8 ноември 2022 г. – KB5020009 (месечен сборен пакет за актуализация)
Applies To
Windows Server 2012 Windows Embedded 8 StandardДата на издаване:
8.11.2022 г.
Версия:
Месечен сборен пакет за актуализация
Резюме
Научете повече за тази кумулативна актуализация на защитата, включително за подобрения, известни проблеми и как да изтеглите актуализацията.
НАПОМНЯНЕ Windows Server 2012 достигна края на базовата поддръжка и вече е в разширена поддръжка. Започвайки от юли 2020 г., вече няма да има опционални издания (известни като издания "C" или "D") за тази операционна система. Операционните системи в разширена поддръжка имат само кумулативни месечни актуализации на защитата (известни като изданието "B" или "Актуализация във вторник").
Уверете се, че сте инсталирали необходимите актуализации, изброени в раздела Как да изтеглите тази актуализация, преди да инсталирате тази актуализация.
Забележка За информация относно различните типове актуализации на Windows, като например критични, за защита, за драйвери, сервизни пакети и т.н., вижте следната статия. За да видите други бележки и съобщения, вижте началната страница на хронологията на актуализациите на Windows Server 2012.
Подобрения
Тази кумулативна актуализация на защитата съдържа подобрения, които са част от актуализация KB5017370 (издадена на 11 октомври 2022 г.), и включва ключови промени за следното:
-
Адресира проблем с втвърдяване на обектен модел на разпределен компонент (DCOM) за автоматично повишаване на нивото на удостоверяване за всички не анонимни искания за активиране от DCOM клиенти. Това ще възникне, ако нивото на удостоверяване е по-малко от RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.
-
Актуализации лятното часово време (DST) за Йордания, за да се предотврати връщането на часовника обратно 1 час на 28 октомври 2022 г. Освен това променя показваното име на стандартното време на Йордания от "(UTC+02:00) Аман" на "(UTC+03:00) Аман".
-
Обърнато е внимание на проблем, при който конекторът за прокси сървър за приложения на Microsoft Azure Active Directory (AAD) не може да извлече билет на Kerberos от името на потребителя поради следната обща грешка в API: "Указаният манипулатор е невалиден (0x80090301)."
-
Обърнато е внимание на проблем, при който след инсталиране на актуализацията от 11 януари 2022 г. или по-нова, процесът на създаване на доверие в гората не успява да попълни суфиксите на DNS имената в атрибутите за информация за доверяване.
-
Обърнато е внимание на уязвимости в защитата в протоколите Kerberos и Netlogon, както е описано в CVE-2022-38023, CVE-2022-37966 и CVE-2022-37967. За указания за разполагане вижте следните статии:
-
KB5020805: Как да управлявате промените в протокола Kerberos, свързани с CVE-2022-37967
-
KB5021130: Как да управлявате промените в протокола Netlogon, свързани с CVE-2022-38023
-
KB5021131: Как да управлявате промените в протокола Kerberos, свързани с CVE-2022-37966
За повече информация относно разрешените уязвимости на защитата вижте Разполагания | Справочник за актуализации на защитата и Актуализации за защита от ноември 2022 г.
-
За повече информация относно разрешените уязвимости на защитата вижте Разполагания | Справочник за актуализации на защитата и Актуализации за защита от ноември 2022 г.
Известни проблеми в тази актуализация
Симптом |
Следваща стъпка |
След инсталирането на тази актуализация или по-нова актуализация на Windows операциите по присъединяване към домейн може да са неуспешни и възниква грешка "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Освен това текст, който гласи "Акаунт със същото име съществува в Active Directory. Възможно е да се покаже повторно използване на акаунта, блокиран от правилата за защита". Засегнатите сценарии включват някои операции за присъединяване към домейн или повторно създаване на изображения, при които акаунтът на компютъра е създаден или предварително поетапно от самоличност, различна от самоличността, използвана за присъединяване или повторно присъединяване на компютъра към домейна. За повече информация относно този проблем вижте KB5020276 – Netjoin: Промени на втвърдяване на присъединяване към домейн. Забележка Изданията consumer Desktop на Windows е малко вероятно да изпитат този проблем. |
Вижте KB5020276 за указания за този проблем. |
След инсталирането на актуализации на Windows, издадени на или след 8 ноември 2022 г. на сървъри с Windows, които използват ролята "Домейнов контролер", може да имате проблеми с удостоверяването kerberos. Този проблем може да засегне Kerberos удостоверяване във вашата среда. Някои сценарии, които може да бъдат засегнати:
Когато възникне този проблем, е възможно да получите събитие за грешка Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 4 в раздела Система на регистрационния файл на събитията на вашия домейнов контролер с текста по-долу. Забележка Засегнатите събития ще съдържат "липсващ ключ има низ с ИД 1":
