8. studenog 2022. – KB5020009 (mjesečno skupno ažuriranje)

Primjenjuje se na
Windows Server 2012 Windows Embedded 8 Standard

Sažetak

Saznajte više o ovom kumulativnom sigurnosnom ažuriranju, uključujući informacije o poboljšanjima, poznatim problemima i načinu preuzimanja ažuriranja.

Napomena

  • PODSJETNIKWindows Server 2012 završio je osnovnu podršku te je sada proširena podrška. Od srpnja 2020. više neće biti izbornih izdanja (poznatih kao izdanja "C" ili "D") za ovaj operacijski sustav. Operacijski sustavi za koje traje produljena podrška imaju samo kumulativna mjesečna sigurnosna ažuriranja (poznata pod nazivom "B" ili ažuriranje utorkom).
  • Prije instaliranja ovog ažuriranja provjerite jeste li instalirali potrebna ažuriranja navedena u odjeljku Kako nabaviti ovo ažuriranje .

Napomena

Informacije o različitim vrstama ažuriranja sustava Windows, kao što su kritična, sigurnosna, ažuriranja upravljačkih programa, servisni paketi itd., potražite u sljedećem članku. Da biste vidjeli ostale bilješke i poruke, posjetite početnu stranicu povijesti ažuriranja za Windows Server 2012.

Poboljšanja

Ovo kumulativno sigurnosno ažuriranje sadrži poboljšanja koja su dio ažuriranja KB5017370 (objavljenog 11. listopada 2022.) i obuhvaća ključne promjene za sljedeće:

Dodatne informacije o otklonjenim sigurnosnim slabim točkama potražite u odjeljku Implementacije | Vodič za sigurnosna ažuriranja i sigurnosna ažuriranja za studeni 2022.

Poznati problemi u ovom ažuriranju

Simptom Sljedeći korak
Nakon instalacije ovog ažuriranja ili novijeg ažuriranja sustava Windows operacije pridruživanja domeni mogu biti neuspješne i može doći do pogreške "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Uz to, privući ćete tekst "Račun s istim nazivom postoji na servisu Active Directory. Može se prikazati ponovno korištenje računa blokirano pravilnikom sigurnosti".
Zahvaćeni scenariji obuhvaćaju neke operacije pridruživanja domeni ili ponovnog snimanja slike kada je računalni račun stvoren ili unaprijed pripremljen pomoću identiteta različitog od onoga koji se koristi za pridruživanje računala domeni ili njegovo ponovno pridruživanje domeni.
Dodatne informacije o tom problemu potražite u članku KB5020276 – Netjoin: promjene u pojačavanju pridruživanja domeni.
Napomena Izdanja sustava Windows za korisnička računala vjerojatno neće imati ovaj problem.
Upute za ovaj problem potražite u KB5020276 .
Nakon instaliranja ažuriranja sustava Windows objavljenih 8. studenog 2022. ili kasnije na sustavima Windows Server koji koriste ulogu kontrolora domene mogli biste imati problema s provjerom autentičnosti Kerberos. Taj problem može utjecati na bilo koju provjeru autentičnosti putem sustava Kerberos u vašem okruženju. Neki scenariji na koje bi to moglo utjecati:

  • Prijava korisnika domene možda neće uspjeti. To može utjecati i na provjeru autentičnosti servisa Active Directory Federation Services (AD FS).
  • Provjera autentičnosti računa servisa kojima upravlja grupa (gMSA) koji se upotrebljavaju za servise kao što je Internet Information Services (IIS Web Server) možda se neće moći provjeriti.
  • Veze s udaljenom radnom površinom koje koriste korisnike domene možda se neće moći povezati.
  • Možda nećete moći pristupiti zajedničkim mapama koje se nalaze na radnim stanicama i resursima za dijeljenje datoteka na poslužiteljima.
  • Ispis za koji je potrebna provjera autentičnosti korisnika domene možda neće uspjeti.
Kada dođe do problema, u odjeljku Sustav zapisnika događaja na kontroloru domene može se pojaviti događaj pogreške Microsoft-Windows-Kerberos-Key-Distribution-Center s ID-om događaja 4 i tekstom u nastavku.

