8. marraskuuta 2022 – KB5020013 (vain suojauspäivitys)
Applies To
Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESUJulkaisupäivämäärä:
8.11.2022
Versio:
Vain suojauspäivitys
HUOMAUTUS 10. tammikuuta 2023 jälkeen Microsoft ei enää tarjoa suojauspäivityksiä tai teknistä tukea Windows 7 SP1:lle ja Windows Server 2008 R2 SP1:lle. Suosittelemme päivittämään uudempaan Windows-versioon.
Yhteenveto
Lue lisätietoja tästä vain suojauspäivityksestä, kuten tietoja parannuksista, tunnetuista ongelmista ja päivityksen hankkimisesta.
MUISTUTUS Windows 7:n, Windows Server 2008 R2:n, Windows Embedded Standard 7:n ja Windows Embedded POS Ready 7:n mainstream-tuki on päättynyt, ja ne ovat nyt laajennetun suojauspäivityksen (ESU) tuen alaisena. Windows Thin -tietokoneen mainstream-tuki on päättynyt. ESU-tuki ei kuitenkaan ole käytettävissä.
Heinäkuusta 2020 alkaen tälle käyttöjärjestelmälle ei enää julkaista valinnaisia muita kuin tietoturvaan liittyviä versioita (eli C-versioita). Extended-tuen käyttöjärjestelmissä on vain kumulatiivisia kuukausittaisia suojauspäivityksiä (tunnetaan nimellä B tai Päivitä tiistain julkaisu).
Varmista, että olet asentanut tarvittavat päivitykset Tämän päivityksen hankkiminen -osassa ennen tämän päivityksen asentamista.
Asiakkaiden, jotka ovat ostaneet Laajennetun suojauspäivityksen (ESU) tämän käyttöjärjestelmän paikallisiin versioihin, on noudatettava päivityksen KB4522133 ohjeita, jotta he voivat jatkaa suojauspäivitysten vastaanottamista sen jälkeen, kun laajennettu tuki päättyi 14. tammikuuta 2020. Lisätietoja ESU:sta ja tuetuista versioista on artikkelissa KB4497181.
Koska ESU on käytettävissä erillisenä SKU:na jokaiselle käyttövuodelle, jolloin niitä tarjotaan (2020, 2021 ja 2022)– ja koska ESU voidaan ostaa vain tiettyinä 12 kuukauden jaksoina – sinun on ostettava ESU:n kolmas vuosi erikseen ja aktivoitava uusi avain laitteisiisi, jotta saat suojauspäivitykset edelleen vuonna 2022.
Jos organisaatiosi ei ole ostanut kolmannen vuoden ESU-kattavuutta, sinun on ostettava vuosi 1, vuosi 2 ja vuosi 3 ESU soveltuville Windows 7 SP1- tai Windows Server 2008 R2 SP1 -laitteillesi, ennen kuin asennat ja aktivoit Vuoden 3 MAK-avaimet päivitysten vastaanottamista varten. ESU:iden asennus-, aktivointi- ja käyttöönottovaiheet ovat samat ensimmäisen, toisen ja kolmannen vuoden kattavuudessa. Lisätietoja on artikkelissa Laajennetun suojauksen Päivitykset hankkiminen vaatimukset täyttäville Windows-laitteille volyymikäyttöoikeusprosessia varten ja Windows 7 -suojauslaitteiden ostaminen pilviratkaisujen tarjoajana pilvipalveluprosessille. Jos käytössäsi on upotettuja laitteita, ota yhteyttä alkuperäiseen laitevalmistajaan.
Lisätietoja on ESU-blogissa.
Huomautus Lisätietoja erityyppisistä Windows-päivityksistä, kuten kriittisistä päivityksistä, suojauksesta, ohjaimesta, Service Pack -paketeista ja niin edelleen, on seuraavassa artikkelissa. Jos haluat tarkastella muita Windows 7 SP1:n ja Windows Server 2008 R2 SP1:n muistiinpanoja ja viestejä, katso seuraava päivityshistorian aloitussivu.
Parannuksia
Tämä vain suojausta parantava päivitys sisältää seuraavat keskeiset muutokset:
-
Päivitykset Jordanin kesäaikaa (DST) estääkseen kellon siirtämisen 1 tunti taaksepäin 28.10.2022. Lisäksi muuttaa Jordanin normaaliajan näyttönimen ((UTC+02:00) Amman" muotoon "(UTC+03:00) Amman".
