8. listopadu 2022 – KB5019964 (build operačního systému 14393.5501)

^{11. 10. 22} DŮLEŽITÉ 10. ledna 2023 skončí veřejné rozšíření pro servisní zařízení, která mají procesor Intel Atom Clover Trail. Aktualizace zabezpečení z 10. ledna 2023 je poslední aktualizací pro tato zařízení. Po tomto datu nebudou dostávat měsíční aktualizace zabezpečení a aktualizace pro zvýšení kvality. Tyto aktualizace vás chrání před nejnovějšími bezpečnostními hrozbami. Tato zařízení bohužel nesplňují požadavky na hardware pro upgrade na novější verzi Windows 10 nebo Windows 11. Doporučujeme zvážit nové zařízení, které má Windows 11.

^{19. 11} . Informace o terminologii služby Windows Update najdete v článku o typech aktualizací systému Windows a typech měsíčních aktualizací pro zvýšení kvality. Přehled Windows 10 verze 1607 najdete na stránce historie aktualizací.

Hlavní body

Zastaví začátek letního času v Jordánsku na konci října 2022. Časové pásmo Jordánsko se trvale přesune do časového pásma UTC + 3.
Řeší problémy se zabezpečením operačního systému Windows.

Zlepšení

Tato aktualizace zabezpečení obsahuje vylepšení kvality. Při instalaci této znalostní báze:

Řeší problém, který ovlivňuje posílení zabezpečení ověřování DCOM (Distributed Component Object Model). Automaticky zvýšíme úroveň ověřování pro všechny neanonymní žádosti o aktivaci od klientů DCOM na RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. K tomu dochází, pokud je úroveň ověřování nižší než integrita paketů.
Zastaví začátek letního času v Jordánsku na konci října 2022. Časové pásmo Jordánsko se trvale přesune do časového pásma UTC + 3.
Řeší problém, který ovlivňuje konektor Microsoft Azure Active Directory (AAD) proxy aplikací. Nemůže načíst lístek protokolu Kerberos jménem uživatele. Chybová zpráva: Zadaný popisovač je neplatný (0x80090301).
Řeší problém, který ovlivňuje proces vytváření důvěryhodnosti doménové struktury. K atributům informací o důvěryhodnosti se nepodaří přidat přípony názvů DNS (Domain Name System). K tomu dochází po instalaci aktualizací z 11. ledna 2022 nebo novějších.
Řeší problém, který má vliv na řadič domény (DC). Řadič domény zapíše událost KDC (Key Distribution Center) 21 do protokolu událostí systému. K tomu dochází v případě, že služba KDC úspěšně zpracuje žádost o ověření PKINIT (Public Key Cryptography for Kerberos Public Key Cryptography for Initial Authentication) pomocí certifikátu podepsaného svým držitelem pro scénáře důvěryhodnosti klíčů. To zahrnuje Windows Hello pro firmy a ověřování zařízení.
Řeší problém, který ovlivňuje Microsoft Visual C++ Redistributable Runtime. Nenačte se do služby LSASS (Local Security Authority Server Service), když povolíte chráněné světlo procesu (PPL).
Řeší chyby zabezpečení v protokolech Kerberos a Netlogon popsané v cve-2022-38023, CVE-2022-37966 a CVE-2022-37967. Doprovodné materiály k nasazení najdete v následujících tématech:
- KB5020805: Správa změn protokolu Kerberos souvisejících s CVE-2022-37967
- KB5021130: Správa změn protokolu Netlogon souvisejících s CVE-2022-38023
- KB5021131: Správa změn protokolu Kerberos souvisejících s CVE-2022-37966

Pokud jste nainstalovali dřívější aktualizace, stáhnou se a nainstalují do vašeho zařízení jenom nové aktualizace obsažené v tomto balíčku.

Další informace o chybách zabezpečení najdete na novém webu Průvodce aktualizacemi zabezpečení a na Aktualizace zabezpečení z listopadu 2022.

