Kumulativní aktualizace pro systém Windows 10:9. srpna 2016

Známé problémy v této aktualizaci zabezpečení

• Známý problém 1 Aktualizace zabezpečení, které jsou k dispozici v MS16-101 a novějších aktualizacích, zakazují schopnost procesu vyjednávání přejít zpět na protokol NTLM, pokud se při ověřování pomocí protokolu Kerberos nezdaří operace změny hesla s STATUS_NO_LOGON_SERVERS (0xC000005E). kód chyby. V takovém případě se může zobrazit jeden z následujících chybových kódů.

  Šestnáctkové	Desetinných	Symbolické	Přátelské
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Systém zjistil možný pokus o ohrožení zabezpečení. Ověřte, zda můžete kontaktovat server, který vás ověřil.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Systém zjistil možný pokus o ohrožení zabezpečení. Ověřte, zda můžete kontaktovat server, který vás ověřil.

  Řešení Pokud se změny hesla, které se dříve zdařilo, nezdaří po instalaci MS16-101, je pravděpodobné, že se změny hesla dříve spoléhaly na nouzové nastavení NTLM, protože protokol Kerberos selhal. Chcete-li úspěšně změnit hesla pomocí protokolů Kerberos, postupujte následujícím způsobem:

  1. Konfigurujte otevřenou komunikaci na portu TCP 464 mezi klienty, kteří mají nainstalovanou MS16-101, a řadičem domény, který slouží k resetování hesla. Řadiče domény jen pro čtení (RODCs) umožňují obnovení hesla pro samoobslužné služby v případě, že je uživatel povolen zásadami replikace hesel v rámci služby RODCs. Uživatelé, kteří nejsou oprávněni zásadami pro řadič domény jen pro čtení, vyžadují síťové připojení k řadiči domény pro čtení a zápis (RWDC) v doméně uživatelského účtu. Poznámka: Chcete-li zkontrolovat, zda je port TCP 464 otevřený, postupujte následujícím způsobem:

     1. Vytvořte ekvivalentní filtr zobrazení pro analyzátor monitoru sítě. Například:

        ipv4.address== <ip address of client> && tcp.port==464

     2. Ve výsledcích vyhledejte rámec TCP: [Synrevysílat.

  2. Přesvědčte se, zda jsou cílové názvy protokolu Kerberos platné. (Adresy IP nejsou platné pro protokol Kerberos. Protokol Kerberos podporuje krátké názvy a plně kvalifikované názvy domén.)

  3. Zkontrolujte, zda jsou správně registrovány hlavní názvy služeb (SPN). Další informace naleznete v tématu protokol Kerberos a obnovení hesla samoobslužné služby.

• Známý problém 2 Víme o problému, při kterém se nezdařilo obnovení programového hesla uživatelských účtů domény, a vrátí kód chyby STATUS_DOWNGRADE_DETECTED (0x800704F1) v případě, že očekávaná chyba je jedna z následujících možností:

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (vráceno zřídka)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  V následující tabulce je zobrazeno úplné mapování chyb.

  Šestnáctkové	Desetinných	Symbolické	Přátelské
  0x56	86	ERROR_INVALID_PASSWORD	Zadané síťové heslo není správné.
  0x267	615	ERROR_PWD_TOO_SHORT	Zadané heslo je příliš krátké na to, aby mohlo splňovat zásady vašeho uživatelského účtu. Zadejte delší heslo.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Při pokusu o aktualizaci hesla Tento návratový stav znamená, že hodnota poskytnutá jako aktuální heslo je nesprávná.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Při pokusu o aktualizaci hesla Tento návratový stav znamená, že bylo porušeno některé pravidlo pro aktualizaci hesla. Heslo například nemusí splňovat kritéria délky.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Systém nemůže kontaktovat řadič domény za účelem vyřízení požadavku na ověření. Opakujte akci později.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Systém nemůže kontaktovat řadič domény za účelem vyřízení požadavku na ověření. Opakujte akci později.

  ŘešeníMS16-101 bylo znovu vydáno, aby se tento problém vyřešilo. Tento problém vyřešíte instalací nejnovější verze aktualizací tohoto bulletinu.

• Známý problém 3 Víme o problému, při kterém může dojít k selhání programového nastavení změn hesla místního uživatelského účtu a vrácení kódu chyby STATUS_DOWNGRADE_DETECTED (0x800704F1) . V následující tabulce je zobrazeno úplné mapování chyb.

  Šestnáctkové	Desetinných	Symbolické	Přátelské
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Systém nemůže kontaktovat řadič domény za účelem vyřízení požadavku na ověření. Opakujte akci později.

  ŘešeníMS16-101 bylo znovu vydáno, aby se tento problém vyřešilo. Tento problém vyřešíte instalací nejnovější verze aktualizací tohoto bulletinu.

• Známý problém 4 Hesla pro zakázané a uzamčené uživatelské účty nelze pomocí vyjednávaného balíčku změnit. Změny hesel pro zakázané a uzamčené účty budou fungovat i při použití jiných metod, například při přímém použití operace úprav LDAP. Příklad: nastavení rutiny prostředí PowerShell -ADAccountPassword používá k změně hesla operaci "Změna LDAP" a zůstává nedotčena. Řešení Tyto účty vyžadují, aby správce nastavil nové nastavení hesla. Toto chování je v návrhu po instalaci MS16-101 a novějších oprav.

