2022 年 11 月 8 日 - KB5020010 (僅限安全性更新)

套用到
Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro

摘要

了解更多關於此僅限安全更新的資訊,包括改進、已知問題及如何取得更新。

注意

  • 提醒:Windows 8.1 將於 2023 年 1 月 10 日結束支援,屆時將不再提供技術協助與軟體更新。 如果您有執行 Windows 8.1 的裝置,建議您將它們升級至更新、服務中和支援的 Windows 版本。 如果裝置不符合執行更新版本 Windows 的技術需求,建議您將其取代為支援 Windows 11 的裝置。
  • Microsoft 不會針對 Windows 8.1提供延伸安全性更新 (ESU) 程式。 在 2023 年 1 月 10 日之後繼續使用Windows 8.1可能會增加組織暴露於安全性風險或影響其符合合規性義務之能力的疑慮。
  • 更多資訊請參閱 Windows 8.1 支援將於 2023 年 1 月 10 日結束
  • Windows Server 2012 R2 將於 2023 年 10 月 10 日結束支援 Datacenter、Essentials、Embedded Systems、Foundation 及 Standard。

注意

關於各種 Windows 更新類型的資訊,如關鍵更新、安全性更新、驅動程式、服務包等,請參閱以下 文章。 欲查看其他備註與訊息,請參閱 Windows 8.1 與 Windows Server 2012 R2 更新歷史首頁

改善

此僅安全更新包含以下關鍵變更:

欲了解更多已解決安全漏洞的資訊,請參閱部署 |安全更新指南2022年11月安全匯報

此更新中的已知問題

徵兆 後續步驟
安裝此更新或後續 Windows 更新後,網域加入操作可能失敗,並出現錯誤「0xaac (2732) : NERR_AccountReuseBlockedByPolicy」。 此外,還會看到文字寫著「Active Directory 中存在同名帳號。 可能會顯示「重複使用帳號被安全政策阻擋」。
受影響的情境包括某些網域加入或重映像操作,當電腦帳號是由與用於加入或重新加入該網域的身份不同的身份所建立或預先設置的。
欲了解更多此問題,請參見 KB5020276—Netjoin:網域連接強化變更
消費者桌面版的 Windows 不太可能遇到這個問題。
這個問題在 KB5023764年解決了。
在使用網域控制站角色的 Windows 伺服器上安裝 2022 年 11 月 8 日或之後發佈的 Windows 更新之後,Kerberos 驗證可能有問題。 此問題可能會影響您環境中的任何 Kerberos 驗證。 可能會受到影響的一些案例:

發生此問題時,您可能會在網域控制站的事件記錄中的系統區段收到 Microsoft-Windows-Kerberos-Key-Distribution-Center 事件識別碼 4 錯誤事件,並包含下列文字。

受影響的事件會包含「 遺失的金鑰的 ID 為 1“ 字串:

在處理目標服務 <服務>的 AS 請求時,帳戶 <名稱> 沒有合適的金鑰來產生 Kerberos 工單, (缺少的金鑰 ID 為 1) 。 請求的電子類型:18 3。 可用帳戶類型:23 18 17。 更改或重設帳號名稱>的<密碼會產生正確的金鑰。
此問題並非 Netlogon 與 Kerberos 自 2022 年 11 月安全更新起實施的安全強化計畫中預期的一部分。 即使此問題解決之後,您仍必須遵循這些文章中的指引。

消費者或不是內部部署網域一部分之裝置在家使用的 Windows 裝置不受此問題影響。 非混合式且沒有內部部署 Active Directory 伺服器的 Azure Active Directory 環境不受影響。
這個問題在更新 KB5021653中已經解決。
在網域控制器 (DC) 安裝此更新或後續更新後,你可能會遇到 LSASS,exe) (Local Security Authority 子系統服務的記憶體洩漏。 根據你的資料中心的工作負載以及自上次重啟以來的時間長短,LSASS 可能會隨著伺服器的運作時間持續增加記憶體使用,導致伺服器變得無反應或自動重啟。
2022 年 11 月 17 日及 2022 年 11 月 18 日發布的 DC 外頻段更新可能會受到此問題影響。
為了減輕此問題,請以管理員身份開啟命令提示字元,並使用以下指令將登錄鍵 KrbtgtFullPacSignature 設為 0
reg add “HKLM\System\CurrentControlSet\services\KDC” -v “KrbtgtFullPacSignature” -d 0 -t REG_DWORD
解決這個已知問題後,你應該根據環境允許,將 KrbtgtFullPacSignature 設定為更高。 我們建議你在環境準備好後立即啟用執行模式。
欲了解更多關於此登錄金鑰的資訊,請參閱 KB5020805:如何管理與 CVE-2022-37967 相關的 Kerberos 協定變更
我們正努力研究解決方法,並會在即將推出的版本中提供更新。
安裝此更新後,使用 ODBC 連線的 ODBC SQL Server驅動程式Microsoft (sqlsrv32.dll) 的應用程式可能無法連線。 此外,您可能會在應用程式中收到錯誤訊息,或者您可能會收到來自 SQL Server 的錯誤訊息。 您可能會收到的錯誤包括下列訊息:

