2022. gada 8. novembris — KB5020000 (ikmēneša apkopojums)
Applies To
Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESULaidiena datums:
08.11.2022
Versija:
Ikmēneša apkopojums
NOTE Pēc 2023. gada 10. janvāra korporācija Microsoft vairs nenodrošinās drošības atjauninājumus vai tehnisko atbalstu operētājsistēmai Windows 7 SP1 un Windows Server 2008 R2 SP1. Ieteicams jaunināt uz jaunāku Windows versiju.
Kopsavilkums
Uzziniet vairāk par šo kumulatīvo drošības atjauninājumu, ieskaitot uzlabojumus, visas zināmās problēmas un to, kā iegūt atjauninājumu.
ATGĀDINĀJUMSWindows 7, Windows Server 2008 R2, Windows Embedded Standard 7 un Windows Embedded POS Ready 7 ir sasniedzis galvenā atbalsta beigas, un tagad tās atbalsta paplašinātais drošības atjauninājums (ESU). Windows Thin PC dators ir sasniedzis galvenā atbalsta beigas. tomēr ESU atbalsts nav pieejams.
Sākot ar 2020. gada jūliju, šai operētājsistēmai vairs nebūs pieejami neobligāti ar drošību nesaistīti laidieni (dēvēti par "C" laidieniem). Operētājsistēmām ar paplašināto atbalstu ir tikai kumulatīvi ikmēneša drošības atjauninājumi (zināmi kā "B" vai Atjaunināt otrdienas laidienu).
Pirms šī atjauninājuma instalēšanas pārbaudiet, vai esat instalējis nepieciešamos atjauninājumus sadaļā Kā iegūt šo atjauninājumu.
Klientiem, kuri iegādājušies šīs operētājsistēmas lokālās versijas paplašināto drošības atjauninājumu (Extended Security Update — ESU), ir jāatbilst KB4522133 procedūras, lai turpinātu saņemt drošības atjauninājumus pēc paplašinātā atbalsta beigām 2020. gada 14. janvārī. Papildinformāciju par ESU un atbalstītajiem izdevumiem skatiet rakstā KB4497181.
Tā kā ESU ir pieejams kā atsevišķs SKU katram gadam, kurā tie tiek piedāvāti (2020., 2021. un 2022. gadā) un tā kā ESU var iegādāties tikai konkrētos 12 mēnešu periodos— jums atsevišķi jāiegādājas ESU trešo gadu un jāaktivizē jauna atslēga katrā attiecīgajā ierīcē, lai turpinātu saņemt drošības atjauninājumus 2022. gadā.
Ja jūsu organizācija nav iegādājies ESU trešā gada pārklājumu, jums ir jāiegādājas ESU 1. gads, 2. gads un 3. gads saviem piemērojamiem Windows 7 SP1 vai Windows Server 2008 R2 SP1 ierīcēm, pirms instalējat un aktivizējiet 3. gada MAK atslēgas, lai saņemtu atjauninājumus. ESU instalēšanas, aktivizēšanas un izvietošanas darbības ir vienādas pirmajam, otrajam un trešajam gadam. Papildinformāciju skatiet rakstā Paplašinātās drošības Atjauninājumi iegūšana piemērotām Windows ierīcēm lielapjoma licencēšanas procesam un Windows 7 ESU iegāde kā mākoņrisinājumu nodrošinātājs CSP procesā. Ja ierīces ir iegultas, sazinieties ar oriģinālā aprīkojuma ražotāju (OEM).
Papildinformāciju skatiet ESU emuārā.
Piezīme Papildinformāciju par dažādu veidu Windows atjauninājumiem, piemēram, kritisko, drošību, draiveri, servisa pakotnēm un citiem, skatiet tālāk šajā rakstā. Lai skatītu citas piezīmes un ziņojumus operētājsistēmai Windows 7 un Windows Server 2008 R2, skatiet šo atjaunināšanas vēstures sākumlapu.
Uzlabojumi.
Šajā kumulatīvajā drošības atjauninājumā ir uzlabojumi, kas ir iekļauti atjauninājumā KB5017361 (izlaists 2022. gada 11. oktobrī), un tajā ir iekļautas galvenās izmaiņas:
-
Novērš dalītā komponenta objektmāja (DCOM) autentifikācijas rūdīšanas problēmu, lai automātiski uzlabotu autentifikācijas līmeni visiem ne anonīmajiem aktivizēšanas pieprasījumiem no DCOM klientiem. Tā notiek, ja autentifikācijas līmenis ir mazāks par RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.
