Windows 7/Server 2008 R2; Windows 8.1/Server 2012 R2: Updates (8. November 2022)

Windows[English]Auch für Windows 7 und 8.1 sowie für die Windows Server-Pendants 2008 R2 sowie 2012/R2 hat Microsoft  zum Patchday Sicherheitsupdates freigegeben. Hier ein Überblick über diese Updates für Windows 7/8.1 und die korrespondierenden Windows Server-Versionen 2008 R2 und 2012/R2.Beachtet die Hinweise auf die Installationsreihenfolge für Windows Server, die Microsoft in den KB-Artikeln angibt.

Updates für Windows 8.1 und Windows Server 2012 R2

Für Windows 8.1 und Windows Server 2012 R2 wurden ein Rollup und ein Security-only Update freigegeben. Die Update-Historie für Windows 8.1 und Windows Server 2012 R2 ist auf dieser Microsoft-Seite zu finden.

KB5020023 (Monthly Rollup) für Windows 8.1/Server 2012 R2

Update KB5020023 (Monthly Rollup for Windows 8.1 and Windows Server 2012 R2) enthält Verbesserungen und Fixes, und adressiert die folgenden Probleme.

  • Addresses a Distributed Component Object Model (DCOM) authentication hardening issue to automatically raise authentication level for all non-anonymous activation requests from DCOM clients. This will occur if the authentication level is less than RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.
  • Updates the daylight-saving time (DST) for Jordan to prevent moving the clock back 1 hour on October 28, 2022. Additionally, changes the display name of Jordan standard time from “(UTC+02:00) Amman” to “(UTC+03:00) Amman”.
  • Addresses an issue where Microsoft Azure Active Directory (AAD) Application Proxy Connector cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error: “The handle specified is invalid (0x80090301).”
  • Addresses an issue where, after installing the January 11, 2022 or later update, the Forest Trust creation process fails to populate the DNS name suffixes into the trust information attributes.
  • Addresses an issue where the Microsoft Visual C++ Redistributable Runtime does not load into the Local Security Authority Server Service (LSASS) when Protected Process Light (PPL) is enabled.
  • It addresses security vulnerabilities in the Kerberos and Netlogon protocols as outlined in CVE-2022-38023, CVE-2022-37966, and CVE-2022-37967. For deployment guidance, see the following:
    • KB5020805: How to manage the Kerberos Protocol changes related to CVE-2022-37967
    • KB5021130: How to manage Netlogon Protocol changes related to CVE-2022-38023
    • KB5021131: How to manage the Kerberos Protocol changes related to CVE-2022-37966

Dieses Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog sowie per WSUS erhältlich. Bei einer manuellen Installation ist das neueste Servicing Stack Update (SSU KB5018922) vorher zu installieren – wobei dieses SSU nicht mehr deinstalliert werden kann. Probleme in Verbindung mit dem Update sind im Supportbeitrag genannt.

KB5020010 (Security-only update) für Windows 8.1/Server 2012 R2

Update KB5020010 (Security Only Quality Update for Windows 8.1 and Windows Server 2012 R2) adressiert die folgenden Punkte.

  • Updates the daylight-saving time (DST) for Jordan to prevent moving the clock back 1 hour on October 28, 2022. Additionally, changes the display name of Jordan standard time from “(UTC+02:00) Amman” to “(UTC+03:00) Amman”.
  • Addresses an issue where, after installing the January 11, 2022 or later update, the Forest Trust creation process fails to populate the DNS name suffixes into the trust information attributes.
  • It addresses security vulnerabilities in the Kerberos and Netlogon protocols as outlined in CVE-2022-38023, CVE-2022-37966, and CVE-2022-37967. For deployment guidance, see the following:
    • KB5020805: How to manage the Kerberos Protocol changes related to CVE-2022-37967
    • KB5021130: How to manage Netlogon Protocol changes related to CVE-2022-38023
    • KB5021131: How to manage the Kerberos Protocol changes related to CVE-2022-37966

Das Update  wird per WSUS (nicht jedoch per Windows Update) verteilt oder ist im Microsoft Update Catalog erhältlich. Bei einer Installation ist vorher das neueste Servicing Stack Update (SSU) KB5018922 zu installieren. Bekannte Probleme sind im Supportbeitrag genannt.

