8 листопада 2022 р. – KB5019964 (збірка ОС 14393.5501)

^10/11/22
ВАЖЛИВО 10 січня 2023 року завершується загальнодоступне розширення для пристроїв обслуговування з процесором Intel Atom Clover Trail. Оновлення системи безпеки від 10 січня 2023 р. – це останнє оновлення для цих пристроїв. Після цієї дати вони не отримуватимуть щомісячні оновлення системи безпеки та покращення. Ці оновлення захищають вас від останніх загроз безпеці. На жаль, ці пристрої не відповідають вимогам до обладнання для оновлення до новішої версії Windows 10 або Windows 11. Радимо розглянути новий пристрій із Windows 11.

^11/19/20
Відомості про термінологію Windows Update див. в статті про типи оновлень Windows і типи щомісячного покращення. Огляд Windows 10 версії 1607 див. на сторінці журналу оновлень.

Основні відомості

Він зупиняє початок переходу на літній час в Йорданії в кінці жовтня 2022 року. Часовий пояс Йорданії буде остаточно переміщено до часового поясу UTC + 3.
Вирішено проблеми з безпекою операційної системи Windows.

Поліпшень

Це оновлення системи безпеки містить покращення якості. Під час інсталяції цього KB:

Вирішено проблему, яка впливає на апаратне забезпечення автентифікації моделі розподілених компонентів (DCOM). Ми автоматично підвищимо рівень автентифікації для всіх неанонімні запити на активацію від клієнтів DCOM до RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Це відбувається, якщо рівень автентифікації нижче цілісності пакетів.
Він зупиняє початок переходу на літній час в Йорданії в кінці жовтня 2022 року. Часовий пояс Йорданії буде остаточно переміщено до часового поясу UTC + 3.
Вирішено проблему, яка впливає на з'єднувач проксі-сервера застосунку Microsoft Azure Active Directory (AAD). Не вдалося отримати квиток Kerberos від імені користувача. Повідомлення про помилку: "Указаний маркер неприпустимий (0x80090301)".
Вирішено проблему, яка впливає на процес створення довіри лісу. Не вдається додати суфікси імен доменної системи імен (DNS) до атрибутів відомостей про довіру. Це відбувається після інсталяції оновлень від 11 січня 2022 р. або пізнішої версії.
Вирішено проблему, яка впливає на контролер домену (DC). Dc записує подію 21 Центру розподілу ключів (KDC) у системному журналі подій. Це відбувається, коли KDC успішно обробляє запит автентифікації загальнодоступного ключа Kerberos для початкової автентифікації (PKINIT) за допомогою самостійно підписаного сертифіката для сценаріїв довіри ключів. Це стосується Windows Hello для бізнесу та автентифікації пристрою.
Вирішено проблему, яка впливає на корпорація Майкрософт visual C++ вторинного розповсюдження середовища виконання. Вона не завантажується в службу локального центру безпеки (LSASS), якщо ввімкнути захищений світло процесу (PPL).
Він усуває вразливості системи безпеки в протоколах Kerberos і Netlogon, як зазначено в CVE-2022-38023, CVE-2022-37966 і CVE-2022-37967. Докладні відомості про розгортання див. в таких розділах:
- KB5020805: Керування змінами протоколу Kerberos, пов'язаними з CVE-2022-37967
- KB5021130: керування змінами протоколу Netlogon, пов'язаними з CVE-2022-38023
- KB5021131: Керування змінами протоколу Kerberos, пов'язаними з CVE-2022-37966

Якщо ви інсталювали попередні оновлення, на пристрій завантажаться та інсталюються лише нові оновлення, які містяться в цьому пакеті.

Докладні відомості про вразливості системи безпеки див. на новому веб-сайті Посібника з оновлень системи безпеки та Оновлення системи безпеки за листопад 2022 р.

