2021年11月9日——KB5007236 (月度彙整)

套用到
Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU

摘要

了解更多關於此安全更新的內容,包括改進與修正、已知問題,以及如何取得更新。

重要

Windows 7、Windows Server 2008 R2、Windows Embedded Standard 7 以及 Windows Embedded POS Ready 7 已達到主流支援的終點,現正進入 ESU) 支援 (延長安全更新階段。 Windows Thin PC 已終止主要支援;不過,無法使用 ESU 支援。

自 2020 年 7 月起,此作業系統將不再有可選的非安全版本 (稱為「C」版本) 。 處於延伸支援期間的作業系統每月僅有累積安全性更新 (稱為 "B" 或星期二更新版本)。

安裝此更新前,請先確認已安裝如何取得此更新一節所列出的必要更新。 

如需有關重大、安全性、驅動程式、Service Pack 等不同類型的 Windows 更新的詳細資訊,請參閱下列文章。 若要檢視其他附註與訊息,請參閱 Windows 7 與 Windows Server 2008 R2 更新記錄首頁

改進與修正

此安全更新包含了 2021 年 10 月 12 日 ) (更新 KB5006743 中包含的改進與修正,並解決了以下問題:

  • 解決了一個已知問題,該問題可能阻止裝置在首次嘗試連接網路印表機時下載並安裝印表機驅動程式。 我們觀察到使用列印伺服器(使用HTTP連線)存取印表機的裝置上也有此問題。
  • 解決一個已知問題,該問題阻礙網際網路列印伺服器在將套件傳送給用戶端前,正確打包修改過的印表機屬性。
  • 解決某些應用程式在渲染某些使用者介面元素或在應用程式內繪圖時可能出現意外結果的問題。 你可能會在使用 GDI+ 並將 0) (0 寬度的筆形物件設定在高 DPI) 或解析度 (或應用程式使用縮放時遇到這個問題。

欲了解更多已解決安全漏洞的資訊,請參閱新版安全更新指南網站及2021年11月安全匯報

此更新中的已知問題

徵兆 因應措施
安裝此更新並重新啟動裝置後,您可能會收到錯誤訊息:「無法設定 Windows 更新。 正在還原變更。 請勿關機」,更新紀錄中可能會顯示「失敗」。 在下列情況中會發生此狀況:

  • 如果要在執行 ESU 不支援的版本的設備上安裝此更新。 有關支援哪些版本的完整清單,請參閱 KB4497181
  • 如果您沒有安裝並啟用 ESU MAK 附加金鑰。
如果您已購買 ESU 金鑰並遇到此問題,請驗證您已套用所有先決條件,並且金鑰已啟用。 有關啟動的說明,請參閱此部落格文章。 關於先修條件的資訊,請參閱本文的 「如何取得此更新 」章節。
某些操作,例如 重新命名,例如對叢集共享卷或資料夾 (CSV) 執行的,可能會因錯誤「STATUS_BAD_IMPERSONATION_LEVEL (0xC00000A5) 」而失敗。 當您從沒有系統管理員權限的處理程序對 CSV 擁有者節點執行作業時,發生這個問題。 執行下列其中一項:

  • 從具有系統管理員權限的處理程序執行作業。
  • 從沒有 CSV 擁有權的節點執行作業。
Microsoft 正在研究解決方案,將會在未來版本中提供更新。
安裝此更新後,Windows 列印用戶端在連接 Windows 列印伺服器上共享的遠端印表機時,可能會遇到以下錯誤:

  • 0x000006e4 (RPC_S_CANNOT_SUPPORT)
  • 0x0000007c (ERROR_INVALID_LEVEL)
  • 0x00000709 (ERROR_INVALID_PRINTER_NAME)
本期描述的印表機連接問題是列印伺服器特有的,且在為家庭使用的裝置中並不常見。 受此問題影響的列印環境在企業與組織中較為常見。
這個問題在 KB5008244中解決了。
在您的網域控制器 (DC) 安裝此更新後,伺服器可能會因透過 S4u2self 取得的 Kerberos 工單而出現認證失敗。 認證失敗是因為透過 S4u2self 取得的 Kerberos 工單,並作為協議轉移的證據票據,授權給後端服務,但後端服務在簽章驗證中失敗。 在依賴前端服務代表使用者取得 Kerberos 工單以存取後端服務的 Kerberos 委派情境中,Kerberos 認證將失敗。
重要 Kerberos 委派情境中,若客戶端提供前端服務並提供證據工單,則不受影響。 純 Azure Active Directory 環境不受此問題影響。
您環境中的終端使用者可能無法使用 單一登入 (SSO) 登入服務或應用程式,無論是在本地使用 Active Directory 或混合Azure Active Directory 環境。 安裝在客戶端 Windows 裝置上的匯報不會造成或影響這個問題。
關於更多症狀及與此已知問題相關的具體錯誤,請參閱 Windows 發佈健康上的已知問題
這個問題在 KB5008605中已經解決。
安裝此更新後,Microsoft安裝程式 (MSI) 可能會在修復或更新應用程式時遇到問題。 已知受影響的應用程式包括 一些卡巴斯基的應用程式。 受影響的應用程式在嘗試更新或修復後可能無法開啟。 這個問題在 KB5008244中解決了。

