2022. november 8. – KB5020000 (havi kumulatív frissítés)

Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Egyebek...Kevesebb

Kiadás dátuma:

2022. 11. 08.

Verzió:

Havi kumulatív frissítés

MEGJEGYZÉS 2023. január 10-e után a Microsoft nem biztosít biztonsági frissítéseket vagy technikai támogatást a Windows 7 SP1 és a Windows Server 2008 R2 SP1 rendszerhez. Javasoljuk, hogy frissítsen a Windows egy újabb verziójára.

Összefoglalás

További információ erről az összegző biztonsági frissítésről, beleértve a fejlesztéseket, az ismert problémákat és a frissítés beszerzésének módját.

EMLÉKEZTETŐA Windows 7, a Windows Server 2008 R2, a Windows Embedded Standard 7 és a Windows Embedded POS Ready 7 elérte az alapvető technikai támogatás végét, és mostantól kiterjesztett biztonsági frissítési (ESU) támogatásban részesül. A Windows Thin PC elérte az alapvető technikai támogatás végét; az ESU-támogatás azonban nem érhető el.

2020 júliusától kezdve nem lesznek választható, nem biztonsági kiadások (más néven "C" kiadások) ehhez az operációs rendszerhez. A kiterjesztett támogatású operációs rendszerek csak havi összegző biztonsági frissítésekkel rendelkeznek (ez a "B" vagy a "Frissítés keddi" kiadás).

A frissítés telepítése előtt ellenőrizze, hogy telepítette-e a szükséges frissítéseket a Frissítés letöltése szakaszban.

Azok az ügyfelek, akik az operációs rendszer helyszíni verzióihoz megvásárolták a kiterjesztett biztonsági frissítést (ESU), a KB4522133-ban ismertetett eljárásokat követve továbbra is megkaphatják a biztonsági frissítéseket, miután a kiterjesztett támogatás 2020. január 14-én megszűnt. További információ az ESU-ról és a támogatott kiadásokról: KB4497181.

Mivel az ESU külön termékváltozatként érhető el az egyes kínált évekhez (2020, 2021 és 2022) – és mivel az ESU csak meghatározott 12 hónapos időszakokban vásárolható meg –, külön kell megvásárolnia az ESU-lefedettség harmadik évét, és minden megfelelő eszközön aktiválnia kell egy új kulcsot, hogy az eszközök továbbra is megkapják a biztonsági frissítéseket 2022-ben.

Ha szervezete nem vásárolta meg az ESU-lefedettség harmadik évét, akkor a frissítések fogadásához meg kell vásárolnia az 1. év, a 2. év és a 3. év ESU-t a megfelelő Windows 7 SP1 vagy Windows Server 2008 R2 SP1 rendszerű eszközökhöz. Az ESU-k telepítésének, aktiválásának és üzembe helyezésének lépései megegyeznek az első, a második és a harmadik év lefedettségével. További információ: Kiterjesztett biztonsági Frissítések beszerzése a mennyiségi licencelési folyamathoz jogosult Windows-eszközökhöz és Windows 7 ESU-k vásárlása felhőszolgáltatóként a CSP-folyamathoz. Beágyazott eszközök esetén forduljon az eredeti berendezés gyártójához (OEM).

További információt az ESU blogjában talál.

Megjegyzés A Windows-frissítések különböző típusaival, például a kritikus, a biztonsági, az illesztőprogramokkal, a szervizcsomagokkal stb. kapcsolatos információkért tekintse meg a következő cikket. A Windows 7 és a Windows Server 2008 R2 egyéb megjegyzéseit és üzeneteit az alábbi frissítési előzmények kezdőlapján tekintheti meg.

Fejlesztések

Ez az összegző biztonsági frissítés olyan fejlesztéseket tartalmaz, amelyek a 2022. október 11-én kiadott KB5017361-es frissítés részét képezik, és a következők legfontosabb módosításait tartalmazzák:

Elhárít egy elosztott összetevő-objektummodell (DCOM) hitelesítésmegerősítési problémáját, amely automatikusan emeli a hitelesítési szintet a DCOM-ügyfelektől érkező, nem névtelen aktiválási kérelmekhez. Ez akkor fordul elő, ha a hitelesítési szint kisebb, mint RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.
Frissítések jordániai nyári időszámítást (DST), hogy megakadályozza az óra 2022. október 28-án 1 órával való visszamozgatását. Emellett a Jordánia téli idejének megjelenített nevét "(UTC+02:00) Amman" értékről "(UTC+03:00) Amman" értékre módosítja.
Elhárít egy hibát, amely miatt a Microsoft Azure Active Directory (AAD) alkalmazásproxy Connector nem tud Kerberos-jegyet lekérni a felhasználó nevében a következő általános API-hiba miatt: "A megadott leíró érvénytelen (0x80090301)."
Elhárít egy hibát, amely miatt a 2022. január 11-i vagy újabb frissítés telepítése után az erdőszintű megbízhatósági kapcsolat létrehozási folyamata nem tudja feltölteni a DNS-név utótagjait a megbízhatósági adatok attribútumaiba.
A Kerberos- és Netlogon-protokollok biztonsági réseit a CVE-2022-38023, a CVE-2022-37966 és a CVE-2022-37967 cikkben leírtak szerint kezeli. Az üzembe helyezéssel kapcsolatos útmutatásért tekintse meg a következő cikkeket:
A megoldott biztonsági résekkel kapcsolatos további információkért lásd: Üzemelő példányok | Biztonsági frissítési útmutató és a 2022. novemberi biztonsági Frissítések.

