8 november 2022: KB5019964 (OS-build 14393.5501)

^11-10-22 BELANGRIJK Op 10 januari 2023 eindigt de openbare extensie voor het onderhoud van apparaten met de Intel Atom Clover Trail-processor. De beveiligingsupdate van 10 januari 2023 is de laatste update voor deze apparaten. Na die datum ontvangen ze geen maandelijkse beveiligings- en kwaliteitsupdates meer. Deze updates beschermen u tegen de nieuwste beveiligingsrisico's. Helaas voldoen deze apparaten niet aan de hardwarevereisten om te upgraden naar een nieuwere versie van Windows 10 of Windows 11. U wordt aangeraden een nieuw apparaat met Windows 11 te overwegen.

^19-11-20 Zie het artikel over de typen Windows-updates en de typen updates van maandelijkse kwaliteit voor informatie over de terminologie van Windows-updates. Zie de pagina met de updategeschiedenis voor een overzicht van Windows 10 versie 1607.

Hoofdpunten

Eind oktober 2022 stopt het begin van de zomertijd in Jordanië. De tijdzone Jordanië wordt permanent verplaatst naar de tijdzone UTC + 3.
Hiermee worden beveiligingsproblemen voor uw Windows-besturingssysteem opgelost.

Verbeteringen

Deze beveiligingsupdate bevat kwaliteitsverbeteringen. Wanneer u deze KB installeert:

Hiermee wordt een probleem opgelost dat van invloed is op DCOM-verificatiebeveiliging (Distributed Component Object Model). We verhogen automatisch het verificatieniveau voor alle niet-anonieme activeringsaanvragen van DCOM-clients naar RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Dit gebeurt als het verificatieniveau lager is dan pakketintegriteit.
Eind oktober 2022 stopt het begin van de zomertijd in Jordanië. De tijdzone Jordanië wordt permanent verplaatst naar de tijdzone UTC + 3.
Hiermee wordt een probleem opgelost dat van invloed is op de Microsoft Azure Active Directory (AAD) toepassingsproxy connector. Het kan geen Kerberos-ticket ophalen namens de gebruiker. Het foutbericht luidt: 'De opgegeven ingang is ongeldig (0x80090301).'
Hiermee wordt een probleem opgelost dat van invloed is op het proces voor het maken van forestvertrouwen. De dns-naamachtervoegsels (Domain Name System) kunnen niet worden toegevoegd aan de kenmerken van de vertrouwensinformatie. Dit gebeurt nadat u de updates van 11 januari 2022 of hoger hebt geïnstalleerd.
Hiermee wordt een probleem opgelost dat van invloed is op een domeincontroller (DC). De DC schrijft KDC-gebeurtenis 21 (Key Distribution Center) in het gebeurtenislogboek van het systeem. Dit treedt op wanneer de KDC een openbare sleutelcryptografie van Kerberos voor initiële verificatie (PKINIT) verwerkt met behulp van een zelfondertekend certificaat voor sleutelvertrouwensscenario's. Dit omvat Windows Hello voor Bedrijven en Apparaatverificatie.
Hiermee wordt een probleem opgelost dat van invloed is op de Microsoft Visual C++ Redistributable Runtime. Deze wordt niet geladen in de Local Security Authority Server Service (LSASS) wanneer u PPL (Protected Process Light) inschakelt.
Het behandelt beveiligingsproblemen in de Kerberos- en Netlogon-protocollen, zoals beschreven in CVE-2022-38023, CVE-2022-37966 en CVE-2022-37967. Zie het volgende voor implementatierichtlijnen:
- KB5020805: De kerberos-protocolwijzigingen beheren met betrekking tot CVE-2022-37967
- KB5021130: Netlogon Protocol-wijzigingen beheren met betrekking tot CVE-2022-38023
- KB5021131: De kerberos-protocolwijzigingen beheren met betrekking tot CVE-2022-37966

Als u eerdere updates hebt geïnstalleerd, worden alleen de nieuwe updates in dit pakket gedownload en geïnstalleerd op uw apparaat.

