2024 年 8 月 13 日 - KB5041592(OS 内部版本 22000.3147)

应用对象
Windows 11 version 21H2, all editions

注意

  • 24/07/09---结束服务通知---
  • 重要所有版本的 Windows 11 版本 21H2 将于 2024 年 10 月 8 日终止服务。 在此日期之后,这些设备将不会收到每月的安全和非安全更新。 这些更新包含针对最新安全威胁的保护。 若要继续接收这些更新,建议更新到最新版本的 Windows。

注意

提示

正在查找本月的视频? 本文现介绍Windows 11版本 22H2 和 23H2

高亮

  • 此更新解决了 Windows 操作系统的安全问题。

改进

此安全更新包括改进。 下面是此更新在安装此知识库时解决的关键问题的摘要。 如果有新功能,也会列出这些功能。 括号中的粗体文本表示我们记录的更改的项目或区域。

  • [受保护的进程光 (PPL) 保护] 可以绕过它们。
  • [Windows 内核易受攻击的驱动程序阻止列表文件 (DriverSiPolicy.p7b) ] 此更新将添加到面临“自带易受攻击的驱动程序” (BYOVD) 攻击的驱动程序列表中。
  • [BitLocker (已知问题) ] 启动设备时会显示 BitLocker 恢复 屏幕。 安装 2024 年 7 月 9 日更新后,会发生这种情况。 如果 启用设备加密 ,则更有可能发生此问题。 转到 “设置”>“隐私”&“安全>设备加密”。 若要解锁驱动器,Windows 可能会要求你输入Microsoft帐户中的恢复密钥。
  • [锁屏界面] 此更新解决了 CVE-2024-38143。 因此,锁屏界面上“使用我的 Windows 用户帐户”复选框无法连接到 Wi-Fi。
  • [NetJoinLegacyAccountReuse] 此更新会删除此注册表项。 有关详细信息,请参阅 KB5020276 - Netjoin:域加入强化更改
  • [安全启动高级目标 (SBAT) 和Linux可扩展固件接口 (EFI) ] 此更新将 SBAT 应用于运行 Windows 的系统。 这会阻止易受攻击Linux EFI (Shim 启动加载程序) 运行。 此 SBAT 更新不适用于双启动 Windows 和Linux的系统。 应用 SBAT 更新后,较旧的Linux ISO 映像可能无法启动。 如果发生这种情况,请与Linux供应商合作以获取更新的 ISO 映像。

如果已安装较早的更新,那么此程序包中只有新的更新程序会下载并安装到设备上。

有关安全漏洞的详细信息,请参阅安全更新指南网站和 2024 年 8 月安全汇报

Windows 11服务堆栈更新 (KB5041591) - 22000.3139

此更新对服务堆栈进行了质量改进,服务堆栈是安装 Windows 更新的组件。 服务堆栈更新 (SSU) 可确保你拥有强大且可靠的服务堆栈,让你的设备可以接收和安装 Microsoft 更新。

此更新中的已知问题

适用于 问题 解决方法
所有用户 安装此更新后,可能无法更改用户帐户个人资料图片。尝试通过选择按钮“开始>设置帐户”“你的信息”>,然后选择“选择文件”来更改个人资料图片时,你可能会收到一条错误消息,其中包含错误代码0x80070520。> 经过进一步调查,我们得出结论,此问题对此 Windows 版本的影响非常有限或无影响。如果在Windows 11版本 21H2 设备上遇到此问题,请联系 Windows 支持部门寻求帮助。
所有用户 安装此安全更新后,如果已在设备中为 Windows 和 Linux 启用双启动安装程序,则启动 Linux 时可能会遇到问题。 由于此问题,你的设备可能无法启动 Linux 并显示错误消息“验证填充码 SBAT 数据失败:安全策略冲突。 出现严重错误:SBAT 自我检查失败:违反安全策略。”
2024 年 8 月 Windows 安全更新将安全启动高级目标 (SBAT) 设置应用于运行 Windows 的设备,以阻止旧的易受攻击的启动管理器。 此 SBAT 更新不会应用于检测到双启动的设备。 在某些设备上,双启动检测未检测到一些自定义的双启动方法,并且在不该应用 SBAT 值时应用了 SBAT 值。
2024 年 9 月 Windows 安全更新 (KB5043067) 及更高版本的更新不包含导致此问题的设置。
在仅限 Windows 的系统上,安装 2024 年 9 月或更高版本的更新后,可以设置 CVE-2022-2601CVE-2023-40547 中记录的注册表项,以确保应用 SBAT 安全更新。
在双启动Linux和 Windows 的系统上,安装 2024 年 9 月或更高版本的更新后,无需执行其他步骤。

如何获取此更新

安装此更新之前

Microsoft将操作系统的最新服务堆栈更新 (SSU) 与最新的累积更新 (LCU) 相结合。 有关 SSU 的一般信息,请参阅服务堆栈更新服务堆栈更新 (SSU):常见问题解答

安装此更新

若要安装此更新,请使用以下 Windows 和 Microsoft 发布通道之一。


可用 下一步
无。 此更新将从 Windows 更新 自动下载并安装,Microsoft更新。

注意

  • 如果要删除 LCU
  • 若要在安装组合的 SSU 和 LCU 包后删除 LCU,请使用 DISM/Remove-Package 命令行选项和 LCU 包名称作为参数。 可以使用以下命令查找包名称:DISM /online /get-packages
  • 在组合包上使用 /uninstall 开关运行Windows 更新独立安装程序 (wusa.exe) 将不起作用,因为组合包包含 SSU。 安装后,无法从系统中删除 SSU。

文件信息

有关此更新中提供的文件列表,请下载 累积更新5041592的文件信息

有关服务堆栈更新中提供的文件列表,请下载 SSU (KB5041591) - 版本 22000.3139 的文件信息