Napomena Zahvaćeni događaji sadržavat će niz " ključ koji nedostaje ima ID 1":

Prilikom obrade zahtjeva AS za ciljnu uslugu <>naziv> računa <nije sadržavao odgovarajući ključ za generiranje potvrde za provjeru autentičnosti protokola Kerberos (ključ koji nedostaje ima ID 1). Zatraženi etipovi: 18 3. Dostupni računi etipovi : 23 18 17. Promjenom ili ponovnim postavljanjem lozinke <naziva> računa generirat će se odgovarajući ključ.
Napomena Za taj se problem ne očekuje da bude dio sigurnosnog pojačanja za Netlogon i Kerberos počevši od sigurnosnog ažuriranja za studeni 2022. I dalje ćete morati slijediti upute u ovim člancima čak i nakon što se problem riješi.

Taj problem ne utječe na uređaje sa sustavom Windows koje korisnici upotrebljavaju kod kuće ili uređaje koji nisu dio lokalne domene. To ne utječe na okruženja servisa Azure Active Directory koja nisu hibridna i nemaju lokalni Active Directory poslužitelje.
Taj je problem riješen u ažuriranju KB5021652.
Nakon instalacije ovog ili kasnijeg ažuriranja na domenski kontroler (DC) može se pojaviti curenje memorije uz Local Security Authority Subsystem Service (LSASS,exe). Ovisno o radnom opterećenju DC-a i količini vremena od zadnjeg ponovnog pokretanja poslužitelja, LSASS može neprekidno povećavati upotrebu memorije kada je poslužitelj pokrenut, a poslužitelj može prestati reagirati ili se automatski ponovo pokrenuti.
Napomena Taj problem može utjecati na izvanredna ažuriranja za DC-ove objavljena 17. studenoga 2022. i 18. studenoga 2022.
Da biste ublažili taj problem, otvorite naredbeni redak kao administrator i pomoću sljedeće naredbe postavite ključ registra KrbtgtFullPacSignature na 0:
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Napomena Nakon što je taj poznati problem riješen, trebali biste postaviti KrbtgtFullPacSignature na višu postavku, ovisno o tome što vaše okruženje dopušta. Preporučujemo da omogućite način provedbe čim vaše okruženje bude spremno.
Dodatne informacije o ovom ključu registra potražite u članku KB5020805: Kako upravljati promjenama protokola Kerberos koje se odnose na CVE-2022-37967.
Radimo na razlučivosti i osigurat ćemo ažuriranje u nadolazećem izdanju.
Nakon instalacije ovog ažuriranja aplikacije koje upotrebljavaju ODBC veze putem upravljačkog programa Microsoft ODBC SQL Server Driver (sqlsrv32.dll) za pristup bazama podataka možda se neće povezati. Osim toga, možda ćete primiti poruku o pogrešci u aplikaciji ili će vam se prikazati poruka o pogrešci platforme SQL Server. Pogreške koje se mogu pojaviti obuhvaćaju sljedeće poruke:

  • EMS sustav naišao je na problem.
    Poruka: [Microsoft][ODBC Driver za SQL Server] Pogreška protokola u strujanju tabličnog toka podataka.
  • EMS sustav naišao je na problem.
    Poruka: [Microsoft][ODBC Driver za SQL Server] Nepoznati token primljen s platforme SQL Server.
Napomena za razvojne inženjere: Aplikacije na koje taj problem utječe možda neće moći dohvatiti podatke, na primjer, tijekom upotrebe funkcije SQLFetch. Taj se problem može pojaviti tijekom pozivanja funkcije SQLBindCol prije SQLFetcha ili pozivanja funkcije SQLGetData nakon SQLFetcha i kada se za argument "BufferLength" za fiksne vrste podataka veće od 4 bajta (npr. SQL_C_FLOAT) izda vrijednost 0 (nula).

