8 ноября 2022 г. — KB5020000 (ежемесячный накопительный пакет)
Applies To
Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESUДата выпуска:
08.11.2022
Версия:
Ежемесячный накопительный пакет обновления
ПРИМЕЧАНИЕ После 10 января 2023 г. корпорация Майкрософт больше не будет предоставлять обновления для системы безопасности или технической поддержки для Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1). Рекомендуется выполнить обновление до более поздней версии Windows.
Сводка
Узнайте больше об этом накопительных обновлениях для системы безопасности, в том числе об улучшениях, известных проблемах и способах установки обновления.
НАПОМИНАНИЕWindows 7, Windows Server 2008 R2, Windows Embedded Standard 7 и Windows Embedded POS Ready 7 достигли окончания основной поддержки и теперь поддерживают расширенное обновление безопасности (ESU). Windows Thin PC достигла окончания основной поддержки; однако поддержка ESU недоступна.
Начиная с июля 2020 г., для этой операционной системы больше не будут использоваться необязательные выпуски, не относящиеся к безопасности (известные как выпуски "C"). Операционные системы с расширенной поддержкой имеют только накопительные ежемесячные обновления для системы безопасности (известные как "B" или обновление во вторник).
Перед установкой этого обновления убедитесь, что вы установили необходимые обновления в разделе Как получить это обновление.
Клиенты, которые приобрели расширенное обновление безопасности (ESU) для локальных версий этой ОС, должны следовать процедурам, описанным в статье KB4522133, чтобы продолжить получать обновления для системы безопасности после окончания расширенной поддержки 14 января 2020 г. Дополнительные сведения об ESU и поддерживаемых выпусках см. в статье KB4497181.
Так как ESU доступен в виде отдельного номера SKU для каждого из лет, в течение которых они предлагаются (2020, 2021 и 2022) и поскольку ESU можно приобрести только в определенные 12-месячные периоды, необходимо приобрести третий год покрытия ESU отдельно и активировать новый ключ на каждом применимом устройстве, чтобы устройства продолжали получать обновления безопасности в 2022 году.
Если ваша организация не приобрела третий год покрытия ESU, необходимо приобрести ESU year 1, Year 2 и Year 3 ESU для применимых устройств Windows 7 с пакетом обновления 1 (SP1) или Windows Server 2008 R2 с пакетом обновления 1 (SP1), прежде чем устанавливать и активировать ключи MAK года 3 для получения обновлений. Шаги по установке, активации и развертыванию EKU одинаковы для первого, второго и третьего года охвата. Дополнительные сведения см. в разделах Получение Обновления расширенной безопасности для устройств Windows, подходящих для процесса корпоративного лицензирования, и Приобретение ESU Windows 7 в качестве поставщика облачных решений для процесса CSP. Для внедренных устройств обратитесь к изготовителю исходного оборудования (OEM).
Дополнительные сведения см. в блоге ESU.
Примечание Сведения о различных типах обновлений Windows, таких как критические обновления, системы безопасности, драйверы, пакеты обновления и т. д., см. в следующей статье. Чтобы просмотреть другие заметки и сообщения для Windows 7 и Windows Server 2008 R2, см. следующую домашнюю страницу журнала обновлений.
Улучшения
Это накопительное обновление для системы безопасности содержит улучшения, которые входят в состав обновления KB5017361 (выпущенного 11 октября 2022 г.) и включает в себя основные изменения для следующих компонентов:
-
Устранена проблема усиления проверки подлинности распределенной объектной модели компонентов (DCOM), которая автоматически повышает уровень проверки подлинности для всех неанонимных запросов активации от клиентов DCOM. Это произойдет, если уровень проверки подлинности меньше RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.
-
Обновления летнее время (DST) для Иордании, чтобы предотвратить перемещение часов назад на 1 час 28 октября 2022 года. Кроме того, изменит отображаемое имя стандартного времени Иордании с "(UTC+02:00) Амман" на "(UTC+03:00) Амман".
-
Устранена проблема, из-за которой соединитель Microsoft Azure Active Directory (AAD) Application Proxy не может получить билет Kerberos от имени пользователя из-за следующей общей ошибки API: "Указанный дескриптор недопустим (0x80090301)".
-
Устранена проблема, из-за которой после установки обновления от 11 января 2022 г. или более поздней версии процесс создания доверия леса не может заполнить суффиксы DNS-имени в атрибуты сведений о доверии.
-
Устранены уязвимости системы безопасности в протоколах Kerberos и Netlogon, как описано в документах CVE-2022-38023, CVE-2022-37966 и CVE-2022-37967. Инструкции по развертыванию см. в следующих статьях:
-
KB5020805: управление изменениями протокола Kerberos, связанными с CVE-2022-37967
-
KB5021130: управление изменениями протокола Netlogon, связанными с CVE-2022-38023
-
KB5021131: управление изменениями протокола Kerberos, связанными с CVE-2022-37966
Дополнительные сведения об устраненных уязвимостях системы безопасности см. в разделе Развертывания | Руководство по обновлению системы безопасности и Обновления безопасности за ноябрь 2022 г.
