Poznámka
POZNÁMKA Po 10. lednu 2023 už společnost Microsoft nebude poskytovat aktualizace zabezpečení ani technickou podporu pro Windows 7 SP1 a Windows Server 2008 R2 SP1. Doporučujeme upgradovat na novější verzi Windows.
Souhrn
Další informace o této kumulativní aktualizaci zabezpečení, včetně vylepšení, všech známých problémů a postupu, jak aktualizaci získat
Poznámka
- PŘIPOMENUTÍ Systémy Windows 7, Windows Server 2008 R2, Windows Embedded Standard 7 a Windows Embedded POS Ready 7 dosáhly konce hlavní fáze podpory a nyní jsou podporovány prodlouženými aktualizacemi zabezpečení (ESU). Systém Windows Thin PC dosáhl konce hlavní fáze podpory; Podpora ESU však není k dispozici.
- Od července 2020 už pro tento operační systém nebudou dostupné volitelné aktualizace nesouvisející se zabezpečením (označované jako vydání "C"). Operační systémy s rozšířenou podporou mají jenom kumulativní měsíční aktualizace zabezpečení (známé jako "B" nebo Update Tuesday release).
- Před instalací této aktualizace ověřte, že jste nainstalovali požadované aktualizace v části Jak získat tuto aktualizaci .
- Zákazníci, kteří si zakoupili program prodloužených aktualizací zabezpečení (ESU) pro místní verze tohoto operačního systému, musí postupovat podle pokynů v KB4522133 , aby i po ukončení rozšířené podpory 14. ledna 2020 nadále dostávali aktualizace zabezpečení. Další informace o ESU a o podporovaných edicích najdete v tématu KB4497181.
- Vzhledem k tomu, že ESU jsou k dispozici jako samostatná skladová jednotka pro každý rok, ve kterém jsou nabízeny (2020, 2021 a 2022) – a protože ESU je možné zakoupit pouze v konkrétních 12měsíčních obdobích – musíte si samostatně zakoupit třetí rok krytí ESU a aktivovat nový kód na každém použitelném zařízení, aby vaše zařízení nadále dostávala aktualizace zabezpečení v roce 2022.
- Pokud si vaše organizace nezakoupila program ESU na třetí rok, musíte si pro příslušná zařízení se systémem Windows 7 SP1 nebo Windows Server 2008 R2 SP1 zakoupit program ESU pro 1., 2. a 3. rok pro příslušná zařízení s Windows 7 SP1 nebo 2008 R2, abyste mohli přijímat aktualizace. Postup instalace, aktivace a nasazení Prodloužených aktualizací zabezpečení je stejný pro první, druhý a třetí rok pokrytí. Další informace najdete v tématu Získání prodloužených Aktualizací zabezpečení pro zařízení s Windows, která mají nárok na proces multilicenčního programu, a Nákup Prodloužených aktualizací zabezpečení pro Windows 7 jako poskytovatele cloudových řešení pro proces CSP. V případě vestavěných zařízení se obraťte na výrobce originálních dílů (OEM).
- Další informace najdete v blogu ESU.
Poznámka
Poznámka Informace o různých typech aktualizací systému Windows, jako jsou důležité aktualizace, aktualizace zabezpečení, aktualizace ovladačů, aktualizace Service Pack a další, najdete v následujícím článku. Pokud chcete zobrazit další poznámky a zprávy pro Windows 7 a Windows Server 2008 R2, podívejte se na následující domovskou stránku historie aktualizací.
Vylepšení
Tato kumulativní aktualizace zabezpečení obsahuje vylepšení, která jsou součástí aktualizace KB5017361 (vydané 11. října 2022), a zahrnuje klíčové změny v následujících oblastech:
Řeší problém s posílením zabezpečení ověřování modelu DCOM (Distributed Component Object Model), aby se automaticky zvýšila úroveň ověřování u všech neanonymních žádostí o aktivaci od klientů DCOM. K této situaci dojde, pokud je úroveň ověření nižší než RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.
Aktualizace letního času (DST) pro Jordánsko, aby se zabránilo posunu času o 1 hodinu zpět 28. října 2022. Dále změní zobrazovaný název jordánského běžného času z "(UTC+02:00) Ammán" na "(UTC+03:00) Ammán".
Řeší problém, kdy konektor Microsoft Azure Active Directory (AAD) proxy aplikací nemůže načíst lístek protokolu Kerberos jménem uživatele kvůli následující obecné chybě rozhraní API: Zadaný popisovač je neplatný (0x80090301).
Řeší problém, kdy se po instalaci aktualizace z 11. ledna 2022 nebo novější procesu vytváření vztahu důvěryhodnosti doménové struktury nepodaří naplnit přípony názvů DNS do atributů informací o důvěryhodnosti.
