KB5041578

詳細情報

KB番号 KB5041578
リリース日 2024/08/13
Windowsバージョン Windows 10 1809
ビルド番号 17763.6189
URL(英語) https://support.microsoft.com/en-us/help/5041578
URL(日本語) https://support.microsoft.com/ja-jp/help/5041578
ダウンロード Microsoft Update Catalog

ハイライト(英語)

  • This update addresses security issues for your Windows operating system. 

改良点(英語)

  • [Protected Process Light (PPL) protections] You can bypass them.

  • [Windows Kernel Vulnerable Driver Blocklist file (DriverSiPolicy.p7b)] This update adds to the list of drivers that are at risk for Bring Your Own Vulnerable Driver (BYOVD) attacks.

  • [BitLocker (known issue)] A BitLocker recovery screen shows when you start up your device. This occurs after you install the July 9, 2024, update. This issue is more likely to occur if device encryption is on. Go to Settings > Privacy & Security > Device encryption. To unlock your drive, Windows might ask you to enter the recovery key from your Microsoft account.

  • [Lock screen] This update addresses CVE-2024-38143. Because of this, the “Use my Windows user account” checkbox is not available on the lock screen to connect to Wi-Fi.

  • [NetJoinLegacyAccountReuse] This update removes this registry key. For more information refer to KB5020276—Netjoin: Domain join hardening changes.

  • [Secure Boot Advanced Targeting (SBAT) and Linux Extensible Firmware Interface (EFI)] This update applies SBAT to systems that run Windows. This stops vulnerable Linux EFI (Shim bootloaders) from running. This SBAT update will not apply to systems that dual-boot Windows and Linux. After the SBAT update is applied, older Linux ISO images might not boot. If this occurs, work with your Linux vendor to get an updated ISO image.

  • [Domain Name System (DNS)] This update hardens DNS server security to address CVE-2024-37968. If the configurations of your domains are not up to date, you might get the SERVFAIL error or time out.

  • [Line Printer Daemon (LPD) protocol] Using this deprecated protocol to print might not work as you expect or fail. This issue occurs after you install the July 9, 2024, and later updates.

    Note When it is no longer available, clients, like UNIX, that use it will not connect to a server to print. UNIX clients should use the Internet Printing Protocol (IPP). Windows clients can connect to shared UNIX printers using the Windows Standard Port Monitor.

既知の不具合(英語)

SymptomWorkaround

After installing the Windows update released on or after July 9, 2024, Windows Servers might affect Remote Desktop Connectivity across an organization. This issue might occur if legacy protocol (Remote Procedure Call over HTTP) is used in Remote Desktop Gateway. Resulting from this, remote desktop connections might be interrupted.

This issue might occur intermittently, such as repeating every 30 minutes. At this interval, logon sessions are lost and users will need to reconnect to the server. IT administrators can track this as a termination of the TSGateway service which becomes unresponsive with exception code 0xc0000005.

​​​​​​​This issue is addressed in KB5043050.

After installing this security update, you might observe that some Windows Server 2019 devices experience system slowdowns, unresponsiveness, and high CPU usage particularly with Cryptographic Services. 

A limited number of organizations reported that the issue was observed when the device was running an Antivirus software which performs scans against the ‘%systemroot%\system32\catroot2’ folder for Windows updates, due to an error with catalog enumeration. 

Our investigations so far indicate that this issue is limited to some specific scenarios. If your IT environment is affected, you might observe that your devices:

  • Show increased CPU utilization

  • Experience increased disk latency/ disk utilization

  • Indicate degraded OS or application performance

  • Show that the CryptSVC service fails to start

  • May boot into a black screen

  • Experience slow to boot

  • Freeze or hang

This issue is addressed in KB5043050.

After installing this security update, you might face issues with booting Linux if you have enabled the dual-boot setup for Windows and Linux in your device. Resulting from this issue, your device might fail to boot Linux and show the error message “Verifying shim SBAT data failed: Security Policy Violation. Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation.”

The August 2024 Windows security update applies a Secure Boot Advanced Targeting (SBAT) setting to devices that run Windows to block old, vulnerable boot managers. This SBAT update will not be applied to devices where dual booting is detected. On some devices, the dual-boot detection did not detect some customized methods of dual-booting and applied the SBAT value when it should not have been applied.

Please refer to the workaround mentioned in Windows release health site for this issue.

ハイライト(日本語)

  • この更新プログラムは、Windows オペレーティング システムのセキュリティの問題に対処します。 

改良点(日本語)

  • [保護されたプロセス ライト (PPL) の保護] バイパスできます。

  • [Windows カーネルの脆弱なドライバー ブロックリスト ファイル (DriverSiPolicy.p7b)] この更新プログラムは、Bring Your Own Vulnerable Driver (BYOVD) 攻撃の危険にさらされているドライバーの一覧に追加されます。

  • [BitLocker (既知の問題)] デバイスを起動すると 、BitLocker の回復 画面が表示されます。 これは、2024 年 7 月 9 日の更新プログラムをインストールした後に発生します。 この問題は、 デバイスの暗号化 がオンになっている場合に発生する可能性が高くなります。 [ 設定] > [ プライバシー] & [セキュリティ] > [デバイスの暗号化] に移動します。 ドライブのロックを解除するために、Windows から Microsoft アカウントから回復キーを入力するように求められる場合があります。

