8. marraskuuta 2022 – KB5020023 (kuukausittainen koonti)
Applies To
Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry ProJulkaisupäivämäärä:
8.11.2022
Versio:
Kuukausittainen koontiversio
Yhteenveto
Lue lisätietoja tästä kumulatiivisessa suojauspäivityksessä, kuten tietoja parannuksista, tunnetuista ongelmista ja päivityksen hankkimisesta.
MUISTUTUS Windows 8.1:n tuki päättyy 10. tammikuuta 2023, jolloin teknistä tukea ja ohjelmistopäivityksiä ei enää tarjota. Jos käytössäsi on laitteita, joissa on Windows 8.1, suosittelemme päivittämään ne uusimpaan, käytössä olevaan ja tuettuun Windows-versioon. Jos laitteet eivät täytä windowsin uusimpaan versioon liittyviä teknisiä vaatimuksia, suosittelemme, että korvaat laitteen Windows 11 tukevalla laitteella.
Microsoft ei tarjoa Extended Security Update (ESU) -ohjelmaa Windows 8.1:lle. Windows 8.1:n käytön jatkaminen 10.1.2023 jälkeen voi lisätä organisaation altistumista tietoturvariskeille tai vaikuttaa sen kykyyn täyttää yhteensopivuusvelvoitteet.
Lisätietoja on artikkelissa Windows 8.1-tuki päättyy 10. tammikuuta 2023.
Windows Server 2012 R2 :n tuki päättyy 10. lokakuuta 2023 Datacenterille, Essentialsille, Embedded Systemsille, Foundationille ja Standardille.
Huomautus Lisätietoja erityyppisistä Windows-päivityksistä, kuten kriittisistä päivityksistä, suojauksesta, ohjaimesta, Service Pack -paketeista ja niin edelleen, on seuraavassa artikkelissa. Voit tarkastella muita muistiinpanoja ja viestejä Windows 8.1- ja Windows Server 2012 R2 -päivityshistorian aloitussivulla.
Parannuksia
Tämä kumulatiivinen suojauspäivitys sisältää parannuksia, jotka ovat osa päivitystä KB5018474 (julkaistu 11. lokakuuta 2022). Se sisältää seuraavat keskeiset muutokset:
-
Korjaa DCOM (Distributed Component Object Model) -todennuksen jäljestämisongelman, joka nostaa automaattisesti kaikkien DCOM-asiakkaiden ei-anonyymien aktivointipyyntöjen todennustasoa. Näin tapahtuu, jos todennustaso on alle RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.
-
Päivitykset Jordanin kesäaikaa (DST) estääkseen kellon siirtämisen 1 tunti taaksepäin 28.10.2022. Lisäksi muuttaa Jordanin normaaliajan näyttönimen ((UTC+02:00) Amman" muotoon "(UTC+03:00) Amman".
-
Korjaa ongelman, jossa Microsoft Azure Active Directory (AAD) Sovellusvälityspalvelin Connector ei voi noutaa Kerberos-lippua käyttäjän puolesta seuraavan yleisen ohjelmointirajapintavirheen vuoksi: "Määritetty kahva on virheellinen (0x80090301)."
-
Korjaa ongelman, jossa 11.1.2022 tai sitä uudemman päivityksen asentamisen jälkeen Toimialueluottamus-toiminto ei täytä DNS-nimiliitteitä luottamustietojen määritteisiin.
-
Korjaa ongelman, jossa Microsoft Visual C++ Redistributable Runtime ei lataudu LSASS (Local Security Authority Server Service) -palveluun, kun suojattu prosessivalo (PPL) on käytössä.
-
Korjaa Kerberos- ja Netlogon-protokollien tietoturva-aukot CVE-2022-38023-, CVE-2022-37966- ja CVE-2022-37967 -protokollan mukaisesti. Käyttöönotto-ohjeet ovat seuraavissa artikkeleissa:
-
KB5020805: CVE-2022-37967 :een liittyvien Kerberos-protokollamuutosten hallinta
-
KB5021130: CVE-2022-38023:een liittyvien Netlogon-protokollamuutosten hallinta
-
KB5021131: CVE-2022-37966:een liittyvien Kerberos-protokollamuutosten hallinta
Lisätietoja ratkaistuista tietoturva-aukoista on ohjeaiheessa Käyttöönotot | Suojauspäivitysopas ja marraskuun 2022 suojaus-Päivitykset.
