8 ноября 2022 г. — KB5019964 (сборка ОС 14393.5501)
Applies To
Windows 10, version 1607, all editions Windows Server 2016, all editionsДата выпуска:
08.11.2022
Версия:
Сборка ОС 14393.5501
11.10.22
ВАЖНО 10 января 2023 г. будет завершено общедоступное расширение для устройств обслуживания с процессором Intel Atom Clover Trail. Обновление для системы безопасности от 10 января 2023 г. является последним обновлением для этих устройств. После этой даты они не будут получать ежемесячные обновления для системы безопасности и качества. Эти обновления защищают вас от последних угроз безопасности. К сожалению, эти устройства не соответствуют требованиям к оборудованию для обновления до более новой версии Windows 10 или Windows 11. Рекомендуется рассмотреть новое устройство с Windows 11.19.11.20 типах обновлений Windows и типах ежемесячных обновлений качества. Обзор Windows 10 версии 1607 см. на странице журнала обновлений.
Сведения о терминологии обновлений Windows см. в статье оКлючевые моменты
-
Он останавливает начало летнего времени в Иордании в конце октября 2022 года. Часовой пояс Иордании будет постоянно перемещаться в часовой пояс UTC +3.
-
Он устраняет проблемы безопасности операционной системы Windows.
Улучшения
Это обновление для системы безопасности направлено на улучшение качества работы ОС. При установке этого базы знаний:
-
Устранена проблема, которая влияет на усиление проверки подлинности DCOM. Мы автоматически повышаем уровень проверки подлинности для всех неанонимных запросов активации от клиентов DCOM до RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Это происходит, если уровень проверки подлинности ниже целостности пакетов.
-
Он останавливает начало летнего времени в Иордании в конце октября 2022 года. Часовой пояс Иордании будет постоянно перемещаться в часовой пояс UTC +3.
-
Устранена проблема, которая влияет на соединитель Application Proxy Microsoft Azure Active Directory (AAD). Не удается получить билет Kerberos от имени пользователя. Сообщение об ошибке: "Указан недопустимый дескриптор (0x80090301)".
-
В нем устранена проблема, которая влияет на процесс создания отношения доверия к лесу. Не удается добавить суффиксы имен системы доменных имен (DNS) в атрибуты сведений о доверии. Это происходит после установки обновлений от 11 января 2022 г. или более поздних версий.
-
Он устраняет проблему, которая влияет на контроллер домена (DC). Контроллер домена записывает событие 21 центра распространения ключей (KDC) в журнал событий системы. Это происходит, когда KDC успешно обрабатывает запрос на проверку подлинности с открытым ключом Kerberos для начальной проверки подлинности (PKINIT), используя самозаверяющий сертификат для сценариев доверия ключа. Сюда входят Windows Hello для бизнеса и проверка подлинности устройства.
-
Устранена проблема, которая влияет на Microsoft Visual C++ распространяемой среды выполнения. Он не загружается в службу сервера локального центра безопасности (LSASS) при включении защищенного света процесса (PPL).
-
Она устраняет уязвимости системы безопасности в протоколах Kerberos и Netlogon, как описано в документах CVE-2022-38023, CVE-2022-37966 и CVE-2022-37967. Инструкции по развертыванию см. в следующих статьях:
Если вы установили предыдущие обновления, на вашем устройстве будут загружены и установлены только новые обновления, содержащиеся в этом пакете.
Дополнительные сведения об уязвимостях системы безопасности см. на новом веб-сайте руководства по обновлению системы безопасности и Обновления безопасности за ноябрь 2022 г.
Известные проблемы, связанные с этим обновлением
Проблема |
Временное решение |
---|---|
После установки на серверах Windows Server с ролью контроллера домена обновлений, выпущенных 8 ноября 2022 г. или позднее, могут возникнуть проблемы с проверкой подлинности Kerberos. Эта проблема может повлиять на любую проверку подлинности Kerberos в вашей среде. Некоторые сценарии, которые могут быть затронуты:
При возникновении этой проблемы вы можете получить событие ошибки Microsoft-Windows-Kerberos-Key-Distribution-Center с идентификатором события 14 в разделе "Система" журнала событий в своем контроллере домена с приведенным ниже текстом. Примечание. Затронутые события будут содержать текст "отсутствующий ключ имеет идентификатор 1":
Примечание. Эта проблема не является ожидаемой частью усиления безопасности для Netlogon и Kerberos, начиная с обновления системы безопасности за ноябрь 2022 г. Вам по-прежнему потребуется следовать рекомендациям, приведенным в этих статьях, даже после устранения этой проблемы. Эта проблема не затрагивает устройства с Windows, используемые потребителями дома, или устройства, которые не относятся к локальному домену. Среды Azure Active Directory, которые не являются гибридными и не имеют локальных серверов Active Directory, не затрагиваются. |
