Последние обновления для windows server 2016

To use this site to find and download updates, you need to change your security settings to allow ActiveX controls and active scripting. To get updates but allow your security settings to continue blocking potentially harmful ActiveX controls and scripting from other sites, make this site a trusted website:

Microsoft выпускает новые обновления безопасности для своих продуктов как минимум один раз в месяц. В большинстве случаев служба Windows Update прекрасно справляется с автоматическим получением и установкой обновлений Windows. Также вы можете вручную найти, скачать и установить актуальное кумулятивное обновление безопасности для вашей редакции и версии Windows. Например, на компьютерах с отключенной службой wususerv, в изолированных от интернета сетях (если у вас не используется WSUS сервер, где можно вручную управлять тестированием и одобрением обновлений Windows), в локальной сети с лимитным подключением (metered connection) и т.д.

Каждый второй вторник месяца Microsoft выпускает новые обновления для всех поддерживаемых редакций Windows (исправления для особо критичных уязвимостей могут выпускаться быстрее, не дожидаясь этой даты. Также имейте в виду, что в Windows используется кумулятивная модель обновлений. Это означает, что для обновления Windows достаточно установить только один, последний, кумулятивный пакет безопасности.

Узнать дату установки последних обновлений Windows

Проверьте дату установки последних обновлений на вашем компьютере с помощью PowerShell команды:

gwmi win32_quickfixengineering |sort installedon -desc

Source Description HotFixID InstalledBy InstalledOn
PCname1 Security Update KB5011352 NT AUTHORITY\SYSTEM 2/9/2022 12:00:00 AMН

В данном случае видно, что последний раз на этом компьютере обновление безопасности устанавливалось 9 февраля 2022 года.

Затем вам нужно узнать версию и номер билда вашей Windows. Воспользуйтесь командой:

Get-ComputerInfo | select WindowsProductName, WindowsVersion, OsHardwareAbstractionLayer, OsArchitecture

WindowsProductName WindowsVersion OsHardwareAbstractionLayer, OsArchitecture
Windows 10 Pro 2009 10.0.19041.1566 64-bit

В моем случае мне нужно скачать последние обновления безопасности для Windows 10 20H2 x64.

Как найти и скачать последние обновления безопасности для вашей версии Windows?

Вы можете вручную скачать последние обновления для продуктов Microsoft из каталога обновлений Microsoft Update Catalog — https://www.catalog.update.microsoft.com/Home.aspx. В каталоге вы можете найти обновления для всех поддерживаемых версий Windows (также поддерживается прямой импорт обновлений через консоль WSUS). Главная проблема, что в каталоге отсутствует удобная система поиска. Если вы не знаете номер KB, который вам нужно установить, найти и скачать пакет с обновлением довольно трудно.

Рассмотрим, как сформировать правильный запрос для поиска обновлений для вашей редакции Windows в каталоге обновлений Microsoft. Статья пишется 9 марта 2022 года, соответственно последние обновления безопасности были выпушены вчера, 8 марта (второй вторник месяца). Для поиска обновлений безопасности для Windows 10 20H2 x64 за март 2022 года, воспользуйтесь таким поисковым запросом, который нужно вставить в поисковую строку в верхнем правом углу:

windows 10 20h2 x64 3/%/2022

Каталог Microsoft Update вернул список из 3 обновлений.

Как решить какие из этих обновлений нужно скачать и установить? Конечно, можно скачать и установить вручную все эти обновления, но можно сэкономить время. Т.к. Microsoft перешла на кумулятивные обновления, вам достаточно скачать и установить последнее Cumulative Update для вашей системы.

В моем случае доступно одно большое кумулятивное обновление для Windows 10:

• 2022-03 Cumulative Update for Windows 10 Version 20H2 for x64-based Systems (KB5011487), Windows 10 version 1903 and later, Security Updates, 3/7/2022 — 655.6 MB

Щелкните по названию обновления безопасности KB5011487. В открывшемся окне с информацией об обновлении перейдите на вкладку Package Details. На этой вкладке видно какие обновления заменяет данное обновление (This update replaces the following updates:), и каким обновлением заменяется в свою очередь оно (This update has been replaced by the following updates).

