2022 年 11 月 8 日 - KB5019964 (操作系统内部版本 14393.5501)

^22/10/ 11重要 2023 年 1 月 10 日，用于维护具有 Intel Atom Clover Trail 处理器的设备的公共扩展将结束。 2023 年 1 月 10 日安全更新是这些设备的上次更新。在该日期之后，他们将不会收到每月安全和质量更新。这些更新可保护你免受最新的安全威胁。遗憾的是，这些设备不符合升级到较新版本Windows 10或Windows 11的硬件要求。建议考虑使用具有Windows 11的新设备。

20 ^/11/19 有关 Windows 更新术语的信息，请参阅有关 Windows 更新类型和每月质量更新类型的文章。有关Windows 10版本 1607 的概述，请参阅其更新历史记录页。

重要信息

2022 年 10 月底，约旦停止夏令时开始。约旦时区将永久转移到 UTC + 3 时区。
它解决了 Windows 操作系统的安全问题。

改进

此安全更新程序包括质量改进。安装此 KB 时：

它解决了影响分布式组件对象模型 (DCOM) 身份验证强化的问题。我们将自动将来自 DCOM 客户端的所有非匿名激活请求的身份验证级别提高到RPC_C_AUTHN_LEVEL_PKT_INTEGRITY。如果身份验证级别低于数据包完整性，则会发生这种情况。
2022 年 10 月底，约旦停止夏令时开始。约旦时区将永久转移到 UTC + 3 时区。
它解决了影响 Microsoft Azure Active Directory (AAD) 应用程序代理连接器的问题。它无法代表用户检索 Kerberos 票证。错误消息为“指定的句柄 (0x80090301) 无效。
它解决了影响林信任创建过程的问题。它无法将域名系统 (DNS) 名称后缀添加到信任信息属性。安装 2022 年 1 月 11 日或更高版本的更新后，会出现这种情况。
它解决了影响域控制器 (DC) 的问题。 DC 将密钥分发中心 (KDC) 事件 21 写入系统事件日志中。当 KDC 使用密钥信任方案的自签名证书成功处理用于初始身份验证的 Kerberos 公钥加密 (PKINIT) 身份验证请求时，会出现这种情况。这包括Windows Hello 企业版和设备身份验证。
它解决了影响 Microsoft Visual C++ 可再发行运行时的问题。启用受保护的进程灯 (PPL) 时，它不会加载到本地安全机构服务器服务 (LSASS) 。
它解决了 Kerberos 和 Netlogon 协议中的安全漏洞，如 CVE-2022-38023、 CVE-2022-37966 和 CVE-2022-37967 中所述。有关部署指南，请参阅以下内容：
- KB5020805：如何管理与 CVE-2022-37967 相关的 Kerberos 协议更改
- KB5021130：如何管理与 CVE-2022-38023 相关的 Netlogon 协议更改
- KB5021131：如何管理与 CVE-2022-37966 相关的 Kerberos 协议更改

