8. listopadu 2022 – KB5020009 (měsíční kumulativní aktualizace)

Platí pro
Windows Server 2012 Windows Embedded 8 Standard

Souhrn

Další informace o této kumulativní aktualizaci zabezpečení, včetně vylepšení, všech známých problémů a postupu, jak aktualizaci získat

Poznámka

  • PŘIPOMENUTOWindows Server 2012 dosáhl konce hlavní fáze podpory a nyní je v rozšířené podpoře. Od července 2020 už nebudou pro tento operační systém dostupné volitelné verze (označované jako verze C nebo D). Operační systémy s rozšířenou podporou mají jenom kumulativní měsíční aktualizace zabezpečení (známé jako "B" nebo Update Tuesday release).
  • Před instalací této aktualizace ověřte, že máte nainstalované požadované aktualizace uvedené v části Jak získat tuto aktualizaci .

Poznámka

Informace o různých typech aktualizací systému Windows, jako jsou důležité aktualizace, aktualizace zabezpečení, aktualizace ovladačů, aktualizace Service Pack a další, najdete v následujícím článku. Pokud chcete zobrazit další poznámky a zprávy, podívejte se na domovskou stránku historie aktualizací systému Windows Server 2012.

Vylepšení

Tato kumulativní aktualizace zabezpečení obsahuje vylepšení, která jsou součástí aktualizace KB5017370 (vydané 11. října 2022), a zahrnuje klíčové změny v následujících oblastech:

Další informace o vyřešených bezpečnostních chybách naleznete v Nasazení | Průvodce aktualizacemi zabezpečení a Aktualizace zabezpečení z listopadu 2022.

Známé problémy v této aktualizaci

Příznak Další krok
Po instalaci této aktualizace nebo novější aktualizace systému Windows může být operace připojení k doméně neúspěšná a dojde k chybě "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Navíc text "Ve službě služba Active Directory existuje účet se stejným názvem. Opětovné použití účtu bylo zablokováno zásadami zabezpečení".
Ovlivněné scénáře zahrnují některé operace připojení k doméně nebo opětovné instalace image, kdy byl účet počítače vytvořen nebo předpřipraven jinou identitou, než je identita použitá k připojení nebo opětovnému připojení počítače k doméně.
Další informace o tomto problému najdete v tématu KB5020276 – Netjoin: Změny posílení zabezpečení připojení k doméně.
Poznámka U spotřebitelských desktopových edic Windows se tento problém pravděpodobně neobjeví.
Pokyny k tomuto problému najdete v KB5020276 .
Po instalaci aktualizací Windows vydaných 8. listopadu 2022 nebo později na Windows Serverech, které používají roli řadiče domény, můžete mít problémy s ověřováním protokolem Kerberos. Tento problém může mít vliv na jakékoli ověřování protokolem Kerberos ve vašem prostředí. Některé scénáře, které mohou být ovlivněny:

Pokud dojde k tomuto problému, může se v části Systém protokolu událostí na řadiči domény zobrazit událost Microsoft-Windows-Kerberos-Key-Distribution-Center s ID události 4 s následujícím textem.

Poznámka Ovlivněné události budou obsahovat řetězec " chybějící klíč má ID 1":

Při zpracování požadavku AS pro službu cílové služby <neměl název> účtu <vhodný klíč pro generování lístku protokolu Kerberos (chybějící klíč má ID> 1). Požadované etypy: 18 3. Dostupné typy účtů: 23 18 17. Změna nebo resetování hesla <názvu> účtu vygeneruje správný klíč.
Poznámka Tento problém není očekávanou součástí posílení zabezpečení pro Netlogon a Kerberos počínaje aktualizací zabezpečení z listopadu 2022. I po vyřešení tohoto problému budete muset postupovat podle pokynů v těchto článcích.

Zařízení s Windows používaná doma spotřebiteli nebo zařízení, která nejsou součástí místní domény, se tento problém netýká. Na prostředí služby Azure Active Directory, která nejsou hybridní a nemají žádné místní servery Active Directory, to nemá vliv.
Tento problém řeší aktualizace KB5021652.
Po instalaci této nebo novější aktualizace na řadič domény může docházet k nevracení paměti u služby LSASS (Local Security Authority Subsystem Service). V závislosti na úloze řadiče domény a době od posledního restartování serveru může služba LSASS průběžně zvyšovat využití paměti s dobou provozu serveru a server může přestat reagovat nebo se automaticky restartuje.
Poznámka Tento problém může mít vliv na vzdálené aktualizace řadičů domény vydané 17. listopadu 2022 a 18. listopadu 2022.
Pokud chcete tento problém zmírnit, otevřete příkazový řádek jako správce a pomocí následujícího příkazu nastavte klíč registru KrbtgtFullPacSignature na hodnotu 0:
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Poznámka Po vyřešení tohoto známého problému byste měli nastavit KrbtgtFullPacSignature na vyšší nastavení v závislosti na tom, co vaše prostředí dovolí. Doporučujeme povolit režim vynucení, jakmile bude vaše prostředí připravené.
Další informace o tomto klíči registru najdete v tématu KB5020805: Správa změn protokolu Kerberos souvisejících s chybou zabezpečení CVE-2022-37967.
Pracujeme na řešení a v nadcházející verzi poskytneme aktualizaci.
Po instalaci této aktualizace se aplikace, které používají připojení ODBC prostřednictvím ovladače Microsoft ODBC SQL Server Driver (sqlsrv32.dll) pro přístup k databázím, nemusí připojit. Kromě toho se může v aplikaci zobrazit chyba nebo se může zobrazit chyba z SQL Server. Mezi chyby, které se můžou zobrazit, patří následující zprávy:

