Microsoftは本日、月例更新の一環としてWindows 8.1、Windows 7などに対し、月例品質ロールアップとセキュリティオンリーアップデートを公開しました。
公開された月例品質ロールアップは以下の通りです(括弧内はセキュリティオンリーアップデート)。
- Windows 8.1/Windows Server 2012 R2: KB5020023(KB5020010)
- Windows 7 SP1/Widnows 2008 R2 SP1: KB5020000(KB5020013)
- Windows Server 2012: KB5020009(KB5020003)
更新プログラムは、Windows UpdateまたはMicrosoft Updateカタログを利用してインストールすることが可能で、それぞれの変更点は以下の通りとなっています。
November 8, 2022—KB5020023 (Monthly Rollup)
Windows 8.1/Windows Server 2012 R2用の月例品質ロールアップKB5020023では、分散コンポーネントオブジェクトモデル(DCOM)の認証強化の問題への対応や、Microsoft Azure Active Directory(AAD) Application Proxy Connectorがユーザーに代わってKerberosチケットを取得できない問題の修正、Protected Process Light(PPL)が有効な場合に、Microsoft Visual C++ Redistributable RuntimeがLocal Security Authority Server Service(LSASS)にロードされない問題の修正などが行われています。
Addresses a Distributed Component Object Model (DCOM) authentication hardening issue to automatically raise authentication level for all non-anonymous activation requests from DCOM clients. This will occur if the authentication level is less than RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.
Updates the daylight-saving time (DST) for Jordan to prevent moving the clock back 1 hour on October 28, 2022. Additionally, changes the display name of Jordan standard time from “(UTC+02:00) Amman” to “(UTC+03:00) Amman”.
Addresses an issue where Microsoft Azure Active Directory (AAD) Application Proxy Connector cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error: “The handle specified is invalid (0x80090301).”
Addresses an issue where, after installing the January 11, 2022 or later update, the Forest Trust creation process fails to populate the DNS name suffixes into the trust information attributes.
Addresses an issue where the Microsoft Visual C++ Redistributable Runtime does not load into the Local Security Authority Server Service (LSASS) when Protected Process Light (PPL) is enabled.
Addresses security vulnerabilities in the Kerberos and Netlogon protocols as outlined in CVE-2022-38023, CVE-2022-37966, and CVE-2022-37967. For deployment guidance, see the following articles:
KB5020805: How to manage the Kerberos protocol changes related to CVE-2022-37967
KB5021130: How to manage the Netlogon protocol changes related to CVE-2022-38023
KB5021131: How to manage the Kerberos protocol changes related to CVE-2022-37966
For more information about the resolved security vulnerabilities, please refer to the Deployments | Security Update Guide and the November 2022 Security Updates.
更新プログラムには以下の1件の既知の不具合が存在します。
| 症状 | 回避策 |
|---|---|
| ドメイン参加操作が失敗し、エラー"0xaac (2732)"が発生することがある。NERR_AccountReuseBlockedByPolicyが発生し、「Active Directoryに同じ名前のアカウントが存在します。アカウントの再利用はセキュリティポリシーで禁止されています」というメッセージが表示されることがある。 | KB5020276にガイダンスを追加し、将来のWindows Updateで最適化が可能かどうかを評価中。ガイダンスは変更がリリースされ次第、更新される予定。 |
Windows UpdateやMicrosoft Update、Microsoft Update Catalog、Windows Server Update Services (WSUS)などを利用してインストールすることができます。
November 8, 2022—KB5020000 (Monthly Rollup)
Windows 7 SP1/Widnows 2008 R2 SP1用の月例品質ロールアップKB5020000では、分散コンポーネントオブジェクトモデル(DCOM)の認証強化の問題への対応や、Microsoft Azure Active Directory(AAD) Application Proxy Connectorがユーザーに代わってKerberosチケットを取得できない問題の修正、Protected Process Light(PPL)が有効な場合に、Microsoft Visual C++ Redistributable RuntimeがLocal Security Authority Server Service(LSASS)にロードされない問題の修正などが行われています。
Addresses a Distributed Component Object Model (DCOM) authentication hardening issue to automatically raise authentication level for all non-anonymous activation requests from DCOM clients. This will occur if the authentication level is less than RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.
Updates the daylight-saving time (DST) for Jordan to prevent moving the clock back 1 hour on October 28, 2022. Additionally, changes the display name of Jordan standard time from “(UTC+02:00) Amman” to “(UTC+03:00) Amman”.
Addresses an issue where Microsoft Azure Active Directory (AAD) Application Proxy Connector cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error: “The handle specified is invalid (0x80090301).”
Addresses an issue where, after installing the January 11, 2022 or later update, the Forest Trust creation process fails to populate the DNS name suffixes into the trust information attributes.
Addresses security vulnerabilities in the Kerberos and Netlogon protocols as outlined in CVE-2022-38023, CVE-2022-37966, and CVE-2022-37967. For deployment guidance, see the following articles:
KB5020805: How to manage the Kerberos protocol changes related to CVE-2022-37967
KB5021130: How to manage the Netlogon protocol changes related to CVE-2022-38023
KB5021131: How to manage the Kerberos protocol changes related to CVE-2022-37966
For more information about the resolved security vulnerabilities, please refer to the Deployments | Security Update Guide and the November 2022 Security Updates.
更新プログラムには以下の2件の既知の不具合が存在します。
| 症状 | 回避策 |
|---|---|
| 更新プログラムをインストールしてデバイスを再起動すると「Windows更新プログラムの設定に失敗しました」というエラーが表示されることがある。 |
これは次のような状況で想定される:
ESUキーを購入してこの問題が発生した場合は、前提条件がすべて適用されていること、およびキーが有効化されていることを確認する。アクティベーションについてはこのブログ記事を参照する。前提条件については、この記事の「このアップデートの入手方法」を参照する。 |
ドメイン参加操作が失敗し、エラー"0xaac (2732)"が発生することがある。NERR_AccountReuseBlockedByPolicyが発生し、「Active Directoryに同じ名前のアカウントが存在します。アカウントの再利用はセキュリティポリシーで禁止されています」というメッセージが表示されることがある。 | KB5020276にガイダンスを追加し、将来のWindows Updateで最適化が可能かどうかを評価中。ガイダンスは変更がリリースされ次第、更新される予定。 |
Windows UpdateやMicrosoft Update、Microsoft Update Catalog、Windows Server Update Services (WSUS)などを利用してインストールすることができます。