  • [ロック画面] この更新プログラムは CVE-2024-38143 に対処します。 このため、ロック画面で [Windows ユーザー アカウントを使用する] チェック ボックスを使用して Wi-Fi に接続することはできません。

  • [NetJoinLegacyAccountReuse] この更新プログラムは、このレジストリ キーを削除します。 詳細については、「 KB5020276-Netjoin: ドメイン参加の強化の変更」を参照してください。

  • [Secure Boot Advanced Targeting (SBAT) と Linux Extensible Firmware Interface (EFI)] この更新プログラムは、Windows を実行するシステムに SBAT を適用します。 これにより、脆弱な Linux EFI (Shim ブートローダー) の実行が停止されます。 この SBAT 更新プログラムは、Windows と Linux をデュアルブートするシステムには適用されません。 SBAT 更新プログラムが適用されると、古い Linux ISO イメージが起動しない可能性があります。 これが発生した場合は、Linux ベンダーと協力して更新された ISO イメージを取得します。

  • [ドメイン ネーム システム (DNS)] この更新プログラムは、CVE-2024-37968 に対処するために DNS サーバーのセキュリティを強化します。 ドメインの構成が最新でない場合は、SERVFAIL エラーまたはタイムアウトが発生する可能性があります。

  • [ライン プリンター デーモン (LPD) プロトコル] この 非推奨のプロトコルを使用して印刷すると、想定どおりに動作しないか、失敗する可能性があります。 この問題は、2024 年 7 月 9 日以降の更新プログラムをインストールした後に発生します。

    使用できなくなったクライアント (UNIX など) は、サーバーに接続して印刷しません。 UNIX クライアントでは、インターネット印刷プロトコル (IPP) を使用する必要があります。 Windows クライアントは、Windows Standard ポート モニターを使用して共有 UNIX プリンターに接続できます。

既知の不具合(日本語)

現象回避策

​​​​​​​

この問題を回避するには、次のいずれかのオプションを使用します。

オプション 1: パイプ経由の接続を禁止し、RD ゲートウェイ経由で \pipe\RpcProxy\3388 をポートします

このプロセスでは、ファイアウォール ソフトウェアなどの接続アプリケーションを使用する必要があります。 接続の禁止と移植に関するガイダンスについては、接続とファイアウォール ソフトウェアのドキュメントを参照してください。

オプション 2: クライアント デバイスのレジストリを編集し、RDGClientTransport の値を 0x00000000 (0) に設定する

Windows レジストリ エディターで、次のレジストリの場所に移動します。

HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client

RDGClientTransport を検索し、その値を 0 (ゼロ) に設定します。 これにより、 RDGClientTransport の値 が 0x00000000 (0) に変更されます。

次の手順: 解決に取り組んでおり、今後のリリースで更新プログラムを提供します。

.

このセキュリティ更新プログラムをインストールした後、一部の Windows Server 2019 デバイスでは、システムの速度低下、応答不能、特に暗号化サービスの CPU 使用率が高いことが確認される場合があります。 

カタログ列挙のエラーが原因で、デバイスが Windows 更新プログラムの '%systemroot%\system32\catroot2' フォルダーに対してスキャンを実行するウイルス対策ソフトウェアを実行しているときに、この問題が発生したと報告された組織が限られています。 

これまでの調査では、この問題が特定のシナリオに限定されていることを示しています。 IT 環境が影響を受ける場合は、デバイスが次のことが確認される場合があります。

  • CPU 使用率の増加を表示する

  • ディスク待機時間の増加/ディスク使用率の向上

  • OS またはアプリケーションのパフォーマンスが低下していることを示す

  • CryptSVC サービスの開始に失敗したことを示す

  • 黒い画面で起動することがあります

  • 起動に時間がかかる

  • 固定またはハング

この問題は 、KB5043050で解決されます。

このセキュリティ更新プログラムをインストールした後、デバイスで Windows と Linux のデュアルブートセットアップを有効にした場合、Linux の起動に関する問題が発生する可能性があります。 この問題の結果、デバイスが Linux の起動に失敗し、「shim SBAT データの確認に失敗しました: セキュリティ ポリシー違反」というエラー メッセージが表示される可能性があります。 SBAT の自己チェックが失敗しました: セキュリティ ポリシー違反。

2024 年 8 月の Windows セキュリティ更新プログラムは、古い脆弱なブート マネージャーをブロックするために Windows を実行するデバイスにセキュア ブート Advanced Targeting (SBAT) 設定を適用します。 この SBAT 更新プログラムは、デュアル ブートが検出されたデバイスには適用されません。 一部のデバイスでは、デュアルブート検出では、デュアルブートのいくつかのカスタマイズされた方法が検出されず、SBAT 値が適用されていない場合に適用されました。

2024 年 9 月の Windows セキュリティ更新プログラム (KB5043050) 以降の更新プログラムには、この問題の原因となった設定は含まれていません。

Windows 専用システムでは、2024 年 9 月以降の更新プログラムをインストールした後、 CVE-2022-2601 および CVE-2023-40547 に記載されているレジストリ キーを設定して、SBAT セキュリティ更新プログラムが確実に適用されるようにすることができます。

Linux と Windows をデュアルブートするシステムでは、2024 年 9 月以降の更新プログラムをインストールした後に追加の手順は必要ありません。