Как вы это обновление ничем не заменяется: This update has been replaced by the following updates: n/a. Значит это самое последнее и актуальное кумулятивное обновление безопасности для вашей версии Windows 10.

Нажмите на кнопку Download, в открывшемся окне появится прямая ссылка на загрузку MSU файла обновлений. Скачайте файл и сохраните его на диск.

Затем скачайте последнее доступное обновление служебного стека Windows 10 (SSU — Servicing Stack Updates). Это обновление также можно найти в Windows Update Catalog по ключевой фразе:
servicing stack windows 10 20h2

Обязательно установите Servicing Stack Update до установки накопительного обнолвения безопасности Windows.

C марта 2021 года, Microsoft перестала выпускать отдельные обновления SSU для билдов Windows 10 2004 и старше. Теперь они интегрируются в последнее кумулятивное обновление LCU (Latest Cumulative Update).

Скачать файлы обновлений Windows с помощью PowerShell

Для скачивания файлов MSU обновлений из Microsoft Update Catalog можно использовать командлет Save-KBFile из модуля KBUpdate (KB Viewer, Saver, Installer and Uninstaller) — https://github.com/potatoqualitee/kbupdate

Установите модуль из PowerShell Gallery:

Install-Module kbupdate -Scope CurrentUser

Для загрузки определенных файлов обновлений выполните команду PowerShell:

Save-KBFile -Name KB5011487, 5005260 -Architecture x64 -Path C:\Updates

Ручная установка кумулятивных обновлений в Windows

После того, как вы скачали MSU файл с актуальным кумулятивным обновлением для вашей редакции Windows 10, вы можете его установить.

Щелкните дважды по скачанному msu файлу и следуйте шагам мастера автономного установщика обновлений Windwows.

После окончания установки пакета обновлений нужно перезагрузить компьютер (если после установки обновления вы наблюдаете проблемы с работой ОС или приложений, вы можете удалить его).

Также вы можете установить обновление Windows из командной строки в тихом режиме с помощью утилиты wusa.exe (Windows Update Standalone Installer). Следующая команда установит указанное обновление в тихом режиме и отложит автоматическую перезагрузку системы после завершения установки:

wusa C:\updates\windows10.0-kb5011487-x64_2190163dcb84974d93ecdc32bdae277b57ebb95c.msu /quiet /norestart

Ручное обновление сигнатур Windows Defender

Если на вашем устройстве Windows включен встроенный Windows Defender Antivirus, вы можете вручную обновить его сигнатуры. Обновление с новым набором сигнатур можно скачать с Microsoft Update Catalog, либо (проще) со страницы https://www.microsoft.com/en-us/wdsi/defenderupdates#manual.

Скачайте файл офлайн установки для вашей версии Window. Например, Microsoft Defender Antivirus for Windows 10 and Windows 8.1 64-bit.

Запустите и установите файл
fpam-fe.exe
для обновления антивирусных баз.

Ручное обновление билда Windows 10 (Feature Update)

Также вы можете вручную обновить билд Windows 10 (Feature Update). Например, вы хотите вручную обновить билд Windows 10 на своем компьютере с 20H2 (окончание поддержки 10 мая 2022) на 21H2.

Для этого перейдите на страницу https://www.microsoft.com/en-us/software-download/windows10 и нажмите кнопку Update Now.

Скачайте и запустите файл Windows 10 Update Assistant (
Windows10Upgrade9252.exe)
.

Мастер предложит вам обновится до последней версии Windows 10 (Windows 10 November 2021 Update). Для такого обновления требуется подключение к интернету.

Чтобы выполнить оффлайн обновление билда Windows 10, сформируйте установочный ISO образ с новый билдом Windows 10 с помощью Media Citation Tool (позволяет создать iso образ или загрузочную флешку с Windows 10).

