[English]Am 10. September 2024 (zweiter Dienstag im Monat, Patchday bei Microsoft) wurden verschiedene kumulative Updates für die unterstützten Windows 10 Builds (von der RTM-Version bis zur aktuellen Version) sowie für die Windows Server-Pendants freigegeben. Hier einige Details zu den jeweiligen Sicherheitsupdates für Windows 10 und die Server Pendants.
Anzeige
Eine Liste der Updates lässt sich auf dieser Microsoft-Webseite abrufen. Ich habe nachfolgend die Details herausgezogen. Seit März 2021 integriert Microsoft die Servicing Stack Updates (SSUs) für neuere Windows 10 Builds in das kumulative Update.
Updates für Windows 10 Version 21H1-22H2
Für die obigen Windows 10 Versionen Windows 10 Enterprise LTSC 2021, Windows 10 IoT Enterprise LTSC 2021 und Windows 10 Version 22H2 stellt Microsoft nur ein Update-Paket, welches nachfolgend genannt wird, bereit.
Update KB5043064 für Windows 10 Version 21H1 – 22H2
Das kumulative Update KB5043064 hebt die OS-Build bei allen Windows 10-Varianten auf 1904x.4894. Das Update enthält nur Sicherheitsfixes, aber keine neuen Betriebssystemfunktionen. Das kumulative Update beseitigt die Schwachstelle im Windows Installer in Windows 10 21H2 Enterprise LTSC und IOT:
[Windows Installer] When it repairs an application, the User Account Control (UAC) does not prompt for your credentials. After you install this update, the UAC will prompt for them. Because of this, you must update your automation scripts. Application owners must add the Shield icon. It indicates that the process requires full administrator access. To turn off the UAC prompt, set the HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\Installer\DisableLUAInRepair registry value to 1. The changes in this update might affect automatic Windows Installer repairs; see Application Resiliency: Unlock the Hidden Features of Windows Installer.
Microsoft weist auch darauf hin, dass dieses Update Qualitätsverbesserungen am Servicing Stack (ist für Microsoft Updates verantwortlich) durchführt. Dieses Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog und per WSUS sowie WUfB erhältlich. Beachtet die im Support-Beitrag beschriebene Hinweise zur Installation und zu bekannten Problemen.
Anzeige
Updates für Windows 10/Server 2019
Für Windows 10 Enterprise 2019 LTSC und Windows Server 2019 stehen folgendes Updates zur Verfügung.
Update KB5043050 für Windows 10 Enterprise 2019 LTSC /Windows Server 2019
Das kumulative Update KB5043050 (wird unter Windows 10 v1809 einsortiert, bezieht sich aber auf die 2019er-Versionen und) und beinhaltet Qualitätsverbesserungen aber keine neuen Betriebssystemfunktionen. Dieses Update steht nur für Windows 10 2019 Enterprise LTSC und IoT Enterprise LTSC (die restlichen Varianten sind am 11. Mai 2021 aus der Versorgung mit Sicherheitsupdates herausgefallen) sowie Windows Server 2019 bereit. Microsoft führt eine Reihe an Korrekturen auf.
- [AppContainer] Printers do not work as you expect when you use them in a restricted setting, like AppContainer.
- [BitLocker] You might not be able to decrypt a BitLocker data drive. This occurs when you move that drive from a newer version of Windows to an older version.
- [Remote Desktop (known issue)] Windows Servers might disrupt Remote Desktop connections across your company. This issue might occur if you use a legacy protocol in the Remote Desktop Gateway. An example protocol is Remote Procedure Call over HTTP. If the issue occurs, it is sporadic, like every 30 minutes. At that point, you lose sessions that you are signed in to. Then you must reconnect to the server. IT admins can track this as an end to the TSGateway service. It stops responding, with the exception code 0xc0000005.
