Nota
NOTA Después del 10 de enero de 2023, Microsoft ya no proporcionará actualizaciones de seguridad ni soporte técnico para Windows 7 SP1 y Windows Server 2008 R2 SP1. Te recomendamos que actualices a una versión posterior de Windows.
Resumen
Más información sobre esta actualización de seguridad acumulativa, incluidas las mejoras, todos los problemas conocidos y cómo obtener la actualización.
Nota
- RECORDATORIO Windows 7, Windows Server 2008 R2, Windows Embedded Standard 7 y Windows Embedded POS Ready 7 han alcanzado la finalización del soporte estándar y ahora tienen soporte de actualización de seguridad extendida (ESU). Windows Thin PC ha llegado al final del soporte estándar; sin embargo, la compatibilidad con ESU no está disponible.
- A partir de julio de 2020, ya no habrá versiones no relacionadas con la seguridad (conocidas como versiones "C") opcionales para este sistema operativo. Los sistemas operativos con soporte extendido tienen solo actualizaciones de seguridad mensuales acumulativas (conocidas como la versión "B" o Update Tuesday).
- Compruebe que ha instalado las actualizaciones necesarias en la sección Cómo obtener esta actualización antes de instalarla.
- Los clientes que hayan comprado la Actualización de seguridad extendida (ESU) para las versiones locales de este SO deben seguir los procedimientos de KB4522133 para seguir recibiendo actualizaciones de seguridad después de que finalice el soporte extendido el 14 de enero de 2020. Para obtener más información sobre las ESU y qué ediciones son compatibles, consulte KB4497181.
- Dado que la ESU está disponible como SKU independiente para cada uno de los años en los que se ofrecen (2020, 2021 y 2022) y debido a que la ESU solo se puede comprar en períodos específicos de 12 meses, debe comprar el tercer año de cobertura de la ESU por separado y activar una nueva clave en cada dispositivo aplicable para sus dispositivos para seguir recibiendo actualizaciones de seguridad en 2022.
- Si tu organización no compró el tercer año de cobertura de la ESU, debes comprar los dispositivos ESU del año 1, el año 2 y el año 3 para los dispositivos Windows 7 SP1 o Windows Server 2008 R2 SP1 aplicables antes de instalar y activar las claves MAK del año 3 para recibir actualizaciones. Los pasos para instalar, activar e implementar las ESU son los mismos para la cobertura del primer, segundo y tercer año. Para obtener más información, consulta Obtener Novedades de seguridad extendida para dispositivos Windows aptos para el proceso de licencias por volumen y Compra de ESU de Windows 7 como proveedor de soluciones en la nube para el proceso de CSP. Para los dispositivos incrustados, póngase en contacto con el fabricante de equipos originales (OEM).
- Para obtener más información, consulta el blog de la ESU.
Nota
Nota Para obtener información sobre los distintos tipos de actualizaciones de Windows, como las críticas, la seguridad, los controladores, los Service Pack, etc., consulta el artículo siguiente. Para ver otras notas y mensajes de Windows 7 y Windows Server 2008 R2, consulta la siguiente página principal del historial de actualizaciones.
Mejoras
Esta actualización de seguridad acumulativa contiene mejoras que forman parte de la actualización KB5017361 (publicada el 11 de octubre de 2022) e incluye cambios clave para lo siguiente:
Corrige un problema de protección de la autenticación del modelo de objetos componentes distribuidos (DCOM) para elevar automáticamente el nivel de autenticación para todas las solicitudes de activación no anónimas de clientes DCOM. Esto se producirá si el nivel de autenticación es menor que RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.
Novedades el horario de verano (DST) para Jordania para evitar que el reloj retroceda 1 hora el 28 de octubre de 2022. Además, cambia el nombre para mostrar de la hora estándar de Jordania de "(UTC+02:00) Amman" a "(UTC+03:00) Ammán".
Se corrige un problema por el que Microsoft Azure Active Directory (AAD) Application Proxy Connector no puede recuperar un vale de Kerberos en nombre del usuario debido al siguiente error general de la API: "El controlador especificado no es válido (0x80090301)".
Se corrige un problema que provocaba que, después de instalar la actualización del 11 de enero de 2022 o posterior, el proceso de creación de Forest Trust no rellenara los sufijos de nombres DNS en los atributos de información de confianza.
Corrige vulnerabilidades de seguridad en los protocolos Kerberos y Netlogon, como se describe en CVE-2022-38023, CVE-2022-37966 y CVE-2022-37967. Para obtener instrucciones sobre la implementación, vea los artículos siguientes:
- KB5020805: Cómo administrar los cambios de protocolo Kerberos relacionados con CVE-2022-37967
- KB5021130: Cómo administrar los cambios del protocolo Netlogon relacionados con CVE-2022-38023
- KB5021131: Cómo administrar los cambios de protocolo Kerberos relacionados con CVE-2022-37966
Para obtener más información sobre las vulnerabilidades de seguridad resueltas, consulte implementaciones | Guía de actualización de seguridad y la Novedades de seguridad de noviembre de 2022.
