阻止基於虛擬化的安全回滾指引 (VBS) 相關安全更新

原始出版日期： 2024 年 8 月 13 日

KB ID： 5042562

Windows 10 將於 2025 年 10 月終止支援

2025 年 10 月 14 日之後，Microsoft 將不再提供 Windows Update、技術協助或 Windows 10 安全性問題修正的免費軟體更新。您的電腦仍可運作，但我們建議您移至 Windows 11。

深入了解

關於 SkuSiPolicy.p7b 政策的重要說明

關於如何套用更新政策的說明，請參閱 SkuSiPolicy.p7b) (部署Microsoft簽署的撤銷政策。

本文內容

摘要
影響範圍
可用的風險降低措施
了解風險降低
風險降低措施部署指導方針
- 部署Microsoft簽署的撤銷政策 (SkuSiPolicy.p7b)
- 更新外部開機媒體
Windows 事件記錄檔
- 原則啟用事件
- 稽核並封鎖事件
原則移除和復原程序
本文所作變更

摘要

Microsoft 發現 Windows 中的弱點，此弱點可讓具有系統管理員權限的攻擊者取代具有較舊版本的更新 Windows 系統檔案，讓攻擊者能夠利用虛擬化型安全性 (VBS) 重新使用弱點。這些二進位文件的復原可能會讓攻擊者規避 VBS 安全性功能，並移除受 VBS 保護的資料。 CVE-2024-21302 | Windows 安全核心模式權限提高弱點中說明了此問題。

若要解決此問題，我們將撤銷未更新的弱點 VBS 系統檔案。由於必須封鎖大量 VBS 相關檔案，我們使用替代方法來封鎖未更新的檔案版本。

影響範圍

支援 VBS 的所有 Windows 裝置都會受到此問題影響。這包括內部部署實體裝置和虛擬機 (VM)。 Windows 10 及更新版本 Windows 以及 Windows Server 2016 和更新版本的 Windows Server 都支援 VBS。

您可以透過 Microsoft 系統資訊工具 (Msinfo32.exe)檢查 VBS 狀態。此工具會收集您的裝置相關資訊。開始 Msinfo32.exe 之後，向下捲動到虛擬化型安全性資料列。如果此列的值為執行，VBS 會啟用並執行。

醒目提示 [虛擬化型安全性] 列的 [系統資訊] 對話方塊

您也可以使用 Win32_DeviceGuard WMI 類別，在 Windows PowerShell 中檢查 VBS 狀態。若要從 PowerShell 查詢 VBS 狀態，請開啟提升權限的 Windows PowerShell 工作階段，然後執行下列命令：

Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

執行上述 PowerShell 命令之後，VBS 狀態應為下列其中一項。

欄位名稱	狀態
VirtualizationBasedSecurityStatus	如果欄位等於 0，則不會啟用 VBS。如果欄位等於 1，則會啟用 VBS，但不會執行。如果欄位等於 2，VBS 會啟用並執行。

可用的風險降低措施

對於所有支援的 Windows 10 版本、1507 及以上版本的 Windows 版本，以及 Windows Server 2016 及以後的 Windows Server 版本，管理員都可以部署Microsoft簽署的撤銷政策 (SkuSiPolicy.p7b) 。這會封鎖未由作業系統載入未更新 VBS 系統檔案的弱點版本。

當 SkuSiPolicy.p7b 套用到 Windows 裝置時，該政策也會透過在 UEFI 韌體中加入變數鎖定該裝置。啟動期間，原則載入和 Windows 會封鎖違反原則的二進位檔載入。如果已套用 UEFI 鎖定，且原則已移除或以舊版取代，Windows 開機管理程式將不會啟動，而且裝置也不會啟動。此開機失敗不會顯示錯誤，系統將會繼續進行下一個可用的開機選項，這可能會導致開機迴圈。

新增一項由 Microsoft 簽署的 CI 政策，預設啟用且不需額外部署步驟，且不綁定於 UEFI。此簽署的 CI 政策會在開機時載入，強制執行後可防止 VBS 系統檔案在該開機階段回滾。與 SkuSiPolicy.p7b 不同，裝置若已卸載更新，仍可繼續開機。 此政策包含在所有支援的 Windows 10、1507 及以上版本中。 管理員仍可套用 SkuSkiPolicy.p7b 來提供額外的開機會話回滾保護。