Známé problémy v této aktualizaci

Příznak	Alternativní řešení
Po instalaci aktualizací vydaných 8. listopadu 2022 nebo novějších na serverech s Windows s rolí řadič domény můžete mít problémy s ověřováním protokolem Kerberos. Tento problém může mít vliv na jakékoli ověřování protokolem Kerberos ve vašem prostředí. Některé scénáře, které mohou být ovlivněny: Přihlášení uživatele domény může selhat. To také může mít vliv na ověřování Active Directory Federation Services (AD FS) (AD FS). Skupinové účty spravované služby (gMSA) používané pro služby, jako je Internetová informační služba (webový server IIS), se nemusí podařit ověřit. Připojení ke vzdálené ploše pomocí uživatelů domény se nemusí podařit připojit. Možná nebudete mít přístup ke sdíleným složkám na pracovních stanicích a sdíleným složkám na serverech. Tisk, který vyžaduje ověření uživatele domény, může selhat. Pokud dojde k tomuto problému, může se v části Systém v protokolu událostí na řadiči domény zobrazit událost Microsoft-Windows-Kerberos-Key-Distribution-Center s ID události 14 s následujícím textem. Poznámka: Ovlivněné události budou mít popis chybějící klíč má ID 1: `While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.` Poznámka: Tento problém není očekávanou součástí posílení zabezpečení pro Netlogon a Kerberos počínající aktualizací zabezpečení z listopadu 2022. I po vyřešení tohoto problému budete muset postupovat podle pokynů v těchto článcích. Zařízení s Windows, která používají doma spotřebitelé nebo zařízení, která nejsou součástí místní domény, se tento problém netýká. Na prostředí Azure Active Directory, která nejsou hybridní a nemají žádné místní servery Active Directory, to nemá vliv.	Tento problém byl vyřešen v aktualizacích pro vzdálenou správu vydaných 17. listopadu 2022 pro instalaci na všechny řadiče domény ve vašem prostředí. Pokud chcete tento problém vyřešit, nemusíte instalovat žádné aktualizace ani provádět žádné změny na jiných serverech nebo klientských zařízeních ve vašem prostředí. Pokud jste pro tento problém použili nějaké alternativní řešení nebo zmírnění rizik, už je nepotřebujete a doporučujeme je odebrat. Pokud chcete získat samostatný balíček těchto vzdálených aktualizací, vyhledejte příslušné číslo KB v Katalogu služby Microsoft Update. Tyto aktualizace můžete ručně importovat do nástrojů Windows Server Update Services (WSUS) a Microsoft Endpoint Configuration Manager. Pokyny k WSUS najdete ve WSUS a na webu katalogu. Pokyny k nástroji Configuration Manager najdete v článku Import aktualizací z Katalogu služby Microsoft Update. Poznámka: Níže uvedené aktualizace nejsou dostupné ze služby Windows Update a neinstalují se automaticky. Kumulativní aktualizace: Windows Server 2022: KB5021656 Windows Server 2019: KB5021655 Windows Server 2016: KB5021654 Poznámka: Před instalací těchto kumulativních aktualizací nemusíte instalovat žádnou předchozí aktualizaci. Pokud jste už nainstalovali aktualizace vydané 8. května 2022, před instalací