Řeší ohrožení zabezpečení v protokolech Kerberos a Netlogon, jak je popsáno v CVE-2022-38023, CVE-2022-37966 a CVE-2022-37967. Pokyny k nasazení najdete v následujících článcích:
- KB5020805: Jak spravovat změny protokolu Kerberos související s CVE-2022-37967
- KB5021130: Jak spravovat změny protokolu Netlogon související s CVE-2022-38023
- KB5021131: Jak spravovat změny protokolu Kerberos související s chybou zabezpečení CVE-2022-37966
Další informace o vyřešených bezpečnostních chybách naleznete v Nasazení | Průvodce aktualizacemi zabezpečení a Aktualizace zabezpečení z listopadu 2022.
Známé problémy v této aktualizaci
| Příznak | Další krok |
|---|---|
| Po instalaci této aktualizace a restartování zařízení se může zobrazit chyba "Došlo k selhání konfigurace aktualizací systému Windows. že změny budou vráceny. Součástí této zprávy je i žádost o nevypínání počítače. Aktualizace se může zobrazit jako neúspěšná v historii aktualizací. | Toto je očekávané chování za následujících okolností:
|
| Po instalaci této aktualizace nebo novější aktualizace systému Windows může být operace připojení k doméně neúspěšná a dojde k chybě "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Navíc text "Ve službě služba Active Directory existuje účet se stejným názvem. Opětovné použití účtu bylo zablokováno zásadami zabezpečení". Ovlivněné scénáře zahrnují některé operace připojení k doméně nebo opětovné instalace image, kdy byl účet počítače vytvořen nebo předpřipraven jinou identitou, než je identita použitá k připojení nebo opětovnému připojení počítače k doméně. Další informace o tomto problému najdete v tématu KB5020276 – Netjoin: Změny posílení zabezpečení připojení k doméně. Poznámka U spotřebitelských desktopových edic Windows se tento problém pravděpodobně neobjeví. |
Pokyny k tomuto problému najdete v KB5020276 . |
Po instalaci aktualizací Windows vydaných 8. listopadu 2022 nebo později na Windows Serverech, které používají roli řadiče domény, můžete mít problémy s ověřováním protokolem Kerberos. Tento problém může mít vliv na jakékoli ověřování protokolem Kerberos ve vašem prostředí. Některé scénáře, které mohou být ovlivněny:
Poznámka Ovlivněné události budou obsahovat řetězec " chybějící klíč má ID 1": Při zpracování požadavku AS pro službu cílové služby <neměl název> účtu <vhodný klíč pro generování lístku protokolu Kerberos (chybějící klíč má ID> 1). Požadované etypy: 18 3. Dostupné typy účtů: 23 18 17. Změna nebo resetování hesla <názvu> účtu vygeneruje správný klíč. Poznámka Tento problém není očekávanou součástí posílení zabezpečení pro Netlogon a Kerberos počínaje aktualizací zabezpečení z listopadu 2022. I po vyřešení tohoto problému budete muset postupovat podle pokynů v těchto článcích. Zařízení s Windows používaná doma spotřebiteli nebo zařízení, která nejsou součástí místní domény, se tento problém netýká. Na prostředí služby Azure Active Directory, která nejsou hybridní a nemají žádné místní servery Active Directory, to nemá vliv. |
Tento problém řeší aktualizace KB5021651. |
| Po instalaci této nebo novější aktualizace na řadič domény může docházet k nevracení paměti u služby LSASS (Local Security Authority Subsystem Service). V závislosti na úloze řadiče domény a době od posledního restartování serveru může služba LSASS průběžně zvyšovat využití paměti s dobou provozu serveru a server může přestat reagovat nebo se automaticky restartuje. Poznámka Tento problém může mít vliv na vzdálené aktualizace řadičů domény vydané 17. listopadu 2022 a 18. listopadu 2022. |
Pokud chcete tento problém zmírnit, otevřete příkazový řádek jako správce a pomocí následujícího příkazu nastavte klíč registru KrbtgtFullPacSignature na hodnotu 0: reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD Poznámka Po vyřešení tohoto známého problému byste měli nastavit KrbtgtFullPacSignature na vyšší nastavení v závislosti na tom, co vaše prostředí dovolí. Doporučujeme povolit režim vynucení, jakmile bude vaše prostředí připravené. Další informace o tomto klíči registru najdete v tématu KB5020805: Správa změn protokolu Kerberos souvisejících s chybou zabezpečení CVE-2022-37967. Pracujeme na řešení a v nadcházející verzi poskytneme aktualizaci. |
Po instalaci této aktualizace se aplikace, které používají připojení ODBC prostřednictvím ovladače Microsoft ODBC SQL Server Driver (sqlsrv32.dll) pro přístup k databázím, nemusí připojit. Kromě toho se může v aplikaci zobrazit chyba nebo se může zobrazit chyba z SQL Server. Mezi chyby, které se můžou zobrazit, patří následující zprávy:
Pokud se chcete rozhodnout, jestli používáte ovlivněnou aplikaci, otevřete aplikaci, která se připojuje k databázi. Otevřete okno příkazového řádku, zadejte následující příkaz a stiskněte Enter: Seznam úkolů /m sqlsrv32.dll Pokud příkaz vrátí úkol, může to mít vliv na aplikaci. |
Pokud chcete tento problém vyřešit, můžete provést jednu z následujících akcí:
|
Jak získat tuto aktualizaci
Před instalací této aktualizace
DŮLEŽITÉ Zákazníci, kteří si zakoupili program prodloužených aktualizací zabezpečení (ESU) pro místní verze těchto operačních systémů, musí postupovat podle pokynů uvedených v KB4522133 , aby mohli nadále dostávat aktualizace zabezpečení. Rozšířená podpora skončila takto:
- Rozšířená podpora pro systémy Windows 7 Service Pack 1 a Windows Server 2008 R2 Service Pack 1 skončila 14. ledna 2020.
