8 พฤศจิกายน 2022—KB5020009 (ชุดรวมอัปเดตรายเดือน)

บทสรุป

เรียนรู้เพิ่มเติมเกี่ยวกับการอัปเดตความปลอดภัยแบบสะสมนี้ รวมถึงการปรับปรุง ปัญหาอันเป็นที่ทราบ และวิธีรับการอัปเดต

เตือนความจํา Windows Server 2012 ได้สิ้นสุดการสนับสนุนหลักตามปกติ และขณะนี้อยู่ในการสนับสนุนที่ขยายเวลา ตั้งแต่เดือนกรกฎาคม 2020 จะไม่มีการเผยแพร่ที่เป็นตัวเลือกอีกต่อไป (เรียกว่ารุ่น "C" หรือ "D") สําหรับระบบปฏิบัติการนี้ ระบบปฏิบัติการในการสนับสนุนที่ยืดเวลาจะมีเฉพาะการอัปเดตความปลอดภัยรายเดือนสะสมเท่านั้น (เรียกว่า "B" หรืออัปเดตวันอังคาร)

ตรวจสอบว่า คุณได้ติดตั้งการอัปเดตที่จําเป็นซึ่งแสดงอยู่ในส่วน วิธีรับการอัปเดตนี้ ก่อนที่จะติดตั้งการอัปเดตนี้

หมายเหตุ สําหรับข้อมูลเกี่ยวกับการอัปเดต Windows ประเภทต่างๆ เช่น การอัปเดตที่สําคัญ ความปลอดภัย โปรแกรมควบคุม Service Pack และอื่นๆ โปรดดูบทความต่อไปนี้ เมื่อต้องการดูบันทึกย่อและข้อความอื่นๆ ให้ดูโฮมเพจประวัติการอัปเดต Windows Server 2012

ปรับ ปรุง

การอัปเดตความปลอดภัยแบบสะสมนี้ประกอบด้วยการปรับปรุงที่เป็นส่วนหนึ่งของการอัปเดต KB5017370 (เผยแพร่เมื่อ 11 ตุลาคม 2022) และมีการเปลี่ยนแปลงที่สําคัญสําหรับสิ่งต่อไปนี้:

แก้ไขปัญหาการตรวจสอบสิทธิ์ Distributed Component Object Model (DCOM) เพื่อเพิ่มระดับการรับรองความถูกต้องโดยอัตโนมัติสําหรับการร้องขอการเปิดใช้งานที่ไม่ระบุชื่อทั้งหมดจากไคลเอ็นต์ DCOM ซึ่งจะเกิดขึ้นถ้าระดับการรับรองความถูกต้องน้อยกว่า RPC_C_AUTHN_LEVEL_PKT_INTEGRITY
Updates การปรับเวลาตามฤดูกาล (DST) ของจอร์แดนเพื่อป้องกันไม่ให้เลื่อนนาฬิกาย้อนหลัง 1 ชั่วโมงในวันที่ 28 ตุลาคม 2022 นอกจากนี้ เปลี่ยนชื่อที่ใช้แสดงของเวลามาตรฐานจอร์แดนจาก "(UTC+02:00) Amman" เป็น "(UTC+03:00) Amman"
แก้ไขปัญหาที่ Microsoft Azure Active Directory (AAD) พร็อกซีแอปพลิเคชัน Connector ไม่สามารถเรียกข้อมูลตั๋ว Kerberos ในนามของผู้ใช้ได้เนื่องจากข้อผิดพลาด API ทั่วไปต่อไปนี้: "หมายเลขอ้างอิงที่ระบุไม่ถูกต้อง (0x80090301)"
แก้ไขปัญหาที่หลังจากติดตั้งการอัปเดตวันที่ 11 มกราคม 2022 หรือใหม่กว่า กระบวนการสร้าง Forest Trust ล้มเหลวในการเติมคําต่อท้ายชื่อ DNS ลงในแอตทริบิวต์ข้อมูลความเชื่อถือ
แก้ไขปัญหาช่องโหว่ด้านความปลอดภัยในโพรโทคอล Kerberos และ Netlogon ตามที่ระบุไว้ใน CVE-2022-38023, CVE-2022-37966 และ CVE-2022-37967 สําหรับคําแนะนําในการปรับใช้ ให้ดูบทความต่อไปนี้:
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่แก้ไขแล้ว โปรดดูที่ การปรับใช้ | คู่มือการอัปเดตความปลอดภัยและ Updates ความปลอดภัยเดือนพฤศจิกายน 2022

สําหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่แก้ไขแล้ว โปรดดูที่ การปรับใช้ | คู่มือการอัปเดตความปลอดภัยและ Updates ความปลอดภัยเดือนพฤศจิกายน 2022

ปัญหาที่ทราบแล้วในการอัปเดตนี้

อาการ

ขั้นตอนถัดไป

หลังจากติดตั้งการอัปเดตนี้หรือการอัปเดต Windows ที่ใหม่กว่า การดําเนินการเข้าร่วมโดเมนอาจไม่สําเร็จและเกิดข้อผิดพลาด "0xaac (2732): NERR_AccountReuseBlockedByPolicy" เกิดขึ้น นอกจากนี้ ข้อความที่ระบุว่า "บัญชีที่มีชื่อเดียวกันมีอยู่ใน Active Directory การใช้บัญชีนี้อีกครั้งถูกบล็อกโดยนโยบายความปลอดภัย" อาจแสดงขึ้น

สถานการณ์สมมติที่ได้รับผลกระทบ ได้แก่ การเข้าร่วมโดเมนหรือการดําเนินการเกี่ยวกับภาพอีกครั้งที่มีการสร้างบัญชีผู้ใช้คอมพิวเตอร์หรือกําหนดลําดับขั้นไว้ล่วงหน้าโดยข้อมูลประจําตัวอื่นที่ไม่ใช่ข้อมูลเฉพาะตัวที่ใช้รวมหรือเข้าร่วมคอมพิวเตอร์กับโดเมนอีกครั้ง

สําหรับข้อมูลเพิ่มเติมเกี่ยวกับปัญหานี้ ดูที่ KB5020276—Netjoin: การเปลี่ยนแปลงการเพิ่มความแข็งในการเข้าร่วมโดเมน

หมายเหตุ Windows รุ่นเดสก์ท็อปสําหรับผู้บริโภคไม่น่าจะประสบปัญหานี้

โปรดดู KB5020276 สําหรับคําแนะนําเกี่ยวกับปัญหานี้

หลังจากติดตั้งการอัปเดต Windows ที่เผยแพร่ในวันที่ 8 พฤศจิกายน 2022 หรือหลังจากนั้นบน Windows Servers ที่ใช้บทบาทตัวควบคุมโดเมน คุณอาจมีปัญหากับการรับรองความถูกต้อง Kerberos ปัญหานี้อาจส่งผลต่อการรับรองความถูกต้อง Kerberos ในสภาพแวดล้อมของคุณ บางสถานการณ์ที่อาจได้รับผลกระทบ:

การลงชื่อเข้าใช้ของผู้ใช้โดเมนอาจล้มเหลว ปัญหานี้อาจส่งผลต่อการรับรองความถูกต้องบริการการเข้าใช้งานเว็บรวมของ Active Directory (AD FS) ด้วย
บัญชีผู้ใช้บริการที่มีการจัดการแบบกลุ่ม (gMSA) ที่ใช้สําหรับบริการต่างๆ เช่น Internet Information Services (IIS Web Server) อาจไม่สามารถรับรองความถูกต้องได้
การเชื่อมต่อเดสก์ท็อประยะไกลโดยใช้ผู้ใช้โดเมนอาจไม่สามารถเชื่อมต่อได้
คุณอาจไม่สามารถเข้าถึงโฟลเดอร์ที่ใช้ร่วมกันบนเวิร์กสเตชันและใช้ไฟล์ร่วมกันบนเซิร์ฟเวอร์
การพิมพ์ที่ต้องการการรับรองความถูกต้องของผู้ใช้โดเมนอาจล้มเหลว