-
Lisätietoja ratkaistuista tietoturva-aukoista on ohjeaiheessa Käyttöönotot | Suojauspäivitysopas ja marraskuun 2022 suojaus-Päivitykset.
Tunnettuja tämän päivityksen yhteydessä ilmeneviä ongelmia
Oire |
Seuraava vaihe |
Kun tämä päivitys tai uudempi Windows-päivitys on asennettu, toimialueeseen liittymistoiminnot saattavat epäonnistua ja tapahtuu virhe "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Lisäksi Active Directoryssa on teksti, jossa lukee "Samanniminen tili. Suojauskäytäntö on saattanut estää tilin uudelleenkäytön" saattaa tulla näkyviin. Tällaisia tilanteita ovat esimerkiksi jotkin toimialueeseen liittymis- tai uudelleenkuvaustoiminnot, joissa tietokonetili on luotu tai esivaiheistettu eri käyttäjätiedoilla kuin käyttäjätiedoilla, joita käytetään tietokoneen liittämiseen toimialueeseen tai uudelleen liittämiseen toimialueeseen. Lisätietoja tästä ongelmasta on artikkelissa KB5020276 – Netjoin: Toimialueeseen liittymisen kovennusmuutokset. Huomautus Tämä ongelma ei todennäköisesti ilmene Windowsin kuluttajatyöpöytäversioissa. |
Tämä ongelma on korjattu versiossa KB5023765. |
Kun olet asentanut Windows-päivitykset, jotka on julkaistu 8. marraskuuta 2022 tai sen jälkeen Toimialueen ohjauskoneen roolia käyttävissä Windows-palvelimissa, kerberos-todennuksessa voi olla ongelmia. Tämä ongelma voi vaikuttaa mihin tahansa Kerberos-todennukseen ympäristössäsi. Jotkin skenaariot, joihin tämä saattaa vaikuttaa:
Kun tämä ongelma ilmenee, saatat saada Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 4 -virhetapahtuman toimialueen ohjauskoneen tapahtumalokin Järjestelmä-osaan alla olevan tekstin kanssa. Huomautus Tapahtumat, joita ongelma koskee, sisältävät merkkijonon "puuttuvan avaimen tunnus on 1":
Huomautus Tämä ongelma ei ole odotettu osa Netlogonin ja Kerberosin tietoturvan kovennusta marraskuun 2022 suojauspäivityksestä alkaen. Sinun on edelleen noudatettava näiden artikkelien ohjeita, vaikka tämä ongelma on ratkaistu. Tämä ongelma ei vaikuta kuluttajien kotona käyttämiin Windows-laitteisiin tai laitteisiin, jotka eivät kuulu paikalliseen toimialueeseen. Tämä ei vaikuta Azure Active Directory -ympäristöihin, jotka eivät ole yhdistelmäympäristöjä ja joilla ei ole paikallinen Active Directory palvelimia. |
Tämä ongelma on korjattu päivityksessä KB5021653. |
Kun olet asentanut tämän päivityksen tai uudemman päivityksen toimialueen ohjauskoneeseen (DC), saatat kohdata muistivuodon Paikallisen suojauksen myöntäjän alijärjestelmäpalvelussa (LSASS,exe). LSASS saattaa jatkuvasti lisätä muistin käyttöä palvelimen ollessa käytössä, ja palvelin saattaa lakata vastaamasta tai käynnistyä uudelleen automaattisesti sen mukaan, kuinka paljon aikaa on kulunut palvelimen edellisestä uudelleenkäynnistyksestä. Huomautus Tämä ongelma saattaa vaikuttaa 17.11.2022 ja 18.11.2022 julkaistuihin DCs-tietokoneiden päivitysten päivityksiin. |
Voit lieventää tätä ongelmaa avaamalla komentokehotteen järjestelmänvalvojana ja määrittämällä rekisteriavaimen KrbtgtFullPacSignature arvoksi 0 seuraavan komennon avulla:
Huomautus Kun tämä tunnettu ongelma on ratkaistu, määritä KrbtgtFullPacSignature suuremmaksi asetukseksi sen mukaan, mitä ympäristösi sallii. Suosittelemme, että otat pakotustilan käyttöön heti, kun ympäristösi on valmis. Lisätietoja tästä rekisteriavaimesta on artikkelissa KB5020805: CVE-2022-37967 -protokollaan liittyvien Kerberos-protokollamuutosten hallinta. Kehitämme parhaillaan ratkaisua ja tarjoamme päivityksen tulevassa versiossa. |
