Сборна актуализация за Windows 1511 10 версия: 9 август 2016

Известни проблеми в тази актуализация на защитата

• Известен проблем 1
  
  По-нови актуализации и актуализации на защитата, които са предвидени в MS16-101 изключи възможността на Negotiate процес за преминаване на NTLM неуспешно Kerberos удостоверяване за операции за смяна на паролата с код на грешка STATUS_NO_LOGON_SERVERS (0xc000005e) . В този случай можете да получите едно от следните кодове за грешка.
  
  

  Шестнадесетичен	Десетичен	Символична	Приятелски
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Системата откри възможен опит за влошаване защита. Уверете се, че можете да се свържете сървъра, който ви удостоверени.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Системата откри възможен опит за влошаване защита. Уверете се, че можете да се свържете сървъра, който ви удостоверени.

  
  
  Заобикаляне на проблема
  
  Ако промените паролата, които вече успешно не след инсталирането на MS16-101, е вероятно, че паролата се сменя вече са разчита на NTLM резервно поради липса на Kerberos. За да се променят паролите успешно с помощта на Kerberos протоколи, изпълнете следните стъпки:
  
  
  

  1. Конфигуриране на отворена комуникация на TCP порт 464 между клиенти, които имат MS16-101 инсталиран и домейн контролера, който обслужва нулира паролата.
     
     Контролери на домейни само за четене (RODCs) да услуга нулира паролата за самообслужване, ако потребителят е разрешен от RODCs правила за репликация на паролата. Потребителите, които не са разрешени от правилата за парола RODC изискват мрежова връзка за четене/запис домейнов контролер (RWDC) в домейна на потребителския акаунт.
     
     Забележка: За да проверите дали е отворен TCP порт 464, изпълнете следните стъпки:
     
     
     

     1. Създаване на съответния дисплей филтър за вашия мрежов монитор анализатор. Например:
        

        ipv4.address== <ip address of client> && tcp.port==464

     2. В резултатите потърсете "TCP: [SynReTransmit" рамка.
        
        

  2. Уверете се, че целта Kerberos имена са валидни. (IP адреси не са валидни за протокола Kerberos. Kerberos поддържа кратки имена и домейн имена.)

  3. Уверете се, че главни имена на услуги (SPN) са регистрирани правилно.
     
     За повече информация вижте Kerberos и самостоятелно нулиране на паролата.

• Известен проблем 2
  
  Знаем за проблем, в който програмен парола проучване на домейн потребителски акаунти е неуспешно и връща код на грешка STATUS_DOWNGRADE_DETECTED (0x800704F1) , ако очакваното отказът е един от следните:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (рядко се връща)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  Следната таблица показва грешка съответствието.
  
  

  Шестнадесетичен	Десетичен	Символична	Приятелски
  0x56	86	ERROR_INVALID_PASSWORD	Указаната мрежова парола е неправилна.
  0x267	615	ERROR_PWD_TOO_SHORT	Паролата, предоставена е твърде кратка според правилата на вашия потребителски акаунт. Моля, дайте по-дълга парола.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	При опит за актуализиране на парола, този връщане ранг показва, че стойността, която е била предоставена като текуща парола е неправилна.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	При опит за актуализиране на парола, този връщане състояние показва, че някой парола update правило нарушение. Например паролата може да не отговарят дължина.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Системата не може да се обърнете към домейнов контролер за обслужване на заявката за удостоверяване. Опитайте отново по-късно.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Системата не може да се обърнете към домейнов контролер за обслужване на заявката за удостоверяване. Опитайте отново по-късно.

  
  
  Решение
  
  MS16-101 е бил част и решаване на проблема. Инсталирайте най-новата версия на актуализациите за този бюлетин, за да разрешите този проблем.
  
  

• Известен проблем 3
  
  Знаем за проблема, при който програмен нулира локален потребителски акаунт парола промени може да се провали и връща код на грешка STATUS_DOWNGRADE_DETECTED (0x800704F1) .
  
  Следната таблица показва грешка съответствието.
  
  

  Шестнадесетичен	Десетичен	Символична	Приятелски
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Системата не може да се обърнете към домейнов контролер за обслужване на заявката за удостоверяване. Опитайте отново по-късно.

  
  
  Решение
  
  MS16-101 е бил част и решаване на проблема. Инсталирайте най-новата версия на актуализациите за този бюлетин, за да разрешите този проблем.
  
  

• Известен проблем 4
  
  Пароли за забранени и блокираните потребителски акаунти не се променя negotiate пакет.
  
  
  Паролата се сменя за забранени и блокираните сметки ще продължат да работят при използване на други методи, като например при използване на LDAP промените операция директно. Например PowerShell cmdlet Комплект ADAccountPassword използва "LDAP промяна" операция за промяна на паролата и остава незасегнато.
  
  Заобикаляне на проблема
  
  Тези акаунти изискват администратор да нулира паролата. Това поведение е проектирана след инсталиране на MS16-101 и по-нови поправки.
  
