Applies ToWindows Server 2012 Windows Embedded 8 Standard

Dátum vydania:

8. 11. 2022

Verzia:

Iba aktualizácia zabezpečenia

Zhrnutie

Získajte ďalšie informácie o tejto aktualizácii zabezpečenia vrátane vylepšení, všetkých známych problémov a spôsobu získania aktualizácie.

PRIPOMENUTIE Windows Server 2012 dosiahol koniec bežnej podpory a teraz má rozšírenú podporu. Od júla 2020 už nebudú pre tento operačný systém k dispozícii voliteľné vydania (známe ako vydania C alebo D). Operačné systémy s rozšírenou podporou majú len kumulatívne mesačné aktualizácie zabezpečenia (známe ako "B" alebo Update Tuesday release).

Pred inštaláciou tejto aktualizácie overte, či ste nainštalovali požadované aktualizácie uvedené v časti Ako získať túto aktualizáciu

Poznámka Informácie o rôznych typoch aktualizácií Windowsu, ako sú kritické aktualizácie, zabezpečenie, ovládač, balíky Service Pack atď., nájdete v nasledujúcom článku. Ak chcete zobraziť ďalšie poznámky a správy, pozrite si domovskú stránku histórie aktualizácií Windows Servera 2012.

Zlepšenie

Táto aktualizácia iba so zabezpečením zahŕňa kľúčové zmeny pre nasledujúce:

Ďalšie informácie o vyriešených rizikách zabezpečenia nájdete v časti Nasadenia | Príručka aktualizácie zabezpečenia a Aktualizácie zabezpečenia z novembra 2022.

Známe problémy v tejto aktualizácii

Príznak

Ďalší krok

Po nainštalovaní tejto aktualizácie alebo novšej aktualizácie Windowsu môžu byť operácie pripojenia domény neúspešné a vyskytla sa chyba "0xaac (2732): NERR_AccountReuseBlockedByPolicy". Okrem toho text s textom "Konto s rovnakým názvom existuje v službe Active Directory. Môže sa zobraziť opätovné použitie konta zablokované politikou zabezpečenia.

Ovplyvnené scenáre zahŕňajú niektoré operácie pripojenia k doméne alebo opätovného zobrazovania, pri ktorých bolo konto počítača vytvorené alebo vopred zinscenované inou identitou, než je identita použitá na pripojenie alebo opätovné pripojenie počítača k doméne.

Ďalšie informácie o tomto probléme nájdete v článku KB5020276 – Netjoin: Zmeny spevňujúce pripojenie k doméne.

Poznámka Je nepravdepodobné, že by sa tento problém vyskytol vo vydaniach systému Windows pre počítače so spotrebiteľmi.

Pokyny k tomuto problému nájdete v článku KB5020276 .

Po inštalácii aktualizácií Windowsu vydaných 8. novembra 2022 na windowsových serveroch, ktoré používajú rolu radiča domény, sa môžu vyskytnúť problémy s overením protokolom Kerberos. Tento problém môže ovplyvniť akékoľvek overovanie kerberos vo vašom prostredí. Niektoré scenáre, ktoré môžu byť ovplyvnené:

Keď sa vyskytne tento problém, v časti Systém denníka udalostí v radiči domény sa môže zobraziť udalosť 4 s identifikáciou udalostí Microsoft-Windows-Kerberos-Key-Distribution-Center s nižšie uvedeným textom.

Poznámka Ovplyvnené udalosti budú obsahovať reťazec chýbajúcich kľúčov s identifikáciou 1:

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

Poznámka Tento problém nie je očakávanou súčasťou spevnenia zabezpečenia pre Netlogon a Kerberos od aktualizácie zabezpečenia z novembra 2022. Aj po vyriešení tohto problému budete musieť postupovať podľa pokynov v týchto článkoch.

Na zariadenia s Windowsom, ktoré používajú používatelia alebo zariadenia, ktoré nie sú súčasťou lokálnej domény, sa tento problém netýka. Prostredia Azure Active Directory, ktoré nie sú hybridné a nemajú žiadne lokálna služba Active Directory servery, nie sú ovplyvnené.

Tento problém je vyriešený v aktualizácii KB5021652.

Po inštalácii tejto aktualizácie alebo novšej aktualizácie na radiči domény (DC) sa môže vyskytnúť pretekanie pamäte pomocou služby subsystému lokálnej autority zabezpečenia (LSASS,exe). V závislosti od vyťaženia vášho jednosmerného prúdu a času od posledného reštartu servera môže LSASS neustále zvyšovať využitie pamäte s časom spustenia servera a server môže reagovať alebo sa automaticky reštartovať.

Poznámka Tento problém môže ovplyvniť mimopásmové aktualizácie pre DCs vydané 17. novembra 2022 a 18. novembra 2022.

Na zmiernenie tohto problému otvorte príkazový riadok ako správca a pomocou nasledujúceho príkazu nastavte kľúč databázy Registry KrbtgtFullPacSignature na hodnotu 0:

reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

Poznámka Po vyriešení tohto známeho problému by ste mali nastaviť krbtgtFullPacSignature na vyššie nastavenie v závislosti od toho, čo vaše prostredie umožní. Odporúčame, aby ste režim presadzovania povolili hneď, ako bude vaše prostredie pripravené.

Ďalšie informácie o tomto kľúči databázy Registry nájdete v článku KB5020805: Ako spravovať zmeny protokolu Kerberos týkajúce sa CVE-2022-37967.

Pracujeme na riešení a poskytneme aktualizáciu v nasledujúcom vydaní.

Po nainštalovaní tejto aktualizácie sa aplikácie, ktoré používajú pripojenia ODBC prostredníctvom ovládača Microsoft ODBC SQL Server Driver (sqlsrv32.dll) na prístup k databázam, nemusia pripojiť. Okrem toho sa v aplikácii môže zobraziť chyba alebo sa môže zobraziť chyba z SQL Server. K chybám, ktoré sa môžu zobraziť, patria nasledujúce hlásenia:

  • V systéme EMS sa vyskytol problém.Hlásenie: [Microsoft][ODBC SQL Server driver] Chyba protokolu v službe TDS Stream.

  • V systéme EMS sa vyskytol problém.Hlásenie: [Microsoft][OVLÁDAČ ODBC SQL Server] Neznámy token prijatý z SQL Server.

Poznámka pre vývojárov: Aplikácie ovplyvnené týmto problémom môžu zlyhať pri načítaní údajov, napríklad pri použití funkcie SQLFetch. Tento problém sa môže vyskytnúť pri volaní funkcie SQLBindCol pred sqlfetch alebo volaní funkcie SQLGetData po SQLFetch a pri zadaní hodnoty 0 (nula) pre argument BufferLength pre pevné typy údajov väčšie ako 4 bajty (napríklad SQL_C_FLOAT).

Ak sa chcete rozhodnúť, či používate ovplyvnenú aplikáciu, otvorte aplikáciu, ktorá sa pripája k databáze. Otvorte okno príkazového riadka, zadajte nasledujúci príkaz a potom stlačte kláves Enter:

tasklist /m sqlsrv32.dll

Ak príkaz vráti úlohu, môže to mať vplyv na aplikáciu.

Ak chcete vyriešiť tento problém, môžete vykonať niektorý z týchto krokov:

  • Ak vaša aplikácia už používa alebo môže na výber pripojení ODBC použiť názov zdroja údajov (DSN), nainštalujte ovládač Microsoft ODBC 17 pre SQL Server a vyberte ho na použitie s aplikáciou pomocou DSN.Poznámka: Odporúčame najnovšiu verziu ovládača Microsoft ODBC 17 pre SQL Server, pretože je kompatibilnejší s aplikáciami, ktoré v súčasnosti používajú staršiu verziu ovládača Microsoft ODBC SQL Server Driver (sqlsrv32.dll) ako ovládač Microsoft ODBC 18 pre SQL Server.

  • Ak vaša aplikácia nemôže používať DSN, aplikácia bude potrebné upraviť tak, aby umožňovala DSN alebo aby používala novší ovládač ODBC ako ovládač Microsoft ODBC SQL Server Driver (sqlsrv32.dll).

Tento problém bol vyriešený v KB5022343. Ak ste implementovali vyššie uvedené alternatívne riešenie, odporúča sa pokračovať v používaní konfigurácie v alternatívnom riešení.

Ako získať túto aktualizáciu

Pred inštaláciou tejto aktualizácie

Pred inštaláciou najnovšej súhrnnej aktualizácie dôrazne odporúčame nainštalovať najnovšiu aktualizáciu zásobníka údržby (SSU) pre operačný systém. Aktualizácie SSU zvyšujú spoľahlivosť procesu aktualizácie a zmierňujú tak potenciálne problémy pri inštalácii súhrnnej aktualizácie a použití opráv zabezpečenia od spoločnosti Microsoft. Všeobecné informácie o SSU nájdete v téme Aktualizácie zásobníka údržby a zásobník údržby Aktualizácie (SSU): Najčastejšie otázky.

Ak používate Windows Update, automaticky sa vám ponúkne najnovšia SSU (KB5016263). Ak chcete získať samostatný balík pre najnovšiu SSU, vyhľadajte ho v katalógu microsoft update

PRIPOMENUTIE Ak používate aktualizácie iba zabezpečenia, budete musieť nainštalovať aj všetky predchádzajúce aktualizácie iba zabezpečenia a najnovšiu kumulatívnu aktualizáciu programu Internet Explorer (KB5019958).

Jazykové balíky

Ak nainštalujete jazykový balík po inštalácii tejto aktualizácie, musíte preinštalovať túto aktualizáciu. Preto odporúčame pred inštaláciou tejto aktualizácie nainštalovať všetky potrebné jazykové balíky. Ďalšie informácie nájdete v téme Pridanie jazykových balíkov do Windowsu.

Inštalovanie tejto aktualizácie

Kanál vydania

K dispozícii

Ďalší krok

Windows Update a Microsoft Update

Nie

Pozrite si ďalšie nižšie uvedené možnosti.

Katalóg služby Microsoft Update

Áno

Ak chcete získať samostatný balík pre túto aktualizáciu, prejdite na webovú lokalitu katalógu služby Microsoft Update.

Windows Server Update Services (WSUS)

Áno

Táto aktualizácia sa automaticky synchronizuje so službou WSUS, ak nakonfigurujete Produkty a klasifikácie takto:

Produkt: Windows Server 2012, Windows Embedded 8 Standard

Klasifikácia: Aktualizácie zabezpečenia

Informácie o súboroch

Zoznam súborov, ktoré sú uvedené v tejto aktualizácii, stiahnite informácie o súbore pre aktualizáciu KB5020003.

Referencie

Získajte informácie o štandardnej terminológii , ktorá sa používa na popis aktualizácií softvéru spoločnosti Microsoft.

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.