เมื่อพบปัญหานี้ คุณอาจได้รับเหตุการณ์ข้อผิดพลาด Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 4 ในส่วน ระบบ ของบันทึกเหตุการณ์บนตัวควบคุมโดเมนของคุณที่มีข้อความด้านล่าง

หมายเหตุ เหตุการณ์ที่ได้รับผลกระทบจะมีสตริง "คีย์ที่หายไปมีรหัส 1" ดังนี้

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

หมายเหตุ ปัญหานี้ไม่ใช่ส่วนที่คาดหมายของการเพิ่มความปลอดภัยสําหรับ Netlogon และ Kerberos ตั้งแต่การอัปเดตความปลอดภัยประจําเดือนพฤศจิกายน 2022 คุณจะยังคงต้องทําตามคําแนะนําในบทความเหล่านี้แม้ว่าปัญหานี้ได้รับการแก้ไขแล้ว

อุปกรณ์ Windows ที่ใช้ที่บ้านของผู้บริโภคหรืออุปกรณ์ที่ไม่ได้เป็นส่วนหนึ่งของโดเมนภายในองค์กรไม่ได้รับผลกระทบจากปัญหานี้ สภาพแวดล้อม Azure Active Directory ที่ไม่ได้เป็นไฮบริดและไม่มีเซิร์ฟเวอร์ Active Directory ในองค์กรจะไม่ได้รับผลกระทบ

ปัญหานี้ได้รับการแก้ไขแล้วในการอัปเดต KB5021652

หลังจากติดตั้งการอัปเดตนี้หรือการอัปเดตในภายหลังบนตัวควบคุมโดเมน (DC) คุณอาจพบปัญหาหน่วยความจําพร่องค้างกับ Local Security Authority Subsystem Service (LSASS,exe) ทั้งนี้ขึ้นอยู่กับปริมาณงานของ DC ของคุณและระยะเวลาตั้งแต่การเริ่มระบบใหม่ครั้งล่าสุดของเซิร์ฟเวอร์ LSASS อาจเพิ่มการใช้หน่วยความจําอย่างต่อเนื่องตามเวลาที่เครื่องเซิร์ฟเวอร์และเซิร์ฟเวอร์อาจไม่ตอบสนองหรือเริ่มระบบใหม่โดยอัตโนมัติ

หมายเหตุ การอัปเดตพร้อมใช้งานสําหรับ DC ที่เผยแพร่เมื่อวันที่ 17 พฤศจิกายน 2022 และ 18 พฤศจิกายน 2022 อาจได้รับผลกระทบจากปัญหานี้

เมื่อต้องการลดปัญหานี้ ให้เปิดพร้อมท์คําสั่งในฐานะผู้ดูแลระบบ และใช้คําสั่งต่อไปนี้เพื่อตั้งค่ารีจิสทรีคีย์ KrbtgtFullPacSignature เป็น 0:

reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

หมาย เหตุ หลังจากปัญหาที่ทราบแล้วได้รับการแก้ไขแล้ว คุณควรตั้งค่า KrbtgtFullPacSignature เป็นการตั้งค่าที่สูงกว่า โดยขึ้นอยู่กับสภาพแวดล้อมของคุณที่จะอนุญาต เราขอแนะนําให้คุณเปิดใช้งานโหมดการบังคับใช้ทันทีที่สภาพแวดล้อมของคุณพร้อม

สําหรับข้อมูลเพิ่มเติมเกี่ยวกับรีจิสทรีคีย์นี้ โปรดดู KB5020805: วิธีจัดการการเปลี่ยนแปลงโพรโทคอล Kerberos ที่เกี่ยวข้องกับ CVE-2022-37967

