8 listopada 2022 r. — KB5020005 (tylko aktualizacja zabezpieczeń)
Applies To
Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESUData wydania:
08.11.2022
Wersja:
Tylko aktualizacja zabezpieczeń
Podsumowanie
Dowiedz się więcej o tej aktualizacji samych zabezpieczeń, w tym o udoskonaleniach, znanych problemach oraz o tym, jak ją uzyskać.
PRZYPOMNIENIESystem Windows Server 2008 z dodatkiem Service Pack 2 (SP2) osiągnął koniec wsparcia podstawowego i jest teraz w fazie wsparcia dodatkowego. Począwszy od lipca 2020 r. nie będą już dostępne opcjonalne wersje niezwiązane z zabezpieczeniami (nazywane wersjami "C") dla tego systemu operacyjnego. Systemy operacyjne w ramach wsparcia dodatkowego mają tylko skumulowane comiesięczne aktualizacje zabezpieczeń (znane jako "B" lub aktualizacja wtorek).
Przed zainstalowaniem tej aktualizacji sprawdź, czy zostały zainstalowane wymagane aktualizacje w sekcji Jak uzyskać tę aktualizację.
Klienci, którzy zakupili dodatkową aktualizację zabezpieczeń (ESU) dla lokalnych wersji tego systemu operacyjnego, muszą wykonać procedury opisane w aktualizacji KB4522133, aby nadal otrzymywać aktualizacje zabezpieczeń po zakończeniu wsparcia dodatkowego 14 stycznia 2020 r. Aby uzyskać więcej informacji o aktualizacji ESU i obsługiwanych wersjach, zobacz KB4497181.
Ponieważ aktualizacja ESU jest dostępna jako oddzielna jednostka SKU dla każdego z lat, w których są oferowane (2020, 2021 i 2022) — a ponieważ ESU można kupić tylko w określonych okresach 12 miesięcy — musisz osobno kupić trzeci rok ochrony ESU i aktywować nowy klucz na każdym odpowiednim urządzeniu, aby twoje urządzenia nadal otrzymywały aktualizacje zabezpieczeń w 2022 r.
Jeśli Twoja organizacja nie zakupiła trzeciego roku ochrony ESU, musisz zakupić aktualizacje ESU Rok 1, Rok 2 i Rok 3 dla odpowiednich urządzeń z systemem Windows Server 2008 z dodatkiem SP2, zanim zainstalujesz i aktywujesz klucze KLUCZE MAK roku 3, aby otrzymywać aktualizacje. Kroki instalowania, aktywowania i wdrażania aktualizacji ESU są takie same w przypadku okresu pierwszego, drugiego i trzeciego roku. Aby uzyskać więcej informacji, zobacz Uzyskiwanie dodatkowych Aktualizacje zabezpieczeń dla kwalifikujących się urządzeń z systemem Windows w ramach procesu licencjonowania zbiorowego i Kupowanie aktualizacji ESU systemu Windows 7 jako dostawcy rozwiązań w chmurze dla procesu CSP. W przypadku urządzeń osadzonych skontaktuj się z producentem oryginalnego sprzętu (OEM).
Aby uzyskać więcej informacji, zobacz blog poświęcony ESU.
Uwaga Aby uzyskać informacje o różnych typach aktualizacji systemu Windows, takich jak krytyczne, zabezpieczeń, sterowników, dodatków Service Pack itd., zobacz następujący artykuł. Aby wyświetlić inne notatki i wiadomości dotyczące systemu Windows Server 2008 z systemem SP2, zobacz następującą stronę główną historii aktualizacji.
Ulepszenia
Ta aktualizacja samych zabezpieczeń zawiera kluczowe zmiany dotyczące następujących elementów:
-
Aktualizacje czasu letniego w Jordanii, aby 28 października 2022 r. 28 października 2022 r. nie cofnąć zegara o 1 godzinę. Ponadto zmienia nazwę wyświetlaną czasu standardowego Jordanii z "(UTC+02:00) Amman" na "(UTC+03:00) Amman".
-
Rozwiązuje problem polegający na tym, że po zainstalowaniu aktualizacji z 11 stycznia 2022 r. lub nowszej proces tworzenia zaufania lasu nie wypełnia sufiksów nazw DNS atrybutami informacji o zaufaniu.
