[English]Am 9. Juli 2024 (zweiter Dienstag im Monat, Patchday bei Microsoft) wurden verschiedene kumulative Updates für die unterstützten Windows 10 Builds (von der RTM-Version bis zur aktuellen Version) sowie für die Windows Server-Pendants freigegeben. Hier einige Details zu den jeweiligen Sicherheitsupdates für Windows 10, wobei Windows 10 Version 21H2 nun das End of Life erreicht hat und zukünftig keine Updates mehr erhält.
Eine Liste der Updates lässt sich auf dieser Microsoft-Webseite abrufen. Ich habe nachfolgend die Details herausgezogen. Seit März 2021 integriert Microsoft die Servicing Stack Updates (SSUs) für neuere Windows 10 Builds in das kumulative Update.
Updates für Windows 10 Version 21H1-22H2
Für die oben erwähnten Windows 10 Versionen stellt Microsoft nur ein Update-Paket, welches nachfolgend genannt wird, bereit.
Update KB5040427 für Windows 10 Version 21H1 – 22H2
Das kumulative Update KB5040427 hebt die OS-Build bei allen Windows 10-Varianten auf 1904x.4651 – bei 21H2 bekommt nur noch die Enterprise LTSC- und IoT-Variante (letztmalig) das Update. Das Update enthält nur Sicherheitsfixes, aber keine neuen Betriebssystemfunktionen. Für das kumulative Update heißt es lediglich:
- This update addresses security issues for your Windows operating system.
- Windows Installer. When it repairs an application, the User Account Control (UAC) does not prompt for your credentials. After you install this update, the UAC will prompt for them. Because of this, you might have to update your automation scripts. Do this by adding the Shield icon. It indicates that the process requires full administrator access. To turn off the UAC prompt, set the HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\DisableLUAInRepair
registry value to 1. For more information, see: Application Resiliency: Unlock the Hidden Features of Windows Installer and Machine Policies – Win32 apps. - Remote Authentication Dial-In User Service (RADIUS) protocol. This issue is related to MD5 collisions. For more information, see KB5040268.
Microsoft weist auch darauf hin, dass dieses Update Qualitätsverbesserungen am Servicing Stack (ist für Microsoft Updates verantwortlich) durchführt. Dieses Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog und per WSUS sowie WUfB erhältlich. Beachtet die im Support-Beitrag beschriebene Hinweise zur Installation und zu bekannten Problemen.
Updates für Windows 10/Server 2019
Für Windows 10 Enterprise 2019 LTSC und Windows Server 2019 stehen folgendes Updates zur Verfügung.
Update KB5040430 für Windows 10 Enterprise 2019 LTSC /Windows Server 2019
Das kumulative Update KB5040430 (wird unter Windows 10 v1809 einsortiert, bezieht sich aber auf die 2019er-Versionen und) und beinhaltet Qualitätsverbesserungen aber keine neuen Betriebssystemfunktionen. Dieses Update steht nur für Windows 10 2019 Enterprise LTSC und IoT Enterprise LTSC (die restlichen Varianten sind am 11. Mai 2021 aus der Versorgung mit Sicherheitsupdates herausgefallen) sowie Windows Server 2019 bereit. Microsoft führt eine Reihe an Korrekturen auf.
- This update addresses security issues for your Windows operating system.
- Windows Installer. When it repairs an application, the User Account Control (UAC) does not prompt for your credentials. After you install this update, the UAC will prompt for them. Because of this, you might have to update your automation scripts. Do this by adding the Shield icon. It indicates that the process requires full administrator access. To turn off the UAC prompt, set the HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\DisableLUAInRepair
registry value to 1. For more information, see: Application Resiliency: Unlock the Hidden Features of Windows Installer and Machine Policies – Win32 apps. - Windows Local Administrator Password Solution (LAPS). Its Post Authentication Actions (PAA) do not occur at the end of the grace period. Instead, they occur at restart.
- Remote Authentication Dial-In User Service (RADIUS) protocol. This issue is related to MD5 collisions. For more information, see KB5040268.
