[English]Am 14. März 2023 (zweiter Dienstag im Monat, Patchday bei Microsoft) hat Microsoft auch kumulative Updates für Windows 11 22H1 und 22H2 veröffentlicht. Zudem erhielt Windows Server 2022 ein Update. Hier einige Details zu diesen Updates, die Schwachstellen sowie Probleme beheben sollen.
Updates für Windows 11 21H1 – 22H2
Eine Liste der Windows 11 Updates lässt sich auf dieser Microsoft-Webseite abrufen. Ich habe nachfolgend die Details herausgezogen. Für die oben erwähnten Windows 11 Versionen stellt Microsoft nun folgende Updates bereit.
Update KB5023706 für Windows 11 22H2
Das kumulative Update KB5023706 hebt die OS-Build bei Windows 11 auf 22621.1413 und beinhaltet Qualitätsverbesserungen sowie Sicherheitspatches. In diesem Update kommen zusätzlich die im Preview-Update vom Vormonat erwähnten Moments 2 neuerungen zum Einsatz (siehe Windows 11 22H2: Moments 2-Update KB5022913 bringt viele Neuerungen). In verwalteten Umgebungen empfiehlt es sich, die Installation dieses Updates zurückzustellen. Im Supportbeitrag KB5023706 gibt Microsoft folgende Neuerungen an:
- This update addresses security issues for your Windows operating system.
- This update implements phase three of Distributed Component Object Model (DCOM) hardening. See KB5004442 – und den Blog-Beitrag DCOM-Härtung (CVE-2021-26414) zum 14. März 2023-Patchday für Windows 10/11 und Server). After you install this update, you cannot turn off the changes using the registry key.
- This update addresses an issue that affects a computer account and Active Directory. When you reuse an existing computer account to join an Active Directory domain, joining fails. This occurs on devices that have installed Windows updates dated October 11, 2022 or later. The error message is, “Error 0xaac (2732): NERR_AccountReuseBlockedByPolicy: ‘An account with the same name exists in Active Directory. Re-using the account was blocked by security policy.’” For more information, see KB5020276.
Dieses Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog und per WSUS sowie WUfB erhältlich. Im Patch ist das Windows 11 Servicing Stack Update integriert, welches dessen Build auf 22621.1190 anhebt. Das Update verursacht diverse Probleme, die im Support-Beitrag aufgeführt sind.
Der Fix für die Leistungsprobleme beim Kopieren, siehe Windows 11 22H2: Fix für Leistungsproblem beim Kopieren von Dateien, scheint nicht komplett zu wirken – siehe den Kommentar hier.
Update KB5023698 für Windows 11 21H2
Das kumulative Update KB5023698 hebt die OS-Build bei Windows 11 auf 22000.1696 und beinhaltet Qualitätsverbesserungen sowie Sicherheitspatches, aber keine neuen Betriebssystemfunktionen. Bezüglich der durchgeführten Verbesserungen nennt Microsoft folgendes:
- This update addresses security issues for your Windows operating system.
- This update implements phase three of Distributed Component Object Model (DCOM) hardening (siehe KB5004442 – und den Blog-Beitrag DCOM-Härtung (CVE-2021-26414) zum 14. März 2023-Patchday für Windows 10/11 und Server. After you install this update, you cannot turn off the changes using the registry key.
- This update addresses an issue that affects a computer account and Active Directory. When you reuse an existing computer account to join an Active Directory domain, joining fails. This occurs on devices that have installed Windows updates dated October 11, 2022 or later. The error message is, “Error 0xaac (2732): NERR_AccountReuseBlockedByPolicy: ‘An account with the same name exists in Active Directory. Re-using the account was blocked by security policy.’” For more information, see KB5020276.
Microsoft hält sich bezüglich der Details der sonstigen Fixes bedeckt. Diese wurden bereits mit dem Preview-Update vom Vormonat dokumentiert, siehe Windows 11 21H2 Preview Update KB5022905 (21.2.2023). Microsoft weist darauf hin, dass dieses Update Qualitätsverbesserungen am Servicing Stack (ist für Microsoft Updates verantwortlich) durchführt. Dieses Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog und per WSUS sowie WUfB erhältlich. Es werden keine bekannten Probleme im Supportbeitrag angegeben.