  • V systému EMS došlo k problému.
    Zpráva: [Microsoft][OVLADAČ ODBC SQL Server] Chyba protokolu ve službě TDS Stream.
  • V systému EMS došlo k problému.
    Zpráva: [Microsoft][Odbc SQL Server Driver] Z SQL Server byl přijat neznámý token.
Poznámka pro vývojáře: Aplikacím dotčeným tímto problémem se nemusí podařit načíst data, například při použití funkce SQLFetch. K tomuto problému může dojít při volání funkce SQLBindCol před příkazem SQLFetch nebo při volání funkce SQLGetData po příkazu SQLFetch a když je pro argument BufferLength pro pevné datové typy větší než 4 bajty (například SQL_C_FLOAT) zadána hodnota 0 (nula).

Pokud se chcete rozhodnout, jestli používáte ovlivněnou aplikaci, otevřete aplikaci, která se připojuje k databázi. Otevřete okno příkazového řádku, zadejte následující příkaz a stiskněte Enter:

tasklist /m sqlsrv32.dll
Pokud příkaz vrátí úkol, může to mít vliv na aplikaci.
Pokud chcete tento problém vyřešit, můžete provést jednu z následujících akcí:

  • Pokud vaše aplikace už používá nebo může používat název zdroje dat (DSN) pro výběr připojení ODBC, nainstalujte ovladač Microsoft ODBC 17 pro SQL Server a vyberte ho pro použití s vaší aplikací pomocí názvu zdroje dat.

    Poznámka: Doporučujeme nejnovější verzi ovladače Microsoft ODBC Driver 17 pro SQL Server, protože je kompatibilnější s aplikacemi, které aktuálně používají starší verzi ovladače Microsoft ODBC SQL Server Driver (sqlsrv32.dll) než ovladač Microsoft ODBC Driver 18 pro SQL Server.
  • Pokud vaše aplikace nemůže použít DSN, bude nutné ji upravit tak, aby umožňovala DSN nebo používala novější ovladač ODBC než ovladač Microsoft ODBC SQL Server Driver (sqlsrv32.dll).
Tento problém řeší KB5022348. Pokud jste implementovali výše uvedené alternativní řešení, doporučujeme pokračovat v používání konfigurace v alternativním řešení.

Jak získat tuto aktualizaci

Před instalací této aktualizace

Důrazně doporučujeme, abyste si před instalací nejnovější kumulativní aktualizace nainstalovali nejnovější servisní aktualizaci SSU pro váš operační systém. Aktualizace SSU zlepšují spolehlivost procesu aktualizací a omezují rizika případných problémů při instalaci kumulativní aktualizace a při použití oprav zabezpečení od Microsoftu. Obecné informace o aktualizacích SSU najdete v článku o servisních aktualizacích SSU a v nejčastějších dotazech k aktualizacím SSU (Servicing Stack Updates).

Pokud používáte služba služba Windows Update, bude vám nejnovější servisní aktualizace SSU (KB5016263) nabídnuta automaticky. Pokud chcete získat samostatný balíček s touto nejnovější aktualizací SSU, vyhledejte ho v Katalogu služby Microsoft Update.

Jazykové sady

Pokud po instalaci této aktualizace nainstalujete jazykovou sadu, musíte tuto aktualizaci přeinstalovat. Proto před instalací této aktualizace doporučujeme nainstalovat všechny jazykové sady, které potřebujete. Další informace najdete v tématu Přidání jazykových sad do Windows.

Instalace této aktualizace

Kanál použitý k vydání K dispozici Další krok
služba Windows Update a Microsoft Update Ano Žádné Tato aktualizace se automaticky stáhne a nainstaluje ze služby služba Windows Update.
Katalog služby Microsoft Update Ano Pokud chcete získat samostatný balíček s touto aktualizací, přejděte na web Katalog služby Microsoft Update.
Služba WSUS (Windows Server Update Services) Ano Tato aktualizace se bude automaticky synchronizovat se službou WSUS, pokud nakonfigurujete Produkty a klasifikace takto:
Produkt: Windows Server 2012, Windows Embedded 8 Standard
Klasifikace: Aktualizace zabezpečení

Informace o souborech

Pokud chcete získat seznam souborů poskytovaných v rámci této aktualizace, stáhněte si informace o souborech pro aktualizaci KB5020009.

Reference

Informace o standardní terminologii používané při popisu aktualizací softwaru společnosti Microsoft.