Das Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog, per WSUS und WUfB erhältlich. Microsoft hat zudem das Service Stack Update (SSU) aktualisiert. Beachtet die im Support-Beitrag beschriebene Installationsreihenfolge, ggf. die Hinweise zu weiteren Anforderungen und eventuell vorhandener Probleme.
Updates für Windows 10 Version 1507 bis 1607
Für Windows 10 RTM bis Version 1607 stehen Updates für die Enterprise LTSC-Versionen zur Verfügung. Diese Updates werden automatisch von Windows Update heruntergeladen und installiert, stehen aber im Microsoft Update Catalog als Download zur Verfügung (nach der KB-Nummer suchen lassen). Vor der manuellen Installation muss das aktuellste Servicing Stack Update (SSU) installiert werden. Details sind im jeweiligen KB-Artikel zu finden.
- Windows 10 Version 1607: Update KB5040434 steht nur noch für Enterprise LTSC sowie Windows Server 2016 bereit. Das Update adressiert Sicherheitsprobleme.
- Windows 10 Version 1507: Update KB5040448 steht für die RTM-Version (LTSC) bereit. Das Update fixt Schwachstellen sowie ggf. Bugs.
Für die restlichen Windows 10 Versionen gab es kein Update, da diese Versionen aus dem Support gefallen ist. Details zu obigen Updates sind im Zweifelsfall den jeweiligen Microsoft KB-Artikeln zu entnehmen.
Ähnliche Artikel:
Microsoft Security Update Summary (9. Juli 2024)
Patchday: Windows 10/Server-Updates (9. Juli 2024)
Patchday: Windows 11/Server 2022-Updates (9. Juli 2024)
Windows Server 2012 / R2 und Windows 7 (9. Juli 2024)
Microsoft Office Updates (9. Juli 2024)
Windows 11 Update KB5040442 verursacht Probleme mit Outlook 2021
Windows Juli 2024-Updates machen Remote Verbindungen kaputt
Windows 10/11 Updates (z.B. KB5040442) triggern Bitlocker-Abfragen (Juli 2024)
Windows Update Juli 2024: Gibt es Probleme mit Radius-Authentifizierungen?
Juli 2024-Sicherheitsupdate KB5040427 lässt Windows 10/Server LPD-Druckdienst abstürzen
Microsofts Fixes für diverse Windows-Bugs (Juli 2024)
Die ersten beiden 2022er VMs (deutsch) sind durch:
KB5040437 bleibt „relativ lange“ (ca. 7 Minuten) bei 100 % Installation stehen.
KB5034439 (aus Januar 2024) scheitert mit 0x80070643. Nagelneue 2022er VM auf einem nagelneuen 2022er Host. Auf der einen VM will Windows es später erneut versuchen (viel Erfolg dabei!), auf der anderen VM wird das Update nicht mehr vorgeschlagen. Muss man nicht verstehen…
Sonst bislang keine Auffälligkeiten.
KB5034439 lässt sich auch mit dem bereitgestellten Skript von Microsoft leicht installieren. Der Fehler tritt auf, weil die Windows RE-Partition zu klein ist. Das Skript vergrößert die Partition entsprechend.
https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/add-update-to-winre?view=windows-11#extend-the-windows-re-partition
Seit wann führt das Ändern eines Programm-Icons dazu, dass ein Programm als Admin ausgeführt werden muss??
Hat niemand behauptet.
Moin,
ich habe es für mich so verstanden, dass keine Benachrichtigung aufpoppt. Durch das Hinzufügen des Icon wird die erforderliche Eingabe wieder sichtbar.
MfG,
Blackii
Es ist unglücklich durch Microsoft ausgedrückt: durch das Ändern des Icons zu seinen Scripten (die den Windows Installer, insbesondere die Repair-Funktion nutzen), soll man Anwendern anzeigen dass man erhöhte Rechte benötigt um dieses Script erfolgreich nutzen zu können.
Das Standardverhalten ändert sich nun eben -> UAC Prompt erscheint. Vorher erschien er nicht, Repair-Funktion lief aber dennoch hoch privilegiert. Weil aber je nach Installer für die Repair-Funktion keine erhöhten Rechte abgefragt wurden, bzw. zum Anstoßen des Repair-Prozesses vorhanden sein mussten, gab es in der Vergangenheit einige Local Privilege Escalations in Installern von Produkten. Dies war ausnutzbar in Kombination mit nicht vorhandenen Dateien in für einen normalen Benutzer schreibbaren Verzeichnissen.
positiver Nebeneffekt:
nach der Installation von KB5040427 wird mir dieses leidige Wiederherstellungsumgebungsupdate KB 5034441 vom Januar nicht mehr angezeigt, endlich!
