2024 年 8 月 13 日 - KB5041828 (每月彙總)

套用到
Windows Server 2012 R2 ESU
重要當你嘗試在執行 R2 的 Azure Arc 裝置上安裝此 ESU) (擴展安全更新時,可能會失敗Windows Server 2012 ESU 。 為成功安裝,請確保所有 僅限 ESU 的端點子集 符合 Connected Machine agent 網路需求中所述。
支援資訊結束

注意

  • Windows 8.1 於 2023 年 1 月 10 日結束 EOS) (支援,屆時不再提供技術協助與軟體更新。 如果您有執行 Windows 8.1 的裝置,建議您將它們升級至更新、服務中和支援的 Windows 版本。 如果裝置不符合執行更新版本 Windows 的技術需求,建議您將其取代為支援 Windows 11 的裝置。

    Microsoft 不會針對 Windows 8.1提供延伸安全性更新 (ESU) 程式。 在 2023 年 1 月 10 日之後繼續使用Windows 8.1可能會增加組織暴露於安全性風險或影響其符合合規性義務之能力的疑慮。 更多資訊請參閱 Windows 8.1 支援將於 2023 年 1 月 10 日結束

    我們建議您升級至更新版本的 Windows。 欲了解更多資訊,請參閱 升級至較新版本的 Windows

  • Windows Server 2012 R2 於 2023 年 10 月 10 日結束 EOS) (支援。 延伸安全性更新 (ESU) 可供購買,且會持續三年,可每年續約,直到 2026 年 10 月 13 日最終日期為止。 欲了解更多資訊,請參閱 Windows Server 支援結束:關鍵日期。 關於持續接收安全更新的程序,請參見 KB5031043

    我們建議您升級至更新版本的 Windows Server。 欲了解更多資訊,請參閱 Windows Server 升級概覽

  • Windows Embedded 8.1 Industry Enterprise 與 Windows Embedded 8.1 Industry Pro 於 2023 年 7 月 11 日結束 EOS) (支援。 因此,不再提供技術協助和軟體更新。

變更日誌
變更日期 變更描述
2024年9月20日 更新了已知的 Windows/Linux 開機問題。

摘要

了解更多關於這次累積性安全更新的資訊,包括改進、已知問題以及如何取得更新。

注意

關於各種 Windows 更新類型的資訊,如關鍵更新、安全性更新、驅動程式、服務包等,請參閱用 來描述 Microsoft 軟體更新的標準術語說明。 欲查看其他備註與訊息,請參閱 Windows 8.1 與 Windows Server 2012 R2 更新歷史首頁

改善

這次累積的安全更新包含了 2024 年 7 月 9 日 ) (更新 KB5040456 的一部分改進。 以下是本次更新所解決的關鍵議題摘要。 括號內的粗體字表示我們正在記錄的變更項目或區域。

  • [NetJoinLegacyAccountReuse] 移除這個登錄檔金鑰。 更多資訊請參見 KB5020276
  • [BitLocker (已知問題) ] 啟動裝置時會顯示 BitLocker 的恢復 畫面。 這會在你安裝 2024 年 7 月 9 日的更新後發生。 如果裝置加密開啟,這個問題更容易發生。 請前往 設定>隱私 & 安全>裝置加密。 要解鎖硬碟,Windows 可能會要求你輸入 Microsoft 帳號的恢復金鑰。
  • [安全開機進階目標鎖定 (SBAT) 及 EFI) (Linux可擴充韌體介面] 此更新將 SBAT 應用於運行 Windows 的系統。 這會阻止易受攻擊的 EFI Linux (Shim 開機載入程式) 運行。 此 SBAT 更新不適用於雙重開機 Windows 與 Linux 的系統。 在套用 SBAT 更新後,舊版 Linux ISO 映像可能無法啟動。 如果發生這種情況,請與你的 Linux 廠商合作,取得更新的 ISO 映像檔。
  • [網域名稱系統 (DNS) ] 此更新強化了 DNS 伺服器的安全,以解決 CVE-2024-37968 問題。 如果你的網域設定不是最新的,可能會遇到 SERVFAIL 錯誤或逾時。

