Kumulativní aktualizace pro Windows 10 verze 1511: 9. srpna 2016

Známé problémy v této aktualizaci zabezpečení

• Známý problém 1
  
  Novější aktualizace a aktualizace zabezpečení, které jsou k dispozici v MS16-101 zakázat možnost Vyjednat proces přejdou na NTLM ověřování pomocí protokolu Kerberos se nezdaří operace změny hesla s kódem chyby STATUS_NO_LOGON_SERVERS (0xc000005e) . V takovém případě můžete obdržet jednu z následujících kódů chyb.
  
  

  Šestnáctkově	Desetinné číslo	Symbolické	Popisný
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Systém zjistil možný pokus ohrozit zabezpečení. Přesvědčte se, zda můžete kontaktovat server, který vás ověřil.
  0x4f1	. 1265	ERROR_DOWNGRADE_DETECTED	Systém zjistil možný pokus ohrozit zabezpečení. Přesvědčte se, zda můžete kontaktovat server, který vás ověřil.

  
  
  Jak potíže obejít
  
  Pokud dříve úspěšné změny hesla se nezdaří po instalaci MS16-101, je pravděpodobné, že změny hesla byly dříve spoléhání se na nouzové NTLM protože Kerberos byl neúspěšný. Chcete-li změnit hesla úspěšně pomocí protokolů Kerberos, postupujte takto:
  
  
  

  1. Konfigurace otevřené komunikace na portu TCP 464 mezi klienty, kteří mají nainstalovány MS16-101 a řadič domény, který je pro obsluhu obnovení hesla.
     
     Řadiče domény jen pro čtení (RODC) může obnovení hesla samoobslužné služby, pokud uživatel podle zásad replikace hesel řadiče. Uživatelé, kteří nejsou povolena zásadami RODC hesla vyžadují síťové připojení k řadiči domény pro čtení i zápis (RWDC) v doméně účet uživatele.
     
     Poznámka: Chcete-li zkontrolovat, zda je otevřen TCP port 464, postupujte takto:
     
     
     

     1. Vytvoření filtru zobrazení odpovídající pro analyzátor jazyka programu Sledování sítě. Například:
        

        ipv4.address== <ip address of client> && tcp.port==464

     2. V seznamu výsledků hledání "TCP: [SynReTransmit" snímek.
        
        

  2. Ujistěte se, že jsou platné cílové názvy protokolu Kerberos. (IP adresy nejsou platné pro protokol Kerberos. Krátké názvy podporuje protokol Kerberos a plně kvalifikované názvy domény.)

  3. Ujistěte se, že jsou správně registrovány hlavní názvy služby (SPN).
     
     Další informace naleznete v tématu protokol Kerberos a funkce samoobslužného vytvoření nového hesla.

• Známý problém 2
  
  O problému víme, které obnoví programové heslo uživatele domény účty se nezdaří a vrátí kód chyby STATUS_DOWNGRADE_DETECTED (0x800704F1) , pokud očekávané selhání je jedním z následujících:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (zřídka vrácen)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  V následující tabulce je uvedeno mapování plný chyb.
  
  

  Šestnáctkově	Desetinné číslo	Symbolické	Popisný
  0x56	86	ERROR_INVALID_PASSWORD	Zadané síťové heslo není správné.
  0x267	615	ERROR_PWD_TOO_SHORT	Heslo, které je kratší, než stanoví zásady vašeho uživatelského účtu. Zadejte delší heslo.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Při pokusu aktualizovat heslo tento návratový stav znamená, že hodnota poskytnutá jako aktuální heslo není správné.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Při pokusu aktualizovat heslo tento návratový stav znamená, že byla porušena některých pravidel pro aktualizaci hesla. Například heslo nevyhovuje požadavkům na délku.
  0x800704F1	. 1265	STATUS_DOWNGRADE_DETECTED	Systém nemůže připojit k řadiči domény služby požadavek na ověření. Opakujte akci později.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Systém nemůže připojit k řadiči domény služby požadavek na ověření. Opakujte akci později.

  
  
  Řešení
  
  MS16-101 byl vydán znovu, aby se tento problém řeší. Nainstalujte nejnovější verzi aktualizace pro tento bulletin, chcete-li vyřešit tento problém.
  
  

• Známý problém 3
  
  Víme o problému, ve kterém programové obnoví změny hesla účtu místního uživatele nezdaří a vrátí kód chyby STATUS_DOWNGRADE_DETECTED (0x800704F1) .
  
  V následující tabulce je uvedeno mapování plný chyb.
  
  

  Šestnáctkově	Desetinné číslo	Symbolické	Popisný
  0x4f1	. 1265	ERROR_DOWNGRADE_DETECTED	Systém nemůže připojit k řadiči domény služby požadavek na ověření. Opakujte akci později.

  
  
  Řešení
  
  MS16-101 byl vydán znovu, aby se tento problém řeší. Nainstalujte nejnovější verzi aktualizace pro tento bulletin, chcete-li vyřešit tento problém.
  
  

• Známý problém 4
  
  Nelze změnit hesla pro účty uživatele zakázáno a uzamčený pomocí balíček negotiate.
  