Затем смонтируйте ISO образ в виртуальный привод и запустите файл setup.exe. Следуйте шагам мастера обновления Windows. Подробнее это описано в статье про обновление билда Windows 10 из командной строки.

The cumulative security update for Windows Server 2016 and Windows Server 2016 Server Core Installation has been released on 12th April 2022. KB5011296 security update supersedes the previous month’s security update KB5011495. If you have not patched the Windows Server 2016 or Windows Server 2016 (Server Core Installation), please follow the instructions given in the document for KB5011495. Over here, we will look at the key aspects of the KB5012596 cumulative security update. We will also list the vulnerabilities that affect Windows Server 2016 and Windows Server 2016 (Server Core Installation).

Salient points about KB5012596 for Windows Server 2016 and Windows Server 2016 (Server Core Installation)

• KB5012596 supersedes KB5011495 for Windows Server 2016 and Windows Server 2016 Server Core Installation.
• KB5011570 SSU needs to be installed prior to patching Windows Server 2016 with KB5012596.
• Two zero-day vulnerabilities affect Windows Server 2016 and Windows Server 2016 Server Core. Both are patched as part of KB5012596. The zero-day threats are CVE-2022-26904 and CVE-2022-24521.
• Over and above the zero-day threats, we found 12 other threats of critical or high significance for Windows Server 2016. Details are shared below. Some of these have a CVSS score of 9.8.
• The server requires a reboot after the deployment of KB5012596.
• The update file for KB5012596 is 1544.6 MB in size. Please plan a change ticket as the update process may not be as brisk as you want it to be.
• KB5012596 resolves the issue with resetting passwords on the Windows Server 2016 after the passwords have expired.
• If you did not install KB5011495, KB5012596 can be deployed straight away.

KB5013952 is the cumulative update for Windows Server 2016 for the month of May 2022. You can read more about the May month’s KB5013952 cumulative update for Windows Server 2016 on this page.

Zero-Day Vulnerabilities on Windows Server 2016

There are two zero-day vulnerabilities that affect Windows Server 2016 and Windows Server 2016 (Server Core Installation). Both are patched as part of the KB5012596 security update released on 12th April. We list the vulnerabilities with a brief description below:

CVE-2022-26904 – CVSS 7 – Windows User Profile Service

KB5012596 security update contains a fix for the zero-day vulnerability in the User Profile Service on Windows operating system across the server and desktop versions. The vulnerability carries a CVSS score of 7 and has a ‘high impact’ on the associated infrastructure based on the Windows Server or Desktop operating systems. It could be exploited and lead to the elevation of privileges on the Windows Server 2016.

Since this vulnerability is publicly known and is more likely to be exploited, we suggest deploying the KB5012596 security updates for April Patch Tuesday on a priority basis.

CVE-2022-24521 – CVSS 7.8 – Windows Log File System Driver

This is the second zero-day vulnerability disclosed by Microsoft on 12th April. It affects the Windows Log File System Driver and can lead to ‘Elevation of Privileges’. It has not been publicly shared earlier. However, the vulnerability has been found to be under active exploitation attempts. It carries a CVSS score of 7.8, leading to a high-level impact on the target Windows Server 2016. KB5012596 resolves the security threat on Windows Server 2016 and Windows Server 2016 (Server Core).

Other Vulnerabilities on Windows Server 2016 – KB5012596

We list the vulnerabilities that carry significant risks for the infrastructure compirsing of Windows Server 2016. All these vulnerabilities are more likely to be exploited on Windows Server 2016 or Windows Server 2016 Server Core installation.

• CVE-2022-24474 – Windows Win32k Elevation of Privilege Vulnerability – This vulnerability exists in the Win32K module and can cause ‘Elevation of Privileges’ on the target Windows 2016 server. It has a CVSS score of 7.8 and a high impact on the associated infrastructure.