用於證明電腦開機健康狀況的 Windows 測量開機日誌包含開機過程中載入的政策版本資訊。這些日誌在開機時由 TPM 安全維護，Microsoft 認證服務會解析這些日誌以驗證載入正確的政策版本。證明服務會強制執行規則，確保載入特定政策版本或更高版本;否則，這個系統將無法被證明為健康。

為了讓政策緩解有效，必須透過 Windows 服務更新來更新該政策，因為 Windows 的元件與政策必須來自同一版本。如果政策緩解被複製到裝置，裝置可能無法啟動，因為錯誤的緩解版本被套用，或緩解措施可能無法如預期運作。此外， KB5025885 中所述的緩解措施也應應用於您的裝置。

在 Windows 11、24H2 版本、2022 Windows Server 及 23H2 Windows Server，DRTM) 的動態信任根測量 (新增了回滾漏洞的緩解措施。此緩解措施預設已啟用。在這些系統中，受 VBS 保護的加密金鑰綁定在預設啟用的開機會話 VBS CI 政策上，只有在執行符合的 CI 政策版本時才會解封。為了啟用使用者主動回滾，新增寬限期，讓 Windows 更新套件的一個版本能安全回滾，且不會失去解封 VSM 主金鑰的功能。然而，使用者發起的回滾只有在未套用 SkuSiPolicy.p7b 時才可行。 VBS CI 政策要求所有開機二進位檔都未被回滾回撤銷版本。這表示如果擁有管理員權限的攻擊者回滾了易受攻擊的開機二進位檔，系統將無法啟動。如果 CI 政策和二進位檔都被回滾回早期版本，VSM 保護的資料就不會被解封。

了解風險降低

套用 Microsoft 簽署的撤銷原則之前，您必須先留意潛在風險。請先檢閱這些風險，在套用風險降低之前，對修復媒體進行任何必要的更新。

附註： 這些風險僅適用於 SkuSiPolicy.p7b 政策，不適用於預設啟用的保障。

UEFI 鎖定和解除更新。 在裝置上套用 Microsoft 簽署撤銷原則的 UEFI 鎖定之後，裝置無法透過卸載 Windows 更新、使用還原點或其他方式來還原，如果您繼續套用安全開機。如果已套用 UEFI 鎖定，即使重新格式化磁碟，也不會移除該功能降低功能的 UEFI 鎖定。這表示，如果您嘗試將 Windows OS 還原為先前沒有套用風險降低功能的狀態，裝置將不會啟動，不會顯示任何錯誤訊息，UEFI 將會繼續進行下一個可用的開機選項。這可能會導致開機迴圈。您必須停用安全開機才能移除 UEFI 鎖定。在將本文所述的撤銷套用至您的裝置之前，請注意所有可能的影響並進行徹底測試。
外部開機媒體。在裝置施加 UEFI 鎖定緩解措施後，外部開機媒體必須更新為裝置上最新的 Windows 更新。如果外接開機媒體沒有更新到相同的 Windows 更新版本，裝置可能無法從該媒體開機。在套用風險降低功能之前，請參閱更新外部開機媒體一節中的指示。
Windows 修復環境。裝置上的 Windows 復原環境 (WinRE)必須先更新為 2025 年 7 月 8 日發布的最新 Windows Safe OS 動態更新，才能套用 SkuSipolicy.p7b 於裝置上。省略此步驟可能會使 WinRE 無法執行重設計算機功能。如需詳細資訊，請參閱將更新套件新增至 Windows RE。
PXE 開機前執行環境 (PXE) 開機。如果緩解措施部署到裝置，且你嘗試使用 PXE 開機，裝置不會啟動，除非同時套用最新的 Windows 更新到 PXE 伺服器的開機映像檔。除非 PXE 開機伺服器已更新至 2025 年 1 月或之後發布的最新 Windows 更新，包括 PXE 開機管理員，否則不建議對網路開機來源部署緩解措施。

風險降低措施部署指導方針

若要解決本文所述的問題，您可以部署 Microsoft 簽署的撤銷原則 (SkuSiPolicy.p7b)。此緩解措施僅支援 Windows 10、版本 1507 及以上版本，以及 Windows Server 2016。

注意如果您使用 BitLocker，請確定您的 BitLocker 修復金鑰已備份。您可以從系統管理員命令提示執行下列命令，並記住 48 位數的數字密碼:

manage-bde -protectors -get %systemdrive%

部署 Microsoft 簽署的撤銷原則 (SkuSiPolicy.p7b)

Microsoft 簽署的撤銷政策已包含在最新的 Windows 更新中。此政策僅應安裝最新的 Windows 更新，然後依照以下步驟執行：

附註： 如果缺少更新，裝置可能無法從已套用的風險降低功能啟動，或是風險降低功能可能無法如預期般運作。在部署政策前，務必先用最新的 Windows 更新更新你的可開機 Windows 媒體。關於如何更新可開機媒體的詳細資訊，請參閱「更新外部開機媒體」章節。

請確保已安裝於 2025 年 1 月或之後發布的最新 Windows 更新。
- 對於Windows 11,22H2 和 23H2 版本，請先安裝 2025 年 7 月 22 日的 (KB5062663) 或更晚更新，再依照這些步驟操作。
- 對於 Windows 10，版本 21H2，請先安裝 2025 年 8 月發布的 Windows 更新或更晚更新，再依照這些步驟操作。
在提高權限的 Windows PowerShell 提示中執行下列命令：

$PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 's：' $EFIDestinationFolder = 「$MountPoint\EFI\Microsoft\Boot」 mountvol $MountPoint /S 如果 (-Not (測試路徑 $EFIDestinationFolder) ) { New-Item -路徑 $EFIDestinationFolder -類型目錄 -強制 } Copy-Item -路徑$PolicyBinary -目的地$EFIDestinationFolder -力蒙特沃爾 $MountPoint /D
重新啟動您的裝置。
使用Windows 事件記錄區段中的資訊，確認原則已載入在事件檢視器中。

注意事項

部署 SkuSiPolicy.p7b 撤銷 (原則) 檔案後，您不應將它移除。如果檔案已移除，您的裝置可能就無法再啟動。
如果您的裝置無法啟動，請參閱復原程序一節。

更新外部開機媒體

若要在有 Microsoft 簽署撤銷政策的裝置中使用外接開機媒體，必須將外接開機媒體更新為最新的 Windows 更新，包括開機管理員。若媒體未包含最新的 Windows 更新，媒體將無法啟動。

重要： 建議您在繼續之前先建立修復磁碟機。此媒體可用來重新安裝裝置，以防發生硬體失敗等重大問題，您可以使用修復磁碟機來重新安裝 Windows。

使用下列步驟來更新外部開機媒體：

切換到安裝最新 Windows 更新的裝置。
將外部開機媒體裝載為磁碟機代號。例如，將隨身碟掛接為 D：。
按兩下開始，在搜尋方塊中輸入建立修復磁碟機，然後按兩下建立修復機控制面板。依照指示使用已安裝的隨身碟建立修復磁碟機。
安全移除已安裝的隨身碟。

如果您使用以動態更新更新 Windows 安裝媒體指導方針，在您的環境中管理可安裝的媒體，請依照下列步驟進行：

切換到安裝最新 Windows 更新的裝置。
依照「更新 Windows 安裝媒體」中的步驟，使用動態更新建立安裝最新 Windows 更新的媒體。

Windows 事件記錄檔

Windows 會在載入程式碼完整性原則時 (包括 SkuSiPolicy.p7b) 以及檔案因原則強制執行而遭到封鎖而無法載入時記錄事件。您可以使用這些事件來確認已套用風險降低功能。

程式碼完整性記錄可在 Windows 事件檢視器中應用程式和服務記錄 > Microsoft > Windows > CodeIntegrity > 作業 > 應用程式和服務記錄 > 服務記錄 > Microsoft > Windows > AppLocker > MSI 和指令碼內提供。

如需程式碼完整性事件的詳細資訊，請參閱 Windows Defender 應用程式控制操作指南。

原則啟用事件

原則啟用事件可在 Windows 事件記錄中應用程式與服務記錄 > Microsoft > Windows > CodeIntegrity > 作業中提供。

PolicyNameBuffer – Microsoft Windows SKU SI 原則
PolicyGUID – {976d12c8-cb9f-4730-be52-54600843238e}
PolicyHash – 107E8FDD187C34CF8B8EA46A4EE99F0DB60F491650DC989DB71B4825DC73169D

Microsoft Windows SKU SI 原則

如果您已將稽核原則或風險降低措施套用到您的裝置，且套用原則的 CodeIntegrity 事件 3099 不存在，則不會強制執行該原則。請參閱部署指示以確認原則是否正確安裝。

附註： 程式碼完整性事件 3099 不支援於 Windows 10 企業版 2016、Windows Server 2016 及 Windows 10 企業版 2015 長期維護版本。要驗證該政策是否已 (套用在稽核或撤銷政策) ，您必須使用 mountvol.exe 指令掛載 EFI 系統分割區，並確認該政策是否已套用於 EFI 分割區。驗證後務必卸載 EFI 系統分割區。

SkuSiPolicy.p7b - 撤銷政策

SkuSiPolicy.p7b 政策已被應用

稽核並封鎖事件

程式碼完整性稽核和封鎖事件可在 Windows 事件檢視器中應用程式和服務記錄 > Microsoft > Windows > CodeIntegrity > 作業 > 應用程式和服務記錄 > Microsoft > Windows > AppLocker > MSI 和指令碼內提供。

前者的記錄位置包含有關可執行檔、dll 和驅動程式控制的事件。後者的記錄位置包含 MSI 安裝程式、指令碼和 COM 物件控件的相關事件。

「CodeIntegrity – 營運」記錄中的 CodeIntegrity 事件 3077 表示可執行檔、.dll 或驅動程式已遭封鎖而無法載入。此事件包含關於封鎖檔案和強制原則的資訊。針對受到風險降低功能封鎖的檔案，CodeIntegrity 事件 3077 中的原則資訊會與事件 3099 中 SkuSiPolicy.p7b 的原則資訊相符。如果裝置上沒有任何違反程式碼完整性原則的可執行檔、.dll 或驅動程式，將不會顯示 CodeIntegrity 事件 3077。

如需其他程式碼完整性稽核和封鎖事件，請參閱了解應用程式控制事件。

原則移除和復原程序

如果在套用風險降低功能後發生問題，您可以使用下列步驟來移除風險降低功能：

啟用 BitLocker 時，請將其暫停。從提升權限的「命令提示字元」視窗執行下列命令：

Manager-bde -protectors -disable c: -rebootcount 3
從 UEFI BIOS 功能表關閉安全開機。關閉安全開機的程序在裝置製造商和型號之間是不同的。如需有關如何關閉安全開機的說明，請參閱裝置製造商的文件。您可以在停用安全開機中找到更多詳細資料。
移除 SkuSiPolicy.p7b 原則。
1. 正常啟動 Windows，然後登入。 SkuSiPolicy.p7b 原則必須從下列位置移除：
  - <EFI 系統分割區>\Microsoft\Boot\SkuSiPolicy.p7b
2. 從升高的 Windows PowerShell 會話執行以下指令，清理這些位置的政策：
  
  $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 's:' $EFIPolicyPath = "$MountPoint\EFI\Microsoft\Boot\SkuSiPolicy.p7b" $EFIDestinationFolder="$MountPoint\EFI\Microsoft\Boot" mountvol $MountPoint /S if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force } if (Test-Path $EFIPolicyPath ) {Remove-Item -Path $EFIPolicyPath -Force } mountvol $MountPoint /D
從 BIOS 開啟安全開機。如需如何找到開啟安全開機的說明，請參閱裝置製造商的文件。如果您在步驟 1 中關閉安全開機，而且您的磁碟機受到 BitLocker 保護，請暫停 BitLocker 保護，然後從 UEFI BIOS 功能表開啟安全開機。
[開啟 BitLocker]。從提升權限的「命令提示字元」視窗執行下列命令：

Manager-bde -protectors -enable c:
重新啟動您的裝置。

變更日期	描述
2025年12月17日	更新了步驟 2 中「部署 Microsoft簽署的撤銷政策 (SkuSiPolicy.p7b) 」部分的指令，因為指令運作不正常。寄件人： reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v 可用更新 /t REG_DWORD /d 0x20 /f Start-ScheduledTask -任務名稱「\Microsoft\Windows\PI\Secure-Boot-Update」收件人： $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 's：' $EFIDestinationFolder = 「$MountPoint\EFI\Microsoft\Boot」蒙特沃爾$MountPoint /S 若 (-Not (測試路徑 $EFIDestinationFolder) ) { New-Item -路徑 $EFIDestinationFolder -類型目錄 -強制 } Copy-Item -路徑$PolicyBinary -目的地$EFIDestinationFolder -力蒙特沃爾 $MountPoint /D
2025年7月22日	更新了「部署Microsoft簽署的撤銷政策 (SkuSiPolicy.p7b) 」章節中的指令步驟。
2025年7月10日	移除了「部署稽核模式政策」這一部分，因為該功能在安裝 Windows 更新於 2025 年 7 月 8 日或之後後已經停止使用。移除了「CodeIntegrity Event 3099」這一節，因為它已經不再適用。在「了解緩解風險」部分，更新了「Windows 復原環境」主題寄件人： Windows 修復環境。裝置上的 Windows 復原環境 (WinRE)必須先更新，安裝最新的 Windows 更新後，才會將 SkuSipolicy.p7b 套用到裝置上。省略此步驟可能會使 WinRE 無法執行重設計算機功能。如需詳細資訊，請參閱將更新套件新增至 Windows RE。收件人： Windows 修復環境。裝置上的 Windows 復原環境 (WinRE)必須在 2025 年 7 月或之後更新為 Windows Safe OS 動態版，才能將 SkuSipolicy.p7b 套用到裝置上。省略此步驟可能會使 WinRE 無法執行重設計算機功能。如需詳細資訊，請參閱將更新套件新增至 Windows RE。若 Safe OS DU 更新不可用，請部署最新的累積更新。在「可用緩解措施」部分，替換了以下段落：新增一項由 Microsoft 簽署的 CI 政策，預設啟用且不需額外部署步驟，且不綁定於 UEFI。此簽署的 CI 政策會在開機時載入，強制執行後可防止 VBS 系統檔案在該開機階段回滾。與 SkuSiPolicy.p7b 不同，若預設啟用的政策被竄改或移除，裝置仍可繼續開機。此緩解措施適用於搭載 Windows 10 22H2 及更新版本的裝置。管理員仍可套用 SkuSkiPolicy.p7b 來提供額外的開機會話回滾保護。以下段落如下：新增一項由 Microsoft 簽署的 CI 政策，預設啟用且不需額外部署步驟，且不綁定於 UEFI。此簽署的 CI 政策會在開機時載入，強制執行後可防止 VBS 系統檔案在該開機階段回滾。與 SkuSiPolicy.p7b 不同，裝置若已卸載更新，仍可繼續開機。此政策包含在所有支援的 Windows 10、1507 及以上版本中。管理員仍可套用 SkuSkiPolicy.p7b 來提供額外的開機會話回滾保護。在「可用緩解措施」部分，在最後一段的第一句話中新增以下 Windows 版本：Windows 11、版本 24H2、Windows Server 2022 及 Windows Server 23H2 移除了「Policy activation events」區塊中「SiPolicy.p7b - Audit Policy」列表的圖片。
2025 年 4 月 8 日	移除了「關於 SkuSiPolicy.p7b 政策的重要說明」章節的第一句話，因為最新的更新目前並非所有 Windows 版本都能使用。更新了「可用緩解措施」部分，新增了更詳細的資訊。新增預設的開機緩解措施，以防止 Windows 10（版本 22H2 及以上）的二進位檔回滾，以及對 Windows 11（版本 24H2）上基於安全啟動或基於 DRTM 的裝置的 VBS 資料保護。
2025年2月24日	更新了「Policy activation events」區塊的備註，並新增了第二張目錄列表截圖，顯示「SiPolicy.p7b - Audit Policy」檔案。
2025年2月11日	在步驟 1 的「部署 Microsoft簽署的撤銷政策 (SkuSiPolicy.p7b) 」部分的腳本更新了。在「Policy activation events」區塊末尾新增備註，並附上目錄列表截圖，顯示「SkuSiPolicy.p7b - 撤銷政策」檔案。在「政策移除與恢復程序」部分的第 3b 步更新腳本。
2025 年 1 月 14 日	本文頂部新增了關於 SkuSiPolicy.p7b 政策的重要說明。* 已移除以下於 2024 年 11 月 12 日新增的備註 (，) 於「可用緩解措施」區塊中不再需要：「備註：支援 SKUSIPolicy.p7b 及 VbsSI_Audit.p7b 政策，適用於 Windows 10、版本 1507、Windows 10 企業版 2016 及 Windows Server 2016已加入於 2024 年 10 月 8 日及之後發布的最新 Windows 更新中。較新版本的 Windows 和 Windows Server 在 2024 年 8 月 13 日的更新中引入了這些政策。」在「部署Microsoft簽署的撤銷政策 (SkuSiPolicy.p7b) 」部分補充了更多資訊。原始文字為「注意：若缺少更新，裝置可能無法啟動時已套用緩解措施，或緩解措施可能無法如預期運作。」* 移除了「更新外部開機媒體」章節的第二段。被刪除的原始文字是「已更新為 Microsoft 簽署撤銷政策的開機媒體，僅可用於啟動已套用緩解措施的裝置。  如果搭配未使用風險降低功能的裝置使用，UEFI 鎖定會在啟動時從開機媒體套用。之後從磁碟啟動都會失敗，除非裝置有緩解措施或移除 UEFI 鎖。」* 移除了「新建立的媒體掛載後，將 SkuSiPolicy.p7b 檔案複製到 <MediaRoot>\EFI\Microsoft\Boot (，例如 D：\EFI\Microsoft\Boot) 」步驟，因為此步驟已不再必要。* 在「更新外部開機媒體」部分的「用動態更新指引更新 Windows 安裝媒體」步驟中移除了步驟 3 到 5，因為這些步驟已不再必要。* 3. 將媒體內容放入 USB 隨身碟，並將隨身碟掛載為磁碟機代號。例如，將隨身碟掛接為D:。 4. 將 SkuSiPolicy.p7b 複製到 <MediaRoot>\EFI\Microsoft\Boot (例如 D:\EFI\Microsoft\Boot)。 5. 安全拆除安裝上的隨身碟。更新了「了解緩解風險」章節中「外部開機媒體」主題的第一段。原始文字為「在裝置施加 UEFI 鎖定緩解措施後，外部開機媒體必須更新為裝置上安裝的最新 Windows 更新，並依據 SkuSiPolicy.p7b) (Microsoft簽署的撤銷政策進行更新。如果外部開機媒體未更新，裝置可能不會從該媒體開機。在套用風險降低功能之前，請參閱更新外部開機媒體一節中的指示。* 移除了「理解緩解風險」章節中「外部開機媒體」主題的第二段。原始文字為「啟動媒體若已依 Microsoft 簽署的撤銷政策更新，必須僅用於啟動已套用緩解措施的裝置。  如果搭配未使用風險降低功能的裝置使用，UEFI 鎖定會在啟動時從開機媒體套用。之後從磁碟啟動都會失敗，除非裝置有緩解措施或移除 UEFI 鎖。」* 更新了「了解緩解風險」章節中的「PXE) 開機前執行環境 (」主題。原始文字是「如果緩解措施部署到裝置，且你嘗試使用 PXE 開機，裝置不會啟動，除非緩解措施也套用到網路開機源 (根，而 bootmgfw.efi) 存在。」如果裝置是從已套用風險降低功能的網路開機來源啟動，則 UEFI 鎖定將套用至裝置並影響後續啟動。我們不建議將安全性部署到網路開機來源，除非您環境中的所有裝置都已部署風險降低功能。 "*
2024年11月12日	在「可用緩解措施」區塊中，支援 SkuSiPolicy.p7b 與 VbsSI_Audit.p7b 政策，適用於 Windows 10 版本 1507，Windows 10 企業版 2016 及 Windows Server 2016，作為 2024 年 10 月 8 日及之後發布的 Windows 更新的一部分。更新了 Windows 的發行日期，從 2024 年 8 月 13 日到 2024 年 11 月 12 日。