เรากำลังหาวิธีแก้ไขปัญหา และจะนำเสนอการอัปเดตในรุ่นถัดไป

หลังจากติดตั้งการอัปเดตนี้ แอปที่ใช้การเชื่อมต่อ ODBC ผ่าน Microsoft ODBC SQL Server Driver (sqlsrv32.dll) เพื่อเข้าถึงฐานข้อมูลอาจไม่เชื่อมต่อ นอกจากนี้ คุณอาจได้รับข้อผิดพลาดในแอป หรือคุณอาจได้รับข้อผิดพลาดจาก SQL Server ข้อผิดพลาดที่คุณอาจได้รับจะมีข้อความต่อไปนี้:

ระบบ EMS พบปัญหาข้อความ: [Microsoft][ODBC SQL Server โปรแกรมควบคุม] ข้อผิดพลาดโพรโทคอลในสตรีม TDS
ระบบ EMS พบปัญหาข้อความ: [Microsoft][โปรแกรมควบคุม SQL Server ODBC] โทเค็นที่ไม่รู้จักที่ได้รับจาก SQL Server

หมายเหตุสําหรับนักพัฒนา: แอปที่ได้รับผลกระทบจากปัญหานี้อาจไม่สามารถดึงข้อมูลได้ ตัวอย่างเช่น เมื่อใช้ฟังก์ชัน SQLFetch ปัญหานี้อาจเกิดขึ้นเมื่อเรียกใช้ ฟังก์ชัน SQLBindCol ก่อนที่ SQLFetch หรือการเรียก ฟังก์ชัน SQLGetData หลังจาก SQLFetch และเมื่อค่าเป็น 0 (ศูนย์) ได้รับสําหรับอาร์กิวเมนต์ 'BufferLength' สําหรับชนิดข้อมูลคงที่ที่มีขนาดใหญ่กว่า 4 ไบต์ (เช่น SQL_C_FLOAT)

เมื่อต้องการตัดสินใจว่าคุณกําลังใช้แอปที่ได้รับผลกระทบหรือไม่ ให้เปิดแอปที่เชื่อมต่อกับฐานข้อมูล เปิดหน้าต่างพร้อมท์คําสั่ง พิมพ์คําสั่งต่อไปนี้ แล้วกด Enter:

tasklist /m sqlsrv32.dll

หากคําสั่งส่งคืนงาน แอปอาจได้รับผลกระทบ

เมื่อต้องการลดปัญหานี้ คุณสามารถเลือกทําอย่างใดอย่างหนึ่งต่อไปนี้:

ถ้าแอปของคุณใช้อยู่แล้วหรือสามารถใช้ชื่อแหล่งข้อมูล (DSN) เพื่อเลือกการเชื่อมต่อ ODBC ให้ติดตั้ง โปรแกรมควบคุม Microsoft ODBC 17 สําหรับ SQL Server และเลือกเพื่อใช้กับแอปของคุณโดยใช้ DSNหมาย เหตุ: เราขอแนะนําให้ใช้โปรแกรมควบคุม MICROSOFT ODBC 17 เวอร์ชันล่าสุดสําหรับ SQL Server เนื่องจากเข้ากันได้กับแอปที่ใช้โปรแกรมควบคุม SQL Server (sqlsrv32.dll) ของ Microsoft ODBC รุ่นดั้งเดิมมากกว่า Microsoft ODBC Driver 18 สําหรับ SQL Server
ถ้าแอปของคุณไม่สามารถใช้ DSN ได้ แอปจะต้องได้รับการปรับเปลี่ยนเพื่ออนุญาต DSN หรือใช้โปรแกรมควบคุม ODBC ที่ใหม่กว่าโปรแกรมควบคุม ODBC SQL Server Microsoft (sqlsrv32.dll)