dalších aktualizací, včetně těch výše uvedených, nemusíte odinstalovat aktualizace, kterých se to týká. Samostatné aktualizace: Windows Server 2012 R2: KB5021653 Windows Server 2012: KB5021652 Windows Server 2008 R2 SP1: Tato aktualizace ještě není k dispozici. Další informace najdete tady v nadcházejícím týdnu. Windows Server 2008 SP2: KB5021657 Poznámka: Pokud pro tyto verze Windows Serveru používáte pouze aktualizace zabezpečení, stačí pouze nainstalovat tyto samostatné aktualizace z listopadu 2022. Pokud provádíte pouze aktualizace zabezpečení, nejsou kumulativní a budete také muset nainstalovat všechny předchozí aktualizace zabezpečení, aby byly plně aktuální. Měsíční souhrnné aktualizace jsou kumulativní a zahrnují aktualizace zabezpečení a všechny aktualizace pro zvýšení kvality. Pokud používáte měsíční souhrnné aktualizace, budete muset k vyřešení tohoto problému nainstalovat samostatné aktualizace uvedené výše a nainstalovat měsíční souhrnné aktualizace vydané 8. listopadu 2022, abyste mohli dostávat aktualizace pro zvýšení kvality pro listopad 2022. Pokud jste už nainstalovali aktualizace vydané 8. května 2022, před instalací dalších aktualizací, včetně těch výše uvedených, nemusíte odinstalovat aktualizace, kterých se to týká.
Po instalaci této nebo novější aktualizace na řadiče domény může docházet k nevracení paměti s služba LSASS (Local Security Authority Subsystem Service) (LSASS.exe). V závislosti na úloze řadičů domény a době od posledního restartování serveru může služba LSASS průběžně zvyšovat využití paměti s dobou provozu serveru. Server může přestat reagovat nebo se automaticky restartuje. Poznámka: Tento problém může mít vliv na vzdálené aktualizace řadičů domény vydané 17. listopadu 2022 a 18. listopadu 2022.	Tento problém je vyřešený v aktualizaci KB5021235.
Po instalaci této aktualizace se aplikace, které používají připojení ODBC využívající ovladač Microsoft ODBC SQL Server Driver (sqlsrv32.dll) pro přístup k databázím, nemusí připojit. Aplikace nebo SQL Server můžou zobrazit chybu, například „V systému EMS došlo k problému“ obsahující: „Zpráva: [Microsoft][ODBC SQL Server Driver] Chyba protokolu ve streamu TDS“ nebo „Zpráva: [Microsoft][ODBC SQL Server Driver]Ze SQL Serveru byl přijat neznámý token“. Poznámka pro vývojáře Aplikacím dotčeným tímto problémem se nemusí podařit načíst data, například při použití funkce SQLFetch. K tomuto problému může dojít při volání funkce SQLBindCol před příkazem SQLFet nebo při volání funkce SQLGetData po příkazu SQLFetch a když je pro argument BufferLength pro pevné datové typy větší než 4 bajty (například SQL_C_FLOAT) zadána hodnota 0 (nula). Pokud si nejste jistí, jestli používáte některou z dotčených aplikací, otevřete všechny aplikace, které používají databázi, a pak otevřete Příkazový řádek (vyberte Start , zadejte příkazový řádek a vyberte příslušnou položku) a zadejte následující příkaz: `tasklist /m sqlsrv32.dll`	Tento problém je vyřešený v aktualizaci KB5022289.

