[English]Am 11. April 2023 (zweiter Dienstag im Monat, Patchday bei Microsoft) hat Microsoft auch kumulative Updates für Windows 11 22H1 und 22H2 veröffentlicht. Zudem erhielt Windows Server 2022 ein Update. Hier einige Details zu diesen Updates, die Schwachstellen sowie Probleme beheben sollen.
Updates für Windows 11 21H1 – 22H2
Eine Liste der Windows 11 Updates lässt sich auf dieser Microsoft-Webseite abrufen. Ich habe nachfolgend die Details herausgezogen. Für die oben erwähnten Windows 11 Versionen stellt Microsoft nun folgende Updates bereit.
Update KB5025239 für Windows 11 22H2
Das kumulative Update KB5025239 hebt die OS-Build bei Windows 11 auf 22621.1555 und beinhaltet Qualitätsverbesserungen sowie Sicherheitspatches. In diesem Update kommen zusätzlich die im Preview-Update vom Vormonat erwähnten Neuerungen zum Einsatz (siehe Windows 11 22H2: Preview-Update KB5023778 (28.3.2023)). Im Supportbeitrag gibt Microsoft folgende Highlights und Neuerungen an:
- This update addresses security issues for your Windows operating system.
- New! This update implements the new Windows Local Administrator Password Solution (LAPS) as a Windows inbox feature. For more information, see By popular demand: Windows LAPS available now!
- This update addresses a compatibility issue. The issue occurs because of unsupported use of the registry.
Dieses Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog und per WSUS sowie WUfB erhältlich. Im Patch ist das Windows 11 Servicing Stack Update integriert. Das Update verursacht diverse Probleme, die im Support-Beitrag aufgeführt sind.
Update K5025224 für Windows 11 21H2
Das kumulative Update KB5025224 hebt die OS-Build bei Windows 11 auf 22000.1817 und beinhaltet Qualitätsverbesserungen sowie Sicherheitspatches, aber keine neuen Betriebssystemfunktionen. Bezüglich der durchgeführten Verbesserungen nennt Microsoft folgendes:
- This update addresses security issues for your Windows operating system.
- New! This update implements the new Windows Local Administrator Password Solution (LAPS) as a Windows inbox feature. For more information, see By popular demand: Windows LAPS available now!
- This update affects the Arab Republic of Egypt. The update supports the government’s daylight saving time change order for 2023.
- This update addresses a compatibility issue. The issue occurs because of unsupported use of the registry.
- This update addresses a known issue that affects kiosk device profiles. If you have enabled automatic logon, it might not work. After Autopilot completes provisioning, these devices stay on the credential screen. This issue occurs after you install updates dated January 10, 2023, and later.
Microsoft hält sich bezüglich der Details der sonstigen Fixes bedeckt. Diese wurden bereits mit dem Preview-Update vom Vormonat dokumentiert, siehe Windows 11 21H2: Preview-Update KB5023774 (28.3.2023). Microsoft weist darauf hin, dass dieses Update Qualitätsverbesserungen am Servicing Stack (ist für Microsoft Updates verantwortlich) durchführt. Dieses Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog und per WSUS sowie WUfB erhältlich. Hinsichtlich bekannter Probleme sind einige im Supportbeitrag angegeben.
Windows Server 2022
Für Windows Server 2022 wurde gemäß dieser Microsoft-Seite das kumulative Update KB5025230 (Windows Server 2022) freigegeben, welches die OS-Build auf 20348.1668 anhebt. Zu den Fixes, die dieses Update vornimmt, schreibt Microsoft:
- New! This update adds many new features and improvements to Microsoft Defender for Endpoint. For more information, see Microsoft Defender for Endpoint.
- New! This update implements the new Windows Local Administrator Password Solution (LAPS) as a Windows inbox feature. For more information, see By popular demand: Windows LAPS available now!
- This update addresses an issue that affects inbound remote Component Object Model (COM) activations. They fail. The error code is 0x80010111. This occurs if the client protocol version is less than 5.7.
- This update addresses an issue that affects Microsoft PowerPoint. It stops working on Azure Virtual Desktop (AVD). This occurs when you use Visual Basic for Applications (VBA).
- This update addresses an issue that affects Windows Search. Windows Search fails inside of Windows container images.
- This update affects the Arab Republic of Egypt. The update supports the government’s daylight saving time change order for 2023.