ปัญหานี้แก้ไขได้แล้วใน KB5022348 ถ้าคุณใช้วิธีแก้ไขปัญหาชั่วคราวข้างต้นแล้ว ขอแนะนําให้ใช้การกําหนดค่าในการแก้ไขปัญหาชั่วคราวต่อไป

วิธีรับการอัปเดตนี้

ก่อนที่จะติดตั้งการอัปเดตนี้

เราขอแนะนําให้คุณติดตั้งการอัปเดตสแตกบริการ (SSU) ล่าสุดสําหรับระบบปฏิบัติการก่อนติดตั้งชุดรวมอัปเดตล่าสุด SSU ปรับปรุงความน่าเชื่อถือของกระบวนการอัปเดตเพื่อบรรเทาปัญหาที่อาจเกิดขึ้นในขณะที่ติดตั้งชุดรวมอัปเดตและใช้การแก้ไขปัญหาความปลอดภัยของ Microsoft สําหรับข้อมูลทั่วไปเกี่ยวกับ SSU โปรดดู การอัปเดตสแตกการให้บริการ และ สแตกบริการ Updates (SSU): คําถามที่ถามบ่อย

หากคุณใช้ Windows Update SSU ล่าสุด (KB5016263) จะมีให้กับคุณโดยอัตโนมัติ เมื่อต้องการขอรับแพคเกจสแตนด์อโลนสําหรับ SSU ล่าสุด ให้ค้นหาใน Microsoft Update Catalog

ชุดภาษา

หากคุณติดตั้งแพคภาษาหลังจากที่คุณติดตั้งการอัปเดตนี้ คุณต้องติดตั้งการอัปเดตนี้ใหม่ ดังนั้น เราขอแนะนําให้คุณติดตั้งชุดภาษาใดๆ ที่คุณต้องการก่อนที่คุณจะติดตั้งการอัปเดตนี้ ดูข้อมูลเพิ่มเติมได้ที่ เพิ่มชุดภาษาลงใน Windows

ติดตั้งการอัปเดตนี้

ช่องทางการเผยแพร่	พร้อมใช้งาน	ขั้นตอนถัดไป
Windows Update และ Microsoft Update	ใช่	ไม่มี การอัปเดตนี้จะถูกดาวน์โหลดและติดตั้งโดยอัตโนมัติจาก Windows Update
Microsoft Update Catalog	ใช่	เมื่อต้องการขอรับแพคเกจสแตนด์อโลนสําหรับการอัปเดตนี้ ให้ไปที่เว็บไซต์ Microsoft Update Catalog
Windows Server Update Services (WSUS)	ใช่	การอัปเดตนี้จะซิงค์กับ WSUS โดยอัตโนมัติหากคุณกำหนดค่า ผลิตภัณฑ์และการจำแนกประเภท ดังต่อไปนี้: ผลิตภัณฑ์: Windows Server 2012, Windows Embedded 8 Standard การจำแนกประเภท: การอัปเดตความปลอดภัย

ข้อมูลไฟล์

สําหรับรายการไฟล์ที่ระบุในการอัปเดตนี้ ให้ดาวน์โหลด ข้อมูลไฟล์สําหรับการอัปเดต KB5020009

แหล่งอ้างอิง

เรียนรู้เกี่ยวกับ คําศัพท์มาตรฐาน ที่ใช้เพื่ออธิบายการอัปเดตซอฟต์แวร์ของ Microsoft

8 พฤศจิกายน 2022—KB5020009 (ชุดรวมอัปเดตรายเดือน)

บทสรุป

ปรับ ปรุง

ปัญหาที่ทราบแล้วในการอัปเดตนี้

วิธีรับการอัปเดตนี้

ข้อมูลไฟล์

แหล่งอ้างอิง

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

ข้อมูลนี้เป็นประโยชน์หรือไม่

ขอบคุณสำหรับคำติชมของคุณ!