如何取得此更新

安裝此更新之前

重要 已購買 ESU) 擴充安全更新 ( 用戶端版本作業系統的客戶,必須依 照 KB4522133 的程序繼續接收安全更新。 延伸支援終止日期如下:

  • 對於 Windows 7 Service Pack 1 與 Windows Server 2008 R2 Service Pack 1,延伸支援會於 2020 年 1 月 14 日終止。
  • 針對 Windows Embedded Standard 7,延伸支援會於 2020 年 10 月 13 日終止。
  • 對於 Windows Embedded POS Ready 7,延長支援於 2021 年 10 月 12 日結束。
  • 對於 Windows Thin PC,延長支援於 2021 年 10 月 12 日結束。 請注意,Windows Thin PC 不支援 ESU。

如需有關 ESU 和支援哪些版本的詳細資訊,請參閱 KB4497181

對於 Windows Embedded Standard 7,必須啟用 Windows Management Instrumentation (WMI) ,才能從 Windows Update 或 Windows Server Update Services 獲得更新。

先決條件:

在安裝最新彙總套件之前,您必須先安裝下列更新並重新啟動您的裝置。 安裝這些更新有助於在安裝彙總套件和套用 Microsoft 安全性修正程式時,提高更新程序的可靠性並防範潛在問題。

  1. 2019 年 3 月 12 日服務堆疊更新 (SSU) (KB4490628)。 要取得此 SSU 的獨立套件,請在 Microsoft Update Catalog 中搜尋。 務必要安裝此更新,才能安裝僅以 SHA-2 簽署的更新。
  2. 2019 年 9 月 10 日發行的最新 SHA-2 更新 (KB4474419)。 如果使用 Windows Update,最新的 SHA-2 更新將會自動提供給您。 務必要安裝此更新,才能安裝僅以 SHA-2 簽署的更新。 如需有關 SHA-2 更新的詳細資訊,請參閱 2019 年 Windows 和 WSUS 的 SHA-2 程式碼簽署支援需求
  3. 要取得此安全性更新,即使您先前已安裝 ESU 金鑰,仍必須重新安裝「延伸安全性更新 (ESU) 授權準備套件」(KB4538483) 或「延伸安全性更新 (ESU) 授權準備套件更新」((KB4575903)。 ESU 授權準備套件將會從 WSUS 提供給您。 要取得 ESU 授權準備套件的獨立套件,請在 Microsoft Update Catalog 中搜尋。

安裝上述裝置後,我們強烈建議您安裝最新的 SSU (KB5006749) 。 使用 Windows Update 時,若您是 ESU 顧客,則會自動為您提供最新的 SSU。 若要取得最新 SSU 的獨立套件,請在 Microsoft Update Catalog 中搜尋。 如需有關 SSU 的一般資訊,請參閱服務堆疊更新服務堆疊更新 (SSU):常見問題集

安裝此更新

發行管道 可取得 下一步
Windows Update 和 Microsoft Update 無。 如果您是 ESU 客戶,此更新將從 Windows Update 自動下載並安裝。
Microsoft Update Catalog 若要取得此更新的獨立套件,請前往 Microsoft Update Catalog 網站。
Windows Server Update Services (WSUS) 如果您依下列所示設定 [產品和分類],此更新將會自動與 WSUS 同步:
產品:Windows 7 服務包 1、Windows Server 2008 R2 服務包 1、Windows Embedded Standard 7 服務包 1、Windows 嵌入式 POSReady 7、Windows Thin PC
分類:安全性更新

檔案詳細資訊

如需本次更新所提供的檔案清單,請下載 更新5007236的檔案資訊