-
Korjaa ongelman, jossa 11.1.2022 tai sitä uudemman päivityksen asentamisen jälkeen Toimialueluottamus-toiminto ei täytä DNS-nimiliitteitä luottamustietojen määritteisiin.
-
Korjaa Kerberos- ja Netlogon-protokollien tietoturva-aukot CVE-2022-38023-, CVE-2022-37966- ja CVE-2022-37967 -protokollan mukaisesti. Käyttöönotto-ohjeet ovat seuraavissa artikkeleissa:
-
KB5020805: CVE-2022-37967 :een liittyvien Kerberos-protokollamuutosten hallinta
-
KB5021130: CVE-2022-38023:een liittyvien Netlogon-protokollamuutosten hallinta
-
KB5021131: CVE-2022-37966:een liittyvien Kerberos-protokollamuutosten hallinta
Lisätietoja ratkaistuista tietoturva-aukoista on ohjeaiheessa Käyttöönotot | Suojauspäivitysopas ja marraskuun 2022 suojaus-Päivitykset.
-
Lisätietoja ratkaistuista tietoturva-aukoista on ohjeaiheessa Käyttöönotot | Suojauspäivitysopas ja marraskuun 2022 suojaus-Päivitykset.
Tunnettuja tämän päivityksen yhteydessä ilmeneviä ongelmia
Oire |
Seuraava vaihe |
Kun olet asentanut tämän päivityksen ja käynnistänyt laitteen uudelleen, näyttöön saattaa tulla virhesanoma "Windows-päivitysten määrittämisen epäonnistui. Kumotaan muutoksia. Älä sammuta tietokonetta", ja päivitys saattaa näkyä epäonnistuneena päivityshistoriassa. |
Tämä on normaalia käyttäytymistä seuraavissa olosuhteissa:
|
Kun tämä päivitys tai uudempi Windows-päivitys on asennettu, toimialueeseen liittymistoiminnot saattavat epäonnistua ja tapahtuu virhe "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Lisäksi Active Directoryssa on teksti, jossa lukee "Samanniminen tili. Suojauskäytäntö on saattanut estää tilin uudelleenkäytön" saattaa tulla näkyviin. Tällaisia tilanteita ovat esimerkiksi jotkin toimialueeseen liittymis- tai uudelleenkuvaustoiminnot, joissa tietokonetili on luotu tai esivaiheistettu eri käyttäjätiedoilla kuin käyttäjätiedoilla, joita käytetään tietokoneen liittämiseen toimialueeseen tai uudelleen liittämiseen toimialueeseen. Lisätietoja tästä ongelmasta on artikkelissa KB5020276 – Netjoin: Toimialueeseen liittymisen kovennusmuutokset. Huomautus Tämä ongelma ei todennäköisesti ilmene Windowsin kuluttajatyöpöytäversioissa. |
Lisätietoja ongelmasta on artikkelissa KB5020276 . |
Kun olet asentanut Windows-päivitykset, jotka on julkaistu 8. marraskuuta 2022 tai sen jälkeen Toimialueen ohjauskoneen roolia käyttävissä Windows-palvelimissa, kerberos-todennuksessa voi olla ongelmia. Tämä ongelma voi vaikuttaa mihin tahansa Kerberos-todennukseen ympäristössäsi. Jotkin skenaariot, joihin tämä saattaa vaikuttaa:
Kun tämä ongelma ilmenee, saatat saada Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 4 -virhetapahtuman toimialueen ohjauskoneen tapahtumalokin Järjestelmä-osaan alla olevan tekstin kanssa. Huomautus Tapahtumat, joita ongelma koskee, sisältävät merkkijonon "puuttuvan avaimen tunnus on 1":
Huomautus Tämä ongelma ei ole odotettu osa Netlogonin ja Kerberosin tietoturvan kovennusta marraskuun 2022 suojauspäivityksestä alkaen. Sinun on edelleen noudatettava näiden artikkelien ohjeita, vaikka tämä ongelma on ratkaistu. Tämä ongelma ei vaikuta kuluttajien kotona käyttämiin Windows-laitteisiin tai laitteisiin, jotka eivät kuulu paikalliseen toimialueeseen. Tämä ei vaikuta Azure Active Directory -ympäristöihin, jotka eivät ole yhdistelmäympäristöjä ja joilla ei ole paikallinen Active Directory palvelimia. |
