2024 年 8 月 13 日 - KB5041160 (作業系統組建 20348.2655)

套用到
Windows Server 2022

注意

改善

此安全性更新包括品質改善。 以下是安裝此知識庫時,此更新解決的關鍵問題摘要。 如果有新功能,也會列出來。 括號內的粗體字表示我們正在記錄的變更項目或區域。

  • [遠端桌面會話主機 (RDSH) ] 使用者無法連接 RDSH,主機會失去資料。 這是因為 win32kbase.sys 停止回應。
  • [Windows Defender 應用程式控制 (WDAC) ] 隨著時間推移,可能會發生記憶體洩漏,導致系統記憶體耗盡。 這個問題發生在你配置裝置時。
  • [受保護流程燈 (PPL) 保護] 你可以繞過它們。
  • [Windows 核心有漏洞驅動程式阻擋清單檔案 (DriverSiPolicy.p7b) ] 此更新增加了面臨「自帶易受驅動程式」 (BYOVD) 攻擊風險的驅動程式名單。
  • [Microsoft 365 Defender (已知問題] NDR) 服務 (網路偵測與回應可能會遇到問題。 這會中斷網路資料的回報。 如果這個問題影響到你,Microsoft 365 系統管理中心的服務健康頁面會顯示訊息。 您也可以在服務健康頁面查看NDR的狀態。
  • [BitLocker (已知問題) ] 啟動裝置時會顯示 BitLocker 的恢復 畫面。 這會在你安裝 2024 年 7 月 9 日的更新後發生。 如果裝置加密開啟,這個問題更容易發生。 請前往 設定>隱私 & 安全>裝置加密。 要解鎖硬碟,Windows 可能會要求你輸入 Microsoft 帳號的恢復金鑰。
  • [鎖定畫面] 此更新針對 CVE-2024-38143 進行修正。 因此,鎖定畫面中無法開啟「使用我的 Windows 使用者帳號」勾選框來連接 Wi-Fi。
  • [NetJoinLegacyAccountReuse] 此更新移除了該登錄檔金鑰。 更多資訊請參考 KB5020276—Netjoin:網域連接加固變更
  • [安全開機進階目標鎖定 (SBAT) 及 EFI) (Linux可擴充韌體介面] 此更新將 SBAT 應用於運行 Windows 的系統。 這會阻止易受攻擊的 EFI Linux (Shim 開機載入程式) 運行。 此 SBAT 更新不適用於雙重開機 Windows 與 Linux 的系統。 在套用 SBAT 更新後,舊版 Linux ISO 映像可能無法啟動。 如果發生這種情況,請與你的 Linux 廠商合作,取得更新的 ISO 映像檔。
  • [網域名稱系統 (DNS) ] 此更新強化了 DNS 伺服器的安全,以解決 CVE-2024-37968 問題。 如果你的網域設定不是最新的,可能會遇到 SERVFAIL 錯誤或逾時。
  • [線印機Daemon (LPD) 協議] 使用 這個已淘汰 的協定來列印,可能無法如你所願或失敗。 這個問題會在你安裝 2024 年 7 月 9 日及之後的更新後出現。
    當它不再可用時,像 UNIX 這樣的用戶端不會連接到伺服器來列印。 UNIX 用戶端應使用 IPP) (網際網路列印協定(Internet Printing Protocol)。 Windows 用戶端可透過 Windows Standard Port Monitor 連接共用 UNIX 印表機。

如果你安裝了較早的更新,只有這個套件中包含的新更新會被下載並安裝到你的裝置上。

欲了解更多安全漏洞資訊,請參閱安全更新指南2024年8月安全匯報

Windows Server 2022 服務堆疊更新 (KB5041590) - 20348.2641

此更新會對服務堆疊 (其為安裝 Windows 更新的元件) 進行品質改良。 服務堆疊更新 (SSU) 可確保您擁有穩健、可靠的服務堆疊,讓您的裝置可以收到並安裝 Microsoft 更新。

