MS16-101: Beskrivelse af sikkerhedsopdateringen til Windows-godkendelsesmetoder: 9. august 2016

Oversigt

Denne sikkerhedsopdatering løser flere sårbarheder i Microsoft Windows. Sårbarhederne kan give mulighed for udvidelse af rettigheder, hvis en hacker kører et særligt udformet program på et domænetilknyttet system.

Du kan få mere at vide om sårbarheden i Microsoft Security Bulletin MS16-101.

Flere oplysninger

Vigtigt!

• Alle fremtidige sikkerheds-og ikke-sikkerhedsrelaterede opdateringer til Windows 8,1 og Windows Server 2012 R2 kræver, at opdatering 2919355 er installeret. Vi anbefaler, at du installerer opdatering 2919355 på din Windows 8,1-baserede eller Windows Server 2012 R2-baserede computer, så du modtager fremtidige opdateringer.

• Hvis du installerer en sprogpakke, efter du har installeret opdateringen, skal du geninstallere denne opdatering. Vi anbefaler derfor, at du installerer eventuelle sprogpakker, du har brug for, før du installerer denne opdatering. Hvis du vil have mere at vide, skal du se føje sprogpakker til Windows.
  

Kendte problemer i denne sikkerhedsopdatering

• Kendt problem 1
  
  de sikkerhedsopdateringer, der er angivet i MS16-101 og nyere opdateringer deaktiverer muligheden for aftaleprocessen for at gå tilbage til NTLM, når Kerberos-godkendelse mislykkes for ændringer af adgangskode med fejlkoden STATUS_NO_LOGON_SERVERS (0xc000005e). I denne situation får du muligvis en af følgende fejlkoder.
  
  

  Hexadecimal	Tifolds	Symbolic	Bruger
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Systemet registrerede et muligt forsøg på at kompromittere sikkerheden. Kontrollér, at du kan kontakte den server, der har godkendt dig.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Systemet registrerede et muligt forsøg på at kompromittere sikkerheden. Kontrollér, at du kan kontakte den server, der har godkendt dig.

  
  
  Løsning
  
  Hvis Adgangskodeændringer, der tidligere lykkedes, ikke lykkedes efter installationen af MS16-101, er det sandsynligt, at ændringer af adgangskoder tidligere var afhængige af NTLM-fallback, da Kerberos mislykkedes. Hvis du vil ændre adgangskoder ved hjælp af Kerberos-protokoller, skal du følge disse trin:
  
  
  

  1. Konfigurere åben kommunikation på TCP-port 464 mellem klienter, der har MS16-101 installeret, og den domænecontroller, der behandler adgangskode, nulstilles.
     
     Skrivebeskyttede domænecontrollere (RODC) kan tjenestens selvbetjenings adgangskode nulstilles, hvis brugeren tillades af politik for RODC-adgangskodereplikering. Brugere, der ikke er tilladt af RODC-adgangskodepolitikken, kræver netværksforbindelse til en read/write-domænecontroller (RWDC) i brugerkonto domænet.
     
     Bemærk! Hvis du vil kontrollere, om TCP-port 464 er åben, skal du følge disse trin:
     
     
     

     1. Opret et tilsvarende skærm filter til din parser af Netværksovervågning. F. eks.:
        

        IPv4. address = = <IP-adresse til klient> && TCP. Port = = 464

     2. Se efter "TCP: [SynReTransmit"-rammen i resultaterne.
        
        

  2. Sørg for, at Kerberos-destinationsnavnene er gyldige. IP-adresser er ikke gyldige for Kerberos-protokollen. Kerberos understøtter korte navne og fuldt kvalificerede domænenavne.)

  3. Sørg for, at SPN'er (Service Principal Names) er registreret korrekt.
     
     Hvis du vil have mere at vide, skal du se Kerberos og Self-Service nulstilling af adgangskode.

