Sammendrag
Du kan finde flere oplysninger om denne samlede sikkerhedsopdatering, herunder forbedringer, kendte problemer, og hvordan du får opdateringen.
Bemærk
- PÅMINDELSE: Windows Server 2008 Service Pack 2 (SP2) har nået slutningen af den generelle support og er nu i udvidet support. Fra og med juli 2020 vil der ikke længere være valgfrie, ikke-sikkerhedsrelaterede udgivelser (kaldet "C"-versioner) for dette operativsystem. Operativsystemer med udvidet support har kun kumulative månedlige sikkerhedsopdateringer (kaldet "B"- eller Opdater tirsdagsversion).
- Kontrollér, at du har installeret de påkrævede opdateringer i afsnittet Sådan får du denne opdatering , før du installerer denne opdatering.
- Kunder, der har købt ESU (Extended Security Update) til lokale versioner af dette operativsystem, skal følge fremgangsmåderne i KB4522133 for at fortsætte med at modtage sikkerhedsopdateringer, efter at den forlængede support ophørte den 14. januar 2020. Du kan finde flere oplysninger om ESU, og hvilke udgaver der understøttes, under KB4497181.
- Da ESU er tilgængelig som en separat SKU for hvert af de år, de tilbydes (2020, 2021 og 2022) – og fordi ESU kun kan købes i bestemte 12-måneders perioder – skal du købe det tredje års ESU-dækning separat og aktivere en ny nøgle på hver relevant enhed, for at dine enheder kan fortsætte med at modtage sikkerhedsopdateringer i 2022.
- Hvis organisationen ikke har købt det tredje års ESU-dækning, skal du købe år 1, år 2 og år 3 ESU til dine relevante Windows Server 2008 SP2-enheder, før du installerer og aktiverer år 3 MAK-nøglerne for at modtage opdateringer. Trinnene til at installere, aktivere og implementere ESU'er er de samme for første, andet og tredje års dækning. Du kan finde flere oplysninger under Få udvidet sikkerhed Opdateringer for berettigede Windows-enheder til volumenlicensprocessen og Køb af Windows 7 ESU'er som Cloud Solution Provider til CSP-processen. For integrerede enheder skal du kontakte din OEM (original equipment manufacturer).
- Du kan finde flere oplysninger på ESU-bloggen.
Bemærk
Bemærk Du kan finde oplysninger om de forskellige typer Windows-opdateringer, f.eks. kritisk, sikkerhed, driver og servicepakker osv., i følgende artikel. Hvis du vil se andre noter og meddelelser til Windows Server 2008 SP2, skal du gå til følgende startside for opdateringsoversigten.
Forbedringer
Denne kumulative sikkerhedsopdatering indeholder forbedringer, der er en del af opdatering KB5017358 (udgivet 11. oktober 2022) og indeholder vigtige ændringer til følgende:
Løser et problem med DCOM-godkendelseshærdning (Distributed Component Object Model) for automatisk at hæve godkendelsesniveauet for alle ikke-anonyme aktiveringsanmodninger fra DCOM-klienter. Dette sker, hvis godkendelsesniveauet er mindre end RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.
Opdateringer sommertiden for Jordan for at forhindre, at uret rykkes 1 time tilbage den 28. oktober 2022. Ændrer desuden det viste navn for Jordan normaltid fra "(UTC+02:00) Amman" til "(UTC+03:00) Amman".
Løser et problem, hvor Microsoft Azure Active Directory (AAD) Programproxy Connector ikke kan hente en Kerberos-billet på vegne af brugeren på grund af følgende generelle API-fejl: "Det angivne handle er ugyldigt (0x80090301)."
Løser et problem, hvor oprettelsen af Forest Trust ikke udfylder DNS-navnesuffikserne i tillidsoplysningernes attributter efter installation af opdateringen fra den 11. januar 2022 eller nyere.
Adresserer sikkerhedssårbarheder i Kerberos- og Netlogon-protokollerne som beskrevet i CVE-2022-38023, CVE-2022-37966 og CVE-2022-37967. Du kan finde en installationsvejledning i følgende artikler:
- KB5020805: Sådan administreres Kerberos-protokolændringer relateret til CVE-2022-37967
- KB5021130: Sådan administreres Netlogon-protokolændringer relateret til CVE-2022-38023
- KB5021131: Sådan administreres Kerberos-protokolændringer, der er relateret til CVE-2022-37966
Du kan finde flere oplysninger om de sikkerhedssårbarheder, der er løst, i afsnittet Udrulninger | Guiden til sikkerhedsopdateringer og sikkerhedsopdateringen for november 2022 Opdateringer.