Забележка Този проблем не е очаквана част от втвърдяването на защитата за Netlogon и Kerberos, започвайки от актуализацията на защитата от ноември 2022 г. Все пак ще трябва да следвате указанията в тези статии дори след разрешаването на този проблем. Устройствата с Windows, използвани у дома от потребители или устройства, които не са част от локален домейн, не са засегнати от този проблем. Среди на Azure Active Directory, които не са хибридни и нямат локален Active Directory сървъри, не са засегнати. |
Обърнато е внимание на този проблем в актуализация KB5021652. |
След като инсталирате тази актуализация или по-нова актуализация на домейнов контролер (DC), може да изпитате изтичане на памет с Local Security Authority Subsystem Service (LSASS,exe). В зависимост от работното натоварване на вашия DC и времето от последното рестартиране на сървъра LSASS може непрекъснато да увеличи използването на паметта с времето на изчакване на сървъра и сървърът може да не отговаря или автоматично да се рестартира. Забележка Вградените актуализации за DCs, издадени на 17 ноември 2022 г. и 18 ноември 2022 г., може да бъдат засегнати от този проблем. |
За да смекчите този проблем, отворете команден прозорец като администратор и използвайте следната команда, за да настроите ключа на системния регистър KrbtgtFullPacSignature на 0:
Забележка След като този известен проблем бъде решен, трябва да настроите KrbtgtFullPacSignature на по-висока настройка в зависимост от това, което ще позволи вашата среда. Препоръчваме ви да разрешите режима на прилагане веднага щом средата ви е готова. За повече информация относно този ключ от системния регистър вижте KB5020805: Как да управлявате промените в протокола Kerberos, свързани с CVE-2022-37967. Работим върху решение и ще предоставим актуализация в предстоящо издание. |
След като инсталирате тази актуализация, приложенията, които използват ODBC връзки чрез Microsoft ODBC SQL Server драйвер (sqlsrv32.dll) за достъп до бази данни, може да не се свързват. Освен това може да получите съобщение за грешка в приложението или може да получите съобщение за грешка от SQL Server. Грешките, които може да получите, включват следните съобщения:
Забележка за разработчици: Приложенията, засегнати от този проблем, може да не успеят да извличат данни, например при използване на функцията SQLFetch. Този проблем може да възникне при извикване на функцията SQLBindCol преди SQLFetch или извикване на функцията SQLGetData след SQLFetch и когато е дадена стойност 0 (нула) за аргумента "BufferLength" за фиксирани типове данни, по-големи от 4 байта (например SQL_C_FLOAT). За да решите дали използвате засегнато приложение, отворете приложението, което се свързва към база данни. Отворете прозорец на командната среда, въведете следната команда и след това натиснете Enter:
Ако командата връща задача, приложението може да бъде засегнато. |
За да смекчите този проблем, можете да направите едно от следните неща:
Този проблем е разрешен в KB5022348. Ако сте внедрили заобиколното решение по-горе, препоръчително е да продължите да използвате конфигурацията в заобиколното решение. |
Как да изтеглите тази актуализация
Преди да инсталирате текущата актуализация
Силно препоръчваме да инсталирате най-новата групова актуализация на услуги (SSU) за вашата операционна система, преди да инсталирате най-новия сборен пакет за актуализация. SSU подобряват надеждността на процеса на актуализация за намаляване на потенциални проблеми при инсталиране на сборен пакет за актуализация и прилагането на корекции на защитата за Microsoft. За обща информация относно SSU вижте Групови актуализации на услуги и Групова Актуализации на услуги (SSU): често задавани въпроси.
Ако използвате актуализиране на Windows, най-новите SSU (KB5016263) ще ви се предлагат автоматично. За да изтеглите самостоятелния пакет с най-новата SSU, потърсете го в Каталог на Microsoft Update.
Езикови пакети
Ако инсталирате езиков пакет, след като инсталирате тази актуализация, трябва да преинсталирате тази актуализация. Затова препоръчваме да инсталирате езикови пакети, които са ви необходими, преди да инсталирате тази актуализация. За повече информация вж. Добавяне на езикови пакети към Windows.
Инсталиране на тази актуализация
Канал на издание |
Налично |
Следваща стъпка |
Windows Update и Microsoft Update |
Да |
Няма. Тази актуализация ще се изтегли и инсталира автоматично от Windows Update. |
Каталог на Microsoft Update |
Да |
За да изтеглите самостоятелния пакет за тази актуализация, отидете на уеб сайта Каталог на Microsoft Update. |
Windows Server Update Services (WSUS) |
Да |
Тази актуализация автоматично ще се синхронизира с WSUS, ако конфигурирате Продукти и класификации както следва: Продукт: Windows Server 2012, Windows Embedded 8 Standard Класификация: Актуализации на защитата |
Информация за файлове
За списък на предоставените с тази актуализация файлове, изтеглете информация за файлове за актуализация KB5020009.
Справочни материали
Научете повече за стандартната терминология , която се използва за описване на актуализациите на софтуера на Microsoft.