微軟緊急修補 Patch Tuesday 造成的 VPN、Hyper-V 啟動失敗問題

微軟本周二釋出例外 (out-of-band, OOB) 更新解決上周 Patch Tuesday 對 Windows 10、11 及 Windows Server 造成 VPN、Hyper-V、ReFS 儲存檔案無法啟動的問題。

微軟周二透過 Microsoft Update Catalog 釋出修補更新供直接下載，而部份更新可透過 Windows Update 自動下載到機器上。

1 月 11 日（台灣時間 1 月 12 日）釋出的 Patch Tuesday 目的在修補 96 項安全漏洞。不料釋出後反倒為使用者和管理員造成一堆麻煩。

修補更新反造成 VPN 失效

而在這波例外更新中，微軟承認上周的安全更新造成 Windows PC VPN 連線失敗、導致 Windows Server 網域控制器 (domain controller) 不預期重新啟動，以及 Hyper-V 上的虛擬機器 (virtual machine) 無法啟動。此外，Windows 彈性檔案系統 (Resilient File System, ReFS) 的臭蟲也讓用戶無法存取儲存在可移除式媒體，包括外接 USB 磁碟上的磁區 (volume)。

VPN 連線問題出在包含 Vendor ID 的 IPSec VPN，而使用第二層隧道協定 (Layer 2 Tunneling Protocol, L2TP) 及 IPSEC 網際網路金鑰交換 (Internet Key Exchange) 的 VPN 也有問題，影響 Windows 10 Enterprise 2015 LTSB 到 Windows 11。

Windows Server 也有災情

Windows Server DC 不斷重新啟動的災情則發生在 Windows Server 2012 到 2022。Server 2016 以後版本若果 DC 如果在 ESAE(Enhanced Security Admin Environment, 強化安全性系統管理員環境)，或是具備「特權身份管理」(Privileged Identity Management, PIM) 的環境下使用 Shadow Principal 物件，特別容易出現這狀況。

在具備 UEFI(Unified Extensible Firmware Interface，統一可延伸韌體介面) 的 Windows 機器上， Hyper-V 上的 VM 無法啟動。受影響版本包括 Windows 8.1、Windows Server 2012 R2 和 Windows Server 2012。

ReFS 臭蟲指的是儲存成 ReFS 的磁區無法啟動，或是變成 RAW，原因在於在可移除式媒體，包括 USB 外接磁碟不支援 ReFS 檔案系統。

引發這些問題的更新版本包括 Windows 10 21H2 (KB5009566)、Windows 11 (KB5009566)、Windows Server 2022(KB5009555) 以及較舊版 Windows（21H1 以前）及 Windows Server（如 Server 2012、2016、2019）的安全更新。

而微軟分別針對 Windows 11、Server 2022 釋出 KB5010795 及 KB5010796 for Windows Server 2022 解決問題，Windows 10 21H2、21H1、20H2 和 20H1 則由 KB5010793 修補。此外，連 Windows 7 SP1 及 Server 2008 SP2 也都獲得了修補。

如果你也碰到 ReFS 的問題，修補比較麻煩一點。微軟建議先移除 1 月 11 日的更新，再從 ReFS 分區回復資料。回復資料步驟包括先確保可移除媒體上的資料先搬到另一台修補好的 Windows 機器上的 ReFS 磁區，或是 NTFS 磁區。資料回復完成後再安裝 OOB 更新。

Windows 管理員向來抱怨微軟更新的品質，以及懷疑微軟釋出前到底有沒有充份測試，2022 年第 1 個月的 Patch Tuesday 出包再度讓人覺得不意外。

來源：ZDNet