Сборна актуализация за Windows 10:00:9 август 2016

Известни проблеми в тази актуализация на защитата

• Известен проблем 1 Актуализации на защитата, които са предоставени в MS16 101 и по-нови актуализации забраните възможността на договарянето процес да се ВЪРНЕ към NTLM когато Kerberos удостоверяването е неуспешно за операции за промяна на паролата с STATUS_NO_LOGON_SERVERS (0xc000005e) код на грешка. В този случай можете да получите един от следните кодове за грешка.

  Шестнадесетичен	Десетичен	Символично	Приятелски
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Системата откри евентуален опит за компрометиране на сигурността. Моля, уверете се, че можете да се свържете със сървъра, който ви е удостоверил.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Системата откри евентуален опит за компрометиране на сигурността. Моля, уверете се, че можете да се свържете със сървъра, който ви е удостоверил.

  Заобиколно решение Ако паролата промени, които са успели да се провали след инсталирането на MS16-101, е вероятно, че паролата промени са били разчита на NTLM резервен защото Kerberos е неуспешен. За да промените паролите успешно с помощта на Kerberos протоколи, изпълнете следните стъпки:

  1. Конфигуриране на отворена комуникация на TCP порт 464 между клиенти, които имат MS16-101 инсталиран и домейнов контролер, който обслужва нулира паролата. Само за четене домейн контролери (RODCs) може да услуга нулира парола за самостоятелно обслужване, ако потребителят е позволен от RODCs правила за репликация на пароли. Потребителите, които не са разрешени от правилата за парола на RODC изисква мрежова свързаност за четене/запис домейнов контролер (RWDC) в домейна на потребителския акаунт. Забележка: За да проверите дали TCP порт 464 е отворен, изпълнете следните стъпки:

     1. Създайте еквивалентен филтър за дисплей за анализатора на мрежовия монитор. Например:

        ipv4.address== <ip address of client> && tcp.port==464

     2. В резултатите потърсете "TCP: [SynReTransmit" рамка.

  2. Уверете се, че целевата Kerberos имена са валидни. (IP адресите не са валидни за протокола Kerberos. Kerberos поддържа къси имена и напълно квалифицирани имена на домейни.)

  3. Уверете се, че основните имена на услугата (SPN) са регистрирани правилно. За повече информация вижте Kerberos и нулиране на паролата за самостоятелно обслужване.

• Известен проблем 2 Ние знаем за проблем, при който програмна парола нулира на домейна потребителски акаунти е неуспешно и връщане STATUS_DOWNGRADE_DETECTED (0x800704F1) код на грешка, ако очакваното неуспех е едно от следните:

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (рядко върната)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  Следната таблица показва пълното съпоставяне на грешки.

  Шестнадесетичен	Десетичен	Символично	Приятелски
  0x56	86	ERROR_INVALID_PASSWORD	Указаната мрежова парола не е правилна.
  0x267	615	ERROR_PWD_TOO_SHORT	Предоставената парола е твърде кратка, за да отговаря на правилата на вашия потребителски акаунт. Моля, предоставете по-дълга парола.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Когато се опитвате да актуализирате парола, това състояние на връщане показва, че стойността, която е предоставена като текущата парола е неправилен.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Когато се опитвате да актуализирате парола, това състояние на връщане показва, че някои правило за актуализация на паролата е нарушена. Например паролата може да не отговаря на критериите за дължина.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Системата не може да се свърже с домейнов контролер за обслужване на заявката за удостоверяване. Моля, опитайте отново по-късно.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Системата не може да се свърже с домейнов контролер за обслужване на заявката за удостоверяване. Моля, опитайте отново по-късно.

  РезолюцияMS16-101 е освободен повторно за решаване на този проблем. Инсталирайте най-новата версия на актуализациите за този бюлетин, за да разрешите този проблем.

• Известен проблем 3 Ние знаем за проблем, при който програмни нулира на локален потребителски акаунт промени на паролата може да се провали и връщане STATUS_DOWNGRADE_DETECTED (0x800704F1) код на грешка. Следната таблица показва пълното съпоставяне на грешки.

  Шестнадесетичен	Десетичен	Символично	Приятелски
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Системата не може да се свърже с домейнов контролер за обслужване на заявката за удостоверяване. Моля, опитайте отново по-късно.

  РезолюцияMS16-101 е освободен повторно за решаване на този проблем. Инсталирайте най-новата версия на актуализациите за този бюлетин, за да разрешите този проблем.

• Известен проблем 4 Паролите за забранени и блокирани потребителски акаунти не могат да се променят с помощта на договорен пакет. Промените в паролата за забранени и заключени акаунти ще продължат да работят при използване на други методи, като например когато използвате операция за промяна на LDAP директно. Например PowerShell команда Set-Adsrtпарола използва операция "LDAP промяна" за промяна на паролата и остава незасегнати. Заобиколно решение Тези акаунти изискват администратор, за да нулира паролата. Това поведение е дизайн след инсталиране на MS16 101 и по-нови поправки.