• Kendt problem 2
  
  vi ved, at der er et problem, hvor nulstilling af adgangskoder for domænebrugerkonti mislykkes, og returnerer STATUS_DOWNGRADE_DETECTED (0x800704F1) fejlkoden, hvis den forventede fejl er en af følgende:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (sjældent returneres)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  Den følgende tabel viser den fulde fejl tilknytning.
  
  

  Hexadecimal	Tifolds	Symbolic	Bruger
  0x56	86	ERROR_INVALID_PASSWORD	Den angivne adgangskode til netværket er ikke korrekt.
  0x267	615	ERROR_PWD_TOO_SHORT	Den adgangskode, der blev angivet, er for kort til at opfylde politikken for din brugerkonto. Angiv en længere adgangskode.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Når du forsøger at opdatere en adgangskode, angiver denne retur status, at den værdi, der blev angivet som den aktuelle adgangskode, er forkert.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Når du forsøger at opdatere en adgangskode, angiver denne retur status, at reglen om adgangskode opdatering blev overtrådt. For eksempel opfylder adgangskoden muligvis ikke længde kriterierne.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Systemet kan ikke kontakte en domænecontroller for at behandle godkendelsesanmodningen. Prøv igen senere.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Systemet kan ikke kontakte en domænecontroller for at behandle godkendelsesanmodningen. Prøv igen senere.

  
  
  Løsning
  
  MS16-101 er blevet genudgivet for at løse dette problem. Installer den nyeste version af opdateringer til denne Bulletin for at løse dette problem.
  
  

• Kendt problem 3
  
  vi ved, at der er et problem, hvor program nulstilling af adgangskode ændringer af lokal brugerkonto muligvis mislykkes og returnerer STATUS_DOWNGRADE_DETECTED (0x800704F1)-fejlkoden.
  
  Den følgende tabel viser den fulde fejl tilknytning.
  
  

  Hexadecimal	Tifolds	Symbolic	Bruger
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Systemet kan ikke kontakte en domænecontroller for at behandle godkendelsesanmodningen. Prøv igen senere.

  
  
  Løsning
  
  MS16-101 er blevet genudgivet for at løse dette problem. Installer den nyeste version af opdateringer til denne Bulletin for at løse dette problem.
  
  

• Kendt problem 4
  
  adgangskoder for deaktiverede og låste brugerkonti kan ikke ændres ved hjælp af Negotiate-pakken.
  
  Ændringer af adgangskode for deaktiveret og låst-ud-konti fungerer stadig, når du bruger andre metoder, f. eks, når du bruger en LDAP-ændringshandling direkte. For eksempel bruger PowerShell-cmdlet'en Set-ADAccountPassword en handling af databasen "LDAP" til at ændre adgangskoden og forbliver uændret.
  
  Løsning
  
  disse konti kræver en administrator for at få nulstillet adgangskode. Denne funktionsmåde er tilsigtet, når du har installeret MS16-101 og nyere rettelser.
  
  

• Kendt problem 5
  
  -programmer, der bruger NETUSERCHANGEPASSWORD-API'en, og som opfylder et servernavn i parameteren DomainName , fungerer ikke længere, når MS16-101 og senere opdateringer er installeret.
  
  Microsoft-dokumentations tilstande, der angiver navnet på en fjernserver i parameteren DomainName for funktionen NetUserChangePassword, understøttes. For eksempel angiver funktionen NetUserChangePassword i MSDN følgende:
  
  domænenavn [i]
  

  En pointer til en konstantstreng, der angiver DNS-eller NetBIOS-navnet på en fjernserver eller et domæne, hvor funktionen skal udføres. Hvis denne parameter er NULL, bruges tele-domænet for den, der ringer op. Denne vejledning er dog blevet tilsidesat af MS16-101, medmindre adgangskoden nulstilles for en lokal konto på den lokale computer. Bogfør MS16-101 du skal sende et gyldigt DNS-domænenavn til NetUserChangePassword-API'EN, før domænets brugeradgangskode skifter til arbejde.