Raadpleeg voor meer informatie over beveiligingsproblemen de nieuwe website van de Handleiding voor beveiligingsupdates en de Updates van november 2022.

Bekende problemen in deze update

Symptoom	Tijdelijke oplossing
Nadat u updates hebt geïnstalleerd die zijn uitgebracht op 8 november 2022 of later op Windows-servers met de rol Domeincontroller, kunt u problemen ondervinden met Kerberos-verificatie. Dit probleem kan van invloed zijn op Kerberos-verificatie in uw omgeving. Enkele scenario's die kunnen worden beïnvloed: Het aanmelden van domeingebruikers kan mislukken. Dit kan ook van invloed zijn op Active Directory Federation Services (AD FS) verificatie. GMSA (Group Managed Service Accounts) die worden gebruikt voor services zoals Internet Information Services (IIS-webserver) kunnen mogelijk niet worden geverifieerd. Extern bureaublad-verbindingen die domeingebruikers gebruiken, kunnen mogelijk geen verbinding maken. Mogelijk hebt u geen toegang tot gedeelde mappen op werkstations en bestandsshares op servers. Afdrukken waarvoor domeingebruikersverificatie is vereist, kan mislukken. Wanneer dit probleem zich voordoet, ontvangt u mogelijk de fout Microsoft-Windows-Kerberos-Key-Distribution-Center id 14 in de sectie Systeem van het gebeurtenislogboek op uw domeincontroller met de onderstaande tekst. Opmerking: betrokken gebeurtenissen hebben 'de ontbrekende sleutel heeft een id van 1': `While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.` Opmerking Dit probleem is geen verwacht onderdeel van de beveiliging voor Netlogon en Kerberos vanaf de beveiligingsupdate van november 2022. U moet de richtlijnen in deze artikelen nog steeds volgen, zelfs nadat dit probleem is opgelost. Windows-apparaten die thuis worden gebruikt door consumenten of apparaten die geen deel uitmaken van een on-premises domein, worden niet beïnvloed door dit probleem. Azure Active Directory-omgevingen die niet hybride zijn en geen on-premises Active Directory-servers hebben, worden niet beïnvloed.	Dit probleem is opgelost in out-of-band-updates die zijn uitgebracht op 17 november 2022 voor installatie op alle domeincontrollers (DC's) in uw omgeving. U hoeft geen updates te installeren of wijzigingen aan te brengen in andere servers of clientapparaten in uw omgeving om dit probleem op te lossen. Als u een tijdelijke oplossing of oplossingen voor dit probleem hebt gebruikt, zijn deze niet meer nodig en wordt u aangeraden deze te verwijderen. Als u het zelfstandige pakket voor deze out-of-band-updates wilt ophalen, zoekt u het KB-nummer in de Microsoft Update-catalogus. U kunt deze updates handmatig importeren in Windows Server Update Services (WSUS) en Microsoft Endpoint Configuration Manager. Zie WSUS en de catalogussite voor WSUS-instructies. Zie Updates importeren uit de Microsoft Update Catalog voor instructies voor Configuration Manger. Opmerking De onderstaande updates zijn beschikbaar via Windows Update en worden niet automatisch geïnstalleerd. Cumulatieve updates: Windows Server 2022: KB5021656 Windows Server 2019: KB5021655 Windows Server 2016: KB5021654 Opmerking U hoeft geen eerdere update toe te passen voordat u deze cumulatieve updates installeert. Als u al updates hebt