此更新中的已知問題

徵兆 因應措施
安裝此更新後,您可能無法 更改使用者帳號的頭像。嘗試透過「 開始>設定>帳戶> 按鈕更改個人照片,並在 「建立你的照片」中點選「 瀏覽」時, 可能會收到帶有錯誤代碼0x80070520的錯誤訊息。 經過進一步調查,我們認為這個問題對這個 Windows 版本的影響非常有限甚至沒有。如果你的裝置遇到這個問題,請聯絡 Windows 客服 尋求協助。
安裝 2024 年 7 月 9 日或之後發行的 Windows 更新之後,Windows 伺服器可能會影響整個組織的遠端桌面連線能力。 如果在遠端桌面閘道中使用舊版通訊協定 (透過 HTTP 遠端程序呼叫),可能會發生此問題。 因此,遠端桌面連線可能會中斷。這個問題可能間歇性發生,例如每30分鐘重複一次。 在此間隔中,登入工作階段會遺失,使用者將需要重新連線到伺服器。 IT 系統管理員可以追蹤此為 TSGateway 服務終止,而 TSGateway 服務會變為無回應,例外代碼 0xc0000005。 此問題已在 KB5044281 中解決。
安裝此安全性更新之後,如果您已經在您的裝置中啟用 Windows 和 Linux 的雙開機設定,您可能會在啟動 Linux 時面臨問題。 此問題導致您的裝置可能無法啟動 Linux,且顯示錯誤訊息「驗證 Shim SBAT 資料失敗: 安全原則違規」。 發生嚴重錯誤: SBAT 自我檢查失敗: 安全原則違規。」
2024 年 8 月 Windows 安全性更新將安全開機進階目標 (SBAT) 設定套用至執行 Windows 的裝置,以封鎖舊的易受攻擊開機管理程式。 此 SBAT 更新不會套用至偵測到雙開機的裝置。 在某些裝置上,雙開機偵測未偵測到某些自訂的雙開機方法,並且未套用 SBAT 值。
2024 年 9 月的 Windows 安全更新 (KB5042881) 及之後的更新,並未包含導致此問題的設定。
在僅支援 Windows 的系統上,安裝 2024 年 9 月或之後的更新後,你可以設定 CVE-2022-2601CVE-2023-40547 中記載的登錄檔金鑰,以確保 SBAT 安全更新已套用。
在雙重開機的 Linux 與 Windows 系統上,安裝 2024 年 9 月或之後的更新後,無需額外步驟。
安裝此更新之後,Kubernetes 上的容器網路可能無法如預期般運作,因此無法讓容器連線到外部網路或在 Pod 之間通訊。 這可能會影響使用者使用 Server 2022 上的 Calico 設定開發或生產實例的容器網路。 受影響的容器無法連接網際網路,且流量會在主機設備的防火牆中被阻擋。使用者在從容器內 ping 外部位址如 'microsoft.com' 時,可能會觀察到「一般失敗」等錯誤。使用 Windows Home 和 Pro 版本裝置的 People 不太可能受到影響,因為這個問題主要影響使用容器網路的伺服器和企業環境。 此問題已在 KB5044281 中解決。

如何取得此更新

安裝此更新前

Microsoft現在結合了作業系統最新的服務堆疊更新 (SSU) 與最新的累積更新 (LCU) 。 如需有關 SSU 的一般資訊,請參閱服務堆疊更新服務堆疊更新 (SSU):常見問題集

離線作業系統映像服務的前提條件:

請確保你的影像包含 KB5030216 202) 3/12/09/12 (或更晚的 LCU。 如果沒有,請先在離線媒體安裝,再安裝最新更新。 本LCU將SSU版本更新為20348.1960。 這是你必須擁有的最低 SSU 版本,才能防止錯誤0x800f0823 (CBS_E_NEW_SERVICING_STACK_REQUIRED) 。

安裝此更新

安裝此更新請使用以下 Windows 與 Microsoft 發布管道之一。


可取得 下一步
無。 此更新將自動從 Windows Update 與 Microsoft Update 下載並安裝。

注意

  • 如果你想拆除 LCU
  • 安裝合併的 SSU 與 LCU 套件後移除 LCU,請使用 DISM/Remove-Package 命令列選項,並以 LCU 套件名稱作為參數。 你可以用這個指令找到套件名稱: DISM /online /get-packages
  • Windows Update在合併套件上執行獨立安裝程式 (wusa.exe) ,搭配 /uninstall 開關,因為合併套件包含 SSU,無法運作。 安裝後無法移除 SSU。

檔案資訊

如需本次更新所提供的檔案清單,請下載 累積更新資訊5041160

如需服務堆疊更新中提供的檔案清單,請下載 SSU (KB5041590) - 版本 20348.2641 的檔案資訊