Applies ToWindows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro

Frigivelsesdato:

08-11-2022

Version:

Kun sikkerhedsopdatering

Sammendrag

Du kan finde flere oplysninger om denne sikkerhedsopdatering, herunder forbedringer, kendte problemer, og hvordan du får opdateringen.

PÅMINDELSE Windows 8.1 når slutdatoen for support den 10. januar 2023, hvorefter der ikke længere ydes teknisk assistance og softwareopdateringer.  Hvis du har enheder, der kører Windows 8.1, anbefaler vi, at du opgraderer dem til en mere aktuel, in-service og understøttet Windows-version. Hvis enheder ikke opfylder de tekniske krav til at køre en nyere version af Windows, anbefaler vi, at du udskifter enheden med en, der understøtter Windows 11.

Microsoft tilbyder ikke et ESU-program (Extended Security Update) til Windows 8.1. Hvis du fortsætter med at bruge Windows 8.1 efter den 10. januar 2023, kan det øge en organisations eksponering for sikkerhedsrisici eller påvirke dens evne til at opfylde overholdelsesforpligtelser.

Du kan få mere at vide under Windows 8.1-support ophører den 10. januar 2023.

Support til Windows Server 2012 R2 ophører den 10. oktober 2023 for Datacenter, Essentials, Embedded Systems, Foundation og Standard.

Bemærk! Du kan finde oplysninger om de forskellige typer Windows-opdateringer, f.eks. kritisk, sikkerhed, driver, servicepakker osv., i følgende artikel. Hvis du vil have vist andre noter og meddelelser, skal du se startsiden for opdateringsoversigten for Windows 8.1 og Windows Server 2012 R2.

Forbedringer

Denne sikkerhedsopdatering indeholder vigtige ændringer for følgende:

Du kan finde flere oplysninger om de sikkerhedssårbarheder, der er løst, under Installationer | Sikkerhedsopdateringsvejledning og sikkerheds-Opdateringer for november 2022.

Kendte problemer i denne opdatering

Symptom

Næste trin

Når denne opdatering eller en nyere Windows-opdatering er installeret, kan domænetilknytningshandlinger mislykkes, og fejlen "0xaac (2732): NERR_AccountReuseBlockedByPolicy" opstår. Desuden er der en tekst med teksten "Der findes en konto med samme navn i Active Directory. Genbrug af kontoen blev blokeret af sikkerhedspolitik" vises muligvis.

Påvirkede scenarier omfatter nogle domænetilslutnings- eller genafbildningshandlinger, hvor en computerkonto blev oprettet eller på forhånd faseinddelt af en anden identitet end den identitet, der bruges til at forbinde computeren til domænet eller slutte den igen.

Du kan få mere at vide om dette problem i KB5020276 – Netjoin: Ændringer i hærdning af domænetilknytning.

Bemærk! Det er usandsynligt, at forbrugerskrivebordsudgaver af Windows vil opleve dette problem.

Dette problem er løst i KB5023764.

Når du har installeret Windows-opdateringer, der er udgivet den 8. november 2022 eller derefter på Windows-servere, der bruger rollen domænecontroller, kan der være problemer med Kerberos-godkendelse. Dette problem kan påvirke kerberos-godkendelse i dit miljø. Nogle scenarier, der kan blive påvirket:

Når dette problem opstår, modtager du muligvis en Microsoft-Windows-Kerberos-Key-Distribution-Center-hændelses-id 4-fejlhændelse i afsnittet System i hændelsesloggen på din domænecontroller med nedenstående tekst.

Bemærk! Berørte hændelser indeholder strengen "den manglende nøgle har et id på 1":

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

Bemærk! Dette problem er ikke en forventet del af sikkerhedshærdningen for Netlogon og Kerberos fra og med november 2022-sikkerhedsopdateringen. Du skal stadig følge vejledningen i disse artikler, selv når problemet er løst.

Windows-enheder, der bruges hjemme af forbrugere eller enheder, der ikke er en del af et lokalt domæne, påvirkes ikke af dette problem. Azure Active Directory-miljøer, der ikke er hybride og ikke har Active Directory i det lokale miljø-servere, påvirkes ikke.

Dette problem er løst i opdatering KB5021653.

Når du har installeret denne opdatering eller en nyere opdatering på en domænecontroller (DC), kan du opleve en hukommelsesfejl med LSASS,exe (Local Security Authority Subsystem Service). Afhængigt af arbejdsmængden for din domænecontroller og mængden af tid siden den seneste genstart af serveren kan LSASS kontinuerligt øge hukommelsesforbruget med serverens oppetid, og serveren svarer muligvis ikke eller genstarter automatisk.

Bemærk! De out of band-opdateringer til domænecontrollere, der er udgivet d. 17. november 2022 og d. 18. november 2022, kan blive påvirket af dette problem.

Du kan afhjælpe dette problem ved at åbne en kommandoprompt som administrator og bruge følgende kommando til at indstille registreringsdatabasenøglen KrbtgtFullPacSignature til 0:

reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

Bemærk Når dette kendte problem er løst, skal du angive KrbtgtFullPacSignature til en højere indstilling, afhængigt af hvad dit miljø tillader. Vi anbefaler, at du aktiverer gennemtvingelsestilstand, så snart dit miljø er klar.

