Důležité: Tento článek obsahuje informace o tom, jak oslabit zabezpečení nebo vypnout funkce zabezpečení v počítači. Tyto změny mohou vyřešit konkrétní problém. Před provedením těchto změn však doporučujeme vyhodnotit nebezpečí spojená s nasazením tohoto řešení v konkrétním prostředí. Pokud se rozhodnete řešení implementovat, přijměte veškerá dodatečná opatření k ochraně počítače.
Souhrn
Tato aktualizace zabezpečení zahrnuje opravy a vylepšení funkce Windows 10 verze 1511. Také řeší následující chyby zabezpečení v systému Windows:
-
3177356 MS16-095: Kumulativní aktualizace zabezpečení pro aplikaci Internet Explorer: 9. srpna 2016
-
3177358 MS16-096: Kumulativní aktualizace zabezpečení pro aplikaci Microsoft Edge: 9. srpna 2016
-
3177393 MS16-097: aktualizace zabezpečení pro součásti Microsoft grafiky: 9. srpna 2016
-
3178466 MS16-098: aktualizace zabezpečení pro ovladače režimu jádra: 9. srpna 2016
-
3178465 MS16-101: aktualizace zabezpečení pro metody ověřování v systému Windows: 9. srpna 2016
-
3182248 MS16-102: aktualizace zabezpečení pro Microsoft Windows PDF library: 9. srpna 2016
-
3182332 MS16-103: aktualizace zabezpečení pro ActiveSyncProvider: 9. srpna 2016
Aktualizace systému Windows 10 jsou kumulativní. Proto tento balíček obsahuje všechny dříve vydané opravy. Pokud jste nainstalovali předchozí aktualizace, bude stažena a nainstalována do počítače pouze nové opravy, které jsou obsaženy v tomto balíčku. Pokud instalujete poprvé, balíčky pro x86 verze je 502 MB a pro x64 verzi balíčku aktualizace Windows 10 916 MB.
Další informace
Známé problémy v této aktualizaci zabezpečení
-
Známý problém 1MS16-101 zakázat možnost Vyjednat proces přejdou na NTLM ověřování pomocí protokolu Kerberos se nezdaří operace změny hesla s kódem chyby STATUS_NO_LOGON_SERVERS (0xc000005e) . V takovém případě můžete obdržet jednu z následujících kódů chyb.
Novější aktualizace a aktualizace zabezpečení, které jsou k dispozici vŠestnáctkově
Desetinné číslo
Symbolické
Popisný
0xc0000388
1073740920
STATUS_DOWNGRADE_DETECTED
Systém zjistil možný pokus ohrozit zabezpečení. Přesvědčte se, zda můžete kontaktovat server, který vás ověřil.
0x4f1
. 1265
ERROR_DOWNGRADE_DETECTED
Systém zjistil možný pokus ohrozit zabezpečení. Přesvědčte se, zda můžete kontaktovat server, který vás ověřil.
-
Konfigurace otevřené komunikace na portu TCP 464 mezi klienty, kteří mají nainstalovány MS16-101 a řadič domény, který je pro obsluhu obnovení hesla.
Řadiče domény jen pro čtení (RODC) může obnovení hesla samoobslužné služby, pokud uživatel podle zásad replikace hesel řadiče. Uživatelé, kteří nejsou povolena zásadami RODC hesla vyžadují síťové připojení k řadiči domény pro čtení i zápis (RWDC) v doméně účet uživatele. Poznámka: Chcete-li zkontrolovat, zda je otevřen TCP port 464, postupujte takto:-
Vytvoření filtru zobrazení odpovídající pro analyzátor jazyka programu Sledování sítě. Například:
ipv4.address== <ip address of client> && tcp.port==464
-
V seznamu výsledků hledání "TCP: [SynReTransmit" snímek.
-
-
Ujistěte se, že jsou platné cílové názvy protokolu Kerberos. (IP adresy nejsou platné pro protokol Kerberos. Krátké názvy podporuje protokol Kerberos a plně kvalifikované názvy domény.)
-
Ujistěte se, že jsou správně registrovány hlavní názvy služby (SPN).protokol Kerberos a funkce samoobslužného vytvoření nového hesla.
