2022 年 5 月 10 日 - KB5013952 (OS 内部版本 14393.5125)

Windows 10, version 1607, all editions Windows Server 2016, all editions 更多...更少

发布日期:

2022/5/10

版本:

OS 内部版本 14393.5125

注意: 为了改进历史记录页和相关 KB 中显示的信息，并使它们对我们的客户更有用，我们创建了一个匿名调查，供你分享你的评论和反馈。

^11/19/20
有关Windows更新术语的信息，请参阅有关Windows更新类型和每月质量更新类型的文章。有关版本 1607 Windows 10的概述，请参阅其更新历史记录页。

亮点

解决Windows操作系统的安全问题。

改进

此安全更新包括质量改进。关键更改包括：

新增功能！ 添加了为Windows的安全启动组件提供服务的改进。
解决了使用 Netdom.exe 或 Active Directory 域和信任管理单元列出或修改名称后缀路由时可能发生的问题。这些过程可能会失败。错误消息是“系统资源不足，无法完成请求的服务。在主域控制器模拟器上安装 2022 年 1 月安全更新后，会出现此问题 (PDCe) 。
解决了导致动态数据Exchange (DDE) 对象清理不当的问题。这可防止会话拆解，并导致会话停止响应。
解决了可能导致Kerberos.dll在本地安全机构子系统服务 ( LSASS) 中停止工作的问题。当 LSASS 处理同时为用户 (S4U) 用户对用户 (U2U) 同一客户端用户的请求时，会发生这种情况。
解决了在控制面板中使用备份和还原 (Windows 7) 应用创建恢复光盘(CD 或 DVD)时可能阻止它们启动的已知问题。安装 2022 年 1 月 11 日或更高版本的Windows更新后，会出现此问题。

如果安装了早期更新，则只会下载并安装此包中包含的新更新。

有关安全漏洞的详细信息，请参阅新的安全更新指南网站和 2022 年 5 月安全更新。

此更新中的已知问题

问题	解决方法
更新时间 2022 年 5 月 27 日在域控制器上安装 2022 年 5 月 10 日发布的更新后，对于网络策略服务器 (NPS)、路由和远程访问服务 (RRAS)、RADIUS、可扩展身份验证协议 (EAP)、受保护的可扩展身份验证协议 (PEAP)等服务，你可能会在服务器或客户端看到计算机证书身份验证失败。发现了一个与域控制器如何处理证书到计算机帐户的映射相关的问题。备注在客户端 Windows 设备和非域控制器 Windows Server 上安装 2022 年 5 月 10 日发布的更新不会导致此问题。此问题仅影响在作为域控制器的服务器上安装 2022 年 5 月 10 日的更新的情况。	更新时间 2022 年 5 月 27 日此问题的首选缓解措施是手动将证书映射到 Active Directory 中的计算机帐户。有关说明，请参阅证书映射。注意将证书映射到 Active Directory 中的用户或计算机帐户的说明是相同的。如果首选缓解措施在你的环境中不起作用，请参阅 Windows 域控制器上基于证书的身份验证更改–KB5014754，并在“SChannel 注册表项”部分中查看其他可能的缓解措施。注意除首选缓解措施之外的任何其他缓解措施都可能会降低或禁用安全强化。此问题已在 2022 年 5 月 19 日发布的带外更新中得到解决，适用于在环境中的所有域控制器上的安装，以及所有中间应用程序服务器，如网络策略服务器 (NPS)、RADIUS、证书颁发机构 (CA) 或 Web 服务器，这些服务器会将身份验证证书从正在进行身份验证的客户端传递到身份验证 DC。如果对此问题使用了任何解决方法或缓解措施，则你不再需要它们，建议将它们删除。这包括删除 KB5014754 的 SChannel 注册表项部分中记录的注册表项 (CertificateMappingMethods = 0x1F)。客户端无需执行任何操作即可解决此身份验证问题。若要获取这些带外更新的独立包，请在 Microsoft 更新目录中搜索 KB 编号。可以手动将这些更新导入到 Windows Server Update Services (WSUS) 和 Microsoft Endpoint Configuration Manager。有关 WSUS 说明，请参阅 WSUS 和目录站点。有关配置管理器说明，请参阅从 Microsoft 更新目录中导入更新。请注意，以下更新并非来自 Windows 更新，并且不会自动安装。累积更新： Windows 服务器 2022：KB5015013 Windows服务器，版本 20H2：KB5015020 Windows 服务器 2019：KB5015018 Windows 服务器 2016：KB5015019 注意在安装这些累积更新之前，无需应用任何以前的更新。如果已安装 2022 年 5 月 10 日发布的更新，则在安装任何后续更新（包括上面列出的更新）之前，无需卸载受影响的更新。