-
Известные проблемы, связанные с этим обновлением
Проблема |
Следующий шаг |
После установки этого обновления и перезапуска устройства может появиться сообщение об ошибке "Сбой настройки обновлений Windows. Отмена изменений. Не выключайте компьютер" и в журнале обновлений может появиться сообщение "Сбой". |
Такое может произойти в следующих случаях.
Если вы приобрели ключ ESU и столкнулись с этой проблемой, убедитесь, что вы применили все необходимые компоненты и что ваш ключ активирован. Сведения об активации см. в этой записи блога. Сведения о предварительных требованиях см. в разделе Как получить это обновление этой статьи. |
После установки этого или более позднего обновления Windows операции присоединения к домену могут завершиться неудачей и возникнет ошибка "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Кроме того, текст : "Учетная запись с таким же именем существует в Active Directory. Может отображаться повторное использование учетной записи, заблокированной политикой безопасности. Затронутые сценарии включают некоторые операции присоединения к домену или повторного создания образа, когда учетная запись компьютера была создана или предварительно подготовлена удостоверением, отличным от удостоверения, используемого для присоединения компьютера к домену или повторного присоединения к нему. Дополнительные сведения об этой проблеме см. в статье KB5020276 — Netjoin: изменения защиты присоединения к домену. Примечание В выпусках Windows consumer Desktop эта проблема вряд ли будет возникать. |
Инструкции по этой проблеме см. в статье KB5020276 . |
После установки обновлений Windows, выпущенных 8 ноября 2022 г. или позже на серверах Windows, использующих роль контроллера домена, могут возникнуть проблемы с проверкой подлинности Kerberos. Эта проблема может повлиять на любую проверку подлинности Kerberos в вашей среде. Некоторые сценарии, которые могут быть затронуты:
При возникновении этой проблемы вы можете получить событие ошибки Microsoft-Windows-Kerberos-Key-Distribution-Center с идентификатором 4 в разделе Система журнала событий на контроллере домена с приведенным ниже текстом. Примечание Затронутые события будут содержать строку "отсутствующий ключ имеет идентификатор 1":
Примечание Эта проблема не является ожидаемой частью усиления безопасности для Netlogon и Kerberos, начиная с обновления системы безопасности за ноябрь 2022 г. Вам по-прежнему придется следовать рекомендациям, приведенным в этих статьях, даже после устранения этой проблемы. Эта проблема не затрагивает устройства Windows, используемые дома потребителями или устройствами, не входящими в локальный домен. Среды Azure Active Directory, которые не являются гибридными и не имеют локальная служба Active Directory серверов, не затрагиваются. |
Эта проблема устранена в обновлении KB5021651. |
После установки этого или более позднего обновления на контроллере домена может возникнуть утечка памяти в службе подсистемы локального центра безопасности (LSASS,exe). В зависимости от рабочей нагрузки контроллера домена и времени, прошедшего с момента последней перезагрузки сервера, LSASS может постоянно увеличивать использование памяти с временем работы сервера, а сервер может перестать отвечать на запросы или автоматически перезапускаться. Примечание Эта проблема может повлиять на обновления для контроллеров домена, выпущенные 17 ноября 2022 г. и 18 ноября 2022 г. |
Чтобы устранить эту проблему, откройте командную строку от имени администратора и используйте следующую команду, чтобы задать для раздела реестра KrbtgtFullPacSignatureзначение 0:
Примечание После устранения этой известной проблемы следует задать для KrbtgtFullPacSignature более высокий параметр в зависимости от того, что позволит ваша среда. Рекомендуется включить режим принудительного применения, как только среда будет готова. Дополнительные сведения об этом разделе реестра см. в статье KB5020805: Управление изменениями протокола Kerberos, связанными с CVE-2022-37967. Мы работаем над решением этой проблемы и предоставим обновление в ближайшем выпуске. |
После установки этого обновления приложения, использующие подключения ODBC через Microsoft ODBC SQL Server Driver (sqlsrv32.dll), могут не подключаться к базам данных. Кроме того, в приложении может появиться сообщение об ошибке или сообщение об ошибке от SQL Server. Вы можете получить следующие сообщения об ошибках:
Примечание для разработчиков: Приложения, затронутые этой проблемой, могут не получить данные, например при использовании функции SQLFetch. Эта проблема может возникнуть при вызове функции SQLBindCol перед SQLFetch или вызове функции SQLGetData после SQLFetch и при присвоении значения 0 (ноль) для аргумента BufferLength для фиксированных типов данных размером более 4 байт (например, SQL_C_FLOAT). Чтобы решить, используете ли вы затронутое приложение, откройте приложение, которое подключается к базе данных. Откройте окно командной строки, введите следующую команду и нажмите клавишу ВВОД:
Если команда возвращает задачу, это может повлиять на приложение. |
Чтобы устранить эту проблему, можно выполнить одно из следующих действий:
Эта проблема устранена в обновлении KB5022338. Если вы реализовали описанный выше обходной путь, рекомендуется продолжить использование конфигурации в обходном пути. |
Порядок получения обновления
Перед установкой этого обновления
ВАЖНО Клиенты, которые приобрели расширенное обновление безопасности (ESU) для локальных версий этих операционных систем, должны следовать процедурам, описанным в статье KB4522133, чтобы продолжить получать обновления для системы безопасности. Расширенная поддержка прекращена следующим образом:
-
Для Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1) расширенная поддержка прекращена 14 января 2020 г.