Ismert problémák ebben a frissítésben

Tünet

Következő lépés

A frissítés telepítése és az eszköz újraindítása után a következő hibaüzenet jelenhet meg: "Nem sikerült konfigurálni a Windows-frissítéseket. A változtatások visszaállítása. Ne kapcsolja ki a számítógépet", és a frissítés sikertelenként jelenhet meg a Frissítési előzmények között.

Ez a következő körülmények között várható:

Ha a frissítést olyan eszközre telepíti, amely olyan kiadást futtat, amelyet az ESU nem támogat. A támogatott kiadások teljes listáját a KB4497181 tudásbáziscikkben találja.
Ha nincs telepítve és aktiválva egy ESU MAK kiegészítő kulcs.

Ha megvásárolt egy ESU-kulcsot, és találkozott ezzel a problémával, ellenőrizze, hogy alkalmazta-e az összes előfeltételt, és hogy a kulcs aktiválva van-e. Az aktiválással kapcsolatos információkért tekintse meg ezt a blogbejegyzést. Az előfeltételekkel kapcsolatos információkért tekintse meg a jelen cikk Frissítés letöltése című szakaszát.

A frissítés vagy egy újabb Windows-frissítés telepítése után előfordulhat, hogy a tartományhoz való csatlakozás sikertelen lesz, és "0xaac (2732): NERR_AccountReuseBlockedByPolicy" hibaüzenet jelenik meg. Emellett a következő szöveg is szerepel: "Egy azonos nevű fiók létezik az Active Directoryban. Előfordulhat, hogy a fiók újbóli használatát a biztonsági szabályzat letiltotta" üzenet jelenhet meg.

Az érintett forgatókönyvek közé tartoznak azok a tartományhoz való csatlakoztatási vagy újraképezendő műveletek, ahol a számítógépfiókot egy másik identitás hozta létre vagy előkészítette, mint a számítógép tartományhoz való csatlakoztatásához vagy újbóli csatlakoztatásához használt identitás.

További információ erről a problémáról: KB5020276 – Netjoin: Tartományhoz való csatlakozás korlátozásának módosításai.

Megjegyzés A Windows Consumer Desktop kiadásaiban nem valószínű, hogy ez a probléma jelentkezik.

A problémával kapcsolatos útmutatásért tekintse meg a KB5020276-os tudásbáziscikket .

A tartományvezérlői szerepkört használó Windows-kiszolgálókon 2022. november 8-án vagy azt követően kiadott Windows-frissítések telepítése után problémák merülhetnek fel a Kerberos-hitelesítéssel kapcsolatban. Ez a probléma hatással lehet a környezetben található Kerberos-hitelesítésre. Néhány forgatókönyv, amelyet érinthet:

A tartományi felhasználó bejelentkezése sikertelen lehet. Ez hatással lehet Active Directory összevonási szolgáltatások (AD FS) (AD FS) hitelesítésre is.
Előfordulhat, hogy a szolgáltatásokhoz, például az Internet Information Serviceshez (IIS-webkiszolgálóhoz) használt csoportosan felügyelt szolgáltatásfiókok (gMSA) hitelesítése sikertelen lehet.
Előfordulhat, hogy a tartományi felhasználókat használó távoli asztali kapcsolatok nem csatlakoznak.
Előfordulhat, hogy nem tud hozzáférni a munkaállomások megosztott mappáihoz és a kiszolgálókon lévő fájlmegosztásokhoz.
A tartományi felhasználó hitelesítését igénylő nyomtatás sikertelen lehet.

Ha ez a probléma merül fel, előfordulhat, hogy a tartományvezérlő eseménynaplójának Rendszer szakaszában 4-es hibaesemény jelenik meg a Microsoft-Windows-Kerberos-Key-Distribution-Center eseményazonosítóban az alábbi szöveggel.

Megjegyzés Az érintett események "a hiányzó kulcs azonosítója 1" sztringet tartalmaznak:

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

Megjegyzés Ez a probléma nem része a Netlogon és a Kerberos 2022. novemberi biztonsági frissítéssel kezdődő biztonsági megerősítésének. A probléma megoldása után is követnie kell az ezekben a cikkekben található útmutatást.

