oraz hybrydowych usług magazynowania systemu Windows.
Aby uzyskać więcej informacji o usuniętych lukach zabezpieczeń, zapoznaj się z nowym przewodnikiem aktualizacji zabezpieczeń w sieci Web.
Znane problemy z tą aktualizacją
| Objaw | Obejście |
|---|---|
| Po zainstalowaniu tej aktualizacji i ponownym uruchomieniu urządzenia może zostać wyświetlony komunikat o błędzie „Niepowodzenie konfigurowania aktualizacji systemu Windows. Wycofywanie zmian. Nie wyłączaj komputera”. Aktualizacja może być wyświetlana jako Niepowodzenie w obszarze Historia aktualizacji. | Jest to oczekiwane w następujących przypadkach:
|
| Niektóre operacje, takie jak zmiana nazwy, wykonywane na plikach lub folderach znajdujących się na udostępnionym woluminie klastra (CSV) mogą kończyć się niepowodzeniem z powodu błędu „STATUS_BAD_IMPERSONATION_LEVEL (0xC00000A5)”. Dzieje się tak podczas wykonywania operacji na węźle-właścicielu woluminu CSV z poziomu procesu bez uprawnień administratora. | Wykonaj jedną z następujących czynności:
|
Jak uzyskać tę aktualizację
Przed zainstalowaniem tej aktualizacji
WAŻNE Klienci, którzy kupili usługę dodatkowych aktualizacji zabezpieczeń (ESU) dla lokalnych wersji tych systemów operacyjnych, muszą wykonać czynności opisane w KB4522133 , aby nadal otrzymywać aktualizacje zabezpieczeń po zakończeniu wsparcia dodatkowego. Wsparcie dodatkowe kończy się w następujący sposób:
- W przypadku systemów Windows 7 z dodatkiem Service Pack 1 i Windows Server 2008 R2 z dodatkiem Service Pack 1 wsparcie dodatkowe kończy się 14 stycznia 2020 r.
- Rozszerzona pomoc techniczna dla systemu Windows Embedded Standard 7 kończy się 13 października 2020 r.
Aby uzyskać więcej informacji na temat ESU i obsługiwanych wersji, zobacz KB4497181.
Wskazówka W systemie Windows Embedded Standard 7 musi być włączona Instrumentacja zarządzania Windows (WMI), aby pobierać aktualizacje z usług Windows Update lub Windows Server Update Services.
Wymaganie wstępne:
Konieczne jest zainstalowanie aktualizacji wymienionych poniżej i ponowne uruchomienie urządzenia przed zainstalowaniem najnowszego pakietu zbiorczego. Zainstalowanie tych aktualizacji poprawia skuteczność procesu aktualizacji i ogranicza potencjalne problemy podczas instalowania pakietu zbiorczego i stosowania poprawek dotyczących zabezpieczeń Microsoft.
- Aktualizacja stosu obsługi (SSU) z 12 marca 2019 r. (KB4490628). Aby uzyskać autonomiczny pakiet tego SSU, wyszukaj go na stronie Wykaz usługi Microsoft Update. Ta aktualizacja jest wymagana, aby móc zainstalować aktualizacje, które są podpisane wyłącznie mechanizmem SHA-2.
- Najnowsza aktualizacja mechanizmu SHA-2 (KB4474419) wydana 10 września 2019 r. Jeśli używasz usługi Windows Update, najnowsza aktualizacja mechanizmu SHA-2 zostanie zaproponowana automatycznie. Ta aktualizacja jest wymagana, aby móc zainstalować aktualizacje, które są podpisane wyłącznie mechanizmem SHA-2. Aby uzyskać więcej informacji na temat aktualizacji technologii SHA-2, zobacz Wymaganie obsługi podpisu kodu SHA-2 2019 dla systemu Windows i programu WSUS.
- W przypadku Windows Thin PC musisz mieć zainstalowaną aktualizację SSU (KB4570673) z 11 sierpnia 2020 r. lub nowszą, aby zapewnić kontynuację otrzymywania rozszerzonych aktualizacji zabezpieczeń począwszy od aktualizacji z 13 października 2020 r.
- Aby uzyskać tę aktualizację zabezpieczeń, należy ponownie zainstalować "Pakiet przygotowania licencji dodatkowych Aktualizacje zabezpieczeń (ESU)" (KB4538483) lub "Pakiet przygotowania licencji dodatkowych Aktualizacje zabezpieczeń (ESU)" (KB4575903), nawet jeśli wcześniej został zainstalowany klucz ESU. Pakiet przygotowania licencji dodatkowych aktualizacji zabezpieczeń (ESU) nie będzie proponowany z poziomu programu WSUS. Aby pobrać pakiet autonomiczny pakietu przygotowania licencji dodatkowych aktualizacji zabezpieczeń (ESU), wyszukaj go w wykazie usługi Microsoft Update.
Po zainstalowaniu powyższych elementów zdecydowanie zalecamy zainstalowanie najnowszej aktualizacji SSU (KB4592510). Jeśli używasz usługi Windows Update, najnowsza aktualizacja SSU zostanie zaproponowana automatycznie, o ile jesteś klientem ESU. Aby uzyskać autonomiczny pakiet tej aktualizacji dla najnowszych SSU, wyszukaj go na stronie Wykaz usługi Microsoft Update. Aby uzyskać ogólne informacje na temat SSU, zobacz Aktualizacje stosu obsługi (SSU) i Aktualizacje stosu obsługi (SSU): często zadawane pytania.
Zainstaluj tę aktualizację
| Kanał wersji | Dostępne | Następny krok |
|---|---|---|
| Usługa Windows Update i Microsoft Update | Tak | Brak. Ta aktualizacja zostanie automatycznie pobrana i zainstalowana z witryny Windows Update, jeśli jesteś klientem ESU. |
| Wykaz usługi Microsoft Update | Tak | Aby uzyskać autonomiczny pakiet tej aktualizacji, przejdź do witryny internetowej Wykaz usługi Microsoft Update. |
| Program Windows Server Update Services (WSUS) | Tak | Ta aktualizacja zostanie automatycznie zsynchronizowana z programem WSUS w przypadku skonfigurowania produktów i klasyfikacji następująco: Produkt: Windows 7 z dodatkiem Service Pack 1, Windows Server 2008 R2 z dodatkiem Service Pack 1, Windows Embedded Standard 7 z dodatkiem Service Pack 1, Windows Embedded POSReady 7, Windows Thin PC Klasyfikacja: Aktualizacje zabezpieczeń |
Informacje o plikach
Aby poznać listę plików zawartych w tej aktualizacji, pobierz informacje o plikach dla aktualizacji zbiorczej 4598279.