改進與修正
此安全性更新包括品質改善。 此更新未引進任何新的作業系統功能。 主要變更包括:
- 更新 Windows 密碼學 API,以棄用 SHA-1 用於 SSL/TLS 伺服器認證,包括在 Microsoft Edge 與 Internet Explorer 11 中。 詳情請參閱 諮詢4010323 。
- Microsoft 圖形元件、Microsoft Windows DNS、Windows COM、Windows Server 及 Windows 核心的安全更新。
欲了解更多已解決的安全漏洞資訊,請參閱 安全更新指南。
此更新中的已知問題
這次安全更新引入了一個問題,即如果 iSCSI 目標無法使用,嘗試重新連接時會導致洩漏。 啟動與可用目標的新連線將如預期般運作。 Microsoft 將會持續研究此問題,並在找到更多資訊後,於此文章中發佈。
欲了解更多相關資訊,請參閱以下章節。
關於 iSCSI 問題的更多資訊
Windows Server 2012 R2 和 Server 2016 電腦若與 iSCSI 連接目標斷線,可能會出現多種不同的症狀。 這些包括但不限於:
- 作業系統停止回應
- 你會收到停止錯誤 (錯誤檢查錯誤,) 0x80、0x111、0x1C8、0xE2、0x161、0x00、0xF4、0xEF、0xEA、0x101、0x133或0xDEADDEAD。
- 使用者登入失敗會伴隨「無登入伺服器可用」錯誤。
- 應用程式與服務失敗多因短暫的埠口耗盡而產生。
- 系統程序使用了異常多的臨時埠口。
- 系統程序使用的執行緒數量異常多。
原因
此問題由 Windows Server 2012 R2 與 Windows Server 2016 RS1 電腦的鎖定問題引起,導致 iSCSI 目標的連線問題。 此問題可能在安裝以下任一更新後發生:
Windows Server 2012 R2
| 發行日期 | KB | 文章標題 |
|---|---|---|
| 2017 年 5 月 16 日 | KB 4015553 | 2017 年 4 月 18 日 - KB4015553(每月彙總套件預覽) |
| 2017 年 5 月 9 日 | KB 4019215 | 2017 年 5 月 9 日 - KB4019215 (每月彙總) |
| 2017 年 5 月 9 日 | KB 4019213 | 2017 年 5 月 9 日 - KB4019213 (僅限安全性更新) |
| 2017 年 4 月 18 日 | KB 4015553 | 2017 年 4 月 18 日 - KB4015553(每月彙總套件預覽) |
| 2017 年 4 月 11 日 | KB 4015550 | 2017 年 4 月 11 日 - KB4015550 (每月彙總) |
| 2017 年 4 月 11 日 | KB 4015547 | 2017 年 4 月 11 日 - KB4015547 (僅限安全性更新) |
| 2017 年 3 月 21 日 | KB 4012219 | 2017 年 3 月 Windows 8.1 與 Windows Server 2012 R2 月度品質整合預覽 |
Windows Server 2016 RTM (RS1)
| 發行日期 | KB | 文章標題 |
|---|---|---|
| 2017 年 5 月 16 日 | KB 4023680 | 2017 年 5 月 26 日 - KB4023680 (作業系統組建 14393.1230) |
| 2017 年 5 月 9 日 | KB 4019472 | 2017 年 5 月 9 日 - KB4019472 (作業系統組建 14393.1198) |
| 2017 年 4 月 11 日 | KB 4015217 | 2017 年 4 月 11 日 - KB4015217 (作業系統組建 14393.1066 和 14393.1083) |
驗證
請在系統上驗證以下 MSISCSI 驅動程式的版本:
c:\windows\system32\drivers\msiscsi.sys
會暴露此行為的版本為 Windows Server 2012 R2 的 6.3.9600.18624,以及 Windows Server 2016 的版本 10.0.14393.1066。
以下事件會記錄在系統日誌中:
事件來源 識別碼 文字 iScsiPrt 34 與目標的連線中斷,但啟動者成功重新連接目標。 傾倒資料包含目標名稱。 iScsiPrt 39 啟動者發送任務管理指令以重置目標。 目標名稱會在傾倒資料中提供。 iScsiPrt 9 Target 未能及時回應 SCSI 請求。 CDB 則在傾出資料中提供。 檢視系統程序下執行的執行緒數量,並與已知的工作基準比較。
檢視系統程序目前開啟的 handle 數量,並與已知的工作基準比較。
檢視系統程序正在使用的臨時埠數。
從管理 Powershell 執行以下指令:
Get-NetTCPConnection |Group-Object - 財產狀態,所有權程序 |排序計數
或者,從管理指令指令(CMD)提示字元,執行以下 NETSTAT 指令與「Q」開關。 此圖顯示已不再連接的「綁定」埠:
NETSTAT –ANOQ
重點放在 SYSTEM 程序擁有的埠口。
對於前三點,超過12,000人都應被視為可疑。 如果電腦中存在 iSCSI 目標,問題發生的機率很高。
解決方法
如果事件日誌顯示有許多重新連線發生,請與你的 iSCSI 及網路結構供應商合作,協助診斷並修正無法維持與 iSCSI 目標連接的原因。 確保 iSCSI 目標能透過目前的網路結構存取。 更新的修正檔一有就安裝。 本文將於修正修正後更新,更新該修正的具體知識庫編號,以便安裝。
註 我們不建議您卸載任何三月、四月、五月或六月的安全整合。 這樣做會讓電腦暴露在已知的安全漏洞和其他錯誤之下,這些漏洞可以透過每月更新來緩解。 我們建議您先與 iSCSI 目標及網路供應商合作,解決觸發目標重新連接的連線問題。
如何取得此更新
此更新將從 Windows Update 自動下載並安裝。 若要取得此更新的獨立套件,請前往 Microsoft Update Catalog 網站。
-
必要條件
要套用此更新,您必須安裝Windows 8.1 Windows Server 2012 R2 更新:2014 年 4 月 (KB2919355) 。 -
檔案詳細資訊
如需本次更新所提供的檔案清單,請下載 累積更新KB4019213的檔案資訊。
更多資訊
- 此純安全性品質更新不含 Internet Explorer 的安全修補。 為了取得 Internet Explorer 的安全修補,也應安裝 Internet Explorer KB4018271 的累積安全更新。 請注意,安全月度品質彙整包含 Internet Explorer 的安全更新。
- 如果您使用非 Windows Update 的更新管理流程,且自動批准所有安全更新分類以供部署,則會部署 2017 年 5 月的 Security-Only 品質更新KB4019213、2017 年 5 月的安全月度品質匯總KB4019215,以及 Internet Explorer KB4018271 的累積安全更新。 我們建議您檢視更新部署規則,確保所需的更新已部署完成。