8. studenog 2022. – KB5020019 (mjesečno skupno ažuriranje)

Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Više...Manje

Datum izdanja:

8.11.2022.

Verzija:

Mjesečno skupno ažuriranje

Sažetak

Saznajte više o kumulativnom sigurnosnom ažuriranju, uključujući informacije o poboljšanjima, poznatim problemima i načinu preuzimanja ažuriranja.

PODSJETNIKWindows Server 2008 Service Pack 2 (SP2) dosegnuo je kraj osnovne podrške i sada je u proširenoj podršci. Počevši od srpnja 2020. više neće biti neobaveznih izdanja koja nisu povezana sa sigurnošću (poznata pod nazivom "C" izdanja) za ovaj operacijski sustav. Operacijski sustavi u proširenoj podršci imaju samo kumulativna mjesečna sigurnosna ažuriranja (poznata pod nazivom "B" ili Ažuriranje u utorak).

Prije instaliranja ovog ažuriranja provjerite jeste li instalirali potrebna ažuriranja u odjeljku Kako nabaviti ovo ažuriranje.

Korisnici koji su kupili prošireno sigurnosno ažuriranje (ESU) za lokalne verzije ovog OS-a moraju slijediti postupke u ažuriranju KB4522133 da bi nastavili primati sigurnosna ažuriranja nakon završetka proširene podrške 14. siječnja 2020. Dodatne informacije o ESU-u i podržanim izdanjima potražite u članku KB4497181.

Budući da je ESU dostupan kao zaseban SKU za svaku godinu u kojoj se nude (2020., 2021. i 2022.) i zato što se ESU može kupiti samo u određenim 12-mjesečnim razdobljima – morate zasebno kupiti treću godinu pokrivenosti ESU-om i aktivirati novi ključ na svakom primjenjivom uređaju za uređaje da biste nastavili primati sigurnosna ažuriranja u 2022. godini.

Ako vaša tvrtka ili ustanova nije kupila treću godinu pokrivenosti ESU-om, morate kupiti 1. godinu, 2. godinu i ESU 3. godinu za primjenjive uređaje sa sustavom Windows Server 2008 SP2 da biste instalirali i aktivirali MAK ključeve za 3. godinu da biste primali ažuriranja. Koraci za instalaciju, aktivaciju i implementaciju ESU-a isti su za pokrivenost prve, druge i treće godine. Dodatne informacije potražite u članku Dobivanje proširene sigurnosne Ažuriranja za kvalificirane uređaje sa sustavom Windows za postupak količinskog licenciranja i kupnju ESU-a sustava Windows 7 kao davatelja rješenja u oblaku za CSP proces. Za ugrađene uređaje obratite se proizvođaču originalne opreme (OEM-u).

Dodatne informacije potražite na blogu o ESU-u.

Napomena Informacije o različitim vrstama ažuriranja sustava Windows, kao što su kritična, sigurnosna, upravljačka programa, servisni paketi itd., potražite u sljedećem članku. Da biste pogledali druge bilješke i poruke za Windows Server 2008 SP2, pogledajte sljedeću početnu stranicu povijesti ažuriranja.

Poboljšanja

Ovo kumulativno sigurnosno ažuriranje sadrži poboljšanja koja su dio ažuriranja KB5017358 (izdano 11. listopada 2022.) i obuhvaća ključne promjene za sljedeće:

Rješava problem s očiranjem provjere autentičnosti Distributed Component Object Model (DCOM) radi automatskog povećavanja razine provjere autentičnosti za sve zahtjeve za aktivaciju koji nisu anonimni iz DCOM klijenata. To će se dogoditi ako je razina provjere autentičnosti manja od RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.
Ažuriranja ljetno računanje vremena (DST) kako bi Jordan spriječio vraćanje sata 1 sat 28. listopada 2022. Osim toga, mijenja zaslonski naziv Jordan standardnog vremena iz "(UTC+02:00) Amman" u "(UTC+03:00) Amman".
Rješava problem zbog kojeg proxy poveznik aplikacije Microsoft Azure Active Directory (AAD) ne može dohvatiti kerberos kartu u ime korisnika zbog sljedeće opće pogreške API-ja: "Navedena ručica nije valjana (0x80090301)."
Rješava problem zbog kojeg nakon instalacije ažuriranja od 11. siječnja 2022. ili novije verzije proces stvaranja pouzdanosti šume ne popunjava dns nazive u atribute informacija o pouzdanosti.
Rješava sigurnosne slabe točke u protokolima Kerberos i Netlogon kao što je navedeno u cve-2022-38023, CVE-2022-37966 i CVE-2022-37967. Upute za implementaciju potražite u sljedećim člancima:
Dodatne informacije o otklonjenim sigurnosnim slabim točkama potražite u članku Implementacije | Vodič za sigurnosno ažuriranje i sigurnosna ažuriranja za studeni 2022. Ažuriranja.

