8 листопада 2022 р. – KB5020013 (лише оновлення системи безпеки)
Applies To
Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESUДата випуску:
08.11.2022
Версія:
Оновлення лише для системи безпеки
ПРИМІТКА Після 10 січня 2023 року корпорація Майкрософт більше не надаватиме оновлення системи безпеки або технічну підтримку для Windows 7 із пакетом оновлень 1 (SP1) і Windows Server 2008 R2 з пакетом оновлень 1 (SP1). Радимо оновити систему до пізнішої версії Windows.
Зведення
Дізнайтеся більше про це оновлення лише системи безпеки, зокрема про покращення, відомі проблеми та способи отримання оновлення.
НАГАДУВАННЯ Windows 7, Windows Server 2008 R2, Windows Embedded Standard 7 і Windows Embedded POS Ready 7 досягли кінця базової підтримки та зараз підтримують розширене оновлення системи безпеки (ESU). Windows Thin PC досягла кінця базової підтримки; однак підтримка ESU недоступна.
Починаючи з липня 2020 р., для цієї операційної системи більше не будуть необов'язкові випуски, що не діють для системи безпеки (відомі як випуски C). Операційні системи в розширеній підтримці мають лише сукупні щомісячні оновлення системи безпеки (відомі як "B" або "Оновити вівторок".
Переконайтеся, що ви інсталювали необхідні оновлення в розділі Отримання цього оновлення перед інсталяцією цього оновлення.
Клієнти, які придбали розширене оновлення системи безпеки (ESU) для локальних версій цієї ОС, повинні виконати процедури в KB4522133, щоб і надалі отримувати оновлення системи безпеки після завершення розширеної підтримки 14 січня 2020 р. Докладні відомості про подовжене оновлення системи безпеки та випуски, які підтримуються, див. в статті KB4497181.
Оскільки ESU доступна як окремий обліковий номер для кожного року, в якому вони пропонуються (2020, 2021 і 2022) і тому, що ESU можна придбати лише в певні 12-місячні періоди, ви повинні придбати третій рік покриття ESU окремо і активувати новий ключ на кожному відповідному пристрої для пристроїв, щоб і надалі отримувати оновлення системи безпеки в 2022 році.
Якщо ваша організація не придбає третій рік ESU покриття, ви повинні придбати рік 1, рік 2 і 3 ESU для ваших відповідних пристроїв Windows 7 SP1 або Windows Server 2008 R2 SP1, перш ніж інсталювати та активувати ключі mak року 3 для отримання оновлень. Кроки з інсталяції, активації та розгортання оновлень системи безпеки однакові для першого, другого та третього року покриття. Докладні відомості див. в статті Отримання Оновлення розширеної безпеки для пристроїв Windows, які відповідають вимогам для процесу корпоративного ліцензування, і придбання подовжених оновлень системи безпеки Windows 7 як постачальника хмарних рішень для процесу CSP. Для вбудованих пристроїв зверніться до виробника оригінального обладнання (OEM).
Докладні відомості див. у блозі ESU.
Нотатка Відомості про різні типи оновлень Windows, як-от критично важливі оновлення, безпека, драйвери, пакети оновлень тощо, див. в цій статті. Щоб переглянути інші нотатки та повідомлення для Windows 7 із пакетом оновлень 1 (SP1) і Windows Server 2008 R2 з пакетом оновлень 1 (SP1), див. домашню сторінку журналу оновлень нижче.
Поліпшень
Це оновлення лише системи безпеки містить основні зміни для таких елементів:
-
Оновлення перехід на літній або зимовий час для Йорданії, щоб запобігти переміщенню годинника назад на 1 годину 28 жовтня 2022 року. Крім того, змінює коротке ім'я Йорданії стандартний час з "(UTC+02:00) Amman" на "(UTC+03:00) Amman".
-
Вирішено проблему, через яку після інсталяції оновлення від 11 січня 2022 р. або пізнішої версії процес створення довіри лісу не вдається заповнити суфікси імен DNS в атрибути відомостей про довіру.
-
Вирішено проблему вразливості системи безпеки в протоколах Kerberos і Netlogon, як зазначено в CVE-2022-38023, CVE-2022-37966 і CVE-2022-37967. Відомості про розгортання див. в таких статтях:
-
KB5020805: Керування змінами протоколу Kerberos, пов'язаними з CVE-2022-37967
-
KB5021130: керування змінами протоколу Netlogon, пов'язаними з CVE-2022-38023
-
KB5021131: Керування змінами протоколу Kerberos, пов'язаними з CVE-2022-37966
Докладні відомості про усунуті вразливості системи безпеки див. в статті Розгортання | Посібник з оновлення системи безпеки та Оновлення системи безпеки за листопад 2022 р.
-
Докладні відомості про усунуті вразливості системи безпеки див. в статті Розгортання | Посібник з оновлення системи безпеки та Оновлення системи безпеки за листопад 2022 р.