-
Atjauninājumi 2022. gada 28. oktobrī plkst. 15:00, lai novērstu pulksteņa pārvietošanu no 2022. gada 28. oktobra. Turklāt tiek mainīts Dārdānas standarta laika parādāmais nosaukums no "(UTC+02:00) Ammāna" uz "(UTC+03:00) Ammāna".
-
Novērš problēmu, kur Microsoft Azure Active Directory (AAD) lietojumprogrammas starpniekservera savienotājs nevar izgūt Kerberos biļeti lietotāja vārdā, jo pastāv šāda vispārīga API kļūda: "Norādītais turis ir nederīgs (0x80090301)."
-
Novērš problēmu, kuras dēļ pēc 2022. gada 11. janvāra vai jaunākas versijas atjauninājuma instalēšanas Forest Trust izveides process neizdevās aizpildīt DNS nosaukuma sufiksus drošības kontroles informācijas atribūtā.
-
Novērstas drošības ievainojamības protokols Kerberos un Netlogon, kā norādīts CVE-2022-38023, CVE-2022-37966 un CVE-2022-37967. Norādījumus par izvietošanu skatiet šādos rakstos:
-
KB5020805: Kā pārvaldīt Kerberos protokola izmaiņas, kas saistītas ar CVE-2022-37967
-
KB5021130: Kā pārvaldīt Netlogon protokola izmaiņas, kas saistītas ar CVE-2022-38023
-
KB5021131: Kā pārvaldīt Kerberos protokola izmaiņas, kas saistītas ar CVE-2022-37966
Lai iegūtu papildinformāciju par atrisinātām drošības ievainojamībām, skatiet sadaļu Izvietojumi | Drošības atjauninājumu rokasgrāmata un 2022. gada novembra drošības Atjauninājumi.
-
Zināmās problēmas šajā atjauninājumā
Problēmas pazīme |
Nākamā darbība |
Pēc šī atjauninājuma instalēšanas un ierīces restartēšanas var tikt parādīts kļūdas ziņojums "Neizdevās konfigurēt Windows atjauninājumus. Notiek izmaiņu atgriešana. Neizslēgiet datoru", un atjaunināšana atjaunināšanas vēsturē var tikt rādīta kā Neizdevās. |
Tas ir gaidāms tālāk minētajos apstākļos.
Ja esat iegādājies ESU atslēgu un ir radusies minētā problēma, lūdzu, pārbaudiet, vai esat piemērojis visus priekšnoteikumus un vai jūsu atslēga ir aktivizēta. Informāciju par aktivizēšanu skatiet šajā emuāra ziņā. Informāciju par priekšnosacījumiem skatiet šī raksta sadaļā Kā iegūt šo atjauninājumu. |
Pēc šī atjauninājuma vai jaunāka Windows atjauninājuma instalēšanas domēna pievienošanas operācijas, iespējams, ir nesekmīgas un rodas kļūda "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Turklāt pakalpojumā Active Directory ir teksts "Konts ar tādu pašu nosaukumu." Iespējams, tiks rādīta atkārtota konta izmantošana ar drošības politikas bloķēto". Ietekmētajos scenārijos ir iekļautas dažas domēna pievienošanas vai attēlu apstrādes darbības, kur datora konts ir izveidots vai sākotnēji ir pakāpenizēts ar citu identitāti, nekā identitāte, kas tiek izmantota, lai pievienotos datoram vai atkārtoti tai pievienotos. Papildinformāciju par šo problēmu skatiet rakstā KB5020276 — Netjoin: domēna savienojuma rūdīšanas izmaiņas. Piezīme Maz ticams, ka šo problēmu nerada Windows patērētāju darbvirsmas izdevumi. |
Norādījumus par šo problēmu skatiet rakstā KB5020276 . |
Pēc Windows atjauninājumu instalēšanas, kas izlaisti 2022. gada 8. novembrī vai pēc to instalēšanas Windows serveros, kas izmanto domēna kontrollera lomu, var rasties problēmas ar Kerberos autentifikāciju. Šī problēma var ietekmēt jebkuru Kerberos autentifikāciju jūsu vidē. Daži scenāriji, kas var tikt ietekmēti:
Kad rodas šāda problēma, domēnu kontrollera notikumu žurnāla sadaļā Sistēma, izmantojot tālāk esošo tekstu, varat saņemt Microsoft-Windows-Kerberos-Key-Distribution-Center kļūdas notikumu ID 4. Piezīme Ietekmētajos notikumos būs ietverta virkne "trūkstošai atslēgai ir ID 1".