-
Usuwa luki w zabezpieczeniach protokołów Kerberos i Netlogon opisane w cve-2022-38023, CVE-2022-37966 i CVE-2022-37967. Aby uzyskać wskazówki dotyczące wdrażania, zobacz następujące artykuły:
-
KB5020805: Jak zarządzać zmianami protokołu Kerberos dotyczącymi CVE-2022-37967
-
KB5021130: Jak zarządzać zmianami protokołu Netlogon dotyczącymi CVE-2022-38023
-
KB5021131: Jak zarządzać zmianami protokołu Kerberos dotyczącymi CVE-2022-37966
Aby uzyskać więcej informacji o usuniętych lukach zabezpieczeń, zobacz Wdrożenia | Przewodnik aktualizacji zabezpieczeń i Aktualizacje zabezpieczeń z listopada 2022 r.
-
Aby uzyskać więcej informacji o usuniętych lukach zabezpieczeń, zobacz Wdrożenia | Przewodnik aktualizacji zabezpieczeń i Aktualizacje zabezpieczeń z listopada 2022 r.
Znane problemy z tą aktualizacją
Objawy |
Następny krok |
Po zainstalowaniu tej aktualizacji i ponownym uruchomieniu urządzenia może zostać wyświetlony komunikat o błędzie „Niepowodzenie konfigurowania aktualizacji systemu Windows. Wycofywanie zmian. Nie wyłączaj komputera”. Aktualizacja może być wyświetlana jako Niepowodzenie w obszarze Historia aktualizacji. |
Jest to oczekiwane w następujących przypadkach:
Jeśli zakupiono klucz ESU i napotkano ten problem, upewnij się, że zastosowano wszystkie wymagania wstępne i że klucz został aktywowany. Aby uzyskać informacje na temat aktywacji, zobacz ten wpis w blogu. Aby uzyskać informacje na temat wymagań wstępnych, zobacz sekcję „Jak uzyskać tę aktualizację” tego artykułu. |
Po zainstalowaniu tej lub nowszej aktualizacji systemu Windows operacje dołączania do domeny mogą zakończyć się niepowodzeniem i może wystąpić błąd "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Ponadto w usłudze Active Directory istnieje tekst informujący o tym, że w usłudze Active Directory istnieje konto o tej samej nazwie. Ponowne użycie konta zostało zablokowane przez zasady zabezpieczeń" może zostać wyświetlone. Scenariusze, których dotyczy problem, obejmują niektóre operacje przyłączania do domeny lub ponownego obrazowania, w których konto komputera zostało utworzone lub wstępnie wystawione przy użyciu innej tożsamości niż tożsamość użyta do dołączenia do domeny lub ponownego dołączenia do komputera. Aby uzyskać więcej informacji na temat tego problemu, zobacz KB5020276 — Netjoin: zmiany zaostrzające sprzężenia domeny. Uwaga Ten problem prawdopodobnie nie wystąpi w przypadku wersji konsumenckich systemu Windows. |
Aby uzyskać wskazówki dotyczące tego problemu , zobacz KB5020276 . |
Po zainstalowaniu aktualizacji systemu Windows wydanych 8 listopada 2022 r. w systemie Windows Server, które używają roli kontrolera domeny, mogą występować problemy z uwierzytelnianiem Kerberos. Ten problem może mieć wpływ na uwierzytelnianie Kerberos w twoim środowisku. Niektóre scenariusze, których może to dotyczyć:
W przypadku wystąpienia tego problemu może zostać wyświetlone zdarzenie o identyfikatorze 4 zdarzenia Microsoft-Windows-Kerberos-Key-Distribution-Center w sekcji System dziennika zdarzeń na kontrolerze domeny z poniższym tekstem. Uwaga Zdarzenia, których dotyczy problem, będą zawierać ciąg "brakujący klucz ma identyfikator 1":
