Samenvatting
Meer informatie over deze beveiligingsupdate, met inbegrip van verbeteringen, bekende problemen en hoe u de update downloadt.
Opmerking
- HERINNERINGWindows8.1 bereikt het einde van de ondersteuning op 10 januari 2023, waarna technische ondersteuning en software-updates niet meer worden geboden. Als u apparaten hebt waarop Windows 8.1 wordt uitgevoerd, raden wij u aan deze te upgraden naar een recentere, in gebruik genomen en ondersteunde Windows-release. Als apparaten niet voldoen aan de technische vereisten voor een recentere versie van Windows, raden we u aan het apparaat te vervangen door een apparaat dat ondersteuning biedt voor Windows 11.
- Microsoft biedt geen ESU-programma (Extended Security Update) voor Windows 8.1. Als u Windows 8.1 na 10 januari 2023 blijft gebruiken, kan dit de blootstelling van een organisatie aan beveiligingsrisico's vergroten of van invloed zijn op het vermogen om aan nalevingsverplichtingen te voldoen.
- Zie voor meer informatie Ondersteuning voor Windows 8.1 eindigt op 10 januari 2023.
- De ondersteuning voor Windows Server 2012 R2 wordt op 10 oktober 2023 beëindigd voor Datacenter, Essentials, Embedded-systemen, Foundation en Standard.
Opmerking
Notitie Zie het volgende artikel voor informatie over de verschillende typen Windows-updates, zoals essentiële updates, beveiligingsupdates, stuurprogramma-updates, servicepacks, enzovoort. Zie de startpagina van de updategeschiedenis van Windows 8.1 en Windows Server 2012 R2 als u andere opmerkingen en berichten wilt bekijken.
Verbeteringen
Deze beveiligingsupdate bevat belangrijke wijzigingen voor het volgende:
Updates van de zomertijd (DST) voor Jordanië om te voorkomen dat de klok 1 uur wordt teruggezet op 28 oktober 2022. Verandert bovendien de weergavenaam van Jordanië standaardtijd van "(UTC+02:00) Amman" in "(UTC+03:00) Amman".
Er is een probleem opgelost waarbij, na installatie van de update van 11 januari 2022 of later, het proces voor het maken van Forest Trust de DNS-naamachtervoegsels niet kan invullen in de kenmerken van de vertrouwensinformatie.
Lost beveiligingsproblemen op in de Kerberos- en Netlogon-protocollen zoals beschreven in CVE-2022-38023, CVE-2022-37966 en CVE-2022-37967. Zie de volgende artikelen voor hulp bij de implementatie:
- KB5020805: Hoe de Kerberos-protocolwijzigingen met betrekking tot CVE-2022-37967 te beheren
- KB5021130: Hoe de Netlogon-protocolwijzigingen met betrekking tot CVE-2022-38023 te beheren
- KB5021131: Hoe de Kerberos-protocolwijzigingen met betrekking tot CVE-2022-37966 te beheren
Meer informatie over de opgeloste beveiligingsproblemen vindt u in de sectie Implementaties | Handleiding voor beveiligingsupdates en de Security Updates van november 2022.
Meer informatie over de opgeloste beveiligingsproblemen vindt u in de sectie Implementaties | Handleiding voor beveiligingsupdates en de Security Updates van november 2022.
Bekende problemen in deze update
| Symptoom | Volgende stap |
|---|---|
| Nadat deze update of een latere Windows-update is geïnstalleerd, zijn domeindeelnamebewerkingen mogelijk mislukt en treedt fout '0xaac (2732): NERR_AccountReuseBlockedByPolicy' op. Daarnaast de tekst 'Er bestaat een account met dezelfde naam in Active Directory. Hergebruik van het account is geblokkeerd door beveiligingsbeleid" wordt mogelijk weergegeven. Getroffen scenario's omvatten enkele bewerkingen voor domeindeelname of re-imaging, waarbij een computeraccount is gemaakt of vooraf is voorbereid door een andere identiteit dan de identiteit die is gebruikt voor het koppelen of opnieuw koppelen van de computer aan het domein. Zie voor meer informatie over dit probleem KB5020276—Netjoin: Wijzigingen in het beveiligen van domeinjoins. Notitie Het is onwaarschijnlijk dat consumentendesktopedities van Windows dit probleem ondervinden. |
Dit probleem wordt opgelost in KB5023764. |
Na de installatie van Windows-updates die zijn uitgebracht op of na 8 november 2022 op Windows-servers die de rol Domeincontroller gebruiken, kunt u problemen ondervinden met Kerberos-verificatie. Dit probleem kan van invloed zijn op Kerberos-verificatie in uw omgeving. Enkele scenario's die kunnen worden beïnvloed:
Notitie Betrokken gebeurtenissen bevatten " de ontbrekende sleutel heeft een id van 1" tekenreeks: Tijdens het verwerken van een AS-aanvraag voor doelserviceservice <>was er voor de accountaccountnaam <> geen sleutel die geschikt was voor het genereren van een Kerberos-ticket (de ontbrekende sleutel heeft de id 1). De gevraagde etypes : 18 3. De beschikbare rekeningen etypes : 23 18 17. Als u het wachtwoord van <de accountnaam> wijzigt of opnieuw instelt, wordt een juiste sleutel gegenereerd. Notitie Dit probleem is geen verwacht onderdeel van de beveiliging voor Netlogon en Kerberos vanaf de beveiligingsupdate van november 2022. U moet de richtlijnen in deze artikelen nog steeds volgen, zelfs nadat dit probleem is opgelost. Windows-apparaten die thuis worden gebruikt door consumenten of apparaten die geen deel uitmaken van een on-premises domein, worden niet beïnvloed door dit probleem. Azure Active Directory-omgevingen die niet hybride zijn en geen on-premises Active Directory-servers hebben, worden niet beïnvloed. |
