Sažetak
Saznajte više o ovom kumulativnom sigurnosnom ažuriranju, uključujući informacije o poboljšanjima, poznatim problemima i načinu preuzimanja ažuriranja.
Napomena
- PODSJETNIK Windows Server 2008 Service Pack 2 (SP2) završio je osnovnu podršku i sada je u fazi proširene podrške. Od srpnja 2020. za ovaj operacijski sustav više neće biti neobaveznih izdanja koja nisu povezana sa sigurnošću (poznata kao izdanja "C"). Operacijski sustavi za koje traje produljena podrška imaju samo kumulativna mjesečna sigurnosna ažuriranja (poznata pod nazivom "B" ili ažuriranje utorkom).
- Prije instaliranja ovog ažuriranja provjerite jeste li instalirali potrebna ažuriranja u odjeljku Kako nabaviti ovo ažuriranje .
- Korisnici koji su kupili prošireno sigurnosno ažuriranje (ESU) za lokalne verzije ovog OS-a moraju slijediti postupke u KB4522133 da bi nastavili primati sigurnosna ažuriranja nakon završetka proširene podrške 14. siječnja 2020. Dodatne informacije o ESU-u i podržanim izdanjima potražite u članku KB4497181.
- Budući da je ESU dostupan kao zaseban SKU za svaku godinu u kojoj se nude (2020., 2021. i 2022.) – i budući da se ESU može kupiti samo u određenim razdobljima od 12 mjeseci – morate zasebno kupiti treću godinu ESU pokrivenosti i aktivirati novi ključ na svakom primjenjivom uređaju kako biste nastavili primati sigurnosna ažuriranja u 2022.
- Ako vaša tvrtka ili ustanova nije kupila treću godinu pokrivenosti ESU-om, morate kupiti ESU za 1., 2. i 3. godinu za uređaje sa sustavom Windows Server 2008 SP2 prije instaliranja i aktivacije MAK ključeva 3. godine radi primanja ažuriranja. Koraci za instalaciju, aktivaciju i implementaciju ESU-a isti su za prvu, drugu i treću godinu. Dodatne informacije potražite u članku Dohvaćanje Proširenih sigurnosnih Ažuriranja za uređaje sa sustavom Windows koji ispunjavaju uvjete za postupak količinskog licenciranja i Kupnja ESU-a za Windows 7 kao davatelja rješenja u oblaku za postupak CSP-a. Za ugrađene uređaje obratite se proizvođaču originalne opreme (OEM).
- Dodatne informacije potražite na blogu ESU-a.
Napomena
Napomena Informacije o različitim vrstama ažuriranja sustava Windows, kao što su kritična, sigurnosna, ažuriranja upravljačkih programa, servisni paketi itd., potražite u sljedećem članku. Da biste pregledali ostale bilješke i poruke za Windows Server 2008 SP2, posjetite sljedeću početnu stranicu povijesti ažuriranja.
Poboljšanja
Ovo kumulativno sigurnosno ažuriranje sadrži poboljšanja koja su dio ažuriranja KB5017358 (objavljenog 11. listopada 2022.) i obuhvaća ključne promjene za sljedeće:
Rješava problem pojačavanja provjere autentičnosti Distributed Component Object Model (DCOM) radi automatskog podizanja razine provjere autentičnosti za sve neanonimne zahtjeve aktivacije od klijenata DCOM-a. To će se dogoditi ako je razina provjere autentičnosti manja od RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.
Ažuriranja ljetno računanje vremena (DST) za Jordan kako bi se spriječilo pomicanje sata za 1 sat unatrag 28. listopada 2022. Osim toga, zaslonsko ime Jordana standardno vrijeme mijenja iz "(UTC+02:00) Amman" u "(UTC+03:00) Amman".
Rješava problem da Microsoft Azure Active Directory (AAD) aplikacijski proxy konektor ne može dohvatiti potvrdu za provjeru autentičnosti protokola Kerberos u ime korisnika zbog sljedeće općenite pogreške API-ja: "Navedeno držanje nije valjano (0x80090301)."
Rješava problem zbog kojeg nakon instalacije ažuriranja od 11. siječnja 2022. ili novijeg ažuriranja postupak stvaranja pouzdanosti šume ne uspije popuniti sufikse naziva DNS-a u atribute informacija o pouzdanosti.
Rješava sigurnosne slabe točke u protokolima Kerberos i Netlogon kao što je navedeno u CVE-2022-38023, CVE-2022-37966 i CVE-2022-37967. Upute za implementaciju potražite u sljedećim člancima:
- KB5020805: Kako upravljati promjenama protokola Kerberos koje se odnose na CVE-2022-37967
- KB5021130: upravljanje promjenama protokola Netlogon koje se odnose na CVE-2022-38023
- KB5021131: Kako upravljati promjenama protokola Kerberos koje se odnose na CVE-2022-37966
Dodatne informacije o otklonjenim sigurnosnim slabim točkama potražite u odjeljku Implementacije | Vodič za sigurnosna ažuriranja i sigurnosna ažuriranja za studeni 2022.
