Windows 10 累积更新：2016 年 8 月 9 日

概要

此安全更新程序包括 Windows 10 功能的改进和修补程序。它还修复了 Windows 中的以下漏洞：

3177356 MS16-095：Internet Explorer 累积安全更新：2016 年 8 月 9 日
3177358 MS16-096：Microsoft Edge 累积安全更新程序：2016 年 8 月 9 日
3177393 MS16-097：Microsoft 图形组件安全更新程序：2016 年 8 月 9 日
3178466 MS16-098：内核模式驱动程序安全更新程序：2016 年 8 月 9 日
3178465 MS16-101：Windows 身份验证方法安全更新程序：2016 年 8 月 9 日
3182248 MS16-102：Microsoft Windows PDF 库安全更新程序：2016 年 8 月 9 日
3182332 MS16-103：ActiveSyncProvider 安全更新程序：2016 年 8 月 9 日

Windows 10 更新程序是累积的。因此，此程序包中包含之前发布的所有修补程序。如果您已安装了旧版更新程序，则只会在您的计算机上下载并安装此包内所含的新修补程序。如果你是首次安装 Windows 10 更新程序包，则适用于 x86 版本的更新包大小为 366 MB，而适用于 x64 版本的更新包大小为 776 MB。

更多信息

此安全更新程序中的已知问题

已知问题 1对于 MS16-101 中提供的安全更新和较新的更新，当由于密码更改操作而导致 Kerberos 身份验证失败并显示 STATUS_NO_LOGON_SERVERS (0xc000005e) 错误代码时，这些更新使协商进程无法回退到 NTLM。在此情形下，您可能会收到下列错误代码之一：

十六进制	十进制	符号	友情提示
0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	系统检测到危害安全的尝试。请确认您能与对您进行身份验证的服务器联系。
0x4f1	1265	ERROR_DOWNGRADE_DETECTED	系统检测到危害安全的尝试。请确认您能与对您进行身份验证的服务器联系。

解决方法如果安装 MS16-101 后先前成功的密码更改操作现在无法执行，则可能是密码更改先前依赖于 NTLM 回退，因为 Kerberos 失败。要通过使用 Kerberos 协议成功更改密码，请执行以下步骤：

在已安装 MS16-101 的客户端和提供密码重置服务的域控制器之间的 TCP 端口 464 上配置开放式通信。如果用户经过只读域控制器 (RODC) 密码复制策略允许，则 RODC 可支持自助服务密码重置。未经 RODC 密码复制策略允许的用户需要网络连接到用户帐户域中的读/写域控制器 (RWDC)。注意要检查 TCP 端口 464 是否已打开，请执行以下步骤：
1. 为网络监视分析器创建等效的显示筛选器。例如：
  
  ipv4.address== <ip address of client> && tcp.port==464
2. 在结果中，查找“TCP:[SynReTransmit”帧。
确保目标 Kerberos 名称有效。（IP 地址对于 Kerberos 协议无效。Kerberos 支持短名称和完全限定的域名。）
确保服务主体名称 (SPN) 注册正确。有关详细信息，请参阅 Kerberos 和自助服务密码重置。

已知问题 2我们知道这样一个问题，即如果出现以下预期故障之一，则域用户帐户的编程密码重置将失败并返回 STATUS_DOWNGRADE_DETECTED (0x800704F1) 错误代码：

ERROR_INVALID_PASSWORD
ERROR_PWD_TOO_SHORT (rarely returned)
STATUS_WRONG_PASSWORD
STATUS_PASSWORD_RESTRICTION

下表显示了完整的错误映射。

十六进制	十进制	符号	友情提示
0x56	86	ERROR_INVALID_PASSWORD	指定的网络密码不正确。
0x267	615	ERROR_PWD_TOO_SHORT	提供的密码太短，无法满足用户帐户的策略。请提供较长的密码。
0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	尝试更新密码时，返回状态表示作为当前密码提供的值不正确。
0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	尝试更新密码时，返回状态表示违反了某些密码更新规则。例如，密码可能不符合长度条件。
0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	系统无法联系域控制器来为身份验证请求提供服务。请稍后重试。
0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	系统无法联系域控制器来为身份验证请求提供服务。请稍后重试。

解决方案已重新发布 MS16-101 以解决此问题。请根据本公告安装最新版本的更新来解决此问题。

已知问题 3我们知道这样一个问题，即本地用户帐户密码更改的编程重置可能会失败并返回 STATUS_DOWNGRADE_DETECTED (0x800704F1) 错误代码。下表显示了完整的错误映射。

十六进制	十进制	符号	友情提示
0x4f1	1265	ERROR_DOWNGRADE_DETECTED	系统无法联系域控制器来为身份验证请求提供服务。请稍后重试。

解决方案已重新发布 MS16-101 以解决此问题。请根据本公告安装最新版本的更新来解决此问题。

已知问题 4无法更改已禁用或锁定用户帐户的密码。解决方法这些帐户需要管理员进行密码重置。安装 MS16-101 和较新修复后，设计会导致此行为。
已知问题 5安装 MS16-101 和较新更新后，使用 NetUserChangePassword API 并在 domainname 参数中传递 servername 的应用程序将不再运行。 Microsoft 文档表明，支持在 NetUserChangePassword 函数的 domainname 参数中提供远程服务器名称。例如，NetUserChangePassword function MSDN 主题声明如下：domainname [in]

指向常量字符串的指针，可指定 DNS 或远程服务器的 NetBIOS 名称或将在其上执行函数的域。如果此参数为 NULL，则使用调用方的登录域。但是，此指南已被 MS16-101 取代，除非密码重置面向本地计算机上的本地帐户。公告 MS16-101：若要使域用户密码更改生效，必须向 NetUserChangePassword API 传递有效的 DNS 域名。
已知问题 6 在应用此安全更新且连续打印多个文档后，前两个文档可能打印成功，但第三个及后续文档可能未打印。要解决此问题，请执行下列两项操作之一：
- 安装更新 3187022。有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：
  
  3187022 安装任意 MS16-098 安全更新后打印功能被停止
- 从 Microsoft Update 目录网站安装更新 3186987。
此问题也已在 Microsoft 安全公告 MS16-106 中得到解决。

如何获取此更新程序

重要如果你在安装此更新程序后安装了语言包，则必须重新安装此更新程序。因此，我们建议先安装所需的全部语言包，然后再安装此更新程序。有关详细信息，请参阅将语言包添加到 Windows。

方法 1：Windows 更新

系统会自动下载并安装此更新程序。

方法 2：Microsoft 更新目录

若要获取此更新的独立程序包，请访问 Microsoft Update 目录网站。

先决条件

安装此更新没有任何先决条件。

重新启动信息

应用此更新后，必须重新启动计算机。

更新程序替换信息

此更新将替换以前发布的更新 3163912。

文件信息

有关此累积更新中提供的文件列表，请下载累积更新 3176492 的文件信息。

参考

了解 Microsoft 用于描述软件更新的术语。