2022 年 11 月 8 日 - (作業系統組建 14393.5501) KB5019964
Applies To
Windows 10, version 1607, all editions Windows Server 2016, all editions發行日期:
2022/11/8
版本:
作業系統組建 14393.5501
22 年 10 月 11 日
重要在 2023 年 1 月 10 日,對於配備 Intel Atom Clover Trail 處理器之裝置的公開擴充功能將會終止。 2023 年 1 月 10 日的安全性更新是這些裝置上一次的更新。 在該日期之後,他們將不會收到每月安全性和品質更新。 這些更新可保護您免于最新的安全性威脅。 很抱歉,這些裝置不符合升級至較新版Windows 10或Windows 11的硬體需求。 建議您考慮使用具有Windows 11的新裝置。2020 Windows 更新類型和每月品質更新類型的文章。 如需版本 1607 Windows 10概觀,請參閱其更新記錄頁面。
年 11 月 19 日 如需 Windows 更新術語的相關資訊,請參閱關於重點
-
它會在 2022 年 10 月底停止在約旦開始日光節約時間。 約旦時區將會永久移至 UTC + 3 時區。
-
它可解決 Windows 作業系統的安全性問題。
改善
此安全性更新包括品質改善。 當您安裝此 KB 時:
-
它解決了會影響分散式元件物件模型 (DCOM) 驗證硬化的問題。 我們將自動提高 DCOM 用戶端的所有非匿名啟用要求的驗證層級,以RPC_C_AUTHN_LEVEL_PKT_INTEGRITY。 如果驗證層級低於封包完整性,就會發生這種情況。
-
它會在 2022 年 10 月底停止在約旦開始日光節約時間。 約旦時區將會永久移至 UTC + 3 時區。
-
它可解決影響Microsoft Azure Active Directory (AAD) 應用程式 Proxy連接器的問題。 它無法代表使用者擷取 Kerberos 票證。 錯誤訊息是「指定的控點無效 (0x80090301) 」。
-
它可解決影響森林信任建立程式的問題。 無法將網域名稱系統 (DNS) 名稱尾碼新增至信任資訊屬性。 這會在您安裝 2022 年 1 月 11 日或更新版本之後發生。
-
它可解決影響網域控制站 (DC) 的問題。 DC 會在系統事件記錄檔 (KDC) 事件 21 中寫入金鑰發佈中心。 當 KDC 使用自我簽署憑證處理金鑰信任案例的初始驗證 (PKINIT) 驗證要求的 Kerberos 公開金鑰密碼編譯時,就會發生這種情況。 這包括Windows Hello 企業版和裝置驗證。
-
它會解決影響可轉散發執行時間Microsoft Visual C++的問題。 當您啟用受保護的程式指示燈 (PPL) 時,它不會載入到本地安全域伺服器服務 (LSASS) 。
-
它會解決 Kerberos 和 Netlogon 通訊協定中的安全性弱點,如 CVE-2022-38023、 CVE-2022-37966和CVE-2022-37967中所述。 如需部署指導方針,請參閱下列內容:
如果您已安裝較舊的更新,則只有此套件中包含的新更新會下載並安裝在您的裝置上。
如需安全性弱點的詳細資訊,請參閱新的安全性更新指南網站和2022 年 11 月安全性更新。
此更新中的已知問題
徵狀 |
因應措施 |
---|---|
在具有網域控制站角色的 Windows 伺服器上安裝 2022 年 11 月 8 日或更新版本所發佈的更新之後,Kerberos 驗證可能會有問題。 此問題可能會影響您環境中的任何 Kerberos 驗證。 一些可能受影響的案例:
發生此問題時,您可能會在網域控制站上事件記錄中的系統區段收到「Microsoft-Windows-Kerberos-Key-Distribution-Center 事件識別碼 14 錯誤事件」,並包含下列文字。 注意:受影響的事件將會有「遺失的金鑰具有識別碼 1」:
附註 此問題不是從 2022 年 11 月安全性更新開始,Netlogon 和 Kerberos 安全性強化的預期部分。 即使此問題已解決,您仍須遵循這些文章中的指引。 消費者在家使用的 Windows 裝置或非內部部署網域一部分的裝置不會受此問題影響。 非混合式且沒有任何內部部署 Active Directory 伺服器的 Azure Active Directory 環境不受影響。 |
