8. novembar 2022. – KB5020009 (mesečna zbirna ispravka)
Applies To
Windows Server 2012 Windows Embedded 8 StandardDatum izdavanja::
8.11.2022.
Verzija:
Mesečna zbirna vrednost
Rezime
Saznajte više o ovoj kumulativnom bezbednosnom ažuriranju, uključujući poboljšanja, poznate probleme i kako da preuzmete ispravku.
PODSETNIK Windows Server 2012 je dostigao kraj glavne podrške i sada je u proširenoj podršci. Počev od jula 2020. više neće biti opcionalnih izdanja (poznata kao "C" ili "D" izdanja) za ovaj operativni sistem. Operativni sistemi u proširenoj podršci imaju samo kumulativne mesečne bezbednosne ispravke (poznate kao "B" ili "Update Tuesday").
Proverite da li ste instalirali potrebne ispravke navedene u odeljku Kako preuzeti ovu ispravku pre instaliranja ove ispravke.
Poboljšanja
Ova kumulativna bezbednosna ispravka sadrži poboljšanja koja su deo ispravke KB5017370 (objavljeno 11. oktobra 2022.) i uključuje ključne promene za sledeće:
-
Rešava problem sa očvršćivanjem potvrde identiteta Distribuiranog objektnog modela (DCOM) da bi se automatski podigao nivo potvrde identiteta za sve zahteve za ne-anonimnom aktivacijom od DCOM klijenata. Do toga dolazi ako je nivo potvrde identiteta manji od RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.
-
Novosti 28. oktobra 2022. godine pomerite vreme za zimsko računanje vremena (DST) za Jordan da biste sprečili pomeranje sata unazad za 1 sat 28. oktobra 2022. godine. Pored toga, menja standardno ime za prikaz Jordana iz "(UTC+02:00) Aman" u "(UTC+03:00) Aman".
-
Rešava problem gde Microsoft Azure Active Directory (AAD) konektor proxy servera aplikacije ne može da preuzme Kerberos tiket u ime korisnika zbog sledeće opšte API greške: "Navedeni regulator je nevažeći (0x80090301)".
-
Rešava problem gde, nakon instaliranja ispravke od 11. januara 2022. ili novije, proces kreiranja poverenja u šume ne popunjava sufikse DNS imena u atribute pouzdanih informacija.
-
Rešava bezbednosne ranjivosti u Kerberos i Netlogon protokolima kao što je opisano u verzijama CVE-2022-38023, CVE-2022-37966 i CVE-2022-37967. Uputstva za primenu potražite u sledećim člancima:
-
KB5020805: Kako da upravljate promenama Kerberos protokola vezanim za CVE-2022-37967
-
KB5021130: Kako da upravljate promenama Netlogon protokola povezanim sa CVE-2022-38023
-
KB5021131: Kako upravljati promenama Kerberos protokola vezanim za CVE-2022-37966
Više informacija o rešenim bezbednosnim ranjivostima potražite u članku Primene | Vodič za bezbednosne ispravkei bezbednosne Novosti.
-
Više informacija o rešenim bezbednosnim ranjivostima potražite u članku Primene | Vodič za bezbednosne ispravkei bezbednosne Novosti.
Poznati problemi u ovoj ispravki
Simptom |
Sledeći korak |
Nakon instalacije ove ispravke ili novije Windows ispravke, operacije spajanja domena mogu biti neuspešne i dolazi do greške "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Pored toga, u usluzi Active Directory postoji tekst sa navodom "Nalog sa istim imenom. Moguće je da će se prikazati ponovno korišćenje naloga koje su blokirale bezbednosne smernice. Ugroženi scenariji uključuju neke operacije spajanja domena ili ponovnog imigracije u kojima je nalog računara kreiran ili unapred po fazama od identiteta koji se koristi za pridruživanje računara domenu ili ponovno pridruživanje računara domenu. Više informacija o ovom problemu potražite u članku KB5020276 – Netjoin: Pridruživanje domenu očvršćih promena. Beleške Izdanja operativnog sistema Windows za potrošače verovatno neće naići na ovaj problem. |
Pogledajte KB5020276 da biste dobili uputstva za ovaj problem. |
Nakon instalacije Windows ispravki objavljenih 8. novembra 2022. ili posle 8. novembra 2022. na Windows serverima koji koriste ulogu kontrolera domena, možda ćete imati problema sa Kerberos potvrdom identiteta. Ovaj problem može da utiče na bilo koju Kerberos potvrdu identiteta u okruženju. Neki scenariji na koje to može da utiče:
Kada se ovaj problem pojavi, možete da dobijete događaj greške Microsoft-Windows-Kerberos-Key-Distribution-Center ID 4 u odeljku Sistem evidencije događaja na kontroleru domena sa dolenavedenim tekstom. Beleške Ugroženi događaji sadržaće nisku "ključ koji nedostaje ima ID od 1":
Beleške Ovaj problem nije očekivani deo bezbednosnog poteškoća za Netlogon i Kerberos, počevši od bezbednosne ispravke iz novembra 2022. I dalje ćete morati da pratite uputstva u ovim člancima čak i kada ovaj problem bude rešen. Ovaj problem ne utiče na Windows uređaje koje koriste korisnici ili uređaji koji nisu deo lokalnog domena. Azure Active Directory okruženja koja nisu hibridna i koja lokalni Active Directory ne utiču na servere. |