  
  Změny hesla pro účty zakázáno a uzamčený budou stále fungovat při použití jiné metody, například při použití LDAP upravit operace přímo. Rutiny prostředí PowerShell Set-ADAccountPassword například používá ke změně hesla "LDAP upravit" operace a zůstává beze změn.
  
  Jak potíže obejít
  
  Tyto účty vyžadují správce provést obnovení hesla. Toto chování je záměrné, po instalaci opravy MS16-101 a novější.
  
  

• Známý problém 5
  
  Aplikace, které používají NetUserChangePassword API a který předat parametr název_domény název_serveru přestanou fungovat po MS16-101 a jsou nainstalována novější aktualizace.
  
  Dokumentace společnosti Microsoft uvádí, že poskytuje název vzdáleného serveru v parametru název_domény NetUserChangePassword funkce je podporována. Například na webu MSDN NetUserChangePassword funkce uvedeno:
  
  název_domény [in]
  

  Ukazatel na konstantní řetězec, který určuje název DNS nebo NetBIOS vzdáleného serveru nebo domény, na kterém má funkci provést. Pokud tento parametr hodnotu NULL, se používá přihlašovací doména volajícího.Tento návod však byla nahrazena MS16-101, pokud obnovení hesla je pro místní účet v místním počítači. Příspěvek MS16-101, za účelem změny hesla uživatelů domény pracovat, musí předat platný název domény DNS API NetUserChangePassword.

• Známý problém 6
  
  
  
  Po instalaci této aktualizace zabezpečení a vytisknout více dokumentů za sebou, může úspěšně vytisknout první dva dokumenty. Třetí a následující dokumenty však nemusí vytisknout.
  
  Chcete-li tento problém vyřešit, stáhněte z webu Katalogu služby Microsoft Update aktualizace 3186988.
  
  
  
  
  
  Tento problém je vyřešen také v bulletinu zabezpečení společnosti Microsoft MS16-106.
  
  
  
  

• Známý problém 7
  
  Po instalaci aktualizace zabezpečení, které jsou popsány v MS16-101, vzdálený, programové změny hesla místního uživatelského účtu a heslo se změní v nedůvěryhodné doménové struktuře nezdaří.
  
  
  Tato operace se nezdaří, protože operace závisí na NTLM podzim back, který již není podporován pro ostatní účty po instalaci MS16-101.
  
  
  Za předpokladu, že můžete použít, chcete-li zakázat tato změna je položka registru.
  
  Upozornění: Tento postup může oslabit zabezpečení počítače nebo sítě vůči útoku uživatelů se zlými úmysly nebo škodlivému softwaru, například virům. My toto řešení nedoporučujeme, ale poskytujeme tyto informace, takže můžete řešení implementovat podle vlastního uvážení. Toto řešení používáte na vlastní nebezpečí.
  
  Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru mohou nastat závažné problémy Proto se ujistěte, že budete opatrně postupovat podle těchto kroků Pro zvýšení ochrany před úpravou zálohujte registr. Pokud dojde k potížím, pak můžete registr obnovit ze zálohy. Pro další informace o zálohování a obnovení registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:

  322756 Postup při zálohování a obnovení registru v systému Windows
  
  Chcete-li zakázat tuto změnu, nastavte položku DWORD NegoAllowNtlmPwdChangeFallback na hodnotu 1 (jedna) použít.
  
  
  Důležité: Nastavení položky registru NegoAllowNtlmPwdChangeFallback na hodnotu 1, bude tato oprava zabezpečení zakázat:
  

  Hodnota registru	Popis
  0	Výchozí hodnota. Nouzové je zakázáno.
  1	Vždy je povolen základní formulář. Oprava zabezpečení vypnuto. Zákazníci, kteří mají problémy s vzdálené místní účty nebo nedůvěryhodné doménové struktury scénáře nastavit na tuto hodnotu registru.

  Chcete-li přidat tyto hodnoty registru, postupujte takto:
  

  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, do pole Otevřít zadejte příkaz regedit a klepněte na tlačítko OK.

  2. Vyhledejte a klepněte na následující podklíč registru:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. V nabídce Úpravy přejděte na příkaz Nový a klepněte na příkaz Hodnota DWORD.

  4. Jako název hodnoty DWORD zadejte NegoAllowNtlmPwdChangeFallback a stiskněte klávesu ENTER.

  5. Klepněte pravým tlačítkem myši NegoAllowNtlmPwdChangeFallbacka potom klepněte na příkaz změnit.

  6. V poli Údaj hodnoty zadejte 1 zakázat tuto změnu a potom klepněte na tlačítko OK.
     
     
     Poznámka: Chcete-li obnovit výchozí hodnotu, zadejte 0 (nula) a klepněte na tlačítko OK.

  Stav
  
  Rozumí se příčina tohoto problému. Jakmile budou k dispozici bude tento článek aktualizován s další podrobnosti.

Metoda 1: Aktualizace systému Windows

Tato aktualizace bude stažena a nainstalována automaticky.

Metoda 2: Katalog Microsoft Update

Chcete-li získat samostatný balíček pro aktualizaci, přejděte na web Microsoft Update Catalog .

Předpoklady

Neexistují žádné požadavky pro instalaci této aktualizace.

Informace o restartování počítače

Po instalaci této aktualizace musíte restartovat počítač.

Informace o nahrazení aktualizace

Tato aktualizace nahrazuje dříve vydané aktualizace 3172985.