8. november 2022 – KB5020009 (månedlig beregnet verdi)
Applies To
Windows Server 2012 Windows Embedded 8 StandardUtgivelsesdato:
08.11.2022
Versjon:
Månedlig samleoppdatering
Oppsummering
Mer informasjon om denne kumulative sikkerhetsoppdateringen, inkludert forbedringer, eventuelle kjente problemer og hvordan du får oppdateringen.
REMINDER Windows Server 2012 har nådd slutten på grunnleggende støtte og er nå i utvidet støtte. Fra og med juli 2020 vil det ikke lenger være valgfrie utgivelser (kalt C- eller D-utgivelser) for dette operativsystemet. Operativsystemer med utvidet støtte har bare kumulative månedlige sikkerhetsoppdateringer (kjent som B- eller Update Tuesday-utgivelsen).
Kontroller at du har installert de nødvendige oppdateringene som er oppført i delen Slik får du denne oppdateringen før du installerer denne oppdateringen.
Obs! Hvis du vil ha informasjon om de ulike typene Windows-oppdateringer, for eksempel kritisk, sikkerhet, driver, oppdateringspakker og så videre, kan du se følgende artikkel. Hvis du vil vise andre notater og meldinger, kan du se hjemmesiden for oppdateringsloggen for Windows Server 2012.
Forbedringer
Denne kumulative sikkerhetsoppdateringen inneholder forbedringer som er en del av oppdateringen KB5017370 (utgitt 11. oktober 2022) og inkluderer viktige endringer for følgende:
-
Adresserer et problem med godkjenningsherding for distribuert komponentobjektmodell (DCOM) for automatisk å øke godkjenningsnivået for alle ikke-anonyme aktiveringsforespørsler fra DCOM-klienter. Dette skjer hvis godkjenningsnivået er mindre enn RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.
-
Oppdateringer sommertid (sommertid) for Jordan for å hindre å flytte klokken tilbake 1 time på oktober 28, 2022. I tillegg endrer visningsnavnet for Jordan standardtid fra «(UTC+02:00) Amman» til «(UTC+03:00) Amman».
-
Løser et problem der Microsoft Azure Active Directory (AAD) Programproxy Connector ikke kan hente en Kerberos-billett på vegne av brukeren på grunn av følgende generelle API-feil: «Det angitte håndtaket er ugyldig (0x80090301).»
-
Løser et problem der opprettingsprosessen for Forest Trust ikke kan fylle ut DNS-navnssuffiksene i klareringsinformasjonsattributtene etter å ha installert oppdateringen 11. januar 2022 eller senere.
-
Løser sikkerhetsproblemer i Kerberos- og Netlogon-protokollene som beskrevet i CVE-2022-38023, CVE-2022-37966 og CVE-2022-37967. Hvis du vil ha distribusjonsveiledning, kan du se følgende artikler:
-
KB5020805: Slik administrerer du Kerberos-protokollendringer relatert til CVE-2022-37967
-
KB5021130: Slik administrerer du Netlogon-protokollendringer relatert til CVE-2022-38023
-
KB5021131: Slik administrerer du Kerberos-protokollendringer relatert til CVE-2022-37966
Hvis du vil ha mer informasjon om de løste sikkerhetssikkerhetsproblemene, kan du se Distribusjoner | Sikkerhetsoppdateringsveiledning og sikkerhetsoppdateringsveiledningen for november 2022 Oppdateringer.
-
Hvis du vil ha mer informasjon om de løste sikkerhetssikkerhetsproblemene, kan du se Distribusjoner | Sikkerhetsoppdateringsveiledning og sikkerhetsoppdateringsveiledningen for november 2022 Oppdateringer.
Kjente problemer med denne oppdateringen
Symptom |
Neste trinn |
Etter at denne oppdateringen eller en senere Windows-oppdatering er installert, kan det hende at operasjoner for domenekobling mislykkes, og feilen «0xaac (2732): NERR_AccountReuseBlockedByPolicy» oppstår. Tekst som sier «En konto med samme navn finnes i Active Directory. Det kan hende at ny bruk av kontoen ble blokkert av sikkerhetspolicyen. Berørte scenarier inkluderer noen domenekoblings- eller re-imaging-operasjoner der en datakonto ble opprettet eller forhåndsopprettet av en annen identitet enn identiteten som ble brukt til å koble datamaskinen til domenet på nytt. Hvis du vil ha mer informasjon om dette problemet, kan du se KB5020276 – Netjoin: Domain join hardening changes. Obs! Det er lite sannsynlig at Forbruker-skrivebordsutgaver av Windows opplever dette problemet. |
Se KB5020276 for veiledning om dette problemet. |
Når du har installert Windows-oppdateringer utgitt på eller etter 8. november 2022 på Windows-servere som bruker rollen Domenekontroller, kan det hende du har problemer med Kerberos-godkjenning. Dette problemet kan påvirke kerberos-godkjenning i miljøet ditt. Noen scenarioer som kan bli påvirket:
Når dette problemet oppstår, kan det hende du får en feilhendelse i hendelses-ID 4 for Microsoft-Windows-Kerberos-Key-Distribution-Center i systemdelen av hendelsesloggen på domenekontrolleren med teksten nedenfor. Obs! Berørte hendelser vil inneholde strengen «den manglende nøkkelen har en ID på 1» :
