8 ноември 2022 г. – KB5019964 (компилация на ОС 14393.5501)

^11.10.22
г. ВАЖНО На 10 януари 2023 г. ще приключи публичното разширение за обслужващи устройства, които имат процесор Intel Atom Clover Trail. Актуализацията на защитата от 10 януари 2023 г. е последната актуализация за тези устройства. След тази дата те няма да получават месечни актуализации на защитата и качеството. Тези актуализации ви защитават от най-новите заплахи за защитата. За съжаление, тези устройства не отговарят на хардуерните изисквания за надстройване до по-нова версия на Windows 10 или Windows 11. Препоръчваме ви да помислите за ново устройство, което има Windows 11.

^19.11.20
г. За информация относно терминологията на актуализацията на Windows вж. статията за типовете актуализации на Windows и месечните типове актуализации на качеството. За общ преглед на Windows 10, версия 1607, вижте страницата хронология на актуализациите.

Акценти

Тя спира началото на лятното часово време в Йордания в края на октомври 2022. Часовата зона в Йордания ще се прехвърли окончателно към часовата зона UTC + 3.
Обърнато е внимание на проблеми със защитата за вашата операционна система Windows.

Подобрения

Тази актуализация на защитата включва подобрения на качеството. Когато инсталирате тази KB:

Обърнато е внимание на проблем, който засяга втвърдяване на удостоверяване на разпределен обектен модел на компонент (DCOM). Ние автоматично ще повишим нивото на удостоверяване за всички не анонимни искания за активиране от DCOM клиенти, за да RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Това се случва, ако нивото на удостоверяване е под целостта на пакетите.
Тя спира началото на лятното часово време в Йордания в края на октомври 2022. Часовата зона в Йордания ще се прехвърли окончателно към часовата зона UTC + 3.
Обърнато е внимание на проблем, който засяга конектора на прокси сървъра за приложения на Microsoft Azure Active Directory (AAD). Не може да извлече билет Kerberos от името на потребителя. Съобщението за грешка е "Указаният манипулатор е невалиден (0x80090301)."
Обърнато е внимание на проблем, който засяга процеса на създаване на доверие в гората. Той не успява да добави суфиксите за имена на домейновата именна система (DNS) към атрибутите на информацията за сигурност. Това се случва, след като инсталирате актуализациите от 11 януари 2022 г. или по-нови.
Обърнато е внимание на проблем, който засяга домейнов контролер (DC). DC записва събитие 21 на центъра за разпространение на ключове (KDC) в регистъра на събитията на системата. Това се случва, когато KDC успешно обработи Kerberos Public Key Cryptography за искане за първоначално удостоверяване (PKINIT) с помощта на самоподписан сертификат за ключови сценарии на доверие. Това включва Windows Hello за бизнеса и удостоверяване на устройството.
Обърнато е внимание на проблем, който засяга Microsoft Visual C++ Redistributable Runtime. Тя не се зарежда в локалната услуга за сървър на орган за защита (LSASS), когато разрешите светлината за защитен процес (PPL).
Обърнато е внимание на уязвимости на защитата в протоколите Kerberos и Netlogon, както е описано в CVE-2022-38023, CVE-2022-37966 и CVE-2022-37967. За указания за разполагане вижте следното:
- KB5020805: Как да управлявате промените в протокола Kerberos, свързани с CVE-2022-37967
- KB5021130: Как да управлявате промените в протокола Netlogon, свързани с CVE-2022-38023
- KB5021131: Как да управлявате промените в протокола Kerberos, свързани с CVE-2022-37966

Ако сте инсталирали по-ранни актуализации, само новите актуализации, съдържащи се в този пакет, ще се изтеглят и инсталират на вашето устройство.

За повече информация относно уязвимостите в защитата вижте новия уеб сайт на справочника за актуализации на защитата и Актуализации на защитата от ноември 2022 г.

