8 ноември 2022 г. – KB5020013 (актуализация само на защитата)

Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Още...По-малко

Дата на издаване:

8.11.2022 г.

Версия:

Актуализация само на защитата

ЗАБЕЛЕЖКА След 10 януари 2023 г. Microsoft вече няма да предоставя актуализации на защитата или техническа поддръжка за Windows 7 SP1 и Windows Server 2008 R2 SP1. Препоръчваме ви да надстроите до по-нова версия на Windows.

Резюме

Научете повече за тази актуализация само на защитата, включително за подобрения, известни проблеми и как да изтеглите актуализацията.

НАПОМНЯНЕ Windows 7, Windows Server 2008 R2, Windows Embedded Standard 7 и Windows Embedded POS Ready 7 са достигнали края на базовата поддръжка и сега са в разширена поддръжка за актуализация на защитата (ESU). Windows Thin PC достигна края на базовата поддръжка; Въпреки това поддръжката на ESU не е налична.

От юли 2020 г. вече няма да има опционални издания, които не са свързани със защитата (известни като издания "C") за тази операционна система. Операционните системи в разширена поддръжка имат само кумулативни месечни актуализации на защитата (известни като изданието "B" или "Актуализация във вторник").

Уверете се, че сте инсталирали необходимите актуализации в раздела Как да изтеглите тази актуализация, преди да инсталирате тази актуализация.

Клиентите, които са закупили актуализацията за разширена защита (ESU) за локални версии на тази ОС, трябва да следват процедурите в KB4522133, за да продължат да получават актуализации на защитата след края на разширената поддръжка на 14 януари 2020 г. За повече информация относно ESU и кои издания се поддържат вж. KB4497181.

Тъй като ESU е налична като отделна SKU за всяка от годините, през които се предлагат (2020, 2021 и 2022), и тъй като ESU може да бъде закупена само за конкретни 12-месечни периоди, трябва да закупите третата година на покритие на ESU отделно и да активирате нов ключ на всяко приложимо устройство за вашите устройства, за да продължите да получавате актуализации на защитата през 2022 г.

Ако вашата организация не е закупила третата година от покритието на ESU, трябва да закупите ESU година 1, година 2 и година 3 ESU за вашите приложими устройства с Windows 7 SP1 или Windows Server 2008 R2 SP1, преди да инсталирате и активирате ключовете за Year 3 MAK, за да получавате актуализации. Стъпките за инсталиране, активиране и разполагане на ESU са едни и същи за първото, второто и третото покритие. За повече информация вижте Получаване на разширена Актуализации за защита за отговарящи на условията устройства с Windows за процеса на корпоративно лицензиране и Закупуване на ESU на Windows 7 като доставчик на решения в облака за процеса на CSP. За вградени устройства се свържете с производителя на оригиналното оборудване (OEM).

За повече информация вижте блога за ESU.

Забележка За информация относно различните типове актуализации на Windows, като например критични, за защита, за драйвери, сервизни пакети и т.н., вижте следната статия. За да видите други бележки и съобщения за Windows 7 SP1 и Windows Server 2008 R2 SP1, вижте следващата начална страница за хронология на актуализациите.

Подобрения

Тази актуализация само на защитата включва ключови промени за следното:

Актуализации лятното часово време (DST) за Йордания, за да се предотврати връщането на часовника обратно 1 час на 28 октомври 2022 г. Освен това променя показваното име на стандартното време на Йордания от "(UTC+02:00) Аман" на "(UTC+03:00) Аман".
Обърнато е внимание на проблем, при който след инсталиране на актуализацията от 11 януари 2022 г. или по-нова, процесът на създаване на доверие в гората не успява да попълни суфиксите на DNS имената в атрибутите за информация за доверяване.
Обърнато е внимание на уязвимости в защитата в протоколите Kerberos и Netlogon, както е описано в CVE-2022-38023, CVE-2022-37966 и CVE-2022-37967. За указания за разполагане вижте следните статии:
За повече информация относно разрешените уязвимости на защитата вижте Разполагания | Справочник за актуализации на защитата и Актуализации за защита от ноември 2022 г.