Dit probleem is opgelost in update KB5021653. |
| Nadat u deze update of een latere update op een domeincontroller (DC) hebt geïnstalleerd, kan er een geheugenlek optreden met de Local Security Authority Subsystem Service (LSASS,exe). Afhankelijk van de werkbelasting van je domeincontroller en de hoeveelheid tijd sinds de laatste keer dat de server opnieuw is opgestart, kan LSASS het geheugengebruik voortdurend verhogen met de up-time van de server en kan de server niet meer reageren of automatisch opnieuw opstarten. Notitie De out-of-band-updates voor DC's die zijn uitgebracht op 17 november 2022 en 18 november 2022, worden mogelijk beïnvloed door dit probleem. |
Als u dit probleem wilt verhelpen, opent u een opdrachtprompt als beheerder en gebruikt u de volgende opdracht om de registersleutel KrbtgtFullPacSignature in te stellen op 0: reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD Notitie Nadat dit bekende probleem is opgelost, moet u KrbtgtFullPacSignature instellen op een hogere instelling, afhankelijk van wat uw omgeving toestaat. We raden u aan de afdwingingsmodus in te schakelen zodra uw omgeving gereed is. Zie voor meer informatie over deze registersleutel KB5020805: Kerberos-protocolwijzigingen met betrekking tot CVE-2022-37967 beheren. We werken aan een oplossing en geven een update in een aanstaande release. |
Na de installatie van deze update maken apps die gebruikmaken van ODBC-verbindingen via Microsoft ODBC SQL Server Driver (sqlsrv32.dll) mogelijk geen verbinding met databases. Daarnaast kan er een fout in de app worden weergegeven of wordt er een fout van de SQL Server weergegeven. Fouten die u mogelijk ontvangt, zijn onder andere de volgende berichten:
Als u wilt bepalen of u een betrokken app gebruikt, opent u de app die verbinding maakt met een database. Open een opdrachtpromptvenster, typ de volgende opdracht en druk op Enter: takenlijst /m sqlsrv32.dll Als met de opdracht een taak wordt geretourneerd, kan dit gevolgen hebben voor de app. |
Als u dit probleem wilt beperken, kunt u een van de volgende dingen doen:
|
Hoe u deze update kunt downloaden
Vóór installatie van deze update
We raden u ten zeerste aan de meest recente onderhoudsstackupdate (SSU) voor het besturingssysteem te installeren voordat u het meest recente updatepakket installeert. SSU's verbeteren de betrouwbaarheid van het updateproces om potentiële problemen op te lossen tijdens het installeren van het updatepakket en het toepassen van beveiligingspatches van Microsoft. Zie Updates voor de onderhoudsstack en Veelgestelde vragen over updates voor de onderhoudsstack (SSU) voor algemene informatie over SSU's.
Als u Windows Update gebruikt, wordt de meest recente SSU (KB5018922) automatisch aan u aangeboden. Als u het zelfstandige pakket voor de meest recente SSU wilt downloaden, zoekt u hiernaar in de Microsoft Update-catalogus.
Opmerking
HERINNERING Als u alleen beveiligingsupdates gebruikt, moet u ook alle eerdere beveiligingsupdates en de meest recente cumulatieve update voor Internet Explorer (KB5019958) installeren.
Taalpakketten
Als je een taalpakket installeert nadat je deze update hebt geïnstalleerd, moet je deze update opnieuw installeren. Daarom raden we je aan alle taalpakketten te installeren die je nodig hebt voordat je deze update installeert. Zie Taalpakketten toevoegen aan Windows voor meer informatie.
Deze update installeren
| Uitgebracht via | Beschikbaar | Volgende stap |
|---|---|---|
| Windows Update en Microsoft Update | Nee | Zie hieronder de overige opties. |
| Microsoft Update-catalogus | Ja | Ga naar de website Microsoft Update-catalogus om het afzonderlijke pakket voor deze update te downloaden. |
| Windows Server Update Services (WSUS) | Ja | Deze update wordt automatisch als volgt gesynchroniseerd met WSUS als je Producten en categorieën configureert: Product: Windows 8.1, Windows Server 2012 R2, Windows Embedded 8.1 Industry Enterprise, Windows Embedded 8.1 Industry Pro Categorie: Beveiligingsupdate |
Bestandsinformatie
Download de bestandsinformatie voor update KB5020010 voor een lijst van bestanden die deel uitmaken van deze update.
Meer informatie
Meer informatie over de standaardterminologie die wordt gebruikt om Microsoft-software-updates te beschrijven.