Tämän päivityksen asentamisen jälkeen sovellukset, jotka käyttävät ODBC-yhteyksiä Microsoft ODBC SQL Server Driverin (sqlsrv32.dll) kautta tietokantojen käyttämiseen, eivät ehkä muodosta yhteyttä. Lisäksi sovelluksessa voi ilmetä virhe tai SQL Server saattaa tulla virhesanoma. Näyttöön voi tulla seuraavia viestejä:
Huomautus kehittäjille: Sovellukset, joihin tämä ongelma vaikuttaa, eivät ehkä voi noutaa tietoja, esimerkiksi käytettäessä SQLFetch-funktiota. Tämä ongelma saattaa ilmetä kutsuttaessa SQLBindCol-funktiota SQLFetch-funktion eteen tai kutsuttaessa SQLGetData-funktiota SQLFetchin jälkeen ja kun bufferLength-argumentille annetaan arvo 0 (nolla) kiinteille tietotyypeille, jotka ovat suurempia kuin 4 tavua (esimerkiksi SQL_C_FLOAT). Jos haluat päättää, käytätkö sovellusta, jota ongelma koskee, avaa sovellus, joka muodostaa yhteyden tietokantaan. Avaa komentokehoteikkuna, kirjoita seuraava komento ja paina sitten Enter-näppäintä:
Jos komento palauttaa tehtävän, tämä saattaa vaikuttaa sovellukseen. |
Voit lieventää tätä ongelmaa jommankumman seuraavista tavoista:
Tämä ongelma on korjattu versiossa KB5022352. Jos olet ottanut käyttöön edellä mainitun vaihtoehtoisen menetelmän, on suositeltavaa jatkaa määritysten käyttämistä vaihtoehtoisessa menetelmässä. |
Tämän päivityksen hankkiminen
Ennen tämän päivityksen asentamista
Suosittelemme vahvasti, että asennat uusimman ylläpitopinon päivityksen (SSU) käyttöjärjestelmään ennen uusimman koonnin asentamista. SSU:t parantavat päivitysprosessin luotettavuutta ja lieventävät mahdollisia ongelmia koontiversion asentamisen aikana ja Microsoftin suojauskorjauksia käyttöön otettaessa. Yleisiä tietoja SSU:ista on ohjeaiheessa Ylläpitopinon päivitykset ja ylläpitopinon Päivitykset (SSU): usein kysytyt kysymykset.
Jos käytät Windows Update, uusin SSU (KB5018922) tarjotaan sinulle automaattisesti. Jos haluat hankkia erillispaketin uusimmalle SSU:lle, etsi se Microsoft Update -luettelosta.
Kielipaketit
Jos asennat kielipaketin tämän päivityksen asentamisen jälkeen, tämä päivitys on asennettava uudelleen. Siksi suosittelemme, että asennat kaikki tarvitsemasi kielipaketit ennen tämän päivityksen asentamista. Lisätietoja on artikkelissa Kielipakettien lisääminen Windowsiin.
Asenna tämä päivitys
Julkaisukanava |
Käytettävissä |
Seuraava vaihe |
Windows Update ja Microsoft Update |
Kyllä |
Ei mitään. Windows Update lataa ja asentaa tämän päivityksen automaattisesti. |
Microsoft Update -luettelo |
Kyllä |
Voit hankkia tämän päivityksen erillispaketin Microsoft Update -luettelon sivustosta. |
Windows Server Update Services (WSUS) |
Kyllä |
Tämä päivitys synkronoidaan automaattisesti WSUS-palveluiden kanssa, jos määrität Tuotteet ja luokittelut seuraavasti: Tuote: Windows 8.1, Windows Server 2012 R2, Windows Embedded 8.1 Industry Enterprise, Windows Embedded 8.1 Industry Pro Luokittelu: Tietoturvapäivitykset |
Tiedostojen tiedot
Saat luettelon tämän päivityksen tiedostoista lataamalla päivityksen KB5020023 tiedostojen tiedot.
Lisätietoja
Lue tietoja Microsoftin ohjelmistopäivitysten kuvailemiseen käytettävästä vakioterminologiasta .