Dodatne informacije o otklonjenim sigurnosnim slabim točkama potražite u odjeljku Implementacije | Vodič za sigurnosna ažuriranja i sigurnosna ažuriranja za studeni 2022.
Poznati problemi u ovom ažuriranju
| Simptom | Sljedeći korak |
|---|---|
| Kada instalirate ovo ažuriranje i ponovno pokrenete uređaj, možda će vam se prikazati pogreška "Nije moguće konfigurirati ažuriranja sustava Windows. Poništavanje promjena. Nemojte isključiti računalo", a ažuriranje se može prikazati kao neuspjelo u povijesti ažuriranja. | To se očekuje u sljedećim okolnostima:
|
| Nakon instalacije ovog ažuriranja ili novijeg ažuriranja sustava Windows operacije pridruživanja domeni mogu biti neuspješne i može doći do pogreške "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Uz to, privući ćete tekst "Račun s istim nazivom postoji na servisu Active Directory. Može se prikazati ponovno korištenje računa blokirano pravilnikom sigurnosti". Zahvaćeni scenariji obuhvaćaju neke operacije pridruživanja domeni ili ponovnog snimanja slike kada je računalni račun stvoren ili unaprijed pripremljen pomoću identiteta različitog od onoga koji se koristi za pridruživanje računala domeni ili njegovo ponovno pridruživanje domeni. Dodatne informacije o tom problemu potražite u članku KB5020276 – Netjoin: promjene u pojačavanju pridruživanja domeni. Napomena Izdanja sustava Windows za korisnička računala vjerojatno neće imati ovaj problem. |
Upute za ovaj problem potražite u KB5020276 . |
Nakon instaliranja ažuriranja sustava Windows objavljenih 8. studenog 2022. ili kasnije na sustavima Windows Server koji koriste ulogu kontrolora domene mogli biste imati problema s provjerom autentičnosti Kerberos. Taj problem može utjecati na bilo koju provjeru autentičnosti putem sustava Kerberos u vašem okruženju. Neki scenariji na koje bi to moglo utjecati:
Napomena Zahvaćeni događaji sadržavat će niz " ključ koji nedostaje ima ID 1": Prilikom obrade zahtjeva AS za ciljnu uslugu <>naziv> računa <nije sadržavao odgovarajući ključ za generiranje potvrde za provjeru autentičnosti protokola Kerberos (ključ koji nedostaje ima ID 1). Zatraženi etipovi: 18 3. Dostupni računi etipovi : 23 18 17. Promjenom ili ponovnim postavljanjem lozinke <naziva> računa generirat će se odgovarajući ključ. Napomena Za taj se problem ne očekuje da bude dio sigurnosnog pojačanja za Netlogon i Kerberos počevši od sigurnosnog ažuriranja za studeni 2022. I dalje ćete morati slijediti upute u ovim člancima čak i nakon što se problem riješi. Taj problem ne utječe na uređaje sa sustavom Windows koje korisnici upotrebljavaju kod kuće ili uređaje koji nisu dio lokalne domene. To ne utječe na okruženja servisa Azure Active Directory koja nisu hibridna i nemaju lokalni Active Directory poslužitelje. |
Taj je problem riješen u ažuriranju KB5021657. |
| Nakon instalacije ovog ili kasnijeg ažuriranja na domenski kontroler (DC) može se pojaviti curenje memorije uz Local Security Authority Subsystem Service (LSASS,exe). Ovisno o radnom opterećenju DC-a i količini vremena od zadnjeg ponovnog pokretanja poslužitelja, LSASS može neprekidno povećavati upotrebu memorije kada je poslužitelj pokrenut, a poslužitelj može prestati reagirati ili se automatski ponovo pokrenuti. Napomena Taj problem može utjecati na izvanredna ažuriranja za DC-ove objavljena 17. studenoga 2022. i 18. studenoga 2022. |
Da biste ublažili taj problem, otvorite naredbeni redak kao administrator i pomoću sljedeće naredbe postavite ključ registra KrbtgtFullPacSignature na 0: reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORDNapomena Nakon što je taj poznati problem riješen, trebali biste postaviti KrbtgtFullPacSignature na višu postavku, ovisno o tome što vaše okruženje dopušta. Preporučujemo da omogućite način provedbe čim vaše okruženje bude spremno. Dodatne informacije o ovom ključu registra potražite u članku KB5020805: Kako upravljati promjenama protokola Kerberos koje se odnose na CVE-2022-37967. Radimo na razlučivosti i osigurat ćemo ažuriranje u nadolazećem izdanju. |
Nakon instalacije ovog ažuriranja aplikacije koje upotrebljavaju ODBC veze putem upravljačkog programa Microsoft ODBC SQL Server Driver (sqlsrv32.dll) za pristup bazama podataka možda se neće povezati. Osim toga, možda ćete primiti poruku o pogrešci u aplikaciji ili će vam se prikazati poruka o pogrešci platforme SQL Server. Pogreške koje se mogu pojaviti obuhvaćaju sljedeće poruke:
Da biste odlučili upotrebljavate li zahvaćenu aplikaciju, otvorite aplikaciju koja se povezuje s bazom podataka. Otvorite prozor naredbenog retka, unesite sljedeću naredbu, a zatim pritisnite Enter: Popis zadataka /m sqlsrv32.dll Ako naredba vrati zadatak, aplikacija je možda zahvaćena. |
Da biste ublažili taj problem, učinite nešto od sljedećeg:
|
Kako preuzeti ovo ažuriranje
Prije instaliranja ažuriranja
VAŽNO Korisnici koji su kupili prošireno sigurnosno ažuriranje (ESU) za lokalne verzije tih operacijskih sustava moraju slijediti postupke u KB4522133 da bi nastavili primati sigurnosna ažuriranja jer je proširena podrška završila 14. siječnja 2020.
