8. November 2022 – KB5020003 (Sicherheitsupdate)
Applies To
Windows Server 2012 Windows Embedded 8 StandardVeröffentlichungsdatum:
08.11.2022
Version:
Reines Sicherheitsupdate
Zusammenfassung
Erfahren Sie mehr über dieses reine Sicherheitsupdate, einschließlich Verbesserungen, bekannter Probleme und wie Sie das Update erhalten.
REMINDER Windows Server 2012 hat das Ende des mainstream-Supports erreicht und befindet sich jetzt im erweiterten Support. Ab Juli 2020 wird es für dieses Betriebssystem keine optionalen Releases („C“ oder „D“) mehr geben. Betriebssysteme mit erweitertem Support verfügen nur über kumulative monatliche Sicherheitsupdates (bekannt als „B“ oder Update Tuesday Release).
Vergewissern Sie sich, dass die im Abschnitt Beziehen dieses Updates aufgelisteten erforderlichen Updates installiert sind, bevor Sie dieses Update installieren.
Hinweis Informationen zu den verschiedenen Arten von Windows-Updates, z. B. kritisch, Sicherheit, Treiber, Service Packs usw. finden Sie im folgenden Artikel. Weitere Notizen und Nachrichten finden Sie auf der Startseite des Windows Server 2012 Updateverlaufs.
Verbesserungen
Dieses Sicherheitsupdate enthält wichtige Änderungen für Folgendes:
-
Aktualisierungen die Sommerzeit (DST) für Jordanien, um zu verhindern, dass die Uhr am 28. Oktober 2022 um eine Stunde zurück verschoben wird. Ändert außerdem den Anzeigenamen der Jordan-Standardzeit von "(UTC+02:00) Amman" in "(UTC+03:00) Amman".
-
Behebt ein Problem, bei dem nach der Installation des Updates vom 11. Januar 2022 oder höher beim Erstellen der Gesamtstrukturvertrauensstellung die DNS-Namenssuffixe nicht in die Vertrauensinformationsattribute aufgefüllt werden.
-
Behebt Sicherheitsrisiken in den Kerberos- und Netlogon-Protokollen, wie in CVE-2022-38023, CVE-2022-37966 und CVE-2022-37967 beschrieben. Anleitungen zur Bereitstellung finden Sie in den folgenden Artikeln:
-
KB5020805: Verwalten der Kerberos-Protokolländerungen im Zusammenhang mit CVE-2022-37967
-
KB5021130: Verwalten der Änderungen des Netlogon-Protokolls im Zusammenhang mit CVE-2022-38023
-
KB5021131: Verwalten der Kerberos-Protokolländerungen im Zusammenhang mit CVE-2022-37966
Weitere Informationen zu den behobenen Sicherheitsrisiken finden Sie unter Bereitstellungen | Leitfaden für Sicherheitsupdates und die sicherheitsrelevante Aktualisierungen vom November 2022.
-
Weitere Informationen zu den behobenen Sicherheitsrisiken finden Sie unter Bereitstellungen | Leitfaden für Sicherheitsupdates und die sicherheitsrelevante Aktualisierungen vom November 2022.
Bekannte Probleme in diesem Update
Problembeschreibung |
Nächster Schritt |
Nachdem dieses Update oder ein späteres Windows-Update installiert wurde, sind Domänenbeitrittsvorgänge möglicherweise nicht erfolgreich, und der Fehler "0xaac (2732): NERR_AccountReuseBlockedByPolicy" tritt auf. Darüber hinaus ist der Text "Ein Konto mit demselben Namen ist in Active Directory vorhanden. Die erneute Verwendung des Kontos wurde durch die Sicherheitsrichtlinie blockiert" wird möglicherweise angezeigt. Zu den betroffenen Szenarien gehören einige Domänenbeitritts- oder Neuerstellungsvorgänge, bei denen ein Computerkonto von einer anderen Identität als der Identität erstellt oder vorab bereitgestellt wurde, die für den Beitritt oder den erneuten Beitritt des Computers zur Domäne verwendet wird. Weitere Informationen zu diesem Problem finden Sie unter KB5020276 – Netjoin: Änderungen an der Domänenbeitrittshärtung. Hinweis Es ist unwahrscheinlich, dass dieses Problem bei Consumerdesktopeditionen von Windows aufgetreten ist. |
Anleitungen zu diesem Problem finden Sie unter KB5020276 . |
Nach der Installation von Windows-Updates, die am oder nach dem 8. November 2022 auf Windows-Servern veröffentlicht wurden, die die Domänencontrollerrolle verwenden, treten möglicherweise Probleme mit der Kerberos-Authentifizierung auf. Dieses Problem kann sich auf jede Kerberos-Authentifizierung in Ihrer Umgebung auswirken. Einige Szenarien, die möglicherweise betroffen sind:
Wenn dieses Problem auftritt, erhalten Sie möglicherweise ein Microsoft-Windows-Kerberos-Key-Distribution-Center-Ereignis-ID 4-Fehlerereignis im Abschnitt System des Ereignisprotokolls auf Ihrem Domänencontroller mit dem folgenden Text. Hinweis Betroffene Ereignisse enthalten die Zeichenfolge "Der fehlende Schlüssel hat die ID 1":
Hinweis Dieses Problem ist kein erwarteter Teil der Sicherheitshärtung für Netlogon und Kerberos ab Dem Sicherheitsupdate vom November 2022. Sie müssen die Anleitungen in diesen Artikeln auch dann befolgen, wenn dieses Problem behoben wurde. Windows-Geräte, die von Consumern oder Geräten verwendet werden, die nicht Teil einer lokalen Domäne sind, sind von diesem Problem nicht betroffen. Azure Active Directory-Umgebungen, die nicht hybrid sind und keine lokales Active Directory Server aufweisen, sind nicht betroffen. |