• CVE-2022-24481 – Windows Common Log File System Driver Elevation of Privilege Vulnerability – This vulnerability exists in the Windows Common Log File System Driver and could lead to ‘elevation of privileges’. The CVSS score is 7.8.

• CVE-2022-24491 – Windows Network File System Remote Code Execution Vulnerability – This is a Remote Code Execution vulnerability on the Windows Network File System. It has a critical severity with a CVSS score of 9.8.

• CVE-2022-26809 – Remote Procedure Call Runtime Remote Code Execution Vulnerability – This is a critical Remote Code Execution vulnerability with a CVSS score of 9.8. You can mitigate this vulnerability from external traffic by blocking TCP port 445 on the firewall. For the internal traffic, you will need to take steps to secure the SMB traffic.

• CVE-2022-26904 – Windows User Profile Service Elevation of Privilege Vulnerability – This is the zero-day vulnerability that has already been discussed above.

• CVE-2022-24542 – Windows Win32k Elevation of Privilege Vulnerability – This vulnerability affects the Win32K module and could lead to ‘Elevation of Privileges’. It has a CVSS score of 7.8.

• CVE-2022-24547 – Windows Digital Media Receiver Elevation of Privilege Vulnerability – This is an Elevation of Privilege vulnerability with a CVSS score of 7.8. It affects the Windows Digital Media Receiver on specific versions of Windows operating systems.

The zero-day vulnerability CVE-2022-26904 is also more likely to be exploited. However, no exploitation attempt has been detected by Microsoft as yet.

RCE Vulnerabilities Windows Server 2016 – KB5012596

Over and above the vulnerabilities that we have shared above, there are a few more security threats that you need to be aware of. All these vulnerabilities can lead to ‘Remote Code Execution.

These RCE vulnerabilities have critical severity or high-level impact on your infrastructure. The vulnerabilities of interest are mentioned below for a quick summary and action points:

• CVE-2022-24497 – CVSS 9.8 – RCE on Windows Network File System.
• CVE-2022-24541 – CVSS 8.8 – RCE on Windows Server Service.
• CVE-2022-24500 – CVSS 8.8 – RCE on Windows SMB.
• CVE-2022-26919 – CVSS 8.1 – RCE on Windows LDAP.
• CVE-2022-22008 – CVSS 7.7 – RCE on Hyper-V.
• CVE-2022-24537 – CVSS 7.7 – RCE on Hyper-V.

Servicing Stack Update KB5011570 will need to be deployed prior to installing the KB5012596 security update for Windows Server 2016. If you will use the Windows Update for automatic patching, KB5011570 will be deployed automatically before KB5012596 is deployed. If you will patch the Windows Server 2016 manually, please download the SSU KB5011570 from this page to patch it before deploying KB5012596. The SSU update is a small file of 11.6 MB.

How to get KB5012596 for Windows Server 2016?

All regular methods to update Windows Server 2016 are available for installing the KB5012596. Windows Server 2016 can be patched in any of the following methods.

• Windows Update can be used to automatically deploy KB5012596. SSU KB5011570 will be deployed automatically.
• Windows Update for Business can deploy KB5012596 and the SSU KB5011570 automatically.
• WSUS can be used for automatic patching of Windows Server 2016. Both, KB5011570 and KB5012596 will be installed automatically.
• You can choose to manually install the KB5012596 cumulative security update. The file is a little over 1.5 GB in size and downloaded from this KB5012596 page.

KB5012596 – Other Issues resolved in security update

• KB5012596 also resolves CVE-2022-26784, a Denial of Service vulnerability on the Cluster Shared Volumes (CSV). This is a CVSS 6.5 vulnerability.
• .NET framework issues with Active Directory Trust information developed post-deployment of January updates. The .NET framework on Windows Server 2016 and the Windows Server 2016 Server Core need to be upgraded with the corresponding .NET patches.
• .NET Framework 4.6.2, 4.7, 4.7.1 or 4.7.2 should be patched with KB5011329. File size is 371 KB.
• .NET Framework 4.8 should be patched with KB5011264. File size is 358 KB.
• There have been reports of the Recovery Discs not working after deployment of January security updates. The recovery discs created through the Backup and Restore program do not load on the affected servers. This issue remains unresolved for now.
• The KB5012596 security update also resolved the issue with password reset problems. KB5012596 addresses an issue that prevents you from changing a password that has expired when you sign in to a Windows device.

