8. November 2022 – KB5020019 (monatliches Rollup)

Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Mehr...Weniger

Veröffentlichungsdatum:

08.11.2022

Version:

Monatlicher Rollup

Zusammenfassung

Erfahren Sie mehr über dieses kumulative Sicherheitsupdate, einschließlich Verbesserungen, bekannter Probleme und wie Sie das Update erhalten.

ERINNERUNGWindows Server 2008 Service Pack 2 (SP2) hat das Ende des allgemeinen Supports erreicht und befindet sich nun im erweiterten Support. Ab Juli 2020 gibt es für dieses Betriebssystem keine optionalen, nicht sicherheitsrelevanten Releases (sogenannte "C"-Releases). Betriebssysteme mit erweitertem Support verfügen nur über kumulative monatliche Sicherheitsupdates (bekannt als „B“ oder Update Tuesday Release).

Vergewissern Sie sich, dass Sie die erforderlichen Updates im Abschnitt Abrufen dieses Updates installiert haben, bevor Sie dieses Update installieren.

Kunden, die das erweiterte Sicherheitsupdate (ESU) für lokale Versionen dieses Betriebssystems erworben haben, müssen die Verfahren in KB4522133 befolgen, um weiterhin Sicherheitsupdates zu erhalten, nachdem der erweiterte Support am 14. Januar 2020 ausgelaufen ist. Weitere Informationen zu ESU und zu den unterstützten Editionen finden Sie unter KB4497181.

Da ESU als separate SKU für jedes der Jahre verfügbar ist, in denen sie angeboten werden (2020, 2021 und 2022) und DA ESU nur in bestimmten 12-Monats-Zeiträumen erworben werden kann, müssen Sie das dritte Jahr der ESU-Abdeckung separat erwerben und einen neuen Schlüssel auf jedem anwendbaren Gerät aktivieren, damit Ihre Geräte weiterhin Sicherheitsupdates im Jahr 2022 erhalten.

Wenn Ihre Organisation nicht das dritte Jahr der ESU-Abdeckung erworben hat, müssen Sie year 1, Year 2 und Year 3 ESU für Ihre entsprechenden Windows Server 2008 SP2-Geräte erwerben, bevor Sie die MAK-Schlüssel für Jahr 3 installieren und aktivieren, um Updates zu erhalten. Die Schritte zum Installieren, Aktivieren und Bereitstellen von ESUs sind für das erste, zweite und dritte Jahr identisch. Weitere Informationen finden Sie unter Abrufen von erweiterten Sicherheits-Aktualisierungen für berechtigte Windows-Geräte für den Volumenlizenzierungsprozess und Erwerben von Windows 7 ESUs als Cloud Solution Provider für den CSP-Prozess. Wenden Sie sich bei eingebetteten Geräten an den Originalgerätehersteller (OEM).

Weitere Informationen finden Sie im ESU-Blog.

Hinweis Informationen zu den verschiedenen Arten von Windows-Updates, z. B. kritisch, Sicherheit, Treiber, Service Packs usw. finden Sie im folgenden Artikel. Weitere Notizen und Meldungen für Windows Server 2008 SP2 finden Sie auf der folgenden Homepage des Updateverlaufs.

Verbesserungen

Dieses kumulative Sicherheitsupdate enthält Verbesserungen, die Teil des Updates KB5017358 (veröffentlicht am 11. Oktober 2022) sind, und enthält wichtige Änderungen für folgendes:

Behebt ein DCOM-Authentifizierungshärtungsproblem (Distributed Component Object Model) zum automatischen Erhöhen der Authentifizierungsebene für alle nicht anonymen Aktivierungsanforderungen von DCOM-Clients. Dies tritt auf, wenn die Authentifizierungsebene kleiner als RPC_C_AUTHN_LEVEL_PKT_INTEGRITY ist.
Aktualisierungen die Sommerzeit (DST) für Jordanien, um zu verhindern, dass die Uhr am 28. Oktober 2022 um eine Stunde zurück verschoben wird. Ändert außerdem den Anzeigenamen der Jordan-Standardzeit von "(UTC+02:00) Amman" in "(UTC+03:00) Amman".
Behebt ein Problem, bei dem Microsoft Azure Active Directory (AAD) Anwendungsproxy Connector aufgrund des folgenden allgemeinen API-Fehlers kein Kerberos-Ticket im Namen des Benutzers abrufen kann: "Das angegebene Handle ist ungültig (0x80090301)."
Behebt ein Problem, bei dem nach der Installation des Updates vom 11. Januar 2022 oder höher beim Erstellen der Gesamtstrukturvertrauensstellung die DNS-Namenssuffixe nicht in die Vertrauensinformationsattribute aufgefüllt werden.
Behebt Sicherheitsrisiken in den Kerberos- und Netlogon-Protokollen, wie in CVE-2022-38023, CVE-2022-37966 und CVE-2022-37967 beschrieben. Anleitungen zur Bereitstellung finden Sie in den folgenden Artikeln:
Weitere Informationen zu den behobenen Sicherheitsrisiken finden Sie unter Bereitstellungen | Leitfaden für Sicherheitsupdates und die sicherheitsrelevante Aktualisierungen vom November 2022.

