8. novembra 2022 – KB5019964 (zostava OS 14393.5501) – S VYPRŠANOU PLATNOSŤOU

Vzťahuje sa na
Windows 10, version 1607, all editions Windows Server 2016, all editions
OZNÁMENIE O UPLYNUTÍ PLATNOSTI
DÔLEŽITÉ Od 31. marca 2026 už táto aktualizácia nie je k dispozícii v katalógu služby Microsoft Update ani iných kanáloch vydaní. Odporúčame, aby ste svoje zariadenia aktualizovali na najnovšiu verziu Windowsu.

Poznámka

10/11/22
DÔLEŽITÉ 10. januára 2023 sa ukončí verejné rozšírenie pre servisné zariadenia s procesorom Intel Atom Clover Trail. Aktualizácia zabezpečenia z 10. januára 2023 je poslednou aktualizáciou pre tieto zariadenia. Po tomto dátume nebudú dostávať mesačné aktualizácie zabezpečenia a kvality. Tieto aktualizácie vás chránia pred najnovšími bezpečnostnými hrozbami. Tieto zariadenia bohužiaľ nespĺňajú hardvérové požiadavky na inováciu na novšiu verziu Windowsu 10 alebo Windowsu 11. Odporúčame vám zvážiť nové zariadenie s Windowsom Windows 11.

Poznámka

11/19/20
Informácie o terminológii aktualizácií Windowsu nájdete v článku o typoch aktualizácií systému Windows a typoch mesačných aktualizácií na zvýšenie kvality. Prehľad systému Windows 10 verzie 1607 nájdete na stránke histórie aktualizácií.

Prehľad

  • Koncom októbra 2022 sa v Jordánsku zastaví začiatok letného času. Časové pásmo Jordánsko sa natrvalo presunie na časové pásmo UTC + 3.
  • Rieši problémy so zabezpečením operačného systému Windows.

Vylepšenia

Táto aktualizácia zabezpečenia obsahuje vylepšenia kvality. Pri inštalácii tejto aktualizácie KB:

  • Rieši problém, ktorý ovplyvňuje sprísnenie overovania modelu DCOM (Distributed Component Object Model). Automaticky zvýšime úroveň overovania pre všetky neanonymné žiadosti o aktiváciu od klientov DCOM do RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Stáva sa to, ak je úroveň overovania nižšia ako integrita paketov.

  • Koncom októbra 2022 sa v Jordánsku zastaví začiatok letného času. Časové pásmo Jordánsko sa natrvalo presunie na časové pásmo UTC + 3.

  • Rieši problém, ktorý ovplyvňuje konektor proxy aplikácií služby Microsoft Azure Active Directory (AAD). Nemôže načítať žiadosť protokolu Kerberos v mene používateľa. Chybové hlásenie je, že zadaná rukoväť je neplatná (0x80090301).

  • Rieši problém, ktorý ovplyvňuje proces vytvárania dôveryhodnej doménovej štruktúry. Nedokáže pridať prípony názvov DNS (Domain Name System) k atribútom informácií o dôveryhodnosti. Tento problém sa vyskytuje po inštalácii aktualizácií z 11. januára 2022 alebo novších.

  • Rieši problém, ktorý ovplyvňuje radič domény (DC). Radič domény zapisuje udalosť 21 Key Distribution Center (KDC) do denníka systémových udalostí. Stáva sa to, keď KDC úspešne spracuje žiadosť o overenie protokolu Kerberos Public Key Cryptography for Initial Authentication (PKINIT) pomocou certifikátu s vlastným podpisom pre scenáre dôveryhodnosti kľúča. Patria sem Windows Hello for Business a overovanie zariadenia.

  • Rieši problém, ktorý ovplyvňuje Microsoft Visual C++ Redistributable Runtime. Keď povolíte PPL (Protected Process Light), nenačíta sa do služby LSASS (Local Security Authority Server Service).

