10 октомври 2023 г. – KB5031364 (компилация на ОС 20348.2031)

Отнася се за
Windows Server 2022

Забележка

Подобрения

Тази актуализация на защитата включва подобрения на качеството. Когато инсталирате тази KB:

  • Ново! Тази актуализация добавя опционален компонент за настройка на Azure Arc. Тя включва нова икона в системната област за Azure Arc и нов запис на диспечера на сървъри за Azure Arc Management. Има също графична инсталираща програма за агента на Azure Connected Machine. Сега можете да включите Azure Arc само с няколко щраквания. Не е нужно да изпълнявате скрипт на PowerShell. За да научите повече, вижте "Свързване на машини на Windows Server към Azure чрез настройката на Azure Arc".

  • Ново! Тази актуализация завършва работата по спазване на изискванията на GB18030-2022. Тя премахва и преназначава знаци за въвеждане на Microsoft Wubi и въвеждане на Microsoft Pinyin U-режим. Вече не можете да въвеждате кодови позиции на знаци, които не се поддържат. Всички необходими кодови позиции са актуални.

  • Тази актуализация адресира състояние на по-бързо функциониране. Това се случва, когато кодовите страници се заредят в ранната част на стартиране. Това води до стоп грешка 0x7e.

  • Тази актуализация променя изписването на столицата на Украйна от Киев на Киев.

  • Тази актуализация поддържа промените в лятното часово време (DST) в Гренландия.

  • Тази актуализация обръща внимание на проблем, който засяга планираните задачи. Задачите, които извикват API на диспечера на идентификационни данни, може да са неуспешни. Това се случва, ако изберете [Изпълнявай само когато потребителят е влязъл] и [Изпълнявай с най-високите привилегии].

  • Тази актуализация обръща внимание на проблем, който засяга делегирането на Kerberos. Може да не успее по грешен начин. Кодът на грешката е 0xC000006E (STATUS_ACCOUNT_RESTRICTION). Този проблем може да възникне, когато маркирате междинния акаунт за услуги като "Този акаунт е чувствителен и не може да бъде делегиран" в Active Directory. Приложенията може също да върнат съобщение за грешка "System.Security.Authentication.AuthenticationException: Неуспешно инициализиране на контекста за защита. Кодът на грешката е -2146893042."

  • Тази актуализация обръща внимание на проблем, който засяга PCI устройства. Възможно е да получите съобщение за грешка, когато включите защитата за директен достъп до паметта (DMA) на ядрото.

  • Тази актуализация подобрява ефективността и производителността на препоръчаното отстраняване на неизправности.

  • Тази актуализация засяга връзки с платформа за филтриране на Windows (WFP). Диагностиката на пренасочване за тях е подобрена.

  • Тази актуализация обръща внимание на проблем, който засяга външно обвързване. Тя е неуспешна. Това се случва след инсталиране на актуализации на Windows от май 2023 г. или по-нови версии. Поради това има проблеми, които засягат LDAP заявките и удостоверяването.

  • Тази актуализация засяга обработката на събитие с ИД 1644 на Active Directory. Сега приема събития с дължина над 64 КБ. Тази промяна съкращава заявките за Lightweight Directory Access Protocol (LDAP), които по подразбиране са със събитие от 1644 до 20000 знака. Можете да конфигурирате стойността 20K с помощта на ключа от системния регистър "DEFAULT_DB_EXPENSIVE_SEARCH_FILTER_MAX_LOGGING_LENGTH_IN_CHARS".

  • Тази актуализация обръща внимание на проблем, който засяга тези, които разрешават опцията на акаунта "Изисква се смарт карта за интерактивно влизане". Когато RC4 е забранен, не можете да се удостоверявате в сървърни групи на услугите за отдалечен работен плот. Съобщението за грешка е "Възникна грешка при удостоверяване. Исканият тип шифроване не се поддържа от KDC."

  • Тази актуализация обръща внимание на проблем, който засяга В/И през блок от съобщения на сървър (SMB). Може да не успее, когато използвате алгоритъма за компресиране LZ77+Huffman.

  • Тази актуализация засяга клиент на блок от съобщения на сървър (SMB). Той не свързва отново всички постоянни манипулатори, когато повторното удостоверяване на сесия е неуспешно.

  • За защита срещу CVE-2023-44487 трябва да инсталирате най-новата актуализация на Windows. Въз основа на вашия случай на използване можете също да зададете ограничението за RST_STREAMS в минута, като използвате новите ключове от системния регистър в тази актуализация.
    Можете да създадете стойностите на системния регистър DWORD в таблицата по-долу под следния ключ от системния регистър: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
    Тези ключове не са налични по подразбиране, когато инсталирате тази KB. Можете да ги създадете, ако е необходимо, за да зададете нови стойности за вашата среда.

