8 november 2022—KB5020003 (endast säkerhetsrelaterad uppdatering)

Gäller för
Windows Server 2012 Windows Embedded 8 Standard

Sammanfattning

Läs mer om den här säkerhetsrelaterade uppdateringen, inklusive förbättringar, samt om kända fel och om hur uppdateringen hämtas.

Obs

  • PÅMINNELSEWindows Server 2012 har nått slutet av mainstream-supporten och är nu under utökad support. Från och med juli 2020 kommer det inte längre att finnas valfria versioner (kallas "C"- eller "D"-versioner) för det här operativsystemet. Operativsystem i utökad support har bara kumulativa månatliga säkerhetsuppdateringar (kallas "B" eller Update Tuesday-versionen).
  • Kontrollera att du har installerat de nödvändiga uppdateringarna som anges i avsnittet Så här hämtar du uppdateringen innan du installerar den här uppdateringen.

Obs

Anteckning Mer information om olika typer av Windows-uppdateringar, till exempel kritiska uppdateringar, säkerhetsuppdateringar, drivrutinsuppdateringar och service pack-uppdateringar, finns i den här artikeln. Om du vill visa andra anteckningar och meddelanden går du till startsidan för Windows Server 2012 uppdateringshistorik.

Förbättringar

Den här säkerhetsuppdateringen innehåller viktiga ändringar för följande:

Mer information om åtgärdade säkerhetsrisker finns i Distributioner | Säkerhetsuppdateringsguide och uppdateringar för november 2022.

Kända fel i den här uppdateringen

Symptom Nästa steg
När den här uppdateringen eller en senare Windows-uppdatering har installerats kan domänanslutningsåtgärder misslyckas och felet "0xaac (2732): NERR_AccountReuseBlockedByPolicy" uppstår. Dessutom står det "Det finns ett konto med samma namn i služba Active Directory. Återanvändning av kontot blockerades av säkerhetsprincip" kan visas.
Scenarier som påverkas är vissa domänanslutnings- eller avbildningsåtgärder där ett datorkonto har skapats eller mellanlagras i förväg av en annan identitet än den identitet som användes för att ansluta till eller återansluta datorn till domänen.
Mer information om det här problemet finns i KB5020276 – Netjoin: Ändringar av domänanslutningshärdning.
Anteckning Det här problemet kommer sannolikt inte att uppstå för konsumentversioner av Windows.
Se KB5020276 för vägledning i det här problemet.
När du har installerat Windows-uppdateringar som släpptes den 8 november 2022 eller senare på Windows Server som använder rollen Domänkontrollant kan du ha problem med Kerberos-autentisering. Det här problemet kan påverka eventuell Kerberos-autentisering i din miljö. Vissa scenarier som kan påverkas:

  • Inloggning för domänanvändare kan misslyckas. Detta kan även påverka Active Directory Federation Services (ADFS) (AD FS)-autentisering (AD FS).
  • Grupphanterade tjänstkonton (gMSA) som används för tjänster som Internet Information Services (IIS-webbserver) kanske inte kan autentiseras.
  • Fjärrskrivbordsanslutningar med domänanvändare kanske inte kan ansluta.
  • Du kanske inte kan komma åt delade mappar på arbetsstationer och filresurser på servrar.
  • Utskrift som kräver domänanvändarautentisering kan misslyckas.
När det här problemet uppstår kan du få ett Microsoft-Windows-Kerberos-Key-Distribution-Center händelse-ID 4-felhändelse i avsnittet System i händelseloggen på domänkontrollanten med texten nedan.

Anteckning Berörda händelser innehåller strängen "den saknade nyckeln har ett ID på 1":

Vid bearbetning av en AS-begäran om måltjänsttjänst <>hade kontokontonamnet><inte en lämplig nyckel för att generera en Kerberos-biljett (den saknade nyckeln har ID:t 1). Begärda etyper: 18 3. De konton som finns tillgängliga etypes : 23 18 17. Om du ändrar eller återställer lösenordet för <kontonamnet> genereras en korrekt nyckel.
Anteckning Det här problemet är inte en förväntad del av säkerhetshärdningen för Netlogon och Kerberos från och med säkerhetsuppdateringen i november 2022. Du måste fortfarande följa anvisningarna i de här artiklarna även efter att det här problemet har lösts.

