8. november 2022 – KB5020023 (mesečni paket posodobitev)

Velja za
Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro

Povzetek

Preberite več o tej zbirni varnostni posodobitvi, vključno z izboljšavami, morebitnimi znanimi težavami in kako pridobite posodobitev.

Opomba

  • REMINDERWindows8.1 bo 10. januarja 2023 končal podporo, nato pa tehnična pomoč in posodobitve programske opreme ne bodo več na voljo. Če imate naprave s sistemom Windows 8.1, priporočamo, da jih nadgradite na novejšo in podprtejšo izdajo sistema Windows. Če naprave ne izpolnjujejo tehničnih zahtev za zagon novejše izdaje sistema Windows, priporočamo, da napravo zamenjate s tisto, ki podpira sistem Windows 11.
  • Microsoft ne bo ponujal programa razširjene varnostne posodobitve (ESU) za Windows 8.1. Nadaljnja uporaba sistema Windows 8.1 po 10. januarju 2023 lahko poveča izpostavljenost organizacije varnostnim tveganjem ali vpliva na njeno sposobnost izpolnjevanja obveznosti glede skladnosti s predpisi.
  • Če želite več informacij, glejte Podpora za Windows 8.1 se bo končala 10. januarja 2023.
  • Podpora za Windows Server 2012 R2 se bo končala 10. oktobra 2023 za Datacenter, Essentials, Embedded Systems, Foundation in Standard.

Opomba

Opomba Če želite več informacij o različnih vrstah posodobitev sistema Windows, kot so nujne, varnostne, gonilnike, servisni paketi itd., si oglejte ta članek. Če si želite ogledati druge opombe in sporočila, glejte domačo stran zgodovine posodobitev za Windows 8.1 in Windows Server 2012 R2.

Izboljšave

Ta zbirna varnostna posodobitev vključuje izboljšave, ki so del posodobitve KB5018474 (izdana je bila 11. oktobra 2022), in vključuje ključne spremembe za naslednje:

Če želite več informacij o odpravljenih varnostnih ranljivostih, glejte Uvedbe | Vodnik po varnostnih posodobitvah in varnostne Posodobitve za november 2022.

Znane težave v tej posodobitvi

Simptom Naslednji korak
Po namestitvi te posodobitve ali novejše posodobitve sistema Windows so postopki pridružitve domeni morda neuspešni in se prikaže napaka »0xaac (2732): NERR_AccountReuseBlockedByPolicy«. Poleg tega besedilo, ki navaja »Račun z istim imenom obstaja v imeniku Active Directory. Vnovična uporaba računa je bila blokirana z varnostnim pravilnikom«.
Primeri, na katere to vpliva, vključujejo nekatere postopke pridružitve domeni ali vnovičnega ustvarjanja, pri katerih je bil računalniški račun ustvarjen ali vnaprej uprizorjen z identiteto, ki je drugačna od identitete, ki je bila uporabljena za pridružitev računalniku ali vnovično pridružitev računalniku z domeno.
Če želite več informacij o tej težavi, glejte KB5020276 – Netjoin: spremembe utrjevanja združevanja domene.
Opomba Do te težave verjetno ne bo prišlo v izdajah namiznih uporabnikov sistema Windows.
Ta težava je odpravljena v KB5023765.
Po namestitvi posodobitev sistema Windows, izdanih 8. novembra 2022 ali pozneje, v strežnikih Windows, ki uporabljajo vlogo krmilnika domene, boste morda imeli težave s preverjanjem pristnosti Kerberos. Ta težava lahko vpliva na preverjanje pristnosti Kerberos v vašem okolju. Nekateri scenariji, na katere bi lahko vplivali:

Ko pride do te težave, se lahko v razdelku Sistem dnevnika dogodkov v krmilniku domene prikaže napaka z ID-jem dogodka 4 Microsoft-Windows-Kerberos-Key-Distribution-Center s spodnjim besedilom.

Opomba Prizadeti dogodki bodo vsebovali " manjkajoči ključ ima ID 1" niz:

Med obdelavo zahteve AS za ciljno storitev <>ime <računa> računa ni imelo ustreznega ključa za generiranje vozovnice Kerberos (manjkajoči ključ ima ID 1). Zahtevani etipi : 18 3. Računi, ki so na voljo etipi : 23 18 17. Spreminjanje ali ponastavitev gesla <za ime> računa bo ustvarilo ustrezen ključ.
Opomba Ta težava ni pričakovani del zaščite varnosti za Netlogon in Kerberos od varnostne posodobitve novembra 2022. Še vedno boste morali upoštevati navodila v teh člankih tudi po odpravi te težave.

