2017 年 5 月 9 日 - KB4019213 (僅限安全性更新)

套用到
Windows 8.1 Windows Server 2012 R2

改進與修正

此安全性更新包括品質改善。 此更新未引進任何新的作業系統功能。 主要變更包括:

  • 更新 Windows 密碼學 API,以棄用 SHA-1 用於 SSL/TLS 伺服器認證,包括在 Microsoft Edge 與 Internet Explorer 11 中。 詳情請參閱 諮詢4010323
  • Microsoft 圖形元件、Microsoft Windows DNS、Windows COM、Windows Server 及 Windows 核心的安全更新。

欲了解更多已解決的安全漏洞資訊,請參閱 安全更新指南

此更新中的已知問題

這次安全更新引入了一個問題,即如果 iSCSI 目標無法使用,嘗試重新連接時會導致洩漏。 啟動與可用目標的新連線將如預期般運作。 Microsoft 將會持續研究此問題,並在找到更多資訊後,於此文章中發佈。

欲了解更多相關資訊,請參閱以下章節。

關於 iSCSI 問題的更多資訊

Windows Server 2012 R2 和 Server 2016 電腦若與 iSCSI 連接目標斷線,可能會出現多種不同的症狀。 這些包括但不限於:

  • 作業系統停止回應
  • 你會收到停止錯誤 (錯誤檢查錯誤,) 0x80、0x111、0x1C8、0xE2、0x161、0x00、0xF4、0xEF、0xEA、0x101、0x133或0xDEADDEAD。
  • 使用者登入失敗會伴隨「無登入伺服器可用」錯誤。
  • 應用程式與服務失敗多因短暫的埠口耗盡而產生。
  • 系統程序使用了異常多的臨時埠口。
  • 系統程序使用的執行緒數量異常多。

原因
        
此問題由 Windows Server 2012 R2 與 Windows Server 2016 RS1 電腦的鎖定問題引起,導致 iSCSI 目標的連線問題。 此問題可能在安裝以下任一更新後發生:

Windows Server 2012 R2

發行日期 KB 文章標題
2017 年 5 月 16 日 KB 4015553 2017 年 4 月 18 日 - KB4015553(每月彙總套件預覽)
2017 年 5 月 9 日 KB 4019215 2017 年 5 月 9 日 - KB4019215 (每月彙總)
2017 年 5 月 9 日 KB 4019213 2017 年 5 月 9 日 - KB4019213 (僅限安全性更新)
2017 年 4 月 18 日 KB 4015553 2017 年 4 月 18 日 - KB4015553(每月彙總套件預覽)
2017 年 4 月 11 日 KB 4015550 2017 年 4 月 11 日 - KB4015550 (每月彙總)
2017 年 4 月 11 日 KB 4015547 2017 年 4 月 11 日 - KB4015547 (僅限安全性更新)
2017 年 3 月 21 日 KB 4012219 2017 年 3 月 Windows 8.1 與 Windows Server 2012 R2 月度品質整合預覽

Windows Server 2016 RTM (RS1)

發行日期 KB 文章標題
2017 年 5 月 16 日 KB 4023680 2017 年 5 月 26 日 - KB4023680 (作業系統組建 14393.1230)
2017 年 5 月 9 日 KB 4019472 2017 年 5 月 9 日 - KB4019472 (作業系統組建 14393.1198)
2017 年 4 月 11 日 KB 4015217 2017 年 4 月 11 日 - KB4015217 (作業系統組建 14393.1066 和 14393.1083)

         驗證

  • 請在系統上驗證以下 MSISCSI 驅動程式的版本:

    c:\windows\system32\drivers\msiscsi.sys

    會暴露此行為的版本為 Windows Server 2012 R2 的 6.3.9600.18624,以及 Windows Server 2016 的版本 10.0.14393.1066。

  • 以下事件會記錄在系統日誌中:

    事件來源 識別碼 文字
    iScsiPrt 34 與目標的連線中斷,但啟動者成功重新連接目標。 傾倒資料包含目標名稱。
    iScsiPrt 39 啟動者發送任務管理指令以重置目標。 目標名稱會在傾倒資料中提供。
    iScsiPrt 9 Target 未能及時回應 SCSI 請求。 CDB 則在傾出資料中提供。
  • 檢視系統程序下執行的執行緒數量,並與已知的工作基準比較。

  • 檢視系統程序目前開啟的 handle 數量,並與已知的工作基準比較。

  • 檢視系統程序正在使用的臨時埠數。

  • 從管理 Powershell 執行以下指令:

    Get-NetTCPConnection |Group-Object - 財產狀態,所有權程序 |排序計數

    或者,從管理指令指令(CMD)提示字元,執行以下 NETSTAT 指令與「Q」開關。 此圖顯示已不再連接的「綁定」埠:

    NETSTAT –ANOQ

    重點放在 SYSTEM 程序擁有的埠口。

    對於前三點,超過12,000人都應被視為可疑。 如果電腦中存在 iSCSI 目標,問題發生的機率很高。

解決方法
        
如果事件日誌顯示有許多重新連線發生,請與你的 iSCSI 及網路結構供應商合作,協助診斷並修正無法維持與 iSCSI 目標連接的原因。 確保 iSCSI 目標能透過目前的網路結構存取。 更新的修正檔一有就安裝。 本文將於修正修正後更新,更新該修正的具體知識庫編號,以便安裝。

我們不建議您卸載任何三月、四月、五月或六月的安全整合。 這樣做會讓電腦暴露在已知的安全漏洞和其他錯誤之下,這些漏洞可以透過每月更新來緩解。 我們建議您先與 iSCSI 目標及網路供應商合作,解決觸發目標重新連接的連線問題。

如何取得此更新

此更新將從 Windows Update 自動下載並安裝。 若要取得此更新的獨立套件,請前往 Microsoft Update Catalog 網站。

  • 必要條件
    要套用此更新,您必須安裝Windows 8.1 Windows Server 2012 R2 更新:2014 年 4 月 (KB2919355)
  • 檔案詳細資訊
    如需本次更新所提供的檔案清單,請下載 累積更新KB4019213的檔案資訊

更多資訊

  • 此純安全性品質更新不含 Internet Explorer 的安全修補。 為了取得 Internet Explorer 的安全修補,也應安裝 Internet Explorer KB4018271 的累積安全更新。 請注意,安全月度品質彙整包含 Internet Explorer 的安全更新。
  • 如果您使用非 Windows Update 的更新管理流程,且自動批准所有安全更新分類以供部署,則會部署 2017 年 5 月的 Security-Only 品質更新KB4019213、2017 年 5 月的安全月度品質匯總KB4019215,以及 Internet Explorer KB4018271 的累積安全更新。 我們建議您檢視更新部署規則,確保所需的更新已部署完成。