Summary

KB5012596 supersedes KB5011495 security update and resolves zero-day vulnerabilities. It also resolves issues with password reset on the servers after deploying the January updates. SSU KB5011570 will need to be installed before deployin KB5012596. We also suggest patching the .NET Framework with the corresponding .NET patches for Windows Server 2016.

You may also like to read the following content related to Windows Updates:

• Zero-day vulnerability in Microsoft April Updates
• KB5011495 for Windows Server 2016 – March Security Update

Во Вторник патчей (Patch Tuesday), 11 апреля 2023 года, компания Microsoft выпустила обновления для всех поддерживаемых версий Windows, включая Windows Server 2022, Windows Server 2019, Windows Server 2016 и Windows Server 2012 R2.

Обновления Windows Server 2022

Улучшения и изменения

Обновление Windows Server 2022 от 11 апреля 2023 (KB5025230) включает следующие улучшения:

• Новые функции и улучшения для Microsoft Defender для конечных точек.
• Внедрение нового решения LAPS (Local Administrator Password Solution) в качестве встроенной функции Windows.
• Решение проблемы с входящими активациями удаленного COM, связанных с ошибкой 0x80010111.
• Устранение проблемы с работой Microsoft PowerPoint на Azure Virtual Desktop (AVD) при использовании VBA.
• Исправление проблемы с поиском в Windows внутри образов контейнеров Windows.
• Поддержка изменения правительством Египта порядка перехода на летнее время в 2023 году.
• Решение проблемы с сервисом KDC, когда при остановке сервиса на локальной машине возникает ошибка STATUS_NETLOGON_NOT_STARTED.
• Исправление проблемы с клиентом WinRM, возвращающим ошибку сервера HTTP (500) при выполнении задания передачи в Storage Migration Service.
• Устранение проблемы с потерей ранее настроенных параметров Desired State Configuration из-за отсутствия файла metaconfig.mof.
• Решение проблем совместимости с некоторыми принтерами, использующими драйверы GDI.
• Устранение проблемы с переполнением стека при вызове xxxDestroyWindow() в режиме ядра.
• Решение редкой проблемы с нулевым пунктом назначения ввода при преобразовании физической точки в логическую.
• Исправление проблемы с процессорами, имеющими микропрограммные TPM, которые невозможно настроить с помощью Autopilot.
• Устранение проблемы с иконкой FIDO2 PIN, не отображающейся на экране учетных данных внешнего монитора.
• Решение проблемы с CSV, которые не могут войти в режим онлайн при включении BitLocker и локальных защитников CSV с последующим обновлением ключей BitLocker.
• Устранение проблемы с неполадками контроллеров домена Windows Server 2022 при обработке запросов LDAP.
• Решение проблемы с отчетами о блокировке учетных записей администратора в GPResult и Resultant Set of Policy.
• Исправление проблемы с командами MySQL, которые не работают на контейнерах Windows Xenon.
• Решение проблемы в Windows Server Failover Clustering, когда при настройке облачного свидетеля обе стороны считают другую сторону недоступной. Это сценарий «разделение мозга» (split-brain).

