8 november 2022 – KB5020009 (månatlig samlad uppdatering)
Applies To
Windows Server 2012 Windows Embedded 8 StandardUtgivningsdatum:
2022-11-08
Version:
Månatlig samlad uppdatering
Sammanfattning
Läs mer om den här kumulativa säkerhetsuppdateringen, inklusive förbättringar, samt om kända fel och om hur uppdateringen hämtas.
PÅMINNELSE Windows Server 2012 har nått slutet av mainstream-supporten och omfattas nu av extended-support. Från och med juli 2020 kommer det inte längre att finnas valfria versioner (kallas "C" eller "D" för det här operativsystemet. Operativsystem med extended-support har endast kumulativa månatliga säkerhetsuppdateringar (kallas "B" eller Uppdatera tisdag- version).
Kontrollera att du har installerat de nödvändiga uppdateringarna i avsnittet Så här hämtar du uppdateringen innan du installerar den här uppdateringen.
Obs! Mer information om olika typer av Windows-uppdateringar, till exempel kritisk, säkerhet, drivrutin, Service Pack och så vidare, finns i följande artikel. Om du vill visa andra anteckningar och meddelanden läser du startsidan för Windows Server 2012 uppdateringshistorik.
Förbättringar
Den här kumulativa säkerhetsuppdateringen innehåller förbättringar som ingår i uppdateringen KB5017370 (från 11 oktober 2022), och den innehåller viktiga ändringar för följande:
-
Åtgärdar ett problem med DCOM-autentiseringshärdning (Distributed Component Object Model) för att automatiskt höja autentiseringsnivån för alla icke-anonyma aktiveringsförfrågningar från DCOM-klienter. Detta inträffar om autentiseringsnivån är mindre än RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.
-
Uppdateringar sommartid för Jordanien för att förhindra att klockan flyttas tillbaka 1 timme den 28 oktober 2022. Ändrar dessutom visningsnamnet för Jordanien, normaltid från "(UTC+02:00) Amman" till "(UTC+03:00) Amman".
-
Åtgärdar ett problem som gör att Microsoft Azure Active Directory (AAD) Programproxy Connector inte kan hämta ett Kerberos-ärende åt användaren på grund av följande allmänna API-fel: "Det angivna handtaget är ogiltigt (0x80090301)."
-
Åtgärdar ett problem som gör att när du har installerat uppdateringen från 11 januari 2022 eller senare går det inte att fylla i DNS-namnsuffixen i attributen för förtroendeinformation.
-
Åtgärdar säkerhetsrisker i Kerberos- och Netlogon-protokollen som beskrivs i CVE-2022-38023, CVE-2022-37966 och CVE-2022-37967. Distributionsvägledning finns i följande artiklar:
-
KB5020805: Så här hanterar du Kerberos-protokolländringar relaterade till CVE-2022-37967
-
KB5021130: Så här hanterar du Netlogon-protokolländringar relaterade till CVE-2022-38023
-
KB5021131: Så här hanterar du Kerberos-protokolländringar relaterade till CVE-2022-37966
Mer information om åtgärdade säkerhetsrisker finns i Distributioner | Säkerhetsuppdateringsguiden och säkerhetsuppdateringsguiden för november 2022 Uppdateringar.
-
Mer information om åtgärdade säkerhetsrisker finns i Distributioner | Säkerhetsuppdateringsguiden och säkerhetsuppdateringsguiden för november 2022 Uppdateringar.
Kända fel i den här uppdateringen
Symptom |
Nästa steg |
När den här uppdateringen eller en senare Windows-uppdatering har installerats kan domänanslutningsåtgärder misslyckas och felet "0xaac (2732): NERR_AccountReuseBlockedByPolicy" inträffar. Dessutom finns text med texten "Ett konto med samma namn finns i Active Directory. Återanvändning av kontot har blockerats av säkerhetsprincipen" kan visas. Berörda scenarier omfattar vissa domänanslutnings- eller ombildningsåtgärder där ett datorkonto har skapats eller mellanlagras av en annan identitet än den identitet som användes för att ansluta till eller återansluta datorn till domänen. Mer information om det här problemet finns i KB5020276 – Netjoin: Domain join hardening changes. Obs! Det är osannolikt att det här problemet uppstår för konsumentskrivbordsversioner av Windows. |
Mer information om det här problemet finns i KB5020276 . |
När du har installerat Windows-uppdateringar som släpptes den 8 november 2022 eller senare på Windows-servrar som använder rollen Domänkontrollant kan du ha problem med Kerberos-autentisering. Det här problemet kan påverka eventuell Kerberos-autentisering i din miljö. Vissa scenarier som kan påverkas:
När det här problemet uppstår kan du få en microsoft-Windows-Kerberos-Key-Distribution-Center händelse-ID 4-felhändelse i avsnittet System i händelseloggen på domänkontrollanten med texten nedan. Obs! Berörda händelser kommer att innehålla strängen "den saknade nyckeln har ett ID på 1":
Obs! Det här problemet är inte en förväntad del av säkerhetshärdningen för Netlogon och Kerberos från och med säkerhetsuppdateringen i november 2022. Du måste fortfarande följa anvisningarna i de här artiklarna även efter att det här problemet har lösts. Windows-enheter som används hemma av konsumenter eller enheter som inte ingår i en lokal domän påverkas inte av det här problemet. Azure Active Directory-miljöer som inte är hybrider och inte har några lokal Active Directory-servrar påverkas inte. |
Det här problemet åtgärdas i uppdatering KB5021652. |
När du har installerat den här uppdateringen eller en senare uppdatering på en domänkontrollant (DC) kan det uppstå en minnesläcka med Local Security Authority Subsystem Service (LSASS,exe). Beroende på arbetsbelastningen för din domänkontrollant och tiden sedan den senaste omstarten av servern kan LSASS kontinuerligt öka minnesanvändningen med serverns upptid och servern kan sluta svara eller startas om automatiskt. Obs! De uppdateringar som inte ingår i gruppen för datorer som släpptes 17 november 2022 och 18 november 2022 kan påverkas av det här problemet. |
Du åtgärdar problemet genom att öppna en kommandotolk som administratör och använda följande kommando för att ange registernyckeln KrbtgtFullPacSignature till 0:
Observera När det här kända problemet har lösts bör du ställa in KrbtgtFullPacSignature på en högre inställning, beroende på vilken miljö som tillåts. Vi rekommenderar att du aktiverar tvingande läge så snart miljön är klar. Mer information om den här registernyckeln finns i KB5020805: Så här hanterar du Kerberos-protokolländringar relaterade till CVE-2022-37967. Vi arbetar med en lösning och kommer att tillhandahålla en uppdatering i en kommande version. |
När du har installerat den här uppdateringen kanske appar som använder ODBC-anslutningar via Microsoft ODBC SQL Server Driver (sqlsrv32.dll) för att komma åt databaser inte ansluter. Dessutom kan du få ett fel i appen, eller så kan du få ett felmeddelande från SQL Server. Exempel på fel som kan uppstå är följande meddelanden:
Anmärkning för utvecklare: Appar som påverkas av det här problemet kanske inte hämtar data, till exempel när du använder funktionen SQLFetch. Det här problemet kan uppstå när du anropar SQLBindCol-funktionen före SQLFetch eller anropar SQLGetData-funktionen efter SQLFetch och när värdet 0 (noll) anges för argumentet "BufferLength" för fasta datatyper som är större än 4 byte (till exempel SQL_C_FLOAT). Om du vill bestämma om du använder en app som påverkas öppnar du appen som ansluter till en databas. Öppna kommandotolken, skriv följande kommando och tryck sedan på Retur:
Om kommandot returnerar en uppgift kan appen påverkas. |
Du kan åtgärda det här problemet genom att göra något av följande:
Det här problemet åtgärdades i KB5022348. Om du har implementerat ovanstående lösning rekommenderar vi att du fortsätter använda konfigurationen i lösningen. |
Så här hämtar du uppdateringen
Innan du installerar den här uppdateringen
Vi rekommenderar starkt att du installerar den senaste Servicing Stack-uppdateringen (SSU) för ditt operativsystem innan du installerar den senaste samlade uppdateringen. SSU:er förbättrar tillförlitligheten för uppdateringsprocessen för att minimera risken för problem vid installation av den samlade uppdateringen och Microsofts säkerhetskorrigeringar. Allmän information om SSU:er finns i Servicing Stack-uppdateringar och Servicing Stack Uppdateringar (SSU): Vanliga frågor och svar.
Om du använder Windows Update erbjuds den senaste SSU-versionen (KB5016263) automatiskt. Om du vill hämta det fristående paketet för den senaste SSU-versionen kan du söka efter det i Microsoft Update Catalog.
Språkpaket
Om du installerar ett språkpaket efter att du har installerat den här uppdateringen måste du installera om den här uppdateringen. Därför rekommenderar vi att du installerar alla språkpaket som du behöver innan du installerar den här uppdateringen. Mer information finns i Lägga till språkpaket i Windows.
Installera den här uppdateringen
Utgivningskanal |
Tillgängligt |
Nästa steg |
Windows Update och Microsoft Update |
Ja |
Inget. Den här uppdateringen laddas ned och installeras automatiskt via Windows Update. |
Microsoft Update Catalog |
Ja |
Om du vill hämta det fristående paketet för den här uppdateringen går du till webbplatsen Microsoft Update Catalog. |
WSUS (Windows Server Update Services) |
Ja |
Den här uppdateringen synkroniseras automatiskt med WSUS om du konfigurerar Produkter och klassificeringar på följande sätt: Produkt: Windows Server 2012, Windows Embedded 8 Standard Klassificering: Säkerhetsuppdateringar |
Filinformation
Om du vill ha en lista med de filer som ingår i den här uppdateringen kan du ladda ned filinformation för uppdatering KB5020009.
Referenser
Läs mer om den standardterminologi som används för att beskriva Microsofts programuppdateringar.