Известни проблеми в тази актуализация

Симптом	Заобиколно решение
След инсталиране на актуализации, издадени на 8 ноември 2022 г. или по-късно, на сървъри с Windows с ролята „Домейнов контролер“ може да възникнат проблеми с удостоверяването по Kerberos. Този проблем може да засегне всяко Kerberos удостоверяване във вашата среда. Някои сценарии, които може да бъдат засегнати: Влизането на потребител на домейн може да е неуспешно. Това също може да повлияе на удостоверяването на услуги на Active Directory за улесняване на достъпа (AD FS). Акаунтите за управлявани от група услуги (gMSA), използвани за услуги като Internet Information Services (IIS уеб сървър), може да не се удостоверят. Връзките с отдалечен работен плот, използващи потребители на домейни, може да не успеят да се свържат. Възможно е да нямате достъп до споделени папки на работни станции и файлови дялове на сървъри. Печатът, който изисква удостоверяване на потребител на домейн, може да е неуспешен. Когато се натъкнете на този проблем, е възможно да получите събитие за грешка Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 14 в раздела „Система“ на регистъра на събитията на вашия домейнов контролер с текста по-долу. Забележка: засегнатите събития ще имат „липсващият ключ има ИД 1“: `While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.` Забележка Този проблем не е очаквана част от засилването на защитата за Netlogon и Kerberos, започвайки от актуализацията на защитата от ноември 2022 г.. Все пак ще трябва да следвате указанията в тези статии дори след разрешаването на този проблем. Устройствата с Windows, използвани у дома от потребители или устройства, които не са част от локален домейн, не са засегнати от този проблем. Среди на Azure Active Directory, които не са хибридни и нямат локални сървъри на Active Directory, не са засегнати.	Този проблем е решен в актуализации извън обхвата, издадени на 17 ноември 2022 г., за инсталиране на всички домейнови контролери (DCs) във вашата среда. Не е необходимо да инсталирате актуализация или да правите промени в други сървъри или клиентски устройства във вашата среда, за да разрешите този проблем. Ако сте използвали заобиколно решение или смекчавания за този проблем, те вече не са необходими и ви препоръчваме да ги премахнете. За да получите самостоятелния пакет за тези актуализации извън обхвата, потърсете номера на БЗ в каталога на Microsoft Update. Можете ръчно да импортирате тези актуализации в Windows Server Update Services (WSUS) и Microsoft Endpoint Configuration Manager. За инструкции за WSUS вижте WSUS и каталога на сайта За инструкции за Configuration Manager вижте Импортиране на актуализации от каталога на Microsoft Update. Забележка Актуализациите по-долу не са налични от Windows Update и няма да се инсталират автоматично. Кумулативни актуализации: Windows Server 2022: KB5021656 Windows Server 2019: KB5021655 Windows Server 2016: KB5021654 Забележка Не е необходимо да прилагате предишна актуализация, преди да инсталирате тези кумулативни актуализации. Ако вече сте инсталирали актуализации, издадени на 8 ноември 2022 г., не е нужно да деинсталирате засегнатите актуализации, преди да инсталирате по-нови актуализации, включително актуализациите, изброени по-горе. Самостоятелни актуализации: Windows Server 2012 R2: KB5021653 Windows Server 2012: KB5021652 Windows Server 2008 R2 SP1: Тази актуализация все още не е налична. Проверете тук през следващата седмица за повече информация. Windows Server 2008 SP2: KB5021657 Забележка Ако използвате актуализации само на защитата за тези версии на Windows Server, трябва да инсталирате тези самостоятелни актуализации само за ноември 2022 г. Актуализациите само на защитата не са кумулативни и също така ще трябва да инсталирате всички предишни актуализации само на защитата, за да бъдат напълно актуални. Месечните сборни актуализации са кумулативни и включват актуализации на защитата и всички актуализации на качеството. Ако използвате месечни сборни актуализации, ще трябва да инсталирате както самостоятелните актуализации, изброени по-горе, за да разрешите този проблем, така и месечните сборни пакети, издадени на 8 ноември 2022 г., за да получавате актуализации на качеството за ноември 2022 г. Ако вече сте инсталирали актуализации, издадени на 8 ноември 2022 г., не е нужно да деинсталирате засегнатите актуализации, преди да инсталирате по-нови актуализации, включително актуализациите, изброени по-горе.
След като инсталирате тази или по-нова актуализация на домейновите контролери (DCs), може да изпитате изтичане на памет с услугата на локалната подсистема за защита (LSASS.exe). В зависимост от работното натоварване на вашите домейнови контролери и времето от последното рестартиране на сървъра LSASS може непрекъснато да увеличава използването на паметта с времето на изчакване на вашия сървър. Сървърът може да не отговаря или да се рестартира автоматично. Забележка Актуализациите извън обхват за домейновите контролери, издадени на 17 ноември 2022 г. и на 18 ноември 2022 г., може да бъдат засегнати от този проблем.	Проблемът е решен в KB5021235.
След като инсталирате тази актуализация, приложенията, които използват ODBC връзки, използващи драйвера на Microsoft ODBC SQL Server (sqlsrv32.dll) за достъп до бази данни, може да не успеят да се свържат. Може да получите грешка в приложението или може да получите грешка от SQL Server, като например „EMS системата се натъкна на проблем“ със „Съобщение: [Microsoft][ODBC SQL Server Driver] Protocol грешка в TDS Stream“ или „Съобщение: [Microsoft][ODBC SQL Server Driver]Неизвестен маркер, получен от SQL Server“. Забележка за разработчици Приложенията, засегнати от този проблем, може да не успеят да извлекат данни, например когато използвате функцията SQLFetch. Този проблем може да възникне при извикване на функцията SQLBindCol преди SQLFetch или при извикване на функцията SQLGetData след SQLFetch и когато е дадена стойност 0 (нула) за аргумента „BufferLength“ за фиксирани типове данни, по-големи от 4 байта (като например SQL_C_FLOAT). Ако не сте сигурни дали използвате засегнати приложения, отворете всички приложения, които използват база данни, и след това отворете Командната среда (изберете Старт , след което въведете командна среда и я изберете), и въведете следната команда: `tasklist /m sqlsrv32.dll`	Проблемът е решен в KB5022289.

