Applies ToWindows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro

Дата випуску:

08.11.2022

Версія:

Щомісячне зведення

Зведення

Дізнайтеся більше про цей сукупний пакет оновлень системи безпеки, зокрема про покращення, відомі проблеми та способи отримання оновлення.

НАГАДУВАННЯ Windows 8.1 досягне кінця підтримки 10 січня 2023 року, на цей момент технічна допомога та оновлення програмного забезпечення більше не надаватимуться.  Якщо у вас є пристрої під керуванням Windows 8.1, радимо оновити їх до більш актуального випуску Windows, який підтримується та працює в режимі обслуговування. Якщо пристрої не відповідають технічним вимогам для запуску більш поточного випуску Windows, радимо замінити пристрій на той, який підтримує Windows 11.

Корпорація Майкрософт не буде пропонувати програму подовженого оновлення системи безпеки (ESU) для Windows 8.1. Продовження використання Windows 8.1 після 10 січня 2023 р. може збільшити вплив організації на ризики для безпеки або вплинути на її здатність виконувати зобов'язання щодо відповідності вимогам.

Докладні відомості див. в статті підтримка Windows 8.1 завершується 10 січня 2023 року.

Підтримка Windows Server 2012 R2 завершується 10 жовтня 2023 року для Datacenter, Essentials, Embedded Systems, Foundation і Standard.

Нотатка Відомості про різні типи оновлень Windows, як-от критично важливі оновлення, безпека, драйвери, пакети оновлень тощо, див. в цій статті. Щоб переглянути інші нотатки та повідомлення, див. домашню сторінку журналу оновлень Windows 8.1 і Windows Server 2012 R2.

Поліпшень

Цей сукупний пакет оновлень системи безпеки містить вдосконалення, які входять до оновлення KB5018474 (випущене 11 жовтня 2022 р.). Воно містить основні зміни для таких елементів:

  • Вирішено проблему з апаратним забезпеченням автентифікації моделі розподілених компонентів (DCOM) для автоматичного підвищення рівня автентифікації для всіх неанонімні запити на активацію від клієнтів DCOM. Це станеться, якщо рівень автентифікації менший за RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.

  • Оновлення перехід на літній або зимовий час для Йорданії, щоб запобігти переміщенню годинника назад на 1 годину 28 жовтня 2022 року. Крім того, змінює коротке ім'я Йорданії стандартний час з "(UTC+02:00) Amman" на "(UTC+03:00) Amman".

  • Вирішено проблему, черезу якої з'єднувач проксі-сервера застосунку Microsoft Azure Active Directory (AAD) не міг отримати квиток Kerberos від імені користувача через таку загальну помилку API: "Указаний дескриптор неприпустимий (0x80090301)."

  • Вирішено проблему, через яку після інсталяції оновлення від 11 січня 2022 р. або пізнішої версії процес створення довіри лісу не вдається заповнити суфікси імен DNS в атрибути відомостей про довіру.

  • Вирішено проблему, черезу якої середовище виконання Microsoft Visual C++ вторинного розповсюдження не завантажилось до служби сервера локального центру безпеки (LSASS), якщо активовано захищений індикатор процесу (PPL).

  • Вирішено проблему вразливості системи безпеки в протоколах Kerberos і Netlogon, як зазначено в CVE-2022-38023, CVE-2022-37966 і CVE-2022-37967. Відомості про розгортання див. в таких статтях:

    Докладні відомості про усунуті вразливості системи безпеки див. в статті Розгортання | Посібник з оновлення системи безпеки та Оновлення системи безпеки за листопад 2022 р.

Докладні відомості про усунуті вразливості системи безпеки див. в статті Розгортання | Посібник з оновлення системи безпеки та Оновлення системи безпеки за листопад 2022 р.

Відомі проблеми в цьому оновленні

Проблема

Наступний крок

Після інсталяції цього оновлення або пізнішої версії оновлення Windows операції об'єднання домену можуть виявитися невдалими, а помилка "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Крім того, текст про те, що "Обліковий запис із таким самим іменем існує в Active Directory. Повторне використання облікового запису заблоковано політикою безпеки" може відображатися.

