Applies ToWindows Server 2012 Windows Embedded 8 Standard

Дата выпуска:

08.11.2022

Версия:

Обновление только для системы безопасности

Сводка

Узнайте больше об этом обновлении только для системы безопасности, в том числе об улучшениях, известных проблемах и способах установки обновления.

WINDOWS SERVER 2012 REMINDER достигла окончания основной поддержки и в настоящее время находится в расширенной поддержке. Начиная с июля 2020 г. для этой операционной системы больше не будет дополнительных выпусков (известных как выпуски "C" или "D"). Операционные системы с расширенной поддержкой имеют только накопительные ежемесячные обновления для системы безопасности (известные как "B" или обновление во вторник).

Перед установкой этого обновления убедитесь, что установлены необходимые обновления, перечисленные в разделе Как получить это обновление

Примечание Сведения о различных типах обновлений Windows, таких как критические обновления, системы безопасности, драйверы, пакеты обновления и т. д., см. в следующей статье. Другие заметки и сообщения см. на домашней странице журнала обновлений Windows Server 2012.

Улучшения

Это обновление, доступное только для системы безопасности, включает в себя ключевые изменения для следующих компонентов:

Дополнительные сведения об устраненных уязвимостях системы безопасности см. в разделе Развертывания | Руководство по обновлению системы безопасности и Обновления безопасности за ноябрь 2022 г.

Известные проблемы, связанные с этим обновлением

Проблема

Следующий шаг

После установки этого или более позднего обновления Windows операции присоединения к домену могут завершиться неудачей и возникнет ошибка "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Кроме того, текст : "Учетная запись с таким же именем существует в Active Directory. Может отображаться повторное использование учетной записи, заблокированной политикой безопасности.

Затронутые сценарии включают некоторые операции присоединения к домену или повторного создания образа, когда учетная запись компьютера была создана или предварительно подготовлена удостоверением, отличным от удостоверения, используемого для присоединения компьютера к домену или повторного присоединения к нему.

Дополнительные сведения об этой проблеме см. в статье KB5020276 — Netjoin: изменения защиты присоединения к домену.

Примечание В выпусках Windows consumer Desktop эта проблема вряд ли будет возникать.

Инструкции по этой проблеме см. в статье KB5020276 .

После установки обновлений Windows, выпущенных 8 ноября 2022 г. или позже на серверах Windows, использующих роль контроллера домена, могут возникнуть проблемы с проверкой подлинности Kerberos. Эта проблема может повлиять на любую проверку подлинности Kerberos в вашей среде. Некоторые сценарии, которые могут быть затронуты:

При возникновении этой проблемы вы можете получить событие ошибки Microsoft-Windows-Kerberos-Key-Distribution-Center с идентификатором 4 в разделе Система журнала событий на контроллере домена с приведенным ниже текстом.

Примечание Затронутые события будут содержать строку "отсутствующий ключ имеет идентификатор 1":

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

Примечание Эта проблема не является ожидаемой частью усиления безопасности для Netlogon и Kerberos, начиная с обновления системы безопасности за ноябрь 2022 г. Вам по-прежнему придется следовать рекомендациям, приведенным в этих статьях, даже после устранения этой проблемы.

Эта проблема не затрагивает устройства Windows, используемые дома потребителями или устройствами, не входящими в локальный домен. Среды Azure Active Directory, которые не являются гибридными и не имеют локальная служба Active Directory серверов, не затрагиваются.

Эта проблема устранена в обновлении KB5021652.

После установки этого или более позднего обновления на контроллере домена может возникнуть утечка памяти в службе подсистемы локального центра безопасности (LSASS,exe). В зависимости от рабочей нагрузки контроллера домена и времени, прошедшего с момента последней перезагрузки сервера, LSASS может постоянно увеличивать использование памяти с временем работы сервера, а сервер может перестать отвечать на запросы или автоматически перезапускаться.

Примечание Эта проблема может повлиять на обновления для контроллеров домена, выпущенные 17 ноября 2022 г. и 18 ноября 2022 г.

Чтобы устранить эту проблему, откройте командную строку от имени администратора и используйте следующую команду, чтобы задать для раздела реестра KrbtgtFullPacSignatureзначение 0:

reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

Примечание После устранения этой известной проблемы следует задать для KrbtgtFullPacSignature более высокий параметр в зависимости от того, что позволит ваша среда. Рекомендуется включить режим принудительного применения, как только среда будет готова.

Дополнительные сведения об этом разделе реестра см. в статье KB5020805: Управление изменениями протокола Kerberos, связанными с CVE-2022-37967.