Příznak

Alternativní řešení

Po instalaci aktualizací vydaných 8. listopadu 2022 nebo novějších na serverech s Windows s rolí řadič domény můžete mít problémy s ověřováním protokolem Kerberos. Tento problém může mít vliv na jakékoli ověřování protokolem Kerberos ve vašem prostředí. Některé scénáře, které mohou být ovlivněny:

Přihlášení uživatele domény může selhat. To také může mít vliv na ověřování Active Directory Federation Services (AD FS) (AD FS).
Skupinové účty spravované služby (gMSA) používané pro služby, jako je Internetová informační služba (webový server IIS), se nemusí podařit ověřit.
Připojení ke vzdálené ploše pomocí uživatelů domény se nemusí podařit připojit.
Možná nebudete mít přístup ke sdíleným složkám na pracovních stanicích a sdíleným složkám na serverech.
Tisk, který vyžaduje ověření uživatele domény, může selhat.

Pokud dojde k tomuto problému, může se v části Systém v protokolu událostí na řadiči domény zobrazit událost Microsoft-Windows-Kerberos-Key-Distribution-Center s ID události 14 s následujícím textem. Poznámka: Ovlivněné události budou mít popis chybějící klíč má ID 1:

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

Poznámka: Tento problém není očekávanou součástí posílení zabezpečení pro Netlogon a Kerberos počínající aktualizací zabezpečení z listopadu 2022. I po vyřešení tohoto problému budete muset postupovat podle pokynů v těchto článcích.

Zařízení s Windows, která používají doma spotřebitelé nebo zařízení, která nejsou součástí místní domény, se tento problém netýká. Na prostředí Azure Active Directory, která nejsou hybridní a nemají žádné místní servery Active Directory, to nemá vliv.

Tento problém byl vyřešen v aktualizacích pro vzdálenou správu vydaných 17. listopadu 2022 pro instalaci na všechny řadiče domény ve vašem prostředí. Pokud chcete tento problém vyřešit, nemusíte instalovat žádné aktualizace ani provádět žádné změny na jiných serverech nebo klientských zařízeních ve vašem prostředí. Pokud jste pro tento problém použili nějaké alternativní řešení nebo zmírnění rizik, už je nepotřebujete a doporučujeme je odebrat.

Pokud chcete získat samostatný balíček těchto vzdálených aktualizací, vyhledejte příslušné číslo KB v Katalogu služby Microsoft Update. Tyto aktualizace můžete ručně importovat do nástrojů Windows Server Update Services (WSUS) a Microsoft Endpoint Configuration Manager. Pokyny k WSUS najdete ve WSUS a na webu katalogu. Pokyny k nástroji Configuration Manager najdete v článku Import aktualizací z Katalogu služby Microsoft Update.

Poznámka: Níže uvedené aktualizace nejsou dostupné ze služby Windows Update a neinstalují se automaticky.

Kumulativní aktualizace:

Windows Server 2022: KB5021656
Windows Server 2019: KB5021655
Windows Server 2016: KB5021654

Poznámka: Před instalací těchto kumulativních aktualizací nemusíte instalovat žádnou předchozí aktualizaci. Pokud jste už nainstalovali aktualizace vydané 8. května 2022, před instalací dalších aktualizací, včetně těch výše uvedených, nemusíte odinstalovat aktualizace, kterých se to týká.

Samostatné aktualizace:

Windows Server 2012 R2: KB5021653
Windows Server 2012: KB5021652
Windows Server 2008 R2 SP1: Tato aktualizace ještě není k dispozici. Další informace najdete tady v nadcházejícím týdnu.
Windows Server 2008 SP2: KB5021657

Poznámka: Pokud pro tyto verze Windows Serveru používáte pouze aktualizace zabezpečení, stačí pouze nainstalovat tyto samostatné aktualizace z listopadu 2022. Pokud provádíte pouze aktualizace zabezpečení, nejsou kumulativní a budete také muset nainstalovat všechny předchozí aktualizace zabezpečení, aby byly plně aktuální. Měsíční souhrnné aktualizace jsou kumulativní a zahrnují aktualizace zabezpečení a všechny aktualizace pro zvýšení kvality. Pokud používáte měsíční souhrnné aktualizace, budete muset k vyřešení tohoto problému nainstalovat samostatné aktualizace uvedené výše a nainstalovat měsíční souhrnné aktualizace vydané 8. listopadu 2022, abyste mohli dostávat aktualizace pro zvýšení kvality pro listopad 2022. Pokud jste už nainstalovali aktualizace vydané 8. května 2022, před instalací dalších aktualizací, včetně těch výše uvedených, nemusíte odinstalovat aktualizace, kterých se to týká.

Po instalaci této nebo novější aktualizace na řadiče domény může docházet k nevracení paměti s služba LSASS (Local Security Authority Subsystem Service) (LSASS.exe). V závislosti na úloze řadičů domény a době od posledního restartování serveru může služba LSASS průběžně zvyšovat využití paměti s dobou provozu serveru. Server může přestat reagovat nebo se automaticky restartuje.