    Ключ от системния регистър Стойност по подразбиране Валиден диапазон на стойностите Функция на ключ в системния регистър
    Http2MaxClientResetsPerMinute 400 0–65535 Задава разрешения брой нулирания (RST_STREAMS) в минута за връзка. Когато достигнете това ограничение, до клиента за връзката се изпраща съобщение GOAWAY.
    Http2MaxClientResetsGoaway 1 0-1 Забранява или разрешава съобщението GOAWAY да бъде изпратено, когато достигнете ограничението. Ако зададете тази стойност на 0, връзката се прекратява веднага щом достигнете ограничението.

Ако сте инсталирали по-ранни актуализации, на устройството ви ще бъдат изтеглени и инсталирани само новите актуализации, включени в този пакет.

За повече информация относно уязвимостите в защитата вижте ръководството за актуализации на защитата и Актуализации на защитата от октомври 2023 г.

Групова актуализация на услуги на Windows Server 2022 – 20348.2032

Тази актуализация прави подобрения на качеството в групата на услуги, който е компонентът, който инсталира актуализациите на Windows. Груповите актуализации на услуги (SSU) гарантират, че разполагате със стабилна и надеждна група на услуги, така че вашите устройства да могат да получават и инсталират актуализации на Microsoft.

Известни проблеми в тази актуализация

Симптоми Заобиколно решение
След като инсталирате тази актуализация на виртуални машини (VM), работещи с VMware ESXi хостове, Windows 2022 може да не успее да се стартира. Засегнатите виртуални машини ще получат грешка със син екран и код на спиране: ОТКРИТА ФАТАЛНА ГРЕШКА В PNP. Този проблем засяга само гост виртуални машини със следната конфигурация само на VMware ESXi хостове:
  • Физически процесор AMD Epyc
  • "Expose IOMMU to guest OS" (Излагане на IOMMU на вторична ОС) е разрешено в настройките на VMware за VM.
  • "Разрешаване на защита на базата на виртуализация" е разрешено в Windows Server 2022.
  • "Защитено стартиране на System Guard" е активирано в Windows Server 2022.
Този проблем е решен в KB5032198.

Как да изтеглите тази актуализация

Преди да инсталирате текущата актуализация

Microsoft сега комбинира най-новата групова актуализация на услуги (SSU) за вашата операционна система с най-новата кумулативна актуализация (LCU). За обща информация относно SSU вижте Групови актуализации на услуги и Групови актуализации на услуги (SSU): често задавани въпроси.

Предпоставка за офлайн обслужване на изображения на операционната система:

Уверете се, че изображението ви включва KB5030216 (12.09.2023) или по-нова LCU. Ако не, инсталирайте го на вашия офлайн носител, преди да инсталирате най-новата актуализация. Тази LCU актуализира версията SSU до 20348.1960. Това е минималната версия на SSU, която трябва да имате, за да предотвратите грешка 0x800f0823 (CBS_E_NEW_SERVICING_STACK_REQUIRED).

Инсталиране на тази актуализация

Канал на издание Налично Следваща стъпка
Windows Update и Microsoft Update Да Няма. Тази актуализация ще се изтегли и инсталира автоматично от Windows Update.
Windows Update за фирми Да Няма. Тази актуализация ще се изтегли и инсталира автоматично от актуализиране на Windows в съответствие с конфигурираните правила.
Каталог на Microsoft Update Да За да изтеглите самостоятелния пакет за тази актуализация, отворете уеб сайта Каталог на Microsoft Update.
Windows Server Update Services (WSUS) Да Тази актуализация автоматично ще се синхронизира с WSUS, ако конфигурирате Продукти и класификации както следва:
Продукт: Операционна система Microsoft Server – 21H2
Класификация: Актуализации на защитата

Забележка

  • Ако искате да премахнете LCU
  • За да премахнете LCU след инсталиране на комбинирания SSU и LCU пакет, използвайте опцията от команден ред DISM/Remove-Package с името на LCU пакета като аргумент. Можете да намерите името на пакета, като използвате тази команда: DISM /online /get-packages.
  • Изпълнението актуализиране на Windows самостоятелна програма за инсталиране (wusa.exe) с ключа /uninstall на комбинирания пакет няма да работи, тъй като комбинираният пакет съдържа SSU. Не можете да премахнете SSU от системата след инсталирането.

Информация за файлове

За списък на представените с тази актуализация файлове изтеглете информацията за файловете за кумулативна актуализация 5031364.

За списък на представените с груповата актуализация на услуги файлове изтеглете информацията за файловете за SSU – версия 20348.2032.