Laut Administrator.de ist auch der Bug mit dem teilweise englischen Kontextmenü durch KB5039217 weg. Na, mal sehen, ich warte noch paar Stunden.
PS: der Update Catalog zeigt derzeit nur Updates mit japanischen Zeichen an (10.07.24, 7:59 Uhr)
Guten Abend. Kann ich (auf einer Testmaschine Server 2019) bestätigen: zumindest „notepad.exe“ ist wieder „deutsch“.
Auf unseren 2016 und 2019er Maschinen, egal ob Blech oder VM, keine Probleme nach den Updates.
Nur der 2016 mit seinem 2019 SQL installiert das Update erst nachdem ersten Neustart und benötigt entsprechend einen zweiten reboot – etwas nervig, aber kein Drama.
Windows 10 ioT LTSC 2021 – Version 21H2 – Build 19044.4651
Installation der Updates lief problemlos durch.
Windows 10 1809 LTSC –
Probleme beim Installieren, reverted die Changes beim Neustart
andere Versionen – keine Issues
Jemand schon einen DC gemacht ?
2016 DC , keine Problem
Ja, ging ohne Probleme durch.
Ja, Server 2019 DC erfolgreich aktualisiert.
Bei uns ebenso. Zwei 2019er als DC, bisher keine Auffälligkeiten.
Ja, Server 2019 Standard 1809 (Build 17763.6054) ohne Probleme.
2x 2019er DCs, beide als Hyper-V VM.
Hat sogar das englische Kontext-Menü „repariert“, welches letzten Monat „eingeführt“ wurde, ABER lustiger Side-Effekt: hatte nach dem ersten Reboot das Problem, dass unter Einstellungen -> Windows Update der Dialog sich nicht öffnen ließ, sondern abgeschmiert ist. Trat bei beiden DCs auf. Nach nochmaligem Reboot hat es aber wieder bei beiden funktioniert (zum Glück).
Habe auch noch einen Member-Server (auch 2019) gemacht, der den RAS-Dienst (für VPN) installiert hat. Lief auch ohne Probleme.
Dann noch einen Exchange 2016 (für den gab es ja keine Updates) auf Server 2016. Der 2016er mit Exchange machte auch keine Probleme.
Hat jemand auch nach einem Windows 10 Update, das Problem, dass in der Taskleiste – von den angepinnten Applikationen – nicht mehr bei allen – das Icon richtig dargestellt wird? Geht man mit rechter Maustaste auf das Icon / die Application dann wird im Kontextmenü das Icon richtig dargestellt. Geht man dann dort mit der rechten Maustaste auf die [….].exe wieder in das Kontextmenü und Properties kann man dann im Pop-Up Fenster Change Icon auswählen. Macht man das sieht man dort auch das Icon, und kann es nochmals anwählen. Aber im Endeffekt zeigt es die Taskleiste nicht an.
Eventuell hat das auch mit einem „Icon“ Cache zu tun, da gab es ja vor einigen Jahren ein Thema, dass man den löschen und neu erzeugen kann. Jedenfalls auffällig bei mir, dass es genau alle nicht MS Apps betrifft. Teams Mail und Edge und Konsole werden richtig dargestellt.
Das IconCache löschen Script von Deskmodder hat es bereinigt:
@echo off
taskkill /f /IM explorer.exe
CD /d %userprofile%\AppData\Local\Microsoft\Windows
del /f /s /q Explorer\iconcache*.*
Start explorer.exe
Quelle: https://www.deskmodder.de/wiki/index.php?title=Icon_Cache_l%C3%B6schen_wei%C3%9Fes_Icon_reparieren_Windows_11_und_10
Wir generieren per Script die Shortcuts, welche wir dann für’s Startmenu auf unseren Terminal Servern benutzen. Diese generierten Shortcuts wurden nun nach dem Update bei uns nicht mehr mit dem Icon angezeigt.