Відомі проблеми в цьому оновленні

Проблема	Тимчасове вирішення
Після інсталяції оновлень, випущених 8 листопада 2022 року або пізніше, на серверах Windows із роллю контролера домену можуть виникнути проблеми з Kerberos. Ця проблема може вплинути на будь-яку автентифікацію Kerberos у вашому середовищі. Нижче наведено деякі сценарії, які можуть зазнати впливу: Вхід користувача домену може завершитися помилкою. Це також може вплинути на автентифікацію служб об’єднання Active Directory. Облікові записи групових керованих служб, які використовуються для таких служб, як Інформаційні служби Інтернету (веб-сервер IIS), можуть не пройти автентифікацію. Підключення до віддаленого робочого стола за допомогою користувачів домену може завершитися помилкою. Можливо, не вдасться отримати доступ до спільних папок на робочих станціях і серверах. Друк, для виконання якого потрібна автентифікація користувача домену, може завершитися помилкою. Якщо виникає ця проблема, у розділі "Система" журналу подій на контролері домену може з’явитися помилка Microsoft-Windows-Windows-Kerberos-Key-Distribution-Center з ідентифікатором події 14 і наведеним нижче текстом. Примітка. Події, на які вплинула проблема, міститимуть повідомлення "відсутній ключ має ідентифікатор 1": `While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.` Примітка. Ця проблема не є очікуваним наслідком посилення безпеки для Netlogon і Kerberos, починаючи з оновлення системи безпеки за листопад 2022 року. Вам усе одно доведеться дотримуватися наведених у цих статтях указівок, навіть після вирішення цієї проблеми. Ця проблема не впливає на пристрої Windows, якими споживачі користуються вдома, або пристрої, які не є частиною локального домену. Проблема не впливає на середовища Azure Active Directory, які не є гібридними та не мають локальних серверів Active Directory.	Цю проблему вирішено в сторонніх оновленнях, випущених 17 листопада 2022 року, для інсталяції на всіх контролерах домену у вашому середовищі. Щоб вирішити цю проблему, не потрібно інсталювати оновлення або вносити зміни до інших серверів чи клієнтських пристроїв у вашому середовищі. Якщо ви використовували обхідний шлях або зведення ризиків до мінімуму для вирішення цієї проблеми, вони більше не потрібні. Радимо їх вилучити. Щоб отримати автономний пакет для цих нестандартних оновлень, виконайте пошук за номером бази знань у Каталозі Microsoft Update. Ви можете вручну імпортувати ці оновлення до служб WSUS і Microsoft Endpoint Configuration Manager. Інструкції щодо WSUS див. в статті Служби WSUS і сайт каталогу. Інструкції щодо Microsoft Endpoint Configuration Manager див. в статті Імпорт оновлень із каталогу Microsoft Update. Примітка. Наведені нижче оновлення недоступні у Windows Update і не інсталюватимуться автоматично. Сукупний пакет оновлень: Windows Server 2022: KB5021656 Windows Server 2019: KB5021655 Windows Server 2016: KB5021654 Примітка. Вам не потрібно застосовувати жодних попередніх оновлень, перш ніж інсталювати цей сукупний пакет оновлень. Якщо ви вже інсталювали оновлення, випущені 8 листопада 2022 року, не потрібно видаляти оновлення, на які впливає проблема, перш ніж інсталювати пізніші оновлення, зокрема наведені вище. Автономні оновлення: Windows Server 2012 R2: KB5021653 Windows Server 2012: KB5021652 Windows Server 2008 R2 з пакетом оновлень 1 (SP1): це оновлення ще не доступне. Щоб дізнатися більше, поверніться сюди наступного тижня. Windows Server 2008 із пакетом оновлень 2 (SP2): KB5021657 Примітка. Якщо ви використовуєте лише оновлення системи безпеки для цих версій Windows Server, потрібно інсталювати ці автономні оновлення тільки за листопад 2022 року. Оновлення лише системи безпеки не є сукупними, тому вам також потрібно буде інсталювати всі попередні оновлення системи безпеки. Щомісячні зведені оновлення є сукупними та містять оновлення системи безпеки й усі покращення. Якщо ви використовуєте щомісячні зведені оновлення, потрібно буде інсталювати вказані вище автономні оновлення, щоб вирішити цю проблему, а також щомісячні зведені оновлення, випущені 8 листопада 2022 року, щоб отримати покращення за листопад 2022 року. Якщо ви вже інсталювали оновлення, випущені 8 листопада 2022 року, не потрібно видаляти оновлення, на які впливає проблема, перш ніж інсталювати пізніші оновлення, зокрема наведені вище.
Після інсталяції цього або пізніших оновлень на контролерах домену може статися витік пам’яті в службі перевірки автентичності локальної системи безпеки (LSASS.exe). Залежно від завантаженості контролерів домену та часу від останнього перезавантаження сервера LSASS може постійно збільшувати обсяг використання пам’яті під час роботи сервера. Можливо, сервер не відповідає або автоматично перезавантажується. Примітка. Ця проблема може вплинути на позачергові оновлення для контролерів домену, випущені 17 та 18 листопада 2022 року.	Цю проблему вирішено в оновленні KB5021235.
Після інсталяції цього оновлення програми, які використовують для доступу до баз даних підключення ODBC через драйвер Microsoft ODBC для SQL Server (sqlsrv32.dll), можуть не підключатися. У програмі може з’явитися повідомлення про помилку або повідомлення про помилку від SQL Server, наприклад "У системі EMS виникла проблема" з "Повідомлення: [Microsoft][ODBC SQL Server driver] Помилка протоколу в TDS Stream" або "Повідомлення: [Microsoft][ODBC SQL Server Driver] Від SQL Server отримано невідомий маркер". Примітка для розробників Програми, на які вплинула ця проблема, можуть не бути знатними отримати дані, наприклад, якщо використовується функція SQLFetch. Ця проблема може виникнути під час виклику функції SQLBindCol перед SQLF або виклику функції SQLGetData після SQLFetch і коли для аргументу для фіксованих типів даних, розмір яких перевищує 4 байти (наприклад, SQL_C_FLOAT) 'BufferLength' надається значення 0 (нуль). Якщо ви не впевнені, чи використовуєте ви програми, на які це могло вплинути, відкрийте будь-які програми, які використовують базу даних, а потім відкрийте Командний рядок (виберіть Початок потім введіть командний рядок , виберіть його) і введіть таку команду: `tasklist /m sqlsrv32.dll`	Цю проблему вирішено в оновленні KB5022289.