Weitere Informationen zu den behobenen Sicherheitsrisiken finden Sie unter Bereitstellungen | Leitfaden für Sicherheitsupdates und die sicherheitsrelevante Aktualisierungen vom November 2022.

Bekannte Probleme in diesem Update

Problembeschreibung

Nächster Schritt

Nach der Installation dieses Updates und dem Neustart des Geräts wird möglicherweise folgende sinngemäße Fehlermeldung angezeigt: „Fehler beim Konfigurieren von Windows-Updates. Änderungen werden rückgängig gemacht. Schalten Sie Ihren Computer nicht aus“. Und das Update wird möglicherweise im Updateverlauf als Fehlgeschlagen angezeigt.

Dies wird unter den folgenden Umständen erwartet:

Wenn Sie dieses Update auf einem Gerät installieren, auf dem eine Edition ausgeführt wird, die für ESU nicht unterstützt wird. Eine vollständige Liste der unterstützten Editionen finden Sie unter KB4497181.
Wenn Sie keinen ESU MAK-Add-On-Schlüssel installiert und aktiviert haben.

Wenn Sie einen ESU-Schlüssel erworben haben und dieses Problem aufgetreten ist, sollten Sie überprüfen, ob Sie alle Voraussetzungen erfüllt haben und ob Ihr Schlüssel aktiviert ist. Informationen zur Aktivierung finden Sie in diesem Blogbeitrag. Informationen zu den Voraussetzungen finden Sie im Abschnitt „Beziehen dieses Updates“ in diesem Artikel.

Nachdem dieses Update oder ein späteres Windows-Update installiert wurde, sind Domänenbeitrittsvorgänge möglicherweise nicht erfolgreich, und der Fehler "0xaac (2732): NERR_AccountReuseBlockedByPolicy" tritt auf. Darüber hinaus ist der Text "Ein Konto mit demselben Namen ist in Active Directory vorhanden. Die erneute Verwendung des Kontos wurde durch die Sicherheitsrichtlinie blockiert" wird möglicherweise angezeigt.

Zu den betroffenen Szenarien gehören einige Domänenbeitritts- oder Neuerstellungsvorgänge, bei denen ein Computerkonto von einer anderen Identität als der Identität erstellt oder vorab bereitgestellt wurde, die für den Beitritt oder den erneuten Beitritt des Computers zur Domäne verwendet wird.

Weitere Informationen zu diesem Problem finden Sie unter KB5020276 – Netjoin: Änderungen an der Domänenbeitrittshärtung.

Hinweis Es ist unwahrscheinlich, dass dieses Problem bei Consumerdesktopeditionen von Windows aufgetreten ist.

Anleitungen zu diesem Problem finden Sie unter KB5020276 .

Nach der Installation von Windows-Updates, die am oder nach dem 8. November 2022 auf Windows-Servern veröffentlicht wurden, die die Domänencontrollerrolle verwenden, treten möglicherweise Probleme mit der Kerberos-Authentifizierung auf. Dieses Problem kann sich auf jede Kerberos-Authentifizierung in Ihrer Umgebung auswirken. Einige Szenarien, die möglicherweise betroffen sind:

Bei der Domänenbenutzeranmeldung kann ein Fehler auftreten. Dies kann sich auch auf die Authentifizierung Active Directory-Verbunddienste (AD FS) (AD FS) auswirken.
Gruppenverwaltete Dienstkonten (Group Managed Service Accounts, gMSA), die für Dienste wie Internetinformationsdienste (IIS-Webserver) verwendet werden, können möglicherweise nicht authentifiziert werden.
Remotedesktopverbindungen, die Domänenbenutzer verwenden, können möglicherweise keine Verbindung herstellen.
Möglicherweise können Sie nicht auf freigegebene Ordner auf Arbeitsstationen und Dateifreigaben auf Servern zugreifen.
Beim Drucken, bei dem die Domänenbenutzerauthentifizierung erforderlich ist, kann ein Fehler auftreten.

