2022. november 8. – KB5020009 (havi kumulatív frissítés)
Applies To
Windows Server 2012 Windows Embedded 8 StandardKiadás dátuma:
2022. 11. 08.
Verzió:
Havi kumulatív frissítés
Összefoglalás
További információ erről az összegző biztonsági frissítésről, beleértve a fejlesztéseket, az ismert problémákat és a frissítés beszerzésének módját.
EMLÉKEZTETŐ Windows Server 2012 elérte az alapvető technikai támogatás végét, és mostantól kiterjesztett támogatásban részesül. 2020 júliusától kezdődően nem lesznek választható kiadások (más néven "C" vagy "D" kiadások) ehhez az operációs rendszerhez. A kiterjesztett támogatású operációs rendszerek csak havi összegző biztonsági frissítésekkel rendelkeznek (ez a "B" vagy a "Frissítés keddi" kiadás).
A frissítés telepítése előtt ellenőrizze, hogy telepítette-e a szükséges frissítéseket a Frissítés letöltése című szakaszban.
Megjegyzés A Windows-frissítések különböző típusaival, például a kritikus, a biztonsági, az illesztőprogramokkal, a szervizcsomagokkal stb. kapcsolatos információkért tekintse meg a következő cikket. Más jegyzetek és üzenetek megtekintéséhez tekintse meg a frissítési előzmények Windows Server 2012 kezdőlapot.
Fejlesztések
Ez az összegző biztonsági frissítés olyan fejlesztéseket tartalmaz, amelyek a 2022. október 11-én kiadott KB5017370 frissítés részét képezik, és a következők legfontosabb módosításait tartalmazzák:
-
Elhárít egy elosztott összetevő-objektummodell (DCOM) hitelesítésmegerősítési problémáját, amely automatikusan emeli a hitelesítési szintet a DCOM-ügyfelektől érkező, nem névtelen aktiválási kérelmekhez. Ez akkor fordul elő, ha a hitelesítési szint kisebb, mint RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.
-
Frissítések jordániai nyári időszámítást (DST), hogy megakadályozza az óra 2022. október 28-án 1 órával való visszamozgatását. Emellett a Jordánia téli idejének megjelenített nevét "(UTC+02:00) Amman" értékről "(UTC+03:00) Amman" értékre módosítja.
-
Elhárít egy hibát, amely miatt a Microsoft Azure Active Directory (AAD) alkalmazásproxy Connector nem tud Kerberos-jegyet lekérni a felhasználó nevében a következő általános API-hiba miatt: "A megadott leíró érvénytelen (0x80090301)."
-
Elhárít egy hibát, amely miatt a 2022. január 11-i vagy újabb frissítés telepítése után az erdőszintű megbízhatósági kapcsolat létrehozási folyamata nem tudja feltölteni a DNS-név utótagjait a megbízhatósági adatok attribútumaiba.
-
A Kerberos- és Netlogon-protokollok biztonsági réseit a CVE-2022-38023, a CVE-2022-37966 és a CVE-2022-37967 cikkben leírtak szerint kezeli. Az üzembe helyezéssel kapcsolatos útmutatásért tekintse meg a következő cikkeket:
-
KB5020805: A CVE-2022-37967 protokoll módosításainak kezelése
-
KB5021130: A CVE-2022-38023 protokoll módosításainak kezelése
-
KB5021131: A CVE-2022-37966-tal kapcsolatos Kerberos-protokollmódosítások kezelése
A megoldott biztonsági résekkel kapcsolatos további információkért lásd: Üzemelő példányok | Biztonsági frissítési útmutató és a 2022. novemberi biztonsági Frissítések.
-
A megoldott biztonsági résekkel kapcsolatos további információkért lásd: Üzemelő példányok | Biztonsági frissítési útmutató és a 2022. novemberi biztonsági Frissítések.