Симптом

Заобиколно решение

След инсталиране на актуализации, издадени на 8 ноември 2022 г. или по-късно, на сървъри с Windows с ролята „Домейнов контролер“ може да възникнат проблеми с удостоверяването по Kerberos. Този проблем може да засегне всяко Kerberos удостоверяване във вашата среда. Някои сценарии, които може да бъдат засегнати:

Влизането на потребител на домейн може да е неуспешно. Това също може да повлияе на удостоверяването на услуги на Active Directory за улесняване на достъпа (AD FS).
Акаунтите за управлявани от група услуги (gMSA), използвани за услуги като Internet Information Services (IIS уеб сървър), може да не се удостоверят.
Връзките с отдалечен работен плот, използващи потребители на домейни, може да не успеят да се свържат.
Възможно е да нямате достъп до споделени папки на работни станции и файлови дялове на сървъри.
Печатът, който изисква удостоверяване на потребител на домейн, може да е неуспешен.

Когато се натъкнете на този проблем, е възможно да получите събитие за грешка Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 14 в раздела „Система“ на регистъра на събитията на вашия домейнов контролер с текста по-долу. Забележка: засегнатите събития ще имат „липсващият ключ има ИД 1“:

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

Забележка Този проблем не е очаквана част от засилването на защитата за Netlogon и Kerberos, започвайки от актуализацията на защитата от ноември 2022 г.. Все пак ще трябва да следвате указанията в тези статии дори след разрешаването на този проблем.

Устройствата с Windows, използвани у дома от потребители или устройства, които не са част от локален домейн, не са засегнати от този проблем. Среди на Azure Active Directory, които не са хибридни и нямат локални сървъри на Active Directory, не са засегнати.

Този проблем е решен в актуализации извън обхвата, издадени на 17 ноември 2022 г., за инсталиране на всички домейнови контролери (DCs) във вашата среда. Не е необходимо да инсталирате актуализация или да правите промени в други сървъри или клиентски устройства във вашата среда, за да разрешите този проблем. Ако сте използвали заобиколно решение или смекчавания за този проблем, те вече не са необходими и ви препоръчваме да ги премахнете.

За да получите самостоятелния пакет за тези актуализации извън обхвата, потърсете номера на БЗ в каталога на Microsoft Update. Можете ръчно да импортирате тези актуализации в Windows Server Update Services (WSUS) и Microsoft Endpoint Configuration Manager. За инструкции за WSUS вижте WSUS и каталога на сайта За инструкции за Configuration Manager вижте Импортиране на актуализации от каталога на Microsoft Update.

Забележка Актуализациите по-долу не са налични от Windows Update и няма да се инсталират автоматично.

Кумулативни актуализации:

Windows Server 2022: KB5021656
Windows Server 2019: KB5021655
Windows Server 2016: KB5021654

Забележка Не е необходимо да прилагате предишна актуализация, преди да инсталирате тези кумулативни актуализации. Ако вече сте инсталирали актуализации, издадени на 8 ноември 2022 г., не е нужно да деинсталирате засегнатите актуализации, преди да инсталирате по-нови актуализации, включително актуализациите, изброени по-горе.