Poznámka: Tento problém může mít vliv na vzdálené aktualizace řadičů domény vydané 17. listopadu 2022 a 18. listopadu 2022.

Tento problém je vyřešený v aktualizaci KB5021235.

Po instalaci této aktualizace se aplikace, které používají připojení ODBC využívající ovladač Microsoft ODBC SQL Server Driver (sqlsrv32.dll) pro přístup k databázím, nemusí připojit. Aplikace nebo SQL Server můžou zobrazit chybu, například „V systému EMS došlo k problému“ obsahující: „Zpráva: [Microsoft][ODBC SQL Server Driver] Chyba protokolu ve streamu TDS“ nebo „Zpráva: [Microsoft][ODBC SQL Server Driver]Ze SQL Serveru byl přijat neznámý token“.

Poznámka pro vývojáře Aplikacím dotčeným tímto problémem se nemusí podařit načíst data, například při použití funkce SQLFetch. K tomuto problému může dojít při volání funkce SQLBindCol před příkazem SQLFet nebo při volání funkce SQLGetData po příkazu SQLFetch a když je pro argument BufferLength pro pevné datové typy větší než 4 bajty (například SQL_C_FLOAT) zadána hodnota 0 (nula).

Pokud si nejste jistí, jestli používáte některou z dotčených aplikací, otevřete všechny aplikace, které používají databázi, a pak otevřete Příkazový řádek (vyberte Start , zadejte příkazový řádek a vyberte příslušnou položku) a zadejte následující příkaz:

tasklist /m sqlsrv32.dll

Tento problém je vyřešený v aktualizaci KB5022289.

Jak získat tuto aktualizaci

Před instalací této aktualizace

Společnost Microsoft velmi doporučuje, abyste si před instalací nejnovější kumulativní aktualizace LCU nainstalovali nejnovější servisní aktualizaci SSU pro váš operační systém. Aktualizace SSU zlepšují spolehlivost procesu aktualizace, aby se zmírnily potenciální problémy při instalaci kumulativní aktualizace LCU a instalaci Microsoft aktualizací zabezpečení. Obecné informace o servisních aktualizacích SSU najdete v tématech Servisní aktualizace zásobníku a Servisní Aktualizace (SSU): Nejčastější dotazy.

Pokud používáte služba Windows Update, bude vám nejnovější aktualizace SSU (KB5017396) nabídnuta automaticky. Pokud chcete získat samostatný balíček s nejnovější aktualizací SSU, vyhledejte ho v katalogu aktualizací Microsoft.

Instalace této aktualizace

Kanál použitý k vydání	K dispozici	Další krok
Windows Update a Microsoft Update	Ano	Žádný. Tato aktualizace se automaticky stáhne a nainstaluje ze služby Windows Update.
Aktualizace Windows pro firmy	Ano	Žádný. Tato aktualizace se automaticky stáhne a nainstaluje z služba Windows Update v souladu s nakonfigurovanými zásadami.
Katalog služby Microsoft Update	Ano	Pokud chcete získat samostatný balíček pro tuto aktualizaci, přejděte na web katalog aktualizací Microsoft.
Služba WSUS (Windows Server Update Services)	Ano	Tato aktualizace se bude automaticky synchronizovat se službou WSUS, pokud nakonfigurujete Produkty a klasifikace takto: Produkt: Windows 10 Klasifikace: Aktualizace zabezpečení

Informace o souborech

Pokud chcete získat seznam souborů poskytovaných v rámci této aktualizace, stáhněte si informace o souborech pro 5019964 kumulativní aktualizace.

8. listopadu 2022 – KB5019964 (build operačního systému 14393.5501)

Hlavní body

Zlepšení

Známé problémy v této aktualizaci

Jak získat tuto aktualizaci

Potřebujete další pomoc?

Chcete další možnosti?

Byly tyto informace užitečné?

Děkujeme vám za zpětnou vazbu.