本月補丁星期二活動日之后,今天微軟面向所有支持的 Windows 10/11 系統(tǒng)發(fā)布了可選更新。Windows 11 在安裝 KB5014668 可選更新之后,版本號升至 Build 22000.778,為 Windows Search 引入了 Highlights 功能。此功能將為您提供有關今天的各種重要信息,例如假期、紀念日等。對于企業(yè)客戶,Search Highlights 提供最新的更新和文件。
離線下載:KB5014668
KB5014668 中的其他更改包括對問題的重要修復,例如無法更新到 Windows11、重新連接到藍牙設備、玩依賴特定音頻技術的游戲或訪問SurfaceDial 設置。該可選更新亮點:
New!引入新的 Search Highlights
Search Highlights 將展示每天的特別重要且有趣的時刻,例如假期、周年紀念日以及全球和您所在地區(qū)的其他教育時刻。要查看 Search Highlights,請單擊或點擊任務欄上的搜索圖標。對于企業(yè)客戶,搜索亮點還將包含您組織的最新更新,并建議人員、文件等。
Search Highlights 將在接下來的幾周內(nèi)向 Windows 11 客戶推出。我們正在采取分階段和衡量的方法。未來幾個月將出現(xiàn)廣泛的可用性。
更新內(nèi)容內(nèi)容:
● New!在安全事件 4262 和 WinRM 事件 91 中為傳入的 Windows 遠程管理 (WinRM) 連接添加 IP 地址審核。這解決了無法記錄遠程 PowerShell 連接的源 IP 地址和計算機名稱的問題。
● New!添加服務器消息塊 (SMB) 重定向器 (RDR) 特定的公共文件系統(tǒng)控制 (FSCTL) 代碼 FSCTL_LMR_QUERY_INFO。
● New!使用 PowerShell 使 SMB 客戶端和 SMB 服務器密碼套件順序可配置。
● New!引入Search Highlights
● New!在 Windows 客戶端和服務器輕量級目錄訪問協(xié)議 (LDAP) 實現(xiàn)中添加對傳輸層安全性 (TLS) 1.3 的支持。
● 修復了可能導致升級到 Windows 11(原始版本)失敗的競爭條件問題。
● 修復了在 PowerShell 中錯誤地顯示日文字符的問題。
● 修復了在一段時間不活動后影響云剪貼板服務并阻止計算機之間同步的問題。
● 修復了 Sandbox 開始運行后無法隱藏 Windows Sandbox 啟動屏幕的問題。
● 修復了在禁用最終用戶定義字符 (EUDC) 時導致具有日語系統(tǒng)區(qū)域設置的設備停止工作的問題。
● 啟用 InternetExplorerModeEnableSavePageAs 組策略。有關詳細信息,請參閱 Microsoft Edge 瀏覽器策略文檔。
● 提供在通用打印操作期間使用網(wǎng)絡代理的能力。
● 修復了在使用 DirectX 12 (DX12) 的游戲中可能導致連續(xù)視頻剪輯播放失敗的問題。
● 修復了導致某些游戲使用 XAudio API 播放音效時停止工作的問題。
● 修復了影響某些證書鏈到作為 Microsoft 根證書計劃成員的根證書頒發(fā)機構的問題。對于這些證書,證書鏈狀態(tài)可以是“此證書已被其證書頒發(fā)機構吊銷”。
● 修復了阻止通過基于 Web 的分布式創(chuàng)作和版本控制 (WebDAV) 連接使用加密文件系統(tǒng) (EFS) 文件的問題。
● 修復了導致域控制器在系統(tǒng)事件日志中錯誤地寫入密鑰分發(fā)中心 (KDC) 事件 21 的問題。當 KDC 使用密鑰信任方案(Windows Hello 企業(yè)版和設備身份驗證)的自簽名證書成功處理用于初始身份驗證 (PKINIT) 身份驗證請求的 Kerberos 公鑰加密時,會發(fā)生這種情況。