Проблема

Тимчасове вирішення

Після інсталяції оновлень, випущених 8 листопада 2022 року або пізніше, на серверах Windows із роллю контролера домену можуть виникнути проблеми з Kerberos. Ця проблема може вплинути на будь-яку автентифікацію Kerberos у вашому середовищі. Нижче наведено деякі сценарії, які можуть зазнати впливу:

Вхід користувача домену може завершитися помилкою. Це також може вплинути на автентифікацію служб об’єднання Active Directory.
Облікові записи групових керованих служб, які використовуються для таких служб, як Інформаційні служби Інтернету (веб-сервер IIS), можуть не пройти автентифікацію.
Підключення до віддаленого робочого стола за допомогою користувачів домену може завершитися помилкою.
Можливо, не вдасться отримати доступ до спільних папок на робочих станціях і серверах.
Друк, для виконання якого потрібна автентифікація користувача домену, може завершитися помилкою.

Якщо виникає ця проблема, у розділі "Система" журналу подій на контролері домену може з’явитися помилка Microsoft-Windows-Windows-Kerberos-Key-Distribution-Center з ідентифікатором події 14 і наведеним нижче текстом. Примітка. Події, на які вплинула проблема, міститимуть повідомлення "відсутній ключ має ідентифікатор 1":

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

Примітка. Ця проблема не є очікуваним наслідком посилення безпеки для Netlogon і Kerberos, починаючи з оновлення системи безпеки за листопад 2022 року. Вам усе одно доведеться дотримуватися наведених у цих статтях указівок, навіть після вирішення цієї проблеми.

Ця проблема не впливає на пристрої Windows, якими споживачі користуються вдома, або пристрої, які не є частиною локального домену. Проблема не впливає на середовища Azure Active Directory, які не є гібридними та не мають локальних серверів Active Directory.

Цю проблему вирішено в сторонніх оновленнях, випущених 17 листопада 2022 року, для інсталяції на всіх контролерах домену у вашому середовищі. Щоб вирішити цю проблему, не потрібно інсталювати оновлення або вносити зміни до інших серверів чи клієнтських пристроїв у вашому середовищі. Якщо ви використовували обхідний шлях або зведення ризиків до мінімуму для вирішення цієї проблеми, вони більше не потрібні. Радимо їх вилучити.

Щоб отримати автономний пакет для цих нестандартних оновлень, виконайте пошук за номером бази знань у Каталозі Microsoft Update. Ви можете вручну імпортувати ці оновлення до служб WSUS і Microsoft Endpoint Configuration Manager. Інструкції щодо WSUS див. в статті Служби WSUS і сайт каталогу. Інструкції щодо Microsoft Endpoint Configuration Manager див. в статті Імпорт оновлень із каталогу Microsoft Update.

Примітка. Наведені нижче оновлення недоступні у Windows Update і не інсталюватимуться автоматично.

Сукупний пакет оновлень:

Windows Server 2022: KB5021656
Windows Server 2019: KB5021655
Windows Server 2016: KB5021654

Примітка. Вам не потрібно застосовувати жодних попередніх оновлень, перш ніж інсталювати цей сукупний пакет оновлень. Якщо ви вже інсталювали оновлення, випущені 8 листопада 2022 року, не потрібно видаляти оновлення, на які впливає проблема, перш ніж інсталювати пізніші оновлення, зокрема наведені вище.

