周二,微软在其 Windows 生态系统中推出了另一系列广泛的更新,包括四个已公开披露的影响 Windows 的漏洞和一个影响 Windows 内核的安全漏洞——据报道已经被利用。 这意味着 Windows 更新获得我们最高的“立即修补”评级,如果您必须管理 Exchange 服务器,请注意更新需要额外的权限和额外的步骤才能完成。
看起来微软还宣布了一种新的方式,可以通过 Windows Update for Business Service 将更新部署到任何设备,无论设备位于何处。 有关此基于云的管理服务的更多信息,您可以查看此 Microsoft 视频或此 Computerworld 常见问题解答。 我已经包括了一个有用的信息图,这个月看起来有点不平衡(再次),因为所有的注意力都应该放在 Windows 和 Exchange 组件上。
关键测试场景
由于本月对磁盘管理实用程序进行了重大更新(我们认为这是高风险的),我们建议测试分区格式化和分区扩展。 本月的更新还包括对以下低风险 Windows 组件的更改:
[相关:Windows 11 Insider Previews:最新版本有什么? ]
检查 TIFF、RAW 和 EMF 文件是否由于 Windows 编解码器的更改而正确呈现。
测试您的 VPN 连接。
测试创建虚拟机 (VM) 和应用快照。
测试创建和使用 VHD 文件。
确保依赖 Microsoft Speech API 的所有应用程序都按预期运行。
Windows 服务堆栈(包括 Windows 更新和 MSI 安装程序)本月更新了 CVE-2021-28437,因此更大规模的部署可能希望在其应用程序组合中包含安装、更新、自我修复和修复功能的测试。
已知的问题
每个月,Microsoft 都会包含一份与此更新周期中包含的操作系统和平台相关的已知问题列表。 我提到了一些与 Microsoft 最新版本相关的关键问题,包括:
在自动允许输入汉字假名字符的应用程序中使用 Microsoft 日语输入法编辑器 (IME) 输入汉字字符时,您可能无法获得正确的汉字假名字符。 您可能需要手动输入注音假名字符。 此外,安装 KB4493509 后,安装了某些亚洲语言包的设备可能会收到错误消息“0x800f0982 – PSFX_E_MATCHING_COMPONENT_NOT_FOUND”。 Microsoft 正在制定解决方案,并将在即将发布的版本中提供更新。
具有从自定义离线媒体或自定义 ISO 映像创建的 Windows 安装的设备可能已通过此更新删除 Microsoft Edge Legacy,但不会自动替换为新的 Microsoft Edge。 如果你需要广泛部署新的 Edge for business,请参阅下载和部署 Microsoft Edge for business。
安装 KB4467684 后,如果组策略“最小密码长度”配置为大于 14 个字符,集群服务可能无法启动并出现错误“2245 (NERR_PasswordTooShort)”。
您可以在单个页面中找到 Microsoft 对此版本的已知问题的摘要。
主要修订
对于这个 4 月的更新周期,Microsoft 发布了一个主要修订版:
CVE-2020-17049 – Kerberos KDC 安全功能绕过漏洞:Microsoft 正在为此漏洞的第二个部署阶段发布安全更新。 Microsoft 已发布一篇文章 (KB4598347),介绍如何管理对域控制器的这些额外更改。
缓解措施和解决方法
截至目前,Microsoft 似乎并未针对该 4 月版本发布任何缓解措施或解决方法。
每个月,我们都会将更新周期分解为具有以下基本分组的产品系列(由 Microsoft 定义):
浏览器(Microsoft IE 和 Edge);
Microsoft Windows(台式机和服务器);
Microsoft Office(包括 Web Apps 和 Exchange);
Microsoft 开发平台(ASP.NET Core、.NET Core 和 Chakra Core);
和 Adobe Flash Player(退休),
浏览器
在过去的 10 年里,由于 Windows 系统(桌面和服务器)上相互依赖的库的性质,我们审查了 Microsoft 浏览器(Internet Explorer 和 Edge)变化的潜在影响。 Internet Explorer (IE) 过去直接(有些人会说太直接)与操作系统集成,这意味着管理操作系统中的任何更改(对于服务器来说问题最大)。 截至本月,情况已不再如此; Chromium 更新现在是一个单独的代码库和应用程序实体,Microsoft Edge(旧版)现在将自动删除并替换为 Chromium 代码库。 您可以在线阅读有关此更新(和删除)过程的更多信息。