-
Расширенная поддержка Windows Embedded Standard 7 прекращена 13 октября 2020 г.
-
Расширенная поддержка windows Embedded POS Ready 7 прекращена 12 октября 2021 г.
-
Для Windows Thin PC расширенная поддержка прекращена 12 октября 2021 г. Обратите внимание, что поддержка ESU недоступна для тонких компьютеров Windows.
Дополнительные сведения об ESU и поддерживаемых выпусках см. в статье KB4497181.
Примечание Для Windows Embedded Standard 7 необходимо включить инструментарий управления Windows (WMI), чтобы получать обновления из клиентский компонент Центра обновления Windows или Windows Server Update Services.
Языковые пакеты
Если языковой пакет устанавливается после установки этого обновления, необходимо переустановить это обновление. Поэтому перед установкой этого обновления рекомендуется установить все необходимые языковые пакеты. Дополнительные сведения см. в статье Добавление языковых пакетов в Windows.
Условием
Вам необходимо установить перечисленные ниже обновления и перезапустить устройство перед установкой последнего накопительного пакета обновлений. Установка этих обновлений повышает надежность процесса обновления для устранения возможных проблем при установке накопительного пакета обновления и применении исправлений системы безопасности Майкрософт.
-
Обновление стека обслуживания (SSU) от 12 марта 2019 г. (KB4490628). Чтобы получить автономный пакет для этого SSU, найдите его в каталоге Центра обновления Майкрософт. Это обновление необходимо для установки обновлений, которые подписаны только с помощью SHA-2.
-
Последнее обновление SHA-2 (KB4474419), выпущенное 10 сентября 2019 г. Если вы используете Центр обновления Windows, последнее обновление для SHA-2 будет предложено вам автоматически. Это обновление необходимо для установки обновлений, которые подписаны только с помощью SHA-2. Дополнительные сведения об обновлениях SHA-2 см. в статье Требования к поддержке подписывания кода SHA-2 для Windows и WSUS за 2019 год.
-
Чтобы получить это обновление для системы безопасности, необходимо переустановить пакет подготовки лицензирования для расширенной безопасности Обновления (ESU) (KB4538483) или обновление пакета подготовки лицензирования Обновления расширенной безопасности (ESU) (KB4575903), даже если вы ранее установили ключ ESU. Пакет подготовки к лицензированию ESU будет предложен вам от WSUS. Чтобы получить автономный пакет для подготовки к лицензированию ESU, найдите его в каталоге Центра обновления Майкрософт.
После установки указанных выше элементов настоятельно рекомендуется установить последнюю версию SSU (KB5017397). Если вы используете Центр обновления Windows, последний SSU будет предлагаться вам автоматически, если вы являетесь клиентом ESU. Чтобы получить автономный пакет для последней версии SSU, найдите его в каталоге Центра обновления Майкрософт. Общие сведения о SSU см. в разделах Обновления стека обслуживания и Обновления стека обслуживания (SSU): часто задаваемые вопросы.
Установка этого обновления
Канал выпуска |
Доступна |
Следующий шаг |
Центр обновления Windows и Центр обновления Майкрософт |
Да |
Нет. Это обновление будет автоматически скачано и установлено из Центра обновления Windows, если вы применяете ESU. |
Каталог Центра обновления Майкрософт |
Да |
Чтобы получить автономный пакет для этого обновления, перейдите на веб-сайт каталога Центра обновления Майкрософт. |
Службы Windows Server Update Services (WSUS) |
Да |
Это обновление будет автоматически синхронизироваться с WSUS, если вы настроите продукты и классификации следующим образом: Продукт: Windows 7 с пакетом обновления 1 (SP1), Windows Server 2008 R2 с пакетом обновления 1 (SP1), Windows Embedded Standard 7 с пакетом обновления 1 (SP1), Windows Embedded POSReady 7 Классификация: обновления для системы безопасности |
Сведения о файлах
Чтобы получить список файлов, которые предоставляются в этом обновлении, скачайте сведения о файлах обновления KB5020000.
Ссылки
Сведения о стандартной терминологии, используемой для описания обновлений программного обеспечения Майкрософт.