- Pro Windows Embedded Standard 7 skončila rozšířená podpora 13. října 2020.
- Pro Windows Embedded POS Ready 7 skončila rozšířená podpora 12. října 2021.
- Pro Windows Thin PC skončila rozšířená podpora 12. října 2021. Upozorňujeme, že podpora ESU není k dispozici pro Windows Thin PC.
Další informace o ESU a o podporovaných edicích najdete v tématu KB4497181.
Poznámka V systému Windows Embedded Standard 7 musí být povolená služba WMI (Windows Management Instrumentation), aby bylo možné získávat aktualizace z služba služba Windows Update nebo Windows Server Update Services.
Jazykové sady
Pokud po instalaci této aktualizace nainstalujete jazykovou sadu, musíte tuto aktualizaci přeinstalovat. Proto před instalací této aktualizace doporučujeme nainstalovat všechny jazykové sady, které potřebujete. Další informace najdete v tématu Přidání jazykových sad do Windows.
Předpoklady
Před instalací nejnovější kumulativní aktualizace si musíte nainstalovat aktualizace uvedené níže a restartovat své zařízení. Instalace těchto aktualizací zlepšuje spolehlivost procesu aktualizací a omezuje rizika případných problémů při instalaci kumulativní aktualizace a při použití oprav zabezpečení od Microsoftu.
- Servisní aktualizace SSU z 12. března 2019 (KB4490628). Pokud chcete získat samostatný balíček s touto aktualizací SSU, vyhledejte ho v Katalogu služby Microsoft Update. Tato aktualizace je vyžadována k instalaci aktualizací, které jsou podepsány jen protokolem SHA-2.
- Nejnovější aktualizace pro SHA-2 (KB4474419) vydaná 10. září 2019. Pokud používáte službu služba Windows Update, bude vám nejnovější aktualizace pro SHA-2 nabídnuta automaticky. Tato aktualizace je vyžadována k instalaci aktualizací, které jsou podepsány jen protokolem SHA-2. Další informace o aktualizacích pro SHA-2 najdete v článku Požadavek na podporu podepisování kódu certifikáty SHA-2 v roce 2019 pro Windows a WSUS.
- Chcete-li získat tuto aktualizaci zabezpečení, je nutné přeinstalovat balíček pro přípravu licencování prodlouženého bezpečnostního Aktualizace (ESU) (KB4538483) nebo aktualizaci pro balíček pro přípravu licencování prodlouženého bezpečnostního Aktualizace (ESU) KB4575903, a to i v případě, že jste klíč ESU nainstalovali dříve. Balíček pro přípravu licencování ESU vám bude nabídnut z WSUS. Pokud chcete získat samostatný balíček pro přípravu licencování ESU, vyhledejte ho v Katalogu služby Microsoft Update.
Důrazně doporučujeme, abyste si po instalaci výše uvedených položek nainstalovali nejnovější servisní aktualizaci SSU (KB5017397). Pokud používáte službu služba Windows Update a máte jako zákazník prodloužené aktualizace zabezpečení (ESU), bude vám nejnovější servisní aktualizace SSU nabídnuta automaticky. Pokud chcete získat samostatný balíček s touto nejnovější aktualizací SSU, vyhledejte ho v Katalogu služby Microsoft Update. Obecné informace o aktualizacích SSU najdete v článku o servisních aktualizacích SSU a v nejčastějších dotazech k aktualizacím SSU (Servicing Stack Updates).
Instalace této aktualizace
| Kanál použitý k vydání | K dispozici | Další krok |
|---|---|---|
| služba Windows Update a Microsoft Update | Ano | Žádné Pokud máte jako zákazník zřízeno ESU, pak se tato aktualizace automaticky stáhne a nainstaluje ze služby služba Windows Update. |
| Katalog služby Microsoft Update | Ano | Pokud chcete získat samostatný balíček s touto aktualizací, přejděte na web Katalog služby Microsoft Update. |
| Služba WSUS (Windows Server Update Services) | Ano | Tato aktualizace se bude automaticky synchronizovat se službou WSUS, pokud nakonfigurujete Produkty a klasifikace takto: Produkt: Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1, Windows Embedded Standard 7 Service Pack 1, Windows Embedded POSReady 7 Klasifikace: Aktualizace zabezpečení |
Informace o souborech
Pokud chcete získat seznam souborů poskytovaných v rámci této aktualizace, stáhněte si informace o souborech pro aktualizaci KB5020000.
Reference
Informace o standardní terminologii používané při popisu aktualizací softwaru společnosti Microsoft.