Ismert problémák ebben a frissítésben
Tünet |
Következő lépés |
A frissítés vagy egy újabb Windows-frissítés telepítése után előfordulhat, hogy a tartományhoz való csatlakozás sikertelen lesz, és "0xaac (2732): NERR_AccountReuseBlockedByPolicy" hibaüzenet jelenik meg. Emellett a következő szöveg is szerepel: "Egy azonos nevű fiók létezik az Active Directoryban. Előfordulhat, hogy a fiók újbóli használatát a biztonsági szabályzat letiltotta" üzenet jelenhet meg. Az érintett forgatókönyvek közé tartoznak azok a tartományhoz való csatlakoztatási vagy újraképezendő műveletek, ahol a számítógépfiókot egy másik identitás hozta létre vagy előkészítette, mint a számítógép tartományhoz való csatlakoztatásához vagy újbóli csatlakoztatásához használt identitás. További információ erről a problémáról: KB5020276 – Netjoin: Tartományhoz való csatlakozás korlátozásának módosításai. Megjegyzés A Windows Consumer Desktop kiadásaiban nem valószínű, hogy ez a probléma jelentkezik. |
A problémával kapcsolatos útmutatásért tekintse meg a KB5020276-os tudásbáziscikket . |
A tartományvezérlői szerepkört használó Windows-kiszolgálókon 2022. november 8-án vagy azt követően kiadott Windows-frissítések telepítése után problémák merülhetnek fel a Kerberos-hitelesítéssel kapcsolatban. Ez a probléma hatással lehet a környezetben található Kerberos-hitelesítésre. Néhány forgatókönyv, amelyet érinthet:
Ha ez a probléma merül fel, előfordulhat, hogy a tartományvezérlő eseménynaplójának Rendszer szakaszában 4-es hibaesemény jelenik meg a Microsoft-Windows-Kerberos-Key-Distribution-Center eseményazonosítóban az alábbi szöveggel. Megjegyzés Az érintett események "a hiányzó kulcs azonosítója 1" sztringet tartalmaznak:
Megjegyzés Ez a probléma nem része a Netlogon és a Kerberos 2022. novemberi biztonsági frissítéssel kezdődő biztonsági megerősítésének. A probléma megoldása után is követnie kell az ezekben a cikkekben található útmutatást. Ez a probléma nem érinti a fogyasztók vagy a helyszíni tartomány részét nem képező eszközök által otthon használt Windows-eszközöket. A nem hibrid és helyi Active Directory kiszolgálóval nem rendelkező Azure Active Directory-környezetekre nincs hatással. |
Ezt a problémát a KB5021652-ös frissítés kezeli. |
A frissítés vagy egy későbbi frissítés tartományvezérlőre (DC) való telepítése után memóriavesztés léphet fel a helyi biztonsági hatóság alrendszerszolgáltatásában (LSASS,exe). A tartományvezérlő számítási feladataitól és a kiszolgáló utolsó újraindítása óta eltelt időtől függően az LSASS a kiszolgáló üzemidejével folyamatosan növelheti a memóriahasználatot, és előfordulhat, hogy a kiszolgáló nem válaszol vagy automatikusan újraindul. Megjegyzés A 2022. november 17-én és 2022. november 18-án kiadott, sávon kívüli frissítéseket érintheti ez a probléma. |
A probléma megoldásához nyisson meg egy parancssort rendszergazdaként, és a következő paranccsal állítsa a KrbtgtFullPacSignature beállításkulcsot 0-ra:
Megjegyzés Az ismert probléma megoldása után állítsa a KrbtgtFullPacSignature beállítást egy magasabb értékre attól függően, hogy a környezet mit fog engedélyezni. Javasoljuk, hogy amint a környezet készen áll, engedélyezze a Kényszerítési módot. További információ erről a beállításkulcsról: KB5020805: A CVE-2022-37967-hez kapcsolódó Kerberos protokollmódosítások kezelése. Dolgozunk a probléma megoldásán, és egy későbbi kiadásban biztosítunk frissítést. |
