Yhteenveto
Lue lisätietoja tästä kumulatiivisesta suojauspäivityksestä, kuten tietoja parannuksista ja tunnetuista ongelmista sekä päivityksen hankkimisesta.
Huomautus
- MUISTUTUS Windows Server 2008 Service Pack 2 (SP2) on saavuttanut Mainstream-tukijakson loppuun, ja sille on nyt myönnetty Extended-tuki. Heinäkuusta 2020 alkaen tälle käyttöjärjestelmälle ei enää julkaista valinnaisia, muita kuin tietoturvaan liittyviä julkaisuja. Extended-tuen piiriin kuuluvat käyttöjärjestelmät sisältävät vain kumulatiivisia kuukausittaisia suojauspäivityksiä (tunnetaan nimellä "B" tai Update Tuesday -julkaisu).
- Varmista ennen tämän päivityksen asentamista Päivityksen hankkiminen -kohdasta, että olet asentanut tarvittavat päivitykset.
- Niiden asiakkaiden, jotka ovat ostaneet laajennetun suojauspäivityksen (ESU) käyttöjärjestelmien paikallisia versioita varten, on noudatettava artikkelin KB4522133 toimenpiteitä, jotta suojauspäivitysten vastaanottamista jatketaan sen jälkeen, kun laajennettu tuki päättyi 14.1.2020. Lisätietoja ESU:sta ja tuettavista versioista on KB4497181.
- Koska laajennetut suojauspäivitykset ovat saatavilla erillisenä SKU:na jokaisena tarjottavana vuonna (2020, 2021 ja 2022) – ja koska laajennettuja suojauspäivityksiä voi ostaa vain tiettyinä 12 kuukauden jaksoina – sinun on ostettava laajennetun suojauspäivityksen kolmas vuosi erikseen ja aktivoitava uusi avain kussakin sovellettavassa laitteessa, jotta laitteesi saavat suojauspäivitykset vuonna 2022.
- Jos organisaatiosi ei ole ostanut laajennetun suojauspäivityksen kolmantena vuotena, sinun on ostettava vuosien 1, 2 ja 3 laajennetut suojauspäivitykset soveltuville Windows Server 2008 SP2 -laitteille, ennen kuin asennat ja aktivoit vuoden 3 moniasennustunnuksen avainten päivityksiä varten. Laajennettujen suojauspäivitysten asentamisen, aktivoinnin ja käyttöönoton vaiheet ovat samat ensimmäisen, toisen ja kolmannen vuoden kattavuudelle. Lisätietoja on artikkelissa Laajennettujen suojauspäivitysten Päivitykset hankkiminen käyttökelpoisille Windows-laitteille volyymikäyttöoikeusprosessia varten ja Windows 7:n laajennettujen suojauspäivitysten ostaminen pilviratkaisujen toimittajana pilviratkaisujen toimittajana pilviratkaisujen toimittajaksi pilviratkaisujen toimittajaa varten pilviratkaisujen toimittajaa varten. Ota sulautettujen laitteiden tapauksessa yhteyttä alkuperäiseen laitevalmistajaan (OEM).
- Lisätietoja on ESU:n blogissa.
Huomautus
Huomautus Lisätietoja erityyppisistä Windows-päivityksistä, kuten kriittisistä, suojaus-, ohjain- tai Service Pack -päivityksistä jne., on seuraavassa artikkelissa. Jos haluat tarkastella muita Windows Server 2008 SP2:ta koskevia huomautuksia ja viestejä, katso seuraava päivityshistorian aloitussivu.
Parannuksia
Tämä kumulatiivinen suojauspäivitys sisältää parannuksia, jotka sisältyvät päivitykseen KB5017358 (julkaistu 11. lokakuuta 2022) ja sisältää seuraavat tärkeät muutokset:
Korjaa DCOM (Distributed Component Object Model) -todennuksen koventumisongelman, joka nostaa automaattisesti todennustasoa kaikissa DCOM-asiakkaiden ei-anonyymeissä aktivointipyynnöissä. Näin tapahtuu, jos todennustaso on alle RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.
