MS16-101: описание на актуализацията на защитата за Windows за методите за удостоверяване: 9 август 2016 г.

Обобщена информация

Тази актуализация на защитата премахва множество уязвимости в Microsoft Windows. Уязвимости може да допусне увеличаване на привилегиите, ако атакуващият изпълнява специално изработени приложения в система, която се присъединява към домейн.

За да научите повече за уязвимостта, вижте бюлетин за защитата на Microsoft MS16-101.

Повече информация

Важно

• Всички бъдещи актуализации за защита и несвързани със защитата за Windows 8,1 и Windows Server 2012 R2 изискват актуализация 2919355 за инсталиране. Препоръчваме ви да инсталирате актуализацията 2919355 на вашия компютър, базиран на Windows 8,1 или windows Server 2012 R2, така че да получавате бъдещи актуализации.

• Ако инсталирате езиков пакет, след като инсталирате тази актуализация, трябва да преинсталирате тази актуализация. Следователно ви препоръчваме да инсталирате езиковите пакети, от които имате нужда, преди да инсталирате тази актуализация. За повече информация вижте Добавяне на езикови пакети в Windows.
  

Известни проблеми в тази актуализация на защитата

• Известен проблем 1
  
  актуализацията на защитата, която се предоставя в MS16-101 и по-нови актуализации, забраняват възможността за процеса на преговаряне да се върнат обратно към NTLM, когато удостоверяването на Kerberos е неуспешно за операция за смяна на парола с код на грешка STATUS_NO_LOGON_SERVERS (0xc000005e). В този случай може да получите един от следните кодове на грешка:
  
  

  Шестнадесетичен	Десетично	Символично	Приятелски
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Системата откри възможен опит за компрометиране на защитата. Уверете се, че можете да се свържете със сървъра, който ви е удостоверен.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Системата откри възможен опит за компрометиране на защитата. Уверете се, че можете да се свържете със сървъра, който ви е удостоверен.

  
  
  Заобиколно решение
  
  Ако промените в паролата, които преди това са били успешно неуспешни след ИНСТАЛИРАНЕТО на MS16-101, е вероятно промените в паролата преди това да се отказват от NTLM, тъй като Kerberos е неуспешен. За да смените успешно паролите с помощта на Kerberos протоколи, изпълнете следните стъпки:
  
  
  

  1. Конфигурирайте отворената комуникация на TCP порт 464 между клиенти, които имат MS16-101 и домейновия контролер, който използва нулирането на паролата.
     
     Контролерите на домейни само за четене могат да се нулират самостоятелно, ако потребителят е разрешен от правилата за репликация на парола на RODCs. Потребителите, които не са разрешени от правилата за пароли за RODC, изискват свързване чрез мрежата към домейнов контролер за четене/запис (RWDC) в домейна на потребителския акаунт.
     
     Забележка за да проверите дали TCP порт 464 е отворен, изпълнете следните стъпки:
     
     
     

     1. Създайте еквивалентен филтър за показване за анализатора на мрежата монитора. Например:
        

        IPv4. Address = = <IP адрес на клиента> && TCP. Port = 464

     2. В резултатите Потърсете рамката "TCP: [SynReTransmit".
        
        

  2. Уверете се, че целевите имена на Kerberos са валидни. (IP адресите не са валидни за протокола Kerberos. Kerberos поддържа кратки имена и напълно квалифицирани имена на домейни.)

  3. Уверете се, че основните имена на услуги (SPNs) са регистрирани правилно.
     
     За повече информация вижте удостоверяване чрез Kerberos и Self-Service нулиране на паролата.

• Известен проблем 2
  
  ние знаем за проблем, при който програмната парола нулира на потребителските акаунти за домейни е неуспешна и връща кодът на грешка STATUS_DOWNGRADE_DETECTED (0x800704F1), ако очакваната повреда е една от следните:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (рядко върнати)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  Таблицата по-долу показва пълната грешка при нанасяне.
  
  

  Шестнадесетичен	Десетично	Символично	Приятелски
  0x56	86	ERROR_INVALID_PASSWORD	Указаната мрежова парола не е правилна.
  0x267	615	ERROR_PWD_TOO_SHORT	Предоставената от вас парола е твърде кратка, за да покрие правилата за потребителския ви акаунт. Моля, въведете по-дълга парола.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Когато се опитате да актуализирате парола, това състояние на връщането показва, че стойността, която е предоставена като текуща парола, е неправилна.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Когато се опитате да актуализирате парола, това състояние на връщането показва, че е нарушено известно правило за актуализиране на парола. Например паролата може да не отговаря на критериите за дължина.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Системата не може да се свърже с домейнов контролер, за да поправи заявката за удостоверяване. Опитайте отново по-късно.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Системата не може да се свърже с домейнов контролер, за да поправи заявката за удостоверяване. Опитайте отново по-късно.

  
  
  Резолюция
  
  MS16-101 е издадена за разрешаване на този проблем. Инсталирайте най-новата версия на актуализациите за този бюлетин, за да отстраните този проблем.
  
  

• Известен проблем 3
  
  ние знаем за проблем, при който програмните нулирания на промените в паролата за локален потребителски акаунт може да са неуспешни и да връщат кода за грешка на STATUS_DOWNGRADE_DETECTED (0x800704F1).
  
  Таблицата по-долу показва пълната грешка при нанасяне.
  
  

  Шестнадесетичен	Десетично	Символично	Приятелски
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Системата не може да се свърже с домейнов контролер, за да поправи заявката за удостоверяване. Опитайте отново по-късно.