geïnstalleerd die zijn uitgebracht op 8 november 2022, hoeft u de betreffende updates niet te verwijderen voordat u latere updates installeert, inclusief de hierboven vermelde updates. Zelfstandige updates: Windows Server 2012 R2: KB5021653 Windows Server 2012: KB5021652 Windows Server 2008 R2 SP1: deze update is nog niet beschikbaar. Kom in de komende week hier terug voor meer informatie. Windows Server 2008 SP2: KB5021657 Opmerking Als u alleen beveiligingsupdates gebruikt voor deze versies van Windows Server, hoeft u deze zelfstandige updates alleen te installeren voor de maand november 2022. Alleen beveiligingsupdates zijn niet cumulatief en u moet ook alle vorige alleen beveiligingsupdates installeren om volledig up-to-date te zijn. Maandelijkse verzamelupdates zijn cumulatief en bevatten beveiligings- en kwaliteitsupdates. Als u maandelijkse updatepakketten gebruikt, moet u zowel de hierboven vermelde zelfstandige updates installeren om dit probleem op te lossen als de maandelijkse verzamelingen van 8 november 2022 installeren om de kwaliteitsupdates voor november 2022 te ontvangen. Als u al updates hebt geïnstalleerd die zijn uitgebracht op 8 november 2022, hoeft u de betreffende updates niet te verwijderen voordat u latere updates installeert, inclusief de hierboven vermelde updates.
Nadat u deze of latere updates op domeincontrollers (DC's) hebt geïnstalleerd, kan er een geheugenlek optreden met Subsysteemservice voor lokale beveiligingsautoriteit (LSASS.exe). Afhankelijk van de werkbelasting van uw DC's en de hoeveelheid tijd sinds de laatste keer dat de server opnieuw is opgestart, kan LSASS het geheugengebruik voortdurend verhogen met de up-time van uw server. De server reageert mogelijk niet meer of wordt automatisch opnieuw opgestart. Opmerking De out-of-band-updates voor DC's die zijn uitgebracht op 17 november 2022 en 18 november 2022, worden mogelijk beïnvloed door dit probleem.	Dit probleem is opgelost in KB5021235.
Na de installatie van deze update maken apps die gebruikmaken van ODBC-verbindingen via Microsoft ODBC SQL Server Driver (sqlsrv32.dll) mogelijk geen verbinding met databases. Mogelijk ontvangt u een fout in de app of ontvangt u mogelijk een fout van SQL Server, zoals 'Het EMS-systeem heeft een probleem aangetroffen' met 'Message: [Microsoft][ODBC SQL Server Driver] Protocolfout in TDS Stream' of 'Message: [Microsoft][ODBC SQL Server Driver]Onbekend token ontvangen van SQL Server'. Opmerking voor ontwikkelaars Apps die door dit probleem worden beïnvloed, kunnen mogelijk geen gegevens ophalen, bijvoorbeeld bij het gebruik van de functie SQLFetch. Dit probleem kan optreden bij het aanroepen van de functie SQLBindCol vóór SQLFetch of het aanroepen van de functie SQLGetData na SQLFetch en wanneer een waarde van 0 (nul) wordt gegeven voor het ‘BufferLength-argument’ voor vaste gegevenstypen die groter zijn dan 4 bytes (zoals SQL_C_FLOAT). Als u niet zeker weet of u betrokken apps gebruikt, opent u alle apps die gebruikmaken van een database, opent u vervolgens de opdrachtprompt (selecteer Start , typ dan de opdrachtprompt en selecteert u deze) en typt u de volgende opdracht: `tasklist /m sqlsrv32.dll`	Dit probleem is opgelost in KB5022289.