- [Windows Installer] When it repairs an application, the User Account Control (UAC) does not prompt for your credentials. After you install this update, the UAC will prompt for them. Because of this, you must update your automation scripts. Application owners must add the Shield icon. It indicates that the process requires full administrator access. To turn off the UAC prompt, set the HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
Windows\Installer\DisableLUAInRepair registry value to 1. The changes in this update might affect automatic Windows Installer repairs; see Application Resiliency: Unlock the Hidden Features of Windows Installer. - [Windows Server 2019 (known issue)] Some devices slow down, stop responding, and have high CPU usage. This is most likely to occur with Cryptographic Services. A few companies report that the issue occurs when antivirus software scans the %systemroot%\system32\catroot2 folder for Windows updates.
Das Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog, per WSUS und WUfB erhältlich. Microsoft hat zudem das Service Stack Update (SSU) aktualisiert. Beachtet die im Support-Beitrag beschriebene Installationsreihenfolge, ggf. die Hinweise zu weiteren Anforderungen und eventuell vorhandener Probleme.
Die Performance-Probleme (siehe Windows Server 2019/Windows 10 Enterprise 2019 LTSC: Performance-Probleme mit Update KB5041578) sind wohl gefixt. Die September 2024-Updates beseitigen zudem den Bug beim Item-Level Targeting in GPP beseitigen (siehe Windows: Sept. 2022 Updates fixen "Item-Level Targeting"-Bug in GPP).
Updates für Windows 10 Version 1507 bis 1607
Für Windows 10 RTM bis Version 1607 stehen Updates für die Enterprise LTSC-Versionen zur Verfügung. Diese Updates werden automatisch von Windows Update heruntergeladen und installiert, stehen aber im Microsoft Update Catalog als Download zur Verfügung (nach der KB-Nummer suchen lassen). Vor der manuellen Installation muss das aktuellste Servicing Stack Update (SSU) installiert werden. Details sind im jeweiligen KB-Artikel zu finden.
- Windows 10 Version 1607: Update KB5043051 steht nur noch für Enterprise LTSC sowie Windows Server 2016 bereit. Das Update adressiert Sicherheitsprobleme.
- Windows 10 Version 1507: Update KB504308 steht für die RTM-Version (LTSC) bereit. Das Update fixt Schwachstellen sowie ggf. Bugs.
Für die restlichen Windows 10 Versionen gab es kein Update, da diese Versionen aus dem Support gefallen ist. Details zu obigen Updates sind im Zweifelsfall den jeweiligen Microsoft KB-Artikeln zu entnehmen.
Ähnliche Artikel:
Office Updates vom 3. September 2024
Microsoft Security Update Summary (10. September 2024)
Patchday: Windows 10/Server-Updates (10. September 2024)
Patchday: Windows 11/Server 2022-Updates (10. September 2024)
Windows Server 2012 / R2 und Windows 7 (10. September 2024)
Microsoft Office Updates (10. September 2024)
Anzeige
Es ist unglaublich, das Problem, dass der RDGateway Dienst abstürzt besteht auf Server 2022 immer noch seit Juli, wenn man auf den Server per Azure App Proxy per RPC darauf zugreift. (Daher kann auch der Registry Key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RPC\RpcProxy Enabled 0) leider nicht angewendet werden. Wahnsinn… dann vielleicht im Oktober??
Wenn der Praktikant aus den Urlaub zurück ist, gehts weiter :-)
Es ist echt unglaublich! KB5043050 für Server 2019 fixed das Problem mit dem Gateway ebenfalls nicht. Sobald sich jemand über RPC HTTP abmeldet, stürzt der Dienst ab. Es darf echt nicht wahr sein.
Das kann ich bestätigen :-(
Ja, das kann ich bestätigen (W2K22).
Eine GPO auf dem RDGateway-Host um die rpc-http Verbindungen zu blockieren gibt es nicht oder?
Das Blocken des Ports 3388 kann ich nicht anwenden, weil ich eine RD-Gatewayserverfarm (2 Server) betreibe.
Wurde denn das Problem mit den GPOs auf AD-Servern behoben (Zielgruppenadressierung nicht möglich)?