Dieses Problem wurde in Update KB5021652 behoben. |
Nach der Installation dieses Updates oder eines späteren Updates auf einem Domänencontroller (DC) kann es beim Lokalen Sicherheitsautoritätssubsystemdienst (LSASS,exe) zu einem Speicherverlust kommen. Abhängig von der Workload Ihres Domänencontrollers und der Zeitspanne seit dem letzten Neustart des Servers kann LSASS die Arbeitsspeicherauslastung mit der Betriebszeit des Servers kontinuierlich erhöhen, und der Server reagiert möglicherweise nicht mehr oder startet automatisch neu. Hinweis Die Out-of-Band-Updates für DCs, die am 17. November 2022 und am 18. November 2022 veröffentlicht wurden, sind möglicherweise von diesem Problem betroffen. |
Um dieses Problem zu beheben, öffnen Sie eine Eingabeaufforderung als Administrator, und verwenden Sie den folgenden Befehl, um den Registrierungsschlüssel KrbtgtFullPacSignature auf 0 festzulegen:
Hinweis Nachdem dieses bekannte Problem behoben wurde, sollten Sie KrbtgtFullPacSignature auf eine höhere Einstellung festlegen, je nachdem, was Ihre Umgebung zulässt. Es wird empfohlen, den Erzwingungsmodus zu aktivieren, sobald Ihre Umgebung bereit ist. Weitere Informationen zu diesem Registrierungsschlüssel finden Sie unter KB5020805: Verwalten von Kerberos-Protokolländerungen im Zusammenhang mit CVE-2022-37967. Wir arbeiten an einer Lösung und werden in einer zukünftigen Veröffentlichung ein Update bereitstellen. |
Nach der Installation dieses Updates stellen Apps, die ODBC-Verbindungen über Microsoft ODBC SQL Server Driver (sqlsrv32.dll) verwenden, möglicherweise keine Verbindung mehr her. Darüber hinaus erhalten Sie möglicherweise einen Fehler in der App, oder Sie erhalten einen Fehler vom SQL Server. Zu den Fehlern, die Sie möglicherweise erhalten, gehören die folgenden Meldungen:
Hinweis für Entwickler: Apps, die von diesem Problem betroffen sind, können möglicherweise keine Daten abrufen, z. B. bei Verwendung der SQLFetch-Funktion. Dieses Problem kann auftreten, wenn die SQLBindCol-Funktion vor SQLFetch oder die SQLGetData-Funktion nach SQLFetch aufgerufen wird und wenn für das BufferLength-Argument ein Wert von 0 (null) für feste Datentypen angegeben wird, die größer als 4 Byte sind (z. B. SQL_C_FLOAT). Um zu entscheiden, ob Sie eine betroffene App verwenden, öffnen Sie die App, die eine Verbindung mit einer Datenbank herstellt. Öffnen Sie ein Eingabeaufforderungsfenster, geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
Wenn der Befehl eine Aufgabe zurückgibt, kann die App betroffen sein. |
Um dieses Problem zu beheben, können Sie eine der folgenden Aktionen ausführen:
Dieses Problem wurde in KB5022343 behoben. Wenn Sie die oben genannte Problemumgehung implementiert haben, wird empfohlen, die Konfiguration weiterhin in der Problemumgehung zu verwenden. |
So erhalten Sie dieses Update
Vor der Installation dieses Updates
Microsoft empfiehlt dringend, das neueste SSU (Servicing Stack Update) für Ihr Betriebssystem vor dem neuesten Rollup zu installieren. SSUs verbessern die Zuverlässigkeit des Updatevorgangs. Dadurch wird das Risiko potenzieller Probleme beim Installieren des Rollups und beim Anwenden von Microsoft-Sicherheitsfixes reduziert. Allgemeine Informationen zu SSUs finden Sie unter Wartungsstapelupdates und Servicing Stack Aktualisierungen (SSU): Häufig gestellte Fragen.
Wenn Sie Windows Update verwenden, wird Ihnen automatisch die neueste SSU (KB5016263) angeboten. Um das eigenständige Paket für die neueste SSU zu erhalten, suchen Sie im Microsoft Update-Katalog danach.
ERINNERUNG Wenn Sie nur Sicherheitsupdates verwenden, müssen Sie auch alle vorherigen Sicherheitsupdates und das neueste kumulative Update für Internet Explorer (KB5019958) installieren.
Sprachpakete
Wenn Sie nach der Installation dieses Updates ein Language Pack installieren, müssen Sie dieses Update erneut installieren. Daher wird empfohlen, alle benötigen Language Packs vor diesem Update zu installieren. Weitere Informationen finden Sie unter Hinzufügen von Sprachpaketen zu Windows.
Dieses Update installieren
Veröffentlichungskanal |
Verfügbar |
Nächster Schritt |
Windows Update und Microsoft Update |
Nein |
Siehe die sonstigen Optionen weiter unten. |
Microsoft Update-Katalog |
Ja |
Um das eigenständige Paket für dieses Update zu erhalten, wechseln Sie zur Website des Microsoft Update-Katalogs. |
Windows Server Update Services (WSUS) |
Ja |
Dieses Update wird automatisch mit WSUS synchronisiert, wenn Sie Produkte und Klassifizierungen wie folgt konfigurieren: Produkt: Windows Server 2012, Windows Embedded 8 Standard Klassifizierung: Sicherheitsupdate |
Dateiinformationen
Laden Sie die Dateiinformationen für Update KB5020003 herunter, um eine Liste der dateien zu erhalten, die in diesem Update bereitgestellt werden.
References
Erfahren Sie mehr über die Standardterminologie, die zum Beschreiben von Microsoft-Softwareupdates verwendet wird.