8 listopada 2022 r. — KB5020003 (aktualizacja samych zabezpieczeń)

Dotyczy
Windows Server 2012 Windows Embedded 8 Standard

Podsumowanie

Dowiedz się więcej o tej aktualizacji samych zabezpieczeń, w tym o ulepszeniach, znanych problemach oraz o tym, jak ją uzyskać.

Uwaga

  • PRZYPOMNIENIEsystem Windows Server 2012 osiągnął koniec wsparcia podstawowego i jest obecnie objęty wsparciem dodatkowym. Od lipca 2020 r. nie będą już dostępne wersje opcjonalne (znane jako wersje "C" lub "D") dla tego systemu operacyjnego. Systemy operacyjne objęte wsparciem dodatkowym mają tylko skumulowane comiesięczne aktualizacje zabezpieczeń (określane jako "B" lub wydania wtorkowe aktualizacji).
  • Przed zainstalowaniem tej aktualizacji upewnij się, że zainstalowano wymagane aktualizacje wymienione w sekcji Jak uzyskać tę aktualizację .

Uwaga

Wskazówka Aby uzyskać informacje na temat różnych typów aktualizacji systemu Windows, takich jak krytyczne, zabezpieczeń, sterowników, dodatki Service Pack itp., zobacz następujący artykuł. Aby wyświetlić inne uwagi i wiadomości, zobacz stronę główną historii aktualizacji systemu Windows Server 2012.

Ulepszenia

Ta tylko aktualizacja zabezpieczeń zawiera kluczowe zmiany w następujących elementach:

Aby uzyskać więcej informacji o usuniętych lukach w zabezpieczeniach, zapoznaj się z sekcją Wdrożenia | Przewodnik aktualizacji zabezpieczeń i Aktualizacje zabezpieczeń z listopada 2022 r.

Znane problemy z tą aktualizacją

Objaw Następny krok
Po zainstalowaniu tej lub nowszej aktualizacji systemu Windows operacje przyłączania do domeny mogą zakończyć się niepowodzeniem i może wystąpić błąd "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Ponadto tekst o treści "W usłudze Active Directory istnieje konto o takiej samej nazwie. Ponowne używanie konta zostało zablokowane przez zasady zabezpieczeń".
Problem dotyczy scenariuszy obejmujących niektóre operacje przyłączania do domeny lub ponownego przetwarzania obrazu, w których konto komputera zostało utworzone lub wstępnie przygotowane przez inną tożsamość niż tożsamość używana do dołączenia komputera do domeny lub ponownego przyłączenia go do domeny.
Aby uzyskać więcej informacji na temat tego problemu, zobacz KB5020276—Netjoin: zmiany ograniczania bezpieczeństwa przyłączania do domeny.
Wskazówka Jest mało prawdopodobne, aby ten problem wystąpił w klasycznych wersjach systemu Windows.
Zobacz KB5020276 , aby uzyskać wskazówki dotyczące tego problemu.
Po zainstalowaniu aktualizacji systemu Windows wydanych 8 listopada 2022 r. lub później na serwerach z systemem Windows korzystających z roli kontrolera domeny mogą występować problemy z uwierzytelnianiem Kerberos. Ten problem może mieć wpływ na dowolne uwierzytelnianie Kerberos w twoim środowisku. Niektóre scenariusze, których może to dotyczyć:

W przypadku wystąpienia tego problemu może zostać wyświetlone zdarzenie błędu Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 4 w sekcji System dziennika zdarzeń na kontrolerze domeny z poniższym tekstem.