Сценарії, на які впливає проблема, включають деякі операції з приєднання до домену або повторного відтворення, під час яких обліковий запис комп'ютера створено або попередньо поставлено іншим посвідченням, ніж посвідчення, що використовується для підключення комп'ютера до домену або повторного підключення до нього.

Докладні відомості про цю проблему див. в статті KB5020276 – Netjoin: зміни, пов'язані з приєднанням до домену.

Нотатка У випусках Windows для настільних комп'ютерів для споживачів навряд чи виникатить ця проблема.

Цю проблему вирішено в оновленні KB5023765.

Після інсталяції оновлень Windows, випущених 8 листопада 2022 року або пізніше, на серверах Windows, на яких використовується роль контролера домену, можуть виникнути проблеми з автентифікацією Kerberos. Ця проблема може вплинути на будь-яку автентифікацію Kerberos у вашому середовищі. Деякі сценарії, які можуть вплинути на:

  • Можливо, не вдасться ввійти в домен. Це також може вплинути на автентифікацію Служба об'єднання AD FS (AD FS).

  • Облікові записи керованих служб групи (gMSA), які використовуються для таких служб, як Інформаційні служби Інтернету (IIS Web Server), можуть не пройти автентифікацію.

  • Підключення до віддаленого робочого стола, що використовують користувачів домену, може не підключитися.

  • Можливо, не вдасться отримати доступ до спільних папок на робочих станціях і спільних папках на серверах.

  • Можливо, не вдасться виконати друк, для якого потрібна автентифікація користувача домену.

Під час виникнення цієї проблеми може з'явитися подія помилки Microsoft-Windows-Windows-Kerberos-Key-Distribution-Center Event ID 4 в розділі Система журналу подій на контролері домену з текстом нижче.

Нотатка Події, на які впливає проблема, міститимуть рядок "відсутній ключ має ідентифікатор 1":

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

Нотатка Ця проблема не є очікуваною частиною посилення безпеки для Netlogon і Kerberos, починаючи з оновлення системи безпеки за листопад 2022 року. Ви все одно будете змушені дотримуватися вказівок у цих статтях, навіть коли цю проблему буде вирішено.

Ця проблема не впливає на пристрої Windows, які використовуються вдома споживачами або пристроями, які не входять до локального домену. Середовища Azure Active Directory, які не є гібридними та не мають локальна служба Active Directory серверів, не впливають.

Цю проблему вирішено в оновленні KB5021653.

Після інсталяції цього оновлення або пізнішого оновлення на контролері домену може стався витік пам'яті зі службою підсистеми локального центру безпеки (LSASS,exe). Залежно від навантаження постійного струму та часу після останнього перезавантаження сервера, LSASS може постійно збільшувати обсяг пам'яті під час роботи сервера, а сервер може припинити або автоматично перезавантажитися.

Нотатка Ця проблема може вплинути на застарілі оновлення для DCs, випущених 17 листопада 2022 року та 18 листопада 2022 року.

Щоб зменшити цю проблему, відкрийте командний рядок із правами адміністратора та використайте таку команду, щоб установити для розділу реєстру KrbtgtFullPacSignatureзначення 0:

reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

Примітка Після вирішення цієї відомої проблеми слід установити для параметра KrbtgtFullPacSignature значення вищого значення залежно від того, що дозволить ваше середовище. Радимо ввімкнути режим примусового застосування, щойно середовище буде готове.

Докладні відомості про цей розділ реєстру див. в статті KB5020805: Керування змінами протоколу Kerberos, пов'язаними з CVE-2022-37967.

Ми працюємо над вирішенням цієї проблеми та надамо відповідне оновлення в наступному випуску.

Після інсталяції цього оновлення програми, які використовують підключення ODBC через microsoft ODBC SQL Server Driver (sqlsrv32.dll) для доступу до баз даних, можуть не підключатися. Крім того, у програмі може з'явитися повідомлення про помилку або повідомлення про помилку від SQL Server. Можуть з'явитися такі повідомлення:

  • Сталася помилка системи EMS.Повідомлення: [Microsoft][ODBC SQL Server Driver] Protocol error in TDS Stream.

  • Сталася помилка системи EMS.Повідомлення: [Microsoft][Драйвер SQL Server ODBC] Невідомий маркер, отриманий від SQL Server.