Další informace naleznete v tématu
-
-
Známý problém 2
O problému víme, které obnoví programové heslo uživatele domény účty se nezdaří a vrátí kód chyby STATUS_DOWNGRADE_DETECTED (0x800704F1) , pokud očekávané selhání je jedním z následujících:-
ERROR_INVALID_PASSWORD
-
ERROR_PWD_TOO_SHORT (zřídka vrácen)
-
STATUS_WRONG_PASSWORD
-
STATUS_PASSWORD_RESTRICTION
Šestnáctkově
Desetinné číslo
Symbolické
Popisný
0x56
86
ERROR_INVALID_PASSWORD
Zadané síťové heslo není správné.
0x267
615
ERROR_PWD_TOO_SHORT
Heslo, které je kratší, než stanoví zásady vašeho uživatelského účtu. Zadejte delší heslo.
0xc000006a
-1073741718
STATUS_WRONG_PASSWORD
Při pokusu aktualizovat heslo tento návratový stav znamená, že hodnota poskytnutá jako aktuální heslo není správné.
0xc000006c
-1073741716
STATUS_PASSWORD_RESTRICTION
Při pokusu aktualizovat heslo tento návratový stav znamená, že byla porušena některých pravidel pro aktualizaci hesla. Například heslo nevyhovuje požadavkům na délku.
0x800704F1
. 1265
STATUS_DOWNGRADE_DETECTED
Systém nemůže připojit k řadiči domény služby požadavek na ověření. Opakujte akci později.
0xc0000388
-1073740920
STATUS_DOWNGRADE_DETECTED
Systém nemůže připojit k řadiči domény služby požadavek na ověření. Opakujte akci později.
MS16-101 byl vydán znovu, aby se tento problém řeší. Nainstalujte nejnovější verzi aktualizace pro tento bulletin, chcete-li vyřešit tento problém.
Řešení -
-
Známý problém 3
Víme o problému, ve kterém programové obnoví změny hesla účtu místního uživatele nezdaří a vrátí kód chyby STATUS_DOWNGRADE_DETECTED (0x800704F1) . V následující tabulce je uvedeno mapování plný chyb.Šestnáctkově
Desetinné číslo
Symbolické
Popisný
0x4f1
. 1265
ERROR_DOWNGRADE_DETECTED
Systém nemůže připojit k řadiči domény služby požadavek na ověření. Opakujte akci později.
MS16-101 byl vydán znovu, aby se tento problém řeší. Nainstalujte nejnovější verzi aktualizace pro tento bulletin, chcete-li vyřešit tento problém.
Řešení -
Známý problém 4
Nelze změnit hesla pro účty uživatele zakázáno a uzamčený pomocí balíček negotiate. Změny hesla pro účty zakázáno a uzamčený budou stále fungovat při použití jiné metody, například při použití LDAP upravit operace přímo. Rutiny prostředí PowerShell Set-ADAccountPassword například používá ke změně hesla "LDAP upravit" operace a zůstává beze změn. Jak potíže obejít Tyto účty vyžadují správce provést obnovení hesla. Toto chování je záměrné, po instalaci opravy MS16-101 a novější. -
Známý problém 5NetUserChangePassword funkce uvedeno: název_domény [in]
Aplikace, které používají NetUserChangePassword API a který předat parametr název_domény název_serveru přestanou fungovat po MS16-101 a jsou nainstalována novější aktualizace. Dokumentace společnosti Microsoft uvádí, že poskytuje název vzdáleného serveru v parametru název_domény NetUserChangePassword funkce je podporována. Například na webu MSDNUkazatel na konstantní řetězec, který určuje název DNS nebo NetBIOS vzdáleného serveru nebo domény, na kterém má funkci provést. Pokud tento parametr hodnotu NULL, se používá přihlašovací doména volajícího.Tento návod však byla nahrazena MS16-101, pokud obnovení hesla je pro místní účet v místním počítači. Příspěvek MS16-101, za účelem změny hesla uživatelů domény pracovat, musí předat platný název domény DNS API NetUserChangePassword.
-
Známý problém 6Katalogu služby Microsoft Update aktualizace 3186988. Tento problém je vyřešen také v bulletinu zabezpečení společnosti Microsoft MS16-106.