Päivitykset Jordanian kesäaikaa (DST) estääkseen kellon siirtämisen 1 tunnin taaksepäin 28. lokakuuta 2022. Lisäksi muuttaa Jordanian normaaliajan näyttönimen muodossa "(UTC+02:00) Amman" muotoon "(UTC+03:00) Amman".
Korjaa ongelman, jossa Microsoft Azure Active Directory (AAD) Sovellusvälityspalvelin Connector ei voi noutaa Kerberos-lippua käyttäjän puolesta seuraavan yleisen ohjelmointirajapintavirheen vuoksi: "Määritetty kahva on virheellinen (0x80090301)."
Korjaa ongelman, jossa 11.1.2022 tai uudemman päivityksen asentamisen jälkeen puuryhmäluottamussuhteen luontiprosessi ei täytä DNS-nimen jälkiliitteitä luottamustietomääritteisiin.
Korjaa Kerberos- ja Netlogon-protokollien tietoturva-aukot, jotka on kuvattu CVE-2022-38023-, CVE-2022-37966- ja CVE-2022-37967-ohjelmissa. Käyttöönotto-ohjeita on seuraavissa artikkeleissa:
- KB5020805: CVE-2022-37967:ään liittyvien Kerberos-protokollan muutosten hallinta
- KB5021130: CVE-2022-38023:een liittyvien Netlogon-protokollan muutosten hallinta
- KB5021131: Kuinka hallita Kerberos-protokollan muutoksia, jotka liittyvät CVE-2022-37966:een
Lisätietoja ratkaistuista tietoturva-aukoista on Käyttöönotot | Tietoturvapäivitysopas ja marraskuun 2022 tietoturva Päivitykset.
Lisätietoja ratkaistuista tietoturva-aukoista on Käyttöönotot | Tietoturvapäivitysopas ja marraskuun 2022 tietoturva Päivitykset.
Tunnettuja tämän päivityksen yhteydessä ilmeneviä ongelmia
| Oire | Seuraava vaihe |
|---|---|
| Kun olet asentanut tämän päivityksen ja käynnistänyt laitteen uudelleen, näyttöön saattaa tulla virhesanoma "Windows-päivitysten määrittämisen epäonnistui. Kumotaan muutoksia. Älä sammuta tietokonetta", ja päivitys saattaa näkyä Epäonnistui päivityshistoriassa. | Tämä on normaalia käyttäytymistä seuraavissa olosuhteissa:
|
| Kun tämä päivitys tai uudempi Windows-päivitys on asennettu, toimialueeseen liittymistoiminnot voivat epäonnistua ja näyttöön saattaa tulla virhe "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Lisäksi teksti, jossa sanotaan "Active Directoryssa on samanniminen tili. Suojauskäytäntö esti tilin uudelleenkäyttämisen". Skenaarioita, joihin tämä vaikuttaa, ovat jotkin toimialueeseen liittymisen tai uudelleenmuodostuksen toiminnot, joissa tietokonetili on luotu tai esilavastettu eri käyttäjätietojen avulla kuin käyttäjätiedot, joita käytettiin tietokoneen liittämiseen tai uudelleen liittämiseen toimialueeseen. Lisätietoja tästä ongelmasta on artikkelissa KB5020276—Netjoin: toimialueeseen liittymisen kovettumisen muutokset. Huomautus Ongelmaa ei todennäköisesti esiinny Windowsin kuluttajatyöpöytäversioissa. |
Katso KB5020276 ohjeita tähän ongelmaan. |
Kun olet asentanut 8. marraskuuta 2022 tai sen jälkeen julkaistut Windows-päivitykset toimialueen ohjauskoneen roolia käyttäviin Windows-palvelimiin, Kerberos-todentamisessa saattaa olla ongelmia. Tämä ongelma voi vaikuttaa mihin tahansa Kerberos-todentamiseen ympäristössäsi. Joitakin skenaarioita, joihin tämä saattaa vaikuttaa:
Huomautus Tapahtumat, joihin tämä vaikuttaa, sisältävät " puuttuvan avaimen tunnus on 1" merkkijonon: Kohdepalvelupalvelua <>koskevan AS-pyyntöä käsiteltäessä tilin <tilillä> ei ollut sopivaa avainta Kerberos-lipun luomiseen (puuttuvan avaimen tunnus on 1). Pyydetyt tyypit : 18 3. Käytettävissä olevat tilityypit: 23 18 17. Tilin nimen> salasanan <muuttaminen tai palauttaminen luo oikean avaimen. Huomautus Tämä ongelma ei ole odotettu osa Netlogonin ja Kerberosin suojausrajoitusta marraskuun 2022 suojauspäivityksestä alkaen. Sinun on edelleen noudatettava näissä artikkeleissa annettuja ohjeita sittenkin, kun tämä ongelma on ratkaistu. Tämä ongelma ei koske Windows-laitteita, joita kuluttajat käyttävät kotona, eikä laitteita, jotka eivät kuulu paikalliseen toimialueeseen. Tämä ei vaikuta Azure Active Directory -ympäristöihin, jotka eivät ole yhdistelmäympäristöjä ja joissa ei ole paikallisia Active Directory -palvelimia. |
Tämä ongelma on korjattu päivityksessä KB5021657. |
| Kun olet asentanut tämän päivityksen tai uudemman päivityksen toimialueen ohjauskoneeseen (DC), saatat kohdata muistivuodon paikallisen suojaustoiminnon alijärjestelmäpalvelussa (LSASS,exe). LSASS saattaa jatkuvasti lisätä muistin käyttöä palvelimen käyttöajan mukaan riippuen siitä, kuinka paljon aikaa on kulunut palvelimen edellisestä uudelleenkäynnistyksestä, ja palvelin saattaa lakata vastaamasta tai käynnistyä uudelleen automaattisesti. Huomautus Tämä ongelma saattaa vaikuttaa 17. marraskuuta 2022 ja 18. marraskuuta 2022 julkaistuihin toimialueen ohjauskoneiden päivityksiin. |
Voit lieventää tätä ongelmaa avaamalla komentokehotteen järjestelmänvalvojana ja käyttämällä seuraavaa komentoa rekisteriavaimen KrbtgtFullPacSignature asettamiseksi arvoon 0: reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORDNote Kun tämä tunnettu ongelma on ratkaistu, määritä KrbtgtFullPacSignature-arvoksi suurempi asetus sen mukaan, mitä ympäristösi sallii. Suosittelemme, että otat pakotustilan käyttöön heti, kun ympäristösi on valmis. Lisätietoja tästä rekisteriavaimesta on KB5020805: Resurssiin CVE-2022-37967 liittyvien Kerberos-protokollamuutosten hallinta. Teemme töitä ongelman ratkaisemiseksi. Päivitys tulee saataville ohjelmiston tulevassa versiossa. |
Tämän päivityksen asentamisen jälkeen sovellukset, jotka käyttävät ODBC-yhteyksiä Microsoft ODBC SQL Server Driverin (sqlsrv32.dll) kautta tietokantojen käyttämiseen, eivät ehkä muodosta yhteyttä. Lisäksi saatat saada virheilmoituksen sovelluksessa tai saatat saada virheen SQL Serveristä. Saatat saada seuraavia virheitä:
Jos haluat selvittää, käytätkö sovellusta, johon tämä vaikuttaa, avaa sovellus, joka muodostaa yhteyden tietokantaan. Avaa komentokehoteikkuna, kirjoita seuraava komento ja paina sitten Enter-näppäintä: tehtäväluettelo /m sqlsrv32.dll Jos komento palauttaa tehtävän, tämä saattaa vaikuttaa sovellukseen. |
Voit lieventää tätä ongelmaa jollakin seuraavista tavoista:
|
Tämän päivityksen hankkiminen
Ennen tämän päivityksen asentamista
TÄRKEÄÄ Niiden asiakkaiden, jotka ovat ostaneet laajennetun suojauspäivityksen (ESU) käyttöjärjestelmien paikallisia versioita varten, on suoritettava artikkelin KB4522133 menettelyt, jotta suojauspäivitysten vastaanottamista jatketaan, koska laajennettu tuki päättyi 14.1.2020.
