2022 m. lapkričio 8 d. – KB5020019 (mėnesio naujinimų paketas)
Applies To
Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESULeidimo data:
2022-11-08
Versija:
Mėnesio naujinimų paketas
Suvestinė
Sužinokite daugiau apie šį kaupiamąjį saugos naujinimą, įskaitant patobulinimus, žinomas problemas ir tai, kaip gauti naujinimą.
PRIMINIMAS"Windows Server 2008" 2 pakeitimų paketo (SP2) standartinio palaikymo pabaiga baigėsi ir dabar teikiamas papildomas palaikymas. Nuo 2020 m. liepos mėn. nebebus pasirinktinių su sauga nesusijusių leidimų (vadinamų "C" leidimais) šiai operacinei sistemai. Papildomo palaikymo operacinėse sistemose yra tik kaupiamieji mėnesiniai saugos naujinimai (vadinami "B" arba "Update Tuesday release").
Prieš diegdami šį naujinimą patikrinkite, ar įdiegėte reikiamus naujinimus skyriuje Kaip gauti šį naujinimą.
Klientai, kurie įsigijo išplėstinį saugos naujinimą (ESU) šios operacinės sistemos vietinėms versijoms, turi laikytis procedūrų, esančių KB4522133, kad toliau gautų saugos naujinimus po papildomo palaikymo pabaigos 2020 m. sausio 14 d. Daugiau informacijos apie ESU ir kurie leidimai palaikomi, žr. KB4497181.
Esu pasiekiamas kaip atskiras SKU kiekvienais metais, kuriais jie siūlomi (2020, 2021 ir 2022) ir kadangi ESU galima įsigyti tik tam tikrais 12 mėnesių laikotarpiais– turite atskirai įsigyti trečius ESU aprėpties metus ir suaktyvinti naują raktą kiekviename įrenginyje, kad galėtumėte ir toliau gauti saugos naujinimus 2022 m.
Jei jūsų organizacija neįsigijo trečių ESU aprėpties metų, prieš diegdami ir aktyvindami 3 metų MAK raktus, kad gautumėte naujinimus, savo atitinkamiems "Windows Server 2008" SP2 įrenginiams turite įsigyti 1 metų, 2 metų ir 3 metų ESU. ESU diegimo, aktyvinimo ir diegimo veiksmai yra tokie patys pirmaisiais, antraisiais ir trečiaisiais metais. Daugiau informacijos žr. Išplėstinio saugos Naujinimai gavimas reikalavimus atitinkantiems "Windows" įrenginiams, skirtiems bendrojo licencijavimo procesui, ir "Windows 7" papildomus saugos naujinimus kaip debesies sprendimų teikėją debesies sprendimų teikėjui. Dėl įdėtųjų įrenginių kreipkitės į originaliosios įrangos gamintoją (OĮG).
Daugiau informacijos žr. ESU tinklaraštyje.
Pastaba Informacijos apie įvairių tipų "Windows" naujinimus, pvz., kritinius, saugos, tvarkyklės, pakeitimų paketus ir t. t., rasite toliau pateiktame straipsnyje. Norėdami peržiūrėti kitas pastabas ir pranešimus, skirtus "Windows Server 2008 SP2", žr. tolesnį naujinimo retrospektyvos pagrindinį puslapį.
Patobulinimai
Šis kaupiamasis saugos naujinimas apima patobulinimus, kurie įėjo į naujinimą KB5017358 (išleistą 2022 m. spalio 11 d.), ir apima toliau nurodytus keitimus.
-
Išsprendžia paskirstyto komponento objektų modelio (DCOM) autentifikavimo sustikimo problemą, kad būtų automatiškai pakeltas autentifikavimo lygis visoms neanoniminėms aktyvinimo užklausoms iš DCOM klientų. Taip nutiks, jei autentifikavimo lygis yra mažesnis nei RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.
-
Naujinimai vasaros/žiemos laiko (DST) Jordanija neleisti perkelti laikrodis atgal 1 valandą spalio 28, 2022. Be to, pakeičia rodomą Jordanijos standartinio laiko pavadinimą iš "(UTC+02:00) Amman" į "(UTC+03:00) Amman".