Dodatne informacije o ESU-u i podržanim izdanjima potražite u članku KB4497181.
Jezični paketi
Ako jezični paket instalirate, nakon što ste instalirali ovo ažuriranje, ovo ažuriranje potrebno je ponovno instalirati. Stoga preporučujemo da sve potrebne jezične pakete instalirate, prije nego instalirate ovo ažuriranje. Dodatne informacije potražite u članku Dodavanje jezičnih paketa u sustav Windows.
Preduvjet:
Prije instaliranja najnovijeg skupnog ažuriranja morate instalirati ažuriranja navedena u nastavku i ponovno pokrenuti svoj uređaj. Instaliranjem ovih ažuriranja poboljšava se pouzdanost postupka ažuriranja i smanjuju potencijalni problemi pri instaliranju skupnog ažuriranja i primjeni Microsoftovih sigurnosnih popravaka.
- Ažuriranje servisnog stoga (SSU) od 9. travnja 2019. (KB4493730). Da biste preuzeli samostalni paket za ovaj SSU, potražite ga na web-mjestu Katalog Microsoft Update. Ovo je ažuriranje potrebno za instaliranje ažuriranja samo s potpisom SHA-2.
- Najnovije SHA-2 ažuriranje (KB4474419) objavljeno 8. listopada 2019. Ako se koristite servisom Windows Update, najnovije ažuriranje SHA-2 ponudit će vam se automatski. Ovo je ažuriranje potrebno za instaliranje ažuriranja samo s potpisom SHA-2. Dodatne informacije o SHA-2 ažuriranjima potražite u odjeljku Preduvjet podrške za 2019 SHA-2 potpisivanje koda za Windows i WSUS.
- Paket za pripremu licenciranja (KB4538484) proširenog sigurnosnog Ažuriranja (ESU) ili ažuriranje paketa za pripremu licenciranja (KB4575904) proširenog sigurnosnog Ažuriranja (ESU). Paket za pripremu licenciranja za ESU ponudit će vam se iz servisa WSUS. Da biste preuzeli samostalni paket za pripremu licenciranja ESU-a, potražite ga na web-mjestu Katalog Microsoft Update.
Nakon instaliranja prethodno navedenih stavki, Microsoft vam svakako preporučuje da instalirate najnoviji SSU (KB5016129). Ako koristite Windows Update i ako ste klijent ESU-a, automatski će vam se ponuditi najnoviji SSU. Da biste preuzeli samostalni paket za najnoviji SSU, potražite ga na web-mjestu Katalog Microsoft Update. Općenite informacije o SSU-ovima potražite u odjeljcima Ažuriranja servisnih stogova i Ažuriranja servisnih stogova (SSU): najčešća pitanja.
Instaliranje ovog ažuriranja
| Kanal izdavanja | Dostupno | Sljedeći korak |
|---|---|---|
| Windows Update i Microsoft Update | Da | Nema. Ovo će se ažuriranje automatski preuzeti i instalirati sa servisa Windows Update ako ste klijent ESU-a. |
| Katalog Microsoft Update | Da | Da biste nabavili samostalni paket za to ažuriranje, posjetite web-mjesto Katalog Microsoft Update. |
| Windows Server Update Services (WSUS) | Da | Ovo će se ažuriranje automatski sinkronizirati s WSUS-om ako konfigurirate Proizvode i klasifikacije na sljedeći način: Proizvod: Windows Server 2008 Service Pack 2 Klasifikacija: sigurnosna ažuriranja |
Informacije o datoteci
Za popis datoteka sadržanih u ovom ažuriranju preuzmite informacije o datotekama u ažuriranju KB5020019.
Reference
Saznajte više o standardnoj terminologiji koja se koristi za opis Microsoftovih softverskih ažuriranja.