Ovaj problem je rešen u ispravki KB5021652. |
Nakon instaliranja ove ispravke ili novije ispravke na kontroler domena (DC), može doći do curenja memorije pomoću usluge podsistem lokalnog bezbednosnog autoriteta (LSASS,exe). U zavisnosti od opterećenja vašeg DC-a i vremena od poslednjeg ponovnog pokretanja servera, LSASS može neprestano da povećava iskorišćenost memorije uz vreme ažuriranja servera i server može da postane neodgovoran ili da se automatski ponovo pokrene. Beleške Ovaj problem može da utiče na nesačuvanje ispravki za DCs objavljene 17. novembra 2022. i 18. novembra 2022. godine. |
Da biste ublažili ovaj problem, otvorite komandnu liniju kao administrator i koristite sledeću komandu da biste podesili ključ registratora KrbtgtFullPacSignature na 0:
Beleške Kada se ovaj poznati problem reši, trebalo bi da podesite krbtgtFullPacSignature na višu postavku, u zavisnosti od toga šta će vaše okruženje dozvoliti. Preporučujemo da omogućite režim sprovođenja čim okruženje bude spremno. Više informacija o ovom ključu registratora potražite u članku KB5020805: Kako da upravljate promenama Kerberos protokola povezanim sa CVE-2022-37967. Radimo na rešenju i obezbedićemo ispravku u predstojećem izdanju. |
Kada instalirate ovu ispravku, aplikacije koje koriste ODBC veze putem Microsoft ODBC SQL Server upravljačkog programa (sqlsrv32.dll) za pristup bazama podataka možda se neće povezati. Pored toga, možda ćete dobiti grešku u aplikaciji ili ćete možda dobiti grešku od SQL Server. Greške koje možete dobiti uključuju sledeće poruke:
Napomena za projektante: Aplikacije na koje ovaj problem utiče možda neće uspeti da prenesu podatke, na primer prilikom korišćenja funkcije SQLFetch. Do ovog problema može doći prilikom pozivanja funkcije SQLBindCol pre sqlFetch ili pozivanja funkcije SQLGetData nakon SQLFetch-a i kada je data vrednost 0 (nula) za argument "BaferLength" za fiksne tipove podataka veće od 4 bajta (kao što je SQL_C_FLOAT). Da biste odlučili da li koristite aplikaciju na koju ovo utiče, otvorite aplikaciju koja se povezuje sa bazom podataka. Otvorite prozor komandne linije, otkucajte sledeću komandu, a zatim pritisnite taster Enter:
Ako komanda vraća zadatak, to može da utiče na aplikaciju. |
Da biste umanjili ovaj problem, možete da uradite nešto od sledećeg:
Ovaj problem je rešen u KB5022348. Ako ste primenili gorenavedeno privremeno rešenje, preporučuje se da nastavite da koristite konfiguraciju u privremenom rešenju. |
Kako da preuzmete ovu ispravku
Pre instaliranja ove ispravke
Preporučujemo da instalirate najnoviju servisnu stek ispravku (SSU) za operativni sistem pre nego što instalirate najnoviju zbirnu vrednost. SSU-i poboljšavaju pouzdanost procesa ažuriranja radi ublažavanja potencijalnih problema prilikom instaliranja zbirne i primene Microsoft bezbednosnih ispravki. Opšte informacije o SSU-u potražite u člancima Ažuriranja steka servisiranja i Stek servisiranja Novosti (SSU): Najčešća pitanja.
Ako koristite Windows Update, najnoviji SSU (KB5016263) biće vam automatski ponuđen. Da biste dobili samostalni paket za najnoviji SSU, potražite ga u katalogu Microsoft Update.
Jezički paketi
Ako instalirate jezički paket kada instalirate ovu ispravku, morate ponovo da instalirate ovu ispravku. Zato preporučujemo da instalirate sve jezičke pakete koji su vam potrebni pre nego što instalirate ovu ispravku. Više informacija potražite u članku Dodavanje jezičkih paketa u Windows.
Instaliraj ovu ispravku
Kanal izdavanja |
Dostupna |
Sledeći korak |
Windows Update i Microsoft Update |
Da |
Niko. Ova ispravka će se preuzeti i instalirati automatski iz Windows Update. |
Microsoft Update katalog |
Da |
Da biste dobili samostalni paket za ovu ispravku, idite na veb lokaciju Microsoft Update kataloga. |
Windows Server Update Services (WSUS) |
Da |
Ova ispravka će se automatski sinhronizovati sa WSUS-om ako konfigurišete proizvode i klasifikacije na sledeći način: Proizvod: Windows Server 2012, Windows Embedded 8 Standard Klasifikacija: bezbednosni Novosti |
Informacije o datoteci
Za listu datoteka koje su obezbeđene u ovoj ispravki, preuzmite informacije o datoteci za ispravku KB5020009.
Reference
Saznajte više o standardnoj terminologiji koja se koristi za opisivanja Microsoft softverskih ispravki.