Ngày phát hành:

13/08/2024

Phiên bản:

Bản tổng hợp hàng tháng

Quan trọng Có thể không cài đặt được Bản cập nhật Bảo mật Mở rộng (ESU) này khi bạn tìm cách cài đặt bản cập nhật này trên thiết bị hỗ trợ Azure Arc đang chạy Windows Server 2012. Để cài đặt thành công, vui lòng đảm bảo rằng tất cả tập hợp con điểm cuối chỉ dành cho ESU được đáp ứng như được mô tả trong Yêu cầu mạng tác nhân của Máy Đã kết nối.

Thay đổi ngày

Thay đổi mô tả

Ngày 20 tháng 9 năm 2024

Đã cập nhật sự cố đã biết cho sự cố khởi động Windows/Linux.

Tóm tắt

Tìm hiểu thêm về bản cập nhật bảo mật tích lũy này, bao gồm các cải tiến, mọi sự cố đã biết cũng như cách tải bản cập nhật.

Lưu ý Xác minh rằng bạn đã cài đặt các bản cập nhật bắt buộc được liệt kê trong phần Cách tải bản cập nhật này trước khi cài đặt bản cập nhật này.

Để biết thông tin về các loại bản cập nhật Windows khác nhau, chẳng hạn như quan trọng, bảo mật, trình điều khiển, gói dịch vụ, v.v., vui lòng xem Mô tả về thuật ngữ tiêu chuẩn được sử dụng sau đây để mô tả các bản cập nhật phần mềm của Microsoft. Để xem các ghi chú và thư khác, hãy xem trang chủ lịch sử cập nhật Windows Server 2012.

Cải tiến

Bản cập nhật bảo mật tích lũy này chứa các cải tiến nằm trong bản cập nhật KB5040485 (phát hành ngày 9 tháng 7 năm 2024). Sau đây là bản tóm tắt các sự cố chính mà bản cập nhật này khắc phục. Văn bản in đậm bên trong dấu ngoặc đơn cho biết mục hoặc khu vực của thay đổi mà chúng tôi đang ghi lại.

  • [NetJoinLegacyAccountReuse] Loại bỏ khóa đăng ký này. Để biết thêm thông tin, hãy KB5020276.

  • [BitLocker (sự cố đã biết)] Màn hình khôi phục BitLocker hiển thị khi bạn khởi động thiết bị. Điều này xảy ra sau khi bạn cài đặt bản cập nhật ngày 9 tháng 7 năm 2024. Sự cố này có nhiều khả năng xảy ra hơn nếu mã hóa thiết bị đang bật. Chuyển đến Cài đặt để > Quyền riêng tư & Mật >mã hóa thiết bị. Để mở khóa ổ đĩa của bạn, Windows có thể yêu cầu bạn nhập khóa khôi phục từ tài khoản Microsoft của bạn.

  • [Secure Boot Advanced Targeting (SBAT) and Linux Extensible Firmware Interface (EFI)]Bản cập nhật này áp dụng SBAT cho các hệ thống chạy Windows. Điều này ngăn chặn dễ bị tổn thương Linux EFI (Bộ tải khởi động Shim) chạy. Bản cập nhật SBAT này sẽ không áp dụng cho các hệ thống khởi động kép của Windows và Linux. Sau khi áp dụng bản cập nhật SBAT, các hình ảnh ISO Linux cũ hơn có thể không khởi động. Nếu điều này xảy ra, hãy làm việc với nhà cung cấp Linux của bạn để nhận được hình ảnh ISO cập nhật.

  • [Hệ thống Tên Miền (DNS)] Bản cập nhật này sẽ làm cứng bảo mật máy chủ DNS để giải quyết CVE-2024-37968. Nếu cấu hình tên miền của bạn không được cập nhật, bạn có thể gặp lỗi SERVFAIL hoặc hết thời gian chờ.

Để biết thêm thông tin về các lỗ hổng bảo mật đã giải quyết, vui lòng tham khảo Triển khai | Hướng dẫn Cập nhật Bảo mật và Bản cập nhật Bảo mật tháng 8 năm 2024 Cập nhật.

Những sự cố đã biết trong bản cập nhật này

Dấu hiệu

Bước tiếp theo

Sau khi cài đặt bản cập nhật Windows được phát hành vào hoặc sau ngày 9 tháng 7 năm 2024, Windows Servers có thể ảnh hưởng đến Kết nối Máy tính Từ xa trong toàn tổ chức. Sự cố này có thể xảy ra nếu dùng giao thức kế thừa (Gọi Thủ tục Từ xa qua HTTP) trong Cổng kết nối Máy tính Từ xa. Do đó, các kết nối máy tính từ xa có thể bị gián đoạn.

Sự cố này thỉnh thoảng có thể xảy ra, chẳng hạn như lặp lại 30 phút một lần. Tại khoảng thời gian này, phiên đăng nhập bị mất và người dùng sẽ cần phải kết nối lại với máy chủ. Người quản trị CNTT có thể theo dõi điều này dưới dạng chấm dứt dịch vụ TSGateway, dịch vụ này sẽ không phản hồi với mã ngoại 0xc0000005.

Để khắc phục sự cố này, hãy sử dụng một trong các tùy chọn sau:

Tùy chọn 1: Không cho phép kết nối qua đường ống và cổng \pipe\RpcProxy\3388 thông qua Cổng RD.

Quy trình này sẽ yêu cầu sử dụng các ứng dụng kết nối, chẳng hạn như phần mềm tường lửa. Tham khảo tài liệu dành cho phần mềm tường lửa và kết nối kết nối của bạn để biết hướng dẫn về kết nối phân tích và nối cổng.

