[English]Am 14. Februar 2023 (zweiter Dienstag im Monat, Patchday bei Microsoft) hat Microsoft auch kumulative Updates für Windows 11 22H1 und 22H2 veröffentlicht. Zudem erhielt Windows Server 2022 ein Update. Hier einige Details zu diesen Updates, die Schwachstellen sowie Probleme beheben sollen.
Updates für Windows 11 21H1 – 22H2
Eine Liste der Windows 11 Updates lässt sich auf dieser Microsoft-Webseite abrufen. Ich habe nachfolgend die Details herausgezogen. Für die oben erwähnten Windows 11 Versionen stellt Microsoft nun folgende Updates bereit.
Update KB5022303 für Windows 11 22H2
Das kumulative Update KB5022845 hebt die OS-Build bei Windows 11 auf 22621.1265 und beinhaltet Qualitätsverbesserungen sowie Sicherheitspatches, aber keine neuen Betriebssystemfunktionen. In diesem Update kommen zusätzlich die im Preview-Update vom Januar 2023 erwähnten Korrekturen zum Einsatz (siehe Windows 11 22H2: Preview-Update KB5022360 (26.1.2023)).
Dieses Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog und per WSUS sowie WUfB erhältlich. Im Patch ist das Windows 11 Servicing Stack Update integriert, welches dessen Build auf 22621.1190 anhebt. Das Update verursacht diverse Probleme, die im Support-Beitrag aufgeführt sind.
Update KB5022836 für Windows 11 21H2
Das kumulative Update KB5022836 hebt die OS-Build bei Windows 11 auf 22000.1574 und beinhaltet Qualitätsverbesserungen sowie Sicherheitspatches, aber keine neuen Betriebssystemfunktionen. Bezüglich der durchgeführten Verbesserungen nennt Microsoft folgendes:
- This update addresses security issues for your Windows operating system.
- This update makes miscellaneous security improvements to internal OS functionality. No additional issues were documented for this release.
Microsoft hält sich bezüglich der Details der sonstigen Fixes bedeckt. Diese wurden bereits mit dem Preview-Update vom Januar 2023 dokumentiert, siehe Windows 11 21H2: Preview-Update KB5019274 (19.1.2023). Microsoft weist darauf hin, dass dieses Update Qualitätsverbesserungen am Servicing Stack (ist für Microsoft Updates verantwortlich) durchführt. Dieses Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog und per WSUS sowie WUfB erhältlich. Es werden keine bekannten Probleme im Supportbeitrag angegeben.
Windows Server 2022
Für Windows Server 2022 wurde gemäß dieser Microsoft-Seite das kumulative Update KB5022842 (Windows Server 2022) freigegeben, welches die OS-Build auf 20348.1547 anhebt. Zu den Fixes, die dieses Update vornimmt, schreibt Microsoft:
- New! It updates the text and web link for Windows Admin Center (WAC) notifications. These appear after you sign in to the desktop unless you have turned them off. The WAC notifications highlight the available Windows Server management options.
- This update addresses an issue that affects searchindexer.exe. It randomly stops you from signing in or signing out.
- This update addresses an issue that affects local Kerberos authentication. It fails if the local Key Distribution Center (KDC) service is not active.
- This update addresses an issue that affects cbs.log. This issue logs messages that are not error messages in cbs.log.
- This update addresses an issue that affects a virtual machine (VM) that has a dual stack IPv4 and IPv6 private IP (PIP) address. When you migrate the VM from one host to another, the PIPv6 address stays mapped to the old host’s IPv6 Physical Address (PA). Because of this, the IPv6 PIP stops working.
- This update addresses an issue that affects the Domain Name System (DNS) suffix search list. When you configure it, the parent domain might be missing.
- This update addresses an issue that affects all commands that change security tags. On Windows 11, version 22H2 computers, the change will fail if you update the Network Controller but not the Remote Server Administration Tools (RSAT) clients.
- This update addresses an issue that might occur when the Input Method Editor (IME) is active. Applications might stop responding when you use the mouse and keyboard at the same time.
- This update addresses an issue that might affect FindWindow() or FindWindowEx(). They might return the wrong window handle.
- This update addresses an issue that affects AppV. It stops file names from having the correct letter case (uppercase or lowercase).
- This update addresses an issue that affects Microsoft Edge. The issue removes conflicting policies for Microsoft Edge. This occurs when you set the MDMWinsOverGPFlag in a Microsoft Intune tenant and Intune detects a policy conflict.