Diese Policy hat Abhilfe geschaffen – so wie es aussieht hätte das gar nie funktionieren dürfen:
https://learn.microsoft.com/en-us/answers/questions/1162419/shortcut-icon-blank-when-ico-file-is-located-on-a
Computer Configuration > Administrative Templates > Windows Components > File Explorer
Enable Allow the use of remote paths in file shortcut icons
Hoffe es hilft.
Niro, besten Dank für den Hinweis, das gleich ist in unserer Citrix Farm aufgetreten Remote Icons alle nur noch weiss, GPO angepassst, läuft.
Moin
Office 2019, Server 2019,Server 2022
Office 2019 VL nach Update Juli 2024- Probleme, Word-Plugin, Datenübergabe Rechnungswesen, Agenda Software. Nach der Office schnellreparatur bzw. De/Aktivierung Add-ins wieder alles okay.
SQL 2017 bzw. 2019 taten sich auch erst schwer, liefen aber am Ende bzw. Neustart durch. Downloadfehler.
Server 2019/2022
Bei manchen VMs, hing der Installier beim Juli Update bei 100 % fest, nach Neustart der VM klappte der erneute Anstoß. *Fehler, installier, war beendet. ?!
Gruß
Bei mir musste ich das Update auf einem 2022er Server wieder deinstallieren. Der Remotedesktop Gateway Dienst ist regelmäßig abgestürzt.
Moin,
interessant. Bei uns frisst sich seit dem Update der Memory vom Connection Broker voll bis er nicht mehr funktioniert.
Bislang habe ich aber im Web noch keine anderen Hinweise dazu gefunden.
Hallo,
haben seit dem Update Probleme mit der Verbindung zwischen RD-Gateway (Win2016) und Windows 11 (Windows 10 funktioniert).
Eventlog RD-Gateway (Microsoft-Windows-TerminalServices-Gateway/Operational) meldet mit EventID 311:
The user „xxx“, on client computer „yyy“, did not connect to the following network resource: „zzz“ because the remote computer does not support secure device redirection. Try selecting another network resource or possibly lower RD Gateway security by modifying RD CAP to allow client connections to resources that do not enforce device redirection.
Sobald man die RD CAP anpasst funktioniert es, aber leider schraubt man da ja an der Security runter.
(Kleiner Tipp für alle die Central RD CAP verwenden: hier muss das Vendor-Specific-Attribut „TSG-Device-Redirection“ angepasst werden).
Liebe Grüße
Ist im Blog-Beitrag Windows Juli 2024-Updates machen Remote-Verbindungen kaputt aufgegriffen – danke.
KB5040430 bei 2019 Essentials aufs Blech ohne Probleme.
Guten Morgen,
hat noch jemand Probleme das Windows10 Clients sich per LAN nicht authentifizieren können?
Wir haben 2 PCs die immer wieder Probleme haben sich nach diesem Update mit dem Netzwerk zu authentifizieren….ein PC ohne dieses Update am selben Port, Dockingstation usw. hat damit kein Problem
Bisher hatten Clients weder mit 802.1X (NPS, wir verwenden EAP-TLS) noch RADIUS ein Problem.
Allerdings ist bisher nur der Testcluster gepatcht, die Produktivsysteme sind für das Wochenende geplant.
Hallo zusammen, hier tritt etwas ähnliches wie bei viebrix auf: Nach dem Einspielen des Updates (Win10 und Win11) werden bei uns Netzwerkverknüpfungen, die auf dem Desktop liegen, nur noch als weißes Blatt angezeigt. Klickt man in die „Eigenschaften“ und wählt „Anderes Symbol“ wird das ursprüngliche Symbol angezeigt, nach Übernahme bleibt das Desktopsymbol trotzdem weiß. Wählt man ein anderes Symbol auf einem Netzlaufwerk aus, ist es der gleiche Effekt. Nimmt man ein lokales Symbol, geht es. Wir haben erst 3 Maschinen aktualisiert, bei denen tritt es auf. Bei allen anderen Maschinen (nur Win10) sind die Symbole noch da.
Testet ernsthat niemand bei Microsoft, ob so etwas nach einem Update nicht mehr geht.