Примітка для розробників: Програмам, на які впливає ця проблема, може не вдатися отримати дані, наприклад під час використання функції SQLFetch. Ця проблема може виникнути під час виклику функції SQLBindCol до sqlFetch або виклику функції SQLGetData після SQLFetch, а значення 0 (нуль) для аргументу "BufferLength" для фіксованих типів даних, розмір яких перевищує 4 байти (наприклад, SQL_C_FLOAT).

Щоб вирішити, чи використовуєте ви відповідну програму, відкрийте програму, яка підключається до бази даних. Відкрийте вікно командного рядка, введіть таку команду та натисніть клавішу Enter:

tasklist /m sqlsrv32.dll

Якщо команда повертає завдання, це може вплинути на програму.

Щоб зменшити цю проблему, виконайте одну з таких дій:

  • Якщо програма вже використовує або може використовувати ім'я джерела даних (DSN), щоб вибрати підключення ODBC, інсталюйте драйвер Microsoft ODBC Driver 17 для SQL Server і виберіть його для використання з програмою за допомогою DSN.Примітка: Ми радимо найновішу версію драйвера Microsoft ODBC Driver 17 для SQL Server, оскільки вона сумісніша з програмами, які наразі використовують застарілий драйвер microsoft ODBC SQL Server (sqlsrv32.dll), ніж драйвер Microsoft ODBC 18 для SQL Server.

  • Якщо програмі не вдається використовувати DSN, програму потрібно буде змінити, щоб дозволити DSN, або використовувати новіший драйвер ODBC, ніж Драйвер SQL Server Microsoft ODBC (sqlsrv32.dll).

Цю проблему вирішено в оновленні KB5022352. Якщо ви впровадили наведений вище спосіб вирішення, радимо продовжити використовувати конфігурацію, щоб вирішити цю проблему.

Отримання оновлення

Перед інсталяцією цього оновлення

Перш ніж інсталювати останнє зведене оновлення, наполегливо рекомендуємо інсталювати останнє оновлення стека обслуговування (SSU) для своєї операційної системи. Оновлення стека обслуговування (SSU) підвищують надійність процесу оновлення для зменшення потенційних проблем під час інсталяції останнього зведеного оновлення та застосування виправлень системи безпеки корпорації Майкрософт. Загальні відомості про оновлення стека обслуговування (SSU) див. в статті Оновлення стека обслуговування та Стек обслуговування Оновлення (SSU): запитання й відповіді.

Якщо ви використовуєте Windows Update, останнє оновлення SSU (KB5018922) буде запропоновано вам автоматично. Щоб отримати автономний пакет для останнього оновлення SSU, виконайте пошук у Каталозі Microsoft Update

Мовні пакети

Якщо після інсталяції цього оновлення інстальовано мовний пакет, потрібно повторно інсталювати це оновлення. Тому радимо інсталювати всі потрібні мовні пакети, перш ніж інсталювати це оновлення. Докладні відомості див. в статті Додавання мовних пакетів до Windows.

Інсталювати це оновлення

Канал випуску

Доступно

Наступний крок

Windows Update і Microsoft Update

Так

Немає. Це оновлення автоматично завантажиться й інсталюється з Windows Update.

Каталог Microsoft Update

Так

Щоб отримати автономний пакет для цього оновлення, перейдіть на веб-сайт Каталог Microsoft Update.

Служби Windows Server Update Services (WSUS)

Так

Це оновлення автоматично синхронізується зі службами WSUS, якщо ви налаштуєте продукти та класифікації таким чином:

Продукт: Windows 8.1, Windows Server 2012 R2, Windows Embedded 8.1 Industry Enterprise, Windows Embedded 8.1 Industry Pro

Класифікація: оновлення системи безпеки

Відомості про файл

Щоб отримати список файлів, які містить це оновлення, завантажте відомості про файл для сукупного оновлення KB5020023

Посилання

Дізнайтеся про стандартну термінологію , яка використовується для опису оновлень програмного забезпечення Microsoft.

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Спільноти допомагають ставити запитання й відповідати на них, надавати відгуки та дізнаватися думки висококваліфікованих експертів.