2022 年 11 月 8 日 — KB5020009 (月次ロールアップ)
Applies To
Windows Server 2012 Windows Embedded 8 Standardリリース日:
2022/11/08
バージョン:
月例ロールアップ
要約
機能強化、既知の問題、更新プログラムの入手方法など、この累積的なセキュリティ更新プログラムの詳細について説明します。
REMINDER Windows Server 2012 はメインストリーム サポートの終了に達し、現在延長サポート中です。 2020 年 7 月以降、このオペレーティング システムには、オプションの非セキュリティ リリース (別称 "C" または "D" リリース) はありません。 延長サポート期間中のオペレーティング システムには、累積的な月例セキュリティ更新プログラム (別称「B」または Update Tuesday リリース) のみが提供されます。
この更新プログラムをインストールする前に、「この更新プログラムの入手方法」 セクションに記載されている必要な更新プログラムがインストールされていることを確認します
機能追加
この累積的なセキュリティ更新プログラムには、更新プログラム KB5017370 (2022 年 10 月 11 日リリース) の一部である機能強化が含まれており、次の重要な変更が含まれています。
-
分散コンポーネント オブジェクト モデル (DCOM) 認証強化の問題に対処して、DCOM クライアントからのすべての匿名アクティブ化要求の認証レベルを自動的に上げます。 これは、認証レベルがRPC_C_AUTHN_LEVEL_PKT_INTEGRITY未満の場合に発生します。
-
2022 年 10 月 28 日に時刻を 1 時間戻さないようにするために、ヨルダンの夏時間 (DST) を更新します。 さらに、ヨルダン標準時の表示名を "(UTC+02:00) アンマン" から "(UTC+03:00) アンマン" に変更します。
-
Microsoft Azure Active Directory (AAD) アプリケーション プロキシ Connector が、"指定されたハンドルが無効 (0x80090301) " という一般的な API エラーのために、ユーザーの代わりに Kerberos チケットを取得できない問題に対処します。
-
2022 年 1 月 11 日以降の更新プログラムをインストールした後、フォレスト信頼の作成プロセスで DNS 名サフィックスを信頼情報属性に設定できない問題に対処します。
-
CVE-2022-38023、CVE-2022-37966、CVE-2022-37967 で説明されているように、Kerberos および Netlogon プロトコルのセキュリティの脆弱性に対処します。 デプロイ ガイダンスについては、次の記事を参照してください。
解決されたセキュリティの脆弱性の詳細については、「デプロイ |セキュリティ更新プログラム ガイドと 2022 年 11 月のセキュリティ 更新。
解決されたセキュリティの脆弱性の詳細については、「デプロイ |セキュリティ更新プログラム ガイドと 2022 年 11 月のセキュリティ 更新。
この更新プログラムに関する既知の問題
現象 |
次の手順 |
この更新プログラムまたはそれ以降の Windows 更新プログラムがインストールされると、ドメイン参加操作が失敗し、"0xaac (2732): NERR_AccountReuseBlockedByPolicy" というエラーが発生する可能性があります。 さらに、"同じ名前のアカウントが Active Directory に存在します。 セキュリティ ポリシーによってブロックされたアカウントの再利用" が表示される場合があります。 影響を受けるシナリオには、コンピューター アカウントがドメインへの参加または再参加に使用される ID とは異なる ID によって作成または事前にステージングされた、一部のドメイン参加または再イメージング操作が含まれます。 この問題の詳細については、「 KB5020276 - Netjoin: ドメイン参加の強化の変更」を参照してください。 注 Windows のコンシューマー デスクトップ エディションでは、この問題が発生する可能性は低いです。 |
この問題のガイダンスについては 、KB5020276 を参照してください。 |
2022 年 11 月 8 日以降にリリースされた Windows 更新プログラムを、ドメイン コントローラーの役割を使用する Windows サーバーにインストールすると、Kerberos 認証で問題が発生する場合があります。 この問題は、環境内のすべての Kerberos 認証に影響を与える可能性があります。 影響を受ける可能性のあるいくつかのシナリオ:
この問題が発生すると、ドメイン コントローラーのイベント ログの [システム] セクションで、次のテキストを含む Microsoft-Windows-Kerberos-Key-Distribution-Center イベント ID 4 エラー イベントを受信することがあります。 注 影響を受けるイベントには、"欠落しているキーの ID は 1" という文字列が含まれます。
注 この問題は、2022 年 11 月のセキュリティ更新プログラム以降の、Netlogon と Kerberos のセキュリティ強化の一部として想定されていません。 この問題が解決した後でも、これらの記事のガイダンスに従う必要があります。 コンシューマーが自宅で使用する Windows デバイスまたはオンプレミス ドメインの一部ではないデバイスは、この問題の影響を受けることはありません。 ハイブリッドではなく、オンプレミスの Active Directory サーバーがない Azure Active Directory 環境は影響を受けません。 |