Piezīme Šī problēma nav paredzama daļa no Netlogon un Kerberos drošības atjauninājuma drošības apsvērumu dēļ, sākot ar 2022. gada novembra drošības atjauninājumu. Jums joprojām būs jāievēro šajos rakstos sniegtie norādījumi pat pēc tam, kad problēma būs atrisināta. Šī problēma neietekmē Windows ierīces, ko mājās izmanto klienti vai ierīces, kuras nav daļa no lokālā domēna. Azure Active Directory vides, kas nav hibrīdas un kurām lokālais Active Directory serveri netiek ietekmēti. |
Šī problēma ir novērsta atjauninājumā KB5021651. |
Pēc šī atjauninājuma vai jaunāka atjauninājuma instalēšanas domēna kontrollerī (DC) var rasties atmiņas nopludināta atmiņa, kas nopludināta lokālās drošības iestādes apakšsistēmas pakalpojumā (LSASS,exe). Atkarībā no jūsu DC darba slodzes un laika kopš servera pēdējās restartēšanas LSASS var nepārtraukti palielināt atmiņas lietojumu, izmantojot servera laiku un serveri, var nereaģēt vai tikt automātiski restartēts. Piezīme Šī problēma var ietekmēt ārpusjoslas atjauninājumus datoriem, kas izlaisti 2022. gada 17. novembrī un 2022. gada 18. novembrī. |
Lai mazinātu šo problēmu, atveriet komandu uzvedni kā administrators un izmantojiet tālāk norādīto komandu, lai iestatītu reģistra atslēgu KrbtgtFullPacSignature uz 0:
Piezīme Kad šī zināmā problēma ir novērsta, iestatiet KrbtgtFullPacSignature uz augstāku iestatījumu atkarībā no tā, ko atļauj jūsu vide. Mēs iesakām iespējot ieviešanas režīmu, tiklīdz jūsu vide ir gatava. Papildinformāciju par šo reģistra atslēgu skatiet rakstā KB5020805: Kā pārvaldīt Kerberos protokola izmaiņas, kas saistītas ar CVE-2022-37967. Mēs strādājam pie risinājuma un nodrošināsim atjauninājumu nākamajā laidienā. |
Pēc šī atjauninājuma instalēšanas lietojumprogrammas, kas izmanto ODBC savienojumus, izmantojot Microsoft ODBC SQL Server draiveri (sqlsrv32.dll) piekļuvei datu bāzēm, iespējams, neizstās izveidot savienojumu. Turklāt lietojumprogrammā var tikt parādīta kļūda vai kļūdas ziņojums no šīs SQL Server. Kļūdas, ko, iespējams, saņemsit, ietveriet šādus ziņojumus:
Piezīme izstrādātājiem: Lietojumprogrammas, kuras ietekmē šī problēma, var neizdoties ienest datus, piemēram, izmantojot funkciju SQLFetch. Šī problēma var rasties, izsaucot funkciju SQLBindCol pirms SQLFetch vai zvanot uz SQLGetData funkciju pēc SQLFetch un kad argumentam "BufferLength" ir vērtība 0 (nulle) fiksētiem datu tipiem, kas ir lielāki par 4 baitiem (piemēram, SQL_C_FLOAT). Lai izlemtu, vai izmantojat ietekmēto programmu, atveriet programmu, kas izveido savienojumu ar datu bāzi. Atveriet komandu uzvednes logu, ierakstiet šo komandu un pēc tam nospiediet taustiņu Enter:
Ja komanda atgriež uzdevumu, programma, iespējams, ir ietekmēta. |
Lai mazinātu šo problēmu, varat veikt kādu no šīm darbībām:
Šī problēma ir novērsta atjauninājumā KB5022338. Ja esat ieviesis iepriekš minēto risinājumu, ieteicams turpināt izmantot konfigurāciju, lai atrisinātu šo problēmu. |
Atjauninājuma iegūšana
Pirms šā atjauninājuma instalēšanas
SVARĪGI! Klientiem, kuri iegādājušies šo operētājsistēmu lokālo versiju paplašināto drošības atjauninājumu (EXTENDED Security Update — ESU ), ir jāatbilst KB4522133 procedūras, lai turpinātu saņemt drošības atjauninājumus. Paplašinātais atbalsts beidzās, kā norādīts tālāk.
-
Windows 7 1. servisa pakotnes un Windows Server 2008 R2 1. servisa pakotnes atbalsts beidzās 2020. gada 14. janvārī.
-
Windows Embedded Standard 7 paplašinātais atbalsts beidzās 2020. gada 13. oktobrī.
-
Operētājsistēmai Windows Embedded POS Ready 7 paplašinātais atbalsts beidzās 2021. gada 12. oktobrī.
-
Windows Plānu datoram paplašinātais atbalsts beidzās 2021. gada 12. oktobrī. Ņemiet vērā, ka ESU atbalsts nav pieejams Windows Thin datoram.
