8. novembra 2022 – KB5020013 (aktualizácia iba zabezpečenia)
Applies To
Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESUDátum vydania:
8. 11. 2022
Verzia:
Iba aktualizácia zabezpečenia
POZNÁMKA Po 10. januári 2023 už spoločnosť Microsoft nebude poskytovať aktualizácie zabezpečenia ani technickú podporu pre Windows 7 SP1 a Windows Server 2008 R2 SP1. Odporúčame inovovať na novšiu verziu Windowsu.
Zhrnutie
Získajte ďalšie informácie o tejto aktualizácii zabezpečenia vrátane vylepšení, všetkých známych problémov a spôsobu získania aktualizácie.
PRIPOMENUTIE Windows 7, Windows Server 2008 R2, Windows Embedded Standard 7 a Windows Embedded POS Ready 7 dosiahli koniec bežnej podpory a teraz sú v rozšírenej podpore aktualizácie zabezpečenia (ESU). Windows Thin PC dosiahol koniec bežnej podpory; Podpora ESU však nie je k dispozícii.
Od júla 2020 už nebudú pre tento operačný systém k dispozícii voliteľné vydania bez zabezpečenia (známe ako vydania C). Operačné systémy s rozšírenou podporou majú len kumulatívne mesačné aktualizácie zabezpečenia (známe ako "B" alebo Update Tuesday release).
Pred inštaláciou tejto aktualizácie skontrolujte, či ste nainštalovali požadované aktualizácie v časti Ako získať túto aktualizáciu.
Zákazníci, ktorí si zakúpili rozšírenú aktualizáciu zabezpečenia (ESU) pre lokálne verzie tohto operačného systému, musia dodržiavať postupy v kb4522133, aby mohli naďalej dostávať aktualizácie zabezpečenia po ukončení rozšírenej podpory 14. januára 2020. Ďalšie informácie o ESU a o podporovaných vydaniach nájdete v článku KB4497181.
Keďže ESU je k dispozícii ako samostatná skladová jednotka SKU pre každý z rokov, v ktorých sú ponúkané (2020, 2021 a 2022) – a pretože ESU je možné zakúpiť len v špecifických 12-mesačných obdobiach – je potrebné zakúpiť tretí rok pokrytia ESU samostatne a aktivovať nový kľúč v každom príslušnom zariadení, aby vaše zariadenia mohli naďalej dostávať aktualizácie zabezpečenia v roku 2022.
Ak si vaša organizácia nezakúpila tretí rok pokrytia ESU, pred inštaláciou a aktiváciou kľúčov Year 3 MAK na prijímanie aktualizácií si musíte zakúpiť esu rok 1, rok 2 a rok 3 pre príslušné zariadenia s Windowsom 7 SP1 alebo Windows Server 2008 R2 SP1. Kroky na inštaláciu, aktiváciu a nasadenie ESU sú rovnaké pre pokrytie prvého, druhého a tretieho roka. Ďalšie informácie nájdete v téme Získanie rozšíreného zabezpečenia Aktualizácie oprávnených zariadení s Windowsom pre proces multilicencie a zakúpenie ESU systému Windows 7 ako poskytovateľa cloudových riešení pre proces CSP. V prípade vložených zariadení sa obráťte na výrobcu pôvodného zariadenia (OEM).
Ďalšie informácie nájdete na blogu ESU.
Poznámka Informácie o rôznych typoch aktualizácií Windowsu, ako sú kritické aktualizácie, zabezpečenie, ovládač, balíky Service Pack atď., nájdete v nasledujúcom článku. Ak chcete zobraziť ďalšie poznámky a správy pre Windows 7 SP1 a Windows Server 2008 R2 SP1, pozrite si nasledujúcu domovskú stránku histórie aktualizácií.
Zlepšenie
Táto aktualizácia iba so zabezpečením zahŕňa kľúčové zmeny pre nasledujúce:
-
Aktualizácie letný čas (Letný čas) pre Jordánsko, aby sa zabránilo pohybu hodín späť 1 hodinu na október 28, 2022. Okrem toho zmení zobrazovaný názov jordánskeho štandardného času z "(UTC+02:00) Amman" na "(UTC+03:00) Amman".