Uwaga Ten problem nie jest oczekiwanym elementem zaostrzenia zabezpieczeń dla programów Netlogon i Kerberos począwszy od aktualizacji zabezpieczeń z listopada 2022 r. Nadal będziesz musiał postępować zgodnie ze wskazówkami zawartymi w tych artykułach, nawet po rozwiązaniu tego problemu. Ten problem nie dotyczy urządzeń z systemem Windows używanych w domu przez klientów lub urządzenia, które nie należą do domeny lokalnej. Środowiska usługi Azure Active Directory, które nie są hybrydowe i nie mają lokalna usługa Active Directory serwerów, nie mają wpływu. |
Ten problem został rozwiązany w aktualizacji KB5021657. |
Po zainstalowaniu tej aktualizacji lub nowszej aktualizacji na kontrolerze domeny (DC) może wystąpić przeciek pamięci w usłudze podsystemu urzędu zabezpieczeń lokalnych (LSASS,exe). W zależności od obciążenia pracą kontrolera domeny i czasu od ostatniego ponownego uruchomienia serwera usługa LSASS może stale zwiększać zużycie pamięci wraz z upływem czasu działania serwera, a serwer może przestać odpowiadać lub automatycznie ponownie uruchomić się. Uwaga Ten problem może dotyczyć aktualizacji pozapasmowych dla komputerów DCs wydanych 17 listopada 2022 r. i 18 listopada 2022 r. |
Aby ograniczyć ten problem, otwórz wiersz polecenia jako administrator i użyj następującego polecenia, aby ustawić klucz rejestru KrbtgtFullPacSignature na 0:
Uwaga Po rozwiązaniu tego znanego problemu należy ustawić dla opcji KrbtgtFullPacSignature wyższe ustawienie, w zależności od tego, na co zezwoli środowisko. Zalecamy włączenie trybu wymuszania zaraz po przygotowaniu środowiska. Aby uzyskać więcej informacji na temat tego klucza rejestru, zobacz KB5020805: Jak zarządzać zmianami protokołu Kerberos dotyczącymi CVE-2022-37967. Pracujemy nad rozwiązaniem tego problemu i udostępnimy aktualizację w najbliższej wersji. |
Po zainstalowaniu tej aktualizacji aplikacje korzystające z połączeń ODBC za pośrednictwem SQL Server Sterownik firmy Microsoft (sqlsrv32.dll) do uzyskiwania dostępu do baz danych mogą nie łączyć się. Ponadto może zostać wyświetlony komunikat o błędzie w aplikacji lub może zostać wyświetlony komunikat o błędzie z SQL Server. Błędy, które mogą zostać wyświetlone, obejmują następujące komunikaty:
Uwaga dla deweloperów: Aplikacje, których dotyczy ten problem, mogą nie pobierać danych, na przykład podczas korzystania z funkcji SQLFetch. Ten problem może wystąpić podczas wywoływania funkcji SQLBindCol przed sqlfetch lub wywoływania funkcji SQLGetData po instrukcji SQLFetch i po podaniu wartości 0 (zero) dla argumentu "BufferLength" dla stałych typów danych większych niż 4 bajty (na przykład SQL_C_FLOAT). Aby zdecydować, czy korzystasz z aplikacji, której dotyczy problem, otwórz aplikację, która łączy się z bazą danych. Otwórz okno Wiersz polecenia, wpisz następujące polecenie, a następnie naciśnij klawisz Enter:
Jeśli polecenie zwróci zadanie, może to wpłynąć na aplikację. |
Aby ograniczyć ten problem, możesz wykonać jedną z następujących czynności:
Ten problem został rozwiązany w aktualizacji KB5022353. Jeśli zostało zaimplementowane powyższe obejście, zaleca się kontynuowanie korzystania z konfiguracji w obejście. |
Jak uzyskać tę aktualizację
Przed zainstalowaniem tej aktualizacji
WAŻNE Klienci, którzy kupili dodatkowe aktualizacje zabezpieczeń (ESU) dla lokalnych wersji tego systemu operacyjnego, muszą wykonać procedury opisane w aktualizacji KB4522133, aby nadal otrzymywać aktualizacje zabezpieczeń, ponieważ wsparcie dodatkowe zakończyło się 14 stycznia 2020 r.
Aby uzyskać więcej informacji na temat aktualizacji ESU i obsługiwanych wersji, zobacz KB4497181.