- This update addresses an issue that affects the Key Distribution Center (KDC) service. When the service stops on a local machine, signing in to all local Kerberos fails. The error is STATUS_NETLOGON_NOT_STARTED.
- This update addresses an issue that affects the Windows Remote Management (WinRM) client. The client returns an HTTP server error status (500). This error occurs when it runs a transfer job in the Storage Migration Service.
- This update addresses an issue that affects Desired State Configuration. It loses its previously configured options. This occurs if metaconfig.mof is missing.
- This update addresses compatibility issues that affect some printers. These printers use Windows Graphical Device Interface (GDI) printer drivers. These drivers do not completely adhere to GDI specifications.
- This update addresses a stack overflow condition that causes a device to stop working. This occurs when you call xxxDestroyWindow() in Kernel mode.
- This update addresses a rare issue that might cause an input destination to be null. This issue might occur when you attempt to convert a physical point to a logical point during hit testing. Because of this, the computer raises a stop error.
- This update addresses an issue that affects certain processors that have firmware Trusted Platform Modules (TPM). You cannot use Autopilot to set them up.
- This update addresses an issue that affects the Fast Identity Online 2.0 (FIDO2) PIN credential icon. It does not appear on the credentials screen of an external monitor. This occurs when that monitor is attached to a closed laptop.
- This update addresses an issue that affects a Clustered Shared Volume (CSV). The CSV fails to come online. This occurs if you enable BitLocker and local CSV managed protectors, and the system recently rotated the BitLocker keys.
- This update addresses an issue that affects Windows Server 2022 domain controllers. They stop working. This occurs when they process Lightweight Directory Access Protocol (LDAP) requests.
- This update addresses an issue that affects Administrator Account Lockout policies. GPResult and Resultant Set of Policy did not report them.
- This update addresses an issue that affects MySQL commands. The commands fail on Windows Xenon containers.
- This update addresses an issue that affects Windows Server Failover Clustering. If you configure a cloud witness, both sites think that the other side is down. This is a “split-brain” scenario.
Microsoft weist darauf hin, dass dieses Update Qualitätsverbesserungen am Servicing Stack (der ist für Microsoft Updates verantwortlich) durchführt. Dieses Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog und per WSUS sowie WUfB erhältlich. Hinweise auf bekannte Probleme mit dem Update finden sich im Supportbeitrag.
Ähnliche Artikel:
Microsoft Security Update Summary (11. April 2023)
Patchday: Windows 10-Updates (11. April 2023)
Patchday: Windows 11/Server 2022-Updates (11. April 2023)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (11. April 2023)
Patchday: Microsoft Office Updates (11. April 2023)
Na toll… Secure Boot Problem bei Win Server 2022 VMs unter ESXi 7 ist noch nicht behoben.
Und unter Windows 11 ist kopieren von grossen Dateien wieder mal „langsamer als erwartet“. Workaround: robocopy oder xcopy. (never ending story)
Ich denke schon das es behoben wurde. Du musst nur die neueren Tools installieren. VMWare musste die Tools herfür überarbeiten. Siehe: VMware-Tools-windows-12.2.0-21223074!
Nein, Problem ist nicht behoben. Siehe dazu „known issues“ unter https://support.microsoft.com/de-de/topic/april-11-2023-kb5025230-os-build-20348-1668-28a5446e-6389-4a5b-ae3f-e942a604f2d3
Zum Kopieren großer Dateien hatte ich was im Blog – siehe meinen Nachtrag im Beitrag Windows 11 22H2: Fix für Leistungsproblem beim Kopieren von Dateien
Es gibt einen Patch von VMware für die ESXi-Hosts, damit tritt das Problem nicht mehr auf. Bei uns war es danach weg.
https://docs.vmware.com/en/VMware-vSphere/7.0/rn/vsphere-esxi-70u3k-release-notes.html
Muss Fred wohl beantworten – aber der ESXi-Patch 7.03k ist doch bereits im Februar 2023 freigegeben worden und ist hier im Blog thematisiert (siehe Windows Server 2022: VMware ESXi 7.0 U3k-Patch für Secure Boot-Problem (Update KB5022842, Feb. 2023)). Ist dieser Patch wirklich nicht installiert worden? Oder scheitert der Boot-Vorgang trotz aktualisiertem ESXi?
Diesmal keine Exchange (2016 CU23)-Sicherheitsupdates?