За повече информация относно разрешените уязвимости на защитата вижте Разполагания | Справочник за актуализации на защитата и Актуализации за защита от ноември 2022 г.

Известни проблеми в тази актуализация

Симптом

Следваща стъпка

След като инсталирате тази актуализация и извършите рестартиране на устройството, може да получите грешката „Неуспешно конфигуриране на актуализации на Windows. Връщане на промените. Не изключвайте компютъра", и актуализацията може да се покаже като Неуспешна в хронологията на актуализациите.

Това се очаква при следните обстоятелства:

Ако инсталирате тази актуализация на устройство, което работи с издание, което не се поддържа за ESU. За пълен списък на поддържаните издания вж. KB4497181.
Ако не разполагате с инсталиран и активиран ключ за добавка на ESU MAK.
Ако сте закупили ключ за ESU и сте срещнали този проблем, проверете дали сте приложили всички задължителни компоненти и дали вашият ключ е активиран. За информация относно активирането вижте тази публикация в блог. За информация относно предварителните изисквания вижте раздела Как да изтеглите тази актуализация на тази статия.

След инсталирането на тази актуализация или по-нова актуализация на Windows операциите по присъединяване към домейн може да са неуспешни и възниква грешка "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Освен това текст, който гласи "Акаунт със същото име съществува в Active Directory. Възможно е да се покаже повторно използване на акаунта, блокиран от правилата за защита".

Засегнатите сценарии включват някои операции за присъединяване към домейн или повторно създаване на изображения, при които акаунтът на компютъра е създаден или предварително поетапно от самоличност, различна от самоличността, използвана за присъединяване или повторно присъединяване на компютъра към домейна.

За повече информация относно този проблем вижте KB5020276 – Netjoin: Промени на втвърдяване на присъединяване към домейн.

Забележка Изданията consumer Desktop на Windows е малко вероятно да изпитат този проблем.

Вижте KB5020276 за указания за този проблем.

След инсталирането на актуализации на Windows, издадени на или след 8 ноември 2022 г. на сървъри с Windows, които използват ролята "Домейнов контролер", може да имате проблеми с удостоверяването kerberos. Този проблем може да засегне Kerberos удостоверяване във вашата среда. Някои сценарии, които може да бъдат засегнати:

Влизането на потребител с домейн може да е неуспешно. Това може да засегне и удостоверяването на услуги на Active Directory за улесняване на достъпа (AD FS).
Акаунтите за управлявани от група услуги (gMSA), използвани за услуги като Internet Information Services (IIS Web Server), може да не се удостоверят.
Връзките с отдалечен работен плот, използващи потребители на домейни, може да не успеят да се свържат.
Възможно е да нямате достъп до споделени папки на работни станции и файлови дялове на сървъри.
Печатът, който изисква удостоверяване на потребител на домейн, може да е неуспешен.

Когато възникне този проблем, е възможно да получите събитие за грешка Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 4 в раздела Система на регистрационния файл на събитията на вашия домейнов контролер с текста по-долу.

Забележка Засегнатите събития ще съдържат "липсващ ключ има низ с ИД 1":

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

Забележка Този проблем не е очаквана част от втвърдяването на защитата за Netlogon и Kerberos, започвайки от актуализацията на защитата от ноември 2022 г. Все пак ще трябва да следвате указанията в тези статии дори след разрешаването на този проблем.

Устройствата с Windows, използвани у дома от потребители или устройства, които не са част от локален домейн, не са засегнати от този проблем. Среди на Azure Active Directory, които не са хибридни и нямат локален Active Directory сървъри, не са засегнати.

Обърнато е внимание на този проблем в актуализация KB5021651.