Эта проблема устранена во внеплановых обновлениях, выпущенных 17 ноября 2022 г. для установки на всех контроллерах домена (DC) в вашей среде. Для устранения этой проблемы не требуется устанавливать обновления или вносить изменения на других серверах или клиентских устройствах в вашей среде. Если вы использовали какие-либо временные решения или способы устранения этой проблемы, они больше не нужны, и мы рекомендуем вам удалить их. Чтобы получить автономный пакет для этих внеплановых обновлений, найдите номер базы знаний в каталоге Центра обновления Майкрософт.. Вы можете вручную импортировать эти обновления в Windows Server Update Services (WSUS) и Microsoft Endpoint Configuration Manager. Инструкции для WSUS см. в статье Службы WSUS и сайт каталога. Инструкции для Configuration Manger см. в статье Импорт обновлений из каталога Центра обновления Майкрософт. Примечание. Следующие обновления недоступны из Центра обновления Windows и не устанавливаются автоматически. Накопительные обновления: Примечание. Перед установкой этих накопительных обновлений не нужно применять предыдущие обновления. Если вы уже установили обновления, выпущенные 8 ноября 2022 г., вам не нужно удалять затронутые обновления перед установкой любых более поздних обновлений, включая обновления, перечисленные выше. Автономные обновления:
Примечание. Если вы используете обновления только для системы безопасности для этих версий Windows Server, необходимо установить эти автономные обновления только за ноябрь 2022 г. Обновления только для системы безопасности не являются накопительными, и вам также потребуется установить все предыдущие обновления только для системы безопасности, чтобы обеспечить полную актуальность. Ежемесячные накопительные обновления включают в себя обновления системы безопасности и все исправления. Если вы используете ежемесячные накопительные обновления, вам потребуется установить автономные обновления, перечисленные выше, чтобы устранить эту проблему, а также ежемесячные накопительные пакеты, выпущенные 8 ноября 2022 г., чтобы получить исправления за ноябрь 2022 г. Если вы уже установили обновления, выпущенные 8 ноября 2022 г., вам не нужно удалять затронутые обновления перед установкой любых более поздних обновлений, включая обновления, перечисленные выше. |
После установки этих или более поздних обновлений на контроллерах домена может возникнуть утечка памяти в службе подсистемы локального центра безопасности (LSASS.exe). В зависимости от рабочей нагрузки контроллеров домена и времени, прошедшего с момента последнего перезапуска сервера, LSASS может постоянно увеличивать использование памяти с увеличением времени безотказной работы сервера. Сервер может перестать отвечать на запросы или автоматически перезапуститься. Примечание. Эта проблема может затронуть внеплановые обновления для контроллеров домена, выпущенные 17 ноября 2022 г. и 18 ноября 2022 г. |
Эта проблема устранена в KB5021235. |
После установки этого обновления приложения, использующие подключения ODBC с применением драйвера Microsoft ODBC SQL Server (sqlsrv32.dll) для доступа к базам данных, могут не подключаться. Может возникнуть ошибка в приложении или ошибка в SQL Server, например "В системе EMS возникла проблема" и "Сообщение: [Microsoft][Драйвер ODBC SQL Server] Ошибка протокола в TDS Stream" или "Сообщение:[Microsoft][Драйвер ODBC SQL Server]Неизвестный маркер получен от SQL Server". Примечание для разработчиков Приложения, затронутые этой проблемой, могут не получить данные, например при использовании функции SQLFetch. Эта проблема может возникать при вызове функции SQLBindCol перед SQLFetch или вызове функции SQLGetData после SQLFetch и при присвоении значения 0 (ноль) аргументу BufferLength для фиксированных типов данных размером больше 4 байт (например, SQL_C_FLOAT). Если вы не уверены, что используете какие-либо затронутые приложения, откройте все приложения, которые используют базу данных, а затем откройте командную строку (нажмите Пуск, введите командная строка и выберите ее) и введите следующую команду.
|
Эта проблема устранена в KB5022289. |
Порядок получения обновления
Перед установкой этого обновления
Корпорация Майкрософт настоятельно рекомендует перед установкой последнего накопительного пакета обновления (LCU) установить последнее обновление стека обслуживания (SSU) для используемой вами операционной системы. SSU повышают надежность процесса обновления, чтобы устранить потенциальные проблемы при установке LCU и применении Майкрософт обновлений для системы безопасности. Общие сведения о SSU см. в разделах Обновления стека обслуживания и Обновления стека обслуживания (SSU): часто задаваемые вопросы.
Если вы используете клиентский компонент Центра обновления Windows, последняя версия SSU (KB5017396) будет предложена вам автоматически. Чтобы получить автономный пакет для последней версии SSU, найдите его в каталоге обновлений Майкрософт.
Установка этого обновления
Канал выпуска |
Доступна |
Следующий шаг |
Центр обновления Windows и Центр обновления Майкрософт |
Да |
Нет. Это обновление будет скачано и установлено автоматически из Центра обновления Windows. |
Обновление Windows для бизнеса |
Да |
Нет. Это обновление будет автоматически загружено и установлено из клиентский компонент Центра обновления Windows в соответствии с настроенными политиками. |
Каталог Центра обновления Майкрософт |
Да |
Чтобы получить автономный пакет для этого обновления, перейдите на веб-сайт каталога обновлений Майкрософт. |
Службы Windows Server Update Services (WSUS) |
Да |
Это обновление будет автоматически синхронизироваться с WSUS, если вы настроите продукты и классификации следующим образом: Продукт: Windows 10 Классификация: обновления для системы безопасности |
Сведения о файлах
Чтобы получить список файлов, которые предоставляются в этом обновлении, скачайте сведения о файлах для накопительного обновления 5019964.