Windows Server 2022
Für Windows Server 2022 wurde gemäß dieser Microsoft-Seite das kumulative Update KB5023705 (Windows Server 2022) freigegeben, welches die OS-Build auf 20348.1607 anhebt. Zu den Fixes, die dieses Update vornimmt, schreibt Microsoft:
- This update addresses an issue that stops hyperlinks from working in Microsoft Excel.
- This update implements phase three of Distributed Component Object Model (DCOM) hardening. See KB5004442. After you install this update, you cannot turn off the changes using the registry key.
- This update addresses an issue that affects the registry size. It grows very large. This occurs because the registry entries are not removed when users sign out of an Azure Virtual Desktop (AVD) environment that uses FSlogix.
- This update affects the United Mexican States. This update supports the government’s daylight saving time change order for 2023.
- This update addresses an issue that affects the Get-WinEvent cmdlet. It fails. The system throws InvalidOperationException.
- This update addresses an issue that affects Azure Active Directory (Azure AD). Using a provisioning package for bulk provisioning fails.
- This update addresses an issue that affects the Routing and Remote Access Service (RRAS). RRAS cannot accept any new incoming virtual private network (VPN) connections.
- This update addresses an issue that occurs when an access control policy denies you access to a resource. When you sign out, the system does not delete the POST Security Assertion Markup Language (SAML) Request cookie. This stops you from choosing other resources the next time you sign in.
- This update addresses an issue that affects the Local Security Authority Subsystem Service (LSASS). LSASS might stop responding. This occurs after you run Sysprep on a domain-joined machine.
- This update addresses an issue that affects a computer account and Active Directory. When you reuse an existing computer account to join an Active Directory domain, joining fails. This occurs on devices that have installed Windows updates dated October 11, 2022 or later. The error message is, “Error 0xaac (2732): NERR_AccountReuseBlockedByPolicy: ‘An account with the same name exists in Active Directory. Re-using the account was blocked by security policy.’” For more information, see KB5020276.
- This update addresses an issue that affects Storage Replication setup. Setup might fail on machines that use non En-US locales.
- This update addresses an issue that affects cluster name object (CNO) repairs. This issue stops you from using Failover Clustering to repair a CNO on an Azure virtual machine (VM).
Microsoft weist darauf hin, dass dieses Update Qualitätsverbesserungen am Servicing Stack (der ist für Microsoft Updates verantwortlich) durchführt. Dieses Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog und per WSUS sowie WUfB erhältlich. Hinweise auf bekannte Probleme mit dem Update finden sich im Supportbeitrag. Interessant ist, dass das ESXi-Boot-Problem vom Vormonat noch aufgeführt, also nicht gefixt ist.
Ähnliche Artikel:
Microsoft Security Update Summary (14. März 2023)
Patchday: Windows 10-Updates (14. März 2023)
Patchday: Windows 11/Server 2022-Updates (14. März 2023)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (14. März 2023)
Patchday: Microsoft Office Updates (14. März 2023)
Exchange Server Sicherheitsupdates (14. März 2023)
Windows 11 21H2 Preview Update KB5022905 (21.2.2023
Windows 11 22H2: Preview-Update KB5022913 (28.2.2023)
Windows 11 22H2: Moments 2-Update KB5022913 bringt viele Neuerungen
Windows 11 22H2: Preview-Update KB5022913 (28.2.2023)
Windows 11 22H2: Moments 2-Update KB5022913 macht Startprobleme bei Drittanbieter GUI-Tools
Windows 11: „Defender-Ärger“ durch Updates KB5022845 und KB5022913 (App-Startprobleme)
Windows 11 22H2: Fix für Leistungsproblem beim Kopieren von Dateien
Habe heute auf einigen Windows Server 2022 VMs, welche auf VMware ESXi Hosts mit Version 7.0.3 Update 3i laufen, den KB5023705 installiert. Secure Boot ist aktiviert. VMs (mehrmals) gebootet ohne Probleme. Das von VMware empfohlene Update 3k können wir z.Z. nicht installieren. Microsoft behauptet im KB, dass das VMware Update nach wie vor gebraucht wird, in unserem Setup ist das aber nicht der Fall. Kann das jemand bestätigen?