Papildinformāciju par ESU un atbalstītajiem izdevumiem skatiet rakstā KB4497181.
Piezīme Ja ierīcē darbojas operētājsistēma Windows Embedded Standard 7, ir jābūt iespējotām Windows pārvaldības vadību (WMI), lai varētu saņemt atjauninājumus no Windows Update vai Windows Server Update Services.
Valodu pakotnes
Ja instalējat valodas pakotni pēc šī atjauninājuma instalēšanas, šis atjauninājums ir jāinstalē atkārtoti. Tāpēc pirms šī atjauninājuma instalēšanas ieteicams instalēt visas valodu pakotnes, kas nepieciešamas. Papildinformāciju skatiet rakstā Valodu pakotņu pievienošana sistēmai Windows.
Priekšnosacījumi
Pirms jaunākā atjauninājumu apkopojuma instalēšanas jums ir jāinstalē tālāk uzskaitītie atjauninājumi un jārestartē ierīce. Šo atjauninājumu instalēšana uzlabo atjaunināšanas procesa uzticamību un mazina iespējamās problēmas, instalējot apkopojumu un lietojot Microsoft drošības labojumus.
-
2019. gada 12. marta apkalpošanas steka atjauninājums (SSU) (KB4490628). Lai iegūtu savrupo pakotni šai SSU, meklējiet to Microsoft atjaunināšanas katalogā. Šis atjauninājums ir nepieciešams, lai instalētu atjauninājumus, kas ir tikai SHA-2 parakstīti.
-
Jaunākais SHA-2 atjauninājums (KB4474419), kas izlaists 2019. gada 10. septembrī. Ja izmantojat Windows Update, jaunākais SHA-2 atjauninājums jums tiks piedāvāts automātiski. Šis atjauninājums ir nepieciešams, lai instalētu atjauninājumus, kas ir tikai SHA-2 parakstīti. Papildinformāciju par SHA-2 atjauninājumiem skatiet rakstā 2019 SHA-2 koda parakstīšanas atbalsta prasības operētājsistēmai Windows un WSUS.
-
Lai iegūtu šo drošības atjauninājumu, atkārtoti jāinstalē "paplašinātās drošības Atjauninājumi (ESU) licencēšanas sagatavošanas pakotne" (KB4538483) vai "Paplašinātās drošības Atjauninājumi (ESU) licencēšanas sagatavošanas pakotnes atjauninājums" (KB4575903), pat tad, ja iepriekš instalējāt ESU atslēgu. Jums no WSUS tiks piedāvāta ESU licencēšanas sagatavošana pakotne. Lai iegūtu savrupo ESU licencēšanas sagatavošanas pakotni, meklējiet to Microsoft atjaunināšanas katalogā.
Kad iepriekš minētie vienumi ir instalēti, iesakām instalēt jaunāko SSU (KB5017397). Ja izmantojat Windows Update, jaunākais SSU atjauninājums jums tiks piedāvāts automātiski, ja esat ESU klients. Lai iegūtu savrupo pakotni jaunākajai SSU, meklējiet to Microsoft atjaunināšanas katalogā. Vispārīgu informāciju par SSU skatiet rakstā Apkalpošanas steka atjauninājumi un apkalpošanas grēdas Atjauninājumi (SSU): bieži uzdotie jautājumi.
Instalēt šo atjauninājumu
Laidiena kanāls |
Pieejams |
Nākamā darbība |
Windows Update un Microsoft Update |
Jā |
Neviens. Ja esat ESU klients, šis atjauninājums tiks automātiski lejupielādēts un instalēts no pakalpojuma Windows Update. |
Microsoft Update katalogs |
Jā |
Lai iegūtu savrupu pakotni šim atjauninājumam, dodieties uz Microsoft atjaunināšanas kataloga tīmekļa vietni. |
Windows Server Update Services (WSUS) |
Jā |
Šis atjauninājums tiks automātiski sinhronizēts ar WSUS, ja sadaļu Produkti un klasifikācijas konfigurēsit tā, kā norādīts tālāk. Produkts: Windows 7 1. servisa pakotne, Windows Server 2008 R2 1. servisa pakotne, Windows Embedded Standard 7 1. servisa pakotne, Windows Embedded POSReady 7 Klasifikācija — drošības atjauninājumi |
Informācija par failiem
Lai iegūtu šajā atjauninājumā sniegto failu sarakstu, lejupielādējiet informāciju par failu atjauninājumā KB5020000.
Uzziņas
Uzziniet par standarta terminoloģiju , kas tiek izmantota, lai aprakstītu Microsoft programmatūras atjauninājumus.