-
Rieši problém, pri ktorom sa po inštalácii aktualizácie z 11. januára 2022 alebo novšej nepodarilo vytvoriť prípony názvu DNS do atribútov informácií o dôveryhodnosti.
-
Rieši chyby zabezpečenia v protokoloch Kerberos a Netlogon, ako je uvedené v cve-2022-38023, CVE-2022-37966 a CVE-2022-37967. Pokyny na nasadenie nájdete v nasledujúcich článkoch:
-
KB5020805: Spravovanie zmien protokolu Kerberos súvisiacich s CVE-2022-37967
-
KB5021130: Ako spravovať zmeny protokolu Netlogon týkajúce sa CVE-2022-38023
-
KB5021131: Spravovanie zmien protokolu Kerberos súvisiacich s CVE-2022-37966
Ďalšie informácie o vyriešených rizikách zabezpečenia nájdete v časti Nasadenia | Príručka aktualizácie zabezpečenia a Aktualizácie zabezpečenia z novembra 2022.
-
Ďalšie informácie o vyriešených rizikách zabezpečenia nájdete v časti Nasadenia | Príručka aktualizácie zabezpečenia a Aktualizácie zabezpečenia z novembra 2022.
Známe problémy v tejto aktualizácii
Príznak |
Ďalší krok |
Po inštalácii tejto aktualizácie a reštartovaní zariadenia sa vám môže zobraziť chybové hlásenie „Zlyhanie konfigurácie aktualizácií systému Windows. Obnovujú sa zmeny. Nevypínajte počítač a aktualizácia sa môže v histórii aktualizácií zobrazovať ako neúspešná. |
Očakáva sa to v nasledujúcich prípadoch:
|
Po nainštalovaní tejto aktualizácie alebo novšej aktualizácie Windowsu môžu byť operácie pripojenia domény neúspešné a vyskytla sa chyba "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Okrem toho text s textom "Konto s rovnakým názvom existuje v službe Active Directory. Môže sa zobraziť opätovné použitie konta zablokované politikou zabezpečenia. Ovplyvnené scenáre zahŕňajú niektoré operácie pripojenia k doméne alebo opätovného zobrazovania, pri ktorých bolo konto počítača vytvorené alebo vopred zinscenované inou identitou, než je identita použitá na pripojenie alebo opätovné pripojenie počítača k doméne. Ďalšie informácie o tomto probléme nájdete v článku KB5020276 – Netjoin: Zmeny spevňujúce pripojenie k doméne. Poznámka Je nepravdepodobné, že by sa tento problém vyskytol vo vydaniach systému Windows pre počítače so spotrebiteľmi. |
Pokyny k tomuto problému nájdete v článku KB5020276 . |
Po inštalácii aktualizácií Windowsu vydaných 8. novembra 2022 na windowsových serveroch, ktoré používajú rolu radiča domény, sa môžu vyskytnúť problémy s overením protokolom Kerberos. Tento problém môže ovplyvniť akékoľvek overovanie kerberos vo vašom prostredí. Niektoré scenáre, ktoré môžu byť ovplyvnené:
Keď sa vyskytne tento problém, v časti Systém denníka udalostí v radiči domény sa môže zobraziť udalosť 4 s identifikáciou udalostí Microsoft-Windows-Kerberos-Key-Distribution-Center s nižšie uvedeným textom. Poznámka Ovplyvnené udalosti budú obsahovať reťazec chýbajúcich kľúčov s identifikáciou 1:
Poznámka Tento problém nie je očakávanou súčasťou spevnenia zabezpečenia pre Netlogon a Kerberos od aktualizácie zabezpečenia z novembra 2022. Aj po vyriešení tohto problému budete musieť postupovať podľa pokynov v týchto článkoch. Na zariadenia s Windowsom, ktoré používajú používatelia alebo zariadenia, ktoré nie sú súčasťou lokálnej domény, sa tento problém netýka. Prostredia Azure Active Directory, ktoré nie sú hybridné a nemajú žiadne lokálna služba Active Directory servery, nie sú ovplyvnené. |
Tento problém je vyriešený v aktualizácii KB5021651. |