Schalte so eine VM mal richtig aus und starte sie dann neu. Das ist der Härtetest.
VM komplett ausgeschaltet (Power off) und problemlos gestartet.
Der Manager für Azure Stack hat auch angedeutet, dass es gefixt ist. Bin auf der Suche nach Infos dazu auf diesen Artikel gestoßen.
Microsoft Support hat uns im Februar noch sehr umfassend über die Gründe informiert, und dass sie es nicht für ihre Partner fixen werden.
Jetzt scheinbar doch…
Kann ich bestätigen. Windows Server 2022 VMs booten ohne Probleme mit aktivierten Secure Boot auf ESXi 7.0.3 ohne Update 3k.
Inzwischen hat VMware seinen KB aktualisiert und bestätigt, dass das März CU das Secure Boot Problem behebt:
Kann ich ebenfalls bestätigen, habe es in verschiedenen Umgebungen getestet. Windows Server 2022 VMs booten ohne Probleme – Secure Boot ist aktiviert, ohne Update 3k.
Seit heute durch KB5007651 habe ich folgendes Problem, wie einige wohl schon vor Wochen: https://www.computerbase.de/forum/threads/der-schutz-durch-die-lokalen-sicherheit-autoritaet-ist-deaktiviert.2132208/
Bin mir nicht sicher, ob das auch mit den Updates vom Patchday zusammenhängt…
Muss mal schauen – habe eine Mail eines anderen Nutzers, der auch über Ärger berichtet.
Siehe folgende Artikel:
Windows 11: „Windows Security Health Service exe nicht mehr funktionstüchtig“ durch Defender-Update
Windows 11 22H2 Defender: „Gerätesicherheit: Der Schutz durch die lokale Sicherheitsautorität ist deaktiviert“
Windows 11 22H2: Microsoft bestätigt Defender-Bug „Schutz durch die lokalen Sicherheit Autorität ist deaktiviert“ in Gerätesicherheit
Dies ist wohl – wie von dir angemerkt – kein neues Problem und ist wohl schon früher im September 2022 und auch Ende Februar 2023 aufgetreten. Allerdings bin ich (war ich) auch erst dieses Mal davon seit dem 15.03.23 betroffen. Bei mir hat das setzen des hier genannten Registry-Eintrags auf Anhieb funktioniert – sogar ohne Neustart:
Das Problem hat auch nichts direkt mit dem aktuellen Patchday zu tun, da ich diesbzgl. bisher noch auf dem Stand Februar 2023 bin.
Im Zuverlässigkeitsverlauf befindet sich jetzt auch mehrfach die Meldung für Kritische Ereignisse: „Windows Security Health Service – Nicht mehr funktionsfähig“
KB5023706 unter Windows 11 erfolgreich installiert. Der Explorerpatcher funktioniert noch wie erwartet.
Bei uns hat das Update (wie schon das vom Februar 2023) den Scale Out Fileservice (SOFS) für 15 Minuten außer Betrieb genommen. Ansonsten bisher nichts Auffälliges.
Kann ich ebenfalls bestätigen, habe es in verschiedenen Umgebungen getestet. Windows Server 2022 VMs booten ohne Probleme – Secure Boot ist aktiviert, ohne Update 3k.
Ok, seit heute weiß ich wenigstens, dass ich nicht alleine bin mit dem Problem.
Microsoft hat es mal wieder verkackt, wenn jetzt nur noch AI und ML die Qualitätssicherung zu sein scheint, dann kommen noch schlimmere Zeiten auf einen zu:
und noch einige mehr….
Bei mir war nach dem Update und dem obligatorischen Neustart plötzlich das Suchfeld in der Taskbar wieder da, was ich absichtlich ausgeschaltet hatte.
Wer hat MS erlaubt, meine Einstellungen zu ändern?
VMWare bestätigt es – Secure Boot Issue ist solved:
This issue is resolved in the latest update released by Microsoft March 14, 2023 – KB5023705
Upgrade to VMware ESXi 7.0 U3k, released on February 21st 2023 to resolve this issue