2020/03/11

Windows Update の日 - 2020年3月のセキュリティ更新 (2020-03-B)

本日 3 月 11 日は、いろいろ思いを巡らしたい日ですし、新型コロナの状況も気になるし、花粉症の私は自宅のマスクの在庫減にそわそわしている状況でもありますが...

そんな状況とは関係なく、毎月恒例、2020 年 3 月の Patch Tuesday、"B" release、セキュリティ更新日です。Windows、.NET Framework、Microsoft Office、Adobe Flash のセキュリティ更新を含む更新プログラムあります。

Windows 10 release information
https://docs.microsoft.com/en-us/windows/release-information/
2020 年 3 月のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2020/03/10/202003-security-updates/
↑msrc-blog.microsoft.com からだと「2020 年 3 月」で検索しないとたどり着けないかも。Archives > March 2020 やタグからは見つからない(インデックスされてない? 2020/03/12 時点)

何か事件や不都合、ニュースがありましたら追記します。

※.NET Framework は 2020-03-B はなくて、2020-02-C/D の Preview of rollup がそのまま有効? Windows 10やWindows Server 2016以降はオプションから非オプション?でインストール不可避(タイミングが悪いと 2 回再起動されることに)。 Windows 8.1/7 /Server 2012 R2 以前 はオプションのままなので自分で選択しないとインストールされない。

.NET Framework February 2020 Preview of Quality Rollup (2020-02-C)
https://devblogs.microsoft.com/dotnet/net-framework-february-2020-preview-of-quality-rollup/
.NET Framework February 2020 Preview of Quality Rollup for Windows 10 1909, Windows 10 1903, Windows Server, version 1909 and Windows Server, version 1903 (2020-02ーD)
https://devblogs.microsoft.com/dotnet/net-framework-february-2020-preview-of-quality-rollup-for-windows-10-1909-windows-10-1903-windows-server-version-1909-and-windows-server-version-1903/

※Windows 8.1 や Windows 7 はサービススタックの更新(SSU 4550735、4540725、or 4540726)がロールアップをインストールして再起動してからやってくるかも。

※今月はいまのところ Windows 10 ver 1809、Server ver 1809、Server 2019 の更新に時間がかかった気がする。気がするだけかもしれない気がする。在宅勤務増のネットへの影響もあるのかもしれないしないのかもしれない。

※Intelマイクロコードの更新(概要 https://support.microsoft.com/ja-jp/help/4093836/)が再び配布されている模様。
KB4494174: Intel microcode updates (for 1809)
https://support.microsoft.com/en-us/help/4494174/
KB4497165: Intel microcode updates (for 1903/1909)
https://support.microsoft.com/en-us/help/4497165/
(for 1803)
https://support.microsoft.com/en-us/help/4494451/
(for 1709)
https://support.microsoft.com/en-us/help/4494452/
(for 1703)
https://support.microsoft.com/en-us/help/4494453/ KB4494175: Intel microcode updates (for 1607)
https://support.microsoft.com/en-us/help/4494175/

※ ver 1903/1909 に影響する SMBv3(3.1.1) の緊急(Critical)レベルの脆弱性のセキュリティ アドバイザリ(ADV200005)出てます。現状、更新プログラムなし。脆弱性緩和策あり。→ セキュリティ更新(定例外の累積更新プログラム)が 3/12 PT に出ました。→ KB4551762
ADV200005 | Microsoft Guidance for Disabling SMBv3 Compression
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005

※オンプレで Exchange Server 2010/2013/2016/2019 を利用している場合は、2 月に公開された以下のセキュリティ アドバイザリを(2 月のセキュリティ更新で解決可能)。
CVE-2020-0688 | Microsoft Exchange の検証キーのリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2020-0688

※先月まで、 2019年11月12日に EOS になった Windows Server, version 1803 ですが、なぜか先月までセキュリティ更新(および Azure Marketplace 上の更新された仮想マシン イメージ 2020-02-B の 17134.1304、Windows コンテナーの更新済みイメージ servercore:1803 や nanoserver:1803 の 17134.1304 は取り消しで 17134.1305 → 詳細)が提供されていましたが、今月から新しい更新の提供なしになった模様。→ 3/17 追記 Azure Marketplace Image も提供なし(https://support.microsoft.com/en-us/help/4551209)。


:1803 のコンテナー イメージは 2020/02/19 作成のものが最後。Azure Marketplace は 3/11 16:00 時点で 3 月のイメージはきていないっぽい。


※「AD 環境は 2020年3月の Windows Update に要注意(かも)→ 3 月実施は延期 」に関連して、3 月の実施は延期されましたが、グループポリシーの「・・・\セキュリティ オプション\Domain controller: LDAP server channel binding token requirements」が追加され、LDAP チャネル バインディングをドメイン コントローラー向けにポリシーで設定できるようになりました。これまではレジストリ(HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LdapEnforceChannelBinding)の直接編集しか方法はありませんでしたが、このポリシーで Never (LdapEnforceChannelBinding 0)、When supported (LdapEnforceChannelBinding 1、推奨)、Always (LdapEnforceChannelBinding 2) を設定できるようになったことをポリシー設定&レジストリ参照で確認。


※ Windows 7/Server 2008/Server 2008 R2 のセキュリティ更新は 1 月で最後。2 月に 1 月の更新にあった壁紙問題を修正するための更新があったけど、それは新たなセキュリティ更新を含みません。3 月はというと...

拡張セキュリティ更新プログラム(ESU)を受け取れる Windows 7 の 3 月の更新。


ESU を受け取れない Windows 7 には”悪意のある”だけでした。Microsoft Security Essentials (MSE) の定義の更新(誰が考えたのか"セキュリティ インテリジェンスの更新”に改名)は 3 月になっても健在。ダウンロードはいまでも可能(→ https://www.microsoft.com/ja-jp/download/details.aspx?id=5201)で、新規インストールもブロックされない(ESU とは関係なく)。

※ Windows 7 の更新履歴のページ↓に書いてある通り、
Windows 7 SP1 and Windows Server 2008 R2 SP1 update history
https://support.microsoft.com/en-us/help/4009469/
Windows Embedded Standard 7 SP1(EOS は 2020/10/13)、Windows Embedded POSReady 7 (EOS は 2021/10/12)、Windows Thin PC (EOS は 2021/10/12) に対してはセキュリティ更新(ロールアップおよびセキュリティのみ)の提供は継続中。

ただし、ロールアップのプレビュー(C/D リリース)は提供されないっぽいです。1 月の壁紙問題の関係で 2 月初めに提供されましたが、2 月の C/D リリースはないままの、3 月の B リリースでした。
ちなみに、MSE がインストールされていなくても、セキュリティ インテリジェンスの更新がやってくるのは、標準搭載の Windows Defender (スパイウェア対策限定)があるから。

0 件のコメント: