Samenvatting
Meer informatie over deze cumulatieve beveiligingsupdate, met inbegrip van verbeteringen, bekende problemen en hoe u de update downloadt.
Opmerking
- HERINNERING De basisondersteuning voor Windows Server 2008 Service Pack 2 (SP2) is beëindigd en wordt nu uitgebreid ondersteund. Vanaf juli 2020 zijn er geen optionele, niet-beveiligingsreleases (ook wel 'C'-releases genoemd) voor dit besturingssysteem meer. Besturingssystemen in uitgebreide ondersteuning hebben alleen cumulatieve maandelijkse beveiligingsupdates (ook wel de 'B'- of Update Tuesday-release genoemd).
- Controleer of u de vereiste updates hebt geïnstalleerd in de sectie Deze update downloaden voordat u deze update installeert.
- Klanten die de Extended Security Update (ESU) voor on-premises versies van dit besturingssysteem hebben aangeschaft, moeten de procedures in KB4522133 volgen om beveiligingsupdates te blijven ontvangen nadat uitgebreide ondersteuning is beëindigd op 14 januari 2020. Zie KB4497181 voor meer informatie over ESU en welke edities worden ondersteund.
- Omdat ESU beschikbaar is als een afzonderlijke SKU voor elk van de jaren waarin ze worden aangeboden (2020, 2021 en 2022), en omdat ESU alleen kan worden aangeschaft in specifieke perioden van 12 maanden, moet u het derde jaar van ESU-dekking afzonderlijk aanschaffen en een nieuwe sleutel activeren op elk toepasselijk apparaat voor uw apparaten om beveiligingsupdates te blijven ontvangen in 2022.
- Als uw organisatie het derde jaar van de ESU-dekking niet heeft gekocht, moet u ESU voor jaar 1, jaar 2 en jaar 3 aanschaffen voor de toepasselijke Windows Server 2008 SP2-apparaten voordat u de MAK-sleutels van jaar 3 installeert en activeert om updates te ontvangen. De stappen voor het installeren, activeren en implementeren van ESU's zijn hetzelfde voor dekking in het eerste, tweede en derde jaar. Zie Extended Security Updates verkrijgen voor Windows-apparaten die in aanmerking komen voor het Volume Licensing-proces en Windows 7 ESU's aanschaffen als Cloud Solution Provider voor het CSP-proces voor meer informatie. Neem voor ingesloten apparaten contact op met de OEM (original equipment manufacturer).
- Zie de ESU-blog voor meer informatie.
Opmerking
Notitie Zie het volgende artikel voor informatie over de verschillende typen Windows-updates, zoals essentiële updates, beveiligingsupdates, stuurprogramma-updates, servicepacks, enzovoort. Zie de volgende startpagina voor updategeschiedenis als u andere opmerkingen en berichten voor Windows Server 2008 SP2 wilt weergeven.
Verbeteringen
Deze cumulatieve beveiligingsupdate bevat verbeteringen die deel uitmaken van update KB5017358 (uitgebracht op 11 oktober 2022) en bevat belangrijke wijzigingen voor het volgende:
Hiermee wordt een DCOM-verificatieprobleem (Distributed Component Object Model) opgelost waarbij het verificatieniveau automatisch wordt verhoogd voor alle niet-anonieme activeringsaanvragen van DCOM-clients. Dit gebeurt als het verificatieniveau lager is dan RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.
Updates van de zomertijd (DST) voor Jordanië om te voorkomen dat de klok 1 uur wordt teruggezet op 28 oktober 2022. Verandert bovendien de weergavenaam van Jordanië standaardtijd van "(UTC+02:00) Amman" in "(UTC+03:00) Amman".
Hiermee wordt een probleem opgelost waarbij Microsoft Azure Active Directory (AAD) toepassingsproxy Connector geen Kerberos-ticket kan ophalen namens de gebruiker vanwege de volgende algemene API-fout: 'De opgegeven handle is ongeldig (0x80090301).'
Er is een probleem opgelost waarbij, na installatie van de update van 11 januari 2022 of later, het proces voor het maken van Forest Trust de DNS-naamachtervoegsels niet kan invullen in de kenmerken van de vertrouwensinformatie.
Lost beveiligingsproblemen op in de Kerberos- en Netlogon-protocollen zoals beschreven in CVE-2022-38023, CVE-2022-37966 en CVE-2022-37967. Zie de volgende artikelen voor hulp bij de implementatie:
- KB5020805: Hoe de Kerberos-protocolwijzigingen met betrekking tot CVE-2022-37967 te beheren
- KB5021130: Hoe de Netlogon-protocolwijzigingen met betrekking tot CVE-2022-38023 te beheren
- KB5021131: Hoe de Kerberos-protocolwijzigingen met betrekking tot CVE-2022-37966 te beheren
Meer informatie over de opgeloste beveiligingsproblemen vindt u in de sectie Implementaties | Handleiding voor beveiligingsupdates en de Security Updates van november 2022.
Meer informatie over de opgeloste beveiligingsproblemen vindt u in de sectie Implementaties | Handleiding voor beveiligingsupdates en de Security Updates van november 2022.
Bekende problemen in deze update
| Symptoom | Volgende stap |
|---|---|
| Nadat u deze update hebt geïnstalleerd en uw apparaat opnieuw hebt opgestart, ontvangt u mogelijk de foutmelding 'Kan Windows-updates niet configureren. Wijzigingen worden ongedaan gemaakt. Schakel de computer niet uit' en de update kan worden weergegeven als Mislukt in de updategeschiedenis. | Dit wordt in de volgende situaties verwacht:
|
| Nadat deze update of een latere Windows-update is geïnstalleerd, zijn domeindeelnamebewerkingen mogelijk mislukt en treedt fout '0xaac (2732): NERR_AccountReuseBlockedByPolicy' op. Daarnaast de tekst 'Er bestaat een account met dezelfde naam in Active Directory. Hergebruik van het account is geblokkeerd door beveiligingsbeleid" wordt mogelijk weergegeven. Getroffen scenario's omvatten enkele bewerkingen voor domeindeelname of re-imaging, waarbij een computeraccount is gemaakt of vooraf is voorbereid door een andere identiteit dan de identiteit die is gebruikt voor het koppelen of opnieuw koppelen van de computer aan het domein. Zie voor meer informatie over dit probleem KB5020276—Netjoin: Wijzigingen in het beveiligen van domeinjoins. Notitie Het is onwaarschijnlijk dat consumentendesktopedities van Windows dit probleem ondervinden. |
Raadpleeg KB5020276 voor meer informatie over dit probleem. |
Na de installatie van Windows-updates die zijn uitgebracht op of na 8 november 2022 op Windows-servers die de rol Domeincontroller gebruiken, kunt u problemen ondervinden met Kerberos-verificatie. Dit probleem kan van invloed zijn op Kerberos-verificatie in uw omgeving. Enkele scenario's die kunnen worden beïnvloed:
Notitie Betrokken gebeurtenissen bevatten " de ontbrekende sleutel heeft een id van 1" tekenreeks: Tijdens het verwerken van een AS-aanvraag voor doelserviceservice <>was er voor de accountaccountnaam <> geen sleutel die geschikt was voor het genereren van een Kerberos-ticket (de ontbrekende sleutel heeft de id 1). De gevraagde etypes : 18 3. De beschikbare rekeningen etypes : 23 18 17. Als u het wachtwoord van <de accountnaam> wijzigt of opnieuw instelt, wordt een juiste sleutel gegenereerd. Notitie Dit probleem is geen verwacht onderdeel van de beveiliging voor Netlogon en Kerberos vanaf de beveiligingsupdate van november 2022. U moet de richtlijnen in deze artikelen nog steeds volgen, zelfs nadat dit probleem is opgelost. Windows-apparaten die thuis worden gebruikt door consumenten of apparaten die geen deel uitmaken van een on-premises domein, worden niet beïnvloed door dit probleem. Azure Active Directory-omgevingen die niet hybride zijn en geen on-premises Active Directory-servers hebben, worden niet beïnvloed. |
Dit probleem is opgelost in update KB5021657. |
| Nadat u deze update of een latere update op een domeincontroller (DC) hebt geïnstalleerd, kan er een geheugenlek optreden met de Local Security Authority Subsystem Service (LSASS,exe). Afhankelijk van de werkbelasting van je domeincontroller en de hoeveelheid tijd sinds de laatste keer dat de server opnieuw is opgestart, kan LSASS het geheugengebruik voortdurend verhogen met de up-time van de server en kan de server niet meer reageren of automatisch opnieuw opstarten. Notitie De out-of-band-updates voor DC's die zijn uitgebracht op 17 november 2022 en 18 november 2022, worden mogelijk beïnvloed door dit probleem. |
Als u dit probleem wilt verhelpen, opent u een opdrachtprompt als beheerder en gebruikt u de volgende opdracht om de registersleutel KrbtgtFullPacSignature in te stellen op 0: reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORDOpmerking Nadat dit bekende probleem is opgelost, moet u KrbtgtFullPacSignature instellen op een hogere instelling, afhankelijk van wat uw omgeving toestaat. We raden u aan de afdwingingsmodus in te schakelen zodra uw omgeving gereed is. Zie voor meer informatie over deze registersleutel KB5020805: Kerberos-protocolwijzigingen met betrekking tot CVE-2022-37967 beheren. We werken aan een oplossing en geven een update in een aanstaande release. |
Na de installatie van deze update maken apps die gebruikmaken van ODBC-verbindingen via Microsoft ODBC SQL Server Driver (sqlsrv32.dll) mogelijk geen verbinding met databases. Daarnaast kan er een fout in de app worden weergegeven of wordt er een fout van de SQL Server weergegeven. Fouten die u mogelijk ontvangt, zijn onder andere de volgende berichten:
Als u wilt bepalen of u een betrokken app gebruikt, opent u de app die verbinding maakt met een database. Open een opdrachtpromptvenster, typ de volgende opdracht en druk op Enter: takenlijst /m sqlsrv32.dll Als met de opdracht een taak wordt geretourneerd, kan dit gevolgen hebben voor de app. |
Als u dit probleem wilt beperken, kunt u een van de volgende dingen doen:
|
Hoe u deze update kunt downloaden
Vóór installatie van deze update
BELANGRIJK Klanten die de Extended Security Update (ESU) hebben aangeschaft voor on-premises versies van deze besturingssystemen, moeten de procedures in KB4522133 volgen om beveiligingsupdates te blijven ontvangen omdat uitgebreide ondersteuning is beëindigd op 14 januari 2020.
Zie KB4497181 voor meer informatie over ESU en welke edities worden ondersteund.
Taalpakketten
Als je een taalpakket installeert nadat je deze update hebt geïnstalleerd, moet je deze update opnieuw installeren. Daarom raden we je aan alle taalpakketten te installeren die je nodig hebt voordat je deze update installeert. Zie Taalpakketten toevoegen aan Windows voor meer informatie.
Vereiste:
Je moet de hieronder vermelde updates installeren en je apparaat opnieuw opstarten voordat je het meest recente updatepakket installeert. Door deze updates te installeren, verbetert de betrouwbaarheid van het updateproces en worden potentiële problemen opgelost tijdens het installeren van het updatepakket en het toepassen van beveiligingspatches van Microsoft.
- De onderhoudsstackupdate (SSU) van 9 april 2019 (KB4493730). Als u het zelfstandige pakket voor deze SSU wilt downloaden, zoekt u het op in de Microsoft Update-catalogus. Deze update is vereist om updates te installeren die alleen via SHA-2 zijn ondertekend.
- De nieuwste SHA-2-update (KB4474419) uitgebracht op 8 oktober 2019. Als u Windows Update gebruikt, wordt de meest recente SHA-2-update automatisch aan u aangeboden. Deze update is vereist om updates te installeren die alleen via SHA-2 zijn ondertekend. Zie Ondersteuning van handtekeningen bij 2019 SHA-2-programmacode vereist voor Windows en WSUS voor meer informatie over SHA-2-updates.
- Het Extended Security Updates (ESU) Licensing Preparation Package (KB4538484) of de update voor het Extended Security Updates (ESU) Licensing Preparation Package (KB4575904). Het ESU-pakket voor licentievoorbereiding wordt vanuit WSUS aangeboden. Als u het zelfstandige pakket voor deze ESU-licentievoorbereiding wilt downloaden, zoekt u het op in de Microsoft Update-catalogus.
Nadat u de bovenstaande items hebt geïnstalleerd, raadt Microsoft ten zeerste aan de meest recente SSU (KB5016129) te installeren. Als u Windows Update gebruikt, wordt de meest recente SSU automatisch aan u aangeboden als u een ESU-klant bent. Als u het zelfstandige pakket voor de meest recente SSU wilt downloaden, zoekt u hiernaar in de Microsoft Update-catalogus. Zie Updates voor de onderhoudsstack en Veelgestelde vragen over updates voor de onderhoudsstack (SSU) voor algemene informatie over SSU's.
Deze update installeren
| Uitgebracht via | Beschikbaar | Volgende stap |
|---|---|---|
| Windows Update en Microsoft Update | Ja | Geen. Deze update wordt automatisch gedownload en geïnstalleerd vanuit Windows Update als u een ESU-klant bent. |
| Microsoft Update-catalogus | Ja | Ga naar de website Microsoft Update-catalogus om het afzonderlijke pakket voor deze update te downloaden. |
| Windows Server Update Services (WSUS) | Ja | Deze update wordt automatisch als volgt gesynchroniseerd met WSUS als je Producten en categorieën configureert: Product: Windows Server 2008 Service Pack 2 Categorie: Beveiligingsupdates |
Bestandsinformatie
Download de bestandsinformatie voor update KB5020019 voor een lijst van bestanden die deel uitmaken van deze update.
Meer informatie
Meer informatie over de standaardterminologie die wordt gebruikt om Microsoft-software-updates te beschrijven.