Problemas conocidos en esta actualización
| Síntoma | Siguiente paso |
|---|---|
| Después de instalar esta actualización y reiniciar el dispositivo, es posible que recibas el error "Error al configurar las actualizaciones de Windows. Revirtiendo cambios. No apagues el equipo" y es posible que la actualización aparezca como Error en el historial de actualizaciones. | Esto se prevé en las siguientes circunstancias:
|
| Después de instalar esta actualización o una actualización de Windows posterior, es posible que las operaciones de unión a dominios no sean satisfactorias y que se produzca el error "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Además, existe texto que indica "Existe una cuenta con el mismo nombre en Active Directory. Es posible que la directiva de seguridad haya bloqueado el uso de la cuenta". Entre los escenarios afectados se incluyen algunas operaciones de unión a dominio o re-creación de imágenes en las que una cuenta de equipo se creó o preconfiguró con una identidad diferente a la que se usó para unir o volver a unir el equipo al dominio. Para obtener más información sobre este problema, vea KB5020276: Netjoin: cambios de protección de la unión a un dominio. Nota Es poco probable que las ediciones de escritorio para particulares de Windows experimenten este problema. |
Consulta KB5020276 para obtener instrucciones sobre este problema. |
Después de instalar actualizaciones de Windows publicadas a partir del 8 de noviembre de 2022 en servidores Windows que utilizan el rol de controlador de dominio, es posible que tenga problemas con la autenticación Kerberos. Este problema podría afectar a cualquier autenticación Kerberos en su entorno. Algunos escenarios que pueden verse afectados:
Nota Los eventos afectados contendrán " la clave que falta tiene un id. de 1" cadena: Mientras procesaba una solicitud AS para el servicio> de destino<, el nombre> de cuenta <no tenía una clave adecuada para generar un vale de Kerberos (la clave que falta tiene un id. de 1). Los etipos solicitados : 18 3. Los tipos de cuentas disponibles: 23 18 17. Cambiar o restablecer la contraseña del nombre> de <cuenta generará una clave adecuada. Nota Este problema no es una parte del refuerzo de seguridad para Netlogon y Kerberos a partir de la actualización de seguridad de noviembre de 2022. Seguirá teniendo que seguir las instrucciones de estos artículos incluso después de resolver este problema. Los dispositivos Windows que los consumidores utilizan en casa o los dispositivos que no forman parte de un dominio local no se ven afectados por este problema. Los entornos de Azure Active Directory que no son híbridos y no tienen servidores de Active Directory locales no se ven afectados. |
Este problema se soluciona en la KB5021651 de actualización. |
| Después de instalar esta actualización o una actualización posterior en un controlador de dominio (DC), es posible que experimente una pérdida de memoria con el servicio de subsistema de autoridad de seguridad local (LSASS,exe). Según la carga de trabajo del controlador de dominio y la cantidad de tiempo desde el último reinicio del servidor, LSASS podría aumentar continuamente el uso de memoria con el tiempo de actividad del servidor y el servidor podría dejar de responder o reiniciarse automáticamente. Nota Las actualizaciones fuera de banda para los equipos de distribución publicadas el 17 de noviembre de 2022 y el 18 de noviembre de 2022 pueden verse afectadas por este problema. |
Para mitigar este problema, abra un símbolo del sistema como administrador y use el siguiente comando para establecer la clave del Registro KrbtgtFullPacSignature en 0: reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD Nota Después de resolver este problema conocido, debe establecer KrbtgtFullPacSignature en una configuración más alta, dependiendo de lo que permita su entorno. Le recomendamos que habilite el modo de obligatoriedad tan pronto como el entorno esté listo. Para obtener más información sobre esta clave del Registro, consulte KB5020805: Cómo administrar los cambios del protocolo Kerberos relacionados con CVE-2022-37967. Estamos trabajando en una resolución y proporcionaremos una actualización en una próxima versión. |
Después de instalar esta actualización, es posible que las aplicaciones que usan conexiones ODBC a través de Microsoft ODBC SQL Server Driver (sqlsrv32.dll) para acceder a bases de datos no se conecten. Además, es posible que reciba un error en la aplicación o que reciba un error de SQL Server. Entre los errores que puede recibir se incluyen los siguientes mensajes:
Para decidir si usa una aplicación afectada, abra la aplicación que se conecta a una base de datos. Abra una ventana del símbolo del sistema, escriba el siguiente comando y presione Entrar: lista de tareas /m sqlsrv32.dll Si el comando devuelve una tarea, es posible que la aplicación se vea afectada. |
Para mitigar este problema, puede realizar una de las siguientes acciones:
|
Cómo obtener esta actualización
Antes de instalar esta actualización
IMPORTANTE Los clientes que hayan comprado la Actualización de seguridad extendida (ESU) para las versiones locales de estos sistemas operativos deben seguir los procedimientos de KB4522133 para seguir recibiendo actualizaciones de seguridad. El soporte extendido terminó de la siguiente manera:
- Para Windows 7 Service Pack 1 y Windows Server 2008 R2 Service Pack 1, el soporte extendido finaliza el 14 de enero de 2020.
