2022 年 11 月 8 日 - KB5020009 (月度汇总)
Applies To
Windows Server 2012 Windows Embedded 8 Standard发布日期:
2022/11/8
版本:
月度汇总
摘要
详细了解此累积安全更新,包括改进、任何已知问题以及如何获取更新。
REMINDER Windows Server 2012已结束主流支持,现在处于扩展支持状态。 从 2020 年 7 月开始,此操作系统将不再有可选版本(称为“C”或“D”版本)。 处于扩展支持阶段的操作系统仅有累积月度安全更新(称为“B”或“星期二更新”版本)。
安装此更新前,请确认已安装如何获取此更新部分列出的必需更新。
改进
此累积安全更新包含更新 KB5017370 (2022 年 10 月 11 日发布的) 的改进,包括以下项的关键更改:
-
解决了分布式组件对象模型 (DCOM) 身份验证强化问题,以自动提高来自 DCOM 客户端的所有非匿名激活请求的身份验证级别。 如果身份验证级别小于 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY,则会发生这种情况。
-
汇报约旦的夏令时 (DST) ,以防止在 2022 年 10 月 28 日将时钟移回 1 小时。 此外,将约旦标准时间的显示名称从“ (UTC+02:00) 安曼”更改为“ (UTC+03:00) 安曼”。
-
解决了Microsoft Azure Active Directory (AAD) 应用程序代理连接器由于以下常规 API 错误而无法代表用户检索 Kerberos 票证的问题:“指定的句柄 (0x80090301) 无效。
-
解决了安装 2022 年 1 月 11 日或更高版本更新后,林信任创建过程无法将 DNS 名称后缀填充到信任信息属性中的问题。
-
解决 Kerberos 和 Netlogon 协议中的安全漏洞,如 CVE-2022-38023、 CVE-2022-37966 和 CVE-2022-37967 中所述。 有关部署指南,请参阅以下文章:
有关已解决的安全漏洞的详细信息,请参阅部署 |安全更新指南和 2022 年 11 月安全汇报。
有关已解决的安全漏洞的详细信息,请参阅部署 |安全更新指南和 2022 年 11 月安全汇报。
此更新中的已知问题
症状 |
后续步骤 |
安装此更新或更高版本的 Windows 更新后,域加入操作可能会失败,并出现错误“0xaac (2732) :NERR_AccountReuseBlockedByPolicy”。 此外,Active Directory 中存在同名帐户的文本。 可能会显示“安全策略阻止了重新使用帐户”。 受影响的方案包括一些域加入或重新映像操作,其中计算机帐户是由与用于加入或重新加入计算机到域的标识不同的标识创建的或预先暂存的。 有关此问题的详细信息,请参阅 KB5020276 - Netjoin:域加入强化更改。 注意 Windows 的使用者桌面版不太可能遇到此问题。 |
有关此问题的指导,请参阅 KB5020276 。 |
在使用域控制器角色的 Windows Server 上安装 2022 年 11 月 8 日或之后发布的 Windows 更新后,可能会出现 Kerberos 身份验证问题。 此问题可能会影响环境中的任何 Kerberos 身份验证。 一些可能受到影响的方案:
遇到此问题时,你可能会在域控制器上的事件日志的“系统”部分中收到 Microsoft-Windows-Kerberos-Key-Distribution-Center 事件 ID 4 错误事件,其中包含以下文本。 备注 受影响的事件将包含“缺少的密钥的 ID 为 1”字符串:
备注 此问题不是从 2022 年 11 月安全更新开始的 Netlogon 和 Kerberos 安全强化的预期部分。 即使此问题得到解决,仍必须遵循这些文章中的指南。 用户在家中使用的 Windows 设备或不属于本地域的设备不受此问题的影响。 非混合且没有本地 Active Directory 服务器的 Azure Active Directory 环境不受影响。 |
此问题已在更新 KB5021652 中得到解决。 |
在域控制器上安装此更新或更高版本的更新后, (DC) ,可能会遇到本地安全机构子系统服务 (LSASS,exe) 的内存泄漏。 根据 DC 的工作负荷和自上次重新启动服务器以来的时间量,LSASS 可能会随着服务器的运行时间而不断增加内存使用量,并且服务器可能会无响应或自动重启。 注意 此问题可能会影响 2022 年 11 月 17 日和 2022 年 11 月 18 日发布的 DC 的带外更新。 |
若要缓解此问题,请以管理员身份打开命令提示符,并使用以下命令将注册表项 KrbtgtFullPacSignature 设置为 0:
备注 解决此已知问题后,应根据环境允许的情况,将 KrbtgtFullPacSignature 设置为更高的设置。 建议在环境准备就绪后立即启用强制模式。 有关此注册表项的详细信息,请参阅 KB5020805:如何管理与 CVE-2022-37967 相关的 Kerberos 协议更改。 我们正寻求一种解决方案,并会在即将发布的版本中提供更新。 |
安装此更新后,通过 Microsoft ODBC SQL Server驱动程序 (sqlsrv32.dll) 使用 ODBC 连接访问数据库的应用可能无法连接。 此外,你可能会在应用中收到错误,或者可能会收到来自SQL Server的错误。 可能收到的错误包括以下消息:
面向开发人员的注意事项: 受此问题影响的应用可能无法提取数据,例如在使用 SQLFetch 函数时。 当在 SQLFetch 之前调用 SQLBindCol 函数 或在 SQLFetch 之后调用 SQLGetData 函数 时,如果为大于 4 个字节的固定数据类型(例如 SQL_C_FLOAT) )的“BufferLength”参数提供了值 0 (零 () ,则可能会出现此问题。 若要确定是否使用受影响的应用,请打开连接到数据库的应用。 打开命令提示符窗口,键入以下命令,然后按 Enter:
如果命令返回任务,则应用可能会受到影响。 |
若要缓解此问题,可以执行下列操作之一:
此问题已在 KB5022348 中解决。 如果已实现上述解决方法,建议继续使用解决方法中的配置。 |
如何获取此更新
安装此更新前
我们强烈建议你在安装最新的汇总之前为操作系统安装最新的服务堆栈更新 (SSU)。 SSU 提高了更新过程的可靠性,以便在安装汇总和应用 Microsoft 安全修补程序时缓解潜在的问题。 有关 SSU 的一般信息,请参阅服务堆栈更新和服务堆栈汇报 (SSU) :常见问题。
如果使用 Windows 更新,系统会自动为你提供最新的 SSU (KB5016263) 。 若要获取最新 SSU 的独立包,请在 Microsoft 更新目录中搜索它。
语言包
若在安装此更新后安装语言包,则必须重新安装此更新。 因此,我们建议先安装所需的全部语言包,然后再安装此更新。 有关更多信息,请参阅添加语言包至 Windows。
安装此更新
发布频道 |
可用 |
下一步 |
Windows 更新和 Microsoft 更新 |
是 |
无。 此更新会通过 Windows 更新自动下载并安装。 |
Microsoft 更新目录 |
是 |
若要获取此更新的独立包,请转到 Microsoft 更新目录网站。 |
Windows Server Update Services (WSUS) |
是 |
如果你按以下方式配置“产品和分类”,此更新将自动与 WSUS 同步: 产品:Windows Server 2012、Windows Embedded 8 Standard 分类:安全更新 |
文件信息
有关此更新中提供的文件列表,请下载更新 KB5020009 的文件信息。
参考
了解用于描述 Microsoft 软件更新的标准术语。