Dodatne informacije o otklonjenim sigurnosnim slabim točkama potražite u članku Implementacije | Vodič za sigurnosno ažuriranje i sigurnosna ažuriranja za studeni 2022. Ažuriranja.

Poznati problemi u ovom ažuriranju

Simptom

Sljedeći korak

Kada instalirate ovo ažuriranje i ponovno pokrenete uređaj, možda će vam se prikazati pogreška "Nije moguće konfigurirati ažuriranja sustava Windows. Poništavanje promjena. Nemojte isključiti računalo", a ažuriranje se može prikazati kao neuspjelo u povijesti ažuriranja.

To se očekuje u sljedećim okolnostima:

Ako instalirate ovo ažuriranje na uređaju na kojem se koristi izdanje koje nije podržano za ESU. Potpuni popis podržanih izdanja potražite u članku KB4497181.
Ako nemate instaliran i aktiviran ključ za dodatak ESU MAK.

Ako ste kupili ključ za ESU te ste naišli na ovaj problem, provjerite jeste li primijenili sve preduvjete i aktivirali ključ. Informacije o aktivaciji potražite u ovoj objavi na blogu. Informacije o preduvjetima potražite u odjeljku "Kako preuzeti ovo ažuriranje" u ovom članku.

Nakon instalacije ovog ažuriranja ili kasnijeg ažuriranja sustava Windows operacije pridruživanja domeni mogu biti neuspješne i pojavljuje se pogreška "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Osim toga, u servisu Active Directory postoji i tekst u kojem se prikazuje "Račun s istim nazivom. Možda je ponovno korištenje računa blokirano sigurnosnim pravilnikom".

Zahvaćeni scenariji obuhvaćaju neke operacije pridruživanja domeni ili ponovnog snimanja u kojima je račun računala stvoren ili unaprijed postupan drugim identitetom od identiteta koji se koristi za pridruživanje računalu ili ponovno pridruživanje računalu u domenu.

Dodatne informacije o tom problemu potražite u članku KB5020276 – Netjoin: promjene otegnućivanja pridruživanja domeni.

Napomena Izdanja sustava Windows za korisničku radnu površinu vjerojatno neće imati taj problem.

Upute o tom problemu potražite u članku KB5020276 .

Nakon instalacije ažuriranja sustava Windows objavljenih 8. studenog 2022. ili kasnije na poslužiteljima sa sustavom Windows koji koriste ulogu Kontrolor domene možda imate problema s provjerom autentičnosti Kerberos. Taj problem može utjecati na bilo koju kerberos provjeru autentičnosti u vašem okruženju. Neki scenariji koji bi mogli biti zahvaćeni:

Prijava korisnika domene možda neće uspjeti. To može utjecati i na provjeru Active Directory Federation Services (AD FS).
Računi upravljanih usluga grupe (gMSA) koji se koriste za servise kao što je Internet Information Services (IIS Web Server) možda neće uspjeti provjeriti autentičnost.
Veze s udaljenom radnom površinom koje koriste korisnike domene možda se neće moći povezati.
Možda nećete moći pristupiti zajedničkim mapama na radnim stanicama i zajedničkim korištenjem datoteka na poslužiteljima.
Ispis koji zahtijeva provjeru autentičnosti korisnika domene možda neće uspjeti.

Kada se problem nai dogodi, u odjeljku Sustav zapisnika događaja na kontroleru domene s tekstom u nastavku može se pojaviti pogreška Id događaja 4 za Microsoft-Windows-Kerberos-Key-Distribution-Center.