Известные проблемы

Обновление имеет следующие известные проблемы:

• Обновления, выпущенные после 14 февраля 2023 года, могут не предлагаться некоторыми серверами Windows Server Update Services (WSUS) для Windows 11 версии 22H2. Обновления будут загружаться на сервер WSUS, но могут не распространяться дальше на клиентские устройства. Затронутыми являются только те серверы WSUS, которые работают на Windows Server 2022 и были обновлены с Windows Server 2016 или Windows Server 2019. Эта проблема вызвана случайным удалением необходимых MIME-типов Unified Update Platform (UUP) во время обновления до Windows Server 2022 с предыдущей версии Windows Server. Эта проблема может затронуть обновления безопасности или функциональные обновления для Windows 11 версии 22H2. Microsoft Configuration Manager не затрагивается этой проблемой.
• После установки этого обновления на гостевые виртуальные машиныгости (VM) с Windows Server 2022, работающие на некоторых версиях VMware ESXi, Windows Server 2022 может не запускаться. Эта проблема затрагивает только виртуальные машины Windows Server 2022 с включенным безопасным загрузчиком (Secure Boot). Затрагиваемые версии VMware ESXi – vSphere ESXi 7.0.x и ниже.

Обновления для Windows Server 2019 (версия 1809)

Улучшения и изменения

Обновление Windows Server 2019 от 11 апреля 2023 (KB5025229) включает следующие улучшения:

• Новые функции и улучшения для Microsoft Defender для конечных точек.
• Внедрение нового решения LAPS (Local Administrator Password Solution) в качестве встроенной функции Windows.
• Поддержка изменения правительством Египта порядка перехода на летнее время в 2023 году.
• Включение событий onunload для создания всплывающих окон в режиме IE.
• Решение проблемы с Microsoft Edge в режиме IE и страницами, использующими предсказательную предварительную загрузку. Edge в режиме IE не поддерживает предсказательную предварительную загрузку, из-за чего страница загружается так, будто эта функция не используется.
• Устранение проблемы с потерей ранее настроенных параметров Desired State Configuration из-за отсутствия файла metaconfig.mof.
• Решение проблем совместимости с некоторыми принтерами, использующими драйверы GDI.
• Решение проблемы с сервисом Host Networking Service, который перестает работать, приводя к перебоям в сетевом трафике.
• Решение проблемы с отчетами о блокировке учетных записей администратора в GPResult и Resultant Set of Policy.
• Исправление проблемы с командами MySQL, которые не работают на контейнерах Windows Xenon.
• Устранение проблемы с приостановленными заданиями починки хранилища после потери связи двумя физическими дисками в двух разных доменах отказоустойчивости на уровне стоек (всего три домена отказоустойчивости).

Известные проблемы

Обновление имеет следующие известные проблемы:

• После установки KB5001342 или более поздних версий, служба кластера может не запуститься из-за отсутствия драйвера сети кластера.
• После установки обновлений, выпущенных 10 января 2023 года и позже, профили устройств киоска с включенным автоматическим входом в систему могут не входить автоматически. После завершения настройки Autopilot, затронутые устройства останутся на экране входа с запросом на ввод учетных данных.

Обновления для Windows Server 2016 (версия 1607)

Улучшения и изменения

Обновление Windows Server 2016 от 11 апреля 2023 года (KB5025228) включает следующие улучшения:

• Поддержка изменения правительством Египта порядка перехода на летнее время в 2023 году.
• Решение проблемы с Microsoft Edge в режиме IE и страницами, использующими предсказательную предварительную загрузку. Edge в режиме IE не поддерживает предсказательную предварительную загрузку, из-за чего страница загружается так, будто эта функция не используется.
• Решение проблем совместимости с некоторыми принтерами, использующими драйверы GDI. Эти драйверы не полностью соответствуют спецификациям GDI.

Обновления Windows Server 2012 R2

Улучшения и изменения

Обновление Windows Server 2012 R2 включает улучшения, которые являются частью обновления KB5023765 (выпущено 14 марта 2023 года). В этом обновлении также представлены улучшения для следующих вопросов:

• В соответствии с указом Арабской Республики Египет от 1 марта 2023 года, летнее время начнется 28 апреля 2023 года и закончится 27 октября 2023 года. Это обновление применяется к египетскому стандартному времени — (UTC+02:00) Каир.
• Известные проблемы совместимости существуют с определенными моделями принтеров, которые используют драйверы принтера GDI, не полностью соответствующие спецификациям GDI.