Самостоятелни актуализации:

Windows Server 2012 R2: KB5021653
Windows Server 2012: KB5021652
Windows Server 2008 R2 SP1: Тази актуализация все още не е налична. Проверете тук през следващата седмица за повече информация.
Windows Server 2008 SP2: KB5021657

Забележка Ако използвате актуализации само на защитата за тези версии на Windows Server, трябва да инсталирате тези самостоятелни актуализации само за ноември 2022 г. Актуализациите само на защитата не са кумулативни и също така ще трябва да инсталирате всички предишни актуализации само на защитата, за да бъдат напълно актуални. Месечните сборни актуализации са кумулативни и включват актуализации на защитата и всички актуализации на качеството. Ако използвате месечни сборни актуализации, ще трябва да инсталирате както самостоятелните актуализации, изброени по-горе, за да разрешите този проблем, така и месечните сборни пакети, издадени на 8 ноември 2022 г., за да получавате актуализации на качеството за ноември 2022 г. Ако вече сте инсталирали актуализации, издадени на 8 ноември 2022 г., не е нужно да деинсталирате засегнатите актуализации, преди да инсталирате по-нови актуализации, включително актуализациите, изброени по-горе.

След като инсталирате тази или по-нова актуализация на домейновите контролери (DCs), може да изпитате изтичане на памет с услугата на локалната подсистема за защита (LSASS.exe). В зависимост от работното натоварване на вашите домейнови контролери и времето от последното рестартиране на сървъра LSASS може непрекъснато да увеличава използването на паметта с времето на изчакване на вашия сървър. Сървърът може да не отговаря или да се рестартира автоматично.

Забележка Актуализациите извън обхват за домейновите контролери, издадени на 17 ноември 2022 г. и на 18 ноември 2022 г., може да бъдат засегнати от този проблем.

Проблемът е решен в KB5021235.

След като инсталирате тази актуализация, приложенията, които използват ODBC връзки, използващи драйвера на Microsoft ODBC SQL Server (sqlsrv32.dll) за достъп до бази данни, може да не успеят да се свържат. Може да получите грешка в приложението или може да получите грешка от SQL Server, като например „EMS системата се натъкна на проблем“ със „Съобщение: [Microsoft][ODBC SQL Server Driver] Protocol грешка в TDS Stream“ или „Съобщение: [Microsoft][ODBC SQL Server Driver]Неизвестен маркер, получен от SQL Server“.

Забележка за разработчици Приложенията, засегнати от този проблем, може да не успеят да извлекат данни, например когато използвате функцията SQLFetch. Този проблем може да възникне при извикване на функцията SQLBindCol преди SQLFetch или при извикване на функцията SQLGetData след SQLFetch и когато е дадена стойност 0 (нула) за аргумента „BufferLength“ за фиксирани типове данни, по-големи от 4 байта (като например SQL_C_FLOAT).

Ако не сте сигурни дали използвате засегнати приложения, отворете всички приложения, които използват база данни, и след това отворете Командната среда (изберете Старт , след което въведете командна среда и я изберете), и въведете следната команда:

tasklist /m sqlsrv32.dll

Проблемът е решен в KB5022289.

Как да изтеглите тази актуализация

Преди да инсталирате текущата актуализация

Microsoft силно препоръчва да инсталирате най-новата групова актуализация на услуги (SSU) за вашата операционна система, преди да инсталирате най-новата кумулативна актуализация (LCU). SSU подобряват надеждността на процеса на актуализация за намаляване на потенциални проблеми при инсталиране на LCU и прилагане Microsoft актуализации на защитата. За обща информация относно SSU вижте Групови актуализации на услуги и Групова Актуализации на услуги (SSU): често задавани въпроси.

Ако използвате актуализиране на Windows, най-новите SSU (KB5017396) ще ви се предлагат автоматично. За да изтеглите самостоятелния пакет с най-новата SSU, потърсете го в Каталог на Microsoft Update.

Инсталиране на тази актуализация

Канал на издание	Налично	Следваща стъпка
Windows Update и Microsoft Update	Да	Няма. Тази актуализация ще се изтегли и инсталира автоматично от Windows Update.
Windows Update за бизнеса	Да	Няма. Тази актуализация ще се изтегли и инсталира автоматично от актуализиране на Windows в съответствие с конфигурираните правила.
Каталог на Microsoft Update	Да	За да изтеглите самостоятелния пакет за тази актуализация, отидете на уеб сайта Каталог на Microsoft Update.
Windows Server Update Services (WSUS)	Да	Тази актуализация автоматично ще се синхронизира с WSUS, ако конфигурирате Продукти и класификации както следва: Продукт: Windows 10 Класификация: Актуализации на защитата

Информация за файлове

За списък на представените с тази актуализация файлове изтеглете информацията за файловете за кумулативна актуализация 5019964.

8 ноември 2022 г. – KB5019964 (компилация на ОС 14393.5501)

Акценти

Подобрения

Известни проблеми в тази актуализация

Как да изтеглите тази актуализация

Нуждаете ли се от още помощ?

Искате ли още опции?

Беше ли полезна тази информация?

Благодарим ви за обратната връзка!