● 修復了在您重新啟動設備后阻止藍牙重新連接到某些音頻設備的問題。
● 修復了 Active Directory 輕型目錄服務 (AD LDS) 重置 userProxy 對象的密碼時出現(xiàn)的問題。當您嘗試重置其他人的密碼并使用簡單綁定進行身份驗證時,密碼重置失敗。錯誤類似于“00000005:SvcErr:DSID-03380C23,問題 5003 (WILL_NOT_PERFORM),數(shù)據(jù) 0”。
● 修復了導致使用外部信任的 Microsoft NTLM 身份驗證失敗的問題。當包含 2022 年 1 月 11 日或更高版本的 Windows 更新的域控制器為身份驗證請求提供服務、不在根域中并且不擁有全局編錄角色時,會出現(xiàn)此問題。受影響的操作可能會記錄以下錯誤:
◎ 安全數(shù)據(jù)庫尚未啟動。
◎ 域處于錯誤狀態(tài)以執(zhí)行安全操作。
◎ 0xc00000dd (STATUS_INVALID_DOMAIN_STATE)。
● 修復了在修改內(nèi)置管理員組時導致 LocalUsersAndGroups 配置服務提供程序 (CSP) 策略失敗的問題。如果在執(zhí)行替換操作時未在成員資格列表中指定本地管理員帳戶,則會出現(xiàn)此問題。
● 修復了格式錯誤的 XML 輸入可能導致 DeviceEnroller.exe 出錯的問題。這會阻止 CSP 被傳送到設備,直到您重新啟動設備或更正 XML。
● 修復了在安裝應用程序且沒有網(wǎng)絡連接時可能導致 Windows 11(原始版本)停止工作的問題。
● 更新開始菜單以在卸載 Windows 終端后右鍵單擊 (Win + X) 開始按鈕時顯示 Windows PowerShell。
● 在設置頁面上將 Your Phone 應用的名稱更改為 Phone Link。
● 修復了導致 Microsoft Surface Dial 自定義設置頁面停止工作的問題。
您可以使用此鏈接從 Windows 更新或手動從 Windows 更新目錄下載 KB5014668。請記住,此更新是可選的,因此您不必立即安裝它。微軟將在下個月的強制性補丁星期二發(fā)布中包含今天非安全更新中的所有關鍵修復。
在使用Https(AS2、RosettaNet等協(xié)議)傳輸協(xié)議進行數(shù)據(jù)傳輸中,有時會遇到下面這些報錯信息:
①276–Error during handshake:接收到的消息異常,或格式不正確。
②13003:Connot conclude ssl handshake.Cause:Connection reset.
③533 – An MDN was expected in the HTTP reply,but was not returned.
④32000 – Remote host disconnected during SSL negotiation.
⑤286:Unable to execute work queue.: Received fatal alert: HANDSHAKE_FAILURE
這些報錯,有時是因為數(shù)據(jù)傳輸雙方設置的TLS版本不一致導致,所以如果出現(xiàn)上述報錯我們可在確認網(wǎng)絡正常的情況下,排除是否是TLS的問題,一般交易伙伴雙方確認下彼此使用的TLS版本和Cipher Suites,然后不支持的一方進行設置即可。同時,我們可以通過網(wǎng)絡抓包來確認客戶端和服務器支持的TLS版本和Cipher Suites,參考如下:
以下截圖表示客戶端告知服務器, 客戶端支持的TLS版本和Cipher Suites:
以下截圖表示服務器端回復客戶端,服務器支持的TLS版本和Cipher Suites:
如果確認是TLS版本和Cipher Suites不支持的問題,我們該如何查看知行之橋支持的TLS版本及TLS Cipher Suites,并進行修改或者設置呢?