Problembericht zu Druckern

Jürgen berichtet, dass nach dem Update auf einem Windows Server 2012 R2 (=Terminalserver) alle Drucker verschwunden seien. Beim beim Versuch, einen Drucker des Print-Servers (ebenfalls Windows Server 2012 R2) zu verbinden, kommt die Fehlermeldung:

Druckverbindung kann nicht hergestellt werden (Details: Fehler bei Vorgang: 0x000005b3).

Das Ganze hat sich dann als Folgefehler auf Maßnahmen zur Abmilderung der PrintNightmare-Schwachstellen herausgestellt. Dort war die Installation neuer Drucker deaktiviert worden. Dazu schrieb der Leser:

Ursache gefunden: Im Juni 2021 hatte ich alle seinerzeit empfohlenen Sofortmaßnahmen wegen der bereits praktisch ausgenutzten „PrinterNightmare“ Sicherheitslücke angewendet:

1. Spooler deaktivieren
2. Mit einem bereitgestellten Powershell-Skript eine DENY-Regel für SYSTEM auf den Drivers-Ordner angewendet.

Nach den Juni Updates, die erst Ende Juni 2021 verteilt wurden, hatte ich zwar den Spooler wieder aktiviert, aber schlicht vergessen, die DENY-Regel wieder zurückzunehmen.

Das hatte, weil ich seit dem keine Druckerinstallationen auf diesem Server durchführen musste, keine weiteren Auswirkungen – die genutzten Drucker waren normal verwendbar.

Die aktuellen November 2022 Updates hatten nun aber die Folge, dass alle Drucker „weg“ waren…

Und neu installieren konnte ich nicht mehr, wegen o. g., nicht zurückgenommener Maßnahme!

Gut, dass es ein ausführliches Logbuch gibt: dieses half schlussendlich bei der Fehlerfindung – ohne das LOG hätte ich den Fehler nicht gefunden, was eine aufwendige Neuinstallation des Servers und einiger Anwendungen bedeutet hätte.

Das dürfte also wohl ein Einzelfall bleiben.

Updates für Windows Server 2012

Für Windows Server 2012 und Windows Embedded 8 Standard wurden ein Rollup und ein Security-only Update freigegeben. Die Update-Historie für Windows 8.1 und Windows Server 2012 R2 ist auf dieser Microsoft-Seite zu finden.

KB5020009 (Monthly Rollup) für Windows Server 2012

Update KB5020009 (Monthly Rollup for Windows Server 2012, Windows Embedded 8 Standard) enthält Verbesserungen und Fixes, adressiert die gleichen Punkte wie das Update für Windows Server 2012 R2. Dieses Update ist im Microsoft Update Catalog sowie per WSUS erhältlich. Bei einer manuellen Installation ist das neueste Servicing Stack Update (SSU KB5016263) vorher zu installieren – wobei dieses SSU nicht mehr deinstalliert werden kann. Probleme im Zusammenhang mit dem Update sind im KB-Artikel angegeben.

KB5020003 (Security-only update) für Windows Server 2012

Update KB5020003 (Security-only for Windows Server 2012, Windows Embedded 8 Standard) enthält Verbesserungen und Fixes, adressiert die folgenden Punkte.

