Важно: Тази статия съдържа информация, която ви показва как да понижите настройките за защита или как да изключите функциите за защитата на компютъра. Можете да направите тези промени, за да заобиколите конкретен проблем. Преди да направите тези промени, ви препоръчваме да прецените рисковете, свързани с изпълнението на това решение във вашата конкретна среда. Ако решите да реализирате заобиколно решение, вземете подходящи допълнителни мерки за защита на компютъра.

Резюме

Тази актуализация включва подобрения и поправки на функционалността на Windows 1511 10 версия. Тя също отстранява следните уязвимости в Windows:

  • 3177356 MS16-095: кумулативна актуализация на защитата за Internet Explorer: 9 август 2016

  • 3177358 MS16-096: кумулативна актуализация на защитата за Microsoft край: 9 август 2016

  • 3177393 MS16-097: Актуализация на защитата за Microsoft графичния компонент: 9 август 2016

  • 3178466 MS16-098: Актуализация на защитата за драйвери в режим ядро: 9 август 2016

  • 3178465 MS16-101: Актуализация на защитата за Windows методи за удостоверяване: 9 август 2016

  • 3182248 MS16-102: Актуализация на защитата за Microsoft Windows PDF библиотека: 9 август 2016

  • 3182332 MS16-103: Актуализация на защитата за ActiveSyncProvider: 9 август 2016


Windows 10 актуализации са кумулативни. Този пакет съдържа всички предишни поправки.

Ако сте инсталирали актуализации на по-рано, само новите корекции, които се съдържат в този пакет ще изтеглени и инсталирани на компютъра. Ако инсталирате пакета за актуализация на Windows 10 за първи път, пакетът за x86 версия е 502 МБ и пакета за x64 версия е 916 МБ.


Допълнителна информация

Известни проблеми в тази актуализация на защитата

  • Известен проблем 1

    По-нови актуализации и актуализации на защитата, които са предвидени в MS16-101 изключи възможността на Negotiate процес за преминаване на NTLM неуспешно Kerberos удостоверяване за операции за смяна на паролата с код на грешка STATUS_NO_LOGON_SERVERS (0xc000005e) . В този случай можете да получите едно от следните кодове за грешка.

    Шестнадесетичен

    Десетичен

    Символична

    Приятелски

    0xc0000388

    1073740920

    STATUS_DOWNGRADE_DETECTED

    Системата откри възможен опит за влошаване защита. Уверете се, че можете да се свържете сървъра, който ви удостоверени.

    0x4f1

    1265

    ERROR_DOWNGRADE_DETECTED

    Системата откри възможен опит за влошаване защита. Уверете се, че можете да се свържете сървъра, който ви удостоверени.



    Заобикаляне на проблема

    Ако промените паролата, които вече успешно не след инсталирането на MS16-101, е вероятно, че паролата се сменя вече са разчита на NTLM резервно поради липса на Kerberos. За да се променят паролите успешно с помощта на Kerberos протоколи, изпълнете следните стъпки:


    1. Конфигуриране на отворена комуникация на TCP порт 464 между клиенти, които имат MS16-101 инсталиран и домейн контролера, който обслужва нулира паролата.

      Контролери на домейни само за четене (RODCs) да услуга нулира паролата за самообслужване, ако потребителят е разрешен от RODCs правила за репликация на паролата. Потребителите, които не са разрешени от правилата за парола RODC изискват мрежова връзка за четене/запис домейнов контролер (RWDC) в домейна на потребителския акаунт.

      Забележка: За да проверите дали е отворен TCP порт 464, изпълнете следните стъпки:


      1. Създаване на съответния дисплей филтър за вашия мрежов монитор анализатор. Например:

        ipv4.address== <ip address of client> && tcp.port==464
      2. В резултатите потърсете "TCP: [SynReTransmit" рамка.

    2. Уверете се, че целта Kerberos имена са валидни. (IP адреси не са валидни за протокола Kerberos. Kerberos поддържа кратки имена и домейн имена.)

    3. Уверете се, че главни имена на услуги (SPN) са регистрирани правилно.

      За повече информация вижте Kerberos и самостоятелно нулиране на паролата.