Po instalaci této aktualizace zabezpečení a vytisknout více dokumentů za sebou, může úspěšně vytisknout první dva dokumenty. Třetí a následující dokumenty však nemusí vytisknout. Chcete-li tento problém vyřešit, stáhněte z webu -
Známý problém 7MS16-101, vzdálený, programové změny hesla místního uživatelského účtu a heslo se změní v nedůvěryhodné doménové struktuře nezdaří. Tato operace se nezdaří, protože operace závisí na NTLM podzim back, který již není podporován pro ostatní účty po instalaci MS16-101. Za předpokladu, že můžete použít, chcete-li zakázat tato změna je položka registru. Upozornění: Tento postup může oslabit zabezpečení počítače nebo sítě vůči útoku uživatelů se zlými úmysly nebo škodlivému softwaru, například virům. My toto řešení nedoporučujeme, ale poskytujeme tyto informace, takže můžete řešení implementovat podle vlastního uvážení. Toto řešení používáte na vlastní nebezpečí. Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru mohou nastat závažné problémy Proto se ujistěte, že budete opatrně postupovat podle těchto kroků Pro zvýšení ochrany před úpravou zálohujte registr. Pokud dojde k potížím, pak můžete registr obnovit ze zálohy. Pro další informace o zálohování a obnovení registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
Po instalaci aktualizace zabezpečení, které jsou popsány v322756 Postup při zálohování a obnovení registru v systému Windows Chcete-li zakázat tuto změnu, nastavte položku DWORD NegoAllowNtlmPwdChangeFallback na hodnotu 1 (jedna) použít. Důležité: Nastavení položky registru NegoAllowNtlmPwdChangeFallback na hodnotu 1, bude tato oprava zabezpečení zakázat:
Hodnota registru
Popis
0
Výchozí hodnota. Nouzové je zakázáno.
1
Vždy je povolen základní formulář. Oprava zabezpečení vypnuto. Zákazníci, kteří mají problémy s vzdálené místní účty nebo nedůvěryhodné doménové struktury scénáře nastavit na tuto hodnotu registru.
Chcete-li přidat tyto hodnoty registru, postupujte takto:
-
Klepněte na tlačítko Start, klepněte na příkaz Spustit, do pole Otevřít zadejte příkaz regedit a klepněte na tlačítko OK.
-
Vyhledejte a klepněte na následující podklíč registru:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
-
V nabídce Úpravy přejděte na příkaz Nový a klepněte na příkaz Hodnota DWORD.
-
Jako název hodnoty DWORD zadejte NegoAllowNtlmPwdChangeFallback a stiskněte klávesu ENTER.
-
Klepněte pravým tlačítkem myši NegoAllowNtlmPwdChangeFallbacka potom klepněte na příkaz změnit.
-
V poli Údaj hodnoty zadejte 1 zakázat tuto změnu a potom klepněte na tlačítko OK.
Poznámka: Chcete-li obnovit výchozí hodnotu, zadejte 0 (nula) a klepněte na tlačítko OK.
Stav
Rozumí se příčina tohoto problému. Jakmile budou k dispozici bude tento článek aktualizován s další podrobnosti. -
Jak získat tuto aktualizaci
Důležité: Pokud po instalaci této aktualizace nainstalujete jazykovou sadu, je nutné tuto aktualizaci přeinstalovat. Proto doporučujeme nainstalovat všechny potřebné jazykové sady před nainstalováním této aktualizace. Další informace naleznete v tématu Přidání jazykové sady do systému Windows.
Metoda 1: Aktualizace systému Windows
Tato aktualizace bude stažena a nainstalována automaticky.
Metoda 2: Katalog Microsoft Update
Chcete-li získat samostatný balíček pro aktualizaci, přejděte na web Microsoft Update Catalog .
Předpoklady
Neexistují žádné požadavky pro instalaci této aktualizace.
Informace o restartování počítače
Po instalaci této aktualizace musíte restartovat počítač.
Informace o nahrazení aktualizace
Tato aktualizace nahrazuje dříve vydané aktualizace 3172985.
Informace o souboru
Seznam souborů, které jsou součástí této kumulativní aktualizace stáhněte informace o souborech pro kumulativní aktualizaci 3176493.
Odkazy
Další informace o terminologii , kterou společnost Microsoft používá k popisu aktualizací softwaru.