Imho ja (siehe diesen Kommentar) – aber vielleicht kann ein Admin aus diesem Bereich das bestätigen oder negieren. Ergänzung: Siehe auch die verlinkten Nachträge oben im Beitrag.
Bei uns funktioniert das Item-Level-Targeting für Benutzer in Gruppen wieder wie erwartet (DC mit Win Srv 2019)
ja
Kleine Motivation für alle, die Performance-Probleme auf Server 2019 haben, wo der Antimalware-Die3nst von Defender im Zusammenhang mit dem anderen installierten Antivirus die CPU-Last hochtreibt. Das Problem soll mit dem aktuellen Update behoben sein. https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-windows-server-performance-issues-from-august-updates/
Ich habe heute nach der Installations des Patchs das Problem dass der Printserver den Druckerwarteschlangendienst immer wieder beendet.
Ich habe keine Lösung gefunden außer den Server auf den Zustand in der Nacht davor zurück zusetzen? Hat sonst noch jemand Printserver Probleme auf einem Server 2019 bekommen?
Hallo,
hängt es vielleicht hiermit zusammen ??
https://www.borncity.com/blog/2024/09/10/security-baseline-fr-edge-version-128-option-blockiert-druckertreiber/
Es betrifft das Drucken aus allen Anwendungen und nicht explizit dem Edge. Vermutlich hängt es also nicht damit zusammen?!?
Guten Morgen,
habe unseren 2022er-Printserver noch nicht gepatched. Bereits nähere Erkenntnisse?
LG, Tobias
Mir hat es nach dem Update auf W10 heute in Verbindung mit Veracrypt den Bootloader zerschossen. Konnte das System mit dem Rettungsdatenträger von VC wiederherstellen. Nervig.
Kann ich zum Glück nicht bei mir bestätigen. Hatte aber, vor dem Patchday, schon auf die neuste stabile VeraCrypt Version, mit W10 2021 LTSC IoT, ein Update durchgeführt.
—Grüße—
KB5043124 braucht auf unserem TS (2016) sehr lange zum Installieren (nach ca. 1h bei 51 %)…
Sonst aber bislang keine Auffälligkeiten bei den 2016er und 2022er VMs.
Seit dem Update an unseren Windows 10 Client bekommen alle am Kontobild im Startmenü einen Indikator. Klickt man aufs Kontobild erscheint ein Popup mit der Meldung "Melden Sie sich bei Ihrem Microsoft-Konto an"
Meine Domänen User haben alle kein Microsoft Konto.
Wie wird man dies wieder los?
Dürfte der elendige Backport der Windows 11-Funktion auf Windows 10 22H2 sein – meine, so was vor einiger Zeit gelesen zu haben (siehe diesen Artikel von April 2024).
Ergänzung: Ich habe es mal im Beitrag Windows 10 22H2 zeigt nach Update KB504306 Kontenindikator mit Aufforderung für Microsoft Konto aufbereitet.
Danke für die Infos. Habe noch die Info gefunden, dass dies unter
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RulesEngine\StateManager gespeichert wird. Dies war vor dem Update noch nicht da.
Habe bisher zwei Workaround.
1)
Das Data Element ist Jason formatiert. Darin gibt es zwei SnoozeDate. Setze ich die auf 2099… ist hoffentlich bis dann Ruhe.
2)
Habe den Inhalt von HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RulesEngine gelöscht und die Berechtigungen für Jeder verweigert. Nun kann da niemand mehr reinschreiben.
Ohne Gewähr was sonst noch nicht mehr geht.
Ich verstehs mal wieder nicht so ganz…8 Clients gepatcht bisher…Nur auf einem kam der Hinweis im Startmenü. Der erwähnte Reg-Eintrag ist auf 2 der 8 Clients vorhanden (einer davon ist der mit dem Hinweis im Startmenü). Alle anderen bisher keine Meldung und kein Reg-Eintrag.