Відомі проблеми в цьому оновленні
Проблема |
Наступний крок |
Після інсталяції цього оновлення та перезапуску пристрою може з’явитися повідомлення про помилку "Не вдалося налаштувати оновлення Windows. Скасування змін. Не вимикайте комп'ютер", і оновлення може відображатися як Помилка в журналі оновлень. |
Це очікується в описаних нижче випадках.
|
Після інсталяції цього оновлення або пізнішої версії оновлення Windows операції об'єднання домену можуть виявитися невдалими, а помилка "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Крім того, текст про те, що "Обліковий запис із таким самим іменем існує в Active Directory. Повторне використання облікового запису заблоковано політикою безпеки" може відображатися. Сценарії, на які впливає проблема, включають деякі операції з приєднання до домену або повторного відтворення, під час яких обліковий запис комп'ютера створено або попередньо поставлено іншим посвідченням, ніж посвідчення, що використовується для підключення комп'ютера до домену або повторного підключення до нього. Докладні відомості про цю проблему див. в статті KB5020276 – Netjoin: зміни, пов'язані з приєднанням до домену. Нотатка У випусках Windows для настільних комп'ютерів для споживачів навряд чи виникатить ця проблема. |
Докладні відомості про цю проблему див. в статті KB5020276 . |
Після інсталяції оновлень Windows, випущених 8 листопада 2022 року або пізніше, на серверах Windows, на яких використовується роль контролера домену, можуть виникнути проблеми з автентифікацією Kerberos. Ця проблема може вплинути на будь-яку автентифікацію Kerberos у вашому середовищі. Деякі сценарії, які можуть вплинути на:
Під час виникнення цієї проблеми може з'явитися подія помилки Microsoft-Windows-Windows-Kerberos-Key-Distribution-Center Event ID 4 в розділі Система журналу подій на контролері домену з текстом нижче. Нотатка Події, на які впливає проблема, міститимуть рядок "відсутній ключ має ідентифікатор 1":
Нотатка Ця проблема не є очікуваною частиною посилення безпеки для Netlogon і Kerberos, починаючи з оновлення системи безпеки за листопад 2022 року. Ви все одно будете змушені дотримуватися вказівок у цих статтях, навіть коли цю проблему буде вирішено. Ця проблема не впливає на пристрої Windows, які використовуються вдома споживачами або пристроями, які не входять до локального домену. Середовища Azure Active Directory, які не є гібридними та не мають локальна служба Active Directory серверів, не впливають. |
Цю проблему вирішено в оновленні KB5021651. |
Після інсталяції цього оновлення або пізнішого оновлення на контролері домену може стався витік пам'яті зі службою підсистеми локального центру безпеки (LSASS,exe). Залежно від навантаження постійного струму та часу після останнього перезавантаження сервера, LSASS може постійно збільшувати обсяг пам'яті під час роботи сервера, а сервер може припинити або автоматично перезавантажитися. Нотатка Ця проблема може вплинути на застарілі оновлення для DCs, випущених 17 листопада 2022 року та 18 листопада 2022 року. |
Щоб зменшити цю проблему, відкрийте командний рядок із правами адміністратора та використайте таку команду, щоб установити для розділу реєстру KrbtgtFullPacSignatureзначення 0:
Примітка Після вирішення цієї відомої проблеми слід установити для параметра KrbtgtFullPacSignature значення вищого значення залежно від того, що дозволить ваше середовище. Радимо ввімкнути режим примусового застосування, щойно середовище буде готове. Докладні відомості про цей розділ реєстру див. в статті KB5020805: Керування змінами протоколу Kerberos, пов'язаними з CVE-2022-37967. Ми працюємо над вирішенням цієї проблеми та надамо відповідне оновлення в наступному випуску. |
Після інсталяції цього оновлення програми, які використовують підключення ODBC через microsoft ODBC SQL Server Driver (sqlsrv32.dll) для доступу до баз даних, можуть не підключатися. Крім того, у програмі може з'явитися повідомлення про помилку або повідомлення про помилку від SQL Server. Можуть з'явитися такі повідомлення:
Примітка для розробників: Програмам, на які впливає ця проблема, може не вдатися отримати дані, наприклад під час використання функції SQLFetch. Ця проблема може виникнути під час виклику функції SQLBindCol до sqlFetch або виклику функції SQLGetData після SQLFetch, а значення 0 (нуль) для аргументу "BufferLength" для фіксованих типів даних, розмір яких перевищує 4 байти (наприклад, SQL_C_FLOAT). Щоб вирішити, чи використовуєте ви відповідну програму, відкрийте програму, яка підключається до бази даних. Відкрийте вікно командного рядка, введіть таку команду та натисніть клавішу Enter:
Якщо команда повертає завдання, це може вплинути на програму. |
Щоб зменшити цю проблему, виконайте одну з таких дій:
Цю проблему вирішено в оновленні KB5022339. Якщо ви впровадили наведений вище спосіб вирішення, радимо продовжити використовувати конфігурацію, щоб вирішити цю проблему. |
Отримання оновлення
Перед інсталяцією цього оновлення
ВАЖЛИВО Клієнти, які придбали розширене оновлення системи безпеки (ESU) для локальних версій цих операційних систем, повинні виконати процедури, описані в KB4522133, щоб і надалі отримувати оновлення системи безпеки. Розширена підтримка завершилася в такий спосіб:
-
Розширена підтримка Windows 7 із пакетом оновлень 1 і Windows Server 2008 R2 з пакетом оновлень 1 (SP1) завершилася 14 січня 2020 року.