-
Išsprendžia problemą, dėl kurios "Microsoft Azure Active Directory" (AAD) taikomosios programos tarpinio serverio jungtis negali nuskaityti "Kerberos" kvito vartotojo vardu dėl šios bendrosios API klaidos: "Nurodyta rankenėlė neleistina (0x80090301)."
-
Išsprendžia problemą, dėl kurios įdiegus 2022 m. sausio 11 d. arba vėlesnį naujinimą, "Forest Trust" kūrimo procesui nepavyksta automatiškai įvesti DNS vardų plėtinių į patikimumo informacijos atributus.
-
Išsprendžia Kerberos ir tinklo registravimo protokolų saugos pažeidžiamumus, kaip nurodyta CVE-2022-38023, CVE-2022-37966 ir CVE-2022-37967. Diegimo rekomendacijas rasite šiuose straipsniuose:
-
KB5020805: Kaip valdyti Kerberos protokolo pakeitimus, susijusius su CVE-2022-37967
-
KB5021130: Kaip valdyti tinklo registravimo protokolo pakeitimus, susijusius su CVE-2022-38023
-
KB5021131: Kaip valdyti Kerberos protokolo pakeitimus, susijusius su CVE-2022-37966
Norėdami gauti daugiau informacijos apie pašalintus saugos pažeidžiamumus, žr. Diegimai | saugos naujinimo vadovą ir 2022 m. lapkričio mėn. saugos Naujinimai.
-
Norėdami gauti daugiau informacijos apie pašalintus saugos pažeidžiamumus, žr. Diegimai | saugos naujinimo vadovą ir 2022 m. lapkričio mėn. saugos Naujinimai.
Žinomos problemos šiame naujinime
Požymis |
Kitas veiksmas |
Įdiegus šį naujinimą ir iš naujo paleidus įrenginį, gali būti rodoma klaida: „Nepavyko sukonfigūruoti „Windows“ naujinimų. Grąžinami pakeitimai. Neišjunkite kompiuterio.” Naujinimo retrospektyvoje naujinimas gali būti rodomas kaip nepavykęs. |
Tai turėtų būti numatyta toliau nurodytomis aplinkybėmis.
Jei esate įsigiję ESU raktą ir susidūrėte su šia problema, įsitikinkite, kad pritaikėte visas būtinąsias sąlygas ir kad jūsų kodas suaktyvintas. Informacijos apie aktyvinimą žr. šiame tinklaraščio įraše. Norėdami gauti informacijos apie būtinąsias sąlygas, žr. šio straipsnio skyrių „Kaip gauti šį naujinimą”. |
Įdiegus šį naujinimą arba naujesnį "Windows" naujinimą, domenų sujungimo operacijos gali būti nesėkmingos ir gali įvykti klaida "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Be to, tekstas, nurodantis, kad "Active Directory" yra paskyra tokiu pačiu pavadinimu. Gali būti rodomas paskyros pakartotinis naudojimas pagal saugos strategiją". Paveikti scenarijai apima kai kurias prisijungimo prie domeno arba pakartotinio vaizdavimo operacijas, kai kompiuterio paskyra buvo sukurta arba iš anksto sukurta naudojant kitą tapatybę nei tapatybė, naudojama prijungti arba iš naujo prijungti kompiuterį prie domeno. Daugiau informacijos apie šią problemą žr. KB5020276 – "Netjoin": prisijungimo prie domeno sustijimo keitimai. Pastaba Mažai tikėtina, kad vartotojų kompiuteriams skirti "Windows" leidimai nepatirs šios problemos. |
Jei reikia informacijos apie šią problemą, žr. KB5020276 . |
Įdiegus "Windows" naujinimus, išleistus 2022 m. lapkričio 8 d. arba vėliau "Windows" serveriuose, kuriuose naudojamas domeno valdiklio vaidmuo, gali kilti problemų dėl "Kerberos" autentifikavimo. Ši problema gali turėti įtakos bet kokiam "Kerberos" autentifikavimui jūsų aplinkoje. Kai kurie scenarijai, kurie gali būti paveikti:
Iškilus šiai problemai, galite gauti Microsoft-Windows-Kerberos-Key-Distribution-Center įvykio ID 4 klaidos įvykis sistemos skyriaus įvykių žurnale domeno valdiklyje su toliau teksto. Pastaba Paveiktuose įvykiuose bus "trūkstamo rakto ID yra 1" eilutė:
Pastaba Ši problema nėra numatoma tinklo registravimo ir "Kerberos" saugos griežinimo dalis, pradedant nuo 2022 m. lapkričio mėn. saugos naujinimo. Vis tiek turėsite vadovautis šiuose straipsniuose pateikiamais nurodymais, net kai ši problema bus išspręsta. Ši problema neturi įtakos "Windows" įrenginiams, kuriuos namuose naudoja vartotojai arba įrenginiai, kurie nėra vietinio domeno dalis. "Azure Active Directory" aplinkos, kurios nėra hibridinės ir neturi Vietinis "Active Directory" serverių, tai neturi įtakos. |
Ši problema išspręsta naujinime KB5021657. |
Įdiegus šį naujinimą arba naujesnį naujinimą domeno valdiklyje (DC), gali kilti atminties nutekėjimas su vietos saugos institucijos posistemės tarnyba (LSASS,exe). Atsižvelgiant į JŪSŲ DC darbo krūvį ir laiką nuo paskutinio serverio paleidimo iš naujo, LSASS gali nuolat didinti atminties naudojimą su serverio veikimo laiku ir serveris gali nebereaguoti arba būti automatiškai paleistas iš naujo. Pastaba Ši problema gali turėti įtakos 2022 m. lapkričio 17 d. ir 2022 m. lapkričio 18 d. išleistiems kompiuteriams skirtiems ne juostos naujinimams. |
Norėdami išspręsti šią problemą, atidarykite komandinę eilutę kaip administratorius ir naudodami šią komandą nustatykite registro raktą KrbtgtFullPacSignature į 0:
Pastaba Išsprendę šią žinomą problemą, turite nustatyti "KrbtgtFullPacSignature " į didesnį parametrą, atsižvelgiant į tai, ką leis jūsų aplinka. Rekomenduojame įgalinti vykdymo režimą, kai tik jūsų aplinka bus paruošta. Daugiau informacijos apie šį registro raktą žr. KB5020805: Kaip valdyti "Kerberos" protokolo pakeitimus, susijusius su CVE-2022-37967. Stengiamės rasti sprendimą ir pateiksime naujinimą būsimame leidime. |
Įdiegus šį naujinimą, programos, kurios naudoja ODBC ryšius per "Microsoft ODBC" "SQL Server" tvarkyklę (sqlsrv32.dll), kad pasiektų duomenų bazes, gali neprisijungti. Be to, galite gauti klaidą programoje arba galite gauti klaidą iš "SQL Server". Galimos klaidos:
Pastaba kūrėjams: Programėlėms, kurias paveikė ši problema, gali nepavykti iškviesti duomenų, pvz., naudojant "SQLFetch" funkciją. Ši problema gali kilti iškviečiant SQLBindCol funkciją prieš SQLFetch arba iškviečiant SQLGetData funkciją po SQLFetch ir kai argumento BufferLength reikšmė yra 0 (nulis), skirta fiksuotiems duomenų tipams, didesniems nei 4 baitai (pvz., SQL_C_FLOAT). Norėdami nuspręsti, ar naudojate paveiktą taikomąją programą, atidarykite taikomąją programą, kuri prisijungia prie duomenų bazės. Atidarykite komandinės eilutės langą, įveskite šią komandą ir paspauskite "Enter":
Jei komanda pateikia užduotį, tai gali turėti įtakos programai. |
Norėdami išspręsti šią problemą, galite atlikti vieną iš šių veiksmų:
Ši problema buvo išspręsta KB5022340. Jei įdiegėte anksčiau aprašytą sprendimo būdą, rekomenduojame toliau naudoti konfigūraciją sprendimo būdą. |
Kaip gauti šį naujinimą
Prieš diegiant šį naujinimą
SVARBU Klientai, kurie įsigijo išplėstinį saugos naujinimą (ESU) šių operacinių sistemų vietinėms versijoms, turi laikytis procedūrų, esančių KB4522133, kad toliau gautų saugos naujinimus, nes papildomas palaikymas baigėsi 2020 m. sausio 14 d.