欲了解更多已解決安全漏洞的資訊,請參閱部署 |安全更新指南2024年8月安全匯報

此更新中的已知問題

問題 後續步驟
安裝 2024 年 7 月 9 日或之後發行的 Windows 更新之後,Windows 伺服器可能會影響整個組織的遠端桌面連線能力。 如果在遠端桌面閘道中使用舊版通訊協定 (透過 HTTP 遠端程序呼叫),可能會發生此問題。 由此產生的遠端桌面連線可能會中斷。
此問題可能會間歇性發生,例如每 30 分鐘重複一次。 在此間隔中,登入工作階段會遺失,使用者將需要重新連線到伺服器。 IT 系統管理員可以追蹤此為 TSGateway 服務終止,而 TSGateway 服務會變為無回應,例外代碼 0xc0000005
若要解決此問題,請使用下列其中一種選項:
選項 1:不允許透過管道和埠 \pipe\RpcProxy\3388 藉由 RD 閘道連接
此程序需要使用連線應用程式,例如防火牆軟體。 請參閱連線和防火牆軟體的文件,以取得有關不允許和移植連線的指導。
選項 2: 編輯用戶端裝置的登錄,並將 RDGClientTransport 的值設為 0x00000000 (0)
在 Windows 登錄編輯程式中,瀏覽至下列登錄位置:
HKEY_CURRENT_USER\Software\Microsoft\Terminal 伺服器用戶端
尋找 RDGClientTransport,並將其值設為 0 (零)。 這會將 RDGClientTransport 的值變更為 0x00000000 (0)
我們正努力研究解決方法,並會在即將推出的版本中提供更新。
安裝此安全更新後,若您已啟用 Windows 與 Linux 雙重開機設定,啟動 Linux 可能會遇到問題。
因此,您的裝置可能會無法啟動 Linux,並顯示錯誤訊息「驗證 shim SBAT 資料失敗:安全政策違規。 發生嚴重錯誤: SBAT 自我檢查失敗: 安全原則違規。」
今年 2024 年 8 月的 Windows 安全更新,對執行 Windows 的裝置套用了安全開機進階目標 (SBAT) 設定,以阻擋舊有且易受攻擊的開機管理器。 此 SBAT 更新不會套用在偵測到雙重開機的裝置上。 在某些裝置上,雙開機偵測未偵測到某些自訂的雙開機方法,並且未套用 SBAT 值。
2024 年 9 月釋出的 Windows 更新 (KB5043138) ,並未包含造成此問題的設定。
為了解決此問題,2025 年 5 月的 Windows 安全更新 (KB5058403) 及後續更新中,還包含了進一步的改進。
在僅支援 Windows 的系統中,安裝 2024 年 9 月或更新後,您可以設定 CVE-2022-2601CVE-2023-40547 中所記載的登錄檔金鑰,以確保 SBAT 安全更新已套用。
在雙重開機的 Linux 與 Windows 系統上,安裝 2024 年 9 月或之後更新後,無需額外步驟。

關於過去已知問題的現況,請參閱 Windows Server 2012 R2 已知問題頁面。

如何取得此更新

安裝此更新之前

我們強烈建議您在安裝最新的每月彙整前,先安裝最新的服務堆疊更新 (作業系統的 SSU) 。 SSU 提升更新過程的可靠性,以減輕安裝每月彙整及套用 Microsoft 安全修補時可能出現的問題。 如需有關 SSU 的一般資訊,請參閱服務堆疊更新服務堆疊更新 (SSU):常見問題集

如果你使用 Windows Update,最新的 SSU (KB5041588) 會自動提供給你。 若要取得最新 SSU 的獨立套件,請在 Microsoft Update Catalog 中搜尋。

語言套件

如果您在安裝此更新之後安裝語言套件,您必須重新安裝此更新。 因此,我們建議您在安裝此更新前,先安裝任何需要的語言套件。 欲了解更多資訊,請參閱 「如何在 Windows 上新增語言包」。

安裝此更新

若要安裝此更新,請使用下列其中一個發行管道。


可取得 後續步驟
此更新將從 Windows Update 自動下載並安裝。

檔案詳細資訊

如需本次更新所提供的檔案清單,請下載 更新KB5041828的檔案資訊