8. novembra 2022 – KB5020023 (mesačný súhrn)
Applies To
Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry ProDátum vydania:
8. 11. 2022
Verzia:
Mesačná súhrnná aktualizácia
Zhrnutie
Získajte ďalšie informácie o tejto kumulatívnej aktualizácii zabezpečenia vrátane vylepšení, známych problémov a spôsobu získania aktualizácie.
PRIPOMENUTIE Windows 8.1 dosiahne koniec podpory 10. januára 2023, keď sa už nebude poskytovať technická pomoc a aktualizácie softvéru. Ak máte zariadenia so systémom Windows 8.1, odporúčame ich inovovať na aktuálnejšie, v prevádzke a podporované vydanie Windowsu. Ak zariadenia nespĺňajú technické požiadavky na spustenie aktuálnejšieho vydania Windowsu, odporúčame vám nahradiť zariadenie tým, ktorý podporuje Windows 11.
Spoločnosť Microsoft nebude ponúkať program rozšírenej aktualizácie zabezpečenia (ESU) pre Windows 8.1. Pokračovanie v používaní Windows 8.1 po 10. januári 2023 môže zvýšiť vystavenie organizácie rizikám zabezpečenia alebo ovplyvniť jej schopnosť plniť povinnosti týkajúce sa dodržiavania súladu.
Ďalšie informácie nájdete v téme Windows 8.1 podpora sa skončí 10. januára 2023.
Windows Server 2012 R2 dosiahne koniec podpory 10. októbra 2023 pre datacenter, Essentials, Embedded Systems, Foundation a Standard.
Poznámka Informácie o rôznych typoch aktualizácií Windowsu, ako sú kritické aktualizácie, zabezpečenie, ovládač, balíky Service Pack atď., nájdete v nasledujúcom článku. Ďalšie poznámky a správy nájdete na domovskej stránke histórie aktualizácií Windows 8.1 a Windows Server 2012 R2.
Zlepšenie
Táto kumulatívna aktualizácia zabezpečenia zahŕňa vylepšenia, ktoré sú súčasťou aktualizácie KB5018474 (vydanej 11. októbra 2022) a obsahuje kľúčové zmeny pre nasledujúce:
-
Rieši problém s vytvrdzovaním overovania DCOM (Distributed Component Object Model) s cieľom automaticky zvýšiť úroveň overenia pre všetky ne anonymné požiadavky na aktiváciu od klientov DCOM. Táto situácia nastane, ak je úroveň overovania menšia ako RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.
-
Aktualizácie letný čas (Letný čas) pre Jordánsko, aby sa zabránilo pohybu hodín späť 1 hodinu na október 28, 2022. Okrem toho zmení zobrazovaný názov jordánskeho štandardného času z "(UTC+02:00) Amman" na "(UTC+03:00) Amman".
-
Rieši problém, pri ktorom Microsoft Azure Active Directory (AAD) proxy aplikácií Connector nemôže načítať lístok protokolu Kerberos v mene používateľa z dôvodu nasledujúcej všeobecnej chyby rozhrania API: Zadaná rukoväť je neplatná (0x80090301)."
-
Rieši problém, pri ktorom sa po inštalácii aktualizácie z 11. januára 2022 alebo novšej nepodarilo vytvoriť prípony názvu DNS do atribútov informácií o dôveryhodnosti.
-
Rieši problém, pri ktorom sa program Microsoft Visual C++ Redistributable Runtime nenačíta do služby Local Security Authority Server Service (LSASS), keď je zapnuté svetlo chráneného procesu (PPL).
-
Rieši chyby zabezpečenia v protokoloch Kerberos a Netlogon, ako je uvedené v cve-2022-38023, CVE-2022-37966 a CVE-2022-37967. Pokyny na nasadenie nájdete v nasledujúcich článkoch:
-
KB5020805: Spravovanie zmien protokolu Kerberos súvisiacich s CVE-2022-37967
-
KB5021130: Ako spravovať zmeny protokolu Netlogon týkajúce sa CVE-2022-38023
-
KB5021131: Spravovanie zmien protokolu Kerberos súvisiacich s CVE-2022-37966
Ďalšie informácie o vyriešených rizikách zabezpečenia nájdete v časti Nasadenia | Príručka aktualizácie zabezpečenia a Aktualizácie zabezpečenia z novembra 2022.