  

• Известен проблем 5
  
  Приложения, използващи NetUserChangePassword API и че минават servername в параметъра domainname няма да работи след MS16-101 и по-нови актуализации са инсталирани.
  
  Документация на Microsoft посочва, че предоставя име на отдалечения сървър в параметъра domainname на NetUserChangePassword функция се поддържа. Например функцията NetUserChangePassword MSDN темата гласи следното:
  
  domainname [в]
  

  Указател към постоянно низ, който указва DNS или NetBIOS името на отдалечения сървър или домейн, в който функцията трябва да изпълни. Ако този параметър е празен, се използва домейн за влизане на повикващия.Обаче тези насоки е заместен от MS16-101, освен ако за нулиране на паролата за локалния акаунт на локалния компютър. Post MS16-101, домейн потребител парола промени, за да трябва да премине валиден DNS домейн на NetUserChangePassword API.

• Известен проблем 6
  
  
  
  След като приложите тази актуализация на защитата и отпечатвате документи на няколко поредни, първите два документа може да се отпечата успешно. Обаче не се отпечатват третата и следващите документи.
  
  За да решите този проблем, изтеглете актуализация 3186988 от уеб сайта на Каталога на Microsoft Update .
  
  
  
  
  
  Този проблем е разрешен и в Microsoft сигурност бюлетин MS16-106.
  
  
  
  

• Известен проблем 7
  
  След инсталиране на актуализации на защитата, които са описани в MS16-101дистанционно програмен смяна на парола за локален потребителски акаунт и парола промени в ненадежден гора е неуспешно.
  
  
  Тази операция не успява, защото операцията се основава на NTLM алтернативен вече не се поддържа за Нелокални акаунти след MS16-101.
  
  
  Запис в системния регистър е при условие, че можете да забраните тази промяна.
  
  Предупреждение Това решение може да направи компютъра или мрежата по-уязвими за атаки от злонамерени потребители или злонамерен софтуер, например вируси. Ние не препоръчваме тези промени, но предоставяме тази информация, така че можете да ги по своя преценка. Използвайте това решение на свой собствен риск.
  
  Важно: Този раздел, метод или задача съдържат информация за модифициране на системния регистър. Въпреки това при неправилно модифициране на регистъра може да възникнат сериозни проблеми. Поради тази причина, трябва внимателно да изпълните тези стъпки. За допълнителна защита направете резервно копие на регистъра, преди да го промените. След това, ако възникне проблем, можете да възстановите системния регистър. За повече информация как да направите резервно копие и как да извършите възстановяване на системния регистър, щракнете върху следния номер на статия, за да видите статията в базата със знания на Microsoft:

  322756 Как да направите резервно копие и да извършите възстановяване на системния регистър в Windows
  
  За да забраните тази промяна, задайте DWORD влизане NegoAllowNtlmPwdChangeFallback да използва стойност 1 (един).
  
  
  Важно: Задаване на запис в системния регистър NegoAllowNtlmPwdChangeFallback стойност 1 ще забрани тази корекция на защитата:
  

  Стойност в системния регистър	Описание
  0	Стойността по подразбиране. Резервен вариант се забранява.
  1	Резервен вариант винаги е разрешено. Корекция на защитата е изключена. Потребителите, които имат проблеми с отдалечен локалните акаунти или ненадежден гора сценарии може да зададе системния регистър стойност.

  За да добавите тези стойности в системния регистър, изпълнете следните стъпки:
  

  1. Щракнете върху Старт, щракнете върху Изпълнение, въведете regedit в полето Отвори и след това щракнете върху OK.

  2. Намерете и след това щракнете върху следния подключ в системния регистър:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. В менюто Редактиране посочете Създайи след това щракнете върху DWORD стойност.

  4. Въведете NegoAllowNtlmPwdChangeFallback за името на DWORD и натиснете ENTER.

  5. С десния бутон върху NegoAllowNtlmPwdChangeFallbackи след това щракнете върху Промяна.

  6. В полето Value data въведете 1 , за да забраните тази промяна и след това щракнете върху OK.
     
     
     Забележка: За да възстановите стойността по подразбиране, въведете 0 (нула) и след това щракнете върху OK.

  Статус
  
  Разбира се, основната причина за проблема. В тази статия ще се актуализира с допълнителни подробности, тъй като те станат достъпни.

Метод 1: Windows Update

Тази актуализация ще се изтеглят и инсталират автоматично.

Метод 2: Каталога на Microsoft Update

За да получите самостоятелния пакет за тази актуализация, отидете на уеб сайта на Каталога на Microsoft Update .

Необходими условия:

Няма предварителни изисквания за инсталирането на тази актуализация.

Информация за рестартиране

Трябва да рестартирате компютъра, след като приложите тази актуализация.

Информация за заместване на актуализация

Тази актуализация заменя вече издадена актуализация 3172985.