この問題は、更新プログラム KB5021652 で解決されます。 |
この更新プログラムまたは後の更新プログラムをドメイン コントローラー (DC) にインストールすると、ローカル セキュリティ機関サブシステム サービス (LSASS,exe) でメモリ リークが発生する可能性があります。 DC のワークロードと、サーバーの最後の再起動後の時間によっては、LSASS はサーバーのアップタイムに伴ってメモリ使用量を継続的に増加させ、サーバーが応答しなくなるか、自動的に再起動する可能性があります。 注 2022 年 11 月 17 日および 2022 年 11 月 18 日にリリースされた DC の帯域外更新プログラムは、この問題の影響を受ける可能性があります。 |
この問題を軽減するには、管理者としてコマンド プロンプトを開き、次のコマンドを使用してレジストリ キー KrbtgtFullPacSignature を 0 に設定します。
注この既知の問題が解決されたら、環境で許可される内容に応じて、 KrbtgtFullPacSignature を高い設定に設定する必要があります。 環境の準備ができたらすぐに強制モードを有効にすることをお勧めします。 このレジストリ キーの詳細については、「 KB5020805: CVE-2022-37967 に関連する Kerberos プロトコルの変更を管理する方法」を参照してください。 マイクロソフトは解決方法に取り組んでおり、今後のリリースで更新プログラムを提供します。 |
この更新プログラムをインストールした後、Microsoft ODBC SQL Server Driver (sqlsrv32.dll) を介して ODBC 接続を使用してデータベースにアクセスするアプリが接続されない可能性があります。 さらに、アプリでエラーが発生する場合や、SQL Serverからエラーが発生する場合があります。 発生する可能性があるエラーには、次のメッセージが含まれます。
開発者向けの注意事項: この問題の影響を受けるアプリは、 SQLFetch 関数を使用する場合など、データのフェッチに失敗する可能性があります。 この問題は、SQLFetch の前に SQLBindCol 関数 を呼び出すか、SQLFetch の後に SQLGetData 関数 を呼び出すとき、および 4 バイトより大きい固定データ型 (SQL_C_FLOAT など) の 'BufferLength' 引数に値 0 (ゼロ) が指定されている場合に発生する可能性があります。 影響を受けるアプリを使用しているかどうかを判断するには、データベースに接続するアプリを開きます。 コマンド プロンプト ウィンドウを開き、次のコマンドを入力し、Enter キーを押します。
コマンドがタスクを返した場合、アプリが影響を受ける可能性があります。 |
この問題を軽減するには、次のいずれかの操作を行います。
この問題は KB5022348 で解決されました。 上記の回避策を実装している場合は、回避策で構成を引き続き使用することをお勧めします。 |
この更新プログラムの入手方法
この更新プログラムをインストールする前に
最新の累積更新プログラム (LCU) をインストールする前に、お使いのオペレーティング システム用の最新のサービス スタック更新プログラム (SSU) をインストールすることを強くお勧めします。 SSU は、更新プログラム プロセスの信頼性を改善し、ロールアップをインストールして Microsoft のセキュリティ修正プログラムを適用するときに発生する可能性がある問題を緩和します。 SSU に関する一般的な情報については、「サービス スタック更新プログラム」 と 「サービス スタック更新プログラム (SSU): よく寄せられる質問」 を参照してください。
Windows Updateを使用すると、最新の SSU (KB5016263) が自動的に提供されます。 最新の SSU のスタンドアロン パッケージを入手するには、「Microsoft Update カタログ」 を検索してください。
言語パック
この更新プログラムをインストールした後に言語パックをインストールした場合は、この更新プログラムを再インストールする必要があります。 そのため、この更新プログラムをインストールする前に、必要な言語パックをすべてインストールすることをお勧めします。 詳細については、「Windows に言語パックを追加するを参照してください。
この更新プログラムのインストール
リリース チャネル |
使用可能 |
次の手順 |
Windows Update および Microsoft Update |
はい |
ありません。 この更新プログラムは、Windows Update から自動的にダウンロードおよびインストールされます。 |
Microsoft Update カタログ |
はい |
この更新プログラムのスタンドアロン パッケージを取得するには、Microsoft Update Catalog Web サイトにアクセスします。 |
Windows Server Update Services (WSUS) |
はい |
次のように [製品と分類] を構成すると、この更新プログラムは WSUS と自動的に同期します。 製品: Windows Server 2012、Windows Embedded 8 Standard 分類:セキュリティ更新プログラム |
ファイル情報
この更新プログラムで提供されるファイルの一覧については、更新プログラム KB5020009 のファイル情報をダウンロードしてください。
参考文献
Microsoft ソフトウェア更新プログラムの説明に使用される標準的な用語について説明します。