Related topics
×
Sign in with Microsoft
Sign in or create an account.
Hello,
Select a different account.
You have multiple accounts
Choose the account you want to sign in with.

Release Date:

8/11/2022

Version:

作業系統組建 14393.5501

22 年 10 月 11 日
重要在 2023 年 1 月 10 日,對於配備 Intel Atom Clover Trail 處理器之裝置的公開擴充功能將會終止。 2023 年 1 月 10 日的安全性更新是這些裝置上一次的更新。 在該日期之後,他們將不會收到每月安全性和品質更新。 這些更新可保護您免于最新的安全性威脅。 很抱歉,這些裝置不符合升級至較新版Windows 10或Windows 11的硬體需求。 建議您考慮使用具有Windows 11的新裝置。  

2020
年 11 月 19 日 如需 Windows 更新術語的相關資訊,請參閱關於Windows 更新類型每月品質更新類型的文章。 如需版本 1607 Windows 10概觀,請參閱其更新記錄頁面。  

重點

  • 它會在 2022 年 10 月底停止在約旦開始日光節約時間。 約旦時區將會永久移至 UTC + 3 時區。

  • 它可解決 Windows 作業系統的安全性問題。  

改善

此安全性更新包括品質改善。 當您安裝此 KB 時: 

  • 它解決了會影響分散式元件物件模型 (DCOM) 驗證硬化的問題。 我們將自動提高 DCOM 用戶端的所有非匿名啟用要求的驗證層級,以RPC_C_AUTHN_LEVEL_PKT_INTEGRITY。 如果驗證層級低於封包完整性,就會發生這種情況。

  • 它會在 2022 年 10 月底停止在約旦開始日光節約時間。 約旦時區將會永久移至 UTC + 3 時區。

  • 它可解決影響Microsoft Azure Active Directory (AAD) 應用程式 Proxy連接器的問題。 它無法代表使用者擷取 Kerberos 票證。 錯誤訊息是「指定的控點無效 (0x80090301) 」。

  • 它可解決影響森林信任建立程式的問題。 無法將網域名稱系統 (DNS) 名稱尾碼新增至信任資訊屬性。 這會在您安裝 2022 年 1 月 11 日或更新版本之後發生。

  • 它可解決影響網域控制站 (DC) 的問題。 DC 會在系統事件記錄檔 (KDC) 事件 21 中寫入金鑰發佈中心。 當 KDC 使用自我簽署憑證處理金鑰信任案例的初始驗證 (PKINIT) 驗證要求的 Kerberos 公開金鑰密碼編譯時,就會發生這種情況。 這包括Windows Hello 企業版和裝置驗證。

  • 它會解決影響可轉散發執行時間Microsoft Visual C++的問題。 當您啟用受保護的程式指示燈 (PPL) 時,它不會載入到本地安全域伺服器服務 (LSASS) 。

  • 它會解決 Kerberos 和 Netlogon 通訊協定中的安全性弱點,如 CVE-2022-38023CVE-2022-37966CVE-2022-37967中所述。 如需部署指導方針,請參閱下列內容:

    • KB5020805:如何管理 Kerberos 通訊協定與 CVE-2022-37967 相關變更

    • KB5021130:如何管理與 CVE-2022-38023 相關的 Netlogon 通訊協定變更

    • KB5021131:如何管理與 CVE-2022-37966 相關的 Kerberos 通訊協定變更

如果您已安裝較舊的更新,則只有此套件中包含的新更新會下載並安裝在您的裝置上。  

如需安全性弱點的詳細資訊,請參閱新的安全性更新指南網站和2022 年 11 月安全性更新

此更新中的已知問題

徵狀

因應措施

在具有網域控制站角色的 Windows 伺服器上安裝 2022 年 11 月 8 日或更新版本所發佈的更新之後,Kerberos 驗證可能會有問題。 此問題可能會影響您環境中的任何 Kerberos 驗證。 一些可能受影響的案例:

  • 網域使用者登入可能會失敗。 這也可能會影響 Active Directory 同盟服務 (AD FS)https://learn.microsoft.com/dynamics365/business-central/dev-itpro/administration/authenticating-users-with-active-directory-federation-service 驗證。

  • 群組受管理的服務帳戶 (gMSA) 可能無法驗證。

  • 使用網域使用者的遠端桌面連線可能會無法連線。

  • 您可能無法存取工作站上的共用資料夾和伺服器上的檔案共用。

  • 需要網域使用者驗證的列印工作可能會失敗。

發生此問題時,您可能會在網域控制站上事件記錄中的系統區段收到「Microsoft-Windows-Kerberos-Key-Distribution-Center 事件識別碼 14 錯誤事件」,並包含下列文字。 注意:受影響的事件將會有「遺失的金鑰具有識別碼 1」:

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

附註 此問題不是從 2022 年 11 月安全性更新開始,Netlogon 和 Kerberos 安全性強化的預期部分。 即使此問題已解決,您仍須遵循這些文章中的指引。

消費者在家使用的 Windows 裝置或非內部部署網域一部分的裝置不會受此問題影響。 非混合式且沒有任何內部部署 Active Directory 伺服器的 Azure Active Directory 環境不受影響。