如果安装了早期更新，则只会下载此包中包含的新更新并将其安装在设备上。

有关安全漏洞的详细信息，请参阅新的安全更新指南网站和 2022 年 11 月安全汇报。

此更新中的已知问题

症状	解决方法
在具有域控制器角色的 Windows Server 上安装 2022 年 11 月 8 日或之后发布的更新后，可能会遇到 Kerberos 身份验证问题。此问题可能会影响环境中的任何 Kerberos 身份验证。可能会受到影响的一些方案：域用户登录可能失败。这还可能会影响 Active Directory 联合身份验证服务 (AD FS) 身份验证。组托管服务帐户 (gMSA) 用于 Internet Information Services (IIS Web Server)等服务，可能无法进行身份验证。使用域用户的远程桌面连接可能无法连接。你可能无法访问工作站上的共享文件夹和服务器上的文件共享。需要域用户身份验证的打印可能会失败。遇到此问题时，可能会在域控制器上事件日志的“系统”部分收到 Microsoft-Windows-Kerberos-Key-Distribution-Center 事件 ID 14 错误事件，并显示以下文本。注意：受影响的事件将具有“缺少的密钥 ID 为 1”： `While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.` 注意此问题不是从 2022 年 11 月安全更新开始面向 Netlogon 和 Kerberos 的安全强化预期的部分。即使此问题得到解决，仍需遵循这些文章中的指导。使用者在家中使用的 Windows 设备或不属于本地域的设备不受此问题的影响。非混合且没有任何本地 Active Directory 服务器的 Azure Active Directory 环境不会受到影响。	此问题已在 2022 年 11 月 17 日发布的带外更新中得到解决，用于在环境中的所有域控制器 (DC) 上安装。无需安装任何更新或对环境中的其他服务器或客户端设备进行任何更改即可解决此问题。如果对此问题使用了任何解决方法或缓解措施，则你不再需要它们，建议将它们删除。若要获取这些带外更新的独立包，请在 Microsoft 更新目录中搜索 KB 编号。可以手动将这些更新导入到 Windows Server Update Services (WSUS) 和 Microsoft Endpoint Configuration Manager。有关 WSUS 说明，请参阅 WSUS 和目录站点。有关配置管理器说明，请参阅从 Microsoft 更新目录中导入更新。注意请注意，以下更新并非来自 Windows 更新，并且不会自动安装。累积更新： Windows Server 2022：KB5021656 Windows Server 2019：KB5021655 Windows Server 2016：KB5021654 注意在安装这些累积更新之前，无需应用任何以前的更新。如果已安装 2022 年 11 月 8 日发布的更新，则在安装任何后续更新（包括上面列出的更新）之前，无需卸载受影响的更新。独立更新： Windows Server 2012 R2：KB5021653 Windows Server 2012：KB5021652 Windows Server 2008 R2 SP1：此更新尚不可用。有关详细信息，请在接下来的一周内查看此处。 Windows Server 2008 SP2：KB5021657 注意如果你使用 Windows Server 这些版本的仅安全更新，则只需在 2022 年 11 月安装这些独立更新即可。仅安全更新不是累积更新，还需要安装所有以前的仅安全更新才能完全更新。每月汇总更新是累积更新，包括安全更新和所有质量更新。如果使用每月汇总更新，则需要安装上面列出的独立更新来解决此问题，并安装 2022 年 11 月 8 日发布的每月汇总，以接收 2022 年 11 月的质量更新。如果已安装 2022 年 11 月 8 日发布的更新，则在安装任何后续更新（包括上面列出的更新）之前，无需卸载受影响的更新。
在域控制器 (DC) 上安装此更新或更高版本的更新后，可能会遇到本地安全机构子系统服务（LSASS.exe）内存泄露的问题。根据 DC 的工作负载和自上次重启服务器以来的时间量，LSASS 可能会随着服务器的运行时间持续增加内存使用量。服务器可能变得无响应或自动重启。注意 2022 年 11 月 17 日和 2022 年 11 月 18 日发布的 DC 带外更新可能会受到此问题的影响。	此问题已在 KB5021235 中得到解决。
安装此更新后，通过利用 Microsoft ODBC SQL Server 驱动程序 (sqlsrv32.dll) 的 ODBC 连接来访问数据库的应用可能无法进行连接。你可能会在应用中收到错误，也可能会从 SQL Server 收到错误，例如收到“EMS 系统遇到问题”以及“消息: [Microsoft][ODBC SQL Server 驱动程序] TDS 流中出现协议错误”或“消息: [Microsoft][ODBC SQL Server 驱动程序] 从 SQL Server 收到未知令牌”。面向开发人员的 Note 受此问题影响的应用可能无法提取数据，例如在使用 SQLFetch 函数时便是如此。当在 SQLFetch 之前调用 SQLBindCol 函数或在 SQLFetch 之后调用 SQLGetData 函数时，如果针对大于 4 个字节的定点数据类型（例如 SQL_C_FLOAT），为“BufferLength”参数指定了值 0（零），则可能会出现此问题。如果不确定是否正在使用任何受影响的应用，请打开任何一个使用数据库的应用，然后打开命令提示符应用（选择“开始”，然后键入“命令提示符”并选择该应用）并键入以下命令： `tasklist /m sqlsrv32.dll`	此问题已在 KB5022289 中得到解决。

症状

解决方法

在具有域控制器角色的 Windows Server 上安装 2022 年 11 月 8 日或之后发布的更新后，可能会遇到 Kerberos 身份验证问题。此问题可能会影响环境中的任何 Kerberos 身份验证。可能会受到影响的一些方案：

域用户登录可能失败。这还可能会影响 Active Directory 联合身份验证服务 (AD FS) 身份验证。
组托管服务帐户 (gMSA) 用于 Internet Information Services (IIS Web Server)等服务，可能无法进行身份验证。
使用域用户的远程桌面连接可能无法连接。
你可能无法访问工作站上的共享文件夹和服务器上的文件共享。
需要域用户身份验证的打印可能会失败。

遇到此问题时，可能会在域控制器上事件日志的“系统”部分收到 Microsoft-Windows-Kerberos-Key-Distribution-Center 事件 ID 14 错误事件，并显示以下文本。注意：受影响的事件将具有“缺少的密钥 ID 为 1”：

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

注意此问题不是从 2022 年 11 月安全更新开始面向 Netlogon 和 Kerberos 的安全强化预期的部分。即使此问题得到解决，仍需遵循这些文章中的指导。

使用者在家中使用的 Windows 设备或不属于本地域的设备不受此问题的影响。非混合且没有任何本地 Active Directory 服务器的 Azure Active Directory 环境不会受到影响。

此问题已在 2022 年 11 月 17 日发布的带外更新中得到解决，用于在环境中的所有域控制器 (DC) 上安装。无需安装任何更新或对环境中的其他服务器或客户端设备进行任何更改即可解决此问题。如果对此问题使用了任何解决方法或缓解措施，则你不再需要它们，建议将它们删除。

