Applies ToWindows Server 2012 Windows Embedded 8 Standard

发布日期:

2022/11/8

版本:

月度汇总

摘要

详细了解此累积安全更新,包括改进、任何已知问题以及如何获取更新。

REMINDER Windows Server 2012已结束主流支持,现在处于扩展支持状态。  从 2020 年 7 月开始,此操作系统将不再有可选版本(称为“C”或“D”版本)。 处于扩展支持阶段的操作系统仅有累积月度安全更新(称为“B”或“星期二更新”版本)。

安装此更新前,请确认已安装如何获取此更新部分列出的必需更新。 

注意 有关各种类型的 Windows 更新(例如关键更新、安全性更新、驱动程序更新、Service Pack 等)的信息,请参阅以下文章。 若要查看其他笔记和消息,请参阅Windows Server 2012更新历史记录主页

改进

此累积安全更新包含更新 KB5017370 (2022 年 10 月 11 日发布的) 的改进,包括以下项的关键更改:

有关已解决的安全漏洞的详细信息,请参阅部署 |安全更新指南2022 年 11 月安全汇报

此更新中的已知问题

症状

后续步骤

安装此更新或更高版本的 Windows 更新后,域加入操作可能会失败,并出现错误“0xaac (2732) :NERR_AccountReuseBlockedByPolicy”。 此外,Active Directory 中存在同名帐户的文本。 可能会显示“安全策略阻止了重新使用帐户”。

受影响的方案包括一些域加入或重新映像操作,其中计算机帐户是由与用于加入或重新加入计算机到域的标识不同的标识创建的或预先暂存的。

有关此问题的详细信息,请参阅 KB5020276 - Netjoin:域加入强化更改

注意 Windows 的使用者桌面版不太可能遇到此问题。

有关此问题的指导,请参阅 KB5020276

在使用域控制器角色的 Windows Server 上安装 2022 年 11 月 8 日或之后发布的 Windows 更新后,可能会出现 Kerberos 身份验证问题。 此问题可能会影响环境中的任何 Kerberos 身份验证。 一些可能受到影响的方案:

遇到此问题时,你可能会在域控制器上的事件日志的“系统”部分中收到 Microsoft-Windows-Kerberos-Key-Distribution-Center 事件 ID 4 错误事件,其中包含以下文本。

备注 受影响的事件将包含“缺少的密钥的 ID 为 1”字符串:

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

备注 此问题不是从 2022 年 11 月安全更新开始的 Netlogon 和 Kerberos 安全强化的预期部分。 即使此问题得到解决,仍必须遵循这些文章中的指南。

用户在家中使用的 Windows 设备或不属于本地域的设备不受此问题的影响。 非混合且没有本地 Active Directory 服务器的 Azure Active Directory 环境不受影响。

此问题已在更新 KB5021652 中得到解决。

在域控制器上安装此更新或更高版本的更新后, (DC) ,可能会遇到本地安全机构子系统服务 (LSASS,exe) 的内存泄漏。 根据 DC 的工作负荷和自上次重新启动服务器以来的时间量,LSASS 可能会随着服务器的运行时间而不断增加内存使用量,并且服务器可能会无响应或自动重启。

注意 此问题可能会影响 2022 年 11 月 17 日和 2022 年 11 月 18 日发布的 DC 的带外更新。

若要缓解此问题,请以管理员身份打开命令提示符,并使用以下命令将注册表项 KrbtgtFullPacSignature 设置为 0

reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

备注 解决此已知问题后,应根据环境允许的情况,将 KrbtgtFullPacSignature 设置为更高的设置。 建议在环境准备就绪后立即启用强制模式。

有关此注册表项的详细信息,请参阅 KB5020805:如何管理与 CVE-2022-37967 相关的 Kerberos 协议更改

我们正寻求一种解决方案,并会在即将发布的版本中提供更新。

安装此更新后,通过 Microsoft ODBC SQL Server驱动程序 (sqlsrv32.dll) 使用 ODBC 连接访问数据库的应用可能无法连接。 此外,你可能会在应用中收到错误,或者可能会收到来自SQL Server的错误。 可能收到的错误包括以下消息:

  • EMS 系统遇到问题。消息:TDS Stream 中的 [Microsoft][ODBC SQL Server驱动程序] 协议错误。

  • EMS 系统遇到问题。消息:[Microsoft][ODBC SQL Server驱动程序] 从 SQL Server 接收的令牌未知。

面向开发人员的注意事项: 受此问题影响的应用可能无法提取数据,例如在使用 SQLFetch 函数时。 当在 SQLFetch 之前调用 SQLBindCol 函数 或在 SQLFetch 之后调用 SQLGetData 函数 时,如果为大于 4 个字节的固定数据类型(例如 SQL_C_FLOAT) )的“BufferLength”参数提供了值 0 (零 () ,则可能会出现此问题。

若要确定是否使用受影响的应用,请打开连接到数据库的应用。 打开命令提示符窗口,键入以下命令,然后按 Enter:

tasklist /m sqlsrv32.dll

如果命令返回任务,则应用可能会受到影响。

若要缓解此问题,可以执行下列操作之一:

  • 如果你的应用已在使用或能够使用数据源名称 (DSN)来选择 ODBC 连接,请安装 Microsoft ODBC Driver 17 for SQL Server 并选择它以用于使用 DSN 的应用。注意:我们建议使用最新版本的 Microsoft ODBC Driver 17 for SQL Server,因为它与当前使用旧版 Microsoft ODBC SQL Server Driver (sqlsrv32.dll) 的应用更兼容,而不是 Microsoft ODBC Driver 18 for SQL Server。

  • 如果应用无法使用 DSN,则需要修改应用以允许 DSN 或使用比 Microsoft ODBC SQL Server 驱动程序 (sqlsrv32.dll) 更新的 ODBC 驱动程序。

此问题已在 KB5022348 中解决。 如果已实现上述解决方法,建议继续使用解决方法中的配置。

如何获取此更新

安装此更新前

我们强烈建议你在安装最新的汇总之前为操作系统安装最新的服务堆栈更新 (SSU)。 SSU 提高了更新过程的可靠性,以便在安装汇总和应用 Microsoft 安全修补程序时缓解潜在的问题。 有关 SSU 的一般信息,请参阅服务堆栈更新和服务堆栈汇报 (SSU) :常见问题

如果使用 Windows 更新,系统会自动为你提供最新的 SSU (KB5016263) 。 若要获取最新 SSU 的独立包,请在 Microsoft 更新目录中搜索它。 

语言包

若在安装此更新后安装语言包,则必须重新安装此更新。 因此,我们建议先安装所需的全部语言包,然后再安装此更新。 有关更多信息,请参阅添加语言包至 Windows

安装此更新

发布频道

可用

下一步

Windows 更新和 Microsoft 更新

无。 此更新会通过 Windows 更新自动下载并安装。

Microsoft 更新目录

若要获取此更新的独立包,请转到 Microsoft 更新目录网站。

Windows Server Update Services (WSUS)

如果你按以下方式配置“产品和分类”,此更新将自动与 WSUS 同步:

产品:Windows Server 2012、Windows Embedded 8 Standard

分类:安全更新

文件信息

有关此更新中提供的文件列表,请下载更新 KB5020009 的文件信息

参考

了解用于描述 Microsoft 软件更新的标准术语

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。