KB4598279 / KB4598289 Windows 7 Januar 2021 Patchday ESU v9 und v11 funktionieren weiterhin

Auch für Windows 7 wurden gestern wieder neue Sicherheitsupdates bereitgestellt. Einmal die KB 4598279 als „Monatliches Rollup) und einmal die KB 4598289 als Sicherheitsupdate (only). Ein neues SSU gibt es diesen Monat nicht.

Der ESU-Patch v9 oder v11 funktionieren weiterhin. Probleme sind bislang nicht aufgetreten. Ein neues .NET Update wurde mit der KB4578952 (.NET 3.5.1), KB4578955 (.NET 4.5.2), KB4597239 (.NET 4.6 bis 4.7.1) und KB4597254 (.NET 4,8) bereitgestellt.

Bekannte Probleme mit der KB4598279

Nach der Installation dieses Updates und dem Neustart des Geräts wird möglicherweise die Fehlermeldung “ Fehler bei der Konfiguration von Windows-Updates“ angezeigt. Änderungen werden rückgängig gemacht. Schalten Sie den Computer nicht aus“, und das Update wird möglicherweise als fehlgeschlagen im Updateverlauf angezeigt. Dies kann daran liegen, wenn kein ESU MAK-Erweiterungsschlüssel installiert und aktiviert ist (ESU-Patch)
Bestimmte Vorgänge, wie z. B. das Umbenennen, die Sie an Dateien oder Ordnern durchführen, die sich auf einem Cluster Shared Volume (CSV) befinden, schlagen möglicherweise mit dem Fehler „STATUS_BAD_IMPERSONATION_LEVEL (0xC00000A5)“ fehl. Dies tritt auf, wenn Sie den Vorgang auf einem CSV-Eigentümerknoten von einem Prozess aus durchführen, der nicht über Administratorrechte verfügt. Workaround: Führen Sie den Vorgang von einem Prozess aus, der über Administratorberechtigungen verfügt.

Behobene Probleme durch die KB4598279

Behebt eine Sicherheitslücke, die in der Art und Weise besteht, wie die Drucker-RPC-Bindung (Remote Procedure Call) die Authentifizierung für die Remote-Winspool-Schnittstelle behandelt.
Behebt ein Problem mit einer Sicherheitsanfälligkeit bei HTTPS-basierten Intranet-Servern. Nach der Installation dieses Updates können HTTPS-basierte Intranetserver standardmäßig keinen Benutzerproxy zur Erkennung von Updates verwenden. Scans, die diese Server verwenden, schlagen fehl, wenn die Clients nicht über einen konfigurierten System-Proxy verfügen.
Wenn Sie einen Benutzerproxy verwenden müssen, müssen Sie das Verhalten mithilfe der Windows Update-Richtlinie Benutzerproxy als Fallback verwenden zulassen, wenn die Erkennung mithilfe des Systemproxys fehlschlägt konfigurieren. Um ein Höchstmaß an Sicherheit zu gewährleisten, nutzen Sie zusätzlich die TLS-Zertifikatsanbindung (Transport Layer Security) von Windows Server Update Services (WSUS) auf allen Geräten. Hinweis: Diese Änderung betrifft nicht Kunden, die HTTP WSUS-Server verwenden.
Behebt ein Problem, bei dem ein Prinzipal in einem vertrauenswürdigen Managed Identity for Application (MIT)-Realm kein Kerberos-Service-Ticket von Active Directory-Domänencontrollern (DCs) erhält. Dieses Problem tritt auf, nachdem Windows Updates mit CVE-2020-17049-Schutzmaßnahmen, die zwischen dem 10. November und 8. Dezember 2020 veröffentlicht wurden, installiert wurden und PerfromTicketSignature auf 1 oder höher konfiguriert ist. Der Ticketerwerb schlägt mit KRB_GENERIC_ERROR fehl, wenn Anrufer ein PAC-loses Ticket Granting Ticket (TGT) als Evidence Ticket einreichen, ohne das Flag USER_NO_AUTH_DATA_REQUIRED anzugeben.
Sicherheitsupdates für Windows App Platform and Frameworks, Windows Graphics, Windows Media, Windows Grunfunktionen, Windows Kryptographie, Windows Virtualisation und Windows Hybrid Storage Services.