Lisätietoja ESU:sta ja tuettavista versioista on KB4497181.
Kielipaketit
Jos asennat kielipaketin tämän päivityksen asentamisen jälkeen, sinun on asennettava tämä päivitys uudelleen. Siksi suosittelemme, että asennat kaikki tarvitsemasi kielipaketit ennen tämän päivityksen asentamista. Lisätietoja on ohjeaiheessa Kielipakettien lisääminen Windowsiin.
Edellytys:
Alla luetellut päivitykset täytyy asentaa ja laite tulee käynnistää uudelleen ennen uusimman koontiversion asentamista. Näiden päivitysten asentaminen parantaa päivitysprosessin luotettavuutta ja lieventää mahdollisia ongelmia koontiversion asentamisen aikana ja Microsoftin suojauskorjauksia käyttöön otettaessa.
- 9. huhtikuuta 2019 julkaistu ylläpitopinon päivitys (SSU) (KB4493730). Voit hankkia erillispaketin tälle SSU:lle Microsoft Update -luettelosta. Tätä päivitystä tarvitaan vain SHA-2 allekirjoitettujen päivitysten asentamiseen.
- Viimeisin SHA-2-päivitys (KB4474419) julkaistiin 8. lokakuuta 2019. Jos käytät Windows Updatea, uusin SHA-2-päivitys tarjotaan sinulle automaattisesti. Tätä päivitystä tarvitaan vain SHA-2 allekirjoitettujen päivitysten asentamiseen. Lisätietoja SHA-2-päivityksistä on artikkelissa Windowsin ja WSUS-palvelujen vuoden 2019 SHA-2-koodin allekirjoituksen tukea koskeva vaatimus.
- Extended Security Päivitykset (ESU) Licensing Preparation Package (KB4538484) tai Extended Security Päivitykset (ESU) Licensing Preparation Package (KB4575904) -päivitys. ESU-lisensoinnin valmistelupaketti tarjotaan sinulle WSUS-palvelusta. Voit hankkia erillispaketin tälle ESU-lisensoinnin valmistelupaketille Microsoft Update -luettelosta.
Edellä olevien kohteiden asennuksen jälkeen Microsoft suosittelee vahvasti, että asennat uusimman SSU:n (KB5016129). Jos olet ESU-asiakas ja käytössäsi on Windows Update, uusin SSU tarjotaan sinulle automaattisesti. Voit hankkia erillispaketin uusimmalle SSU:lle hakemalla sitä Microsoft Update -luettelosta. Yleisiä tietoja SSU:ista on ohjeaiheissa Ylläpitopinon päivitykset ja Ylläpitopinon päivitykset (SSU): usein esitetyt kysymykset.
Asenna tämä päivitys
| Julkaisukanava | Käytettävissä | Seuraava vaihe |
|---|---|---|
| Windows Update ja Microsoft Update | Kyllä | Ei mitään. Windows Update lataa ja asentaa tämän päivityksen automaattisesti jos olet ESU-asiakas. |
| Microsoft Update -luettelo | Kyllä | Voit hankkia tämän päivityksen erillispakettina Microsoft Update -luettelosta. |
| Windows Server Update Services (WSUS) | Kyllä | Tämä päivitys synkronoidaan automaattisesti WSUS-palveluiden kanssa, jos määrität Tuotteet ja luokitukset seuraavasti: Tuote: Windows Server 2008 Service Pack 2 Luokittelu: Tietoturvapäivitykset |
Tiedostojen tiedot
Saat luettelon tämän päivityksen sisältämistä tiedostoista lataamalla päivityksen KB5020019 tiedostojen tiedot.
Viitteet
Lue tietoja Microsoftin ohjelmistopäivitysten kuvaamiseen käytetystä vakiosanastosta .