Wenn dieses Problem auftritt, erhalten Sie möglicherweise ein Microsoft-Windows-Kerberos-Key-Distribution-Center-Ereignis-ID 4-Fehlerereignis im Abschnitt System des Ereignisprotokolls auf Ihrem Domänencontroller mit dem folgenden Text.

Hinweis Betroffene Ereignisse enthalten die Zeichenfolge "Der fehlende Schlüssel hat die ID 1":

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

Hinweis Dieses Problem ist kein erwarteter Teil der Sicherheitshärtung für Netlogon und Kerberos ab Dem Sicherheitsupdate vom November 2022. Sie müssen die Anleitungen in diesen Artikeln auch dann befolgen, wenn dieses Problem behoben wurde.

Windows-Geräte, die von Consumern oder Geräten verwendet werden, die nicht Teil einer lokalen Domäne sind, sind von diesem Problem nicht betroffen. Azure Active Directory-Umgebungen, die nicht hybrid sind und keine lokales Active Directory Server aufweisen, sind nicht betroffen.

Dieses Problem wurde in Update KB5021657 behoben.

Nach der Installation dieses Updates oder eines späteren Updates auf einem Domänencontroller (DC) kann es beim Lokalen Sicherheitsautoritätssubsystemdienst (LSASS,exe) zu einem Speicherverlust kommen. Abhängig von der Workload Ihres Domänencontrollers und der Zeitspanne seit dem letzten Neustart des Servers kann LSASS die Arbeitsspeicherauslastung mit der Betriebszeit des Servers kontinuierlich erhöhen, und der Server reagiert möglicherweise nicht mehr oder startet automatisch neu.

Hinweis Die Out-of-Band-Updates für DCs, die am 17. November 2022 und am 18. November 2022 veröffentlicht wurden, sind möglicherweise von diesem Problem betroffen.

Um dieses Problem zu beheben, öffnen Sie eine Eingabeaufforderung als Administrator, und verwenden Sie den folgenden Befehl, um den Registrierungsschlüssel KrbtgtFullPacSignature auf 0 festzulegen:

reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

Hinweis Nachdem dieses bekannte Problem behoben wurde, sollten Sie KrbtgtFullPacSignature auf eine höhere Einstellung festlegen, je nachdem, was Ihre Umgebung zulässt. Es wird empfohlen, den Erzwingungsmodus zu aktivieren, sobald Ihre Umgebung bereit ist.

Weitere Informationen zu diesem Registrierungsschlüssel finden Sie unter KB5020805: Verwalten von Kerberos-Protokolländerungen im Zusammenhang mit CVE-2022-37967.

Wir arbeiten an einer Lösung und werden in einer zukünftigen Veröffentlichung ein Update bereitstellen.

Nach der Installation dieses Updates stellen Apps, die ODBC-Verbindungen über Microsoft ODBC SQL Server Driver (sqlsrv32.dll) verwenden, möglicherweise keine Verbindung mehr her. Darüber hinaus erhalten Sie möglicherweise einen Fehler in der App, oder Sie erhalten einen Fehler vom SQL Server. Zu den Fehlern, die Sie möglicherweise erhalten, gehören die folgenden Meldungen:

Beim EMS-System ist ein Problem aufgetreten.
Meldung: [Microsoft][ODBC SQL Server Driver] Protokollfehler im TDS-Stream.
Beim EMS-System ist ein Problem aufgetreten.
Meldung: [Microsoft][ODBC SQL Server Driver] Unbekanntes Token, das von SQL Server empfangen wurde.

Hinweis für Entwickler: Apps, die von diesem Problem betroffen sind, können möglicherweise keine Daten abrufen, z. B. bei Verwendung der SQLFetch-Funktion. Dieses Problem kann auftreten, wenn die SQLBindCol-Funktion vor SQLFetch oder die SQLGetData-Funktion nach SQLFetch aufgerufen wird und wenn für das BufferLength-Argument ein Wert von 0 (null) für feste Datentypen angegeben wird, die größer als 4 Byte sind (z. B. SQL_C_FLOAT).

Um zu entscheiden, ob Sie eine betroffene App verwenden, öffnen Sie die App, die eine Verbindung mit einer Datenbank herstellt. Öffnen Sie ein Eingabeaufforderungsfenster, geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

tasklist /m sqlsrv32.dll

Wenn der Befehl eine Aufgabe zurückgibt, kann die App betroffen sein.

Um dieses Problem zu beheben, können Sie eine der folgenden Aktionen ausführen:

Wenn Ihre App bereits den Datenquellennamen (Data Source Name, DSN) zum Auswählen von ODBC-Verbindungen verwendet oder verwenden kann, installieren Sie Microsoft ODBC Driver 17 for SQL Server, und wählen Sie ihn für die Verwendung mit Ihrer App mithilfe von DSN aus.