Po inštalácii tejto aktualizácie alebo novšej aktualizácie na radiči domény (DC) sa môže vyskytnúť pretekanie pamäte pomocou služby subsystému lokálnej autority zabezpečenia (LSASS,exe). V závislosti od vyťaženia vášho jednosmerného prúdu a času od posledného reštartu servera môže LSASS neustále zvyšovať využitie pamäte s časom spustenia servera a server môže reagovať alebo sa automaticky reštartovať. Poznámka Tento problém môže ovplyvniť mimopásmové aktualizácie pre DCs vydané 17. novembra 2022 a 18. novembra 2022. |
Na zmiernenie tohto problému otvorte príkazový riadok ako správca a pomocou nasledujúceho príkazu nastavte kľúč databázy Registry KrbtgtFullPacSignature na hodnotu 0:
Poznámka Po vyriešení tohto známeho problému by ste mali nastaviť krbtgtFullPacSignature na vyššie nastavenie v závislosti od toho, čo vaše prostredie umožní. Odporúčame, aby ste režim presadzovania povolili hneď, ako bude vaše prostredie pripravené. Ďalšie informácie o tomto kľúči databázy Registry nájdete v článku KB5020805: Ako spravovať zmeny protokolu Kerberos týkajúce sa CVE-2022-37967. Pracujeme na riešení a poskytneme aktualizáciu v nasledujúcom vydaní. |
Po nainštalovaní tejto aktualizácie sa aplikácie, ktoré používajú pripojenia ODBC prostredníctvom ovládača Microsoft ODBC SQL Server Driver (sqlsrv32.dll) na prístup k databázam, nemusia pripojiť. Okrem toho sa v aplikácii môže zobraziť chyba alebo sa môže zobraziť chyba z SQL Server. K chybám, ktoré sa môžu zobraziť, patria nasledujúce hlásenia:
Poznámka pre vývojárov: Aplikácie ovplyvnené týmto problémom môžu zlyhať pri načítaní údajov, napríklad pri použití funkcie SQLFetch. Tento problém sa môže vyskytnúť pri volaní funkcie SQLBindCol pred sqlfetch alebo volaní funkcie SQLGetData po SQLFetch a pri zadaní hodnoty 0 (nula) pre argument BufferLength pre pevné typy údajov väčšie ako 4 bajty (napríklad SQL_C_FLOAT). Ak sa chcete rozhodnúť, či používate ovplyvnenú aplikáciu, otvorte aplikáciu, ktorá sa pripája k databáze. Otvorte okno príkazového riadka, zadajte nasledujúci príkaz a potom stlačte kláves Enter:
Ak príkaz vráti úlohu, môže to mať vplyv na aplikáciu. |
Ak chcete vyriešiť tento problém, môžete vykonať niektorý z týchto krokov:
Tento problém bol vyriešený v KB5022339. Ak ste implementovali vyššie uvedené alternatívne riešenie, odporúča sa pokračovať v používaní konfigurácie v alternatívnom riešení. |
Ako získať túto aktualizáciu
Pred inštaláciou tejto aktualizácie
DÔLEŽITÉ Zákazníci, ktorí si zakúpili rozšírenú aktualizáciu zabezpečenia (ESU) pre lokálne verzie týchto operačných systémov, musia pokračovať v prijímaní aktualizácií zabezpečenia podľa postupov v kb4522133. Rozšírená podpora sa skončila takto:
-
Pre Windows 7 Service Pack 1 a Windows Server 2008 R2 Service Pack 1 sa rozšírená podpora skončila 14. januára 2020.
-
Pre Windows Embedded Standard 7 sa rozšírená podpora skončila 13. októbra 2020.
-
V prípade systému Windows Embedded POS Ready 7 sa rozšírená podpora skončila 12. októbra 2021.
-
Pre Windows Thin PC sa rozšírená podpora skončila 12. októbra 2021. Upozorňujeme, že podpora ESU nie je k dispozícii pre Windows Thin PC.
Ďalšie informácie o ESU a o podporovaných vydaniach nájdete v článku KB4497181.
Poznámka V prípade windowsu Embedded Standard 7 musí byť povolená služba Windows Management Instrumentation (WMI) na získavanie aktualizácií zo služieb Windows Update alebo Windows Server Update Services.