-
Ďalšie informácie o vyriešených rizikách zabezpečenia nájdete v časti Nasadenia | Príručka aktualizácie zabezpečenia a Aktualizácie zabezpečenia z novembra 2022.
Známe problémy v tejto aktualizácii
Príznak |
Ďalší krok |
Po nainštalovaní tejto aktualizácie alebo novšej aktualizácie Windowsu môžu byť operácie pripojenia domény neúspešné a vyskytla sa chyba "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Okrem toho text s textom "Konto s rovnakým názvom existuje v službe Active Directory. Môže sa zobraziť opätovné použitie konta zablokované politikou zabezpečenia. Ovplyvnené scenáre zahŕňajú niektoré operácie pripojenia k doméne alebo opätovného zobrazovania, pri ktorých bolo konto počítača vytvorené alebo vopred zinscenované inou identitou, než je identita použitá na pripojenie alebo opätovné pripojenie počítača k doméne. Ďalšie informácie o tomto probléme nájdete v článku KB5020276 – Netjoin: Zmeny spevňujúce pripojenie k doméne. Poznámka Je nepravdepodobné, že by sa tento problém vyskytol vo vydaniach systému Windows pre počítače so spotrebiteľmi. |
Tento problém je vyriešený v KB5023765. |
Po inštalácii aktualizácií Windowsu vydaných 8. novembra 2022 na windowsových serveroch, ktoré používajú rolu radiča domény, sa môžu vyskytnúť problémy s overením protokolom Kerberos. Tento problém môže ovplyvniť akékoľvek overovanie kerberos vo vašom prostredí. Niektoré scenáre, ktoré môžu byť ovplyvnené:
Keď sa vyskytne tento problém, v časti Systém denníka udalostí v radiči domény sa môže zobraziť udalosť 4 s identifikáciou udalostí Microsoft-Windows-Kerberos-Key-Distribution-Center s nižšie uvedeným textom. Poznámka Ovplyvnené udalosti budú obsahovať reťazec chýbajúcich kľúčov s identifikáciou 1:
Poznámka Tento problém nie je očakávanou súčasťou spevnenia zabezpečenia pre Netlogon a Kerberos od aktualizácie zabezpečenia z novembra 2022. Aj po vyriešení tohto problému budete musieť postupovať podľa pokynov v týchto článkoch. Na zariadenia s Windowsom, ktoré používajú používatelia alebo zariadenia, ktoré nie sú súčasťou lokálnej domény, sa tento problém netýka. Prostredia Azure Active Directory, ktoré nie sú hybridné a nemajú žiadne lokálna služba Active Directory servery, nie sú ovplyvnené. |
Tento problém je vyriešený v aktualizácii KB5021653. |
Po inštalácii tejto aktualizácie alebo novšej aktualizácie na radiči domény (DC) sa môže vyskytnúť pretekanie pamäte pomocou služby subsystému lokálnej autority zabezpečenia (LSASS,exe). V závislosti od vyťaženia vášho jednosmerného prúdu a času od posledného reštartu servera môže LSASS neustále zvyšovať využitie pamäte s časom spustenia servera a server môže reagovať alebo sa automaticky reštartovať. Poznámka Tento problém môže ovplyvniť mimopásmové aktualizácie pre DCs vydané 17. novembra 2022 a 18. novembra 2022. |
Na zmiernenie tohto problému otvorte príkazový riadok ako správca a pomocou nasledujúceho príkazu nastavte kľúč databázy Registry KrbtgtFullPacSignature na hodnotu 0:
Poznámka Po vyriešení tohto známeho problému by ste mali nastaviť krbtgtFullPacSignature na vyššie nastavenie v závislosti od toho, čo vaše prostredie umožní. Odporúčame, aby ste režim presadzovania povolili hneď, ako bude vaše prostredie pripravené. Ďalšie informácie o tomto kľúči databázy Registry nájdete v článku KB5020805: Ako spravovať zmeny protokolu Kerberos týkajúce sa CVE-2022-37967. Pracujeme na riešení a poskytneme aktualizáciu v nasledujúcom vydaní. |
