Обобщение
Научете повече за тази кумулативна актуализация на защитата, включително за подобрения, известни проблеми и как да изтеглите актуализацията.
Забележка
- НАПОМНЯНЕ Windows 8.1 ще достигне края на поддръжката на 10 януари 2023 г., като от този момент вече няма да се предоставя техническа помощ и софтуерни актуализации. Ако имате устройства, работещи с Windows 8.1, ви препоръчваме да ги надстроите до по-актуално издание на Windows, което е в услуга и се поддържа. Ако устройствата не отговарят на техническите изисквания за изпълнение на по-актуално издание на Windows, препоръчваме да замените устройството с такова, което поддържа Windows 11.
- Microsoft няма да предлага програма за разширена актуализация на защитата (ESU) за Windows 8.1. Продължаването на използването на Windows 8.1 след 10 януари 2023 г. може да увеличи излагането на организацията на рискове за защитата или да засегне способността ѝ да изпълнява задълженията за съответствие.
- За повече информация вж. Поддръжката за Windows 8.1 ще приключи на 10 януари 2023 г.
- Windows Server 2012 R2 ще достигне края на поддръжката на 10 октомври 2023 г. за Datacenter, Essentials, Embedded Systems, Foundation и Standard.
Забележка
Забележка За информация относно различните типове актуализации на Windows, като например критични, за защита, за драйвери, сервизни пакети и пр., вижте следната статия. За да прегледате други бележки и съобщения, вижте началната страница на хронологията на актуализациите на Windows 8.1 и Windows Server 2012 R2.
Подобрения
Тази кумулативна актуализация на защитата включва подобрения, които са част от актуализация KB5018474 (издадена на 11 октомври 2022 г.), и включва ключови промени за следното:
Адресира проблем с подсилването на удостоверяването по модел на разпределени компоненти (DCOM) за автоматично повишаване на нивото на удостоверяване за всички неанонимни заявки за активиране от DCOM клиенти. Това ще възникне, ако нивото на удостоверяване е по-ниско от RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.
Актуализации на лятното часово време (DST) за Йордания, за да предотврати преместване на часовника с 1 час назад на 28 октомври 2022 г. Освен това променя показваното име на йорданско стандартно време от "(UTC+02:00) Аман" на "(UTC+03:00) Аман".
Адресира проблем, при който конекторът на прокси сървъра за приложение на Microsoft Azure Active Directory (AAD) не може да извлече билет на Kerberos от името на потребителя поради следната обща грешка в API: "Зададеният манипулатор е невалиден (0x80090301)."
Обърнато е внимание на проблем, при който след инсталиране на актуализацията от 11 януари 2022 г. или по-нова актуализация, процесът на създаване на доверие в гора не успява да попълни суфиксите за DNS имена в атрибутите на информация за доверие.
Адресира проблем, при който Microsoft Visual C++ Redistributable Runtime не се зарежда в услугата на Local Security Authority Server Service (LSASS), когато е разрешена защитената светлина за процеси (PPL).
Адресира уязвимости на защитата в протоколите Kerberos и Netlogon, както е описано в CVE-2022-38023, CVE-2022-37966 и CVE-2022-37967. За указания относно разполагането вижте следните статии:
- KB5020805: Как да управлявате промените в протокола Kerberos, свързани с CVE-2022-37967
- KB5021130: Как да управляваме промените в протокола Netlogon, свързани с CVE-2022-38023
- KB5021131: Как да управлявате промените в протокола Kerberos, свързани с CVE-2022-37966
За повече информация относно разрешените уязвимости на защитата вижте Разполагания | Ръководство за актуализации на защитата и Актуализации на защитата от ноември 2022 г.
За повече информация относно разрешените уязвимости на защитата вижте Разполагания | Ръководство за актуализации на защитата и Актуализации на защитата от ноември 2022 г.