Du kan finde flere oplysninger om de sikkerhedssårbarheder, der er løst, i afsnittet Udrulninger | Guiden til sikkerhedsopdateringer og sikkerhedsopdateringen for november 2022 Opdateringer.
Kendte problemer i denne opdatering
| Symptom | Næste trin |
|---|---|
| Når du har installeret denne opdatering og genstartet enheden, vises fejlen "Fejl ved konfiguration af Windows-opdateringer. Rydder ændringer. Sluk ikke computeren", og opdateringen kan blive vist som mislykket i opdateringsoversigten. | Det er forventet i følgende tilfælde:
|
| Når denne opdatering eller en nyere Windows-opdatering er installeret, kan handlinger til domænetilslutning mislykkes, og fejl "0xaac (2732): NERR_AccountReuseBlockedByPolicy" opstår. Desuden tekst, der siger "Der findes en konto med samme navn i Active Directory. Genbrug af kontoen blev blokeret af sikkerhedspolitik" muligvis vises. Berørte scenarier omfatter nogle domænetilslutnings- eller genafbildningshandlinger, hvor en computerkonto blev oprettet eller midlertidigt oprettet af en anden identitet end den identitet, der blev brugt til at forbinde eller genoprette forbindelsen til computeren i domænet. Du kan få mere at vide om dette problem under KB5020276—Netjoin: Ændringer af hærdning af domænetilslutning. Bemærk Det er usandsynligt, at Consumer Desktop-udgaver af Windows vil opleve dette problem. |
Se KB5020276 for at få vejledning om dette problem. |
Når du har installeret Windows-opdateringer, der er udgivet den 8. november 2022 eller derefter, på Windows-servere, der bruger rollen domænecontroller, kan du have problemer med Kerberos-godkendelse. Dette problem kan påvirke Kerberos-godkendelse i dit miljø. Nogle scenarier, der kan blive påvirket:
Bemærk Berørte hændelser indeholder strengen " den manglende nøgle har et id på 1": Under behandling af en AS-anmodning for destinationstjenestetjenesten <>havde kontokontonavnet><ikke en nøgle, der er egnet til at generere en Kerberos-billet (den manglende nøgle har et id på 1). De ønskede etyper: 18 3. De tilgængelige konti etyper: 23 18 17. Ændring eller nulstilling af adgangskoden til <kontonavnet> vil generere en ordentlig nøgle. Bemærk Dette problem er ikke en forventet del af sikkerhedshærdningen for Netlogon og Kerberos fra og med sikkerhedsopdateringen for november 2022. Du skal stadig følge vejledningen i disse artikler, selv når problemet er løst. Windows-enheder, der bruges i hjemmet af forbrugere eller enheder, som ikke er en del af et lokalt domæne, påvirkes ikke af dette problem. Azure Active Directory-miljøer, der ikke er hybride og ikke har nogen Active Directory i det lokale miljø, påvirkes ikke. |
Dette problem er løst i opdatering KB5021657. |
| Når du har installeret denne opdatering eller en nyere opdatering på en domænecontroller (DC), kan du opleve en hukommelsesfejl med LSASS,exe (Local Security Authority Subsystem Service). Afhængigt af arbejdsmængden på din domænecontroller og mængden af tid siden sidste genstart af serveren kan LSASS løbende øge hukommelsesforbruget med serverens oppetid, og serveren kan holde op med at reagere eller genstarte automatisk. Bemærk De out of band-opdateringer til domænecontrollere, der er udgivet d. 17. november 2022 og d. 18. november 2022, kan blive påvirket af dette problem. |
Du kan løse dette problem ved at åbne en kommandoprompt som administrator og bruge følgende kommando til at indstille registreringsdatabasenøglen KrbtgtFullPacSignature til 0: reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORDBemærk , når dette kendte problem er løst, skal du angive KrbtgtFullPacSignature til en højere indstilling, afhængigt af hvad dit miljø tillader. Vi anbefaler, at du aktiverer håndhævelsestilstand, så snart dit miljø er klar. Du kan finde flere oplysninger om denne registreringsdatabasenøgle i KB5020805: Sådan administreres Kerberos-protokolændringer, der er relateret til CVE-2022-37967. Vi arbejder på en løsning og leverer en opdatering i en kommende version. |
Når du har installeret denne opdatering, kan apps, der bruger ODBC-forbindelser via Microsoft ODBC SQL Server Driver (sqlsrv32.dll) til at få adgang til databaser, muligvis ikke oprette forbindelse. Desuden kan du få vist en fejl i appen, eller du kan få vist en fejl fra SQL Server. Fejl, du kan modtage, omfatter muligvis følgende meddelelser:
Hvis du vil beslutte, om du bruger en berørt app, skal du åbne den app, der opretter forbindelse til en database. Åbn en kommandolinje som administrator, skriv følgende kommando, og tryk derefter på Enter: opgaveliste /m sqlsrv32.dll Hvis kommandoen returnerer en opgave, kan appen blive påvirket. |
Du kan afhjælpe problemet ved at gøre et af følgende:
|
Sådan henter du denne opdatering
Før du installerer denne opdatering
VIGTIGT Kunder, der har købt den forlængede sikkerhedsopdatering (ESU) til lokale versioner af disse operativsystemer, skal følge fremgangsmåderne i KB4522133 for at fortsætte med at modtage sikkerhedsopdateringer, da den forlængede support ophørte den 14. januar 2020.