1.可以借助一些測試工具,比如SSL Server Test:https://www.ssllabs.com/ssltest/
輸入需要測試的服務器的IP或者域名即可
查看測試結(jié)果:
如上圖表示,該服務器支持TLS 1.0、TLS 1.1、TLS1.2。
2.使用openssl命令
openssl s_client -connect <IP或域名>:<端口>
以上結(jié)果表示,目前使用的是TLS1.2版本。
如果確認是因為TLS版本不一致導致數(shù)據(jù)傳輸失敗時,可以參考以下步驟針對客戶端和服務器設置TLS版本:
以AS2協(xié)議為例,在知行之橋中創(chuàng)建AS2端口,前往高級設置頁面“啟用TLS功能”,勾選對應的TLS版本即可:
目前大多數(shù)客戶使用的都是TLS1.2版本,有些客戶已經(jīng)升級到TLS1.3版本。
如果EDI服務器系統(tǒng)是Windows系統(tǒng)
需要修改服務器的注冊表來實現(xiàn)
1.點擊“開始”,選擇“運行”,在對話框中輸入“regedit”,進入注冊表編輯器中:
2.找到:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols選項,如下圖:
3.確認這里沒有你需要的TLS版本,比如TLS1.2,右擊-新建(New)->項(Key)->新建名為TLS 1.2的項(注意TLS與1.2之間有個空格),如下圖:
在新建的TLS 1.2項上右擊->新建->項->新建Server, Client兩個項,如下圖:
在新建的Server和Client中都新建DWORD 32位值,如下圖:
添加兩個DWORD 32位值,名稱分別為DisabledByDefault和 Enabled ,參考如下:
其中DisabledByDefault的值為0,Enabled的值為1,參考如下:
注意,設置好后,需要重啟服務器才可以生效。
如果在Linux操作系統(tǒng)上部署的知行之橋,知行之橋是直接運行的其內(nèi)置的Jetty Server(Jetty版本號:10.0.9)啟動的,是默認支持到最新的TLS1.3的,可以通過以下命令確認使用的TLS版本:
openssl s_client -connect <IP或域名>:<端口> -debug | grep TLS
在EDI通信中有時也會因為雙方使用的TLS Cipher Suites不同,導致數(shù)據(jù)傳輸失敗。或者一方進行了升級,改用了更安全的Cipher Suites,要求另一方同步升級。那么如何確認你的服務器支持哪些TLS Cipher Suites并進行修改呢?
Windows服務器
1.Win+R快捷鍵,調(diào)出運行窗口,輸入gpedit.msc回車
2.查看:Computer Configuration→Administrative Templates→Network → SSL Configuration Settings
3. 雙擊右側(cè)的SSL Cipher Suite Order,會彈出SSL Cipher Suite Order設置框,選擇Enabled,在左下側(cè)可以看到支持的SSL Cipher Suite,全選復制出來,可以看到詳細的列表:
在這里可以刪除不安全的SSL Cipher Suite,添加安全的SSL Cipher Suite,進行應用。
Windows服務器可以在Microsoft官網(wǎng)查看操作系統(tǒng)支持的SSL Cipher Suite:https://learn.microsoft.com/en-us/windows/win32/secauthn/cipher-suites-in-schannel,如果是因為操作系統(tǒng)本來就不支持需要的SSL Cipher Suite,那就需要更換服務器或者重新安裝系統(tǒng)了。
Linux服務器
查看知行之橋內(nèi)置Jetty支持的SSL Cipher Suite命令
java -Dorg.eclipse.jetty.util.ssl.SslContextFactory.LEVEL=DEBUG -jar arc.jar
設置SSL Cipher Suite
在arc.xml中添加以下設置即可:
Q&A分享
Q:在運維工作中有些客戶必須要使用https,但是有時在成功設置https后,瀏覽器無法訪問https地址,報錯如下:
A:這種情況常常就是因為服務器不支持TLS1.2及以上版本,參考上述設置TLS版本的操作進行設置,設置后重啟服務器后即可。