有 63 个更新影响 Windows、Microsoft Office 以及 Visual Studio 和 .NET 平台——以及三个被公开利用的漏洞(CVE-2022-37969、CVE-2022-34713、CVE-2021-40444)的报告——本月的补丁星期二版本获得 “立即修补”优先级。 关键测试领域包括打印、Microsoft Word 和一般应用程序卸载。 (Microsoft Office、.NET 和浏览器更新可以添加到您的标准发布计划中。)
您可以通过这张有用的信息图找到有关部署这些星期二补丁更新的风险的更多信息。
关键测试场景
鉴于 9 月补丁周期中包含的大量更改,我将测试场景分为高风险组和标准风险组:
[相关:如何保护 Windows 10 和 11 PC 免受勒索软件侵害]
高风险:这些更改可能包括功能更改,可能会弃用现有功能,并且可能需要创建新的测试计划:
测试这些新发布的功能更新。 请将相机或手机连接到您的 PC,并使用照片导入功能导入图像和视频。
由于 Windows 后台处理程序控制器的功能更改,本月需要进行基本打印测试。
以下更新未记录为功能更改,但仍需要完整的测试周期:
Microsoft Office:对 Word、PowerPoint 和 Excel 进行基本测试,重点是 SmartArt、图表和遗留文件。
测试您的 Windows 错误日志,因为 Windows 通用日志文件系统已更新。
验证域控制器身份验证和域相关服务,例如组托管服务帐户。 还包括内部和外部测试。
需要长时间的 VPN 测试,服务器和台式机上的 VPN 测试周期需要超过八小时。 注意:您需要确保启用 PKE 分段。 我们建议使用以下 PowerShell 命令:“HKLM:\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Ikev2\” -Name EnableServerFragmentation -PropertyType DWORD -Value 1 -Force Restart-Service remoteaccess
除了这些更改和测试要求之外,我还为这次更新包括了一些更困难的测试场景:
使用 OLE DB 接口和 sqloledb.dll 测试任何应用程序以建立数据库连接。 此过程将需要评估您的应用程序组合,寻找对 SQL OLE 库和组件的依赖关系,并重点测试使用这些更新功能的应用程序功能。
由于企业应用程序管理窗口组件中的更改,应用程序卸载将需要测试。 这里最大的挑战是测试应用程序包是否已从机器上完全卸载,这意味着所有文件、注册表、服务和快捷方式都已删除。 这包括与应用程序相关的所有首次运行设置和配置数据。 这是一项艰巨、耗时的任务,需要一些自动化来确保一致的结果。
测试这些重要且经常更新的功能现在已成为大多数 IT 部门的家常便饭,需要专门的时间、个人和专门的流程来确保可重复的一致结果。
[ 2023 年 CIO 100 奖:提名征集开始。 今天提交。 ]
已知的问题
每个月,Microsoft 都会包含一份与此更新周期中包含的操作系统和平台相关的已知问题列表。
Microsoft SharePoint Server:安装此安全更新后,Nintex Workflow 客户必须采取额外措施,以确保可以发布和运行工作流。 有关详细信息,请参阅此 Microsoft 支持文档。
安装 KB5001342 或更高版本后,集群服务可能无法启动,因为未找到集群网络驱动程序。 有关特定错误、原因和解决方法的更多信息,请参阅 KB5003571。
某些企业用户可能仍会遇到 XPS 查看器的问题。 手动重新安装可能会解决问题。
根据智利政府 8 月 9 日宣布的夏令时 (DST) 时区变更,从 9 月 10 日星期六凌晨 12 点开始,智利的官方时间提前了 60 分钟。 这将夏令时从 9 月 4 日转移到 9 月 10 日; 时间更改将影响 Windows 应用程序、时间戳、自动化、工作流和计划任务。 (依赖于 Kerberos 的身份验证过程也可能会受到影响。)
主要修订
截至 9 月 16 日,Microsoft 尚未发布对其安全公告的任何重大修订。
缓解措施和解决方法
本周二补丁发布包含四种缓解措施和解决方法,包括:
CVE-2022-35838:服务器易受攻击的先决条件是绑定启用了 HTTP/3。 目前,启用 HTTP/3 是通过注册表项完成的,如本文所述:在 Windows Server 2022 上启用 HTTP/3 支持
CVE-2022-34718:请注意,如果目标计算机上未启用 IPv6,则此安全漏洞不会受到影响。
CVE-2022-34691:Microsoft 已发布有关 Windows 域控制器基于证书的身份验证更改的补充文档。
CVE-2022-33679:对于运行 Server 2012 的客户和使用 Kerberos Armor 服务的客户,可以选择使用完全缓解此 Kerberos 漏洞的灵活身份验证安全隧道 (FAST)。 Microsoft 还发布了有用的支持文档,详细介绍了使用 Kerberos 进行访问控制的不同方法。
每个月,我们都会将更新周期分解为具有以下基本分组的产品系列(由 Microsoft 定义):
浏览器(Microsoft IE 和 Edge);
Microsoft Windows(台式机和服务器);
微软办公软件;
微软交易所;
Microsoft 开发平台(ASP.NET Core、.NET Core 和 Chakra Core);
Adobe(退休???,也许明年)。
浏览器
Microsoft 发布了 Edge 浏览器的单个更新 (CVE-2022-38012),尽管由于其难以利用的链条可能导致远程代码执行场景,但该更新被评为低级别。 此外,Chromium 项目还有 15 个更新。 微软于 9 月 15 日发布了最新版本的 Edge Stable 频道,其中包含针对 CVE-2022-3075 的修复程序,与补丁星期二略有不同步。 您可以阅读有关此更新的发行说明的更多信息,并找到有关 Chromium 更新的更多信息。 将这些低调的浏览器更新添加到您的标准发布计划中。
注意:您必须向 Edge 部署单独的应用程序更新——这可能需要额外的应用程序打包、测试和部署。
视窗
Microsoft 本月解决了三个关键问题(CVE-2022-34718、CVE-2022-34721 和 CVE-2022-34722)和 50 个重要问题。 这是另一个涵盖以下主要 Windows 功能的广泛更新:
Windows 网络(DNS、TLS 和 TCP/IP 堆栈);
密码学(IKE 扩展和 Kerberos);
打印(再次);
微软 OLE;
远程桌面(连接管理器和 API)。
对于 Windows 11 用户,这里是本月的 Windows 11 视频更新。 这三个关键更新的 NIST 评级均为 9.8(满分 10)。 再加上三个被利用的漏洞(CVE-2022-37969、CVE-2022-34713、CVE-2021-40444),这些使得本月的 Windows 更新成为“立即修补”版本。
![免费下载第一行代码(第3版) PDF电子书 [19MB] 完整版](https://www.7claw.com/wp-content/themes/ceomax/timthumb.php?src=https://www.7claw.com/wp-content/uploads/2021/12/2021122902542295.png&h=200&w=300&zc=1&a=c&q=100&s=1)