Ez a probléma nem érinti a fogyasztók vagy a helyszíni tartomány részét nem képező eszközök által otthon használt Windows-eszközöket. A nem hibrid és helyi Active Directory kiszolgálóval nem rendelkező Azure Active Directory-környezetekre nincs hatással.

Ezt a problémát a KB5021651-ös frissítés kezeli.

A frissítés vagy egy későbbi frissítés tartományvezérlőre (DC) való telepítése után memóriavesztés léphet fel a helyi biztonsági hatóság alrendszerszolgáltatásában (LSASS,exe). A tartományvezérlő számítási feladataitól és a kiszolgáló utolsó újraindítása óta eltelt időtől függően az LSASS a kiszolgáló üzemidejével folyamatosan növelheti a memóriahasználatot, és előfordulhat, hogy a kiszolgáló nem válaszol vagy automatikusan újraindul.

Megjegyzés A 2022. november 17-én és 2022. november 18-án kiadott, sávon kívüli frissítéseket érintheti ez a probléma.

A probléma megoldásához nyisson meg egy parancssort rendszergazdaként, és a következő paranccsal állítsa a KrbtgtFullPacSignature beállításkulcsot 0-ra:

reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

Megjegyzés Az ismert probléma megoldása után állítsa a KrbtgtFullPacSignature beállítást egy magasabb értékre attól függően, hogy a környezet mit fog engedélyezni. Javasoljuk, hogy amint a környezet készen áll, engedélyezze a Kényszerítési módot.

További információ erről a beállításkulcsról: KB5020805: A CVE-2022-37967-hez kapcsolódó Kerberos protokollmódosítások kezelése.

Dolgozunk a probléma megoldásán, és egy későbbi kiadásban biztosítunk frissítést.

A frissítés telepítése után előfordulhat, hogy azok az alkalmazások, amelyek ODBC-kapcsolatokat használnak a Microsoft ODBC SQL Server Illesztőprogramon (sqlsrv32.dll) keresztül az adatbázisok eléréséhez, előfordulhat, hogy nem csatlakoznak. Emellett előfordulhat, hogy hibaüzenetet kap az alkalmazásban, vagy hibaüzenetet kap a SQL Server. A következő hibaüzenetek jelenhetnek meg:

Az EMS-rendszer hibát észlelt.
Üzenet: [Microsoft][ODBC SQL Server Illesztőprogram] Protokollhiba a TDS Streamben.
Az EMS-rendszer hibát észlelt.
Üzenet: [Microsoft][ODBC SQL Server Illesztőprogram] Ismeretlen jogkivonat érkezett SQL Server.

Megjegyzés fejlesztőknek: Előfordulhat, hogy a probléma által érintett alkalmazások nem kérnek le adatokat, például az SQLFetch függvény használatakor. Ez a probléma akkor fordulhat elő, ha az SQLBindCol függvényt az SQLFetch előtt hívja meg, vagy az SQLGetData függvényt az SQLFetch után hívja meg, és ha a 4 bájtnál nagyobb rögzített adattípusok (például SQL_C_FLOAT) "BufferLength" argumentumának értéke 0 (nulla).

Annak eldöntéséhez, hogy egy érintett alkalmazást használ-e, nyissa meg az adatbázishoz csatlakozó alkalmazást. Nyisson meg egy parancssori ablakot, írja be a következő parancsot, majd nyomja le az Enter billentyűt:

tasklist /m sqlsrv32.dll

Ha a parancs feladatot ad vissza, akkor az alkalmazás érintett lehet.

A probléma megoldásához tegye a következők egyikét:

Ha az alkalmazás már használja vagy használhatja az adatforrás nevét (DSN) az ODBC-kapcsolatok kiválasztásához, telepítse a Microsoft ODBC Driver 17 for SQL Server alkalmazást, és válassza ki az alkalmazáshoz a DSN használatával való használatra.

Megjegyzés: Javasoljuk, hogy a Microsoft ODBC Driver 17 legújabb verzióját használja a SQL Server, mivel kompatibilisebb azokkal az alkalmazásokkal, amelyek jelenleg az örökölt Microsoft ODBC SQL Server Illesztőprogramot (sqlsrv32.dll) használják, mint a Microsoft ODBC Driver 18 for SQL Server.
Ha az alkalmazás nem tudja használni a DSN-t, módosítani kell az alkalmazást, hogy engedélyezhesse a DSN-t, vagy újabb ODBC-illesztőprogramot használjon, mint a Microsoft ODBC SQL Server Illesztőprogram (sqlsrv32.dll).

Ezt a problémát a KB5022338-ban megoldottuk. Ha implementálta a fenti áthidaló megoldást, javasoljuk, hogy folytassa a konfiguráció használatát a kerülő megoldásban.