Автономні оновлення:

Windows Server 2012 R2: KB5021653
Windows Server 2012: KB5021652
Windows Server 2008 R2 з пакетом оновлень 1 (SP1): це оновлення ще не доступне. Щоб дізнатися більше, поверніться сюди наступного тижня.
Windows Server 2008 із пакетом оновлень 2 (SP2): KB5021657

Примітка. Якщо ви використовуєте лише оновлення системи безпеки для цих версій Windows Server, потрібно інсталювати ці автономні оновлення тільки за листопад 2022 року. Оновлення лише системи безпеки не є сукупними, тому вам також потрібно буде інсталювати всі попередні оновлення системи безпеки. Щомісячні зведені оновлення є сукупними та містять оновлення системи безпеки й усі покращення. Якщо ви використовуєте щомісячні зведені оновлення, потрібно буде інсталювати вказані вище автономні оновлення, щоб вирішити цю проблему, а також щомісячні зведені оновлення, випущені 8 листопада 2022 року, щоб отримати покращення за листопад 2022 року. Якщо ви вже інсталювали оновлення, випущені 8 листопада 2022 року, не потрібно видаляти оновлення, на які впливає проблема, перш ніж інсталювати пізніші оновлення, зокрема наведені вище.

Після інсталяції цього або пізніших оновлень на контролерах домену може статися витік пам’яті в службі перевірки автентичності локальної системи безпеки (LSASS.exe). Залежно від завантаженості контролерів домену та часу від останнього перезавантаження сервера LSASS може постійно збільшувати обсяг використання пам’яті під час роботи сервера. Можливо, сервер не відповідає або автоматично перезавантажується.

Примітка. Ця проблема може вплинути на позачергові оновлення для контролерів домену, випущені 17 та 18 листопада 2022 року.

Цю проблему вирішено в оновленні KB5021235.

Після інсталяції цього оновлення програми, які використовують для доступу до баз даних підключення ODBC через драйвер Microsoft ODBC для SQL Server (sqlsrv32.dll), можуть не підключатися. У програмі може з’явитися повідомлення про помилку або повідомлення про помилку від SQL Server, наприклад "У системі EMS виникла проблема" з "Повідомлення: [Microsoft][ODBC SQL Server driver] Помилка протоколу в TDS Stream" або "Повідомлення: [Microsoft][ODBC SQL Server Driver] Від SQL Server отримано невідомий маркер".

Примітка для розробників Програми, на які вплинула ця проблема, можуть не бути знатними отримати дані, наприклад, якщо використовується функція SQLFetch. Ця проблема може виникнути під час виклику функції SQLBindCol перед SQLF або виклику функції SQLGetData після SQLFetch і коли для аргументу для фіксованих типів даних, розмір яких перевищує 4 байти (наприклад, SQL_C_FLOAT) 'BufferLength' надається значення 0 (нуль).

Якщо ви не впевнені, чи використовуєте ви програми, на які це могло вплинути, відкрийте будь-які програми, які використовують базу даних, а потім відкрийте Командний рядок (виберіть Початок потім введіть командний рядок , виберіть його) і введіть таку команду:

tasklist /m sqlsrv32.dll

Цю проблему вирішено в оновленні KB5022289.

Отримання оновлення

Перед інсталяцією цього оновлення

Корпорація Майкрософт наполегливо рекомендує інсталювати останнє оновлення стека обслуговування (SSU) для операційної системи перед інсталяцією останнього сукупного пакета оновлень (LCU). Оновлення SSU підвищують надійність процесу оновлення для зменшення потенційних проблем під час інсталяції LCU та застосування корпорація Майкрософт оновлень системи безпеки. Загальні відомості про оновлення стека обслуговування (SSU) див. в статті Оновлення стека обслуговування та Стек обслуговування Оновлення (SSU): запитання й відповіді.

Якщо ви використовуєте Windows Update, останнє оновлення SSU (KB5017396) буде запропоновано вам автоматично. Щоб отримати автономний пакет для останнього оновлення SSU, виконайте пошук у каталозі корпорація Майкрософт Update.

Інсталювати це оновлення

Канал випуску	Доступно	Наступний крок
Windows Update і Microsoft Update	Так	Немає. Це оновлення автоматично завантажиться й інсталюється з Windows Update.
Оновлення Windows для бізнесу	Так	Немає. Це оновлення буде автоматично завантажено та інстальовано з Windows Update відповідно до настроєних політик.
Каталог Microsoft Update	Так	Щоб отримати автономний пакет для цього оновлення, перейдіть на веб-сайт каталогу корпорація Майкрософт Update.
Служби Windows Server Update Services (WSUS)	Так	Це оновлення автоматично синхронізується зі службами WSUS, якщо ви налаштуєте продукти та класифікації таким чином: Продукт: Windows 10 Класифікація: оновлення системи безпеки

Відомості про файл

Щоб отримати список файлів, які містяться в цьому оновленні, завантажте відомості про файл для сукупного пакета оновлень 5019964.

8 листопада 2022 р. – KB5019964 (збірка ОС 14393.5501)

Основні відомості

Поліпшень

Відомі проблеми в цьому оновленні

Отримання оновлення

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Чи ця інформація була корисною?

Дякуємо за відгук!