След като инсталирате тази актуализация или по-нова актуализация на домейнов контролер (DC), може да изпитате изтичане на памет с Local Security Authority Subsystem Service (LSASS,exe). В зависимост от работното натоварване на вашия DC и времето от последното рестартиране на сървъра LSASS може непрекъснато да увеличи използването на паметта с времето на изчакване на сървъра и сървърът може да не отговаря или автоматично да се рестартира.

Забележка Вградените актуализации за DCs, издадени на 17 ноември 2022 г. и 18 ноември 2022 г., може да бъдат засегнати от този проблем.

За да смекчите този проблем, отворете команден прозорец като администратор и използвайте следната команда, за да настроите ключа на системния регистър KrbtgtFullPacSignature на 0:

reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

Забележка След като този известен проблем бъде решен, трябва да настроите KrbtgtFullPacSignature на по-висока настройка в зависимост от това, което ще позволи вашата среда. Препоръчваме ви да разрешите режима на прилагане веднага щом средата ви е готова.

За повече информация относно този ключ от системния регистър вижте KB5020805: Как да управлявате промените в протокола Kerberos, свързани с CVE-2022-37967.

Работим върху решение и ще предоставим актуализация в предстоящо издание.

След като инсталирате тази актуализация, приложенията, които използват ODBC връзки чрез Microsoft ODBC SQL Server драйвер (sqlsrv32.dll) за достъп до бази данни, може да не се свързват. Освен това може да получите съобщение за грешка в приложението или може да получите съобщение за грешка от SQL Server. Грешките, които може да получите, включват следните съобщения:

EMS системата се натъкна на проблем.
Съобщение: [Microsoft][ODBC SQL Server Driver] Грешка в протокола TDS Stream.
EMS системата се натъкна на проблем.
Съобщение: [Microsoft][ODBC SQL Server Driver] Неизвестен маркер, получен от SQL Server.

Забележка за разработчици: Приложенията, засегнати от този проблем, може да не успеят да извличат данни, например при използване на функцията SQLFetch. Този проблем може да възникне при извикване на функцията SQLBindCol преди SQLFetch или извикване на функцията SQLGetData след SQLFetch и когато е дадена стойност 0 (нула) за аргумента "BufferLength" за фиксирани типове данни, по-големи от 4 байта (например SQL_C_FLOAT).

За да решите дали използвате засегнато приложение, отворете приложението, което се свързва към база данни. Отворете прозорец на командната среда, въведете следната команда и след това натиснете Enter:

tasklist /m sqlsrv32.dll

Ако командата връща задача, приложението може да бъде засегнато.

За да смекчите този проблем, можете да направите едно от следните неща:

Ако вашето приложение вече използва или може да използва име на източник на данни (DSN), за да изберете ODBC връзки, инсталирайте Microsoft ODBC драйвер 17 за SQL Server и го изберете за използване с вашето приложение с помощта на DSN.

Забележка: Препоръчваме най-новата версия на Microsoft ODBC Driver 17 за SQL Server, тъй като е по-съвместима с приложения, които в момента използват наследения Microsoft ODBC SQL Server Driver (sqlsrv32.dll) от Microsoft ODBC Driver 18 за SQL Server.
Ако вашето приложение не може да използва DSN, приложението ще трябва да бъде променено, за да позволи DSN или да използва по-нов ODBC драйвер от Microsoft ODBC SQL Server драйвера (sqlsrv32.dll).

Този проблем е разрешен в KB5022339. Ако сте внедрили заобиколното решение по-горе, препоръчително е да продължите да използвате конфигурацията в заобиколното решение.

Как да изтеглите тази актуализация

Преди да инсталирате текущата актуализация

ВАЖНО Клиентите, които са закупили актуализацията за разширена защита (ESU) за локални версии на тези операционни системи, трябва да следват процедурите в KB4522133, за да продължат да получават актуализации на защитата. Разширената поддръжка приключи по следния начин:

За Windows 7 Service Pack 1 и Windows Server 2008 R2 Service Pack 1 разширената поддръжка приключи на 14 януари 2020 г.
За Windows Embedded Standard 7 разширената поддръжка приключи на 13 октомври 2020 г.
За Windows Embedded POS Ready 7 разширената поддръжка приключи на 12 октомври 2021 г.
За Windows Thin PC разширената поддръжка приключи на 12 октомври 2021 г. Имайте предвид, че поддръжката на ESU не е налична за Windows Thin PC.