Du kan finde flere oplysninger om ESU, og hvilke udgaver der understøttes, under KB4497181.
Sprogpakker
Hvis du installerer en sprogpakke, når du har installeret denne opdatering, skal du geninstallere denne opdatering. Vi anbefaler derfor, at du installerer de sprogpakker, du har brug for, før du installerer denne opdatering. Du kan få mere at vide under Føj sprogpakker til Windows.
Forudsætning:
Du skal installere de opdateringer, der er anført nedenfor, og genstarte din enhed, før du installerer den seneste opdateringspakke. Hvis du installerer disse opdateringer, forbedres pålideligheden af opdateringsprocessen, og risikoen for problemer mindskes under installation af opdateringspakken og anvendelse af Microsofts sikkerhedsrettelser.
- 9. april 2019-opdateringen til behandlingsstakken (SSU) (KB4493730). Du kan få den separate pakke til denne SSU ved at søge efter den i Microsoft Update-kataloget. Denne opdatering kræves for at installere opdateringer, der kun er SHA-2 signeret.
- Den nyeste SHA-2-opdatering (KB4474419), der blev udgivet d. 8. oktober 2019. Hvis du bruger Windows Update, får du automatisk tilbudt den nyeste SHA-2-opdatering. Denne opdatering kræves for at installere opdateringer, der kun er SHA-2 signeret. Du kan finde flere oplysninger om SHA-2-opdateringer under Krav til understøttelse af 2019 SHA-2-kodesignering for Windows og WSUS.
- Extended Security Opdateringer (ESU) licensklargøringspakken (KB4538484) eller opdateringen til Extended Security Opdateringer (ESU) licensklargøringspakken (KB4575904). Du får tilbudt ESU-licensklargøringspakken fra WSUS. Hvis du vil hente den enkeltstående ESU-licensklargøringspakke, skal du søge efter den i Microsoft Update-kataloget.
Når du har installeret elementerne ovenfor, anbefaler Microsoft på det kraftigste, at du installerer den nyeste SSU (KB5016129). Hvis du bruger Windows Update og er ESU-kunde, får du automatisk tilbudt den seneste SSU. Du kan få den separate pakke til den nyeste SSU ved at søge efter den i Microsoft Update-kataloget. Generelle oplysninger om SSU'er finder du under Opdateringer til behandlingsstak og Opdateringer til behandlingsstakken (SSU): ofte stillede spørgsmål.
Installér denne opdatering
| Frigivelseskanal | Tilgængelig | Næste trin |
|---|---|---|
| Windows Update og Microsoft Update. | Ja | Ingen. Denne opdatering downloades og installeres automatisk fra Windows Update, hvis du er ESU-kunde. |
| Microsoft Update-katalog | Ja | Du kan få den separate pakke til denne opdatering ved at besøge webstedet Microsoft Update-katalog. |
| Windows Server Update Services (WSUS) | Ja | Denne opdatering synkroniseres automatisk med WSUS, hvis du konfigurerer Produkter og klassifikationer sådan: Produkt: Windows Server 2008 Service Pack 2 Klassifikation: Sikkerhedsopdateringer |
Filoplysninger
Du kan få en liste over de filer, som denne opdatering indeholder, ved at downloade filoplysningerne for opdatering KB5020019.
Referencer
Få mere at vide om den standardterminologi , der bruges til at beskrive Microsoft-softwareopdateringer.