Kleiner Nachtrag: Ich weiß nicht, ob das wichtig ist, aber: Netzwerksymbole (icons), die aus einer .exe Datei „ausgelesen“ und genutzt werden funktionieren weiterhin. Die weißen Symbole sind alle entstanden, wenn „*.ico“ Dateien verwendet werden. Wir verteilen Desktop-Verknüpfungen per GPOs, da habe ich es gerade verglichen – .exe Symbole gehen, .ico Symbole nicht (mehr). Hat vor dem Update tadellos seit 1607 funktioniert.
Die Aktivierung der GPO
Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Datei-Explorer
„Verwendung von Remotepfaden in Dateiverknüpfungssymbolen zulassen“
sollte das Problem beheben
Microsoft warnt explizit davor, diese Funktion zu verwenden:
Note: Allowing the use of remote paths in file shortcut icons can expose users‘ computers to security risks.
Die Richtlinie ist schon ein paar Jahre alt.
Jetzt stellt sich die Frage, ob es die entsprechende Sicherheitslücke immer noch gibt. Also könnte man ein aktuelles System über ein Verknüpfungssymbol abgeifen?
Hallo Bernie, verrückt, es funktioniert. DANKE DANKE dafür. Verrückt, weil es jahrelang ohne diesen Parameter funktionierte, aber bei Windows hinterfrage ich grundsätzlich nichts mehr. Toll, was für eine Community es hier ist. Du hast vielen Kollegen/innen einen optischen Makel auf dem Desktop erspart. Nochmals: DANKE!
On a Server 2016 machine – „The Remote Desktop Gateway service terminated unexpectedly. It has done this X time(s). The following corrective action will be taken in 300000 milliseconds: Restart the service.“
Happening every 40 minutes or so. This is really bad…
Here is the according MS article with a temporary solution:
https://learn.microsoft.com/en-us/answers/questions/1820252/july-07-2024-updates-break-remote-desktop-gateway
Nachtrag: ich habe dort nur das KB5040430 installiert.
Wir haben zwei RDCB (Remote Desktop Connection Broker), einer wurde gestern Abend mit KB5040430 gepatcht.
Heute morgen hatten beide einen krassen Speicheranstieg.
Nach einem ersten Reboot ging es direkt wieder los und nach 40 Minuten war der MEM voll.
Wir haben nun beide RDCB mehrfach neugestartet (zuletzt 9:51 Uhr) und bis jetzt (12:53 Uhr) bleibt der MEM stabil und steigt nicht wieder an.
Sehr komisch, Fehler finde ich keine passenden in den Logs.
Seit dem Update KB5040427 habe ich auf einem einem PC (i3-7100 mit Intel HD Graphics 630, Windows 10 22H2) das Problem, dass der Fokus auf die Anwendung nicht mehr bestehen bleibt. Das ist so als ob die Fensterauswahl immer zwischen der Anwendung selbst und dem Desktop sekündlich wechselt.
Ich hatte erst Citrix Workspace in Verdacht. Aber auch nach der Aktualisierung von Citrix Workspace war das Problem vorhanden. Ein Update der Grafikkarte über den Microsoft Update Catalog hat auch nicht geholfen.
Am Ende habe ich das Update deinstalliert und mit dem Hide-Tool (https://social.technet.microsoft.com/wiki/contents/articles/53184.show-or-hide-updates-utility-fixing-automatic-installation-of-a-problematic-update-in-windows-10-version-1903.aspx) von Microsoft unterdrückt.
Soeben hatte ich ebenfalls ein Problem mit diesem Update in Verbindung mit einer nicht mehr funktionierenden Radius Authentifizierung unter Server 2019 und einer Sophos XGS Firewall. Wir nutzen es bei einem Kunden für L2TP over IPSEC VPN Einwahlen. Der NPAS schickt ein „Zugriff erlaubt“ zurück aber die Sophos XGS lehnt die Authentifizierung ab. Nach Deinstallation des KB5040430 läuft es wieder. Werden hier mal ein Ticket bei Sophos eröffnen da die Hersteller hier wohl nacharbeiten müssen wenn man sich das Thema im Checkpoint Forum durchliest.