2022 年 11 月 8 日 - KB5020000 (月度汇总)
Applies To
Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU发布日期:
2022/11/8
版本:
月度汇总
注释 2023 年 1 月 10 日之后,Microsoft 将不再为 Windows 7 SP1 和 Windows Server 2008 R2 SP1 提供安全更新或技术支持。 建议升级到更高版本的 Windows。
摘要
详细了解此累积安全更新,包括改进、任何已知问题以及如何获取更新。
提醒Windows 7、Windows Server 2008 R2、Windows Embedded Standard 7 和 Windows Embedded POS Ready 7 已终止主流支持,现在已 (ESU) 支持。 Windows 瘦电脑已结束主流支持;但是,ESU 支持不可用。
从 2020 年 7 月开始,此操作系统将不再有可选的非安全版本 (称为“C”版本) 。 处于扩展支持阶段的操作系统仅有累积月度安全更新(称为“B”或“星期二更新”版本)。
在安装此更新之前,请验证是否已在如何获取此更新部分中安装所需的更新。
购买此 OS 本地版本的扩展安全更新 (ESU)的客户必须遵循 KB4522133 中的过程,才能在 2020 年 1 月 14 日结束扩展支持后继续接收安全更新。 有关 ESU 以及支持哪些版本的详细信息,请参阅 KB4497181。
由于 ESU 在 (2020、2021 和 2022) 的年份中作为单独的 SKU 提供,并且 ESU 只能在特定的 12 个月内购买,因此必须单独购买 ESU 覆盖范围的第三年,并在每台适用设备上激活新密钥,以便设备在 2022 年继续接收安全更新。
如果你的组织未购买第三年的 ESU 覆盖范围,你必须为适用的 Windows 7 SP1 或 Windows Server 2008 R2 SP1 设备购买第 1 年、第 2 年和第 3 年 ESU,然后安装并激活第 3 年 MAK 密钥才能接收更新。 安装、激活和部署 ESU 的步骤与第一年、第二年和第三年保险期相同。 有关详细信息,请参阅获取适用于批量许可流程的合格 Windows 设备的扩展安全汇报和将 Windows 7 ESU 作为云解决方案提供商购买 CSP 流程。 对于嵌入式设备,请联系原始设备制造商 (OEM) 。
有关详细信息,请参阅 ESU 博客。
改进
此累积安全更新包含的改进是 2022 年 10 月 11 日发布的更新 KB5017361 () 的一部分,包括以下项的关键更改:
-
解决了分布式组件对象模型 (DCOM) 身份验证强化问题,以自动提高来自 DCOM 客户端的所有非匿名激活请求的身份验证级别。 如果身份验证级别小于 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY,则会发生这种情况。
-
汇报约旦的夏令时 (DST) ,以防止在 2022 年 10 月 28 日将时钟移回 1 小时。 此外,将约旦标准时间的显示名称从“ (UTC+02:00) 安曼”更改为“ (UTC+03:00) 安曼”。
-
解决了Microsoft Azure Active Directory (AAD) 应用程序代理连接器由于以下常规 API 错误而无法代表用户检索 Kerberos 票证的问题:“指定的句柄 (0x80090301) 无效。
-
解决了安装 2022 年 1 月 11 日或更高版本更新后,林信任创建过程无法将 DNS 名称后缀填充到信任信息属性中的问题。
-
解决 Kerberos 和 Netlogon 协议中的安全漏洞,如 CVE-2022-38023、CVE-2022-37966 和 CVE-2022-37967 中所述。 有关部署指南,请参阅以下文章:
有关已解决的安全漏洞的详细信息,请参阅部署 |安全更新指南和 2022 年 11 月安全汇报。
此更新中的已知问题
症状 |
后续步骤 |
安装此更新并重启设备后,可能会收到错误“配置 Windows 更新失败。 正在还原更改。 不要关闭计算机“,更新可能会在更新历史记录中显示为”失败”。 |
