發行日期:

2024/8/13

版本:

每月彙總套件

重要: 當您嘗試在執行 Windows Server 2012 R2 的 Azure Arc 功能裝置上安裝此擴充安全性更新 (ESU) 可能會失敗。 若要順利安裝,請確定僅符合 所有 ESU 端點子集 ,如 聯機計算機代理程序網路需求中所述。

  • Windows 8.1已於 2023 年 1 月 10 日 (EOS) 終止支援,此時不再提供技術協助和軟體更新。 如果您有執行 Windows 8.1 的裝置,建議您將它們升級至更新、服務中和支援的 Windows 版本。 如果裝置不符合執行更新版本 Windows 的技術需求,建議您將其取代為支援 Windows 11 的裝置。

    Microsoft 不會針對 Windows 8.1提供延伸安全性更新 (ESU) 程式。 在 2023 年 1 月 10 日之後繼續使用Windows 8.1可能會增加組織暴露於安全性風險或影響其符合合規性義務之能力的疑慮。 如需詳細資訊,請參閱 Windows 8.1 支援將於 2023 年 1 月 10 日終止

    我們建議您升級至更新版本的 Windows。 如需詳細資訊,請參閱 升級至較新的 Windows 版本

  • Windows Server 2012 R2 已於 2023 年 10 月 10 日終止支援 (EOS)。 延伸安全性更新 (ESU) 可供購買,且會持續三年,可每年續約,直到 2026 年 10 月 13 日最終日期為止。 如需詳細資訊,請參閱 Windows Server 終止支援:重要日期。 如需繼續接收安全性更新程式的相關信息,請參 閱KB5031043 我們建議您升級至更新版本的 Windows Server。 如需詳細資訊,請參 閱 Windows Server 升級概觀

  • Windows Embedded 8.1 Industry EnterpriseWindows Embedded 8.1 Industry Pro 已於 2023 年 7 月 11 日 (EOS) 終止支援。 因此,不再提供技術協助和軟體更新。

變更日期

變更描述

2024年9月20日

已更新 Windows/Linux 啟動問題的已知問題。

摘要

深入瞭解此累積安全性更新,包括改善、任何已知問題,以及如何取得更新。

注意 如需各種 Windows 更新類型的相關信息,例如關鍵、安全性、驅動程式、Service Pack 等,請參閱 用來描述軟體更新Microsoft的標準術語說明。 若要檢視其他筆記和訊息,請參閱 Windows 8.1 和 Windows Server 2012 R2 更新記錄首頁

改善

此累積安全性更新包含) 2024 年 7 月 9 日發行 KB5040456 更新 (一部分的改進。 下列是此更新所解決之重大問題的摘要。 括弧內的粗體文字代表我們正在記錄的變更專案或區域。

  • [NetJoinLegacyAccountReuse] 拿掉此登錄機碼。 如需詳細資訊,請 參閱KB5020276

  • [BitLocker (已知問題) ] 當您啟動裝置時,會顯示 BitLocker 修復 畫面。 這會在您安裝 2024 年 7 月 9 日的更新之後發生。 如果 裝置加密 已開啟,就更可能發生此問題。 移至 [設定 > 隱私權 & 安全 性 > 裝置加密]。 若要解除鎖定磁碟驅動器,Windows 可能會要求您從Microsoft帳戶輸入修復密鑰。

  • [安全開機進階目標 (SBAT) 和 Linux 可擴展固件介面 (EFI) ]此更新會將SBAT套用至執行 Windows 的系統。 這會阻止受攻擊的Linux EFI (Shim 開機載入器) 執行。 此 SBAT 更新不適用於雙開機 Windows 和 Linux 的系統。 套用 SBAT 更新之後,較舊的 Linux ISO 影像可能無法開機。 如果發生這種情況,請與您的 Linux 廠商合作,以取得更新的 ISO 影像。

  • [域名系統 (DNS) ] 此更新會增強 DNS 伺服器的安全性,以處理 CVE-2024-37968。 如果您的網域設定不是最新狀態,您可能會收到 SERVFAIL 錯誤或逾時。

如需已解決安全性弱點的詳細資訊,請參閱部署 |安全性更新指南2024 年 8 月安全性 匯報

此更新中的已知問題​​​​​​​

徵兆

下一步

安裝 2024 年 7 月 9 日或之後發行的 Windows 更新之後,Windows Server 可能會影響整個組織的遠端桌面連線。 如果在遠端桌面閘道中使用舊版通訊協定 (HTTP) 遠端過程呼叫,就可能會發生此問題。 由此產生的遠端桌面連線可能會中斷。