  • Updates the daylight-saving time (DST) for Jordan to prevent moving the clock back 1 hour on October 28, 2022. Additionally, changes the display name of Jordan standard time from “(UTC+02:00) Amman” to “(UTC+03:00) Amman”.
  • Addresses an issue where, after installing the January 11, 2022 or later update, the Forest Trust creation process fails to populate the DNS name suffixes into the trust information attributes.
    It addresses security vulnerabilities in the Kerberos and Netlogon protocols as outlined in CVE-2022-38023, CVE-2022-37966, and CVE-2022-37967. For deployment guidance, see the following:

    • KB5020805: How to manage the Kerberos Protocol changes related to CVE-2022-37967
    • KB5021130: How to manage Netlogon Protocol changes related to CVE-2022-38023
    • KB5021131: How to manage the Kerberos Protocol changes related to CVE-2022-37966

Das Update ist im Microsoft Update Catalog sowie per WSUS erhältlich. Bei einer Installation ist das neueste Servicing Stack Update (SSU KB5016263) vorher zu installieren – wobei dieses SSU nicht mehr deinstalliert werden kann. Bei diesem Update sind die gleichen Probleme wie bei den oben aufgeführten Updates bekannt.

Updates für Windows 7/Windows Server 2008 R2

Für Windows 7 SP1 und Windows Server 2008 R2 SP1 wurden ein Rollup und ein Security-only Update freigegeben. Diese Updates stehen aber nur noch für Systeme mit ESU-Lizenz (1.,2. und 3. Jahr vollständig) zur Verfügung. Die Update-Historie für Windows 7 ist auf dieser Microsoft-Seite zu finden.

Die Update-Installation erfordert entweder eine gültige ESU-Lizenz für 2021, oder ESU Bypass v11 (siehe).

KB5020000 (Monthly Rollup) für Windows 7/Windows Server 2008 R2

Update KB5020000 (Monthly Quality Rollup for Windows 7 SP1 and Windows Server 2008 R2 SP1) enthält (neben den Sicherheitsfixes vom Vormonat) Verbesserungen und Bug-Fixes und adressiert die gleichen Punkte wie das Update für Windows Server 2012 R2. Dieses Update wird automatisch per Windows Update heruntergeladen und installiert. Das Paket ist aber auch per Microsoft Update Catalog erhältlich und wird per WSUS verteilt. Details zu den Requirements und bekannten Problemen finden sich im KB-Artikel.

KB5020013 (Security Only) für Windows 7/Windows Server 2008 R2

Update KB5020013 (Security-only update) steht für Windows 7 SP1 und Windows Server 2008 R2 SP1 mit ESU-Lizenz zur Verfügung. Das Update adressiert die gleichen Punkte wie das Security only Update für Windows Server 2012 R2. Das Update gibt es per WSUS oder im Microsoft Update Catalog. Um das Update zu installieren, sind die im KB-Artikel und oben beim Rollup Update aufgeführten Vorbedingungen zu erfüllen. Das Update weist die im KB-Artikel beschriebenen bekannten Fehler auf. Achtet darauf, das neueste Servicing Stack Update vorher zu installieren.

Weitere Updates

Zudem gab es von Microsoft noch folgende Updates – abseits von Windows:

KB5020690 für .Net Framework 3.5-4.8
KB5019958 für Internet Explorer 11
KB5020743 .NET 6.0.11 Update for x64 Client erfolgreich Installiert.

Ähnliche Artikel:
Microsoft Office Updates (1. November 2022)
Microsoft Security Update Summary (8. November 2022)
Patchday: Windows 10-Updates (8. November 2022)
Patchday: Windows 11/Server 2022-Updates (8. November 2022)
Windows 7/Server 2008 R2; Windows 8.1/Server 2012 R2: Updates (8. November 2022)
Patchday: Microsoft Office Updates (8. November 2022)

Windows 10 20H2-22H2 Preview Update KB5018482 (25.10.2022)
Windows 11 22H2: Preview-Update KB5018496 (25.10.2022)
Windows 11 21H2: Preview-Update KB5018483 (25.10.2022)
Windows Server 2022 Preview Update KB5018485 (25.10.2022)

Dieser Beitrag wurde unter Sicherheit, Update, Windows Server abgelegt und mit , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

17 Antworten zu Windows 7/Server 2008 R2; Windows 8.1/Server 2012 R2: Updates (8. November 2022)

  1. Franz sagt:

    Das waren dann auch gleichzeitig die letzten Updates.

