2024 年 8 月 13 日 - KB5041592 (作業系統組建 22000.3147)

套用到
Windows 11 version 21H2, all editions

注意

  • 2024/07/09---服務終止通知---
  • 重要所有 Windows 11 版本,21H2 版本,將於 2024 年 10 月 8 日終止服務。 過了那個日期,這些裝置將不會收到每月的安全及非安全更新。 這些更新包含防範最新安全性威脅的防護。 為了持續接收這些更新,我們建議您升級到最新版本的 Windows。

注意

秘訣

在找本月的影片嗎? 現在它已經在 Windows 11 的文章中,版本是 22H2 和 23H2

重點

  • 此更新解決了您 Windows 作業系統的安全問題。

改善

這次安全更新包含了改進。 以下是安裝此知識庫時,此更新解決的關鍵問題摘要。 如果有新功能,也會列出來。 括號內的粗體字表示我們正在記錄的變更項目或區域。

  • [受保護流程燈 (PPL) 保護] 你可以繞過它們。
  • [Windows 核心有漏洞驅動程式阻擋清單檔案 (DriverSiPolicy.p7b) ] 此更新增加了面臨「自帶易受驅動程式」 (BYOVD) 攻擊風險的驅動程式名單。
  • [BitLocker (已知問題) ] 啟動裝置時會顯示 BitLocker 的恢復 畫面。 這會在你安裝 2024 年 7 月 9 日的更新後發生。 如果裝置加密開啟,這個問題更容易發生。 請前往 設定>隱私 & 安全>裝置加密。 要解鎖硬碟,Windows 可能會要求你輸入 Microsoft 帳號的恢復金鑰。
  • [鎖定畫面] 此更新針對 CVE-2024-38143 進行修正。 因此,鎖定畫面中無法開啟「使用我的 Windows 使用者帳號」勾選框來連接 Wi-Fi。
  • [NetJoinLegacyAccountReuse] 此更新移除了該登錄檔金鑰。 更多資訊請參考 KB5020276—Netjoin:網域連接加固變更
  • [安全開機進階目標鎖定 (SBAT) 及 EFI) (Linux可擴充韌體介面] 此更新將 SBAT 應用於運行 Windows 的系統。 這會阻止易受攻擊的 EFI Linux (Shim 開機載入程式) 運行。 此 SBAT 更新不適用於雙重開機 Windows 與 Linux 的系統。 在套用 SBAT 更新後,舊版 Linux ISO 映像可能無法啟動。 如果發生這種情況,請與你的 Linux 廠商合作,取得更新的 ISO 映像檔。

如果你安裝了較早的更新,只有這個套件中包含的新更新會被下載並安裝到你的裝置上。

欲了解更多安全漏洞資訊,請參閱安全更新指南網站及2024年8月安全匯報

Windows 11 服務堆疊更新 (KB5041591) - 22000.3139

此更新會對服務堆疊 (其為安裝 Windows 更新的元件) 進行品質改良。 服務堆疊更新 (SSU) 可確保您擁有穩健、可靠的服務堆疊,讓您的裝置可以收到並安裝 Microsoft 更新。

此更新中的已知問題

適用於 徵兆 因應措施
所有使用者 安裝此更新後,您可能無法更改使用者帳號的頭像。嘗試透過「開始設定>帳號>」按鈕「你的>資訊」來更改個人頭像,然後選擇「選擇檔案」時,你可能會收到帶有錯誤代碼0x80070520的錯誤訊息。 經過進一步調查,我們認為這個問題對這個 Windows 版本的影響非常有限甚至沒有。如果您在 Windows 11 版本 21H2 裝置上遇到此問題,請聯繫 Windows 客服尋求協助。
所有使用者 安裝此安全性更新之後,如果您已經在您的裝置中啟用 Windows 和 Linux 的雙開機設定,您可能會在啟動 Linux 時面臨問題。 此問題導致您的裝置可能無法啟動 Linux,且顯示錯誤訊息「驗證 Shim SBAT 資料失敗: 安全原則違規」。 發生嚴重錯誤: SBAT 自我檢查失敗: 安全原則違規。」
2024 年 8 月 Windows 安全性更新將安全開機進階目標 (SBAT) 設定套用至執行 Windows 的裝置,以封鎖舊的易受攻擊開機管理程式。 此 SBAT 更新不會套用至偵測到雙開機的裝置。 在某些裝置上,雙開機偵測未偵測到某些自訂的雙開機方法,並且未套用 SBAT 值。
2024 年 9 月的 Windows 安全更新 (KB5043067) 及後續更新中,並未包含造成此問題的設定。
在僅支援 Windows 的系統上,安裝 2024 年 9 月或之後的更新後,你可以設定 CVE-2022-2601CVE-2023-40547 中記載的登錄檔金鑰,以確保 SBAT 安全更新已套用。
在雙重開機的 Linux 與 Windows 系統上,安裝 2024 年 9 月或之後的更新後,無需額外步驟。

如何取得此更新

安裝此更新前

Microsoft結合了作業系統最新的服務堆疊更新 (SSU) 與最新的累積更新 (LCU) 。 如需有關 SSU 的一般資訊,請參閱服務堆疊更新服務堆疊更新 (SSU):常見問題集

安裝此更新

安裝此更新請使用以下 Windows 與 Microsoft 發布管道之一。


可取得 下一步
無。 此更新將自動從 Windows Update 與 Microsoft Update 下載並安裝。

注意

  • 如果你想拆除 LCU
  • 安裝合併的 SSU 與 LCU 套件後移除 LCU,請使用 DISM/Remove-Package 命令列選項,並以 LCU 套件名稱作為參數。 你可以用這個指令找到套件名稱: DISM /online /get-packages
  • Windows Update在合併套件上執行獨立安裝程式 (wusa.exe) ,搭配 /uninstall 開關,因為合併套件包含 SSU,無法運作。 安裝後無法移除 SSU。

檔案詳細資訊

如需本次更新所提供的檔案清單,請下載 累積更新5041592的檔案資訊

欲查詢服務堆疊更新中提供的檔案清單,請下載 SSU (KB5041591) - 版本 22000.3139 的檔案資訊