在以下情况下会出现此情况:
如果你已购买 ESU 密钥并遇到此问题,请验证你已应用所有先决条件,且密钥已激活。 有关激活的信息,请参阅此博客文章。 有关先决条件的信息,请参阅本文的 如何获取此更新 部分。 |
安装此更新或更高版本的 Windows 更新后,域加入操作可能会失败,并出现错误“0xaac (2732) :NERR_AccountReuseBlockedByPolicy”。 此外,Active Directory 中存在同名帐户的文本。 可能会显示“安全策略阻止了重新使用帐户”。 受影响的方案包括一些域加入或重新映像操作,其中计算机帐户是由与用于加入或重新加入计算机到域的标识不同的标识创建的或预先暂存的。 有关此问题的详细信息,请参阅 KB5020276 - Netjoin:域加入强化更改。 注意 Windows 的使用者桌面版不太可能遇到此问题。 |
有关此问题的指导,请参阅 KB5020276 。 |
在使用域控制器角色的 Windows Server 上安装 2022 年 11 月 8 日或之后发布的 Windows 更新后,可能会出现 Kerberos 身份验证问题。 此问题可能会影响环境中的任何 Kerberos 身份验证。 一些可能受到影响的方案:
遇到此问题时,你可能会在域控制器上的事件日志的“系统”部分中收到 Microsoft-Windows-Kerberos-Key-Distribution-Center 事件 ID 4 错误事件,其中包含以下文本。 备注 受影响的事件将包含“缺少的密钥的 ID 为 1”字符串:
备注 此问题不是从 2022 年 11 月安全更新开始的 Netlogon 和 Kerberos 安全强化的预期部分。 即使此问题得到解决,仍必须遵循这些文章中的指南。 用户在家中使用的 Windows 设备或不属于本地域的设备不受此问题的影响。 非混合且没有本地 Active Directory 服务器的 Azure Active Directory 环境不受影响。 |
此问题已在更新 KB5021651 中得到解决。 |
在域控制器上安装此更新或更高版本的更新后, (DC) ,可能会遇到本地安全机构子系统服务 (LSASS,exe) 的内存泄漏。 根据 DC 的工作负荷和自上次重新启动服务器以来的时间量,LSASS 可能会随着服务器的运行时间而不断增加内存使用量,并且服务器可能会无响应或自动重启。 注意 此问题可能会影响 2022 年 11 月 17 日和 2022 年 11 月 18 日发布的 DC 的带外更新。 |
若要缓解此问题,请以管理员身份打开命令提示符,并使用以下命令将注册表项 KrbtgtFullPacSignature 设置为 0:
备注 解决此已知问题后,应根据环境允许的情况,将 KrbtgtFullPacSignature 设置为更高的设置。 建议在环境准备就绪后立即启用强制模式。 有关此注册表项的详细信息,请参阅 KB5020805:如何管理与 CVE-2022-37967 相关的 Kerberos 协议更改。 我们正寻求一种解决方案,并会在即将发布的版本中提供更新。 |
安装此更新后,通过 Microsoft ODBC SQL Server驱动程序 (sqlsrv32.dll) 使用 ODBC 连接访问数据库的应用可能无法连接。 此外,你可能会在应用中收到错误,或者可能会收到来自SQL Server的错误。 可能收到的错误包括以下消息:
面向开发人员的注意事项: 受此问题影响的应用可能无法提取数据,例如在使用 SQLFetch 函数时。 当在 SQLFetch 之前调用 SQLBindCol 函数 或在 SQLFetch 之后调用 SQLGetData 函数 时,如果为大于 4 个字节的固定数据类型(例如 SQL_C_FLOAT) )的“BufferLength”参数提供了值 0 (零 () ,则可能会出现此问题。 若要确定是否使用受影响的应用,请打开连接到数据库的应用。 打开命令提示符窗口,键入以下命令,然后按 Enter:
如果命令返回任务,则应用可能会受到影响。 |
若要缓解此问题,可以执行下列操作之一:
此问题已在 KB5022338 中解决。 如果已实现上述解决方法,建议继续使用解决方法中的配置。 |
如何获取此更新
安装此更新前
重要说明 为这些操作系统的本地版本购买了 扩展安全更新 (ESU) 的客户必须按照 KB4522133 中的过程继续接收安全更新。 扩展支持结束情况如下:
-
对于 Windows 7 Service Pack 1 和 Windows Server 2008 R2 Service Pack 1,扩展支持于 2020 年 1 月 14 日终止。
-
对于 Windows Embedded Standard 7,扩展支持于 2020 年 10 月 13 日终止。
-
对于 Windows Embedded POS Ready 7,扩展支持已于 2021 年 10 月 12 日结束。
-
对于 Windows 瘦电脑,扩展支持已于 2021 年 10 月 12 日结束。 请注意,ESU 支持不适用于 Windows 瘦电脑。
有关 ESU 以及支持哪些版本的详细信息,请参阅 KB4497181。
注意 对于 Windows Embedded Standard 7,必须启用 Windows 管理检测 (WMI) 才能从 Windows 更新或 Windows Server 更新服务获取更新。
语言包
若在安装此更新后安装语言包,则必须重新安装此更新。 因此,我们建议先安装所需的全部语言包,然后再安装此更新。 有关更多信息,请参阅添加语言包至 Windows。
先决条件
在安装最新汇总之前,你必须安装列出的以下更新,并重启设备。 安装这些更新可提高更新过程的可靠性,以便在安装汇总和应用 Microsoft 安全修补程序时缓解潜在的问题。
-
2019 年 3 月 12 日服务堆栈更新 (SSU) (KB4490628) 。 若要获取此 SSU 的独立包,请在 Microsoft 更新目录中搜索它。 安装仅 SHA-2 签名的更新时,需要此更新。
-
最新的 SHA-2 更新 (KB4474419) 于 2019 年 9 月 10 日发布。 如果你使用的是 Windows 更新,则将自动为你提供最新的 SHA-2 更新。 安装仅 SHA-2 签名的更新时,需要此更新。 有关 SHA-2 更新的详细信息,请参阅 Windows 和 WSUS 的 2019 SHA-2 代码签名支持要求。
-
若要获取此安全更新,必须重新安装“扩展安全性汇报 (ESU) 许可准备包” (KB4538483) 或“扩展安全性汇报 (ESU) 许可准备包的更新” (KB4575903) 即使以前安装了 ESU 密钥也是如此。 将使用 WSUS 提供 ESU 许可准备程序包。 若要获取独立的 ESU 许可准备程序包,请在 Microsoft 更新目录中进行搜索。
安装上述项目后,强烈建议安装最新的 SSU (KB5017397) 。 如果你使用的是 Windows 更新,则将自动为你提供最新的 SSU(如果你是 ESU 客户)。 若要获取最新 SSU 的独立包,请在 Microsoft 更新目录中搜索它。 有关 SSU 的一般信息,请参阅服务堆栈更新和服务堆栈汇报 (SSU) :常见问题。
安装此更新
发布频道 |
可用 |
下一步 |
Windows 更新和 Microsoft 更新 |
是 |
无。 如果你是 ESU 客户,此更新会通过 Windows 更新自动下载并安装。 |
Microsoft 更新目录 |
是 |
若要获取此更新的独立包,请转到 Microsoft 更新目录网站。 |
Windows Server Update Services (WSUS) |
是 |
如果你按以下方式配置“产品和分类”,此更新将自动与 WSUS 同步: 产品:Windows 7 Service Pack 1、Windows Server 2008 R2 Service Pack 1、Windows Embedded Standard 7 Service Pack 1、Windows Embedded POSReady 7 分类:安全更新 |
文件信息
有关此更新中提供的文件列表,请下载更新 KB5020000 的文件信息。
参考
了解用于描述 Microsoft 软件更新的标准术语。