Jazykové balíky
Ak nainštalujete jazykový balík po inštalácii tejto aktualizácie, musíte preinštalovať túto aktualizáciu. Preto odporúčame pred inštaláciou tejto aktualizácie nainštalovať všetky potrebné jazykové balíky. Ďalšie informácie nájdete v téme Pridanie jazykových balíkov do Windowsu.
Požiadavky:
Pred inštaláciou najnovšej súhrnnej aktualizácie musíte nainštalovať ďalej uvedené aktualizácie a reštartovať zariadenie. Inštalácia týchto aktualizácií zvyšuje spoľahlivosť procesu aktualizácie a zmierňuje tak potenciálne problémy pri inštalácii súhrnnej aktualizácie a použití opráv zabezpečenia od spoločnosti Microsoft.
-
Aktualizácia zásobníka údržby (SSU) z 12. marca 2019 (KB4490628). Ak chcete získať samostatný balík pre túto SSU, vyhľadajte ho v katalógu microsoft update. Táto aktualizácia je potrebná na inštaláciu aktualizácií, ktoré sú podpísané pomocou SHA-2.
-
Najnovšia aktualizácia SHA-2 (KB4474419) vydaná 10. septembra 2019. Ak používate službu Windows Update, najnovšia aktualizácia SHA-2 bude ponúknutá automaticky. Táto aktualizácia je potrebná na inštaláciu aktualizácií, ktoré sú podpísané pomocou SHA-2. Ďalšie informácie o aktualizáciách SHA-2 nájdete v téme Požiadavky na podporu podpisovania kódu SHA-2 pre Windows a WSUS na rok 2019.
-
Ak chcete získať túto aktualizáciu zabezpečenia, musíte preinštalovať balík na prípravu licencií pre rozšírenú Aktualizácie (ESU) (KB4538483) alebo balík na prípravu licencií na rozšírenú Aktualizácie (ESU) (KB4575903) (KB4575903), a to aj v prípade, že ste predtým nainštalovali kľúč ESU. Balík na prípravu licencovania ESU vám ponúkne automaticky WSUS. Ak chcete získať samostatný balík pre balík na prípravu licencií ESU, vyhľadajte ho v katalógu microsoft update.
Po inštalácii vyššie uvedených položiek spoločnosť Microsoft dôrazne odporúča nainštalovať najnovšiu SSU (KB5017397). Ak používate Windows Update, najnovšia aktualizácia SSU vám bude ponúknutá automaticky v prípade, že ste zákazník ESU. Ak chcete získať samostatný balík pre najnovšiu SSU, vyhľadajte ho v katalógu microsoft update. Všeobecné informácie o SSU nájdete v téme Aktualizácie zásobníka údržby a zásobník údržby Aktualizácie (SSU): Najčastejšie otázky.
PRIPOMENUTIE Ak používate aktualizácie iba zabezpečenia, budete musieť nainštalovať aj všetky predchádzajúce aktualizácie iba zabezpečenia a najnovšiu kumulatívnu aktualizáciu programu Internet Explorer (KB5019958).
Inštalovanie tejto aktualizácie
Kanál vydania |
K dispozícii |
Ďalší krok |
Windows Update a Microsoft Update |
Nie |
Pozrite si ďalšie nižšie uvedené možnosti. |
Katalóg služby Microsoft Update |
Áno |
Ak chcete získať samostatný balík pre túto aktualizáciu, prejdite na webovú lokalitu katalógu služby Microsoft Update. |
Windows Server Update Services (WSUS) |
Áno |
Táto aktualizácia sa automaticky synchronizuje so službou WSUS, ak nakonfigurujete Produkty a klasifikácie takto: Produkt: Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1, Windows Embedded Standard 7 Service Pack 1, Windows Embedded POSReady 7 Klasifikácia: Aktualizácie zabezpečenia |
Informácie o súboroch
Pre zoznam súborov, ktoré sú uvedené v tejto aktualizácii, stiahnite informácie o súbore pre aktualizáciu KB5020013.
Referencie
Získajte informácie o štandardnej terminológii , ktorá sa používa na popis aktualizácií softvéru spoločnosti Microsoft.