- This update addresses an issue that affects Active Directory Federation Service (AD FS). The issue fails to apply the RequirePDC flag setting of “false.”
- This update addresses an issue that affects MSInfo.exe. It does not correctly report the enforcement status of the Windows Defender Application Control (WDAC) user mode policy.
- This update addresses an issue that affects the Resilient File System (ReFS) MSba tag. The issue causes a nonpaged pool leak.
- This update addresses an issue that affects the Resilient File System (ReFS). The issue causes high nonpaged pool usage, which depletes system memory.
- This update addresses an issue that affects parity virtual disks. Using Server Manager to create them fails.
Microsoft weist darauf hin, dass dieses Update Qualitätsverbesserungen am Servicing Stack (der ist für Microsoft Updates verantwortlich) durchführt. Dieses Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog und per WSUS sowie WUfB erhältlich. Microsoft führ ein bekanntes Problem bei WSUS in Verbindung mit dem Update auf.
Addendum: Beachtet die nachfolgenden Kommentare im Hinblick auf nicht mehr bootende virtuelle Machinen. „Secure boot“ abschalten sollte helfen.
Ähnliche Artikel:
Microsoft Security Update Summary (14. Februar 2023)
Patchday: Windows 10-Updates (14. Februar 2023)
Patchday: Windows 11/Server 2022-Updates (14. Februar 2023)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (14. Februar 2023)
Patchday: Microsoft Office Updates (14. Februar 2023)
Exchange Server Sicherheitsupdates (14. Februar 2023)
Windows Server 2022: Februar 2023-Patchday und des ESXi VM-Secure Boot-Problem
Mein 11 22H2 Notebook hat gestern Abend 2 Update-Phasen getrennt voneinander gezogen, mit getrennten Reboots.
2023-02 .NET 7.0.3 Security Update for x64 Client (KB5023286)
2023-02 .NET 6.0.14 Security Update for x64 Client (KB5023288)
2023-02 Kumulatives Update für .NET Framework 3.5 und 4.8.1 für Windows 11, version 22H2 für x64 (KB5022497)
2023-02 Kumulatives Update für Windows 11 Version 22H2 für x64-basierte Systeme (KB5022845)
Reboot für .NET, ja muss das sein???
11 21H1 – 22H2. Ich habe etliche male versucht dieses Update auf Win11 zu installieren. Auf einem alten Sytem mit Windows11, mit einer neuen frischen Win11 Version und auch manual durch löschen des alten Updatekatalogs.
Ohne Erfolg. Ich gehe davon aus, dass Microsoft hier unfertige und fehlerhafte Updates anbietet.
meine Vorlage Win 2022 VM fährt nach dem Update nicht mehr hoch, wenn man diese einmal ausgeschaltet hat.
Windows Server 2022 mit aktiviertem Secure Boot / VBS in der VMware machen nach dem Feb. Update Probleme und lassen sich nicht mehr starten.
Erst kommt: Windows Boot Manager… Security Violation
Danach Windows Boot Manager… unsuccessful
Kann das jemand bestätigen?
Ok, Roman hat es gerade bestätigt – der Kommentar war in der Moderation. Werde das im Auge behalten.
Gleiches Problem, ESXi 7.0.3
Nach Update läuft der Server, nach weiterem Boot
kommt „Security Violation“
Deaktivieren des Secure Boot löst das Problem
klappt bei mir auch. Immerhin ein Workaround
Stimmt, nach Deaktivieren von Secure Boot lässt sich die betroffenen VM wieder starten, Ebenfalls ESXi 7.0.3
Kann ich bestätigen. Das einzige was geholfen hat, war unter VM-Optionen -> Startoptionen -> Sicherer Start deaktivieren.
Maschinen die mit VBS aktiviert eingerichtet worden sind, haben natürlich ein ausgegrautes Startoptionen und lassen sich so nicht deaktivieren.
Selbiges Problem bei unseren Win 2022 Server VMs. Durch Deaktivierung von VBS und Secure Boot fährt die VM wieder hoch. (ESXi 7.0.3 Umgebung)
Falls es jemanden interessiert, Ich hab’s jetzt auch noch mit einem virtuellen Windows 11 22H1 PC mit aktiviertem Secure Boot und VBS unter ESX 7.0.3 getestet, hier scheint es das Problem nicht zu geben, die VM startet nach dem Patchen normal, sowohl beim Reboot, wie auch nach einem Shutdown.