  • Известен проблем 2

    Знаем за проблем, в който програмен парола проучване на домейн потребителски акаунти е неуспешно и връща код на грешка STATUS_DOWNGRADE_DETECTED (0x800704F1) , ако очакваното отказът е един от следните:

    • ERROR_INVALID_PASSWORD

    • ERROR_PWD_TOO_SHORT (рядко се връща)

    • STATUS_WRONG_PASSWORD

    • STATUS_PASSWORD_RESTRICTION


    Следната таблица показва грешка съответствието.

    Шестнадесетичен

    Десетичен

    Символична

    Приятелски

    0x56

    86

    ERROR_INVALID_PASSWORD

    Указаната мрежова парола е неправилна.

    0x267

    615

    ERROR_PWD_TOO_SHORT

    Паролата, предоставена е твърде кратка според правилата на вашия потребителски акаунт. Моля, дайте по-дълга парола.

    0xc000006a

    -1073741718

    STATUS_WRONG_PASSWORD

    При опит за актуализиране на парола, този връщане ранг показва, че стойността, която е била предоставена като текуща парола е неправилна.

    0xc000006c

    -1073741716

    STATUS_PASSWORD_RESTRICTION

    При опит за актуализиране на парола, този връщане състояние показва, че някой парола update правило нарушение. Например паролата може да не отговарят дължина.

    0x800704F1

    1265

    STATUS_DOWNGRADE_DETECTED

    Системата не може да се обърнете към домейнов контролер за обслужване на заявката за удостоверяване. Опитайте отново по-късно.

    0xc0000388

    -1073740920

    STATUS_DOWNGRADE_DETECTED

    Системата не може да се обърнете към домейнов контролер за обслужване на заявката за удостоверяване. Опитайте отново по-късно.



    Решение

    MS16-101 е бил част и решаване на проблема. Инсталирайте най-новата версия на актуализациите за този бюлетин, за да разрешите този проблем.

  • Известен проблем 3

    Знаем за проблема, при който програмен нулира локален потребителски акаунт парола промени може да се провали и връща код на грешка STATUS_DOWNGRADE_DETECTED (0x800704F1) .

    Следната таблица показва грешка съответствието.

    Шестнадесетичен

    Десетичен

    Символична

    Приятелски

    0x4f1

    1265

    ERROR_DOWNGRADE_DETECTED

    Системата не може да се обърнете към домейнов контролер за обслужване на заявката за удостоверяване. Опитайте отново по-късно.



    Решение

    MS16-101 е бил част и решаване на проблема. Инсталирайте най-новата версия на актуализациите за този бюлетин, за да разрешите този проблем.

  • Известен проблем 4

    Пароли за забранени и блокираните потребителски акаунти не се променя negotiate пакет.


    Паролата се сменя за забранени и блокираните сметки ще продължат да работят при използване на други методи, като например при използване на LDAP промените операция директно. Например PowerShell cmdlet Комплект ADAccountPassword използва "LDAP промяна" операция за промяна на паролата и остава незасегнато.

    Заобикаляне на проблема

    Тези акаунти изискват администратор да нулира паролата. Това поведение е проектирана след инсталиране на MS16-101 и по-нови поправки.

  • Известен проблем 5

    Приложения, използващи NetUserChangePassword API и че минават servername в параметъра domainname няма да работи след MS16-101 и по-нови актуализации са инсталирани.

    Документация на Microsoft посочва, че предоставя име на отдалечения сървър в параметъра domainname на NetUserChangePassword функция се поддържа. Например функцията NetUserChangePassword MSDN темата гласи следното:

    domainname [в]

    Указател към постоянно низ, който указва DNS или NetBIOS името на отдалечения сървър или домейн, в който функцията трябва да изпълни. Ако този параметър е празен, се използва домейн за влизане на повикващия.Обаче тези насоки е заместен от MS16-101, освен ако за нулиране на паролата за локалния акаунт на локалния компютър. Post MS16-101, домейн потребител парола промени, за да трябва да премине валиден DNS домейн на NetUserChangePassword API.

  • Известен проблем 6



    След като приложите тази актуализация на защитата и отпечатвате документи на няколко поредни, първите два документа може да се отпечата успешно. Обаче не се отпечатват третата и следващите документи.

    За да решите този проблем, изтеглете актуализация 3186988 от уеб сайта на Каталога на Microsoft Update .





    Този проблем е разрешен и в Microsoft сигурност бюлетин MS16-106.