Pakiety językowe
Jeśli po zainstalowaniu tej aktualizacji zainstalujesz pakiet językowy, musisz ponownie zainstalować tę aktualizację. Dlatego zalecamy zainstalowanie pakietów językowych, które są potrzebne przed zainstalowaniem tej aktualizacji. Aby uzyskać więcej informacji, zobacz Dodawanie pakietów językowych do systemu Windows.
Warunkiem wstępnym
Konieczne jest zainstalowanie aktualizacji wymienionych poniżej i ponowne uruchomienie urządzenia przed zainstalowaniem najnowszego pakietu zbiorczego. Zainstalowanie tych aktualizacji poprawia skuteczność procesu aktualizacji i ogranicza potencjalne problemy podczas instalowania pakietu zbiorczego i stosowania poprawek dotyczących zabezpieczeń Microsoft.
-
Aktualizacja stosu obsługi (SSU) z 9 kwietnia 2019 r. (KB4493730). Aby uzyskać autonomiczny pakiet tej aktualizacji SSU, wyszukaj go w wykazie usługi Microsoft Update. Ta aktualizacja jest wymagana, aby móc zainstalować aktualizacje, które są podpisane wyłącznie mechanizmem SHA-2.
-
Najnowsza aktualizacja sha-2 (KB4474419) wydana 8 października 2019 r. Jeśli używasz usługi Windows Update, najnowsza aktualizacja mechanizmu SHA-2 zostanie zaproponowana automatycznie. Ta aktualizacja jest wymagana, aby móc zainstalować aktualizacje, które są podpisane wyłącznie mechanizmem SHA-2. Aby uzyskać więcej informacji na temat aktualizacji SHA-2, zobacz Wymaganie obsługi podpisywania kodu SHA-2 2019 dla systemu Windows i programu WSUS.
-
Pakiet przygotowania licencji dodatkowych Aktualizacje zabezpieczeń (ESU) (KB4538484) lub aktualizacja pakietu przygotowania licencji dodatkowych Aktualizacje zabezpieczeń (ESU) (KB4575904). Pakiet przygotowania licencji dodatkowych aktualizacji zabezpieczeń (ESU) nie będzie proponowany z poziomu programu WSUS. Aby uzyskać autonomiczny pakiet pakietu przygotowania licencji ESU, wyszukaj go w wykazie usługi Microsoft Update.
Po zainstalowaniu powyższych elementów zdecydowanie zalecamy zainstalowanie najnowszej aktualizacji SSU (KB5016129). Jeśli używasz usługi Windows Update, najnowsza aktualizacja SSU zostanie zaproponowana automatycznie, o ile jesteś klientem ESU. Aby pobrać pakiet autonomiczny dla najnowszej aktualizacji SSU, wyszukaj go w wykazie usługi Microsoft Update. Aby uzyskać ogólne informacje na temat SSU, zobacz Aktualizacje stosu obsługi (SSU) i Stos obsługi Aktualizacje (SSU): często zadawane pytania.
PRZYPOMNIENIE Jeśli używasz tylko aktualizacji zabezpieczeń, musisz również zainstalować wszystkie poprzednie aktualizacje samych zabezpieczeń i najnowszą aktualizację zbiorczą dla programu Internet Explorer (KB5019958).
Zainstaluj tę aktualizację
Kanał wersji |
Dostępne |
Następny krok |
Usługa Windows Update i Microsoft Update |
Nie |
Poniżej przedstawiono inne opcje. |
Wykaz usługi Microsoft Update |
Tak |
Aby uzyskać autonomiczny pakiet tej aktualizacji, przejdź do witryny internetowej Wykaz usługi Microsoft Update. |
Program Windows Server Update Services (WSUS) |
Tak |
Ta aktualizacja zostanie automatycznie zsynchronizowana z programem WSUS w przypadku skonfigurowania produktów i klasyfikacji następująco: Produkt: Windows Server 2008 z dodatkiem Service Pack 2 Klasyfikacja: Aktualizacje zabezpieczeń |
Informacje o plikach
Aby poznać listę plików zawartych w tej aktualizacji, pobierz informacje o plikach dla aktualizacji zbiorczej KB5020005.
Informacje pomocnicze
Dowiedz się więcej o standardowej terminologii używanej do opisywania aktualizacji oprogramowania firmy Microsoft.