Tùy chọn 2: Chỉnh sửa sổ đăng ký thiết bị khách và đặt giá trị của RDGClientTransport thành 0x00000000 (0)

Trong Sổ đăng ký Windows Trình soạn thảo, dẫn hướng đến vị trí đăng ký sau đây:

HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client

Tìm RDGClientTransport và đặt giá trị thành 0 (không). Điều này sẽ thay đổi giá trị của RDGClientTransportthành 0x00000000 (0).

Chúng tôi đang tìm giải pháp và sẽ cung cấp bản cập nhật trong một bản phát hành sắp tới.

Sau khi cài đặt bản cập nhật bảo mật này, bạn có thể gặp sự cố khi khởi động Linux nếu đã bật thiết lập khởi động kép cho Windows và Linux trên thiết bị của mình.

Do sự cố này, thiết bị của bạn có thể không khởi động được Linux và hiển thị thông báo lỗi "Xác minh không thành công dữ liệu shim SBAT: Vi phạm Chính sách Bảo mật. Đã xảy ra sự cố nghiêm trọng: Tự kiểm tra SBAT không thành công: Vi phạm Chính sách Bảo mật."

Bản cập nhật bảo mật Windows tháng 8 năm 2024 này áp dụng cài đặt Nhắm mục tiêu Nâng cao Khởi động An toàn (SBAT) cho các thiết bị chạy Windows để chặn trình quản lý khởi động cũ, dễ bị tấn công. Bản cập nhật SBAT này sẽ không được áp dụng cho các thiết bị phát hiện khả năng khởi động kép. Trên một số thiết bị, tính năng phát hiện khởi động kép không phát hiện một số phương pháp tùy chỉnh của khởi động kép và áp dụng giá trị SBAT khi không nên áp dụng.

Bản cập nhật Windows (KB5043125 hành vào tháng 9 năm 2024 không chứa các cài đặt gây ra sự cố này.

Trên các hệ thống dành riêng cho Windows, sau khi cài đặt bản cập nhật tháng 9 năm 2024 trở lên, bạn có thể đặt khóa đăng ký được ghi trong CVE-2022-2601CVE-2023-40547 để đảm bảo áp dụng bản cập nhật bảo mật SBAT. ​​​​​​​

Trên các hệ thống khởi động kép Linux và Windows, không có bước bổ sung cần thiết sau khi cài đặt bản cập nhật tháng 9 năm 2024 trở lên.

Để biết trạng thái hiện tại của mọi sự cố đã biết trước đây, hãy xem trang Sự cố Đã biết về Windows Server 2012

Cách tải bản cập nhật này

Trước khi cài đặt bản cập nhật này

Bạn nên cài đặt bản cập nhật sắp xếp cung cấp dịch vụ (SSU) mới nhất cho hệ điều hành của mình trước khi cài đặt Bản tổng hợp mới nhất. SSU cải thiện độ tin cậy của quá trình cập nhật để giảm thiểu các sự cố tiềm ẩn trong khi cài đặt Bản tổng hợp và áp dụng bản sửa lỗi bảo mật của Microsoft. Để biết thông tin chung về SSU , hãy xem Bản cập nhật sắp xếp cung cấp dịch vụ và Bản xếp chồng Dịch vụ Cập nhật (SSU): Câu hỏi Thường Gặp.

Nếu bạn sử Windows Update, hệ điều hành (SSU) mới nhất (KB5041589) sẽ tự động được cung cấp cho bạn. Để tải gói độc lập cho SSU mới nhất, hãy tìm kiếm gói đó trong Danh mục Microsoft Update.

Gói ngôn ngữ

Nếu bạn cài đặt gói ngôn ngữ sau khi cài đặt bản cập nhật này, bạn phải cài đặt lại bản cập nhật này. Vì vậy, chúng tôi khuyên bạn nên cài đặt bất kỳ gói ngôn ngữ nào bạn cần trước khi cài đặt bản cập nhật này. Để biết thêm thông tin, hãy xem Tìm hiểu về cách thêm gói ngôn ngữ vào Windows.

Cài đặt bản cập nhật này

Để cài đặt bản cập nhật này, hãy sử dụng một trong các kênh phát hành sau.

Khả dụng

Bước tiếp theo

Bản cập nhật này sẽ được tải xuống và cài đặt tự động từ Windows Update.

Khả dụng

Bước tiếp theo

Để tải gói độc lập cho bản cập nhật này, hãy truy cập trang web Danh mục Microsoft Update .

Để tải xuống các bản cập nhật từ Danh mục Cập nhật, hãy xem Các bước tải xuống bản cập nhật từ Danh Windows Update mục.

Khả dụng

Bước tiếp theo

Bản cập nhật này sẽ tự động đồng bộ nếu bạn đặt cấu hình Các Sản phẩm và Phân loại như sau:

  • Sản phẩm: Windows Server 2012

  • Phân loại: Bản cập nhật Bảo mật

Để biết thêm thông tin về việc đặt cấu hình trong WSUS, hãy xem Dịch vụ Cập nhật Windows Server (WSUS).

Để biết thêm thông tin về việc đặt cấu hình trong Configuration Manager, hãy xem Đồng bộ hóa các bản cập nhật phần mềm.

Thông tin tệp

Để biết danh sách các tệp được cung cấp trong bản cập nhật này, hãy tải xuống thông tin tệp cho bản cập KB5041851.

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.