  • Известен проблем 7

    След инсталиране на актуализации на защитата, които са описани в MS16-101дистанционно програмен смяна на парола за локален потребителски акаунт и парола промени в ненадежден гора е неуспешно.


    Тази операция не успява, защото операцията се основава на NTLM алтернативен вече не се поддържа за Нелокални акаунти след MS16-101.


    Запис в системния регистър е при условие, че можете да забраните тази промяна.

    Предупреждение Това решение може да направи компютъра или мрежата по-уязвими за атаки от злонамерени потребители или злонамерен софтуер, например вируси. Ние не препоръчваме тези промени, но предоставяме тази информация, така че можете да ги по своя преценка. Използвайте това решение на свой собствен риск.

    Важно: Този раздел, метод или задача съдържат информация за модифициране на системния регистър. Въпреки това при неправилно модифициране на регистъра може да възникнат сериозни проблеми. Поради тази причина, трябва внимателно да изпълните тези стъпки. За допълнителна защита направете резервно копие на регистъра, преди да го промените. След това, ако възникне проблем, можете да възстановите системния регистър. За повече информация как да направите резервно копие и как да извършите възстановяване на системния регистър, щракнете върху следния номер на статия, за да видите статията в базата със знания на Microsoft:

    322756 Как да направите резервно копие и да извършите възстановяване на системния регистър в Windows

    За да забраните тази промяна, задайте DWORD влизане NegoAllowNtlmPwdChangeFallback да използва стойност 1 (един).


    Важно: Задаване на запис в системния регистър NegoAllowNtlmPwdChangeFallback стойност 1 ще забрани тази корекция на защитата:

    Стойност в системния регистър

    Описание

    0

    Стойността по подразбиране. Резервен вариант се забранява.

    1

    Резервен вариант винаги е разрешено. Корекция на защитата е изключена. Потребителите, които имат проблеми с отдалечен локалните акаунти или ненадежден гора сценарии може да зададе системния регистър стойност.

    За да добавите тези стойности в системния регистър, изпълнете следните стъпки:

    1. Щракнете върху Старт, щракнете върху Изпълнение, въведете regedit в полето Отвори и след това щракнете върху OK.

    2. Намерете и след това щракнете върху следния подключ в системния регистър:

      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

    3. В менюто Редактиране посочете Създайи след това щракнете върху DWORD стойност.

    4. Въведете NegoAllowNtlmPwdChangeFallback за името на DWORD и натиснете ENTER.

    5. С десния бутон върху NegoAllowNtlmPwdChangeFallbackи след това щракнете върху Промяна.

    6. В полето Value data въведете 1 , за да забраните тази промяна и след това щракнете върху OK.


      Забележка: За да възстановите стойността по подразбиране, въведете 0 (нула) и след това щракнете върху OK.

    Статус

    Разбира се, основната причина за проблема. В тази статия ще се актуализира с допълнителни подробности, тъй като те станат достъпни.

Как да получите тази актуализация

Важно: Ако инсталирате езиков пакет, след като инсталирате тази актуализация, трябва да преинсталирате тази актуализация. Препоръчва се да инсталирате всички езикови пакети, преди да инсталирате тази актуализация. За повече информация вижте Добавяне езикови пакети за Windows.

Метод 1: Windows Update

Тази актуализация ще се изтеглят и инсталират автоматично.

Метод 2: Каталога на Microsoft Update

За да получите самостоятелния пакет за тази актуализация, отидете на уеб сайта на Каталога на Microsoft Update .

Необходими условия:

Няма предварителни изисквания за инсталирането на тази актуализация.

Информация за рестартиране

Трябва да рестартирате компютъра, след като приложите тази актуализация.

Информация за заместване на актуализация

Тази актуализация заменя вече издадена актуализация 3172985.

Файлова информация

За да видите списък на файловете, които са предоставени в тази сборна актуализация Изтеглете информация за файла за сборна актуализация 3176493.

Препратки

Научете повече за терминологията , използвана за описание на софтуерните актуализации от Microsoft.

Нуждаете се от още помощ?

Разширете уменията си
Преглед на обучението
Получавайте първи новите функции
Присъединете се към Microsoft приобщени

Беше ли полезна тази информация?

Доколко сте доволни от качеството на превода?
Какво е повлияло на вашия потребителски опит?

Благодарим ви за обратната връзка!

×