2023 年 10 月 10 日 — KB5031364(OS 内部版本 20348.2031)

应用对象
Windows Server 2022

注意

改进

此安全更新程序包括质量改进。 安装此 KB 时:

  • 新增功能!此更新添加了Azure Arc 安装程序可选组件。 它包括新的Azure Arc 系统托盘图标和用于Azure Arc 管理的新服务器管理器条目。 Azure Connected Machine 代理还有一个图形安装程序。 现在,只需单击几下鼠标即可打开Azure Arc。 无需运行 PowerShell 脚本。 若要了解详细信息,请参阅通过Azure Arc 安装程序将Windows Server计算机连接到Azure

  • 新增功能! 此更新完成工作以符合 GB18030-2022 要求。 它删除并重新映射Microsoft Wubi 输入和Microsoft拼音 U 模式输入的字符。 不能再输入不支持的字符码位。 所有必需的代码点都是最新的。

  • 此更新解决了争用条件。 在启动的早期加载代码页时,会出现这种情况。 这会导致停止0x7e错误。

  • 此更新改变了乌克兰首都从基辅到基辅的拼写。

  • 此更新支持在格陵兰进行夏令时 (DST) 更改。

  • 此更新解决了影响计划任务的问题。 调用凭据管理器 API 的任务可能会失败。 如果选择[仅在用户登录时运行]和[以最高特权运行],则会发生此情况。

  • 此更新解决了影响 Kerberos 委派的问题。 它可能以错误的方式失败。 错误代码0xC000006E (STATUS_ACCOUNT_RESTRICTION) 。 在 Active Directory 中将中间服务帐户标记为“此帐户敏感且无法委派”时,可能会出现此问题。 应用程序还可能返回错误消息“System.Security.Authentication.AuthenticationException: 无法初始化安全上下文。 错误代码为 -2146893042。”

  • 此更新解决了影响 PCI 设备的问题。 打开内核直接内存访问 (DMA) 保护时,可能会遇到错误。

  • 此更新提高了建议的疑难解答的效率和性能。

  • 此更新影响 Windows 筛选平台 (WFP) 连接。 它们的重定向诊断已得到改进。

  • 此更新解决了影响外部绑定的问题。 失败。 安装日期为 2023 年 5 月或更高版本的 Windows 更新后,会出现这种情况。 因此,存在影响 LDAP 查询和身份验证的问题。

  • 此更新会影响 Active Directory 事件 ID 1644 处理。 它现在接受长度超过 64 KB 的事件。 此更改将截断默认情况下为 1644 到 20000 个字符的轻型目录访问协议 (LDAP) 查询。 可以使用注册表项“DEFAULT_DB_EXPENSIVE_SEARCH_FILTER_MAX_LOGGING_LENGTH_IN_CHARS”配置 20K 值。

  • 此更新解决了影响启用“交互式登录需要智能卡”帐户选项的用户的问题。 禁用 RC4 后,无法向远程桌面服务场进行身份验证。 错误消息为“发生了身份验证错误。 KDC 不支持请求的加密类型。”

  • 此更新解决了影响 SMB) (服务器消息块的 I/O 的问题。 使用 LZ77+Huffman 压缩算法时,它可能会失败。

  • 此更新解决了影响服务器消息块 (SMB) 客户端的问题。 当会话的重新身份验证失败时,它不会重新连接所有持久句柄。

  • 若要防范 CVE-2023-44487,应安装最新的 Windows 更新。 根据用例,还可以使用此更新中的新注册表项设置每分钟RST_STREAMS限制。
    可以在下表中的以下注册表项下创建 DWORD 注册表值:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
    安装此 KB 时,默认情况下不存在这些密钥。 可以根据需要创建它们,以便为环境设置新值。

    注册表项 默认值 有效值范围 注册表项函数
    Http2MaxClientResetsPerMinute 400 0–65535 设置连接每分钟允许的重置 (RST_STREAMS) 数。 达到此限制时,将 GOAWAY 消息发送到客户端进行连接。
    Http2MaxClientResetsGoaway 1 0-1 禁用或启用 GOAWAY 消息在达到限制时发送。 如果将其设置为 0,连接将在达到限制后立即结束。

如果已安装较早的更新,那么此程序包中只有新的更新程序会下载并安装到设备上。

有关安全漏洞的详细信息,请参阅安全更新指南2023 年 10 月安全汇报

Windows Server 2022 服务堆栈更新 - 20348.2032

此更新对服务堆栈进行了质量改进,服务堆栈是安装 Windows 更新的组件。 服务堆栈更新 (SSU) 可确保你拥有强大且可靠的服务堆栈,让你的设备可以接收和安装 Microsoft 更新。

此更新中的已知问题

症状 解决方法
在 VMware ESXi 主机上运行的虚拟机 (VM) 安装此更新后,Windows 2022 可能无法启动。 受影响的 VM 将收到蓝屏错误和停止代码:PNP 检测到严重错误。 此问题仅影响 VMware ESXi 主机上具有以下配置的来宾 VM:
  • AMD Epyc 物理处理器
  • 在 VM 的 VMware 设置中启用了“向来宾 OS 公开 IOMMU”。
  • Windows Server 2022 中启用了“启用基于虚拟化的安全性”。
  • Windows Server 2022 中启用了“System Guard 安全启动”。
此问题已在 KB5032198 中得到解决。

如何获取此更新

在安装此更新之前

Microsoft 现在将操作系统的最新服务堆栈更新 (SSU) 与最新的累积更新 (LCU) 组合在一起。 有关 SSU 的一般信息,请参阅服务堆栈更新服务堆栈更新 (SSU):常见问题解答

脱机 OS 映像服务的先决条件:

请确保映像包含 KB5030216 (2023/09/12) 或更高版本的 LCU。 如果没有,请在安装最新更新之前将其安装在脱机媒体上。 此 LCU 将 SSU 版本更新为 20348.1960。 这是防止错误0x800f0823 (CBS_E_NEW_SERVICING_STACK_REQUIRED) 必须具有的最低 SSU 版本。

安装此更新

发布渠道 可用 下一步
Windows 更新和 Microsoft 更新 无。 此更新会通过 Windows 更新自动下载并安装。
Windows 更新 for Business 无。 此更新会通过 Windows 更新自动下载并安装。
Microsoft 更新目录 若要获取此更新的独立程序包,请转到 Microsoft 更新目录网站。
Windows Server Update Services (WSUS) 如果按照以下方式配置“产品和分类”,此更新将自动与 WSUS 同步:
产品:Microsoft 服务器操作系统 21H2
分类:安全更新

注意

  • 如果要删除 LCU
  • 若要在安装组合的 SSU 和 LCU 包后删除 LCU,请使用 DISM/Remove-Package 命令行选项和 LCU 包名称作为参数。 可以使用以下命令查找包名称:DISM /online /get-packages
  • 在组合包上使用 /uninstall 开关运行Windows 更新独立安装程序 (wusa.exe) 将不起作用,因为组合包包含 SSU。 安装后,无法从系统中删除 SSU。

文件信息

有关此更新中提供的文件列表,请下载 累积更新5031364的文件信息

有关服务堆栈更新中提供的文件列表,请下载 SSU - 版本 20348.2032 的文件信息