概要
このセキュリティのみの更新プログラム (機能強化、既知の問題、更新プログラムの入手方法など) について詳しく説明します。
注
- REMINDERWindows Server 2012 はメインストリーム サポートの終了に達し、現在延長サポート中です。 2020 年 7 月以降、このオペレーティング システムには、オプションの非セキュリティ リリース (別称 "C" または "D" リリース) はありません。 延長サポート期間中のオペレーティング システムには、累積的な月例セキュリティ更新プログラム (別称「B」または Update Tuesday リリース) のみが提供されます。
- 「この更新プログラムの入手方法」セクションに記載されている必須の更新プログラムがインストールされていることを確認してから、この更新プログラムをインストールしてください。
注
メモ 重要、セキュリティ、ドライバー、サービス パックなど、さまざまな種類の Windows 更新プログラムの詳細については、次の 記事を参照してください。 その他のメモやメッセージを表示するには、Windows Server 2012 の更新履歴のホーム ページを参照してください。
改善点
このセキュリティのみの更新プログラムには、次の重要な変更が含まれています。
2022 年 10 月 28 日に時刻を 1 時間戻さないようにするために、ヨルダンの夏時間 (DST) をUpdatesします。 さらに、ヨルダン標準時の表示名を "(UTC+02:00) アンマン" から "(UTC+03:00) アンマン" に変更します。
2022 年 1 月 11 日以降の更新プログラムをインストールした後、フォレスト信頼の作成プロセスで DNS 名サフィックスを信頼情報属性に設定できない問題に対処します。
CVE-2022-38023、CVE-2022-37966、CVE-2022-37967 で説明されているように、Kerberos および Netlogon プロトコルのセキュリティの脆弱性に対処します。 デプロイ ガイダンスについては、次の記事を参照してください。
- KB5020805: CVE-2022-37967 に関連する Kerberos プロトコルの変更を管理する方法
- KB5021130: CVE-2022-38023 に関連する Netlogon プロトコルの変更を管理する方法
- KB5021131: CVE-2022-37966 に関連する Kerberos プロトコルの変更を管理する方法
解決されたセキュリティの脆弱性の詳細については、「デプロイ |セキュリティ更新プログラム ガイドと 2022 年 11 月のセキュリティ Updates。
解決されたセキュリティの脆弱性の詳細については、「デプロイ |セキュリティ更新プログラム ガイドと 2022 年 11 月のセキュリティ Updates。
この更新プログラムの既知の問題
| 現象 | 次の手順 |
|---|---|
| この更新プログラムまたはそれ以降の Windows 更新プログラムがインストールされると、ドメイン参加操作が失敗し、"0xaac (2732): NERR_AccountReuseBlockedByPolicy" というエラーが発生する可能性があります。 さらに、"同じ名前のアカウントが Active Directory に存在します。 セキュリティ ポリシーによってブロックされたアカウントの再利用" が表示される場合があります。 影響を受けるシナリオには、コンピューター アカウントがドメインへの参加または再参加に使用される ID とは異なる ID によって作成または事前にステージングされた、一部のドメイン参加または再イメージング操作が含まれます。 この問題の詳細については、「 KB5020276 -Netjoin: ドメイン参加の強化の変更」を参照してください。 メモ Windows のコンシューマー デスクトップ エディションでは、この問題が発生する可能性は低いです。 |
この問題 の ガイダンスについては、「KB5020276」を参照してください。 |
2022 年 11 月 8 日以降にリリースされた Windows 更新プログラムを、ドメイン コントローラーの役割を使用する Windows サーバーにインストールすると、Kerberos 認証で問題が発生する場合があります。 この問題は、環境内のすべての Kerberos 認証に影響を与える可能性があります。 影響を受ける可能性のあるいくつかのシナリオ:
メモ 影響を受けるイベントには、" 欠落しているキーの ID は 1" 文字列です。 ターゲット サービス <service> に対する AS 要求の処理中に、アカウント <account 名> Kerberos チケットを生成するための適切なキーがありませんでした (欠落しているキーの ID は 1)。 要求された etypes: 18 3。 利用可能なアカウントの種類: 23 18 17。 <account 名のパスワードを変更またはリセットすると>適切なキーが生成されます。 メモ この問題は、 2022 年 11 月のセキュリティ更新プログラム以降の Netlogon と Kerberos のセキュリティ強化の一部ではありません。 この問題が解決した後でも、これらの記事のガイダンスに従う必要があります。 コンシューマーが自宅で使用する Windows デバイスまたはオンプレミス ドメインの一部ではないデバイスは、この問題の影響を受けることはありません。 ハイブリッドではなく、オンプレミスの Active Directory サーバーがない Azure Active Directory 環境は影響を受けません。 |