Tämä ongelma on korjattu päivityksessä KB5021651. |
Kun olet asentanut tämän päivityksen tai uudemman päivityksen toimialueen ohjauskoneeseen (DC), saatat kohdata muistivuodon Paikallisen suojauksen myöntäjän alijärjestelmäpalvelussa (LSASS,exe). LSASS saattaa jatkuvasti lisätä muistin käyttöä palvelimen ollessa käytössä, ja palvelin saattaa lakata vastaamasta tai käynnistyä uudelleen automaattisesti sen mukaan, kuinka paljon aikaa on kulunut palvelimen edellisestä uudelleenkäynnistyksestä. Huomautus Tämä ongelma saattaa vaikuttaa 17.11.2022 ja 18.11.2022 julkaistuihin DCs-tietokoneiden päivitysten päivityksiin. |
Voit lieventää tätä ongelmaa avaamalla komentokehotteen järjestelmänvalvojana ja määrittämällä rekisteriavaimen KrbtgtFullPacSignature arvoksi 0 seuraavan komennon avulla:
Huomautus Kun tämä tunnettu ongelma on ratkaistu, määritä KrbtgtFullPacSignature suuremmaksi asetukseksi sen mukaan, mitä ympäristösi sallii. Suosittelemme, että otat pakotustilan käyttöön heti, kun ympäristösi on valmis. Lisätietoja tästä rekisteriavaimesta on artikkelissa KB5020805: CVE-2022-37967 -protokollaan liittyvien Kerberos-protokollamuutosten hallinta. Kehitämme parhaillaan ratkaisua ja tarjoamme päivityksen tulevassa versiossa. |
Tämän päivityksen asentamisen jälkeen sovellukset, jotka käyttävät ODBC-yhteyksiä Microsoft ODBC SQL Server Driverin (sqlsrv32.dll) kautta tietokantojen käyttämiseen, eivät ehkä muodosta yhteyttä. Lisäksi sovelluksessa voi ilmetä virhe tai SQL Server saattaa tulla virhesanoma. Näyttöön voi tulla seuraavia viestejä:
Huomautus kehittäjille: Sovellukset, joihin tämä ongelma vaikuttaa, eivät ehkä voi noutaa tietoja, esimerkiksi käytettäessä SQLFetch-funktiota. Tämä ongelma saattaa ilmetä kutsuttaessa SQLBindCol-funktiota SQLFetch-funktion eteen tai kutsuttaessa SQLGetData-funktiota SQLFetchin jälkeen ja kun bufferLength-argumentille annetaan arvo 0 (nolla) kiinteille tietotyypeille, jotka ovat suurempia kuin 4 tavua (esimerkiksi SQL_C_FLOAT). Jos haluat päättää, käytätkö sovellusta, jota ongelma koskee, avaa sovellus, joka muodostaa yhteyden tietokantaan. Avaa komentokehoteikkuna, kirjoita seuraava komento ja paina sitten Enter-näppäintä:
Jos komento palauttaa tehtävän, tämä saattaa vaikuttaa sovellukseen. |
Voit lieventää tätä ongelmaa jommankumman seuraavista tavoista:
Tämä ongelma on korjattu versiossa KB5022339. Jos olet ottanut käyttöön edellä mainitun vaihtoehtoisen menetelmän, on suositeltavaa jatkaa määritysten käyttämistä vaihtoehtoisessa menetelmässä. |
Tämän päivityksen hankkiminen
Ennen tämän päivityksen asentamista
TÄRKEÄÄ Asiakkaiden, jotka ovat ostaneet Laajennetun suojauspäivityksen (ESU) näiden käyttöjärjestelmien paikallisiin versioihin, on noudatettava päivityksen KB4522133 ohjeita, jotta suojauspäivitysten vastaanottaminen jatkuu. Extended-tuki päättyi seuraavasti:
-
Windows 7 Service Pack 1:n ja Windows Server 2008 R2 Service Pack 1:n laajennettu tuki päättyi 14. tammikuuta 2020.
-
Windows Embedded Standard 7:n extended-tuki päättyi 13. lokakuuta 2020.
-
Windows Embedded POS Ready 7:n extended-tuki päättyi 12. lokakuuta 2021.
-
Windows Thin PC:n extended-tuki päättyi 12. lokakuuta 2021. Huomaa, että ESU-tuki ei ole käytettävissä Windows Thin -tietokoneessa.