-
Розширена підтримка Windows Embedded Standard 7 завершилася 13 жовтня 2020 р.
-
Розширена підтримка Windows Embedded POS Ready 7 завершилася 12 жовтня 2021 року.
-
Розширена підтримка Windows Thin PC завершилася 12 жовтня 2021 року. Зверніть увагу, що підтримка подовженого оновлення системи безпеки недоступна для Windows Thin PC.
Докладні відомості про подовжене оновлення системи безпеки та випуски, які підтримуються, див. в статті KB4497181.
Нотатка Для Windows Embedded Standard 7 необхідно ввімкнути інструментарій керування Windows (WMI), щоб отримувати оновлення з Windows Update або служби Windows Server Update Services.
Мовні пакети
Якщо після інсталяції цього оновлення інстальовано мовний пакет, потрібно повторно інсталювати це оновлення. Тому радимо інсталювати всі потрібні мовні пакети, перш ніж інсталювати це оновлення. Докладні відомості див. в статті Додавання мовних пакетів до Windows.
Обов’язкова умова
Вам необхідно інсталювати зазначені нижче оновлення й перезапустити пристрій перед інсталяцією останнього зведеного оновлення. Інсталяція цих оновлень підвищує надійність процесу оновлення та зменшує потенційні проблеми під час інсталяції останнього зведеного оновлення та застосування виправлень системи безпеки корпорації Майкрософт.
-
Оновлення стека обслуговування (SSU) від 12 березня 2019 року (KB4490628). Щоб отримати автономний пакет для цього оновлення SSU, виконайте пошук у Каталозі Microsoft Update. Це оновлення має інсталювати лише оновлення з алгоритмом SHA-2.
-
Останнє оновлення SHA-2 (KB4474419), випущене 10 вересня 2019 року. Якщо ви використовуєте Windows Update, останнє оновлення SHA-2 буде запропоновано вам автоматично. Це оновлення має інсталювати лише оновлення з алгоритмом SHA-2. Докладні відомості про оновлення SHA-2 див. в статті Вимога підтримки підписування коду SHA-2 2019 для Windows і WSUS.
-
Щоб отримати це оновлення системи безпеки, потрібно повторно інсталювати пакет підготовки до ліцензування extended Security Оновлення (ESU) (KB4538483) або "Оновлення пакета підготовки до ліцензування розширеної безпеки Оновлення (ESU) (KB4575903), навіть якщо ви раніше інсталювали ключ ESU. Пакет підготовки до ліцензування ESU буде запропоновано вам у службі WSUS. Щоб отримати автономний пакет для пакета підготовки до ліцензування ESU, виконайте пошук у Каталозі Microsoft Update.
Після інсталяції наведених вище компонентів корпорація Майкрософт наполегливо рекомендує інсталювати останнє оновлення SSU (KB5017397). Якщо ви використовуєте Windows Update, останнє оновлення SSU буде запропоновано вам автоматично. Щоб отримати автономний пакет для останнього оновлення SSU, виконайте пошук у Каталозі Microsoft Update. Загальні відомості про оновлення стека обслуговування (SSU) див. в статті Оновлення стека обслуговування та Стек обслуговування Оновлення (SSU): запитання й відповіді.
НАГАДУВАННЯ Якщо ви використовуєте лише оновлення системи безпеки, потрібно також інсталювати всі попередні оновлення лише системи безпеки та останнє сукупне оновлення для Internet Explorer (KB5019958).
Інсталювати це оновлення
Канал випуску |
Доступно |
Наступний крок |
Windows Update і Microsoft Update |
Ні |
Інші варіанти наведено нижче. |
Каталог Microsoft Update |
Так |
Щоб отримати автономний пакет для цього оновлення, перейдіть на веб-сайт Каталог Microsoft Update. |
Служби Windows Server Update Services (WSUS) |
Так |
Це оновлення автоматично синхронізується зі службами WSUS, якщо ви налаштуєте продукти та класифікації таким чином: Продукт: Windows 7 із пакетом оновлень 1 (SP1), Windows Server 2008 R2 з пакетом оновлень 1 (SP1), Windows Embedded Standard 7 із пакетом оновлень 1 (SP1), Windows Embedded POSReady 7 Класифікація: оновлення системи безпеки |
Відомості про файл
Щоб отримати список файлів, які містить це оновлення, завантажте відомості про файл для сукупного оновлення KB5020013.
Посилання
Дізнайтеся про стандартну термінологію , яка використовується для опису оновлень програмного забезпечення Microsoft.