Мы работаем над решением этой проблемы и предоставим обновление в ближайшем выпуске.

После установки этого обновления приложения, использующие подключения ODBC через Microsoft ODBC SQL Server Driver (sqlsrv32.dll), могут не подключаться к базам данных. Кроме того, в приложении может появиться сообщение об ошибке или сообщение об ошибке от SQL Server. Вы можете получить следующие сообщения об ошибках:

  • В системе EMS возникла проблема.Сообщение: [Microsoft][ODBC SQL Server Driver] Ошибка протокола в TDS Stream.

  • В системе EMS возникла проблема.Сообщение: [Microsoft][ODBC SQL Server Driver] Неизвестный маркер, полученный от SQL Server.

Примечание для разработчиков: Приложения, затронутые этой проблемой, могут не получить данные, например при использовании функции SQLFetch. Эта проблема может возникнуть при вызове функции SQLBindCol перед SQLFetch или вызове функции SQLGetData после SQLFetch и при присвоении значения 0 (ноль) для аргумента BufferLength для фиксированных типов данных размером более 4 байт (например, SQL_C_FLOAT).

Чтобы решить, используете ли вы затронутое приложение, откройте приложение, которое подключается к базе данных. Откройте окно командной строки, введите следующую команду и нажмите клавишу ВВОД:

tasklist /m sqlsrv32.dll

Если команда возвращает задачу, это может повлиять на приложение.

Чтобы устранить эту проблему, можно выполнить одно из следующих действий:

  • Если ваше приложение уже использует или может использовать имя источника данных (DSN) для выбора подключений ODBC, установите Microsoft ODBC Driver 17 для SQL Server и выберите его для использования с приложением с помощью DSN.Примечание: Мы рекомендуем использовать последнюю версию Microsoft ODBC Driver 17 для SQL Server, так как она более совместима с приложениями, использующими устаревшую версию Microsoft ODBC SQL Server Driver (sqlsrv32.dll), чем Microsoft ODBC Driver 18 для SQL Server.

  • Если вашему приложению не удается использовать DSN, потребуется изменить приложение, чтобы разрешить использование DSN или использовать более новый драйвер ODBC, чем Microsoft ODBC SQL Server Driver (sqlsrv32.dll).

Эта проблема устранена в обновлении KB5022343. Если вы реализовали описанный выше обходной путь, рекомендуется продолжить использование конфигурации в обходном пути.

Порядок получения обновления

Перед установкой этого обновления

Перед установкой последнего накопительного пакета настоятельно рекомендуется установить последнее обновление стека обслуживания (SSU) для операционной системы. Обновления SSU повышают надежность процесса обновления для устранения возможных проблем при установке накопительного пакета обновления и применении исправлений системы безопасности Майкрософт. Общие сведения о SSU см. в разделах Обновления стека обслуживания и Обновления стека обслуживания (SSU): часто задаваемые вопросы.

Если вы используете клиентский компонент Центра обновления Windows, последняя версия SSU (KB5016263) будет предложена вам автоматически. Чтобы получить автономный пакет для последней версии SSU, найдите его в каталоге Центра обновления Майкрософт

НАПОМИНАНИЕ Если вы используете обновления только для системы безопасности, вам также потребуется установить все предыдущие обновления только для системы безопасности и последнее накопительное обновление для Internet Explorer (KB5019958).

Языковые пакеты

Если языковой пакет устанавливается после установки этого обновления, необходимо переустановить это обновление. Поэтому перед установкой этого обновления рекомендуется установить все необходимые языковые пакеты. Дополнительные сведения см. в статье Добавление языковых пакетов в Windows.

Установка этого обновления

Канал выпуска

Доступна

Следующий шаг

Центр обновления Windows и Центр обновления Майкрософт

Нет

См. другие варианты ниже.

Каталог Центра обновления Майкрософт

Да

Чтобы получить автономный пакет для этого обновления, перейдите на веб-сайт каталога Центра обновления Майкрософт.

Службы Windows Server Update Services (WSUS)

Да

Это обновление будет автоматически синхронизироваться с WSUS, если вы настроите продукты и классификации следующим образом:

Продукт: Windows Server 2012, Windows Embedded 8 Standard

Классификация: обновление для системы безопасности

Сведения о файлах

Чтобы получить список файлов, которые предоставляются в этом обновлении, скачайте сведения о файлах обновления KB5020003.

Ссылки

Сведения о стандартной терминологии, используемой для описания обновлений программного обеспечения Майкрософт.

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.