Symptoom

Tijdelijke oplossing

Nadat u updates hebt geïnstalleerd die zijn uitgebracht op 8 november 2022 of later op Windows-servers met de rol Domeincontroller, kunt u problemen ondervinden met Kerberos-verificatie. Dit probleem kan van invloed zijn op Kerberos-verificatie in uw omgeving. Enkele scenario's die kunnen worden beïnvloed:

Het aanmelden van domeingebruikers kan mislukken. Dit kan ook van invloed zijn op Active Directory Federation Services (AD FS) verificatie.
GMSA (Group Managed Service Accounts) die worden gebruikt voor services zoals Internet Information Services (IIS-webserver) kunnen mogelijk niet worden geverifieerd.
Extern bureaublad-verbindingen die domeingebruikers gebruiken, kunnen mogelijk geen verbinding maken.
Mogelijk hebt u geen toegang tot gedeelde mappen op werkstations en bestandsshares op servers.
Afdrukken waarvoor domeingebruikersverificatie is vereist, kan mislukken.

Wanneer dit probleem zich voordoet, ontvangt u mogelijk de fout Microsoft-Windows-Kerberos-Key-Distribution-Center id 14 in de sectie Systeem van het gebeurtenislogboek op uw domeincontroller met de onderstaande tekst. Opmerking: betrokken gebeurtenissen hebben 'de ontbrekende sleutel heeft een id van 1':

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

Opmerking Dit probleem is geen verwacht onderdeel van de beveiliging voor Netlogon en Kerberos vanaf de beveiligingsupdate van november 2022. U moet de richtlijnen in deze artikelen nog steeds volgen, zelfs nadat dit probleem is opgelost.

Windows-apparaten die thuis worden gebruikt door consumenten of apparaten die geen deel uitmaken van een on-premises domein, worden niet beïnvloed door dit probleem. Azure Active Directory-omgevingen die niet hybride zijn en geen on-premises Active Directory-servers hebben, worden niet beïnvloed.

Dit probleem is opgelost in out-of-band-updates die zijn uitgebracht op 17 november 2022 voor installatie op alle domeincontrollers (DC's) in uw omgeving. U hoeft geen updates te installeren of wijzigingen aan te brengen in andere servers of clientapparaten in uw omgeving om dit probleem op te lossen. Als u een tijdelijke oplossing of oplossingen voor dit probleem hebt gebruikt, zijn deze niet meer nodig en wordt u aangeraden deze te verwijderen.

Als u het zelfstandige pakket voor deze out-of-band-updates wilt ophalen, zoekt u het KB-nummer in de Microsoft Update-catalogus. U kunt deze updates handmatig importeren in Windows Server Update Services (WSUS) en Microsoft Endpoint Configuration Manager. Zie WSUS en de catalogussite voor WSUS-instructies. Zie Updates importeren uit de Microsoft Update Catalog voor instructies voor Configuration Manger.

Opmerking De onderstaande updates zijn beschikbaar via Windows Update en worden niet automatisch geïnstalleerd.

Cumulatieve updates:

Windows Server 2022: KB5021656
Windows Server 2019: KB5021655
Windows Server 2016: KB5021654

Opmerking U hoeft geen eerdere update toe te passen voordat u deze cumulatieve updates installeert. Als u al updates hebt geïnstalleerd die zijn uitgebracht op 8 november 2022, hoeft u de betreffende updates niet te verwijderen voordat u latere updates installeert, inclusief de hierboven vermelde updates.

Zelfstandige updates:

Windows Server 2012 R2: KB5021653
Windows Server 2012: KB5021652
Windows Server 2008 R2 SP1: deze update is nog niet beschikbaar. Kom in de komende week hier terug voor meer informatie.
Windows Server 2008 SP2: KB5021657

Opmerking Als u alleen beveiligingsupdates gebruikt voor deze versies van Windows Server, hoeft u deze zelfstandige updates alleen te installeren voor de maand november 2022. Alleen beveiligingsupdates zijn niet cumulatief en u moet ook alle vorige alleen beveiligingsupdates installeren om volledig up-to-date te zijn. Maandelijkse verzamelupdates zijn cumulatief en bevatten beveiligings- en kwaliteitsupdates. Als u maandelijkse updatepakketten gebruikt, moet u zowel de hierboven vermelde zelfstandige updates installeren om dit probleem op te lossen als de maandelijkse verzamelingen van 8 november 2022 installeren om de kwaliteitsupdates voor november 2022 te ontvangen. Als u al updates hebt geïnstalleerd die zijn uitgebracht op 8 november 2022, hoeft u de betreffende updates niet te verwijderen voordat u latere updates installeert, inclusief de hierboven vermelde updates.

Nadat u deze of latere updates op domeincontrollers (DC's) hebt geïnstalleerd, kan er een geheugenlek optreden met Subsysteemservice voor lokale beveiligingsautoriteit (LSASS.exe). Afhankelijk van de werkbelasting van uw DC's en de hoeveelheid tijd sinds de laatste keer dat de server opnieuw is opgestart, kan LSASS het geheugengebruik voortdurend verhogen met de up-time van uw server. De server reageert mogelijk niet meer of wordt automatisch opnieuw opgestart.