Napomena Zahvaćeni događaji sadržavat će niz "ključ koji nedostaje ima ID od 1":

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

Napomena Taj problem nije očekivani dio sigurnosnog očnjavanja za Netlogon i Kerberos počevši od sigurnosnog ažuriranja za studeni 2022. I dalje ćete morati slijediti smjernice u ovim člancima čak i nakon što se problem riješi.

Taj problem ne utječe na uređaje sa sustavom Windows koje kod kuće koriste potrošači ili uređaji koji nisu dio lokalne domene. Okruženja servisa Azure Active Directory koja nisu hibridna i lokalni Active Directory ne utječe na poslužitelje.

Taj je problem riješen ažuriranjem KB5021657.

Nakon instalacije ovog ažuriranja ili kasnijeg ažuriranja na domenski kontroler (DC), možda ćete naići na curenje memorije uz Local Security Authority Subsystem Service (LSASS,exe). Ovisno o radnoj količini VAŠEG DC-a i vremenu od zadnjeg ponovnog pokretanja poslužitelja, LSASS može neprekidno povećavati korištenje memorije s vremenom na poslužitelju i poslužitelj može prestati reagirati ili automatski ponovno pokrenuti.

Napomena Taj problem može utjecati na ažuriranja koja nisu dostupna za PC-je izdane 17. studenog 2022. i 18. studenog 2022.

Da biste ublažili taj problem, otvorite naredbeni redak kao administrator i upotrijebite sljedeću naredbu da biste ključ registra KrbtgtFullPacSignaturepostavili na 0:

reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

Napomena Kada se taj poznati problem riješi, postavite KrbtgtFullPacSignature na višu postavku, ovisno o tome što vaše okruženje dopušta. Preporučujemo da omogućite način provođenja čim vaše okruženje bude spremno.

Dodatne informacije o ovom ključu registra potražite u članku KB5020805: Upravljanje promjenama protokola Kerberos povezanim s CVE-2022-37967.

Radimo na rješavanju ovog problema i omogućit ćemo ažuriranje u jednom od sljedećih izdanja.

Nakon instalacije ovog ažuriranja aplikacije koje koriste ODBC veze putem Microsoftova ODBC SQL Server upravljačkog programa (sqlsrv32.dll) za pristup bazama podataka možda se neće povezati. Uz to, možda će vam se prikazati pogreška u aplikaciji ili će vam se prikazati poruka o pogrešci SQL Server. Pogreške koje se mogu pojaviti obuhvaćaju sljedeće poruke:

EMS sustav naišao je na problem.
Poruka: [Microsoft][ODBC SQL Server Driver] Pogreška protokola u TDS Streamu.
EMS sustav naišao je na problem.
Poruka: [Microsoft][ODBC SQL Server upravljački program] Nepoznati token primljen od SQL Server.

Napomena za razvojne inženjere: Aplikacije na koje utječe taj problem možda neće moći dohvatiti podatke, primjerice prilikom korištenja funkcije SQLFetch. Taj se problem može pojaviti prilikom pozivanja funkcije SQLBindCol prije nego što SQLFetch ili poziva funkciju SQLGetData nakon SQLFetch i kada se za argument "BufferLength" za fiksne vrste podataka veće od 4 bajta (npr. SQL_C_FLOAT) daje vrijednost 0 (npr. SQL_C_FLOAT).

Da biste odlučili koristite li zahvaćenu aplikaciju, otvorite aplikaciju koja se povezuje s bazom podataka. Otvorite prozor naredbenog retka, upišite sljedeću naredbu, a zatim pritisnite Enter:

tasklist /m sqlsrv32.dll

Ako naredba vrati zadatak, to može utjecati na aplikaciju.

Da biste ublažili taj problem, učinite nešto od sljedećeg:

Ako aplikacija već koristi ili može koristiti naziv izvora podataka (DSN) za odabir ODBC veza, instalirajte Microsoft ODBC upravljački program 17 za SQL Server i odaberite ga za korištenje s aplikacijom pomoću DSN-a.

Napomena: Preporučujemo najnoviju verziju Microsoftova ODBC upravljačkog programa 17 za SQL Server jer je kompatibilniji s aplikacijama koje trenutno koriste naslijeđeni ODBC SQL Server upravljački program (sqlsrv32.dll) od Microsoftova ODBC upravljačkog programa 18 za SQL Server.
Ako aplikacija ne može koristiti DSN, aplikacija će se morati izmijeniti da bi omogućila DSN ili da bi mogla koristiti noviji ODBC upravljački program od Microsoftova ODBC SQL Server upravljačkog programa (sqlsrv32.dll).