我认为这是一个好消息,因为 IE 的不断重新编译和随后的测试配置文件对大多数 IT 管理员来说是一个沉重的负担。 也很高兴看到 Chromium 更新周期从六周周期变为四周周期,与 Microsoft 的更新节奏保持一致。 鉴于 Chromium 浏览器的这些更改的性质,请将此更新添加到您的标准补丁发布计划中。
微软Windows
本月,Microsoft 致力于解决 Windows 中的 14 个严重漏洞和 68 个被评为重要的剩余安全问题。 其中两个关键问题与媒体播放器有关; 其余 12 个与 Windows 远程过程调用 (RPC) 功能中的问题有关。 我们将剩余的更新(包括重要和中等评级)分解为以下功能区域:
Windows 安全内核模式 (Win32K);
Windows 事件追踪;
Windows 安装程序;
微软图形组件;
Windows TCP/IP、DNS、SMB 服务器。
要测试这些功能组,请参阅上面详述的建议。 对于关键补丁:测试 Windows Media Player 很容易,而测试应用程序内部和应用程序之间的 RPC 调用则是另一回事。 更糟糕的是,这些 RPC 问题虽然不是蠕虫病毒,但作为一个整体是很严重的。 由于这些担忧,我们建议为本月的更新制定“立即补丁”发布时间表。
Microsoft Office(当然还有 Exchange)
当我们评估每个月度安全版本的 Office 更新时,我通常会问的关于 Microsoft Office 更新的第一个问题是:
漏洞是否复杂性低、远程访问问题?
该漏洞是否会导致远程代码执行场景?
这次预览窗格是矢量吗?
幸运的是,本月,微软本月解决的四个问题都被评为重要,没有落入上述三个“忧虑箱”中的任何一个。 除了这些安全基础知识之外,我还有以下关于 4 月 Office 更新的问题:
您正在运行 ActiveX 控件吗?
您正在运行 Office 2007 吗?
本月更新后,您是否遇到与语言相关的副作用?
如果您正在运行 ActiveX 控件,请不要这样做。 如果您运行的是 Office 2007,现在是迁移到受支持的产品(如 Office 365)的绝佳时机。 而且,如果您遇到语言问题,请参阅 Microsoft 的此支持说明 (KB5003251),了解如何在更新后重置您的语言设置。 Office、Word 和 Excel 更新是主要更新,需要一个标准的测试/发布周期。 鉴于这些漏洞的紧迫性较低,我们建议您将这些 Office 更新添加到您的标准发布计划中。
不幸的是,Microsoft Exchange 有四个需要注意的关键更新。 它不像上个月那样非常紧急,但我们给了他们“立即补丁”评级。 这次更新您的服务器时需要注意一些。 当这些更新应用于具有适当 UAC 控件的服务器时,已报告了许多问题。
当您尝试通过双击更新文件 (.MSP) 以在正常模式下运行它来手动安装此安全更新时(即,不以管理员身份),某些文件未正确更新。 确保以管理员身份运行此更新,否则您的服务器可能处于更新之间的状态,或者更糟的是处于禁用状态。 发生此问题时,您不会收到错误消息或任何表明安全更新未正确安装的指示。 但是,Web 上的 Outlook (OWA) 和 Exchange 控制面板 (ECP) 可能会停止工作。
这个月,您的 Exchange 服务器肯定需要重新启动。
微软开发平台
微软已经发布了 12 个更新,所有更新都被评为 4 月份的重要更新。 所有已解决的漏洞都具有 7 或更高的 CVSS 评级,并涵盖以下 Microsoft 产品领域:
Visual Studio Code——Kubernetes 工具;
Visual Studio Code – GitHub 拉取请求和问题扩展;
Visual Studio Code – 用于 Java 扩展的 Maven。
查看这些更新及其本月的实施方式,我发现很难看出除了对每个应用程序进行非常小的更改之外还会产生什么影响。 Microsoft 尚未发布任何这些更新的关键测试或缓解措施,因此我们建议为它们制定标准的“开发人员”发布计划。
Adobe Flash 播放器
我简直不敢相信。 没有关于 Adobe 更新的进一步消息。 本月没有疯狂的 Flash 漏洞可以劫持您的日程安排。 所以,用我最喜欢的新闻阅读器的话来说,没有 Gnus 就是好的 Gnus。
我们将在下个月停用此部分,并将 Office 和 Exchange 更新分成单独的部分以便于阅读。
