Oppsummering
Mer informasjon om denne kumulative sikkerhetsoppdateringen, inkludert forbedringer, kjente problemer og hvordan du får tak i oppdateringen.
Obs!
- PÅMINNELSEWindows8.1 vil nå slutten på støtten 10. januar 2023, og på dette tidspunktet vil ikke teknisk støtte og programvareoppdateringer lenger bli gitt. Hvis du har enheter som kjører Windows 8.1, anbefaler vi at du oppgraderer dem til en nyere, aktiv og støttet Windows-versjon. Hvis enhetene ikke oppfyller de tekniske kravene for å kjøre en nyere versjon av Windows, anbefaler vi at du erstatter enheten med en som støtter Windows 11.
- Microsoft tilbyr ikke et ESU-program (Extended Security Update) for Windows 8.1. Hvis du fortsetter å bruke Windows 8.1 etter 10. januar 2023, kan det øke organisasjonens eksponering for sikkerhetsrisikoer eller påvirke organisasjonens evne til å oppfylle samsvarsforpliktelser.
- Hvis du vil ha mer informasjon, kan du se Windows 8.1-støtte avsluttes 10. januar 2023.
- Kundestøtten for Windows Server 2012 R2 avvikles 10. oktober 2023 for Datacenter, Essentials, Embedded Systems, Foundation og Standard.
Obs!
Vær oppmerksom på Hvis du vil ha informasjon om de forskjellige typene Windows-oppdateringer, for eksempel kritisk, sikkerhet, driver, oppdateringspakker og lignende, kan du se følgende artikkel. Hvis du vil vise andre notater og meldinger, kan du se startsiden for oppdateringsloggen for Windows 8.1 og Windows Server 2012 R2.
Forbedringer
Denne kumulative sikkerhetsoppdateringen inneholder forbedringer som er en del av oppdatering KB5018474 (utgitt 11. oktober 2022), og inneholder viktige endringer for følgende:
Løser et problem med godkjenningsforsterking av Distributed Component Object Model (DCOM) for automatisk å heve godkjenningsnivået for alle ikke-anonyme aktiveringsforespørsler fra DCOM-klienter. Dette skjer hvis godkjenningsnivået er mindre enn RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.
Oppdateringer sommertid (DST) for Jordan for å forhindre at klokken flyttes tilbake 1 time 28. oktober 2022. I tillegg, endrer visningsnavnet for Jordan normaltid fra «(UTC+02:00) Amman» til «(UTC+03:00) Amman».
Løser et problem der Microsoft Azure Active Directory (AAD) Programproxy Connector ikke kan hente en Kerberos-billett på vegne av brukeren på grunn av følgende generelle API-feil: «Det angitte håndtaket er ugyldig (0x80090301).»
Løser et problem der opprettingsprosessen for skogklarering ikke fyller ut DNS-navnesuffiksene i klareringsinformasjonsattributtene etter installasjon av oppdateringen fra 11. januar 2022 eller nyere.
Løser et problem der Microsoft Visual C++ Redistributable Runtime ikke lastes inn i Local Security Authority Server Service (LSASS) når lett beskyttet prosess (PPL) er aktivert.
Løser sikkerhetsproblemer i Kerberos- og Netlogon-protokollene som beskrevet i CVE-2022-38023, CVE-2022-37966 og CVE-2022-37967. Hvis du vil ha distribusjonsveiledning, kan du se følgende artikler:
- KB5020805: Slik administrerer du Kerberos-protokollendringene relatert til CVE-2022-37967
- KB5021130: Slik administrerer du endringene i Netlogon-protokollen knyttet til CVE-2022-38023
- KB5021131: Slik administrerer du Kerberos-protokollendringene relatert til CVE-2022-37966
Hvis du vil ha mer informasjon om sikkerhetsproblemene som er løst, kan du se Distribusjoner | Veiledning for sikkerhetsoppdateringer og sikkerhetsveiledningen for november 2022 Oppdateringer.
Hvis du vil ha mer informasjon om sikkerhetsproblemene som er løst, kan du se Distribusjoner | Veiledning for sikkerhetsoppdateringer og sikkerhetsveiledningen for november 2022 Oppdateringer.
