8 בנובמבר 2022 — KB5020010 (עדכון אבטחה בלבד)

תסמין

השלב הבא

לאחר התקנת עדכון זה או עדכון מאוחר יותר של Windows, ייתכן שפעולות הצטרפות לתחום לא בוצעו ושגיאה "0xaac (2732): NERR_AccountReuseBlockedByPolicy" מתרחשת. בנוסף, קיים ב- Active Directory טקסט המציין כי "קיים חשבון בשם זהה. ייתכן שהשימוש מחדש בחשבון נחסם על-ידי מדיניות אבטחה" עשוי להיות מוצג.

תרחישים מושפעים כוללים פעולות מסוימות של צירוף תחום או דימות מחדש שבהן חשבון מחשב נוצר או הותקן מראש על-ידי זהות שונה מזהות ששימשה לצירוף או לצירוף מחדש של המחשב לתחום.

לקבלת מידע נוסף אודות בעיה זו, ראה KB5020276 — Netjoin: שינויי הקשת הצטרפות לתחום.

הערה מהדורות Consumer Desktop של Windows הבאות לא יתקלו בבעיה זו.

בעיה זו נפתרה ב- KB5023764.

לאחר התקנת עדכוני Windows שהופצו ב- 8 בנובמבר 2022 או לאחר מכן בשרתי Windows המשתמשים בתפקיד בקר תחום, ייתכן שתית בבעיות באימות Kerberos. בעיה זו עשויה להשפיע על כל אימות Kerberos בסביבה שלך. תרחישים מסוימים שעשויים להיות מושפעים:

• כניסה של משתמש תחום עלולה להיכשל. הדבר עשוי להשפיע גם Active Directory Federation Services אימות (AD FS).

• ייתכן שחשבונות שירות מנוהלים של קבוצה (gMSA) המשמשים עבור שירותים כגון Internet Information Services (IIS Web Server) לא יאומת.

• ייתכן שחיבורי שולחן עבודה מרוחק המשתמשים בתחום לא יתחברו.

• ייתכן שלא תוכל לגשת לתיקיות משותפות בתחנות עבודה ובקבצים משותפים בשרתים.

• הדפסה הדורשת אימות משתמש בתחום עלולה להיכשל.

כאשר בעיה זו נתקלת אתה עשוי לקבל אירוע שגיאה מזהה אירוע 4 של Microsoft-Windows-Kerberos-Key-Distribution-Center במקטע מערכת של יומן האירועים בבקר התחום שלך עם הטקסט שלהלן.

הערה האירועים המושפעים יכילו את המחרוזת "למפתח החסר יש מזהה 1":

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

הערה בעיה זו אינה מהווה חלק צפוי של הקשת האבטחה עבור Netlogon ו- Kerberos החל מעדכון האבטחה של נובמבר 2022. עדיין תצטרך לפעול בהתאם להנחיות במאמרים אלה גם לאחר פתרון בעיה זו.

מכשירי Windows המשמשים בבית על-ידי צרכנים או מכשירים שאינם חלק מתחום מקומי אינם מושפעים מבעיה זו. סביבות Azure Active Directory אינן היברידיות ללא Active Directory מקומי שרתים אינם מושפעים.

בעיה זו טופלה בעדכון KB5021653.

לאחר התקנת עדכון זה או עדכון מאוחר יותר בבקר תחום (DC), ייתכן שתיתקל בדליפת זיכרון עם שירות מערכת המשנה של רשות האבטחה המקומית (LSASS,exe). בהתאם עומס העבודה של ה- DC שלך וכמות הזמן מאז ההפעלה מחדש האחרונה של השרת, LSASS עשוי להגדיל ללא התמשך את השימוש בזיכרון עם הזמן הפנוי בשרת, והשרת עלול להפסיק להגיב או להפעיל מחדש באופן אוטומטי.

הערה העדכונים המופצים עבור DCs שהופצו ב- 17 בנובמבר 2022 וב- 18 בנובמבר 2022 עשויים להיות מושפעים מבעיה זו.