この問題は、更新 プログラムのKB5021652で解決されます。 |
| この更新プログラムまたは後の更新プログラムをドメイン コントローラー (DC) にインストールすると、ローカル セキュリティ機関サブシステム サービス (LSASS,exe) でメモリ リークが発生する可能性があります。 DC のワークロードと、サーバーの最後の再起動後の時間によっては、LSASS によって、サーバーのアップ タイムと共にメモリ使用量が継続的に増加し、サーバーが応答しなくなるか、自動的に再起動する可能性があります。 メモ 2022 年 11 月 17 日と 2022 年 11 月 18 日にリリースされた DC の帯域外更新プログラムは、この問題の影響を受ける可能性があります。 |
この問題を軽減するには、管理者としてコマンド プロンプトを開き、次のコマンドを使用してレジストリ キー KrbtgtFullPacSignature を 0 に設定します。 reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD注意 この既知の問題が解決されたら、環境によって許可される内容に応じて KrbtgtFullPacSignature を高い設定に設定する必要があります。 環境の準備ができたらすぐに強制モードを有効にすることをお勧めします。 このレジストリ キーの詳細については、「 KB5020805: CVE-2022-37967 に関連する Kerberos プロトコルの変更を管理する方法」を参照してください。 現在、解決に向けて取り組んでおります。今後のリリースで更新プログラムを提供いたします。 |
この更新プログラムをインストールした後、Microsoft ODBC SQL Server Driver (sqlsrv32.dll) を介して ODBC 接続を使用してデータベースにアクセスするアプリが接続されない可能性があります。 さらに、アプリでエラーが発生する場合や、SQL Server からエラーが発生する場合があります。 発生する可能性があるエラーには、次のメッセージが含まれます。
影響を受けるアプリを使用しているかどうかを判断するには、データベースに接続するアプリを開きます。 コマンド プロンプト ウィンドウを開き、次のコマンドを入力して、Enter キーを押します。 tasklist /m sqlsrv32.dll コマンドがタスクを返した場合、アプリが影響を受ける可能性があります。 |
この問題を軽減するには、次のいずれかを実行します。
|
この更新プログラムの入手方法
この更新プログラムをインストールする前に
最新の累積更新プログラム (LCU) をインストールする前に、お使いのオペレーティング システム用の最新のサービス スタック更新プログラム (SSU) をインストールすることを強くお勧めします。 SSU は、更新プログラム プロセスの信頼性を改善し、ロールアップをインストールして Microsoft のセキュリティ修正プログラムを適用するときに発生する可能性がある問題を緩和します。 SSU に関する一般的な情報については、「サービス スタック更新プログラムとサービス スタック更新プログラム (SSU): よく寄せられる質問」を参照してください。
Windows Updateを使用すると、最新の SSU (KB5016263) が自動的に提供されます。 最新の SSU のスタンドアロン パッケージを入手するには、Microsoft Update カタログを検索してください。
注
アラームセキュリティのみの更新プログラムを使用している場合は、以前のすべてのセキュリティのみの更新プログラムとインターネット エクスプローラーの最新の累積的な更新プログラム (KB5019958) もインストールする必要があります。
言語パック
この更新プログラムをインストールした後に言語パックをインストールした場合は、この更新プログラムを再インストールする必要があります。 そのため、この更新プログラムをインストールする前に、必要な言語パックをすべてインストールすることをお勧めします。 詳細については、「Add language packs to Windows」(英語情報) を参照してください。
この更新プログラムのインストール
| リリース チャネル | 使用可能 | 次の手順 |
|---|---|---|
| Windows Update および Microsoft Update | いいえ | 他のオプションについては以下を参照してください。 |
| Microsoft Update カタログ | ○ | この更新プログラムのスタンドアロン パッケージを入手するには、Microsoft Update カタログ Web サイトに移動してください。 |
| Windows Server Update Services (WSUS) | はい | 次のように [製品と分類] を構成すると、この更新プログラムは WSUS と自動的に同期されます。 製品: Windows Server 2012、Windows Embedded 8 Standard 分類: セキュリティ更新プログラム |
ファイル情報
この更新プログラムで提供されるファイルの一覧については、更新プログラム のKB5020003のファイル情報をダウンロードします。
関連情報
マイクロソフトのソフトウェアの更新で使用される一般的な用語について