Kann ich ebenfalls bestätigen. SecureBoot ausschalten hat bei uns auch erst einmal geholfen.
VBS scheint kein Kriterium zu sein, ich habe hier einen neuen virtuellen Server 2022 auf vSphere 7.x , den ich gestern Abend gepatcht habe, Secure Boot ist aktiviert, VBS aber nicht, ein Reboot verlief einwandfrei, nachdem ich aber die VM heruntergefahren habe, kann ich diesen nun nicht mehr starten, es scheint als wird die vHDD nicht mehr gefunden.
Ja. Nach der Installation von KB5022842 auf Windows Server 2022 bootet dieser unter VMware ESXi 7.0 (mit allen Patches sowie zumindest auch ESXi 6.7) nicht mehr wenn Secure Boot aktiviert ist, da die Signatur Verifizierung auf EFI\Microsoft\Boot\bootmgfw.efi fehlschlägt.
Aus dem vmware.log eines betroffenen Servers:
2023-02-15T10:09:56.667Z In(05) vcpu-0 – SECUREBOOT: Signature: 0 in db, 0 in dbx, 1 unrecognized, 0 unsupported alg.
2023-02-15T10:09:56.667Z In(05) vcpu-0 – Hash: 0 in db, 0 in dbx.
2023-02-15T10:09:56.667Z In(05) vcpu-0 – SECUREBOOT: Image DENIED.
Ja korrekt, kann dies ebenfalls nachvollziehen! Da bin ich ja mal gespannt wann das gefixt werden wird.
Grüße Thomas
Auf einem Server 2019 Hyper-V lässt sich nach dem Update und Neustart (Danke für die Automatik Microsoft) die 2019er Std VM nciht mehr starten. Der Kreis dreht für eine Stunde, aber es kommt nichts.
Grandioser Patchday mal wieder.
Falls jemand Tipps hat, ich bin für alles offen.
Gib uns bitte mehr Informationen zu Deinem System.
Wie viele VMs laufen darauf? Starten die anderen VMs noch? Welche Betriebssystem starten welche nicht? Wurder auch der Hypervisor gepatched? In welcher Reihenfolge? Hat der 2019 Hyper-V Server eine GUI?
Gib mal mehr Input!
Hast Du noch was versucht? Maschine nochmal ausgeschaltet, harten Reset versucht?
Ich hatte heute auch das Problem auf einer Hyper-V VM mit einem SRV2019 Std, der auch DC ist. Nach manuellen entfernen des Patches KB5022840 über Notfallmedium und dism-Befehl und langen Neustart läuft der Server wieder. Nachträgliches Windows Update mit KB5022840 hat funktioniert.
Gibt es eine offizielle Webseite von Microsoft die mögliche Richtlinien-Änderungen (GPO) zu FunktionsUpdates dokumentiert?
Ich konnte Im Ereignislog etwas finden
The hypervisor did not enable mitigations for CVE-2018-3646 for virtual machines because HyperThreading is enabled and the hypervisor core scheduler is not enabled. To enable mitigations for CVE-2018-3646 for virtual machines, enable the core scheduler by running „bcdedit /set hypervisorschedulertype core“ from an elevated command prompt and reboot.
bcdedit /set hypervisorschedulertype core in einer cmd mit erhöhten Rechten und Neustart lässt die Maschine starten.
Aber alles in der VM ist super langsam
Update sollte man auf jeden Fall einspielen wenn man einen NPS im Einsatz hat, hier gibt es eine 9,8er CVE Meldung:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21692
Hoffentlich funkt. der NPS nach dem Patchen noch….
Hats denn schon einer ausprobiert?
ja, läuft. Benötigt aber einen Reboot. Wir nutzen das für unser WLAN.
Server: 2016
ok, dann bin ich ja schon mal guter Hoffnung…
Wir nutzen den NPS auch für LAN / WLAN 802.1x Auth…haben zwar noch Server 2012R2… aber ich hoffe, es funzt auch bei dem….
Kann oben genannte Probleme bestätigen. Nach Update und Reboot starten die Maschinen nicht mehr….. HDD wird nicht gefunden.
Wieder ein Paradebeispiel für die Qualitätssicherung bei MS. Hat jemand schon eine Lösung???