Hinweis: Wir empfehlen die neueste Version von Microsoft ODBC Driver 17 für SQL Server, da er mit Apps kompatibel ist, die derzeit den älteren Microsoft ODBC SQL Server Driver (sqlsrv32.dll) verwenden, als Microsoft ODBC Driver 18 for SQL Server.
Wenn Ihre App DSN nicht verwenden kann, muss die App geändert werden, um dsN zuzulassen oder einen neueren ODBC-Treiber als Microsoft ODBC SQL Server Driver (sqlsrv32.dll) zu verwenden.

Dieses Problem wurde in KB5022340 behoben. Wenn Sie die oben genannte Problemumgehung implementiert haben, wird empfohlen, die Konfiguration weiterhin in der Problemumgehung zu verwenden.

So erhalten Sie dieses Update

Vor der Installation dieses Updates

WICHTIG Kunden, die das erweiterte Sicherheitsupdate (ESU) für lokale Versionen dieser Betriebssysteme erworben haben, müssen die Verfahren in KB4522133 befolgen, um weiterhin Sicherheitsupdates zu erhalten, da der erweiterte Support am 14. Januar 2020 eingestellt wurde.

Weitere Informationen zu ESU und zu den unterstützten Editionen finden Sie unter KB4497181.

Sprachpakete

Wenn Sie nach der Installation dieses Updates ein Language Pack installieren, müssen Sie dieses Update erneut installieren. Daher wird empfohlen, alle benötigen Language Packs vor diesem Update zu installieren. Weitere Informationen finden Sie unter Hinzufügen von Sprachpaketen zu Windows.

Voraussetzung:

Sie müssen die nachfolgend aufgelisteten Updates installieren und Ihr Gerät neu starten, bevor Sie den neuesten Rollup installieren. Durch die Installation dieser Updates wird die Zuverlässigkeit des Update-Prozesses verbessert und potenzielle Probleme bei der Installation des Rollups und der Anwendung von Microsoft-Sicherheits-Fixes werden reduziert.

Das Wartungsstapelupdate (SSU) vom 9. April 2019 (KB4493730). Um das eigenständige Paket für diese SSU zu erhalten, suchen Sie im Microsoft Update-Katalog danach. Dieses Update ist erforderlich, um Updates zu installieren, die nur SHA-2-signiert sind.
Das neueste SHA-2-Update (KB4474419) wurde am 8. Oktober 2019 veröffentlicht. Wenn Sie Windows Update verwenden, wird Ihnen das neueste SHA-2-Update automatisch angeboten. Dieses Update ist erforderlich, um Updates zu installieren, die nur SHA-2-signiert sind. Weitere Informationen zu SHA-2-Updates finden Sie unter 2019 Sha-2-Codesignierungsunterstützung für Windows und WSUS.
Das ESU-Lizenzierungsvorbereitungspaket (Extended Security Aktualisierungen) (KB4538484) oder das Update für das Aktualisierungen ESU-Lizenzierungsvorbereitungspaket (KB4575904). Das ESU-Lizenzierungsvorbereitungspaket wird Ihnen von WSUS angeboten. Das eigenständige ESU-Lizenzierungsvorbereitungspaket finden Sie im Microsoft Update-Katalog.

Nach der Installation der oben genannten Elemente empfiehlt Microsoft dringend, dass Sie die neueste SSU (KB5016129) installieren. Wenn Sie Windows Update verwenden, wird Ihnen das neueste SSU automatisch angeboten, falls Sie ein ESU-Kunde sind. Um das eigenständige Paket für die neueste SSU zu erhalten, suchen Sie im Microsoft Update-Katalog danach. Allgemeine Informationen zu SSUs finden Sie unter Wartungsstapelupdates und Servicing Stack Aktualisierungen (SSU): Häufig gestellte Fragen.

Dieses Update installieren

Veröffentlichungskanal	Verfügbar	Nächster Schritt
Windows Update und Microsoft Update	Ja	Keiner. Dieses Update wird von Windows Update automatisch heruntergeladen und installiert, sofern Sie ESU-Kunde sind.
Microsoft Update-Katalog	Ja	Um das eigenständige Paket für dieses Update zu erhalten, wechseln Sie zur Website des Microsoft Update-Katalogs.
Windows Server Update Services (WSUS)	Ja	Dieses Update wird automatisch mit WSUS synchronisiert, wenn Sie Produkte und Klassifizierungen wie folgt konfigurieren: Produkt: Windows Server 2008 Service Pack 2 Klassifizierung: Sicherheitsupdates