  • EMS 系統發生問題。
    訊息:TDS Stream 中的 [Microsoft][ODBC SQL Server 驅動程式] 通訊協定錯誤。
  • EMS 系統發生問題。
    訊息:[Microsoft][ODBC SQL Server 驅動程式] 從 SQL Server 收到的不明權杖。
給開發者注意: 受此問題影響的應用程式可能無法擷取資料,例如使用 SQLFetch 函式時。 此問題可能發生在呼叫 SQLBindCol 函 式後,或在 SQLFetch 後呼叫 SQLGetData 函式 ,且固定資料型別大於 4 位元組 (如 SQL_C_FLOAT) 的「BufferLength」參數給出 0 (0) 。

要判斷你是否使用受影響的應用程式,請開啟連接資料庫的應用程式。 請開啟 [命令提示字元] 視窗,輸入下列命令,然後按 Enter:

任務清單 /M sqlsrv32.dll
如果指令回傳任務,應用程式可能會受到影響。
若要減輕此問題,您可以執行下列其中一個動作:

  • 如果您的應用程式已使用或能使用 DSN) (資料來源名稱來選擇 ODBC 連線,請安裝 Microsoft ODBC 驅動程式 17 for SQL Server,並選擇它搭配 DSN 搭配應用程式使用。

    註:我們推薦SQL Server Microsoft ODBC Driver 17 最新版本,因為它與Microsoft目前使用 ODBC SQL Server 驅動程式 (sqlsrv32.dll) 的應用程式更相容,Microsoft ODBC Driver 18 for SQL Server。
  • 如果您的應用程式無法使用 DSN,則需要修改應用程式以允許 DSN,或使用較 Microsoft ODBC SQL Server Driver (sqlsrv32.dll) 還新的 ODBC 驅動程式。
此問題於 KB5022346年解決。 如果你已經實作了上述的變通方法,建議繼續使用該變通方案中的設定。

如何取得此更新

安裝此更新之前

我們強烈建議您在安裝最新的 Rollup 前,先安裝作業系統 (SSU) 的最新服務堆疊更新。 SSU 有助於在安裝彙總套件和套用 Microsoft 安全性修正程式時,提高更新程序防範潛在問題的可靠性。 如需有關 SSU 的一般資訊,請參閱服務堆疊更新服務堆疊更新 (SSU):常見問題集

如果你使用 Windows Update,最新的 SSU (KB5018922) 會自動提供給你。 若要取得最新 SSU 的獨立套件,請在 Microsoft Update Catalog 中搜尋。

注意

提醒 如果你使用的是僅安全性的更新,還需要安裝所有先前的安全性專用更新,以及 Internet Explorer (KB5019958) 的最新累積更新。

語言套件

如果您在安裝此更新之後安裝語言套件,您必須重新安裝此更新。 因此,我們建議您在安裝此更新前,先安裝任何需要的語言套件。 如需詳細資訊,請參閱將語言套件新增到 Windows (英文)

安裝此更新

發行管道 可取得 下一步
Windows Update 和 Microsoft Update 請參閱下列其他選項。
Microsoft Update Catalog 若要取得此更新的獨立套件,請前往 Microsoft Update Catalog 網站。
Windows Server Update Services (WSUS) 如果您依下列所示設定 [產品和分類],此更新將會自動與 WSUS 同步:
產品:Windows 8.1、Windows Server 2012 R2、Windows Embedded 8.1 產業企業版、Windows Embedded 8.1 Industry Pro
分類:安全性更新

檔案詳細資訊

如需本次更新所提供的檔案清單,請下載 更新KB5020010的檔案資訊

參考

了解用來說明 Microsoft 軟體更新的標準術語