A frissítés beszerzése

A frissítés telepítése előtt

FONTOS Azoknak az ügyfeleknek, akik megvásárolták a kiterjesztett biztonsági frissítést (ESU) ezen operációs rendszerek helyszíni verzióihoz, a biztonsági frissítések fogadásának folytatásához a KB4522133-ban ismertetett eljárásokat kell követniük. A kiterjesztett támogatás a következőképpen szűnt meg:

A Windows 7 Service Pack 1 és a Windows Server 2008 R2 Service Pack 1 esetében a kiterjesztett támogatás 2020. január 14-én megszűnt.
A Windows Embedded Standard 7 esetében a kiterjesztett támogatás 2020. október 13-án megszűnt.
A Windows Embedded POS Ready 7 esetében a kiterjesztett támogatás 2021. október 12-én megszűnt.
A Windows Thin PC esetében a kiterjesztett támogatás 2021. október 12-én megszűnt. Vegye figyelembe, hogy az ESU-támogatás Nem érhető el a Windows Thin PC-hez.

További információ az ESU-ról és a támogatott kiadásokról: KB4497181.

Megjegyzés A Windows Embedded Standard 7 esetén engedélyezni kell a Windows Management Instrumentation (WMI) szolgáltatást, hogy frissítéseket kapjon Windows Update vagy Windows Server Update Services.

Nyelvi csomagok

Ha a frissítés telepítése után nyelvi csomagot telepít, újra kell telepítenie ezt a frissítést. Ezért azt javasoljuk, hogy a frissítés telepítése előtt telepítsen minden szükséges nyelvi csomagot. További információ: Nyelvi csomagok hozzáadása a Windowshoz.

Előfeltétel

A legújabb kumulatív frissítés telepítése előtt mindenképpen telepítse az alábbi frissítéseket, illetve indítsa újra a készüléket. Ezeknek a frissítéseknek a telepítése javítja a frissítési folyamat megbízhatóságát a frissítés telepítése és a Microsoft biztonsági javításai alkalmazása közben fellépő lehetséges problémák mérséklése érdekében.

A karbantartási verem 2019. március 12-i frissítése (SSU) (KB4490628). Az SSU különálló csomagjának beszerzéséhez keressen rá a Microsoft Update katalógusában. A frissítés csak az SHA-2 aláírással rendelkező frissítések telepítéséhez szükséges.
Az SHA-2 legújabb frissítése (KB4474419) 2019. szeptember 10-én jelent meg. Windows Update használata esetén a rendszer automatikusan felajánlja a legújabb SHA-2 frissítést telepítését. A frissítés csak az SHA-2 aláírással rendelkező frissítések telepítéséhez szükséges. További információ az SHA-2 frissítéseiről: 2019 SHA-2 kódaláírási támogatás követelményei Windows és WSUS esetén.
A biztonsági frissítés beszerzéséhez újra kell telepítenie a "Kiterjesztett biztonsági Frissítések (ESU) licenc-előkészítési csomagot" (KB4538483) vagy a "Frissítés a kiterjesztett biztonsági Frissítések (ESU) licencelőkészítési csomagjához" (KB4575903) akkor is, ha korábban telepítette az ESU-kulcsot. Az ESU licencelési előkészítő csomagját a WSUS szolgáltatásból ajánljuk fel Önnek. Az ESU licencelőkészítési csomag különálló csomagjának beszerzéséhez keresse meg a Microsoft Update katalógusában.

A fenti elemek telepítése után határozottan javasoljuk, hogy telepítse a legújabb SSU-t (KB5017397). Ha Ön ESU-ügyfél, a Windows Update használata esetén a rendszer automatikusan felajánlja a legújabb SSU telepítését. A legújabb SSU különálló csomagjának beszerzéséhez keresse meg a Microsoft Update katalógusában. Az SSU-kkal kapcsolatos általános információkért lásd: Karbantartási veremfrissítések és karbantartási verem Frissítések (SSU): Gyakori kérdések.

A frissítés telepítése

Kiadási csatorna	Elérhető	Következő lépés
Windows Update és Microsoft Update	Igen	Nincs. Ez a frissítés automatikusan letöltésre és telepítésre kerül a Windows Update szolgáltatásból, ha Ön ESU-ügyfél.
Microsoft Update katalógus	Igen	A frissítés különálló csomagjának beszerzéséhez látogasson el a Microsoft Update Catalog webhelyére.
Windows Server Update Services (WSUS)	Igen	A frissítés automatikusan szinkronizálni fog a WSUS-sel, ha a Termékek és besorolások beállításaként a következőket adja meg: Termék: Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1, Windows Embedded Standard 7 Service Pack 1, Windows Embedded POSReady 7 Besorolás: Biztonsági frissítések