  • Rieši nedostatky v zabezpečení protokolov Kerberos a Netlogon, ako je uvedené v CVE-2022-38023, CVE-2022-37966 a CVE-2022-37967. Pokyny na nasadenie nájdete v týchto témach:

    • KB5020805: Spravovanie zmien protokolu Kerberos súvisiacich s CVE-2022-37967
    • KB5021130: Ako spravovať zmeny protokolu Netlogon súvisiace s CVE-2022-38023
    • KB5021131: Ako spravovať zmeny protokolu Kerberos týkajúce sa CVE-2022-37966

Ak ste si nainštalovali staršie aktualizácie, do zariadenia sa stiahnu a nainštalujú iba nové aktualizácie obsiahnuté v tomto balíku.

Ďalšie informácie o nedostatkoch zabezpečenia nájdete na webovej lokalite Sprievodcu aktualizáciou nového zabezpečenia a Aktualizácie zabezpečenia na november 2022.

Známe problémy v tejto aktualizácii

Príznak Alternatívne riešenie
Po inštalácii aktualizácií vydaných 8. novembra 2022 alebo neskôr na Windows Serveroch s rolou radiča domény môžete mať problémy s overovaním Kerberos. Tento problém môže mať vplyv na akékoľvek overovanie protokolom Kerberos vo vašom prostredí. Niektoré scenáre, ktoré môžu byť ovplyvnené: Ak sa vyskytne tento problém, v časti Systém v denníku udalostí na radiči domény sa môže zobraziť udalosť Microsoft-Windows-Kerberos-Key-Distribution-Center s ID udalosti 14 s nasledujúcim textom. Poznámka: Ovplyvnené udalosti budú mať „chýbajúci kľúč má ID 1“:

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.
Poznámka Tento problém nie je očakávanou súčasťou posilnenia zabezpečenia pre Netlogon a Kerberos počnúc aktualizáciou zabezpečenia z novembra 2022. Aj po vyriešení tohto problému budete musieť postupovať podľa pokynov v týchto článkoch. Tento problém sa netýka zariadení s Windowsom používaných doma spotrebiteľmi alebo zariadení, ktoré nie sú súčasťou lokálnej domény. Na prostredie Azure Active Directory, ktoré nie sú hybridné a nemajú žiadne miestne servery Active Directory, to nemá vplyv.
Tento problém bol vyriešený v aktualizáciách pre vzdialenú správu vydaných 17. novembra 2022 pre inštaláciu na všetky radiče domény vo vašom prostredí. Na vyriešenie tohto problému nemusíte inštalovať žiadnu aktualizáciu ani vykonávať žiadne zmeny na iných serveroch alebo klientskych zariadeniach vo vašom prostredí. Ak ste pre tento problém použili nejaké alternatívne riešenie alebo zmiernenia, už nie sú potrebné a odporúčame ich odstrániť. Ak chcete získať samostatný balík pre tieto aktualizácie mimo pásma, vyhľadajte číslo KB v Katalógu služby Microsoft Update. Tieto aktualizácie môžete manuálne importovať do služieb Windows Server Update Services (WSUS) a Microsoft Endpoint Configuration Manager. Pokyny služby WSUS nájdete v službe WSUS a na lokalite katalógu. Pokyny pre Configuration Manager nájdete v téme Import aktualizácií z katalógu služby Microsoft Update. Poznámka Aktualizácie uvedené nižšie nie sú k dispozícii na lokalite Windows Update a nenainštalujú sa automaticky. Kumulatívne aktualizácie: Poznámka Pred inštaláciou týchto kumulatívnych aktualizácií nemusíte použiť žiadnu predchádzajúcu aktualizáciu. Ak ste už nainštalovali aktualizácie vydané 8. novembra 2022, pred inštaláciou novších aktualizácií vrátane aktualizácií uvedených vyššie nemusíte príslušné aktualizácie odinštalovať. Samostatné Aktualizácie:
  • Windows Server 2012 R2: KB5021653
  • Windows Server 2012: KB5021652
  • Windows Server 2008 R2 SP1: Táto aktualizácia ešte nie je k dispozícii. Ďalšie informácie nájdete tu v nadchádzajúcom týždni.
  • Windows Server 2008 SP2: KB5021657
Poznámka Ak používate aktualizácie zabezpečenia iba pre tieto verzie systému Windows Server, stačí nainštalovať tieto samostatné aktualizácie iba v mesiaci november 2022. Aktualizácie iba zabezpečenia nie sú kumulatívne a budete tiež musieť nainštalovať všetky predchádzajúce aktualizácie zabezpečenia, aby boli úplne aktuálne. Mesačné kumulatívne aktualizácie sú kumulatívne a zahŕňajú aktualizácie zabezpečenia a všetky aktualizácie na zvýšenie kvality. Ak používate mesačné kumulatívne aktualizácie, budete musieť na vyriešenie tohto problému nainštalovať samostatné aktualizácie uvedené vyššie a nainštalovať mesačné kumulatívne aktualizácie vydané 8. novembra 2022, aby ste dostávali aktualizácie pre zvýšenie kvality z novembra 2022. Ak ste už nainštalovali aktualizácie vydané 8. novembra 2022, pred inštaláciou novších aktualizácií vrátane aktualizácií uvedených vyššie nemusíte príslušné aktualizácie odinštalovať.
Po nainštalovaní tejto alebo novšej aktualizácie na radičoch domény sa môže vyskytnúť pretekanie pamäte so službou Local Security Authority Subsystem Service (LSASS.exe). V závislosti od vyťaženia vašich radičov domény a času od posledného reštartu servera môže LSASS neustále zvyšovať využitie pamäte s časom prevádzky servera. Server môže prestať reagovať alebo sa môže automaticky reštartovať. Poznámka Tento problém môže mať vplyv na aktualizácie mimo pásma pre radiče domény vydané 17. novembra 2022 a 18. novembra 2022. Tento problém je vyriešený v aktualizácii KB5021235.
Po nainštalovaní tejto aktualizácie sa aplikácie, ktoré používajú pripojenia ODBC pomocou Microsoft ODBC SQL Server Driver (sqlsrv32.dll) na prístup k databázam, nemusia pripojiť. V aplikácii sa môže zobraziť chyba alebo sa môže zobraziť chyba zo SQL Server, napríklad "Systém EMS narazil na problém" s "Hlásenie: [Microsoft][Ovládač SQL Server] Chyba protokolu v TDS Stream" alebo "Správa: [Microsoft][ODBC SQL Server Driver]Neznámy token prijatý z SQL Server".Poznámka pre vývojárov Aplikácie ovplyvnené týmto problémom môžu zlyhať pri načítavaní údajov, napríklad pri použití funkcie SQLFetch. Tento problém sa môže vyskytnúť pri volaní funkcie SQLBindCol pred príkazom SQLFetch alebo pri volaní funkcie SQLGetData po príkaze SQLFetch a keď je pre argument BufferLength zadaná hodnota 0 (nula) pre pevné typy údajov väčšie ako 4 bajty (napríklad SQL_C_FLOAT). Ak si nie ste istí, či používate ovplyvnené aplikácie, otvorte ľubovoľné aplikácie, ktoré používajú databázu, a potom otvorte príkazový riadok (vyberte položku Štart , potom napíšte príkazový riadok a vyberte ho) a zadajte nasledujúci príkaz:

tasklist /m sqlsrv32.dll
Tento problém je vyriešený v aktualizácii KB5022289.

Ako získať túto aktualizáciu

OZNÁMENIE O UPLYNUTÍ PLATNOSTI

DÔLEŽITÉ Od 31. marca 2026 už táto aktualizácia nie je k dispozícii v katalógu služby Microsoft Update ani iných kanáloch vydaní. Odporúčame, aby ste svoje zariadenia aktualizovali na najnovšiu verziu Windowsu.