• Известен проблем 5 Приложения, които използват Netuserchangepassword API и които преминават име на сървър в параметъра domainname вече ще работи след MS16 101 и по-нови актуализации са инсталирани. Документацията на Microsoft гласи, че предоставянето на отдалечен сървър име в параметъра domainname на Netuserchangepassword функция се поддържа. Например помощната функция на MSDN функцията Netuserchangepassword гласи следното: domainname [in]

  Показалец на постоянен низ, който указва DNS или NetBIOS име на отдалечен сървър или домейн, на който функцията е да се изпълни. Ако този параметър е NULL, се използва домейн за влизане на повикващия.Обаче тези насоки е заменена от MS16-101, освен ако нулиране на паролата е за локален акаунт на локалния компютър. Post MS16-101, за да работи домейн потребителска парола за работа, трябва да премине валиден DNS домейн име на NetUserChangePassword API.

• Известен проблем 6 След като приложите тази актуализация на защитата, и след това отпечатвате множество документи последователно, първите два документа могат да печатат успешно, но третият и следващите документи не може да отпечата. За да разрешите този проблем, направете едно от следните неща:

  • Инсталирайте актуализацията 3187022. За повече информация щракнете върху следния номер на статия в базата знания на Microsoft:

    3187022 печат функционалност е прекъсната след инсталиране на всички актуализации на защитата на MS16 098

  • Инсталирайте актуализацията 3186987 от уеб сайта на каталога на Microsoft Update .

  Този проблем също е решен в бюлетина за сигурността на Microsoft MS16-106.

• Известен проблем 7 След като инсталирате актуализациите на защитата, които са описани в MS16 101, отдалечени, програмни промени на локален потребителски акаунт парола и промяна на паролата в ненадежден гора е неуспешно. Тази операция е неуспешно, защото операцията разчита на NTLM спад, който вече не се поддържа за Нелокални акаунти след MS16-101. Запис в системния регистър се предоставя, че можете да използвате, за да забраните тази промяна. Предупреждение това решение може да направи компютър или мрежа по-уязвими за атаки от злонамерени потребители или злонамерен софтуер, като например вируси. Ние не препоръчваме това решение, но предоставят тази информация, така че можете да реализирате този заобиколно решение по свое усмотрение. Използвайте това решение на свой собствен риск. Важнотози раздел, метод или задача съдържа стъпки, които ви казват как да модифицирате системния регистър. Обаче сериозни проблеми могат да възникнат, ако модифицирате системния регистър неправилно. Затова се уверете, че следвате тези стъпки внимателно. За допълнителна защита, архивирате системния регистър, преди да го модифицирате. След това можете да възстановите системния регистър, ако възникне проблем. За повече информация как да архивирате и възстановите системния регистър щракнете върху следния номер на статия в базата знания на Microsoft:

  322756 Как да архивирате и възстановите системния регистър в WindowsЗа да забраните тази промяна, задайте негоалловнтлмпвдчанжефаллбакк DWORD запис за използване на стойност 1 (един). Важно Настройка на запис в системния регистър негоалловнтлмпвдчанжефаллбакк стойност 1 ще забрани тази корекция на защитата:

  Стойност в системния регистър	Описание
  0	Стойност по подразбиране. Резервния е възпрепятстван.
  1	Резервния винаги е позволен. Корекцията на защитата е изключена. Клиенти, които имат проблеми с отдалечени локални акаунти или ненадежден гора сценарии може да зададе системния регистър на тази стойност.

  За да добавите тези стойности в системния регистър, изпълнете следните стъпки:

  1. Щракнете върху Старт, щракнете върху изпълнение, въведете regedit в полето Отвори и след това щракнете върху OK.

  2. Намерете и след това щракнете върху следния подключ в системния регистър:

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

  3. В менюто Редактиране посочете Създаване, след което щракнете върху DWORD стойност.

  4. Въведете негоалловнтлмпвдчанжефаллбакк за името на DWORD и натиснете ENTER.

  5. С десния бутон върху негоалловнтлмпвдчанжефаллбаккслед това щракнете върху Промяна.

  6. В полето за стойност въведете 1 , за да забраните тази промяна и след това щракнете върху OK. Забележка: За да възстановите стойността по подразбиране, въведете 0 (нула) и след това щракнете върху OK.

  Статус Основната причина за този проблем е разбран. Тази статия ще се актуализира с допълнителни подробности, когато те станат достъпни.

Метод 1: Windows Update

Тази актуализация ще бъде изтеглен и инсталиран автоматично.

Метод 2: Microsoft Update каталог

За да получите самостоятелен пакет за тази актуализация, отидете на уеб сайта на каталога на Microsoft Update .

Предпоставки

Няма предварителни изисквания за инсталирането на тази актуализация.

Информация за рестартиране

Трябва да рестартирате компютъра, след като приложите тази актуализация.

Информация за подмяна на актуализация

Тази актуализация замества издадените актуализация 3163912.