A frissítés telepítése után előfordulhat, hogy azok az alkalmazások, amelyek ODBC-kapcsolatokat használnak a Microsoft ODBC SQL Server Illesztőprogramon (sqlsrv32.dll) keresztül az adatbázisok eléréséhez, előfordulhat, hogy nem csatlakoznak. Emellett előfordulhat, hogy hibaüzenetet kap az alkalmazásban, vagy hibaüzenetet kap a SQL Server. A következő hibaüzenetek jelenhetnek meg:
Megjegyzés fejlesztőknek: Előfordulhat, hogy a probléma által érintett alkalmazások nem kérnek le adatokat, például az SQLFetch függvény használatakor. Ez a probléma akkor fordulhat elő, ha az SQLBindCol függvényt az SQLFetch előtt hívja meg, vagy az SQLGetData függvényt az SQLFetch után hívja meg, és ha a 4 bájtnál nagyobb rögzített adattípusok (például SQL_C_FLOAT) "BufferLength" argumentumának értéke 0 (nulla). Annak eldöntéséhez, hogy egy érintett alkalmazást használ-e, nyissa meg az adatbázishoz csatlakozó alkalmazást. Nyisson meg egy parancssori ablakot, írja be a következő parancsot, majd nyomja le az Enter billentyűt:
Ha a parancs feladatot ad vissza, akkor az alkalmazás érintett lehet. |
A probléma megoldásához tegye a következők egyikét:
Ezt a problémát a KB5022348-ban megoldottuk. Ha implementálta a fenti áthidaló megoldást, javasoljuk, hogy folytassa a konfiguráció használatát a kerülő megoldásban. |
A frissítés beszerzése
A frissítés telepítése előtt
Határozottan javasoljuk, hogy a legújabb kumulatív frissítés telepítése előtt telepítse az operációs rendszer legújabb karbantartási veremfrissítését (SSU). Az SSU-k javítják a frissítési folyamat megbízhatóságát a frissítés telepítése és a Microsoft biztonsági javításai alkalmazása közben fellépő lehetséges problémák mérséklése érdekében. Az SSU-kkal kapcsolatos általános információkért lásd: Karbantartási veremfrissítések és karbantartási verem Frissítések (SSU): Gyakori kérdések.
Ha Windows Update használ, a rendszer automatikusan felajánlja a legújabb SSU-t (KB5016263). A legújabb SSU különálló csomagjának beszerzéséhez keresse meg a Microsoft Update katalógusában.
Nyelvi csomagok
Ha a frissítés telepítése után nyelvi csomagot telepít, újra kell telepítenie ezt a frissítést. Ezért azt javasoljuk, hogy a frissítés telepítése előtt telepítsen minden szükséges nyelvi csomagot. További információ: Nyelvi csomagok hozzáadása a Windowshoz.
A frissítés telepítése
Kiadási csatorna |
Elérhető |
Következő lépés |
Windows Update és Microsoft Update |
Igen |
Nincs. Ezt a frissítést a rendszer automatikusan letölti és telepíti a Windows Update-ből. |
Microsoft Update katalógus |
Igen |
A frissítés különálló csomagjának beszerzéséhez látogasson el a Microsoft Update Catalog webhelyére. |
Windows Server Update Services (WSUS) |
Igen |
A frissítés automatikusan szinkronizálni fog a WSUS-sel, ha a Termékek és besorolások beállításaként a következőket adja meg: Termék:Windows Server 2012, Windows Embedded 8 Standard Besorolás: Biztonsági frissítések |
A fájlokkal kapcsolatos adatok
A frissítésben szereplő fájlok listájáért töltse le a KB5020009-ös frissítés fájlinformációját.
Referenciák
Ismerje meg a Microsoft szoftverfrissítéseinek leírására használt szabványos terminológiát .