Ist das irgendwie was dynamisches, was abhängig ist von was anderem?
Ich hoffe, es sind bald noch mehr Infos zu finden, zur Zeit ist es irgendwie noch sehr spärlich im Netz…
Danke – ich habe es auch versucht, bei mir auf einem Notebook und in einer VM nachzustellen – kein Erfolg. Kann mir jemand einen Screenshot des Verhaltens schicken – ich mache ggf. einen Blog-Beitrag draus. Noch tappe ich im Dunkeln.
Fragen wären: Welche Konten von welcher Art sind vorhanden? Ist die Maschine lokal oder in einer Domain? Ist es Home, Pro oder Enterprise.
Die Updates selbst liefen auf unseren Servern 2019 im Vergleich zu den vorherigen malen perfekt durch. Lediglich starteten hinterher auf einigen wenigen Servern bestimmte Dienste nicht, was aber spätestens mit dem zweiten Neustart auch wieder behoben war.
Welche Dienste waren das?
Druckspooler?
Keine Systemdienste, sondern von zusätzlich installierten Anwendungen, u.a. Apache Tomcat oder MSSQL.
Trotz des Starttyps "Automatisch" liefen die nicht, lassen sich aber ohne Probleme manuell starten.
Nachtrag hierzu: Auf einem Server mussten wir inzwischen trotz zweitem Neustart die Dienste einer Anwendung manuell starten. Ging dann aber auch ohne Probleme durch.
Mit dem Printspooler haben wir keine Probleme, bzw. wurden uns von den Usern bisher keine gemeldet.
Wir starten bei uns Dienste, die laufen sollen, per GPO automatisch (damit ist nicht der Starttyp gemeint). Daher haben wir das Problem (und ähnliche) nicht.
Hatte seit dem Update ein paar User, wo TextInputHost.exe abgestürzt war (lt. Eventlogs). Macht sich für den User bemerkbar, indem z.B. das Startmenü nicht auf geht.
Nach Einspielen des September-Updates sind mir Aktivitäten von MpDefenderCoreService.exe (MdCoreSvc) aufgefallen, weil der Dienst jetzt „nach Hause telefoniert". Funktion des Dienstes (laut Microsoft): "Überwacht Verfügbarkeit, Integrität und Leistung verschiedener Sicherheitskomponenten."
Nach diesen Informationen* ist das wohl eine relativ neue Komponente (Rollout seit 11-2023). Mir war MpDefenderCoreService bislang nicht aufgefallen. Ich vermute deshalb, dass der Dienst mit dem aktuellen September-Update installiert oder aktiviert wurde. Der Dienst sammelt Telemetrie-Daten. Das kann man wohl auch abschalten. Frage in die Runde: Wie bewertet ihr das? Oder ist das nichts neues?
________________
* Siehe: h**ps://learn.microsoft.com/de-de/defender-endpoint/microsoft-defender-core-service-overview
Server 2022 DCs und Hyper-V installiert und null Probleme.
Server 2016 inkl. Exchange installiert und null Probleme.
Das mit dem Printserver werde ich die Tage beobachten, jetzt ist Wochenende :D
Gruß
Habe heute mal in einer VM getestet, was das Septemberupdate alles anrichtet. Als Grundlage diente ein mit ntLite bereinigtes W10 22H2, Patchlevel Juli 2024, was ich als Masterimage für unsere clients benutze.
Alles habe ich noch nicht vergleichen können, aber auf den ersten Blick sind folgende Dienste und Tasks wieder erstellt worden (kontrolliert mit Autoruns):
– Task Marebackup (compattelrunner.exe)
– Dienste Walletservice, Diagtrack (Telemetrie), sämtliche xbox-Dienste
Als Systemadmin hat man ja sonst nichts weiter zu tun, als nach jedem Patchday eine Batchdatei zu schreiben, die den ganzen Müll wieder deaktiviert und löscht.
P.S.: Kein Hinweis im Startmenü zur Anmeldung mit MS-Konto