2025 年 4 月 8 日 - KB5055521(OS 内部版本 14393.7969)
Applies To
Windows 10, version 1607, all editions Windows Server 2016, all editions发布日期:
2025/4/8
版本:
OS 内部版本 14393.7969
有关 Windows 更新术语的信息,请参阅有关 Windows 更新类型和每月质量更新类型的文章。 有关Windows 10版本 1607 的概述,请参阅其更新历史记录页。
重要提示 Windows 更新不会安装Microsoft应用商店应用程序更新。 如果你是企业用户,请参阅 Microsoft 应用商店应用 - Configuration Manager。 如果你是使用者用户,请参阅 在 Microsoft Store 中获取应用和游戏的更新。
更改日期 |
更改说明 |
2025 年 5 月 9 日 |
|
摘要
此累积更新包含安全和质量改进。 下面是此更新所解决的关键问题的摘要。 括号中的粗体文本表示我们记录的更改的项目或区域。
-
此更新解决了 Windows作系统的安全问题。
-
[夏令时 (DST) ] 智利艾森地区的更新,以支持 2025 年政府 DST 更改订单。 有关 DST 更改的详细信息,请参阅 夏令时 & 时区博客。
-
[OS 安全性] 安装此更新或更高版本的 Windows 更新后,将在设备上创建新的 %systemdrive%\inetpub 文件夹。 无论目标设备上是否启用了 Internet Information Services (IIS) ,都不应删除此文件夹。 此行为是增加保护的更改的一部分,不需要 IT 管理员和最终用户执行任何作。 有关详细信息,请参阅 CVE-2025-21204。
-
[Kerberos 身份验证] 更改行为:添加了对当证书颁发机构属于 Windows 根存储区而不是 NTAuth 存储区时发生的漏洞的保护。 默认情况下启用的此更改可能会导致在域控制器上记录 事件 ID:45 个事件。 有关详细信息,请参阅 KB5057784 和 CVE-2025-26647。
如果已安装较早的更新,那么此程序包中只有新的更新程序会下载并安装到设备上。
有关安全漏洞的详细信息,请参阅新的安全更新指南网站和 2025 年 4 月安全汇报。
已知问题
症状
Active Directory 组策略本地策略中的审核登录/注销事件可能不会在设备上显示为已启用,即使它们已启用并且按预期工作。 这可以在本地组策略 编辑器或本地安全策略中观察到,其中本地审核策略显示“审核登录事件”策略,安全设置为“无审核”。
此问题可能仅表现为报告不一致。 有可能在设备上正确审核登录事件。 但是,“审核登录事件”策略将反映情况并非如此。 家庭用户不太可能受到此问题的影响,因为登录审核通常仅在企业环境中是必需的。
解决方法
此问题已在 2025 年 4 月 11 日 - KB5058921 (OS 内部版本 14393.7973) 带外 更新中得到解决。 此带外 (OOB) 更新仅在 Microsoft更新目录中可用。 由于这是累积更新,因此在安装之前无需应用任何以前的更新,并且会取代以前的所有更新。 安装此 OOB 需要重启设备。
如果你的组织尚未部署此更新,并且你利用 Active Directory 组策略,我们建议改为应用 2025 年 4 月 11 日KB5058921 (OS 内部版本 14393.7973) 带外更新。
与往常一样,我们建议为设备安装最新更新,因为它包含重要的改进和问题解决方法,包括此更新。
如果在 2025 年 4 月 11 日或之后安装发布的更新,则无需对此问题使用解决方法。
如果你使用的是 2025 年 4 月 11 日之前发布的更新,并且遇到此问题,则可以对 Windows 注册表进行调整以防止此问题。 有关信息,请参阅“部署基于域的策略时,安全审核设置不应用于基于 Windows Vista 和基于 Windows Server 2008 的计算机”。
如何获取此更新
安装此更新之前
若要安装 2025 年 1 月 14 日或之后发布的任何Windows 10版本 1607 累积更新,必须先安装最新的服务堆栈更新 (SSU) 。 如果设备或脱机映像未安装最新的 SSU,则无法安装此更新。
谨慎 在安装 SSU 之前,不会向设备提供此更新。 若要降低安全风险,请尽快安装 SSU。
-
如果使用Windows 更新,系统会自动为你提供最新的 SSU (KB5055661) 。 安装最新的 SSU 后,你将能够安装此更新。
-
如果使用 Windows 更新 for Business,系统会自动为你提供最新的 SSU (KB5055661) 。 安装最新的 SSU 后,你将能够安装此更新。
-
如果使用更新目录,则必须下载并安装最新的 SSU (KB5055661) 。 安装最新的 SSU 后,你将能够安装此更新。
-
如果你是Windows Server Update Services (WSUS) 管理员,则必须批准 SSU KB5055661,并且此更新KB5055521。
有关 SSU 的一般信息,请参阅服务堆栈更新和服务堆栈汇报 (SSU) :常见问题。
安装此更新
若要安装此更新,请使用以下 Windows 和 Microsoft 发布通道之一。
可用 |
下一步 |
|
此更新将从 Windows 更新 自动下载并安装,Microsoft更新。 |
可用 |
下一步 |
|
将根据配置的策略,从 Windows 更新 for Business 自动下载并安装此更新。 |
可用 |
下一步 |
|
若要获取此更新的独立包,请转到 Microsoft更新目录 网站。 |
可用 |
下一步 |
|
如果按如下所示配置产品和分类,此更新将自动与 Windows Server Update Services (WSUS) 同步: 产品:Windows 10 分类:安全更新 |
文件信息
在 CSV (逗号分隔) (*.csv) 文件中提供了此更新中包含的文件列表。 文件可以在文本编辑器(如记事本)或 Microsoft Excel 中打开。