Hallo Stephan,
wie oben zu lesen wenn du Secure Boot im VMware ESXi deaktivierst, dann starten die betroffenen Maschinen wieder:
Edit Settings -> VM Options
Virtualization Based Security: falls Enabled deaktivieren
Boot Options -> Secure Boot: falls Enabled deaktivieren
Zwar nicht schön aber ein Workaround bis Microsoft ein korrigiertes Update nachliefert.
Anmerkung: Die Deinstallation von KB5022842 behebt das Problem nicht, weil die EFI Dateien in der neuen Version zu verbleiben scheinen.
Bei uns booten die Citrix PVS vdisks/Maschinen nicht mehr nach dem Update. Betroffen sind zwei Server 2019 vdisks. Andere hingegen funktionieren(Win10+2019 bei anderen vdisks).
Maschinen stürzen beim Boot ab mit „Error: BNIStack failed, network stack could not be initialized“.
Boote ich die Maschinen von der vdisk vor den Updates, funktioniert wieder alles.
Ghost-Netzwerkadapter habe ich bereits geprüft/entfernt.
Hallo
Ein Kollege hat bei MS einen A Call aufgemacht.
MS ist der Fehler bekannt, liegt am ESXI
ESXI 8.0 hat das Problem nicht.
Entweder kommt Patch von MS oder von VMWare
VMWare hat die Problem mit dem Update und Seccure Boot auch erkannt:
https://kb.vmware.com/s/article/90947
Gruß
MIchael
Danke für den Link, siehe Windows Server 2022: Februar 2023-Patchday und des ESXi VM-Secure Boot-Problem
„Paradebeispiel für die Qualitätssicherung“ => die hat Microsoft doch bereits vor Jahren an die NutzerInnen outgesourct! Nur scheint das mit der Auswertung der Telemetrie irgendwie nicht so recht zu klappen…
Bei uns hat der aktuelle Patchday folgenden Spaß gebracht:
1.) Windows 10
Wir setzen Windows 10 Education 22H2 u.a. auf den Thin Clients unserer Citrix-Infrastruktur ein. Auf diesen hat es aktive Citrix Workspace Apps zerrissen: Sessions sind eingefroren; die Anwendung hing sich auf.
Bei anderen Fat Clients hat es ebenfalls aktive Anwendungen zerkloppt: AutoCAD, Firefox, Office usw.; diverse Systeme liefen bis zum Neustart instabil.
Das Novum war für uns, dass es bereits beim !Einspielen! der Updates zu Problemen kam. Bisher war das nie ein Problem. Wir suchen über den internen WSUS stündlich nach Updates; Windows spielt diese dann ein; es erfolgt ein scheduled Reboot zur Uhrzeit X (vorzugsweise Abends). Wozu konfiguriert man das allen, wenn es bereits beim Einspielen knallt…
2.) Windows Server 2022
Wir haben einen Fileservercluster aus zwei Knoten. Da lebt eine SOFS (Scale Out Fileserver) Rolle drauf, die z.B. vhdx für FSLogix Profile Container bereitstellt.
Es ist ein SOFS, damit es KEINE Unterbrechung bei der Bereitstellung des Dienstes gibt.
Das Update wird auf dem ersten Knoten eingespielt… SOFS schmiert im aktiven Betrieb ab… Knoten 1 startet neu… der Dienst fängt sich nach einigen Minuten wieder… WTF?!?
Da freue ich mich doch bereits auf das Update von Knoten 2!
———-
Wir vermuten, dass die Probleme vom .NET Update kommen. Da hatten wir schon bei einigen Patchdays Spaß. Meist aber erst nach dem Neustart und auf Servern mit IIS (es half ein Neukompilieren per ngen.exe und erneuter Neustart). Auch dieses Mal dauert das Kompilieren der .NET Assemblies nach dem Neustart auffällig lange.
Immerhin lief nach dem Neustart bei uns wieder alles. Es scheint aber so langsam egal zu sein, wie man beim Patchday vorgeht. Die Katastrophen sind vorprogrammiert.
Ach: auf den Fix der Kerberos AES 256 Baustelle auf DCs warten wir ja auch noch vergeblich. Ist ja erst der 2./3. Patchday ohne Fix.
Hello,
Had also some clients with this issue this morning.
Thanks for offering the solution…
What what make me a bit angry/affraid : those customer have the Windows Update confgured as manual!
With kind regards,
Tim Van Engeland