Ich hatte die Nacht gesucht – aber außer der EOL-Mitteilung für Exchange 2013 nichts gefunden. Hat sich bisher auch nichts diesbezüglich geändert.
Nein, keine Exchange-Updates, weder für 2013, 2016 noch 2019.
Die kamen auch in der Vergangenheit nie monatlich.
wo sind die ganzen Änderungen bzgl. Netlogn und Kerberos?
Die dritte Deployment Phase wurde von April auf Juni verschoben: https://support.microsoft.com/en-gb/topic/kb5020805-how-to-manage-kerberos-protocol-changes-related-to-cve-2022-37967-997e9acc-67c5-48e1-8d0d-190269bf4efb
Aber das RPC Sealing/Signing ist aktiv geworden (KB5021130)?
Zumindest laut MS wurde die „Initial Enforcm,ent Phase“ aktiviert:
https://support.microsoft.com/en-us/topic/kb5021130-how-to-manage-the-netlogon-protocol-changes-related-to-cve-2022-38023-46ea3067-3989-4d40-963c-680fd9e8ee25
Danke für den Hinweis! RPC Sealing kann mit den aktuellen Updates also nicht mehr deaktiviert werden, läuft aber weiter im Compatibility Modus (wenn gewünscht).
Registry Key settings
After the Windows updates that are dated on or after November 8, 2022 Windows updates are installed, the following registry subkey is available for the Netlogon protocol on Windows domain controllers:
RequireSeal subkey
Registry key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Value : RequireSeal
Data type: REG_DWORD
Data:
0 – Disabled
1 – Compatibility mode. Windows domain controllers will require that Netlogon clients use RPC Seal if they are running Windows, or if they are acting as either domain controllers or Trust accounts.
2 – Enforcement mode. All clients are required to use RPC Seal, unless they are added to the „Domain Controller: Allow vulnerable Netlogon secure channel connections” group policy object (GPO).
Sehr schön, da hat sich die Entdeckung des im Preview-Update noch undokumentierten LAPS (hier unter https://www.borncity.com/blog/2023/03/29/windows-11-22h2-preview-update-kb5023778-28-3-2023/#comment-145452 angemerkt) ja tatsächlich bewahrheitet. Das ist endlich mal eine wirklich gute Neuerung in einem Update.
Mit dem neuen LAPS gibts aber noch ein paar Schwierigkeiten im Zusammenspiel mit dem alten… Workaround in den Links.
https://twitter.com/brdpoker/status/1646229914142777344?s=46&t=FbV-CtPjloOdxeNAv9aGdw
https://twitter.com/brdpoker/status/1646230244817534976?s=46&t=FbV-CtPjloOdxeNAv9aGdw
„Local Security Authority protection is off.“ with persistent restart
Once enabled, your Windows device might persistently notify you that it is vulnerable, and a restart is required.
Leider ist dieser Fehler nicht behoben worden. Find ich schon etwas peinlich da es Sicherheitsprobleme suggeriert und unsere Anwender zurecht ständig nachfragen.
Hier noch ein kurzer Nachtrag von mir: eben den DC aktualisiert (Server 2022). Beim runterfahren, nach dem die Updates vorbereitet wurden, kam es zu einem BSOD „irql not less or equal“. Konnte das gar nicht zuordnen. Eine erste Google-Suche brachte nur den Hinweis, das es da ein KB-Artikel von MS zu Server 2012 in Verbindung mit HP Controllern gibt. Beides ist von und bei mir nicht im Einsatz. Leider erschließt sich mir auch das Problem nicht, nach Neustart und auslesen des BlueScreen hat nichts gebracht außer „ntoskernel“ als verantwortliche Datei.
Dieser Server, wo nur DC und Antivirus und Patch Management Agent drauf läuft, ist auch erst seit 1 Monat online .. also kaputtes Windows würde ich mal ausschleßen, es lief bei vorherigen Neustarts alless auber durch …
Bin ich der einzige mit dem Problem? Weiß dazu noch jemand was oder hat davon mitbekommen?
Seit diesem Update greift der Applikationsserver auf dem das System läuft nicht mehr vernünftig auf die Datenbank zu, es gibt einen Instanzfehler… Verbindung konnte nicht hergestellt werden.
Die Einstellungen sind gleich geblieben usw. alles geprüft, was haben die da zerschossen? :(