此問題已在 2022 年 11 月 17 日發佈的頻外更新中解決,可供在您環境中的所有網域控制站 (DC) 上安裝。 您不需要安裝任何更新,或對環境中的其他伺服器或用戶端裝置進行任何變更,以解決此問題。 如果您已使用此問題的任何解決方法或緩和措施,則不再需要它們,建議您將它們移除。 若要取得這些頻外更新的獨立套件,請搜尋 Microsoft Update Catalog 中的 KB 編號。 您可以手動將這些更新匯入 Windows Server Update Services (WSUS) 和 Microsoft Endpoint Configuration Manager。 如需 WSUS 的指示,請參閱 WSUS 和目錄網站 (部分機器翻譯)。 如需 Configuration Manger 的指示,請參閱從 Microsoft Update Catalog 匯入更新。 附註 下列更新無法從 Windows Update 取得,因此將不會自動安裝。 累積更新: 附註 在您安裝這些累積更新之前,不需要先套用任何先前的更新。 如果您已安裝 2022 年 11 月 8 日發佈的更新,則安裝任何後續的更新 (包括上述更新) 之前,不需要解除安裝受影響的更新。 獨立更新:
附註 如果您只針對這些版本的 Windows Server 使用安全性更新,則只需要安裝 2022 年 11 月的這些獨立更新。 僅限安全性更新不是累積的,而且您也將必須安裝所有先前的僅限安全性更新,才能完全保持在最新狀態。 每月彙總更新是累積的,並包含安全性和所有品質更新。 如果您使用每月彙總更新,將必須安裝上述兩個獨立更新來解決此問題,並安裝 2022 年 11 月 8 日發行的每月彙總,以獲得 2022 年 11 月的品質更新。 如果您已安裝 2022 年 11 月 8 日發佈的更新,則安裝任何後續的更新 (包括上述更新) 之前,不需要解除安裝受影響的更新。 |
在網域控制站 (DC) 上安裝此更新或更晚的更新之後,您可能會遇到記憶體隨著本機安全性授權子系統服務 (LSASS.exe) 發生記憶體流失。 根據您的 DC 工作負載以及上次重新開機伺服器後的時間量而定,LSASS 可能會隨著伺服器的上一段時間持續增加記憶體使用量。 伺服器可能無回應或自動重新開機。 附註 2022 年 11 月 17 日和 2022 年 11 月 18 日發佈的 DCS 頻外更新可能會受到此問題影響。 |
這個問題已在 KB5021235 中解決。 |
安裝此更新之後,利用 Microsoft ODBC SQL Server Driver (sqlsrv32.dll) 使用 ODBC 連線來存取資料庫的應用程式可能無法連線。 您可能會在應用程式內收到錯誤,或收到來自 SQL Server 的錯誤,例如「EMS 系統發生問題」,並出現「訊息: [Microsoft][ODBC SQL Server Driver] TDS 資料流中發生通訊協定錯誤」或「訊息: [Microsoft][ODBC SQL Server Driver] 從 SQL Server 收到未知的權杖」。 開發人員注意事項 受此問題影響的應用程式可能會無法擷取資料,例如使用 SQLFetch 函數時。 在 SQLFetch 之前呼叫 SQLBindCol 函數,或在 SQLFetch 之後呼叫 SQLGetData 函數,以及為 ‘BufferLength’ 引數提供值 0 (零) 以取得大於 4 位元組的固定資料類型 (例如 SQL_C_FLOAT) 時,可能會發生此問題。 如果您不確定是否正在使用任何受影響的應用程式,請開啟任何使用資料庫的應用程式,然後開啟命令提示字元 (選取 [開始],然後輸入命令提示字元,然後選取它),並輸入下列命令:
|
這個問題已在 KB5022289 中解決。 |
如何取得此更新
安裝此更新之前
Microsoft 強烈建議您,在安裝最新累積更新 (LCU) 之前,先為您的作業系統安裝最新服務堆疊更新 (SSU)。 SSU 改善更新程式的可靠性,以降低安裝 LCU 和套用Microsoft安全性更新時的潛在問題。 如需 SSU 的一般資訊,請參閱維護堆疊更新與服務堆疊更新 (SSU) :常見問題。
如果您使用的是 Windows Update,系統會自動為您提供最新的 SSU (KB5017396) 。 若要取得最新 SSU 的獨立套件,請在Microsoft Update Catalog中搜尋。
安裝此更新
發行管道 |
可供使用 |
後續步驟 |
Windows Update 和 Microsoft Update |
是 |
無。 此更新將從 Windows Update 自動下載並安裝。 |
Windows Update for Business |
是 |
無。 此更新將根據設定的策略從 Windows Update 自動下載並安裝。 |
Microsoft Update Catalog |
是 |
若要取得此更新的獨立套件,請移至Microsoft Update Catalog網站。 |
Windows Server Update Services (WSUS) |
是 |
如果您依下列所示設定 [產品和分類],此更新將會自動與 WSUS 同步: 產品:Windows 10 分類:安全性更新 |
檔案資訊
如需此更新中提供的檔案清單,請下載累積更新5019964的檔案資訊。