Obs! Dette problemet er ikke en forventet del av sikkerhetsherdingen for Netlogon og Kerberos fra og med sikkerhetsoppdateringen for november 2022. Du må fortsatt følge veiledningen i disse artiklene selv etter at dette problemet er løst. Windows-enheter som brukes hjemme av forbrukere eller enheter som ikke er en del av et lokalt domene, påvirkes ikke av dette problemet. Azure Active Directory-miljøer som ikke er hybride og ikke har noen lokal Active Directory servere, påvirkes ikke. |
Dette problemet er løst i oppdateringen KB5021652. |
Når du har installert denne oppdateringen eller en senere oppdatering på en domenekontroller (DC), kan du oppleve en minnelekkasje med Local Security Authority Subsystem Service (LSASS,exe). Avhengig av arbeidsmengden til dc og hvor lang tid siden forrige omstart av serveren, kan LSASS kontinuerlig øke minnebruken med oppetiden på serveren, og serveren kan ikke svare eller starte på nytt automatisk. Obs! Oppdateringer utenfor gruppen for DCer utgitt 17. november 2022 og 18. november 2022 kan bli påvirket av dette problemet. |
Hvis du vil løse dette problemet, åpner du en ledetekst som administrator og bruker følgende kommando til å sette registernøkkelen KrbtgtFullPacSignature til 0:
Merk Når dette kjente problemet er løst, bør du angi en høyere innstilling for KrbtgtFullPacSignature , avhengig av hva miljøet tillater. Vi anbefaler at du aktiverer håndhevelsesmodus så snart miljøet er klart. Hvis du vil ha mer informasjon om denne registernøkkelen, kan du se KB5020805: Slik administrerer du Kerberos-protokollendringer relatert til CVE-2022-37967. Vi jobber med å finne en løsning, og vi kommer med en oppdatering i en kommende utgivelse. |
Når du har installert denne oppdateringen, kan det hende at apper som bruker ODBC-tilkoblinger via Microsoft ODBC SQL Server Driver (sqlsrv32.dll) for å få tilgang til databaser, ikke kan koble til. I tillegg kan det hende du får en feilmelding i appen, eller du kan få en feilmelding fra SQL Server. Feil du kan få, omfatter følgende meldinger:
Merknad for utviklere: Apper som påvirkes av dette problemet, kan mislykkes med å hente data, for eksempel når du bruker SQLFetch-funksjonen. Dette problemet kan oppstå når du kaller SQLBindCol-funksjonen før SQLFetch eller kaller SQLGetData-funksjonen etter SQLFetch, og når en verdi på 0 (null) er angitt for BufferLength-argumentet for faste datatyper som er større enn 4 byte (for eksempel SQL_C_FLOAT). Hvis du vil avgjøre om du bruker en berørt app, åpner du appen som kobler til en database. Åpne et ledetekstvindu, skriv inn følgende kommando, og trykk deretter ENTER:
Hvis kommandoen returnerer en oppgave, kan appen bli påvirket. |
Hvis du vil løse dette problemet, kan du gjøre ett av følgende:
Dette problemet ble løst i KB5022348. Hvis du har implementert den midlertidige løsningen ovenfor, anbefales det å fortsette å bruke konfigurasjonen i den midlertidige løsningen. |
Slik får du denne oppdateringen
Før du installerer denne oppdateringen
Vi anbefaler på det sterkeste at du installerer den nyeste servicestakkoppdateringen (SSU) for operativsystemet før du installerer den nyeste samleoppdateringen. SSU-er forbedrer påliteligheten til oppdateringsprosessen for å løse potensielle problemer under installasjon av samleoppdateringen og bruk av sikkerhetsreparasjoner fra Microsoft. Hvis du vil ha generell informasjon om SSUs, kan du se Service stack updates and Servicing Stack Oppdateringer (SSU): Vanlige spørsmål.
Hvis du bruker Windows Update, tilbys den nyeste SSU -en (KB5016263) deg automatisk. Hvis du vil ha den frittstående pakken for den nyeste SSU-en, kan du søke etter den i Microsoft Update-katalogen.
Språkpakker
Hvis du installerer en språkpakke etter at du har installert denne oppdateringen, må du installere denne oppdateringen på nytt. Derfor anbefaler vi at du installerer alle språkpakker du trenger før du installerer denne oppdateringen. Hvis du vil ha mer informasjon, kan du se Legge til språkpakker i Windows.
Installer denne oppdateringen
Utgivelseskanal |
Tilgjengelig |
Neste trinn |
Windows Update og Microsoft Update |
Ja |
Ingen. Oppdateringen blir lastet ned og installert fra Windows Update automatisk. |
Microsoft Update-katalog |
Ja |
Hvis du vil ha den frittstående pakken for denne oppdateringen, kan du gå til nettstedet for Microsoft Update-katalogen. |
Windows Server Update Services (WSUS) |
Ja |
Denne oppdateringen blir automatisk synkronisert med WSUS hvis du konfigurerer Produkter og klassifiseringer slik: Produkt: Windows Server 2012, Windows Embedded 8 Standard Klassifisering: Sikkerhetsoppdateringer |
Filinformasjon
Last ned filinformasjonen for oppdateringen KB5020009 for en liste over filene som er oppgitt i denne oppdateringen.
Referanser
Finn ut mer om standard terminologi som brukes til å beskrive Microsoft-programvareoppdateringer.