Sažetak
Saznajte više o ovom kumulativnom sigurnosnom ažuriranju, uključujući informacije o poboljšanjima, poznatim problemima i načinu preuzimanja ažuriranja.
Napomena
- PODSJETNIKWindows Server 2012 završio je osnovnu podršku te je sada proširena podrška. Od srpnja 2020. više neće biti izbornih izdanja (poznatih kao izdanja "C" ili "D") za ovaj operacijski sustav. Operacijski sustavi za koje traje produljena podrška imaju samo kumulativna mjesečna sigurnosna ažuriranja (poznata pod nazivom "B" ili ažuriranje utorkom).
- Prije instaliranja ovog ažuriranja provjerite jeste li instalirali potrebna ažuriranja navedena u odjeljku Kako nabaviti ovo ažuriranje .
Napomena
Informacije o različitim vrstama ažuriranja sustava Windows, kao što su kritična, sigurnosna, ažuriranja upravljačkih programa, servisni paketi itd., potražite u sljedećem članku. Da biste vidjeli ostale bilješke i poruke, posjetite početnu stranicu povijesti ažuriranja za Windows Server 2012.
Poboljšanja
Ovo kumulativno sigurnosno ažuriranje sadrži poboljšanja koja su dio ažuriranja KB5017370 (objavljenog 11. listopada 2022.) i obuhvaća ključne promjene za sljedeće:
Rješava problem pojačavanja provjere autentičnosti Distributed Component Object Model (DCOM) radi automatskog podizanja razine provjere autentičnosti za sve neanonimne zahtjeve aktivacije od klijenata DCOM-a. To će se dogoditi ako je razina provjere autentičnosti manja od RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.
Ažuriranja ljetno računanje vremena (DST) za Jordan kako bi se spriječilo pomicanje sata za 1 sat unatrag 28. listopada 2022. Osim toga, zaslonsko ime Jordana standardno vrijeme mijenja iz "(UTC+02:00) Amman" u "(UTC+03:00) Amman".
Rješava problem da Microsoft Azure Active Directory (AAD) aplikacijski proxy konektor ne može dohvatiti potvrdu za provjeru autentičnosti protokola Kerberos u ime korisnika zbog sljedeće općenite pogreške API-ja: "Navedeno držanje nije valjano (0x80090301)."
Rješava problem zbog kojeg nakon instalacije ažuriranja od 11. siječnja 2022. ili novijeg ažuriranja postupak stvaranja pouzdanosti šume ne uspije popuniti sufikse naziva DNS-a u atribute informacija o pouzdanosti.
Rješava sigurnosne slabe točke u protokolima Kerberos i Netlogon kao što je navedeno u CVE-2022-38023, CVE-2022-37966 i CVE-2022-37967. Upute za implementaciju potražite u sljedećim člancima:
- KB5020805: Kako upravljati promjenama protokola Kerberos koje se odnose na CVE-2022-37967
- KB5021130: upravljanje promjenama protokola Netlogon koje se odnose na CVE-2022-38023
- KB5021131: Kako upravljati promjenama protokola Kerberos koje se odnose na CVE-2022-37966
Dodatne informacije o otklonjenim sigurnosnim slabim točkama potražite u odjeljku Implementacije | Vodič za sigurnosna ažuriranja i sigurnosna ažuriranja za studeni 2022.
Dodatne informacije o otklonjenim sigurnosnim slabim točkama potražite u odjeljku Implementacije | Vodič za sigurnosna ažuriranja i sigurnosna ažuriranja za studeni 2022.
Poznati problemi u ovom ažuriranju
| Simptom | Sljedeći korak |
|---|---|
| Nakon instalacije ovog ažuriranja ili novijeg ažuriranja sustava Windows operacije pridruživanja domeni mogu biti neuspješne i može doći do pogreške "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Uz to, privući ćete tekst "Račun s istim nazivom postoji na servisu Active Directory. Može se prikazati ponovno korištenje računa blokirano pravilnikom sigurnosti". Zahvaćeni scenariji obuhvaćaju neke operacije pridruživanja domeni ili ponovnog snimanja slike kada je računalni račun stvoren ili unaprijed pripremljen pomoću identiteta različitog od onoga koji se koristi za pridruživanje računala domeni ili njegovo ponovno pridruživanje domeni. Dodatne informacije o tom problemu potražite u članku KB5020276 – Netjoin: promjene u pojačavanju pridruživanja domeni. Napomena Izdanja sustava Windows za korisnička računala vjerojatno neće imati ovaj problem. |
Upute za ovaj problem potražite u KB5020276 . |
Nakon instaliranja ažuriranja sustava Windows objavljenih 8. studenog 2022. ili kasnije na sustavima Windows Server koji koriste ulogu kontrolora domene mogli biste imati problema s provjerom autentičnosti Kerberos. Taj problem može utjecati na bilo koju provjeru autentičnosti putem sustava Kerberos u vašem okruženju. Neki scenariji na koje bi to moglo utjecati:
Napomena Zahvaćeni događaji sadržavat će niz " ključ koji nedostaje ima ID 1": Prilikom obrade zahtjeva AS za ciljnu uslugu <>naziv> računa <nije sadržavao odgovarajući ključ za generiranje potvrde za provjeru autentičnosti protokola Kerberos (ključ koji nedostaje ima ID 1). Zatraženi etipovi: 18 3. Dostupni računi etipovi : 23 18 17. Promjenom ili ponovnim postavljanjem lozinke <naziva> računa generirat će se odgovarajući ključ. Napomena Za taj se problem ne očekuje da bude dio sigurnosnog pojačanja za Netlogon i Kerberos počevši od sigurnosnog ažuriranja za studeni 2022. I dalje ćete morati slijediti upute u ovim člancima čak i nakon što se problem riješi. Taj problem ne utječe na uređaje sa sustavom Windows koje korisnici upotrebljavaju kod kuće ili uređaje koji nisu dio lokalne domene. To ne utječe na okruženja servisa Azure Active Directory koja nisu hibridna i nemaju lokalni Active Directory poslužitelje. |
Taj je problem riješen u ažuriranju KB5021652. |
| Nakon instalacije ovog ili kasnijeg ažuriranja na domenski kontroler (DC) može se pojaviti curenje memorije uz Local Security Authority Subsystem Service (LSASS,exe). Ovisno o radnom opterećenju DC-a i količini vremena od zadnjeg ponovnog pokretanja poslužitelja, LSASS može neprekidno povećavati upotrebu memorije kada je poslužitelj pokrenut, a poslužitelj može prestati reagirati ili se automatski ponovo pokrenuti. Napomena Taj problem može utjecati na izvanredna ažuriranja za DC-ove objavljena 17. studenoga 2022. i 18. studenoga 2022. |
Da biste ublažili taj problem, otvorite naredbeni redak kao administrator i pomoću sljedeće naredbe postavite ključ registra KrbtgtFullPacSignature na 0:reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORDNapomena Nakon što je taj poznati problem riješen, trebali biste postaviti KrbtgtFullPacSignature na višu postavku, ovisno o tome što vaše okruženje dopušta. Preporučujemo da omogućite način provedbe čim vaše okruženje bude spremno. Dodatne informacije o ovom ključu registra potražite u članku KB5020805: Kako upravljati promjenama protokola Kerberos koje se odnose na CVE-2022-37967. Radimo na razlučivosti i osigurat ćemo ažuriranje u nadolazećem izdanju. |
Nakon instalacije ovog ažuriranja aplikacije koje upotrebljavaju ODBC veze putem upravljačkog programa Microsoft ODBC SQL Server Driver (sqlsrv32.dll) za pristup bazama podataka možda se neće povezati. Osim toga, možda ćete primiti poruku o pogrešci u aplikaciji ili će vam se prikazati poruka o pogrešci platforme SQL Server. Pogreške koje se mogu pojaviti obuhvaćaju sljedeće poruke:
Da biste odlučili upotrebljavate li zahvaćenu aplikaciju, otvorite aplikaciju koja se povezuje s bazom podataka. Otvorite prozor naredbenog retka, unesite sljedeću naredbu, a zatim pritisnite Enter: tasklist /m sqlsrv32.dllAko naredba vrati zadatak, aplikacija je možda zahvaćena. |
Da biste ublažili taj problem, učinite nešto od sljedećeg:
|
Kako preuzeti ovo ažuriranje
Prije instaliranja ažuriranja
Svakako preporučujemo da prije instaliranja najnovijeg skupnog ažuriranja instalirate najnovije ažuriranje servisnog stoga (SSU) za svoj operacijski sustav. SSU-ovi poboljšavaju pouzdanost postupka ažuriranja da bi se smanjili potencijalni problemi pri instaliranju skupnog ažuriranja i primjeni Microsoftovih sigurnosnih popravaka. Općenite informacije o SSU-ovima potražite u odjeljcima Ažuriranja servisnih stogova i Ažuriranja servisnih stogova (SSU): najčešća pitanja.
Ako koristite Windows Update, najnoviji SSU (KB5016263) ponudit će vam se automatski. Da biste preuzeli samostalni paket za najnoviji SSU, potražite ga na web-mjestu Katalog Microsoft Update.
Jezični paketi
Ako jezični paket instalirate, nakon što ste instalirali ovo ažuriranje, ovo ažuriranje potrebno je ponovno instalirati. Stoga preporučujemo da sve potrebne jezične pakete instalirate, prije nego instalirate ovo ažuriranje. Dodatne informacije potražite u članku Dodavanje jezičnih paketa u sustav Windows.
Instaliranje ovog ažuriranja
| Kanal izdavanja | Dostupno | Sljedeći korak |
|---|---|---|
| Windows Update i Microsoft Update | Da | Nema. Ovo će se ažuriranje automatski preuzeti i instalirati sa servisa Windows Update. |
| Katalog Microsoft Update | Da | Da biste nabavili samostalni paket za to ažuriranje, posjetite web-mjesto Katalog Microsoft Update. |
| Windows Server Update Services (WSUS) | Da | Ovo će se ažuriranje automatski sinkronizirati s WSUS-om ako konfigurirate Proizvode i klasifikacije na sljedeći način: Proizvod: Windows Server 2012, Windows Embedded 8 Standard Klasifikacija: sigurnosna ažuriranja |
Informacije o datoteci
Za popis datoteka sadržanih u ovom ažuriranju preuzmite informacije o datotekama u ažuriranju KB5020009.
Reference
Saznajte više o standardnoj terminologiji koja se koristi za opis Microsoftovih softverskih ažuriranja.