כדי לצמצם בעיה זו, פתח שורת פקודה כמנהל מערכת והשתמש בפקודה הבאה כדי להגדיר את מפתח הרישום KrbtgtFullPacSignatureל- 0:

reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

הערה לאחר פתרון בעיה ידועה זו, עליך להגדיר את KrbtgtFullPacSignature להגדרה גבוהה יותר, בהתאם למה שהסביבה שלך תאפשר. אנו ממליצים להפוך מצב אכיפה לזמין ברגע שהסביבה שלך תהיה מוכנה.

לקבלת מידע נוסף אודות מפתח רישום זה, ראה KB5020805: כיצד לנהל שינויים בפרוטוקול Kerberos הקשורים ל- CVE-2022-37967.

אנו עובדים על פתרון ונספק עדכון במהדורה קרובה.

לאחר התקנת עדכון זה, ייתכן שאפליקציות המשתמשות בחיבורי ODBC באמצעות מנהל התקן Microsoft ODBC SQL Server (sqlsrv32.dll) כדי לגשת למסדי נתונים לא יתחברו. בנוסף, ייתכן שתקבל שגיאה ביישום, או שתקבל הודעת שגיאה מהרשימה SQL Server. שגיאות שאתה עשוי לקבל כוללות את ההודעות הבאות:

• מערכת EMS נתקלה בבעיה.
  הודעה: שגיאת פרוטוקול [Microsoft][ODBC SQL Server Driver] ב- TDS Stream.

• מערכת EMS נתקלה בבעיה.
  הודעה: [Microsoft][ODBC SQL Server Driver] אסימון לא ידוע שהתקבל SQL Server.

הערה למפתחים: אפליקציות המושפעות מבעיה זו עלולות להיכשל בהבאת נתונים, לדוגמה בעת שימוש בפונקציה SQLFetch. בעיה זו עלולה להתרחש בעת קריאה לפונקציה SQLBindCol לפני SQLFetch או קריאה לפונקציה SQLGetData לאחר SQLFetch וכשערך של 0 (אפס) נתון עבור הארגומנט 'BufferLength' עבור סוגי נתונים קבועים הגדולים מ- 4 בתים (כגון SQL_C_FLOAT).

כדי להחליט אם אתה משתמש באפליקציה מושפעת, פתח את האפליקציה שהתחברות למסד נתונים. פתח חלון שורת פקודה, הקלד את הפקודה הבאה ולאחר מכן הקש Enter:

tasklist /m sqlsrv32.dll

אם הפקודה מחזירה משימה, ייתכן שהיישום יושפע.

כדי לצמצם בעיה זו, באפשרותך לבצע אחת מהפעולות הבאות:

• אם היישום שלך כבר משתמש בשם מקור נתונים (DSN) או מסוגל להשתמש בו כדי לבחור חיבורי ODBC, התקן את Microsoft ODBC Driver 17 for SQL Server ובחר אותו לשימוש עם היישום באמצעות DSN.
  
  הערה: אנו ממליצים על הגירסה העדכנית ביותר של Microsoft ODBC Driver 17 for SQL Server, מכיוון שהיא תואמת יותר לאפליקציות המשתמשות כעת במנהל התקן Microsoft ODBC SQL Server מדור קודם (sqlsrv32.dll) מאשר מנהל התקן ODBC של Microsoft 18 עבור SQL Server.

• אם לאפליקציה שלך אין אפשרות להשתמש ב- DSN, יהיה עליך לשנות את היישום כדי לאפשר DSN או להשתמש במנהל התקן ODBC חדש יותר מאשר מנהל התקן ODBC של Microsoft SQL Server (sqlsrv32.dll).

בעיה זו נפתרה ב- KB5022346. אם יישמת את הפתרון שלעיל, מומלץ להמשיך להשתמש בתצורה כדי לעקוף את הבעיה.

ערוץ הפצה

זמין

השלבים הבאים

Windows Update ו- Microsoft Update

לא

ראה את האפשרויות האחרות להלן.

Microsoft Update Catalog

כן

כדי לקבל את החבילה העצמאית עבור עדכון זה, עבור אל אתר האינטרנט Microsoft Update Catalog.

Windows Server Update Services (‏WSUS)

כן

עדכון זה יסתנכרן באופן אוטומטי עם WSUS, אם תגדיר מוצרים וסיווגים באופן הבא:

מוצר: Windows 8.1, Windows Server 2012 R2, Windows Embedded 8.1 Industry Enterprise, Windows Embedded 8.1 Industry Pro

סיווג: עדכון אבטחה