Windows-enheter som används hemma av konsumenter eller enheter som inte ingår i en lokal domän påverkas inte av det här problemet. Azure Active Directory-miljöer som inte är hybrider och inte har några lokal Active Directory -servrar påverkas inte.
Det här problemet åtgärdas i uppdatering KB5021652.
När du har installerat den här uppdateringen eller en senare uppdatering på en domänkontrollant (DC) kan det uppstå en minnesläcka med Local Security Authority Subsystem Service (LSASS,exe). Beroende på arbetsbelastningen för din domänkontrollant och hur lång tid det tog sedan den senaste omstarten av servern kan LSASS kontinuerligt öka minnesanvändningen med serverns upptid och servern kan sluta svara eller startas om automatiskt.
Anteckning De uppdateringar för datorer som släpptes 17 november 2022 och 18 november 2022 kan påverkas av det här problemet.
Du kan åtgärda problemet genom att öppna en kommandotolk som administratör och använda följande kommando för att ange registernyckeln KrbtgtFullPacSignature till 0:
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORDAnteckning När det här kända problemet har lösts bör du ange en högre inställning för KrbtgtFullPacSignature beroende på vad din miljö tillåter. Vi rekommenderar att du aktiverar tvingande läge så snart miljön är klar.
Mer information om den här registernyckeln finns i KB5020805: Hantera ändringar av Kerberos-protokoll relaterade till CVE-2022-37967.
Vi arbetar på en lösning och kommer att tillhandahålla en uppdatering i en kommande version.
När du har installerat den här uppdateringen kanske appar som använder ODBC-anslutningar via Microsoft ODBC SQL Server Driver (sqlsrv32.dll) för att komma åt databaser inte ansluter. Dessutom kan du få ett fel i appen, eller så kan du få ett felmeddelande från SQL Server. Exempel på fel som kan uppstå är följande meddelanden:

  • EMS-systemet stötte på ett problem.
    Meddelande: [Microsoft][ODBC SQL Server Driver] Protocol error in TDS Stream.
  • EMS-systemet stötte på ett problem.
    Meddelande: [Microsoft][ODBC SQL Server Driver] Okänd token som tagits emot från SQL Server.
Anmärkning för utvecklare: Appar som påverkas av det här problemet kanske inte hämtar data, till exempel när du använder funktionen SQLFetch. Det här problemet kan uppstå när du anropar SQLBindCol-funktionen före SQLFetch eller anropar SQLGetData-funktionen efter SQLFetch och när värdet 0 (noll) anges för argumentet "BufferLength" för fasta datatyper som är större än 4 byte (till exempel SQL_C_FLOAT).

Om du vill bestämma om du använder en app som påverkas öppnar du appen som ansluter till en databas. Öppna kommandotolken som administratör, skriv in följande kommando och tryck sedan på Retur:

tasklist /m sqlsrv32.dll
Om kommandot returnerar en uppgift kan appen påverkas.
Du kan åtgärda problemet genom att göra något av följande:

  • Om appen redan använder eller kan använda DSN (Data Source Name) för att välja ODBC-anslutningar installerar du Microsoft ODBC Driver 17 för SQL Server och väljer den för användning med din app med DSN.

    Notera: Vi rekommenderar den senaste versionen av Microsoft ODBC-drivrutin 17 för SQL Server eftersom den är mer kompatibel med appar som använder den äldre Microsoft ODBC SQL Server-drivrutinen (sqlsrv32.dll) än Microsoft ODBC-drivrutin 18 för SQL Server.
  • Om appen inte kan använda DSN måste appen ändras för att tillåta DSN eller för att använda en nyare ODBC-drivrutin än Microsoft ODBC SQL Server Driver (sqlsrv32.dll).
Det här problemet löstes i KB5022343. Om du har implementerat lösningen ovan rekommenderar vi att du fortsätter använda konfigurationen i den tillfälliga lösningen.

Så här hämtar du uppdateringen

Innan du installerar den här uppdateringen

Vi rekommenderar starkt att du installerar den senaste Servicing Stack-uppdateringen (SSU) för ditt operativsystem innan du installerar den senaste samlade uppdateringen. SSU:er förbättrar tillförlitligheten för uppdateringsprocessen för att minimera risken för problem vid installation av den samlade uppdateringen och Microsofts säkerhetskorrigeringar. Allmän information om SSU:er finns i Servicing Stack-uppdateringar och Servicing Stack-uppdateringar (SSU): Vanliga frågor.

Om du använder Windows Update erbjuds den senaste SSU-versionen (KB5016263) automatiskt. Om du vill hämta det fristående paketet för den senaste SSU-versionen kan du söka efter det i Microsoft Update Catalog.

Obs

PÅMINNELSE Om du använder endast säkerhetsuppdateringar måste du också installera alla tidigare uppdateringar som endast är säkerhetsuppdateringar och den senaste kumulativa uppdateringen för Internet Explorer (KB5019958).

Språkpaket

Om du installerar ett språkpaket efter att du har installerat den här uppdateringen måste du installera om den här uppdateringen. Därför rekommenderar vi att du installerar alla språkpaket som du behöver innan du installerar den här uppdateringen. Mer information finns i Lägg till språkpaket i Windows.

Installera den här uppdateringen

Utgivningskanal Tillgänglig Nästa steg
Windows Update och Microsoft Update Nej Se de andra alternativen nedan.
Microsoft Update Catalog Ja Om du vill hämta det fristående paketet för uppdateringen går du till webbplatsen Microsoft Update Catalog.
WSUS (Windows Server Update Services) Ja Den här uppdateringen synkroniseras automatiskt med WSUS om du konfigurerar Produkter och klassificeringar på följande sätt:
Produkt: Windows Server 2012, Windows Embedded 8 Standard
Klassificering: Säkerhetsuppdatering

Filinformation

Om du vill ha en lista med de filer som ingår i den här uppdateringen kan du ladda ned filinformation för uppdatering KB5020003.

Referenser

Läs om standardterminologin som används för att beskriva Microsofts programuppdateringar.