此問題可能會間歇性發生,例如每 30 分鐘重複一次。 此時,登入會話會遺失,使用者將需要重新連線到伺服器。 IT 系統管理員可以在 TSGateway 服務終止時進行追蹤,此服務在例外程式代碼 0xc0000005時不會回應。

若要解決此問題,請使用下列其中一個選項:

選項 1:不允許透過管道連接,而埠 \pipe\RpcProxy\3388 透過 RD 閘道

此程式需要使用連線應用程式,例如防火牆軟體。 請參閱連線和防火牆軟體的檔,以取得有關不允許和移轉連線的指導方針。

選項 2:編輯用戶端裝置的登錄,並將 RDGClientTransport 的值設為 0x00000000 (0)

在 Windows 登錄 編輯器 中,流覽至下列登錄位置:

HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client

尋找 RDGClientTransport ,並將其值設為 0 (零) 。 這會將 RDGClientTransport 的值變更 為 0x00000000 (0)

我們正在研究解決方案,將會在未來版本中提供更新。

安裝此安全性更新之後,如果您已在裝置上啟用 Windows 和 Linux 的雙開機設定,您可能會在啟動 Linux 時遇到問題。

由於此問題,您的裝置可能無法啟動 Linux,並顯示錯誤訊息「驗證 shim SBAT 數據失敗:安全策略違規。 發生嚴重錯誤:SBAT 自我檢查失敗:安全策略違規。」

此 2024 年 8 月 Windows 安全性更新針對執行 Windows 的裝置套用安全開機進階目標 (SBAT) 設定,以封鎖舊的、容易受攻擊的開機管理員。 此 SBAT 更新將不會套用至偵測到雙開機的裝置。 在某些裝置上,雙開機偵測未偵測到一些自定義的雙開機方法,並在未套用 SBAT 值時套用。

2024 年 9 月發行的 Windows 更新 (KB5043138) 不包含導致此問題的設定。

在僅限 Windows 的系統上,安裝 2024 年 9 月或更新版本更新之後,您可以設定 在 CVE-2022-2601CVE-2023-40547 中記錄的登錄機碼,以確保 SBAT 安全性更新已套用。

在雙開機 Linux 和 Windows 的系統上,安裝 2024 年 9 月或更新版本之後,不需要執行其他步驟。

如需任何過去已知問題的目前狀態,請參閱 Windows Server 2012 R2 已知問題] 頁面。 

如何取得此更新

安裝此更新之前

我們強烈建議您在安裝最新的每月匯總套件之前,先安裝適用於您操作系統的最新維護堆疊更新 (SSU) 。 SSU 改善更新程式的可靠性,以降低安裝每月匯總套件並套用Microsoft安全性修正程式時的潛在問題。 如需 SSU 的一般資訊,請參閱維護堆疊更新服務堆疊 匯報 (SSU) :常見問題

如果您使用 Windows Update,系統會自動為您提供最新的 SSU (KB5041588) 。 若要取得最新 SSU 的獨立套件,請在 Microsoft Update Catalog 中搜尋。

語言套件

如果您在安裝此更新之後安裝語言套件,您必須重新安裝此更新。 因此,我們建議您在安裝此更新前,先安裝任何需要的語言套件。 如需詳細資訊,請參閱瞭解如何將語言套件新增至 Windows

安裝此更新

若要安裝此更新,請使用下列其中一個發行管道。

可供使用

下一步

此更新將從 Windows Update 自動下載並安裝。

可供使用

下一步

若要取得此更新的獨立套件,請移至 Microsoft Update Catalog 網站。

若要從 Update Catalog 下載更新,請參閱關於如何從 Windows Update Catalog 下載更新的步驟

可供使用

下一步

如果您依下列所示設定 [產品和分類],此更新即會自動同步:

  • 產品:Windows Server 2012 R2

  • 分類:安全性更新

如需在 WSUS 中設定的詳細資訊,請參閱 Windows Server Update Services (WSUS)。

如需在 Configuration Manager 中設定的詳細資訊,請參閱同步處理軟體更新

檔案資訊

如需此更新中提供的檔案清單,請下載 更新KB5041828的檔案資訊。 ​​​​​​​

需要更多協助嗎?

想要其他選項嗎?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。