  2. Tom sagt:

    Außerdem gab es ein Update für den (noch unterstützten) INTERNET EXPLORER 11 mit KB5019958 (im Monthly Rollup bereits enthalten) und plattformübergreifend:

    KB890830 in Version 5.107
    KB5020612 und KB5020630 für .NET 4.7(2)
    KB5020609 und 5020621 für .NET 4.8

    Updates für das Servicing-Stack scheint es diesen Monat nicht zu geben.
    Gestern abend und heute vormittag ohne Probleme auf zwei x64-WINDOWS7-BypassESU installiert.

    So wie es ausschaut, scheint WINDOWS 7 doch keine ESU-Verlängerung nach dem 10.01.2023 zu bekommen:

    Nur noch 0Patch und/oder POS wird nach den Januar 2023-Updates wahrscheinlich funktionieren.

  3. Trillian sagt:

    Moin @ All!

    Als Ergänzung für die Windows 7/Server 2008 R2 Fraktion:

    KB5017397: Letztes Servicing Stack Update für Windows 7/Server 2008 R2

  4. Micha sagt:

    Unter Windows 8.1 Pro x64 keine Probleme mit dem Patchday gehabt.

    KB5020010 Sicherheitsqualitätsupdate
    KB5020690 für .Net Framework 3.5-4.8
    KB5019958 für Internet Explorer 11
    KB5020743 .NET 6.0.11 Update for x64 Client erfolgreich Installiert.

  5. Thomas sagt:

    Hallo zusammen,

    ich habe leider noch ein System welches unter Win2000 Server läuft…ich weiß…soll man nicht.
    Das erkläre mal einem Autoschrauber dessen Faktura SW drauf läuft. Ne neue gibt es die tut aber nicht so wie er will. Punkt.
    Die ist schon in einer VM und gut gekapselt soweit gut.

    Nachdem heute das Update KB5020023 auf den Win2012R2 Domaincontroller automatisch installiert wurde kann eine Win2000 Maschine nicht mehr mit der Domäne reden…

    Was kann ich wo drehen damit ich mich mit der Maschine an einer AD-Domäne wieder anmelden kann?

    Und: SMB sollte auch möglich sein, was ja wahrscheinlich die Anmeldung schon beheben sollte.

    Die Registry Änderungen von den MS Seiten habe ich durch…teilweise waren die Keys nicht vorhanden…dann habe ich Sie angelegt.

    Grüße aus Ulm

    • Tyramizou sagt:

      irgendwann muss man einem Kunden auch klar machen was „end of life“ bedeutet und dass ein Service davon im Jahre 2022 (!) Extrageld kostet.

      In solchen Fällen ist der Kunde kein „König“ sondern belastend.

      Und das muss nicht sein.

      • Olli sagt:

        >>> In solchen Fällen ist der Kunde kein „König“ sondern belastend.

        Belastend sind Hersteller die Nachhaltigkeit für irgendeinen außerirdischen Mist halten und Dienstleister die lieber die Hersteller-Werbung auswendig lernen anstatt im Sinne der eigenen Kunden dem Hersteller zu sagen: Das wollen meine Kunden nicht! Ändere, dass oder wir sehen zu künftig ohne dich auszukommen.

    • Thomas sagt:

      Hallo nochmals,

      Ja ich weiß, diese alte SW regt mich auch schon auf…nützt aber nichts.
      Bei mir hat auf jeden Fall mal ein Rollback des Novemberupdates auf dem DC geholfen.

      Soweit ich gelesen habe ist diesbezüglich anscheinend ein Bug im CU.

      Ich warte mal auf MS…

      Grüße aus Ulm

      • riedenthied sagt:

        Na dann ist ja alles in Butter und der 2000er Zombie kann weiterleben. 😂

        Lieber mal fünfe grade sein lassen und die Sicherheitsupdates zurückziehen, damit der Autoschrauber seinen Willen kriegt. Ich beteilige mich ja normalerweise nicht an solchen Belehrungen, aber: Echt jetzt?

        • Thoma sagt:

          Du bist bestimmt der Hit auf jeder Party.