Ovaj je problem riješen u ažuriranju KB5022340. Ako ste implementirani gore navedeno zaobilazno rješenje, preporučuje se da nastavite koristiti konfiguraciju u zaobilazno rješenje.

Kako preuzeti ovo ažuriranje

Prije instaliranja ažuriranja

VAŽNO Korisnici koji su kupili prošireno sigurnosno ažuriranje (ESU) za lokalne verzije tih operacijskih sustava moraju slijediti postupke u ažuriranju KB4522133 da bi nastavili primati sigurnosna ažuriranja jer je proširena podrška završila 14. siječnja 2020.

Dodatne informacije o ESU-u i podržanim izdanjima potražite u članku KB4497181.

Jezični paketi

Ako nakon instalacije ovog ažuriranja instalirate jezični paket, morate ponovno instalirati ovo ažuriranje. Stoga preporučujemo da prije instalacije ovog ažuriranja instalirate sve jezične pakete koji su vam potrebni. Dodatne informacije potražite u članku Dodavanje jezičnih paketa u Sustav Windows.

Preduvjet:

Prije instaliranja najnovijeg skupnog ažuriranja morate instalirati ažuriranja navedena u nastavku i ponovo pokrenuti uređaj. Instaliranjem ovih ažuriranja poboljšava se pouzdanost postupka ažuriranja i smanjuju potencijalni problemi pri instaliranju skupnog ažuriranja i primjeni Microsoftovih sigurnosnih popravaka.

Ažuriranje servisnog stoga (SSU) (KB4493730) od 9. travnja 2019. Da biste nabavili samostalni paket za ovaj SSU, potražite ga u Katalogu Microsoft Update. Ovo je ažuriranje potrebno za instaliranje ažuriranja samo s potpisom SHA-2.
Najnovije sha-2 ažuriranje (KB4474419) objavljeno 8. listopada 2019. Ako se koristite servisom Windows Update, najnovije ažuriranje SHA-2 ponudit će vam se automatski. Ovo je ažuriranje potrebno za instaliranje ažuriranja samo s potpisom SHA-2. Dodatne informacije o ažuriranjima SHA-2 potražite u članku Preduvjet podrške za potpisivanje koda SHA-2 za Windows i WSUS 2019.
Paket za pripremu licenciranja proširenog sigurnosnog Ažuriranja (ESU) (KB4538484) ili ažuriranje paketa za pripremu licenciranja proširenog sigurnosnog Ažuriranja (ESU) (KB4575904). Paket za pripremu licenciranja za ESU ponudit će vam se iz servisa WSUS. Da biste nabavili samostalni paket za paket za pripremu licenciranja za ESU, potražite ga u Katalogu Microsoft Update.

Nakon instaliranja prethodno navedenih stavki Microsoft vam svakako preporučuje da instalirate najnoviji SSU (KB5016129). Ako koristite Windows Update i ako ste klijent ESU-a, automatski će vam se ponuditi najnoviji SSU. Da biste nabavili samostalni paket za najnoviji SSU, potražite ga u Katalogu Microsoft Update. Općenite informacije o SSU-ima potražite u članku Ažuriranja servisnih stogova i servisni stog Ažuriranja (SSU): najčešća pitanja.

Instaliranje ovog ažuriranja

Kanal izdavanja	Dostupno	Sljedeći korak
Windows Update i Microsoft Update	Da	Ništa. Ovo će se ažuriranje automatski preuzeti i instalirati sa servisa Windows Update ako ste klijent ESU-a.
Katalog Microsoft Update	Da	Da biste nabavili samostalni paket za ovo ažuriranje, idite na web-mjesto Katalog Microsoft Update.
Windows Server Update Services (WSUS)	Da	Ovo će se ažuriranje automatski sinkronizirati s WSUS-om ako konfigurirate Proizvode i klasifikacije na sljedeći način: Proizvod: Windows Server 2008 Service Pack 2 Klasifikacija: sigurnosna ažuriranja