Da biste odlučili upotrebljavate li zahvaćenu aplikaciju, otvorite aplikaciju koja se povezuje s bazom podataka. Otvorite prozor naredbenog retka, unesite sljedeću naredbu, a zatim pritisnite Enter:

tasklist /m sqlsrv32.dll
Ako naredba vrati zadatak, aplikacija je možda zahvaćena.
Da biste ublažili taj problem, učinite nešto od sljedećeg:

  • Ako aplikacija već upotrebljava ili može upotrebljavati naziv izvora podataka (DSN) za odabir ODBC veza, instalirajte Microsoftov ODBC upravljački program 17 za SQL Server i odaberite ga za upotrebu s aplikacijom s pomoću DSN-a.

    Napomena: Preporučujemo najnoviju verziju Microsoft ODBC upravljačkog programa 17 za SQL Server jer je kompatibilniji s aplikacijama koje trenutno koriste naslijeđeni Microsoft ODBC upravljački program za SQL Server (sqlsrv32.dll) nego Microsoft ODBC upravljački program 18 za SQL Server.
  • Ako aplikacija ne može upotrebljavati DSN, aplikacija će se morati izmijeniti kako bi omogućila DSN ili kako bi mogla upotrebljavati noviji ODBC upravljački program od Microsoftova ODBC upravljačkog programa za SQL Server (sqlsrv32.dll).
Taj je problem riješen u KB5022348. Ako ste implementirali gore navedeno zaobilazno rješenje, preporučuje se da nastavite koristiti konfiguraciju u zaobilaznom rješenju.

Kako preuzeti ovo ažuriranje

Prije instaliranja ažuriranja

Svakako preporučujemo da prije instaliranja najnovijeg skupnog ažuriranja instalirate najnovije ažuriranje servisnog stoga (SSU) za svoj operacijski sustav. SSU-ovi poboljšavaju pouzdanost postupka ažuriranja da bi se smanjili potencijalni problemi pri instaliranju skupnog ažuriranja i primjeni Microsoftovih sigurnosnih popravaka. Općenite informacije o SSU-ovima potražite u odjeljcima Ažuriranja servisnih stogova i Ažuriranja servisnih stogova (SSU): najčešća pitanja.

Ako koristite Windows Update, najnoviji SSU (KB5016263) ponudit će vam se automatski. Da biste preuzeli samostalni paket za najnoviji SSU, potražite ga na web-mjestu Katalog Microsoft Update.

Jezični paketi

Ako jezični paket instalirate, nakon što ste instalirali ovo ažuriranje, ovo ažuriranje potrebno je ponovno instalirati. Stoga preporučujemo da sve potrebne jezične pakete instalirate, prije nego instalirate ovo ažuriranje. Dodatne informacije potražite u članku Dodavanje jezičnih paketa u sustav Windows.

Instaliranje ovog ažuriranja

Kanal izdavanja Dostupno Sljedeći korak
Windows Update i Microsoft Update Da Nema. Ovo će se ažuriranje automatski preuzeti i instalirati sa servisa Windows Update.
Katalog Microsoft Update Da Da biste nabavili samostalni paket za to ažuriranje, posjetite web-mjesto Katalog Microsoft Update.
Windows Server Update Services (WSUS) Da Ovo će se ažuriranje automatski sinkronizirati s WSUS-om ako konfigurirate Proizvode i klasifikacije na sljedeći način:
Proizvod: Windows Server 2012, Windows Embedded 8 Standard
Klasifikacija: sigurnosna ažuriranja

Informacije o datoteci

Za popis datoteka sadržanih u ovom ažuriranju preuzmite informacije o datotekama u ažuriranju KB5020009.

Reference

Saznajte više o standardnoj terminologiji koja se koristi za opis Microsoftovih softverskih ažuriranja.