8. listopadu 2022 – KB5020000 (měsíční kumulativní aktualizace)
Applies To
Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESUDatum vydání:
08.11.2022
Verze:
Měsíční kumulativní aktualizace
POZNÁMKA Po 10. lednu 2023 už microsoft nebude poskytovat aktualizace zabezpečení ani technickou podporu pro Windows 7 SP1 a Windows Server 2008 R2 SP1. Doporučujeme upgradovat na novější verzi Windows.
Shrnutí
Další informace o této kumulativní aktualizaci zabezpečení včetně vylepšení, všech známých problémů a postupu získání aktualizace
PŘIPOMENUTÍSystémy Windows 7, Windows Server 2008 R2, Windows Embedded Standard 7 a Windows Embedded POS Ready 7 dosáhly konce hlavní fáze technické podpory a jsou nyní podporovány rozšířenými aktualizacemi zabezpečení (ESU). Windows Thin PC dosáhl konce hlavní fáze technické podpory; Podpora ESU však není k dispozici.
Od července 2020 už nebudou pro tento operační systém k dispozici volitelné verze nesouvisejí se zabezpečením (označované jako verze C). Operační systémy s rozšířenou podporou mají jenom kumulativní měsíční aktualizace zabezpečení (označované jako B nebo úterní aktualizace).
Před instalací této aktualizace ověřte, že jste nainstalovali požadované aktualizace v části Jak získat tuto aktualizaci.
Zákazníci, kteří si zakoupili rozšířené aktualizace zabezpečení (ESU) pro místní verze tohoto operačního systému, musí postupovat podle postupů uvedených v článku KB4522133, aby mohli dál dostávat aktualizace zabezpečení po ukončení rozšířené podpory 14. ledna 2020. Další informace o ESU a podporovaných edicích najdete v článku KB4497181.
Vzhledem k tomu, že ESU je k dispozici jako samostatná skladová položka pro každý rok, ve kterém jsou nabízeny (2020, 2021 a 2022) – a protože ESU je možné zakoupit pouze v určitých 12měsíčních obdobích – je nutné zakoupit třetí rok esU samostatně a aktivovat nový klíč na každém příslušném zařízení, aby vaše zařízení dál dostávala aktualizace zabezpečení i v roce 2022.
Pokud vaše organizace nekoupila třetí rok pokrytí ESU, musíte si před instalací a aktivací klíčů k vícenásobné aktivaci klíčů k vícenásobné aktivaci koupit rok 1, rok 2 a rok 3 pro příslušná zařízení s Windows 7 SP1 nebo Windows Server 2008 R2 SP1, abyste mohli dostávat aktualizace. Postup instalace, aktivace a nasazení ESU je stejný pro první, druhý a třetí rok pokrytí. Další informace najdete v tématech Získání rozšířeného zabezpečení Aktualizace pro zařízení s Windows, která mají nárok na multilicenční proces, a Nákup esu windows 7 jako poskytovatele cloudových řešení pro proces CSP. V případě integrovaných zařízení se obraťte na výrobce původního zařízení (OEM).
Další informace najdete na blogu ESU.
Poznámka Informace o různých typech aktualizací windows, jako jsou důležité aktualizace, aktualizace zabezpečení, ovladače, aktualizace Service Pack atd., najdete v následujícím článku. Pokud chcete zobrazit další poznámky a zprávy pro Windows 7 a Windows Server 2008 R2, podívejte se na následující domovskou stránku historie aktualizací.
Zlepšení
Tato kumulativní aktualizace zabezpečení obsahuje vylepšení, která jsou součástí aktualizace KB5017361 (vydané 11. října 2022), a obsahuje klíčové změny pro následující:
-
Řeší problém s posílením zabezpečení ověřování modelu DCOM (Distributed Component Object Model), který automaticky zvyšuje úroveň ověřování pro všechny neanonymní žádosti o aktivaci od klientů DCOM. K tomu dojde, pokud je úroveň ověřování menší než RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.