Po nainštalovaní tejto aktualizácie sa aplikácie, ktoré používajú pripojenia ODBC prostredníctvom ovládača Microsoft ODBC SQL Server Driver (sqlsrv32.dll) na prístup k databázam, nemusia pripojiť. Okrem toho sa v aplikácii môže zobraziť chyba alebo sa môže zobraziť chyba z SQL Server. K chybám, ktoré sa môžu zobraziť, patria nasledujúce hlásenia:
Poznámka pre vývojárov: Aplikácie ovplyvnené týmto problémom môžu zlyhať pri načítaní údajov, napríklad pri použití funkcie SQLFetch. Tento problém sa môže vyskytnúť pri volaní funkcie SQLBindCol pred sqlfetch alebo volaní funkcie SQLGetData po SQLFetch a pri zadaní hodnoty 0 (nula) pre argument BufferLength pre pevné typy údajov väčšie ako 4 bajty (napríklad SQL_C_FLOAT). Ak sa chcete rozhodnúť, či používate ovplyvnenú aplikáciu, otvorte aplikáciu, ktorá sa pripája k databáze. Otvorte okno príkazového riadka, zadajte nasledujúci príkaz a potom stlačte kláves Enter:
Ak príkaz vráti úlohu, môže to mať vplyv na aplikáciu. |
Ak chcete vyriešiť tento problém, môžete vykonať niektorý z týchto krokov:
Tento problém bol vyriešený v KB5022352. Ak ste implementovali vyššie uvedené alternatívne riešenie, odporúča sa pokračovať v používaní konfigurácie v alternatívnom riešení. |
Ako získať túto aktualizáciu
Pred inštaláciou tejto aktualizácie
Pred inštaláciou najnovšej súhrnnej aktualizácie dôrazne odporúčame nainštalovať najnovšiu aktualizáciu zásobníka údržby (SSU) pre svoj operačný systém. Aktualizácie SSU zvyšujú spoľahlivosť procesu aktualizácie a zmierňujú tak potenciálne problémy pri inštalácii súhrnnej aktualizácie a použití opráv zabezpečenia od spoločnosti Microsoft. Všeobecné informácie o SSU nájdete v téme Aktualizácie zásobníka údržby a zásobník údržby Aktualizácie (SSU): Najčastejšie otázky.
Ak používate Windows Update, automaticky sa vám ponúkne najnovšia SSU (KB5018922). Ak chcete získať samostatný balík pre najnovšiu SSU, vyhľadajte ho v katalógu microsoft update.
Jazykové balíky
Ak nainštalujete jazykový balík po inštalácii tejto aktualizácie, musíte preinštalovať túto aktualizáciu. Preto odporúčame pred inštaláciou tejto aktualizácie nainštalovať všetky potrebné jazykové balíky. Ďalšie informácie nájdete v téme Pridanie jazykových balíkov do Windowsu.
Inštalovanie tejto aktualizácie
Kanál vydania |
K dispozícii |
Ďalší krok |
Windows Update a Microsoft Update |
Áno |
Žiadne. Táto aktualizácia sa automaticky stiahne a nainštaluje z lokality Windows Update. |
Katalóg služby Microsoft Update |
Áno |
Ak chcete získať samostatný balík pre túto aktualizáciu, prejdite na webovú lokalitu katalógu služby Microsoft Update. |
Windows Server Update Services (WSUS) |
Áno |
Táto aktualizácia sa automaticky synchronizuje so službou WSUS, ak nakonfigurujete Produkty a klasifikácie takto: Produkt: Windows 8.1, Windows Server 2012 R2, Windows Embedded 8.1 Industry Enterprise, Windows Embedded 8.1 Industry Pro Klasifikácia: Aktualizácie zabezpečenia |
Informácie o súboroch
Zoznam súborov, ktoré sú k dispozícii v tejto aktualizácii, stiahnite informácie o súbore pre aktualizáciu KB5020023.
Referencie
Získajte informácie o štandardnej terminológii , ktorá sa používa na popis aktualizácií softvéru spoločnosti Microsoft.