Daugiau informacijos apie ESU ir kurie leidimai palaikomi, žr. KB4497181.
Kalbų paketai
Jei įdiegę šį naujinimą įdiegsite kalbos paketą, turite iš naujo įdiegti šį naujinimą. Todėl rekomenduojame įdiegti visus kalbos paketus, kurių jums reikia prieš diegiant šį naujinimą. Daugiau informacijos žr. Kalbų paketų įtraukimas į "Windows".
Būtinoji sąlyga
Būtina įdiegti toliau nurodytus naujinimus ir paleisti įrenginį iš naujo prieš diegiant naujausią naujinimų paketą. Šių naujinimų diegimas pagerina naujinimo proceso patikimumą ir sumažina galimas problemas, kai diegiamas naujinimų paketas ir taikomos „Microsoft“ saugos pataisos.
-
2019 m. balandžio 9 d. priežiūros rietuvės naujinimas (SSU) (KB4493730). Norėdami gauti atskirą šio SSU paketą, eikite į "Microsoft Update" katalogą. Šis naujinimas būtinas norint įdiegti naujinimus, kurie yra pasirašyti tik SHA-2.
-
Naujausias SHA-2 naujinimas (KB4474419), išleistas 2019 m. spalio 8 d. Jei naudojate „Windows Update“, naujausias SHA-2 naujinimas bus pasiūlytas automatiškai. Šis naujinimas būtinas norint įdiegti naujinimus, kurie yra pasirašyti tik SHA-2. Daugiau informacijos apie SHA-2 naujinimus žr. 2019 m. SHA-2 kodo pasirašymo palaikymo reikalavimas, skirtas "Windows" ir WSUS.
-
Išplėstinės saugos Naujinimai (ESU) licencijavimo parengimo paketas (KB4538484) arba išplėstinio saugos Naujinimai (ESU) licencijavimo parengimo paketo naujinimas (KB4575904). Iš WSUS bus pasiūlytas ESU licencijavimo parengimo paketas. Norėdami gauti atskirą ESU licencijavimo parengimo paketo paketą, eikite į "Microsoft Update" katalogą.
Įdiegus anksčiau nurodytus elementus, "Microsoft" primygtinai rekomenduoja įdiegti naujausią SSU (KB5016129). Jei naudojate „Windows Update“, naujausias SSU bus pasiūlytas automatiškai, jei esate ESU klientas. Norėdami gauti naujausio SSU atskirą paketą, eikite į "Microsoft Update" katalogą. Bendrąją informaciją apie SSU žr. Priežiūros rietuvės naujinimai ir Priežiūros rietuvės Naujinimai (SSU): dažnai užduodami klausimai.
Diegti šį naujinimą
Išleidimo kanalas |
Yra |
Kitas veiksmas |
„Windows Update“ ir „Microsoft Update“ |
Taip |
Nėra. Šis naujinimas bus automatiškai atsiųstas ir įdiegtas iš „Windows Update“, jei esate ESU klientas. |
„Microsoft Update“ katalogas |
Taip |
Norėdami gauti atskirą šio naujinimo paketą, eikite į "Microsoft Update" katalogo svetainę. |
„Windows Server Update Services“ (WSUS) |
Taip |
Šis naujinimas bus automatiškai sinchronizuojamas su WSUS, jei Produktai ir klasifikacija sukonfigūruosite toliau pateiktu būdu: Produktas: "Windows Server 2008" 2 pakeitimų paketas Klasifikacija: Saugos naujinimai |
Failo informacija
Norėdami gauti į šį naujinimą įtrauktų failų sąrašą, atsisiųskite naujinimo KB5020019 failo informaciją.
Nuorodos
Sužinokite apie standartinę terminologiją , naudojamą "Microsoft" programinės įrangos naujinimams apibūdinti.