Появившиеся в службе Windows Update и WSUS в начале этой недели Августовские кумулятивные обновления Windows нацелены на повышение уровня безопасности ОС и, в частности, исправляют проблему безопасности при работе с протоколом RDP, которую уже успели окрестить "BlueKeep-2". Однако, следует внимательно подходить к вопросу предварительного тестирования данных обновлений, чтобы не создать себе дополнительных проблем. Получить информацию о выпущенных обновлениях и затрагиваемых проблемой с RDS системах можно из бюллетеней безопасности: CVE-2019-1181 - RDS Remote Code Execution Vulnerability CVE-2019-1182 - RDS Remote Code Execution Vulnerability Как и в случае с ранее описанным Майским бюллетенем безопасности CVE-2019-0708, в качестве дополнительных мер безопасности рекомендуется: Включить поддержку аутентификации на уровне сети Network Level Authentication (NLA) на тех системах, где это поддерживается (включение NLA не отменяет необходимости установки обновлений); Заблокировать доступ из внешних сетей по порту TCP 3389 до полного устранения уязвимости; Отключить службы удалённых рабочих столов Terminal Services/Remote Desktop Services на системах, где нет необходимости в использовании протокола RDP, либо на системах, где по каким-либо причинам невозможна установка выше обозначенных обновлений. Администраторы, распространяющие обновления через внутренний WSUS-сервер, перед развёртыванием обновлений на продуктивную группу компьютеров, как правило, выполняют цикл предварительного тестирования на выделенной группе компьютеров. И в случае предварительного тестирования Августовских обновлений стоит проявить особое внимание тем администраторам, которые имеют в своей инфраструктуре какие-либо задачи и приложения с применением Visual Basic. Например, если говорить применительно к модным Windows 10 1903 и Windows Server 1903, то согласно документа Version 1903 - Known issues and notifications, а также примечаний к обновлению KB4512508, после установки обновления: Приложения, использующие Visual Basic 6 (VB6); Макросы, использующие Visual Basic for Applications (VBA); Скрипты или приложения, использующие VBScript могут перестать работать с ошибкой "invalid procedure call error". Полный список затрагиваемых этой проблемой систем можно найти, например, здесь. В данной ситуации администраторам ещё на этапе тестирования обновлений, как минимум, следует проверить корректность работы старых logon-скриптов,
Сообщение Августовские обновления Windows требуют тщательного предварительно тестирования перед развёртыванием появились сначала на Блог IT-KB.