Súhrn
Ďalšie informácie o tejto kumulatívnej aktualizácii zabezpečenia vrátane vylepšení, známych problémov a spôsobe získania aktualizácie.
Poznámka
- PRIPOMENUTIEWindows Server 2012 dosiahol ukončenie bežnej podpory a teraz je v rozšírenej podpore. Od júla 2020 už nebudú k dispozícii voliteľné vydania (známe ako vydania C alebo D) pre tento operačný systém. Operačné systémy s rozšírenou podporou majú len kumulatívne mesačné aktualizácie zabezpečenia (známe ako "B" alebo vydanie aktualizácie z utorka).
- Pred inštaláciou tejto aktualizácie skontrolujte, či ste nainštalovali požadované aktualizácie uvedené v časti Ako získať túto aktualizáciu .
Poznámka
Informácie o jednotlivých typoch aktualizácií Windowsu, ako sú napríklad kritické aktualizácie, aktualizácie zabezpečenia, aktualizácie ovládačov, balíky Service Pack atď., nájdete v nasledujúcom článku. Ak chcete zobraziť ďalšie poznámky a správy, pozrite si domovskú stránku histórie aktualizácií Windows Server 2012.
Vylepšenia
Táto kumulatívna aktualizácia zabezpečenia obsahuje vylepšenia, ktoré sú súčasťou aktualizácie KB5017370 (vydanej 11. októbra 2022) a obsahuje kľúčové zmeny pre nasledovné:
Rieši problém sprísnenia overovania modelu DCOM (Distributed Component Object Model) na automatické zvýšenie úrovne overenia pre všetky neanonymné žiadosti o aktiváciu od klientov DCOM. Stane sa to, ak je úroveň overovania nižšia ako RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.
Aktualizácie letného času (DST) pre Jordánsko, aby sa zabránilo presunutiu hodín späť o 1 hodinu 28. októbra 2022. Okrem toho sa mení zobrazovaný názov jordánskeho času (normálny) z "(UTC+02:00) Ammán" na "(UTC+03:00) Ammán".
Rieši problém, kedy Microsoft Azure Active Directory (AAD) proxy aplikácií Connector nemôže načítať lístok protokolu Kerberos v mene používateľa z dôvodu nasledujúcej všeobecnej chyby rozhrania API: "Zadaná rukoväť je neplatná (0x80090301)."
Rieši problém, kedy po inštalácii aktualizácie z 11. januára 2022 alebo novšej proces vytvorenia dôvery doménovej štruktúry nedokáže vyplniť prípony názvov DNS do atribútov informácií o dôveryhodnosti.
Rieši nedostatky v zabezpečení v protokoloch Kerberos a Netlogon, ako je uvedené v CVE-2022-38023, CVE-2022-37966 a CVE-2022-37967. Pokyny na nasadenie nájdete v nasledujúcich článkoch:
- KB5020805: Ako spravovať zmeny protokolu Kerberos týkajúce sa CVE-2022-37967
- KB5021130: Spravovanie zmien protokolu Netlogon súvisiacich s CVE-2022-38023
- KB5021131: Spravovanie zmien protokolu Kerberos súvisiacich s CVE-2022-37966
Ďalšie informácie o vyriešených nedostatkoch v zabezpečení nájdete v časti Nasadenia | Sprievodca aktualizáciou zabezpečenia a Aktualizácie zabezpečenia z novembra 2022.
Ďalšie informácie o vyriešených nedostatkoch v zabezpečení nájdete v časti Nasadenia | Sprievodca aktualizáciou zabezpečenia a Aktualizácie zabezpečenia z novembra 2022.
Známe problémy v tejto aktualizácii
| Príznak | Ďalší krok |
|---|---|
| Po nainštalovaní tejto aktualizácie alebo novšej aktualizácie Windowsu môžu byť operácie pripojenia k doméne neúspešné a zobrazí sa chyba "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Okrem toho text "Konto s rovnakým názvom existuje v službe Active Directory. Opakované používanie konta bolo zablokované politikou zabezpečenia" sa môže zobraziť. Ovplyvnené scenáre zahŕňajú niektoré operácie pripojenia k doméne alebo opätovného vytvorenia počítača, kedy bolo konto počítača vytvorené alebo predbežne nastavené identitou inou identitou, než je identita použitá na pripojenie alebo opätovné pripojenie počítača k doméne. Ďalšie informácie o tomto probléme nájdete v téme KB5020276 – Netjoin: Zmeny sprísnenia pripojenia k doméne. Poznámka Je nepravdepodobné, že by sa tento problém vyskytol v spotrebiteľských počítačových vydaniach systému Windows. |
Pokyny k tomuto problému nájdete v KB5020276 . |
Po inštalácii aktualizácií Windowsu vydaných 8. novembra 2022 alebo neskôr na serveroch Windowsu, ktoré používajú rolu radiča domény, môžete mať problémy s overovaním protokolom Kerberos. Tento problém môže mať vplyv na akékoľvek overovanie protokolom Kerberos vo vašom prostredí. Niektoré scenáre, ktoré môžu byť ovplyvnené:
Poznámka Ovplyvnené udalosti budú obsahovať reťazec " chýbajúci kľúč má ID 1": Pri spracovávaní žiadosti AS o cieľovú službu <>nemal názov> účtu účtu <vhodný kľúč na generovanie žiadosti protokolu Kerberos (chýbajúci kľúč má ID 1). Požadované typy : 18 3. Dostupné účty etype: 23 18 17. Zmenou alebo vytvorením nového hesla <názvu> konta sa vygeneruje správny kľúč. Poznámka Tento problém nie je očakávanou súčasťou posilnenia zabezpečenia pre Netlogon a Kerberos počnúc aktualizáciou zabezpečenia z novembra 2022. Aj po vyriešení tohto problému budete musieť postupovať podľa pokynov v týchto článkoch. Tento problém sa netýka zariadení s Windowsom používaných doma spotrebiteľmi alebo zariadení, ktoré nie sú súčasťou lokálnej domény. Prostredia služby Azure Active Directory, ktoré nie sú hybridné a nemajú žiadne lokálna služba Active Directory, nie sú ovplyvnené. |
Tento problém je vyriešený v aktualizácii KB5021652. |
| Po nainštalovaní tejto aktualizácie alebo neskoršej aktualizácie na radiči domény (DC) sa môže vyskytnúť pretekanie pamäte so službou Local Security Authority Subsystem Service (LSASS,exe). V závislosti od vyťaženia radiča domény a času od posledného reštartu servera môže LSASS neustále zvyšovať využitie pamäte s časom prevádzky servera a server môže prestať reagovať alebo sa automaticky reštartovať. Poznámka Tento problém môže mať vplyv na aktualizácie mimo pásma pre radiče domény vydané 17. novembra 2022 a 18. novembra 2022. |
Ak chcete tento problém zmierniť, otvorte príkazový riadok ako správca a pomocou nasledujúceho príkazu nastavte kľúč databázy Registry KrbtgtFullPacSignature na hodnotu 0:reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORDPoznámka Po vyriešení tohto známeho problému by ste mali nastaviť KrbtgtFullPacSignature na vyššie nastavenie v závislosti od toho, čo vaše prostredie povolí. Režim presadzovania pravidiel odporúčame zapnúť hneď, ako bude vaše prostredie pripravené. Ďalšie informácie o tomto kľúči databázy Registry nájdete v téme KB5020805: Ako spravovať zmeny protokolu Kerberos týkajúce sa CVE-2022-37967. Pracujeme na riešení a v nadchádzajúcom vydaní poskytneme aktualizáciu. |
Po nainštalovaní tejto aktualizácie sa aplikácie, ktoré používajú pripojenia ODBC cez Microsoft ODBC SQL Server Driver (sqlsrv32.dll) na prístup k databázam, nemusia pripojiť. Okrem toho sa môže vyskytnúť chyba v aplikácii alebo sa môže vyskytnúť chyba z SQL Servera. Chyby, ktoré sa môžu u vás vyskytnúť, obsahujú nasledujúce hlásenia:
Ak chcete určiť, či používate ovplyvnenú aplikáciu, otvorte aplikáciu, ktorá sa pripája k databáze. Otvorte okno príkazového riadka, zadajte nasledujúci príkaz a potom stlačte kláves Enter: tasklist /m sqlsrv32.dllAk príkaz vráti úlohu, aplikácia môže byť ovplyvnená. |
Ak chcete tento problém obmedziť, vykonajte niektorý z nasledujúcich krokov:
|
Ako získať túto aktualizáciu
Pred inštaláciou tejto aktualizácie
Pred inštaláciou najnovšej súhrnnej aktualizácie dôrazne odporúčame inštaláciu najnovšej aktualizácie SSU (Servicing Stack Update) pre váš operačný systém. Aktualizácie SSU zvyšujú spoľahlivosť procesu aktualizácie a zmierňujú tak potenciálne problémy pri inštalácii súhrnnej aktualizácie a použití opráv zabezpečenia od spoločnosti Microsoft. Všeobecné informácie o aktualizáciách SSU nájdete v témach Aktualizácie SSU a Aktualizácie (SSU): najčastejšie otázky.
Ak používate Windows Update, najnovšia aktualizácia SSU (KB5016263) sa vám ponúkne automaticky. Ak máte záujem o samostatný balík s najnovšou aktualizáciou SSU, vyhľadajte ho v katalógu služby Microsoft Update.
Jazykové balíky
Ak po nainštalovaní tejto aktualizácie nainštalujete jazykový balík, musíte túto aktualizáciu znova nainštalovať. Preto odporúčame pred inštaláciou tejto aktualizácie nainštalovať všetky jazykové balíky, ktoré potrebujete. Ďalšie informácie nájdete v téme Pridanie jazykových balíkov do systému Windows.
Inštalovanie tejto aktualizácie
| Kanál vydania | K dispozícii | Ďalší krok |
|---|---|---|
| Windows Update a Microsoft Update | Áno | Žiadne. Táto aktualizácia sa automaticky stiahne a nainštaluje z lokality Windows Update. |
| Katalóg služby Microsoft Update | Áno | Ak máte záujem o samostatný balík s touto aktualizáciou, prejdite na webovú lokalitu Katalóg služby Microsoft Update. |
| Windows Server Update Services (WSUS) | Áno | Táto aktualizácia sa automaticky synchronizuje so službou WSUS, ak nakonfigurujete Produkty a klasifikácie takto: Produkt: Windows Server 2012, Windows Embedded 8 Standard. Klasifikácia: Aktualizácie zabezpečenia |
Informácie o súboroch
Ak máte záujem o zoznam súborov, ktoré sú súčasťou tejto aktualizácie, stiahnite si informácie o súboroch aktualizácie KB5020009.
Odkazy
Získajte informácie o štandardnej terminológii , ktorá sa používa na popis aktualizácií softvéru spoločnosti Microsoft.