-
Aktualizace letního času (DST) pro Jordánsko, aby se zabránilo přesunutí hodin zpět o 1 hodinu 28. října 2022. Kromě toho změní zobrazovaný název standardního času Jordánska z "(UTC+02:00) Ammán" na "(UTC+03:00) Ammán".
-
Řeší problém, kdy Microsoft Azure Active Directory (AAD) proxy aplikací Connector nemůže načíst lístek protokolu Kerberos jménem uživatele kvůli následující obecné chybě rozhraní API: Zadaný popisovač je neplatný (0x80090301)."
-
Řeší problém, kdy se po instalaci aktualizace z 11. ledna 2022 nebo novější procesu vytváření důvěryhodnosti doménové struktury nepodaří naplnit přípony názvů DNS do atributů informací o důvěryhodnosti.
-
Řeší chyby zabezpečení v protokolech Kerberos a Netlogon popsané v cve-2022-38023, CVE-2022-37966 a CVE-2022-37967. Pokyny k nasazení najdete v následujících článcích:
-
KB5020805: Správa změn protokolu Kerberos souvisejících s CVE-2022-37967
-
KB5021130: Správa změn protokolu Netlogon souvisejících s CVE-2022-38023
-
KB5021131: Správa změn protokolu Kerberos souvisejících s CVE-2022-37966
Další informace o vyřešených chybách zabezpečení najdete v tématu Nasazení | Průvodce aktualizacemi zabezpečení a Aktualizace zabezpečení z listopadu 2022
-
Známé problémy v této aktualizaci
Příznak |
Další krok |
Po instalaci této aktualizace a restartování zařízení se může zobrazit chyba "Nepodařilo se nakonfigurovat aktualizace systému Windows. že změny budou vráceny. Nevypínejte počítač a aktualizace se může v historii aktualizací zobrazit jako Neúspěšné. |
Toto je očekávané chování za následujících okolností:
Pokud jste si zakoupili klíč ESU, a přesto jste narazili na tento problém, ověřte, že jste splnili všechny předběžné požadavky a že je váš klíč aktivován. Informace o aktivaci najdete v tomto blogovém příspěvku. Informace o požadavcích najdete v části Jak získat tuto aktualizaci v tomto článku. |
Po instalaci této nebo novější aktualizace systému Windows můžou být operace připojení k doméně neúspěšné a dojde k chybě "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Kromě toho text s textem "Účet se stejným názvem existuje ve službě Active Directory. Může se zobrazit opakované použití účtu, který zablokovaly zásady zabezpečení. Ovlivněné scénáře zahrnují některé operace připojení k doméně nebo operace opětovného vytvoření image, kdy byl účet počítače vytvořen nebo předem připraven jinou identitou, než je identita použitá k připojení počítače k doméně nebo k jeho opětovnému připojení. Další informace o tomto problému najdete v článku KB5020276 – Netjoin: Změny posílení zabezpečení připojení k doméně. Poznámka U desktopových edic Systému Windows pravděpodobně k tomuto problému dochází. |
Pokyny k tomuto problému najdete v článku KB5020276 . |
Po instalaci aktualizací Windows vydaných 8. listopadu 2022 nebo později na serverech s Windows, které používají roli řadič domény, můžete mít problémy s ověřováním protokolem Kerberos. Tento problém může mít vliv na jakékoli ověřování protokolem Kerberos ve vašem prostředí. Některé scénáře, které mohou být ovlivněny:
Pokud dojde k tomuto problému, může se v protokolu událostí na vašem řadiči domény zobrazit událost Microsoft-Windows-Kerberos-Key-Distribution-Center s ID 4 v části Systém protokolu událostí na vašem řadiči domény s následujícím textem. Poznámka Ovlivněné události budou obsahovat řetězec chybějící klíč má ID 1:
Poznámka Tento problém není očekávanou součástí posílení zabezpečení pro Netlogon a Kerberos od aktualizace zabezpečení z listopadu 2022. I po vyřešení tohoto problému budete muset postupovat podle pokynů v těchto článcích. Na zařízení s Windows, která používají doma spotřebitelé, nebo zařízení, která nejsou součástí místní domény, se tento problém netýká. Na prostředí Azure Active Directory, která nejsou hybridní a nemají žádné místní Active Directory servery, to nemá vliv. |
Tento problém řeší aktualizace KB5021651. |
Po instalaci této nebo novější aktualizace na řadiči domény (DC) může dojít k nevracení paměti pomocí služby LSASS,exe (Local Security Authority Subsystem Service). V závislosti na zatížení řadiče domény a době od posledního restartování serveru může služba LSASS průběžně zvyšovat využití paměti s dobou spuštění serveru a server může přestat reagovat nebo se automaticky restartovat. Poznámka Tento problém může mít vliv na vzdálené aktualizace pro řadiče domény vydané 17. listopadu 2022 a 18. listopadu 2022. |
Pokud chcete tento problém zmírnit, otevřete příkazový řádek jako správce a pomocí následujícího příkazu nastavte klíč registru KrbtgtFullPacSignature na hodnotu 0:
Poznámka Po vyřešení tohoto známého problému byste měli nastavit KrbtgtFullPacSignature na vyšší nastavení v závislosti na tom, co vaše prostředí umožní. Doporučujeme, abyste režim vynucení povolili, jakmile bude vaše prostředí připravené. Další informace o tomto klíči registru najdete v článku KB5020805: Správa změn protokolu Kerberos souvisejících s CVE-2022-37967. Pracujeme na řešení a v některém z nadcházejících vydání poskytneme aktualizaci. |
Po instalaci této aktualizace se aplikace, které používají připojení ODBC prostřednictvím ovladače Microsoft ODBC SQL Server Driver (sqlsrv32.dll) pro přístup k databázím, nemusí připojit. Kromě toho se může v aplikaci zobrazit chyba nebo se může zobrazit chyba z SQL Server. Mezi chyby, které se můžou zobrazit, patří následující zprávy:
Poznámka pro vývojáře: Aplikace ovlivněné tímto problémem můžou selhat při načítání dat, například při použití funkce SQLFetch. K tomuto problému může dojít při volání funkce SQLBindCol před sqlFetch nebo volání funkce SQLGetData po SQLFetch a při zadání hodnoty 0 (nula) pro argument BufferLength pro pevné datové typy větší než 4 bajty (například SQL_C_FLOAT). Pokud se chcete rozhodnout, jestli používáte ovlivněnou aplikaci, otevřete aplikaci, která se připojuje k databázi. Otevřete okno příkazového řádku, zadejte následující příkaz a stiskněte enter:
Pokud příkaz vrátí úlohu, může to mít vliv na aplikaci. |
Pokud chcete tento problém zmírnit, můžete udělat jednu z těchto věcí:
Tento problém byl vyřešen v aktualizaci KB5022338. Pokud jste implementovali výše uvedené alternativní řešení, doporučujeme pokračovat v používání konfigurace v alternativním řešení. |
Jak získat tuto aktualizaci
Před instalací této aktualizace
DŮLEŽITÉ Zákazníci, kteří si zakoupili prodlouženou aktualizaci zabezpečení (ESU) pro místní verze těchto operačních systémů, musí postupovat podle pokynů v článku KB4522133, aby mohli dál dostávat aktualizace zabezpečení. Rozšířená podpora skončila takto:
-
Pro Windows 7 Service Pack 1 a Windows Server 2008 R2 Service Pack 1 skončila rozšířená podpora 14. ledna 2020.
-
Pro Windows Embedded Standard 7 skončila rozšířená podpora 13. října 2020.
-
Pro Windows Embedded POS Ready 7 skončila rozšířená podpora 12. října 2021.
-
Pro windows Thin PC skončila rozšířená podpora 12. října 2021. Mějte na paměti, že podpora ESU není k dispozici pro Windows Thin PC.
Další informace o ESU a podporovaných edicích najdete v článku KB4497181.