问题

解决方法

更新时间 2022 年 5 月 27 日

在域控制器上安装 2022 年 5 月 10 日发布的更新后，对于网络策略服务器 (NPS)、路由和远程访问服务 (RRAS)、RADIUS、可扩展身份验证协议 (EAP)、受保护的可扩展身份验证协议 (PEAP)等服务，你可能会在服务器或客户端看到计算机证书身份验证失败。发现了一个与域控制器如何处理证书到计算机帐户的映射相关的问题。

备注在客户端 Windows 设备和非域控制器 Windows Server 上安装 2022 年 5 月 10 日发布的更新不会导致此问题。此问题仅影响在作为域控制器的服务器上安装 2022 年 5 月 10 日的更新的情况。

更新时间 2022 年 5 月 27 日

此问题的首选缓解措施是手动将证书映射到 Active Directory 中的计算机帐户。有关说明，请参阅证书映射。

注意将证书映射到 Active Directory 中的用户或计算机帐户的说明是相同的。如果首选缓解措施在你的环境中不起作用，请参阅 Windows 域控制器上基于证书的身份验证更改–KB5014754，并在“SChannel 注册表项”部分中查看其他可能的缓解措施。

注意除首选缓解措施之外的任何其他缓解措施都可能会降低或禁用安全强化。

此问题已在 2022 年 5 月 19 日发布的带外更新中得到解决，适用于在环境中的所有域控制器上的安装，以及所有中间应用程序服务器，如网络策略服务器 (NPS)、RADIUS、证书颁发机构 (CA) 或 Web 服务器，这些服务器会将身份验证证书从正在进行身份验证的客户端传递到身份验证 DC。如果对此问题使用了任何解决方法或缓解措施，则你不再需要它们，建议将它们删除。这包括删除 KB5014754 的 SChannel 注册表项部分中记录的注册表项 (CertificateMappingMethods = 0x1F)。客户端无需执行任何操作即可解决此身份验证问题。

若要获取这些带外更新的独立包，请在 Microsoft 更新目录中搜索 KB 编号。可以手动将这些更新导入到 Windows Server Update Services (WSUS) 和 Microsoft Endpoint Configuration Manager。有关 WSUS 说明，请参阅 WSUS 和目录站点。有关配置管理器说明，请参阅从 Microsoft 更新目录中导入更新。请注意，以下更新并非来自 Windows 更新，并且不会自动安装。

累积更新：

Windows 服务器 2022：KB5015013
Windows服务器，版本 20H2：KB5015020
Windows 服务器 2019：KB5015018
Windows 服务器 2016：KB5015019

注意在安装这些累积更新之前，无需应用任何以前的更新。如果已安装 2022 年 5 月 10 日发布的更新，则在安装任何后续更新（包括上面列出的更新）之前，无需卸载受影响的更新。

如何获取此更新

在安装此更新之前

Microsoft 强烈建议在安装最新累积更新 (LCU) 之前，先安装最新的操作系统服务堆栈更新 (SSU)。 SSU 可提高更新过程的可靠性，以在安装 LCU 和应用 Microsoft 安全更新时缓解潜在问题。有关 SSU 的一般信息，请参阅服务堆栈更新和服务堆栈更新 (SSU) ：常见问题解答。

如果使用Windows 更新，将自动向你提供最新的 SSU (KB5014026) 。若要获取最新 SSU 的独立包，请在 Microsoft 更新目录中搜索它。

安装此更新

发布渠道	可用	下一步
Windows 更新和 Microsoft 更新	是	无。将从 Windows 更新中自动下载和安装此更新。
适用于企业的 Windows 更新	是	无。将根据配置的策略从Windows 更新自动下载并安装此更新。
Microsoft 更新目录	是	若要获取此更新的独立包，请转到 Microsoft 更新目录网站。
Windows Server Update Services (WSUS)	是	如果按如下所示配置产品和分类，则此更新将自动与 WSUS 同步：产品：Windows 10 分类：安全更新