此問題已在 2022 年 11 月 17 日發佈的頻外更新中解決,可供在您環境中的所有網域控制站 (DC) 上安裝。 您不需要安裝任何更新,或對環境中的其他伺服器或用戶端裝置進行任何變更,以解決此問題。 如果您已使用此問題的任何解決方法或緩和措施,則不再需要它們,建議您將它們移除。

若要取得這些頻外更新的獨立套件,請搜尋 Microsoft Update Catalog 中的 KB 編號。 您可以手動將這些更新匯入 Windows Server Update Services (WSUS) 和 Microsoft Endpoint Configuration Manager。 如需 WSUS 的指示,請參閱 WSUS 和目錄網站 (部分機器翻譯)。 如需 Configuration Manger 的指示,請參閱從 Microsoft Update Catalog 匯入更新

附註 下列更新無法從 Windows Update 取得,因此將不會自動安裝。

累積更新:

附註 在您安裝這些累積更新之前,不需要先套用任何先前的更新。 如果您已安裝 2022 年 11 月 8 日發佈的更新,則安裝任何後續的更新 (包括上述更新) 之前,不需要解除安裝受影響的更新。

獨立更新:

  • Windows Server 2012 R2:KB5021653

  • Windows Server 2012:KB5021652

  • Windows Server 2008 R2 SP1:此更新尚未提供。 請於下週到這裡查看以取得詳細資訊。

  • Windows Server 2008 SP2:KB5021657

附註 如果您只針對這些版本的 Windows Server 使用安全性更新,則只需要安裝 2022 年 11 月的這些獨立更新。 僅限安全性更新不是累積的,而且您也將必須安裝所有先前的僅限安全性更新,才能完全保持在最新狀態。 每月彙總更新是累積的,並包含安全性和所有品質更新。 如果您使用每月彙總更新,將必須安裝上述兩個獨立更新來解決此問題,並安裝 2022 年 11 月 8 日發行的每月彙總,以獲得 2022 年 11 月的品質更新。 如果您已安裝 2022 年 11 月 8 日發佈的更新,則安裝任何後續的更新 (包括上述更新) 之前,不需要解除安裝受影響的更新。

在網域控制站 (DC) 上安裝此更新或更晚的更新之後,您可能會遇到記憶體隨著本機安全性授權子系統服務 (LSASS.exe) 發生記憶體流失。 根據您的 DC 工作負載以及上次重新開機伺服器後的時間量而定,LSASS 可能會隨著伺服器的上一段時間持續增加記憶體使用量。 伺服器可能無回應或自動重新開機。

附註 2022 年 11 月 17 日和 2022 年 11 月 18 日發佈的 DCS 頻外更新可能會受到此問題影響。

這個問題已在 KB5021235 中解決。

安裝此更新之後,利用 Microsoft ODBC SQL Server Driver (sqlsrv32.dll) 使用 ODBC 連線來存取資料庫的應用程式可能無法連線。 您可能會在應用程式內收到錯誤,或收到來自 SQL Server 的錯誤,例如「EMS 系統發生問題」,並出現「訊息: [Microsoft][ODBC SQL Server Driver] TDS 資料流中發生通訊協定錯誤」或「訊息: [Microsoft][ODBC SQL Server Driver] 從 SQL Server 收到未知的權杖」。

開發人員注意事項 受此問題影響的應用程式可能會無法擷取資料,例如使用 SQLFetch 函數時。 在 SQLFetch 之前呼叫 SQLBindCol 函數,或在 SQLFetch 之後呼叫 SQLGetData 函數,以及為 ‘BufferLength’ 引數提供值 0 (零) 以取得大於 4 位元組的固定資料類型 (例如 SQL_C_FLOAT) 時,可能會發生此問題。

如果您不確定是否正在使用任何受影響的應用程式,請開啟任何使用資料庫的應用程式,然後開啟命令提示字元 (選取 [開始],然後輸入命令提示字元,然後選取它),並輸入下列命令:  

tasklist /m sqlsrv32.dll

這個問題已在 KB5022289 中解決。

如何取得此更新

安裝此更新之前

Microsoft 強烈建議您,在安裝最新累積更新 (LCU) 之前,先為您的作業系統安裝最新服務堆疊更新 (SSU)。 SSU 改善更新程式的可靠性,以降低安裝 LCU 和套用Microsoft安全性更新時的潛在問題。 如需 SSU 的一般資訊,請參閱維護堆疊更新服務堆疊更新 (SSU) :常見問題。 

如果您使用的是 Windows Update,系統會自動為您提供最新的 SSU (KB5017396) 。 若要取得最新 SSU 的獨立套件,請在Microsoft Update Catalog中搜尋。 

安裝此更新

發行管道

可供使用

後續步驟

Windows Update 和 Microsoft Update

無。 此更新將從 Windows Update 自動下載並安裝。

Windows Update for Business

無。 此更新將根據設定的策略從 Windows Update 自動下載並安裝。

Microsoft Update Catalog

若要取得此更新的獨立套件,請移至Microsoft Update Catalog網站。

Windows Server Update Services (WSUS)

如果您依下列所示設定 [產品和分類],此更新將會自動與 WSUS 同步:

產品:Windows 10

分類:安全性更新

檔案資訊

如需此更新中提供的檔案清單,請下載累積更新5019964的檔案資訊

Need more help?

Expand your skills
Explore Training
Get new features first
Join Microsoft Insiders

Was this information helpful?

How satisfied are you with the translation quality?
What affected your experience?

Thank you for your feedback!

×