  
  
  Резолюция
  
  MS16-101 е издадена за разрешаване на този проблем. Инсталирайте най-новата версия на актуализациите за този бюлетин, за да отстраните този проблем.
  
  

• Известен проблем 4
  
  паролите за хора с увреждания и блокирани потребителски акаунти не могат да се променят с помощта на пакета за преговаряне.
  
  Промените в паролата за забранени и блокирани акаунти все още ще работят, когато използват други методи, като например при използването на операция за директно модифициране на LDAP. Например кратката команда на PowerShell Set-ADAccountPassword използва операция "LDAP промяна", за да промени паролата и остава незасегната.
  
  Заобиколно решение
  
  тези акаунти изискват администратора да нулира паролата. Това поведение е по проект, след като инсталирате MS16-101 и по-нови поправки.
  
  

• Известен проблем 5
  
  приложенията, които използват API за NetUserChangePassword и които подават ServerName в параметъра domainname , повече няма да РАБОТЯТ, след като MS16-101 и по-нови актуализации са инсталирани.
  
  Документация за Microsoft указва, че предоставянето на име на отдалечен сървър във параметъра domainname на NetUserChangePassword функция се поддържа. Например темата NetUserChangePassword функция MSDN гласи следното:
  
  domainname [in]
  

  Указател към константен низ, който указва DNS или NetBIOS име на отдалечен сървър или домейн, на който функцията трябва да се изпълни. Ако този параметър е NULL, се използва домейнът за влизане на повикващия. Обаче това ръководство е заместено от MS16-101, освен ако нулирането на паролата е за локален акаунт на локалния компютър. Публикувай MS16-101, за да може да се промени паролата за потребител на домейн на работа, трябва да подадете валидно име на DNS домейн към API за NetUserChangePassword.

• Известен проблем 6
  
  , след като инсталирате актуализациите за защита, които са описани в MS16-101, отдалечени, програмни промени на парола на локален потребителски акаунт и промените в паролата през ненадежден горски неуспех.
  
  
  Тази операция е неуспешна, защото операцията се основава на NTLM падане, която вече не се поддържа за Нелокални акаунти, след като MS16-101 е инсталиран.
  
  
  Има запис в системния регистър, при който можете да използвате, за да забраните тази промяна.
  
  Предупреждение това заобиколно решение може да направи компютъра или мрежата по-уязвима за атаки от злонамерени потребители или злонамерен софтуер, като например вируси. Не препоръчваме тези заобиколни решения, но предоставят тази информация, така че да можете да го реализирате по свое усмотрение. Използвайте това решение на собствен риск.
  
  Секцията Важнотози, метод или задача съдържа стъпки, които ви обясняват как да модифицирате системния регистър. Ако не промените правилно системния регистър обаче, е възможно да възникнат сериозни проблеми. Затова се уверете, че следвате тези стъпки внимателно. За допълнителна защита архивирайте регистъра, преди да го промените. След това, ако възникне проблем, можете да възстановите регистъра. За допълнителна информация как да направите резервно копие на системния регистър или да възстановите регистъра щракнете върху следния номер на статия от базата знания на Microsoft:

  322756Как да архивирате и възстановите системния регистър в Windows
  
  , за да забраните тази промяна, настройте DWORD записа в NegoAllowNtlmPwdChangeFallback, за да използвате стойност 1 (един).
  
  
  Важно настройката на запис в системния регистър на NegoAllowNtlmPwdChangeFallback на стойност 1 ще деактивира тази корекция на защитата:
  

  Стойност на системния регистър	Описание
  0	Стойност по подразбиране. Аварийната е предотвратена.
  1	Връщане винаги се разрешава. Корекцията за защита е изключена. Клиенти, които имат проблеми с отдалечени локални акаунти или ненадеждни горски сценарии, могат да задават регистъра на тази стойност.

  За да добавите следните стойности на системния регистър, изпълнете следните стъпки:
  

  1. Щракнете върху Старт, щракнете върху изпълнение, въведете regedit в полето Отвори и след това щракнете върху OK.

  2. Намерете и след това щракнете върху следния подключ в системния регистър:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. В менюто Редактиране посочете Създаване, след което щракнете върху DWORD стойност.

  4. Въведете NegoAllowNtlmPwdChangeFallback за името на DWORD и след това натиснете клавиша ENTER.

  5. Щракнете с десния бутон върху NegoAllowNtlmPwdChangeFallbackи след това щракнете върху Modify (Модифицирай).

  6. В полето Value data (данни за стойност ) въведете 1, за да забраните тази промяна, и след това щракнете върху OK.
     
     
     Забележка за да възстановите стойността по подразбиране, въведете 0 (нула), след което щракнете върху OK.

  Състояние
  
  основната причина за този проблем е разбрана. Тази статия ще бъде актуализирана с допълнителни данни, тъй като те станат достъпни.

Как да получите и инсталирате актуализацията

Метод 1: актуализиране на Windows

Тази актуализация е налична чрез Windows Update. При включване на автоматичното актуализиране тази актуализация ще се изтегли и инсталира автоматично. За повече информация относно начините за включване на автоматичното актуализиране вижте
получаване на актуализации на защитата автоматично.

Метод 2: каталог за Microsoft Update

За да получите самостоятелната опаковка за тази актуализация, отидете на уеб сайта на каталога на Microsoft Update .

Повече информация

Информация за файла