若要获取这些带外更新的独立包，请在 Microsoft 更新目录中搜索 KB 编号。可以手动将这些更新导入到 Windows Server Update Services (WSUS) 和 Microsoft Endpoint Configuration Manager。有关 WSUS 说明，请参阅 WSUS 和目录站点。有关配置管理器说明，请参阅从 Microsoft 更新目录中导入更新。

注意请注意，以下更新并非来自 Windows 更新，并且不会自动安装。

累积更新：

Windows Server 2022：KB5021656
Windows Server 2019：KB5021655
Windows Server 2016：KB5021654

注意在安装这些累积更新之前，无需应用任何以前的更新。如果已安装 2022 年 11 月 8 日发布的更新，则在安装任何后续更新（包括上面列出的更新）之前，无需卸载受影响的更新。

独立更新：

Windows Server 2012 R2：KB5021653
Windows Server 2012：KB5021652
Windows Server 2008 R2 SP1：此更新尚不可用。有关详细信息，请在接下来的一周内查看此处。
Windows Server 2008 SP2：KB5021657

注意如果你使用 Windows Server 这些版本的仅安全更新，则只需在 2022 年 11 月安装这些独立更新即可。仅安全更新不是累积更新，还需要安装所有以前的仅安全更新才能完全更新。每月汇总更新是累积更新，包括安全更新和所有质量更新。如果使用每月汇总更新，则需要安装上面列出的独立更新来解决此问题，并安装 2022 年 11 月 8 日发布的每月汇总，以接收 2022 年 11 月的质量更新。如果已安装 2022 年 11 月 8 日发布的更新，则在安装任何后续更新（包括上面列出的更新）之前，无需卸载受影响的更新。

在域控制器 (DC) 上安装此更新或更高版本的更新后，可能会遇到本地安全机构子系统服务（LSASS.exe）内存泄露的问题。根据 DC 的工作负载和自上次重启服务器以来的时间量，LSASS 可能会随着服务器的运行时间持续增加内存使用量。服务器可能变得无响应或自动重启。

注意 2022 年 11 月 17 日和 2022 年 11 月 18 日发布的 DC 带外更新可能会受到此问题的影响。

此问题已在 KB5021235 中得到解决。

安装此更新后，通过利用 Microsoft ODBC SQL Server 驱动程序 (sqlsrv32.dll) 的 ODBC 连接来访问数据库的应用可能无法进行连接。你可能会在应用中收到错误，也可能会从 SQL Server 收到错误，例如收到“EMS 系统遇到问题”以及“消息: [Microsoft][ODBC SQL Server 驱动程序] TDS 流中出现协议错误”或“消息: [Microsoft][ODBC SQL Server 驱动程序] 从 SQL Server 收到未知令牌”。

面向开发人员的 Note 受此问题影响的应用可能无法提取数据，例如在使用 SQLFetch 函数时便是如此。当在 SQLFetch 之前调用 SQLBindCol 函数或在 SQLFetch 之后调用 SQLGetData 函数时，如果针对大于 4 个字节的定点数据类型（例如 SQL_C_FLOAT），为“BufferLength”参数指定了值 0（零），则可能会出现此问题。

如果不确定是否正在使用任何受影响的应用，请打开任何一个使用数据库的应用，然后打开命令提示符应用（选择“开始”，然后键入“命令提示符”并选择该应用）并键入以下命令：

tasklist /m sqlsrv32.dll

此问题已在 KB5022289 中得到解决。

如何获取此更新

安装此更新前

Microsoft 强烈建议你在安装最新的累积更新 (LCU) 之前为操作系统安装最新的服务堆栈更新 (SSU)。 SU 提高了更新过程的可靠性，以缓解安装 LCU 并应用Microsoft安全更新时出现的潜在问题。有关 SSU 的一般信息，请参阅服务堆栈更新和服务堆栈汇报 (SSU) ：常见问题。

如果使用 Windows 更新，系统会自动为你提供最新的 SSU (KB5017396) 。若要获取最新 SSU 的独立包，请在Microsoft更新目录中搜索它。

安装此更新

发布频道	可用	下一步
Windows 更新和 Microsoft 更新	是	无。此更新会通过 Windows 更新自动下载并安装。
Windows Update for Business	是	无。此更新会通过 Windows 更新自动下载并安装。
Microsoft 更新目录	是	若要获取此更新的独立包，请转到Microsoft更新目录网站。
Windows Server Update Services (WSUS)	是	如果按照以下方式配置“产品和分类”，此更新将自动与 WSUS 同步：产品：Windows 10 分类：安全更新

文件信息

有关此更新中提供的文件列表，请下载累积更新5019964的文件信息。

2022 年 11 月 8 日 - KB5019964 (操作系统内部版本 14393.5501)

重要信息

改进

此更新中的已知问题

如何获取此更新

需要更多帮助?

需要更多选项?

此信息是否有帮助?

谢谢您的反馈！