Wskazówka Zdarzenia, których dotyczy problem, będą zawierać ciąg " brakujący klucz ma identyfikator 1":

Podczas przetwarzania żądania AS dla docelowej usługi serwisowej <nazwa> konta konta <nie miała odpowiedniego klucza do wygenerowania biletu protokołu Kerberos (brakujący klucz> ma identyfikator 1). Wymagane etypy : 18 3. Konta dostępne etypy : 23 18 17. Zmiana lub zresetowanie hasła lub <nazwy> konta wygeneruje odpowiedni klucz.
Wskazówka Ten problem nie jest oczekiwaną częścią wzmacniania zabezpieczeń dla usług Netlogon i Kerberos począwszy od aktualizacji zabezpieczeń z listopada 2022 r. Nadal trzeba postępować zgodnie ze wskazówkami zawartymi w tych artykułach nawet po rozwiązaniu tego problemu.

Ten problem nie wpływa na urządzenia z systemem Windows używane w domu przez użytkowników lub urządzenia, które nie należą do domeny lokalnej. Azure Nie ma to wpływu na środowiska usługi Active Directory, które nie są hybrydowe i nie mają serwerów lokalna usługa Active Directory.
Ten problem został rozwiązany w aktualizacji KB5021652.
Po zainstalowaniu tej aktualizacji lub nowszej na kontrolerze domeny może wystąpić przeciek pamięci w ramach usługi podsystemu urzędu zabezpieczeń lokalnych (LSASS,exe). W zależności od obciążenia kontrolera domeny i czasu od ostatniego ponownego uruchomienia serwera, usługa LSASS może stale zwiększać użycie pamięci wraz z czasem działania serwera, a serwer może przestać odpowiadać lub automatycznie uruchomić się ponownie.
Wskazówka Ten problem może mieć wpływ na aktualizacje poza pasmem dla kontrolerów domeny wydane 17 listopada 2022 r. i 18 listopada 2022 r.
Aby ograniczyć ten problem, otwórz wiersz polecenia jako administrator i użyj następującego polecenia, aby ustawić klucz rejestru KrbtgtFullPacSignature na 0:
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORDUwaga Po rozwiązaniu tego znanego problemu należy ustawić wyższe ustawienie KrbtgtFullPacSignature , w zależności od tego, na co pozwala środowisko. Zalecamy włączenie trybu wymuszania, gdy tylko środowisko będzie gotowe.
Aby uzyskać więcej informacji na temat tego klucza rejestru, zobacz KB5020805: Jak zarządzać zmianami protokołu Kerberos związanymi z CVE-2022-37967.
Pracujemy nad rozwiązaniem i udostępnimy aktualizację w następnej wersji.
Po zainstalowaniu tej aktualizacji aplikacje, które korzystają z połączeń ODBC za pośrednictwem sterownika Microsoft ODBC SQL Server Driver (sqlsrv32.dll) w celu uzyskania dostępu do baz danych, mogą nie łączyć się z nimi. Ponadto może zostać wyświetlony błąd w aplikacji lub z programu SQL Server. Błędy, które mogą zostać wyświetlone, obejmują następujące komunikaty:

  • System EMS napotkał problem.
    Komunikat: [Microsoft][Sterownik programu ODBC SQL Server] Błąd protokołu w strumieniu TDS.
  • System EMS napotkał problem.
    Komunikat: [Microsoft][Sterownik programu ODBC SQL Server] Nieznany token odebrany z programu SQL Server.
Uwaga dla programistów: Aplikacje, których dotyczy ten problem, mogą nie pobierać danych, na przykład podczas korzystania z funkcji SQLFetch. Ten problem może wystąpić podczas wywoływania funkcji SQLBindCol przed funkcją SQLFetch lub wywoływania funkcji SQLGetData po funkcji SQLFetch i po podaniu wartości 0 (zero) dla argumentu "BufferLength" dla stałych typów danych większych niż 4 bajty (takich jak SQL_C_FLOAT).