За повече информация относно ESU и кои издания се поддържат вж. KB4497181.

Забележка За Windows Embedded Standard 7 инструментите на Windows за управление (WMI) трябва да са разрешени, за да получавате актуализации от актуализиране на Windows или Windows Server Update Services.

Езикови пакети

Ако инсталирате езиков пакет, след като инсталирате тази актуализация, трябва да преинсталирате тази актуализация. Затова препоръчваме да инсталирате езикови пакети, които са ви необходими, преди да инсталирате тази актуализация. За повече информация вж. Добавяне на езикови пакети към Windows.

Задължителен компонент:

Трябва да инсталирате актуализациите, изброени по-долу, и да извършите рестартиране на устройството си, преди да инсталирате най-новия сборен пакет за актуализация. Инсталирането на тези актуализации подобрява надеждността на процеса на актуализация и намалява потенциални проблеми при инсталиране на сборен пакет за актуализация и прилагането на корекции на защитата за Microsoft.

Груповата актуализация на услуги (SSU) от 12 март 2019 г. (KB4490628). За да изтеглите самостоятелния пакет за тази SSU, потърсете го в Каталог на Microsoft Update. Тази актуализация е необходима за инсталиране на актуализации, които са подписани само със SHA-2.
Най-новата актуализация на SHA-2 (KB4474419), издадена на 10 септември 2019 г. Ако използвате Windows Update, най-новата актуализация на SHA-2 ще ви бъде предложена автоматично. Тази актуализация е необходима за инсталиране на актуализации, които са подписани само със SHA-2. За повече информация относно актуализациите на SHA-2 вижте Изискване за поддръжка на подписване на код за SHA-2 през 2019 г. за Windows и WSUS.
За да получите тази актуализация на защитата, трябва да преинсталирате пакета за подготовка за лицензиране на "разширена защита Актуализации (ESU)" (KB4538483) или "Актуализация за пакета за подготовка за лицензиране на Актуализации за разширена защита (ESU)" (KB4575903), дори ако преди това сте инсталирали ключа ESU. Пакетът за подготовка за лицензиране на ESU ще ви бъде предложен от WSUS. За да изтеглите самостоятелния пакет за подготовка за лицензиране на ESU, потърсете го в Каталог на Microsoft Update.

След инсталиране на горните елементи, Microsoft силно препоръчва да инсталирате най-новата SSU (KB5017397). Ако използвате Windows Update, най-новата SSU ще ви бъде предложена автоматично, ако сте клиент на ESU. За да изтеглите самостоятелния пакет с най-новата SSU, потърсете го в Каталог на Microsoft Update. За обща информация относно SSU вижте Групови актуализации на услуги и Групова Актуализации на услуги (SSU): често задавани въпроси.

НАПОМНЯНЕ Ако използвате актуализации само на защитата, също така ще трябва да инсталирате всички предишни актуализации само на защитата и най-новата кумулативна актуализация за Internet Explorer (KB5019958).

Инсталиране на тази актуализация

Канал на издание	Налично	Следваща стъпка
Windows Update и Microsoft Update	Не	Вж. другите опции по-долу.
Каталог на Microsoft Update	Да	За да изтеглите самостоятелния пакет за тази актуализация, отидете на уеб сайта Каталог на Microsoft Update.
Windows Server Update Services (WSUS)	Да	Тази актуализация автоматично ще се синхронизира с WSUS, ако конфигурирате Продукти и класификации както следва: Продукт: Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1, Windows Embedded Standard 7 Service Pack 1, Windows Embedded POSReady 7 Класификация: Актуализации на защитата