Известни проблеми в тази актуализация
| Симптом | Следваща стъпка |
|---|---|
| След инсталирането на тази актуализация или по-нова актуализация на Windows, операциите за присъединяване към домейн може да са неуспешни и да възникне грешка "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Освен това ще видите текст, гласящ "Акаунт със същото име съществува в Active Directory. Повторното използване на акаунта е блокирано от правилата за защита". Засегнатите сценарии включват някои операции за присъединяване към домейн или повторно създаване на изображения, при които акаунт на компютъра е създаден или предварително създаден от самоличност, различна от самоличността, използвана за присъединяване или повторно присъединяване на компютъра към домейна. За повече информация относно този проблем вижте KB5020276 – Netjoin: Промени при подсилване на домейново съединение. Забележка Потребителските настолни издания на Windows е малко вероятно да изпитат този проблем. |
Този проблем е разрешен в KB5023765. |
След инсталиране на актуализации на Windows, издадени на или след 8 ноември 2022 г., на сървъри с Windows, които използват ролята на домейнов контролер, може да възникнат проблеми с удостоверяването по Kerberos. Този проблем може да засегне всяко Kerberos удостоверяване във вашата среда. Някои сценарии, които може да бъдат засегнати:
Забележка Засегнатите събития ще съдържат " липсващият ключ има ИД 1" низ: При обработването на заявка за AS за целева услуга <>името> на акаунта <не е имало подходящ ключ за генериране на билет на Kerberos (липсващият ключ има ИД 1). Заявени електронни типове : 18 3. Налични типове акаунти: 23 18 17. Промяната или нулирането на паролата на името> на <акаунта ще генерира подходящ ключ. Забележка Този проблем не е очаквана част от подсилването на защитата за Netlogon и Kerberos, започвайки с актуализацията на защитата от ноември 2022 г. Все пак ще трябва да следвате указанията в тези статии дори след разрешаването на този проблем. Устройствата с Windows, използвани у дома от потребители или устройства, които не са част от локален домейн, не са засегнати от този проблем. Среди на Azure Active Directory, които не са хибридни и нямат локален сървър на Active Directory, не са засегнати. |
Този проблем е решен в актуализация KB5021653. |
| След като инсталирате тази актуализация или по-нова актуализация на домейнов контролер (DC), може да изпитате изтичане на памет с услугата на локалната подсистема за защита (LSASS,exe). В зависимост от работното натоварване на вашия домейнов контролер и времето от последното рестартиране на сървъра LSASS може непрекъснато да увеличава използването на паметта с времето на изчакване на сървъра и сървърът може да спре да отговаря или да се рестартира автоматично. Забележка Актуализациите извън обхват за домейновите контролери, издадени на 17 ноември 2022 г. и на 18 ноември 2022 г., може да бъдат засегнати от този проблем. |
За да смекчите този проблем, отворете команден прозорец като администратор и използвайте следната команда, за да зададете ключа от системния регистър KrbtgtFullPacSignature на 0: reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -tREG_DWORD Забележка След като този известен проблем е разрешен, трябва да зададете KrbtgtFullPacSignature на по-висока настройка в зависимост от това, което вашата среда позволява. Препоръчваме ви да включите режима на прилагане веднага щом средата ви е готова. За повече информация относно този ключ от системния регистър вижте KB5020805: Как да управлявате промените в протокола Kerberos, свързани с CVE-2022-37967. Работим върху решение и ще предоставим актуализация в предстоящо издание. |
След като инсталирате тази актуализация, приложенията, които използват ODBC връзки чрез Microsoft ODBC SQL Server драйвер (sqlsrv32.dll) за достъп до бази данни, може да не се свържат. Освен това може да получите грешка в приложението или може да получите грешка от SQL Server. Грешките, които може да получите, включват следните съобщения:
За да установите дали използвате засегнато приложение, отворете приложението, което се свързва с база данни. Отворете прозорец на MS-DOS, въведете следната команда и след това натиснете Enter: списък със задачи /m sqlsrv32.dll Ако командата върне задача, тогава приложението може да бъде засегнато. |
За да смекчите този проблем, можете да направите едно от следните неща:
|
Как да изтеглите тази актуализация
Преди да инсталирате текущата актуализация
Настоятелно препоръчваме да инсталирате най-новата групова актуализация на услуги (SSU) за вашата операционна система, преди да инсталирате най-новия сборен пакет за актуализация. SSU подобряват надеждността на процеса на актуализация за намаляване на потенциални проблеми при инсталиране на сборен пакет за актуализация и прилагането на корекции на защитата за Microsoft. За обща информация относно SSU вижте Групови актуализации на услуги и Групови актуализации на услуги (SSU): често задавани въпроси.
Ако използвате актуализиране на Windows, най-новите SSU (KB5018922) ще ви се предлагат автоматично. За да изтеглите самостоятелния пакет за най-новата SSU, потърсете го в Каталог на Microsoft Update.
Езикови пакети
Ако инсталирате езиков пакет след инсталирането на тази актуализация, трябва да преинсталирате тази актуализация. Затова ви препоръчваме да инсталирате всички езикови пакети, от които се нуждаете, преди да инсталирате тази актуализация. За повече информация вижте " Добавяне на езикови пакети към Windows".
Инсталиране на тази актуализация
| Канал на издание | Налично | Следваща стъпка |
|---|---|---|
| Windows Update и Microsoft Update | Да | Няма. Тази актуализация ще се изтегли и инсталира автоматично от Windows Update. |
| Каталог на Microsoft Update | Да | За да изтеглите самостоятелния пакет за тази актуализация, отворете уеб сайта Каталог на Microsoft Update. |
| Windows Server Update Services (WSUS) | Да | Тази актуализация автоматично ще се синхронизира с WSUS, ако конфигурирате Продукти и класификации както следва: Продукт: Windows 8.1, Windows Server 2012 R2, Windows Embedded 8.1 Industry Enterprise, Windows Embedded 8.1 Industry Pro Класификация: Актуализации на защитата |
Информация за файлове
За списък на предоставените с тази актуализация файлове, изтеглете информацията за файловете за актуализация KB5020023.
Справки
Научете повече за стандартната терминология , която се използва за описание на актуализациите на софтуера на Microsoft.