Ta težava ne vpliva na naprave s sistemom Windows, ki jih uporabniki uporabljajo doma, ali naprave, ki niso del domene na mestu uporabe. To ne vpliva na okolja Azure Active Directory, ki niso hibridna in nimajo strežnikov Active Directory na mestu uporabe.
Ta težava je odpravljena v posodobitvi KB5021653.
Po namestitvi te posodobitve ali novejše posodobitve v krmilnik domene (DC) lahko pride do puščanja pomnilnika s storitvijo podsistema lokalnega varnostnega organa (LSASS,exe). Glede na delovno obremenitev vašega DC-ja in čas od zadnjega vnovičnega zagona strežnika lahko LSASS nenehno povečuje porabo pomnilnika s časom delovanja strežnika, strežnik pa se lahko ne odziva ali se samodejno znova zažene.
Opomba Ta težava lahko vpliva na posodobitve zunaj pasu za DC-je, izdane 17. novembra 2022 in 18. novembra 2022.
Če želite ublažiti to težavo, odprite ukazni poziv kot skrbnik in s tem ukazom nastavite registrski ključ KrbtgtFullPacSignature na 0:
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORDOpomba Ko je ta znana težava odpravljena, nastavite KrbtgtFullPacSignature na višjo nastavitev, odvisno od tega, kaj bo vaše okolje dovoljevalo. Priporočamo, da omogočite način uveljavljanja takoj, ko je vaše okolje pripravljeno.
Če želite več informacij o tem registrskem ključu, glejte KB5020805: Kako upravljati spremembe protokola Kerberos, povezane s CVE-2022-37967.
Delamo na rešitev in bomo v prihodnji izdaji zagotovili posodobitev.
Po namestitvi te posodobitve programi, ki uporabljajo povezave ODBC prek gonilnika Microsoft ODBC SQL Server Driver (sqlsrv32.dll) za dostop do zbirk podatkov, morda ne bodo vzpostavili povezave. Poleg tega je lahko v aplikaciji prikazana napaka ali pa prejmete napako strežnika SQL Server. Prikazane napake lahko vključujejo ta sporočila:

  • V sistemu EMS je prišlo do težave.
    Sporočilo: napaka protokola [Microsoft][ODBC SQL Server Driver] v TDS Stream.
  • V sistemu EMS je prišlo do težave.
    Sporočilo: prejet je bil neznan žeton [Microsoft][ODBC SQL Server Driver] strežnika SQL Server.
Opomba za razvijalce: Programi, ki jih prizadene ta težava, morda ne bodo mogli pridobiti podatkov, na primer pri uporabi funkcije SQLFetch. Do te težave lahko pride, ko pokličete funkcijo SQLBindCol pred SQLFetch ali funkcijo SQLGetData za SQLFetch in ko je za argument »BufferLength« za fiksne podatkovne tipe, večje od 4 bajtov (na primer SQL_C_FLOAT) podana vrednost 0 (nič).

Če želite odločiti, ali uporabljate aplikacijo, na katero to vpliva, odprite aplikacijo, ki se poveže z zbirko podatkov. Odprite okno ukaznega poziva, vnesite ta ukaz, nato pa pritisnite tipko Enter:

seznam opravil /m sqlsrv32.dll
Če ukaz vrne opravilo, to morda vpliva na aplikacijo.
Če želite ublažiti to težava, lahko storite nekaj od tega:

  • Če vaša aplikacija že uporablja ali lahko uporablja ime vira podatkov (DSN) za izbiro povezav ODBC, namestite gonilnik Microsoft ODBC Driver 17 za SQL Server in ga izberite za uporabo z aplikacijo z DSN.

    Opomba: Priporočamo najnovejšo različico gonilnika Microsoft ODBC Driver 17 za SQL Server, saj je bolj združljiv z aplikacijami, ki trenutno uporabljajo podedovani gonilnik Microsoft ODBC SQL Server Driver (sqlsrv32.dll) kot Microsoft ODBC Driver 18 za SQL Server.
  • Če vaša aplikacija ne more uporabljati DSN-ja, jo morate spremeniti tako, da bo omogočala DSN ali uporabljala novejši gonilnik ODBC od gonilnika Microsoft ODBC SQL Server Driver (sqlsrv32.dll).
Ta težava je bila rešena leta KB5022352. Če ste izvedli zgornjo rešitev, priporočamo, da še naprej uporabljate konfiguracijo v nadomestni rešitvi.

Kako pridobiti to posodobitev

Pred namestitvijo te posodobitve

Priporočamo, da namestite najnovejšo posodobitev servisnega sklada (SSU) za svoj operacijski sistem, preden namestite najnovejši paket posodobitev. SSU-ji izboljšajo zanesljivost postopka posodobitve, da zmanjšajo morebitne težave med namestitvijo paketa posodobitev in namestitvijo Microsoftovih varnostnih popravkov. Za splošne informacije o posodobitvah SSU glejte Posodobitve servisnega sklada in Posodobitve servisnega sklada (SSU): pogosta vprašanja.

Če uporabljate Windows Update, vam bo najnovejša posodobitev SSU (KB5018922) na voljo samodejno. Če želite pridobiti samostojni paket za najnovejšo posodobitev SSU, ga poiščite na spletnem mestu Katalog Microsoft Update.

Jezikovni paketi

Če po namestitvi te posodobitve namestite jezikovni paket, morate znova namestiti to posodobitev. Zato priporočamo, da pred namestitvijo te posodobitve namestite vse jezikovne pakete, ki jih potrebujete. Če želite več informacij, glejte Dodajanje jezikovnih paketov v sistem Windows.

Namestitev te posodobitve

Kanal izdaje Na voljo Naslednji korak
Windows Update in Microsoft Update Da Brez Ta posodobitev se bo samodejno prenesla in namestila iz storitve Windows Update.
Katalog Microsoft Update Da Če želite pridobiti samostojni paket za to posodobitev, obiščite spletno mesto Katalog Microsoft Update.
Windows Server Update Services (WSUS) Da Ta posodobitev se bo samodejno sinhronizirala s storitvijo WSUS, če izdelke in klasifikacije konfigurirate, kot je navedeno spodaj:
Izdelek: Windows 8.1, Windows Server 2012 R2, Windows Embedded 8.1 Industry Enterprise, Windows Embedded 8.1 Industry Pro
Klasifikacija: varnostne posodobitve

Informacije o datotekah

Če si želite ogledati seznam datotek, vključenih v to posodobitev, prenesite informacije o datotekah za posodobitev KB5020023.

Sklici

Preberite več o standardni terminologiji , ki se uporablja za opis posodobitev Microsoftove programske opreme.