Poznámka Pro Windows Embedded Standard 7 musí být povolená služba WMI (Windows Management Instrumentation), aby bylo možné získávat aktualizace z služba Windows Update nebo Windows Server Update Services.
Jazykové sady
Pokud po instalaci této aktualizace nainstalujete jazykovou sadu, musíte tuto aktualizaci přeinstalovat. Proto doporučujeme před instalací této aktualizace nainstalovat všechny jazykové sady, které potřebujete. Další informace najdete v tématu Přidání jazykových sad do Windows.
Předpoklad
Před instalací nejnovější kumulativní aktualizace si musíte nainstalovat aktualizace uvedené níže a restartovat své zařízení. Instalace těchto aktualizací zlepšuje spolehlivost procesu aktualizací a omezuje rizika případných problémů při instalaci kumulativní aktualizace a při použití oprav zabezpečení od Microsoftu.
-
Servisní aktualizace SSU (SSU) z 12. března 2019 (KB4490628) Pokud chcete získat samostatný balíček pro tuto aktualizaci SSU, vyhledejte ho v Katalogu služby Microsoft Update. Tato aktualizace je vyžadována k instalaci aktualizací, které jsou podepsány jen protokolem SHA-2.
-
Nejnovější aktualizace SHA-2 (KB4474419) vydaná 10. září 2019. Pokud používáte službu Windows Update, bude vám nejnovější aktualizace pro SHA-2 nabídnuta automaticky. Tato aktualizace je vyžadována k instalaci aktualizací, které jsou podepsány jen protokolem SHA-2. Další informace o aktualizacích SHA-2 najdete v tématu Požadavky na podporu podepisování kódu SHA-2 v roce 2019 pro Windows a WSUS.
-
Chcete-li získat tuto aktualizaci zabezpečení, musíte přeinstalovat balíček pro přípravu rozšířených licencí AKTUALIZACE zabezpečení (ESU) (KB4538483) nebo aktualizaci balíčku pro přípravu licencování rozšířeného zabezpečení Aktualizace (ESU) (KB4575903), i když jste dříve nainstalovali klíč ESU. Balíček pro přípravu licencování ESU vám bude nabídnut z WSUS. Pokud chcete získat samostatný balíček pro přípravu licencování ESU, vyhledejte ho v Katalogu služby Microsoft Update.
Po instalaci výše uvedených položek důrazně doporučujeme nainstalovat nejnovější aktualizaci SSU (KB5017397). Pokud používáte službu Windows Update a máte jako zákazník prodloužené aktualizace zabezpečení (ESU), bude vám nejnovější servisní aktualizace SSU nabídnuta automaticky. Pokud chcete získat samostatný balíček s nejnovější aktualizací SSU, vyhledejte ho v Katalogu služby Microsoft Update. Obecné informace o servisních aktualizacích SSU najdete v tématech Servisní aktualizace zásobníku a Servisní Aktualizace (SSU): Nejčastější dotazy.
Instalace této aktualizace
Kanál použitý k vydání |
K dispozici |
Další krok |
Windows Update a Microsoft Update |
Ano |
Žádný. Pokud máte jako zákazník zřízeno ESU, pak se tato aktualizace automaticky stáhne a nainstaluje ze služby Windows Update. |
Katalog služby Microsoft Update |
Ano |
Pokud chcete získat samostatný balíček pro tuto aktualizaci, přejděte na web Katalog služby Microsoft Update. |
Služba WSUS (Windows Server Update Services) |
Ano |
Tato aktualizace se bude automaticky synchronizovat se službou WSUS, pokud nakonfigurujete Produkty a klasifikace takto: Produkt: Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1, Windows Embedded Standard 7 Service Pack 1, Windows Embedded POSReady 7 Klasifikace: Aktualizace zabezpečení |
Informace o souborech
Pokud chcete získat seznam souborů poskytovaných v rámci této aktualizace, stáhněte si informace o souborech pro aktualizaci KB5020000.
Reference
Seznamte se se standardní terminologií , která se používá k popisu aktualizací softwaru microsoftu.