- Para Windows Embedded Standard 7, el soporte extendido finalizó el 13 de octubre de 2020.
- Para Windows Embedded POS Ready 7, el soporte extendido finalizó el 12 de octubre de 2021.
- Para Windows Thin PC, el soporte extendido finalizó el 12 de octubre de 2021. Ten en cuenta que la compatibilidad con ESU no está disponible para Windows Thin PC.
Para obtener más información sobre las ESU y qué ediciones son compatibles, consulte KB4497181.
Nota Para Windows Embedded Standard 7, Instrumental de administración de Windows (WMI) debe estar habilitado para obtener actualizaciones desde Windows Update o Windows Server Update Services.
Paquetes de idiomas
Si se instala un paquete de idioma después de esta actualización, habrá que volver a instalar la actualización. Por tanto, se recomienda instalar los paquetes de idioma necesarios antes de instalar esta actualización. Para obtener más información, consulte Agregar paquetes de idioma a Windows.
Requisito previo
Debe instalar las actualizaciones que se indican a continuación y reiniciar el dispositivo antes de instalar la actualización acumulativa más reciente. Instalar estas actualizaciones mejora la confiabilidad del proceso de actualización y mitiga posibles problemas a la hora de instalar el paquete acumulativo y de aplicar las correcciones de seguridad de Microsoft.
- Actualización del 12 de marzo de 2019 de la pila de servicio (SSU) (KB4490628). Para conseguir el paquete independiente de esta SSU, búsquelo en el Catálogo de Microsoft Update. Esta actualización es necesaria para instalar actualizaciones que solo están firmadas con SHA-2.
- La actualización SHA-2 más reciente (KB4474419) se publicó el 10 de septiembre de 2019. Si usa Windows Update, le ofreceremos automáticamente la actualización SHA-2 más reciente. Esta actualización es necesaria para instalar actualizaciones que solo están firmadas con SHA-2. Para obtener más información sobre las actualizaciones SHA-2, consulte Requisito de soporte técnico para la firma de código SHA-2 2019 para Windows y WSUS.
- Para obtener esta actualización de seguridad, debe volver a instalar el "Paquete de preparación de licencias de Actualizaciones de seguridad extendida (ESU)" (KB4538483) o la "Actualización del Paquete de preparación de licencias de Actualizaciones de seguridad extendida (ESU)" (KB4575903) incluso si instaló previamente la clave ESU. Este paquete se ofrecerá desde WSUS. Para conseguir el paquete independiente del paquete de preparación de licencias para ESU, búsquelo en el Catálogo de Microsoft Update.
Después de instalar los elementos anteriores, te recomendamos encarecidamente que instales la SSU más reciente (KB5017397). Si está utilizando Windows Update, le ofreceremos automáticamente la SSU más reciente si es usted cliente de las ESU. Para conseguir el paquete independiente de la SSU más reciente, búsquelo en el Catálogo de Microsoft Update. Para obtener información general sobre las SSU, consulte Actualizaciones de la pila de servicios y Actualizaciones de la pila de servicios (SSU): preguntas más frecuentes.
Instalar esta actualización
| Canal de publicación | Disponible | Siguiente paso |
|---|---|---|
| Windows Update y Microsoft Update | Sí | Ninguno. Esta actualización se descargará e instalará automáticamente desde Windows Update si es cliente de ESU. |
| Catálogo de Microsoft Update | Sí | Para obtener el paquete independiente de esta actualización, vaya al sitio web del Catálogo de Microsoft Update. |
| Windows Server Update Services (WSUS) | Sí | Esta actualización se sincronizará automáticamente con WSUS si configura Productos y clasificaciones del modo siguiente: Producto: Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1, Windows Embedded Standard 7 Service Pack 1, Windows Embedded POSReady 7 Clasificación: actualizaciones de seguridad |
Información de archivo
Para obtener una lista de los archivos que se proporcionan en esta actualización, descargue la información del archivo para KB5020000 de actualización.
Referencias
Obtenga información sobre la terminología estándar que se usa para describir las actualizaciones de software de Microsoft.