Du kan få mere at vide om denne registreringsdatabasenøgle i KB5020805: Sådan administrerer du Kerberos-protokolændringer, der er relateret til CVE-2022-37967.

Vi arbejder på en løsning og vil levere en opdatering i en kommende version.

Når du har installeret denne opdatering, kan apps, der bruger ODBC-forbindelser via Microsoft ODBC SQL Server Driver (sqlsrv32.dll) til at få adgang til databaser, muligvis ikke oprette forbindelse. Desuden kan du få vist en fejl i appen, eller du kan få vist en fejl fra SQL Server. Fejl, du kan modtage, omfatter muligvis følgende meddelelser:

  • Ems-systemet stødte på et problem.Meddelelse: [Microsoft][ODBC SQL Server Driver] Protokolfejl i TDS Stream.

  • Ems-systemet stødte på et problem.Meddelelse: [Microsoft][ODBC SQL Server Driver] Ukendt token modtaget fra SQL Server.

Bemærkning til udviklere: Apps, der er påvirket af dette problem, kan muligvis ikke hente data, f.eks. når du bruger funktionen SQLFetch. Dette problem kan opstå, når funktionen SQLBindCol kaldes før funktionen SQLFetch eller kald af funktionen SQLGetData efter SQLFetch, og når der angives en værdi på 0 (nul) for argumentet 'BufferLength' for faste datatyper, der er større end 4 byte (f.eks. SQL_C_FLOAT).

Hvis du vil beslutte, om du bruger en berørt app, skal du åbne den app, der opretter forbindelse til en database. Åbn et kommandolinjevindue, skriv følgende kommando, og tryk derefter på Enter:

tasklist /m sqlsrv32.dll

Hvis kommandoen returnerer en opgave, kan appen blive påvirket.

Du kan afhjælpe dette problem ved at gøre et af følgende:

  • Hvis din app allerede bruger eller kan bruge Datakildenavn (DSN) til at vælge ODBC-forbindelser, skal du installere Microsoft ODBC-driver 17 til SQL Server og vælge den til brug sammen med din app ved hjælp af DSN.Bemærk: Vi anbefaler den nyeste version af Microsoft ODBC Driver 17 til SQL Server, da den er mere kompatibel med apps, der i øjeblikket bruger den ældre Microsoft ODBC SQL Server Driver (sqlsrv32.dll) end Microsoft ODBC Driver 18 til SQL Server.

  • Hvis din app ikke kan bruge DSN, skal appen ændres for at tillade DSN eller for at bruge en nyere ODBC-driver end Microsoft ODBC SQL Server Driver (sqlsrv32.dll).

Dette problem blev løst i KB5022346. Hvis du har implementeret ovenstående løsning, anbefales det at fortsætte med at bruge konfigurationen i løsningen.

Sådan henter du denne opdatering

Før du installerer denne opdatering

Vi anbefaler på det kraftigste, at du installerer den nyeste opdatering til behandlingsstakken (SSU – servicing stack update) til dit operativsystem, før du installerer den nyeste opdateringspakke. SSU'er forbedrer pålideligheden af opdateringsprocessen for at mindske risikoen for problemer under installation af opdateringspakken og anvendelse af Microsofts sikkerhedsrettelser. Du kan finde generelle oplysninger om SSU'er under Opdateringer til behandlingsstakken og Serviceringsstak Opdateringer (SSU): Ofte stillede spørgsmål.

Hvis du bruger Windows Update, får du automatisk tilbudt den seneste SSU (KB5018922). Du kan få den separate pakke til den nyeste SSU ved at søge efter den i Microsoft Update-kataloget

PÅMINDELSE Hvis du bruger kun sikkerhedsopdateringer, skal du også installere alle tidligere sikkerhedsopdateringer og den seneste samlede opdatering til Internet Explorer (KB5019958).

Sprogpakker

Hvis du installerer en sprogpakke, når du har installeret denne opdatering, skal du geninstallere denne opdatering. Derfor anbefaler vi, at du installerer de sprogpakker, du har brug for, før du installerer denne opdatering. Du kan få mere at vide under Føj sprogpakker til Windows.

Installér denne opdatering

Frigivelseskanal

Tilgængelig

Næste trin

Windows Update og Microsoft Update.

Nej

Se de andre muligheder nedenfor.

Microsoft Update-katalog

Ja

Du kan få den separate pakke til denne opdatering ved at gå til webstedet Microsoft Update-katalog.

Windows Server Update Services (WSUS)

Ja

Denne opdatering synkroniseres automatisk med WSUS, hvis du konfigurerer Produkter og klassifikationer sådan:

Produkt: Windows 8.1, Windows Server 2012 R2, Windows Embedded 8.1 Industry Enterprise, Windows Embedded 8.1 Industry Pro

Klassifikation: Sikkerhedsopdatering

Filoplysninger

Du kan få en liste over de filer, som denne opdatering omfatter, ved at downloade filoplysninger for opdatering KB5020010

Referencer

Få mere at vide om den standardterminologi , der bruges til at beskrive Microsoft-softwareopdateringer.

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.