2025 年 4 月 8 日 - KB5055609 (月度汇总)

对 Windows Server 2008 的支持将于 2026 年 1 月结束

Windows Server 2008 高级保证将于 2026 年 1 月 13 日结束。

Windows Server 2008 扩展安全更新 (ESU) 已于 2023 年 1 月 10 日结束。此外，Azure 上的扩展安全更新支持于 2024 年 1 月 9 日结束。有关详细信息，请参阅 Windows Server 扩展安全更新概述。

建议升级到更高版本的 Windows Server。有关详细信息，请参阅 Windows Server 升级概述。

更改日期	更改说明
2025 年 5 月 9 日	添加了以下记录项：[Kerberos 身份验证] 行为更改：添加了对当证书颁发机构属于 Windows 根存储区而不是 NTAuth 存储区时发生的漏洞的保护。默认情况下启用的此更改可能会导致在域控制器上记录事件 ID：45 个事件。有关详细信息，请参阅 KB5057784 和 CVE-2025-26647。

摘要

详细了解此累积安全更新，包括改进、任何已知问题以及如何获取更新。

有关各种类型的 Windows 更新（例如关键更新、安全性更新、驱动程序更新、Service Pack 等）的信息，请参阅用于描述Microsoft软件更新的标准术语的说明。若要查看Windows Server 2008 SP2 的其他说明和消息，请参阅Windows Server 2008 SP2 更新历史记录。

此累积安全更新包含 (2025 年 3 月 11 日发布的更新 KB5053888) 的改进。下面是此更新所解决的关键问题的摘要。括号中的粗体文本表示我们记录的更改的项目或区域。

[OS 安全性] 安装此更新或更高版本的 Windows 更新后，将在设备上创建新的 %systemdrive%\inetpub 文件夹。无论目标设备上是否启用了 Internet Information Services (IIS) ，都不应删除此文件夹。此行为是增加保护的更改的一部分，不需要 IT 管理员和最终用户执行任何作。有关详细信息，请参阅 CVE-2025-21204。
[Kerberos 身份验证] 更改行为：添加了对当证书颁发机构属于 Windows 根存储区而不是 NTAuth 存储区时发生的漏洞的保护。默认情况下启用的此更改可能会导致在域控制器上记录 事件 ID：45 个事件。有关详细信息，请参阅 KB5057784 和 CVE-2025-26647。

有关已解决的安全漏洞的详细信息，请参阅部署 |安全更新指南和 2025 年 4 月安全汇报。

症状

安装此更新并重新启动设备后，你可能会收到错误消息“配置 Windows 更新失败。正在还原更改。不要关闭计算机“，更新可能会在更新历史记录中显示为”失败”。

解决方法

在以下情况下会出现此情况：

如果你有 ESU 密钥并遇到此问题，请验证是否已应用所有先决条件，并且密钥是否已激活。有关激活的信息，请参阅“获取符合条件的 Windows 设备的扩展安全更新”博客文章。有关先决条件的信息，请参阅本文的"如何获取此更新"部分。

有关 Windows Server 2008 SP2 已知问题的最新信息，请转到 Windows 版本运行状况仪表板。

安装此更新前

若要安装 2025 年 1 月 14 日或之后发布的任何 Windows Server 2008 SP2 月度汇总，必须先安装最新的服务堆栈更新 (SSU) 。如果设备或脱机映像未安装最新的 SSU，则无法安装此更新。

警告: 在安装 SSU 之前，不会向设备提供此更新。若要降低安全风险，请尽快安装 SSU。

如果使用Windows 更新，系统会自动为你提供最新的 SSU (KB5056457) 。安装最新的 SSU 后，你将能够安装此更新。
如果使用更新目录，则必须下载并安装最新的 SSU (KB5056457) 。安装最新的 SSU 后，你将能够安装此更新。
如果你是Windows Server Update Services (WSUS) 管理员，则必须批准 SSU KB5056457，并且此更新KB5055609。

语言包

若在安装此更新后安装语言包，则必须重新安装此更新。因此，我们建议先安装所需的全部语言包，然后再安装此更新。有关详细信息，请参阅了解如何将语言包添加到 Windows。

安装此更新

若要安装此更新，请使用以下发布频道之一。