• Kendt problem 6
  
  efter installation af de sikkerhedsopdateringer, der er beskrevet i MS16-101, Fjern-, programændringer af en lokal brugerkontos adgangskode, og adgangskodeændringer på tværs af upålidelige områder mislykkes.
  
  
  Denne handling lykkes ikke, fordi handlingen er afhængig af NTLM Fall-back, som ikke længere understøttes for ikke-lokale konti, når MS16-101 er installeret.
  
  
  Der findes en post i registreringsdatabasen, som du kan bruge til at deaktivere denne ændring.
  
  Advarsel denne løsning kan gøre en computer eller et netværk mere sårbart over for angreb fra ondsindede brugere eller skadelig software som virus. Vi anbefaler ikke denne løsning, men vi giver disse oplysninger, så du kan implementere denne løsning på eget skøn. Brug denne løsning på egen risiko.
  
  ImportantThis sektion, metode eller opgave indeholder trin, der fortæller, hvordan du ændrer registreringsdatabasen. Der kan dog opstå alvorlige problemer, hvis du ændrer registreringsdatabasen forkert. Derfor skal du kontrollere, at du følger disse trin nøje. Som en ekstra sikkerhed bør du oprette en sikkerhedskopi af registreringsdatabasen, før du redigerer den. Det giver dig mulighed for at gendanne registreringsdatabasen, hvis der opstår problemer. Få flere oplysninger om, hvordan du sikkerhedskopierer og gendanner registreringsdatabasen, ved at klikke på nedenstående artikelnummer for at se artiklen i Microsoft Knowledge Base:

  322756Sådan sikkerhedskopieres og gendannes registreringsdatabasen i Windows
  
  Hvis du vil deaktivere denne ændring, skal du angive NegoAllowNtlmPwdChangeFallback DWORD-post for at bruge værdien 1 (én).
  
  
  Vigtig indstilling posten NegoAllowNtlmPwdChangeFallback i registreringsdatabasen til en værdi på 1 deaktiverer denne sikkerhedsrettelse:
  

  Værdi i registreringsdatabasen	Beskrivelse
  0,8	Standardværdi. Fallback forhindres.
  ét	Fallback er altid tilladt. Sikkerhedsrettelsen er slået fra. Kunder, der har problemer med Fjern lokale konti eller upålidelige område scenarier, kan angive registreringsdatabasen til denne værdi.

  Hvis du vil tilføje disse værdier i registreringsdatabasen, skal du følge disse trin:
  

  1. Klik på Start, klik på Kør, Skriv regedit i feltet Åbn , og klik derefter på OK.

  2. Find og klik derefter på følgende undernøgle i registreringsdatabasen:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. I menuen Rediger skal du pege på nyog derefter klikke på DWORD-værdi.

  4. Skriv NegoAllowNtlmPwdChangeFallback for navnet på DWORD, og tryk derefter på ENTER.

  5. Højreklik på NegoAllowNtlmPwdChangeFallback, og klik derefter på Rediger.

  6. I feltet Værdidata skal du skrive 1 for at deaktivere ændringen og derefter klikke på OK.
     
     
     Bemærk! Hvis du vil gendanne standardværdien, skal du skrive 0 (nul) og derefter klikke på OK.

  Status. den grundlæggende
  
  årsag til dette problem er blevet forstået. Denne artikel opdateres med flere detaljer, efterhånden som de bliver tilgængelige.

Sådan henter og installerer du opdateringen

Metode 1: Windows Update

Denne opdatering er tilgængelig via Windows Update. Når du aktiverer automatisk opdatering, bliver denne opdatering automatisk downloadet og installeret. Du kan finde flere oplysninger om, hvordan du aktiverer automatisk opdatering, i
få sikkerhedsopdateringer automatisk.

Metode 2: Microsoft Update-katalog

Hvis du vil hente den enkeltstående pakke til denne opdatering, skal du gå til webstedet Microsoft Update-katalog .

Flere oplysninger

Filoplysninger