          Schon mal überlegt was es für Ihn bedeutet ab sofort keine Rechnung mehr schreiben zu können? Er kann nicht so einfach seine SW wechseln, eben auch weil die SW-Entwickler auf dem gleichen hohen Ross sitzen wie du.

          Und wenn MS das fehlerlos umgesetzt hätten, könnte man eine Ausnahme speziell für die eine Maschine setzen…haben sie aber nicht.

          Ich hoffe deine Kunden bekommen Rat und Hilfe statt heißer Luft.

          Grüße aus Ulm

          • riedenthied sagt:

            Ich verstehe ja nicht, warum du hier nun gleich persönlich werden musst. Aber leider scheint es heutzutage normal zu sein, dass die Menschen kein Benehmen mehr haben…

            Nun, du schreibst es ja selbst: „Tut nicht so, wie er will“. Also scheint es ja eher an ihm zu liegen und da ist es deine Verantwortung, ihn davon zu überzeugen, sich dann doch mal umzugewöhnen. Es ist ja wohl kaum so, dass alle Autoschrauber auf einer 20 Jahre alten Software sitzen, weil sie sonst keine Rechnung mehr schreiben können.

            Ich habe keine Kunden, sondern arbeite in einer IT, die 1500 Mitarbeiter betreut. Da gibt es immer welche, die sich einfach nicht umgewöhnen wollen. Das tut mir leid für die Mitarbeiter, aber deshalb kann man nicht die Sicherheit schleifen lassen und im Jahr 2022 einen Windows-2000-Server betreiben. Das würde das Unternehmen gefährden, das würde den Job des Mitarbeiters gefährden und das würde meinen Job gefährden. Deshalb muss man da auch mal hart sein, auch wenn es als hohes Ross missverstanden wird. Insofern verstehe ich es nicht als Rat und Hilfe, die du da leistest, sondern DU gefährdest fahrlässig das Unternehmen dieses Autoschraubers, wenn du so etwas ermöglichst. Aber das ist zum Glück nicht mein Problem.

            Grüße nach Ulm

  6. Jürgen sagt:

    Auf einem unserer 2012R2 Server (=Terminalserver) sind seit den Updates gestern Abend alle Drucker verschwunden und beim Versuch, einen Drucker unseres Printservers (ebenfalls 2012R2) zu verbinden, kommt die Fehlermeldung:
    Druckverbindung kann nicht hergestellt werden (Details: Fehler bei Vorgang: 0x000005b3).
    Google ist bisher nicht sonderlich ergiebig…

    • Jürgen sagt:

      Und ein Rollback der 5 gestern getätigten Updates hat das Problem leider nicht behoben…

      • Jürgen sagt:

        Ursache gefunden:
        Im Juni 2021 hatte ich alle seinerzeit empfohlenen Sofortmaßnahmen wegen der bereits praktisch ausgenutzten „PrinterNightmare“ Sicherheitslücke angewendet:
        1. Spooler deaktivieren
        2. Mit einem bereitgestellten Powershell-Skript eine DENY-Regel für SYSTEM auf den Drivers-Ordner angewendet.
        Nach den Juni Updates, die erst Ende Juni 2021 verteilt wurden, hatte ich zwar den Spooler wieder aktiviert, aber schlicht vergessen, die DENY-Regel wieder zurückzunehmen.
        Das hatte, weil ich seit dem keine Druckerinstallationen auf diesem Server durchführen musste, keine weiteren Auswirkungen – die genutzten Drucker waren normal verwendbar.
        Die aktuellen November 2022 Updates hatten nun aber die Folge, dass alle Drucker „weg“ waren…
        Und neu installieren konnte ich nicht mehr, wegen o. g., nicht zurückgenommener Maßnahme!
        Gut, dass es ein ausführliches Logbuch gibt: dieses half schlussendlich bei der Fehlerfindung – ohne das LOG hätte ich den Fehler nicht gefunden, was eine aufwendige Neuinstallation des Servers und einiger Anwendungen bedeutet hätte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert