MS16-101: Popis aktualizace zabezpečení pro metody ověřování systému Windows: 9. srpna 2016

Shrnutí

Tato aktualizace zabezpečení řeší více chyb zabezpečení v systému Microsoft Windows. Tyto chyby zabezpečení by mohly umožnit zvýšení oprávnění, pokud útočník spustí speciálně vytvořenou aplikaci v systému připojeném k doméně.

Další informace o této chybě najdete v bulletinu zabezpečení společnosti Microsoft MS16-101.

Další informace

Důležité

• Všechny budoucí zabezpečení a aktualizace nesouvisející se zabezpečením pro systémy Windows 8,1 a Windows Server 2012 R2 vyžadují, aby byla nainstalována aktualizace 2919355 . Doporučujeme, abyste na počítači se systémem Windows 8,1 nebo Windows Server 2012 R2 nainstalovali aktualizaci 2919355 , abyste získali budoucí aktualizace.

• Pokud nainstalujete jazykovou sadu po instalaci této aktualizace, musíte tuto aktualizaci nainstalovat znovu. Proto před instalací této aktualizace doporučujeme nainstalovat všechny jazykové sady, které potřebujete. Další informace najdete v tématu přidání jazykových sad do Windows.
  

Známé problémy v této aktualizaci zabezpečení

• Známý problém 1
  
  : aktualizace zabezpečení, které jsou k dispozici v MS16 – 101 a novějších aktualizacích, zakazují, aby se proces vyjednávání vrátil zpátky na NTLM, když se ověřování protokolem Kerberos nedaří u operací změny hesla s kódem chyby STATUS_NO_LOGON_SERVERS (0xC000005E). V této situaci se může zobrazit jeden z následujících kódů chyb.
  
  

  Soustavy	Jedno	Přidružený	Popisné
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Systém zjistil možný pokus o ohrožení zabezpečení. Ujistěte se, že se můžete spojit se serverem, který vás ověřil.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Systém zjistil možný pokus o ohrožení zabezpečení. Ujistěte se, že se můžete spojit se serverem, který vás ověřil.

  
  
  Alternativní řešení
  
  : Pokud se změny hesel po instalaci MS16-101 nezdařily, je pravděpodobné, že se změny hesel dřív spoléhaly z důvodu selhání protokolu Kerberos. Abyste mohli hesla úspěšně změnit pomocí protokolů Kerberos, postupujte takto:
  
  
  

  1. Nakonfigurujte otevřenou komunikaci na portu TCP 464 mezi klienty s nainstalovaným MS16-101 a řadičem domény, na kterém je resetování hesla zapnuté.
     
     Řadiče domény určené jen pro čtení (RODC) můžou službu resetovat heslo pro samoobslužné služby, pokud je uživatel povolený zásadami replikace hesel. Uživatelé, kteří nejsou povoleni zásadami hesel RODC pro čtení a zápis, vyžadují v doméně uživatelského účtu připojení k síti s řadičem domény pro čtení a zápis (RWDC).
     
     Poznámka: Pokud chcete zkontrolovat, jestli je port TCP 464 otevřený, postupujte takto:
     
     
     

     1. Vytvořte ekvivalentní filtr zobrazení pro analyzátor programu Sledování sítě. Například:
        

        IPv4. Address = = <IP Address klienta> && TCP. port = = 464

     2. Ve výsledcích hledejte rámeček "TCP: [SynReTransmit".
        
        

  2. Ujistěte se, že jsou názvy cílových protokolů Kerberos platné. (IP adresy nejsou platné pro protokol Kerberos. Protokol Kerberos podporuje krátké názvy a plně kvalifikované názvy domén.)

  3. Ujistěte se, že jsou hlavní názvy služby (SPN) správně registrované.
     
     Další informace najdete v tématu Kerberos a Self-Service resetování hesla.

• Známý problém 2 víme
  
  o problému, při kterém se nezdařilo programové obnovení hesla uživatelských účtů domény, a vrácení kódu chyby STATUS_DOWNGRADE_DETECTED (0x800704F1), pokud je očekávaná chyba jedna z následujících možností:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (zřídka vracená)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  V následující tabulce vidíte úplné mapování chyb.
  
  

  Soustavy	Jedno	Přidružený	Popisné
  0x56	86	ERROR_INVALID_PASSWORD	Zadané síťové heslo není správné.
  0x267	615	ERROR_PWD_TOO_SHORT	Zadané heslo je příliš krátké a nesplňuje zásady vašeho uživatelského účtu. Zadejte delší heslo.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Když se pokusíte aktualizovat heslo, Tento návratový stav znamená, že hodnota zadaná jako aktuální heslo je nesprávná.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Když se pokusíte aktualizovat heslo, Tento návratový stav označuje, že bylo porušení určitého pravidla aktualizace hesla. Heslo může například splňovat kritéria délka.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Systém nemůže kontaktovat řadič domény, aby mohl vyžádat žádost o ověření. Zkuste to prosím později.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Systém nemůže kontaktovat řadič domény, aby mohl vyžádat žádost o ověření. Zkuste to prosím později.

  
  
  Řešení
  
  MS16-101 bylo znovu uvolněno, aby tento problém vyřešil. Tento problém vyřešíte instalací nejnovější verze aktualizací pro tento bulletin.
  
  

• Známý problém 3 víme
  
  o problému, při kterém se změny hesla místních uživatelských účtů nemůžou zdařit a vracet kód chyby STATUS_DOWNGRADE_DETECTED (0x800704F1).
  
  V následující tabulce vidíte úplné mapování chyb.
  
  

  Soustavy	Jedno	Přidružený	Popisné
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Systém nemůže kontaktovat řadič domény, aby mohl vyžádat žádost o ověření. Zkuste to prosím později.

  
  
  Řešení
  
  MS16-101 bylo znovu uvolněno, aby tento problém vyřešil. Tento problém vyřešíte instalací nejnovější verze aktualizací pro tento bulletin.
  
  

• Známý problém: 4
  
  hesla pro zakázané a uzamčené uživatelské účty nelze měnit pomocí balíčku Negotiate.
  
  Změny hesel pro zakázané a uzamčené účty budou pořád fungovat, když použijete další metody, jako je třeba při přímém použití operace protokolu LDAP. Například rutina PowerShellu Set-ADAccountPassword používá k změně hesla operaci změny protokolu LDAP a zůstane beze změny.
  
  Řešení
  
  : tyto účty vyžadují pro obnovení hesla správce. Toto chování je záměrné po instalaci MS16 – 101 a novějších oprav.
  
  

• Známé emisní verze 5
  
  , které používají rozhraní API NetUserChangePassword a které přecházejí na server v parametru název_domény , nebudou po instalaci MS16-101 a pozdějších aktualizací fungovat.
  
  Dokumentace společnosti Microsoft: uvádí, že je podporován název vzdáleného serveru v parametru název_domény funkce NetUserChangePassword. Například funkce NetUserChangePassword v tématu MSDN uvádí následující:
  
  název_domény [in]
  

  Ukazatel na konstantu, která určuje název DNS nebo NetBIOS vzdáleného serveru nebo domény, ve které má být funkce prováděna. Pokud má tento parametr hodnotu NULL, použije se přihlašovací doména volajícího. Tento návod je však nahrazen společností MS16-101, pokud není nastaveno obnovení hesla pro místní účet v místním počítači. Post MS16-101 Chcete-li, aby heslo uživatele domény fungovalo v práci, musíte předat platný název domény DNS pro rozhraní API NetUserChangePassword.

• Známý problém 6
  
  po instalaci aktualizací zabezpečení, které jsou popsány v MS16-101, vzdálené, programové změny hesla místního uživatelského účtu a změny hesel v nedůvěryhodné doménové struktuře selžou.
  
  
  Tato operace selže, protože operace spoléhá na zpětný chod, který už není po instalaci MS16-101 podporován pro nemístní účty.
  
  
  Je k dispozici položka registru, pomocí které můžete tuto změnu zakázat.
  
  Upozornění: Tento problém může způsobit, že počítač nebo síť budou zranitelnější vůči útoku uživatelů se zlými úmysly nebo škodlivému softwaru, například virům. Tento problém nedoporučujeme, ale tyto informace poskytujeme, abyste mohli řešení implementovat podle svého vlastního uvážení. Tento postup používáte na vlastní nebezpečí.
  
  ImportantThis, metoda nebo úkol obsahuje kroky, které popisují, jak registr upravit. Úprava registru nesprávným způsobem může způsobit vážné problémy. Proto vždy pečlivě zkontrolujte, jestli postupujete přesně podle těchto kroků. Jako dodatečnou ochranu registr před úpravami zálohujte. Potom můžete v případě problému registr obnovit. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

  322756Jak zálohovat a obnovit registr ve Windows
  
  Chcete-li tuto změnu zakázat, nastavte položku DWORD NegoAllowNtlmPwdChangeFallback na hodnotu 1 (jedna).
  
  
  Důležité: nastavení položky registru NegoAllowNtlmPwdChangeFallback na hodnotu 1 zakáže tuto opravu zabezpečení:
  

  Hodnota registru	Popis
  0,30	Výchozí hodnota Je zakázáno.
  0,1	Fallback je vždycky povolený. Oprava zabezpečení je vypnutá. Zákazníci, kteří mají problémy se vzdálenými místními účty nebo nedůvěryhodnými scénáři doménové struktury, můžou nastavit registr na tuto hodnotu.

  Chcete-li přidat tyto hodnoty registru, postupujte takto:
  

  1. Klikněte na tlačítko Start a na příkaz Spustit, do pole Otevřít zadejte příkaz regedit a pak klikněte na tlačítko OK.

  2. Vyhledejte v registru následující podklíč a klikněte na něj:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. V nabídce Úpravy přejděte na příkaz Nový a potom klikněte na příkaz Hodnota DWORD.

  4. Jako název hodnoty DWORD zadejte NegoAllowNtlmPwdChangeFallback a pak stiskněte ENTER.

  5. Klikněte pravým tlačítkem myši na NegoAllowNtlmPwdChangeFallbacka potom klikněte na změnit.

  6. Do pole Údaj hodnoty zadejte 1 a tuto změnu zakažte a klikněte na OK.
     
     
     Poznámka: Pokud chcete obnovit výchozí hodnotu, zadejte 0 (nula) a klikněte na OK.

  Stav
  
  je chápán jako hlavní příčina tohoto problému. Tento článek bude aktualizován o další podrobnosti, jakmile budou k dispozici.

Jak získat a nainstalovat aktualizaci

Metoda 1: Windows Update

Tato aktualizace je k dispozici na Windows Update. Když zapnete automatické aktualizace, tato aktualizace se automaticky stáhne a nainstaluje. Další informace o zapnutí automatických aktualizací najdete v článku
Automatická aktualizace zabezpečení.

Metoda 2: katalog Microsoft Update

Pokud chcete získat samostatný balíček pro tuto aktualizaci, přejděte na web katalogu Microsoft Update .

Další informace

Informace o souborech