Lisätietoja ESU:sta ja tuetuista versioista on artikkelissa KB4497181.
Huomautus Windows Embedded Standard 7:ssä Windows Management Instrumentationin (WMI) on oltava käytössä, jotta päivitykset saadaan Windows Update tai Windows Server Update Services.
Kielipaketit
Jos asennat kielipaketin tämän päivityksen asentamisen jälkeen, tämä päivitys on asennettava uudelleen. Siksi suosittelemme, että asennat kaikki tarvitsemasi kielipaketit ennen tämän päivityksen asentamista. Lisätietoja on artikkelissa Kielipakettien lisääminen Windowsiin.
Edellytys:
Alla luetellut päivitykset täytyy asentaa ja laite tulee käynnistää uudelleen ennen uusimman koontiversion asentamista. Näiden päivitysten asentaminen parantaa päivitysprosessin luotettavuutta ja lieventää mahdollisia ongelmia koontiversion asentamisen aikana ja Microsoftin suojauskorjauksia käyttöön otettaessa.
-
12. maaliskuuta 2019 julkaistu ylläpitopinon päivitys (SSU) (KB4490628). Voit hankkia erillispaketin tälle SSU:lle hakemalla sitä Microsoft Update -luettelosta. Tätä päivitystä tarvitaan vain SHA-2 allekirjoitettujen päivitysten asentamiseen.
-
Uusin SHA-2-päivitys (KB4474419) julkaistiin 10. syyskuuta 2019. Jos käytät Windows Updatea, uusin SHA-2-päivitys tarjotaan sinulle automaattisesti. Tätä päivitystä tarvitaan vain SHA-2 allekirjoitettujen päivitysten asentamiseen. Lisätietoja SHA-2-päivityksistä on artikkelissa Windowsin ja WSUS:n vuoden 2019 SHA-2-koodin allekirjoituksen tukivaatimus.
-
Jotta saat tämän suojauspäivityksen, sinun on asennettava uudelleen Extended Security Päivitykset (ESU) Licensing Preparation Package (KB4538483) tai "Update for the Extended Security Päivitykset (ESU) Licensing Preparation Package" (KB4575903), vaikka olisit aiemmin asentanut ESU-avaimen. ESU-lisensoinnin valmistelupaketti tarjotaan sinulle WSUS-palvelusta. Voit hankkia erillispaketin ESU-lisensoinnin valmistelupakettia varten hakemalla sitä Microsoft Update -luettelosta.
Edellä olevien kohteiden asentamisen jälkeen Microsoft suosittelee vahvasti uusimman SSU:n (KB5017397) asentamista. Jos olet ESU-asiakas ja käytössäsi on Windows Update, uusin SSU tarjotaan sinulle automaattisesti. Jos haluat hankkia erillispaketin uusimmalle SSU:lle, etsi se Microsoft Update -luettelosta. Yleisiä tietoja SSU:ista on ohjeaiheessa Ylläpitopinon päivitykset ja ylläpitopinon Päivitykset (SSU): usein kysytyt kysymykset.
MUISTUTUS Jos käytät vain suojauspäivityksiä, sinun on asennettava myös kaikki aiemmat vain suojauspäivitykset ja Internet Explorerin uusin kumulatiivinen päivitys (KB5019958).
Asenna tämä päivitys
Julkaisukanava |
Käytettävissä |
Seuraava vaihe |
Windows Update ja Microsoft Update |
Ei |
Katso muut vaihtoehdot alla. |
Microsoft Update -luettelo |
Kyllä |
Voit hankkia tämän päivityksen erillispaketin Microsoft Update -luettelon sivustosta. |
Windows Server Update Services (WSUS) |
Kyllä |
Tämä päivitys synkronoidaan automaattisesti WSUS-palveluiden kanssa, jos määrität Tuotteet ja luokittelut seuraavasti: Tuote: Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1, Windows Embedded Standard 7 Service Pack 1, Windows Embedded POSReady 7 Luokittelu: Tietoturvapäivitykset |
Tiedostojen tiedot
Saat luettelon tämän päivityksen tiedostoista lataamalla päivityksen KB5020013 tiedostojen tiedot.
Lisätietoja
Lue tietoja Microsoftin ohjelmistopäivitysten kuvailemiseen käytettävästä vakioterminologiasta .