Aby zdecydować, czy używasz aplikacji, której dotyczy problem, otwórz aplikację łączącą się z bazą danych. Otwórz okno wiersza polecenia, wpisz następujące polecenie, a następnie naciśnij klawisz Enter:

tasklist /m sqlsrv32.dll
Jeśli polecenie zwróci zadanie, może to mieć wpływ na aplikację.
Aby ograniczyć ten problem, możesz zastosować jedną z następujących metod:

  • Jeśli aplikacja używa już nazwy źródła danych (DSN) lub może korzystać z niej do wybierania połączeń ODBC, zainstaluj sterownik ODBC 17 firmy Microsoft dla programu SQL Server i wybierz go do użycia z aplikacją za pomocą nazwy źródła danych (DSN).

    Uwaga: Zalecamy najnowszą wersję sterownika ODBC 17 firmy Microsoft dla systemu SQL Server, ponieważ jest on bardziej zgodny z aplikacjami korzystającymi obecnie ze starszego sterownika ODBC firmy Microsoft SQL Server (sqlsrv32.dll) niż sterownik ODBC 18 firmy Microsoft dla SQL Server.
  • Jeśli aplikacja nie może korzystać z nazwy DSN, aplikacja będzie musiała zostać zmodyfikowana, aby zezwolić na użycie nazwy DSN lub użyć nowszego sterownika ODBC niż sterownik ODBC firmy Microsoft dla programu SQL Server (sqlsrv32.dll).
Ten problem został rozwiązany w KB5022343. Jeśli zastosowano powyższe obejście, zaleca się dalsze korzystanie z konfiguracji opisanej w obejściu.

Jak uzyskać tę aktualizację

Przed zainstalowaniem tej aktualizacji

Zdecydowanie zalecamy zainstalowanie najnowszej aktualizacji stosu obsługi (SSU) dla Twojego systemu operacyjnego przed zainstalowaniem najnowszego pakietu zbiorczego. SSU poprawiają skuteczność procesu aktualizacji, aby ograniczyć potencjalne problemy podczas instalowania pakietu zbiorczego i stosowania poprawek dotyczących zabezpieczeń. Aby uzyskać ogólne informacje na temat SSU, zobacz Aktualizacje stosu obsługi (SSU) i Aktualizacje stosu obsługi (SSU): często zadawane pytania.

Jeśli używasz Windows Update, najnowsze SSU (KB5016263) zostaną zaproponowane automatycznie. Aby uzyskać autonomiczny pakiet tej aktualizacji dla najnowszych SSU, wyszukaj go na stronie Wykaz usługi Microsoft Update.

Uwaga

PRZYPOMNIENIE Jeśli korzystasz tylko z aktualizacji zabezpieczeń, musisz również zainstalować wszystkie poprzednie aktualizacje samych zabezpieczeń oraz najnowszą aktualizację zbiorczą programu Internet Explorer (KB5019958).

Pakiety językowe

Jeśli po zainstalowaniu tej aktualizacji zostanie zainstalowany pakiet językowy, należy ponownie zainstalować tę aktualizację. Dlatego zalecamy zainstalowanie wszelkich potrzebnych pakietów językowych przed zainstalowaniem tej aktualizacji. Aby uzyskać więcej informacji, zobacz Dodawanie pakietów językowych do systemu Windows.

Zainstaluj tę aktualizację

Kanał wersji Dostępne Następny krok
Usługa Windows Update i Microsoft Update Nie Poniżej przedstawiono inne opcje.
Wykaz usługi Microsoft Update Tak Aby uzyskać autonomiczny pakiet tej aktualizacji, przejdź do witryny internetowej Wykaz usługi Microsoft Update.
Program Windows Server Update Services (WSUS) Tak Ta aktualizacja zostanie automatycznie zsynchronizowana z programem WSUS w przypadku skonfigurowania produktów i klasyfikacji następująco:
Produkt: Windows Server 2012, Windows Embedded 8 Standard
Klasyfikacja: Aktualizacja zabezpieczeń

Informacje o plikach

Aby poznać listę plików zawartych w tej aktualizacji, pobierz informacje o plikach dla KB5020003 aktualizacji.

Źródła informacji

Dowiedz się więcej o standardowej terminologii używanej do opisywania aktualizacji oprogramowania firmy Microsoft.