• Známý problém 5 Aplikace používající rozhraní API NetUserChangePassword , které předávají název serveru v parametru název_domény , nebudou po instalaci MS16-101 a novějších aktualizací funkční. V dokumentaci společnosti Microsoft jsou podporovány názvy vzdálených serverů v parametru DomainName funkce NetUserChangePassword . Například funkce NetUserChangePassword v tématu MSDN uvádí následující: název_domény [in]

  Ukazatel na konstantní řetězec, který určuje název DNS nebo NetBIOS vzdáleného serveru nebo domény, ve které má být funkce spuštěna. Pokud má tento parametr hodnotu NULL, bude použita přihlašovací doména volajícího.Toto vodítko však bylo nahrazeno MS16-101, pokud není obnovení hesla pro místní účet v místním počítači. Post MS16-101, aby se změny hesla uživatele domény projevily, je nutné předat rozhraní API NetUserChangePassword platným názvem domény DNS.

• Známý problém 6 Po instalaci této aktualizace zabezpečení a následném tisku více dokumentů po sobě mohou být první dva dokumenty úspěšně vytištěny, ale třetí a následující dokumenty se nemusí vytisknout. Chcete-li tento problém vyřešit, proveďte některou z následujících akcí:

  • Nainstalujte aktualizaci 3187022. Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

    3187022 funkce tisku je porušená po nainstalování kterékoli aktualizace zabezpečení MS16-098

  • Nainstalujte aktualizaci 3186987 z webu katalogu systému Microsoft Update .

  Tento problém je také vyřešen v bulletinu Microsoft Security Bulletin MS16-106.

• Známý problém 7 Po instalaci aktualizací zabezpečení popsaných v MS16-101jsou vzdálené, programové změny hesla místního uživatelského účtu a změny hesel v rámci nedůvěryhodné doménové struktury neúspěšné. Tato operace se nezdaří, protože operace se opírá o zpětné selhání protokolu NTLM, které již není podporováno pro místní účty po instalaci MS16-101. K dispozici je položka registru, kterou můžete použít k zakázání této změny. Upozornění : Toto zástupné řešení může oslabit zabezpečení počítače nebo sítě vůči útokům uživatelů se zlými úmysly nebo škodlivého softwaru, například virům. Toto zástupné řešení nedoporučujeme, ale poskytujeme tyto informace, aby bylo možné toto řešení implementovat podle vlastního uvážení. Toto zástupné řešení používejte na vlastní nebezpečí. Důležité: Tato část, metoda nebo úloha obsahuje kroky, které vám řeknou, jak upravit registr. Při nesprávném úpravách registru však může dojít k vážným problémům. Proto se ujistěte, že jste pečlivě dodržli tyto kroky. Z důvodu přidané ochrany před úpravami registr zálohujte. Poté můžete registr obnovit v případě, že dojde k potížím. Další informace o zálohování a obnovení registru získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

  322756 Zálohování a obnovení registru v systému WindowsChcete-li tuto změnu zakázat, nastavte položku Negoallowntlmpwdchangefallback DWORD tak, aby používala hodnotu 1 (jedna). Důležité Nastavení položky registru Negoallowntlmpwdchangefallback na hodnotu 1 zakáže tuto opravu zabezpečení:

  Hodnota registru	Popis
  0	Výchozí hodnota. Nouzové je zabráněno.
  1	Náhradní je vždy povolen. Oprava zabezpečení je vypnuta. Zákazníci, kteří mají potíže se vzdálenými místními účty nebo nedůvěryhodnými scénáři doménové struktury, mohou nastavit tuto hodnotu registru.

  Chcete-li tyto hodnoty registru přidat, postupujte následujícím způsobem:

  1. Klikněte na tlačítko Start a na příkaz Spustit, do pole Otevřít zadejte příkaz regedit a pak klikněte na tlačítko OK.

  2. Vyhledejte následující podklíč registru a klepněte na něj:

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

  3. V nabídce Úpravy přejděte na příkaz Nový a potom klikněte na příkaz Hodnota DWORD.

  4. Zadejte Negoallowntlmpwdchangefallback pro název hodnoty DWORD a stiskněte klávesu ENTER.

  5. Klepněte pravým tlačítkem myši na položku Negoallowntlmpwdchangefallbacka pak klepněte na příkaz změnit.

  6. Chcete-li tuto změnu zakázat, zadejte do pole Údaj hodnoty hodnotu1 a klepněte na tlačítko OK. Poznámka: Chcete-li obnovit výchozí hodnotu, zadejte hodnotu 0 (nula) a klepněte na tlačítko OK.

  Stavové Základní příčinou tohoto problému je pochopení. Tento článek bude aktualizován o další podrobnosti, jakmile budou k dispozici.

Metoda 1: Windows Update

Tato aktualizace bude stažena a nainstalována automaticky.

Metoda 2: katalog Microsoft Update

Chcete-li získat samostatný balíček pro tuto aktualizaci, přejděte na web katalogu Microsoft Update .

Požadavky

Pro instalaci této aktualizace neexistují žádné požadavky.

Informace o restartování

Po instalaci této aktualizace je třeba restartovat počítač.

Informace o nahrazení aktualizace

Tato aktualizace nahrazuje dříve vydanou aktualizaci 3163912.