Opmerking De out-of-band-updates voor DC's die zijn uitgebracht op 17 november 2022 en 18 november 2022, worden mogelijk beïnvloed door dit probleem.

Dit probleem is opgelost in KB5021235.

Na de installatie van deze update maken apps die gebruikmaken van ODBC-verbindingen via Microsoft ODBC SQL Server Driver (sqlsrv32.dll) mogelijk geen verbinding met databases. Mogelijk ontvangt u een fout in de app of ontvangt u mogelijk een fout van SQL Server, zoals 'Het EMS-systeem heeft een probleem aangetroffen' met 'Message: [Microsoft][ODBC SQL Server Driver] Protocolfout in TDS Stream' of 'Message: [Microsoft][ODBC SQL Server Driver]Onbekend token ontvangen van SQL Server'.

Opmerking voor ontwikkelaars Apps die door dit probleem worden beïnvloed, kunnen mogelijk geen gegevens ophalen, bijvoorbeeld bij het gebruik van de functie SQLFetch. Dit probleem kan optreden bij het aanroepen van de functie SQLBindCol vóór SQLFetch of het aanroepen van de functie SQLGetData na SQLFetch en wanneer een waarde van 0 (nul) wordt gegeven voor het ‘BufferLength-argument’ voor vaste gegevenstypen die groter zijn dan 4 bytes (zoals SQL_C_FLOAT).

Als u niet zeker weet of u betrokken apps gebruikt, opent u alle apps die gebruikmaken van een database, opent u vervolgens de opdrachtprompt (selecteer Start , typ dan de opdrachtprompt en selecteert u deze) en typt u de volgende opdracht:

tasklist /m sqlsrv32.dll

Dit probleem is opgelost in KB5022289.

Hoe u deze update kunt downloaden

Vóór installatie van deze update

Microsoft adviseert dringend de meest recente onderhoudsstackupdate (SSU) voor het besturingssysteem te installeren voordat je de meest recente cumulatieve update (LCU) installeert. SSU's verbeteren de betrouwbaarheid van het updateproces om potentiële problemen te beperken tijdens het installeren van de LCU en het toepassen van Microsoft beveiligingsupdates. Zie Servicing stack updates and Servicing Stack Updates (SSU): Veelgestelde vragen voor algemene informatie over SSU's.

Als u Windows Update gebruikt, wordt de meest recente SSU (KB5017396) automatisch aan u aangeboden. Als u het zelfstandige pakket voor de meest recente SSU wilt downloaden, zoekt u het in de Microsoft Update-catalogus.

Deze update installeren

Uitgebracht via	Beschikbaar	Volgende stap
Windows Update en Microsoft Update	Ja	Geen. Deze update wordt automatisch gedownload en geïnstalleerd vanuit Windows Update.
Windows Update voor Bedrijven	Ja	Geen. Deze update wordt automatisch gedownload en geïnstalleerd vanaf Windows Update in overeenstemming met geconfigureerde beleidsregels.
Microsoft Update-catalogus	Ja	Als u het zelfstandige pakket voor deze update wilt downloaden, gaat u naar de website Microsoft Update-catalogus.
Windows Server Update Services (WSUS)	Ja	Deze update wordt automatisch als volgt gesynchroniseerd met WSUS als je Producten en categorieën configureert: Product: Windows 10 Categorie: Beveiligingsupdates

Bestandsinformatie

Download de bestandsinformatie voor cumulatieve update 5019964 voor een lijst van bestanden die deel uitmaken van deze update.

8 november 2022: KB5019964 (OS-build 14393.5501)

Hoofdpunten

Verbeteringen

Bekende problemen in deze update

Hoe u deze update kunt downloaden

Meer hulp nodig?

Meer opties?

Was deze informatie nuttig?

Hartelijk dank voor uw feedback.