Kjente problemer med denne oppdateringen
| Symptom | Neste trinn |
|---|---|
| Når denne oppdateringen eller en nyere Windows-oppdatering er installert, kan det hende at domenekoblingsoperasjoner mislykkes og at feilen «0xaac (2732): NERR_AccountReuseBlockedByPolicy» oppstår. I tillegg tekst som sier «Det finnes en konto med samme navn i Active Directory. Gjenbruk av kontoen ble blokkert av sikkerhetspolicy» kan vises. Berørte scenarier omfatter enkelte operasjoner for domenekobling eller ny avbildning der en datamaskinkonto ble opprettet eller forhåndskonfigurert av en annen identitet enn den som ble brukt til å koble datamaskinen til eller koble datamaskinen til domenet på nytt. Hvis du vil ha mer informasjon om dette problemet, kan du se KB5020276 – Netjoin: Endringer for herding av domenekobling. Vær oppmerksom på Det er lite sannsynlig at skrivebordsutgaver av Windows vil oppleve dette problemet. |
Dette problemet er løst i KB5023765. |
Når du har installert Windows-oppdateringer utgitt på eller etter 8. november 2022 på Windows-servere som bruker domenekontrollerrollen, kan du ha problemer med Kerberos-godkjenning. Dette problemet kan påvirke Kerberos-godkjenning i miljøet ditt. Noen scenarioer som kan bli påvirket:
Vær oppmerksom på Berørte hendelser vil inneholde strengen «Den manglende nøkkelen har en ID på 1»: Under behandling av en AS-forespørsel for måltjeneste<>, hadde ikke kontokontonavnet><en passende nøkkel for å generere en Kerberos-billett (den manglende nøkkelen har ID-en 1). De forespurte etypene : 18 3. Kontoene tilgjengelige etyper : 23 18 17. Hvis du endrer eller tilbakestiller passordet for <kontonavnet> , genereres en riktig nøkkel. Vær oppmerksom på Dette problemet er ikke en forventet del av sikkerhetsherdingen for Netlogon og Kerberos fra og med sikkerhetsoppdateringen for november 2022. Du må fortsatt følge veiledningen i disse artiklene selv etter at dette problemet er løst. Windows-enheter som brukes hjemme av forbrukere eller enheter som ikke er en del av et lokalt domene, påvirkes ikke av dette problemet. Azure Active Directory-miljøer som ikke er hybride og ikke har noen lokal Active Directory-servere, påvirkes ikke. |
Dette problemet er løst i oppdatering KB5021653. |
| Når du har installert denne oppdateringen eller en nyere oppdatering på en domenekontroller (DC), kan du oppleve en minnelekkasje med Local Security Authority Subsystem Service (LSASS,exe). Avhengig av arbeidsmengden til DC-en og hvor lenge det er siden forrige omstart av serveren, kan LSASS kontinuerlig øke minnebruken med oppetiden til serveren, og serveren svarer kanskje ikke svarer eller startes på nytt automatisk. Vær oppmerksom på Utenforliggende oppdateringer for DC-er som er utgitt 17. november 2022 og 18. november 2022, kan være påvirket av dette problemet. |
Hvis du vil løse dette problemet, åpner du en ledetekst som administrator og bruker følgende kommando for å angi registernøkkelen KrbtgtFullPacSignature til 0: reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORDNote Når dette kjente problemet er løst, bør du sette KrbtgtFullPacSignature til en høyere innstilling, avhengig av hva miljøet tillater. Vi anbefaler at du aktiverer håndhevelsesmodus så snart miljøet er klart. Hvis du vil ha mer informasjon om denne registernøkkelen, kan du se KB5020805: Slik administrerer du Kerberos-protokollendringer relatert til CVE-2022-37967. Vi arbeider med en løsning og vil gi en oppdatering i en kommende utgivelse. |
Når du har installert denne oppdateringen, kan det hende at apper som bruker ODBC-tilkoblinger via Microsoft ODBC SQL Server Driver (sqlsrv32.dll) for å få tilgang til databaser, ikke kan koble til. I tillegg kan det hende du får en feilmelding i appen, eller du kan få en feilmelding fra SQL Server. Feilmeldinger du kan få, omfatter følgende meldinger:
For å avgjøre om du bruker en berørt app, åpner du appen som er koblet til en database. Åpne et ledetekstvindu, skriv inn følgende kommando, og trykk deretter på Enter: oppgaveliste /m sqlsrv32.dll Hvis kommandoen returnerer en oppgave, kan appen være påvirket. |
Du kan løse dette problemet ved å gjøre ett av følgende:
|
Slik får du denne oppdateringen
Før du installerer denne oppdateringen
Vi anbefaler på det sterkeste at du installerer den nyeste servicestakkoppdateringen (SSU) for operativsystemet ditt før du installerer den nyeste samleoppdateringen. SSU-er forbedrer påliteligheten til oppdateringsprosessen for å løse potensielle problemer under installasjon av samleoppdateringen og bruk av sikkerhetsreparasjoner fra Microsoft. Hvis du vil ha generell informasjon om SSU-er, kan du se Servicestakkoppdateringer og Servicestakkoppdateringer (SSU): vanlige spørsmål.
Hvis du bruker Windows Update, blir den nyeste SSU (KB5018922) automatisk tilbudt til deg. Du kan få tak i denne oppdateringen som frittstående pakke for den nyeste SSU-en ved å søke etter den i Microsoft Update-katalogen.
Språkpakker
Hvis du installerer en språkpakke etter at du har installert denne oppdateringen, må du installere denne oppdateringen på nytt. Derfor anbefaler vi at du installerer alle språkpakker du trenger før du installerer denne oppdateringen. Hvis du vil ha mer informasjon, kan du se Legge til språkpakker i Windows.
Installer denne oppdateringen
| Utgivelseskanal | Tilgjengelig | Neste trinn |
|---|---|---|
| Windows Update og Microsoft Update | Ja | Ingen. Oppdateringen blir lastet ned og installert fra Windows Update automatisk. |
| Microsoft Update-katalog | Ja | Du kan få denne oppdateringen som en frittstående pakke ved å gå til nettstedet Microsoft Update-katalog. |
| Windows Server Update Services (WSUS) | Ja | Denne oppdateringen blir automatisk synkronisert med WSUS hvis du konfigurerer Produkter og klassifiseringer på denne måten: Produkt: Windows 8.1, Windows Server 2012 R2, Windows Embedded 8.1 Industry Enterprise, Windows Embedded 8.1 Industry Pro Klassifisering: Sikkerhetsoppdateringer |
Filinformasjon
Du finner en liste over filene i denne oppdateringen ved å laste ned filinformasjonen for oppdatering KB5020023.
Kilder
Finn ut mer om standardterminologien som brukes til å beskrive Microsoft-programvareoppdateringer.