Vigtigt! denne artikel indeholder oplysninger, der viser, hvordan du kan reducere sikkerhedsindstillingerne, eller hvordan du deaktiverer sikkerhedsfunktioner på en computer. Du kan foretage disse ændringer for at løse et bestemt problem. Før du foretager sådanne ændringer, bør du overveje de risici, der er forbundet med at implementere denne løsning i dit eget miljø. Hvis du implementerer denne løsning, skal du træffe relevante yderligere forholdsregler for at beskytte computeren.
Oversigt
Denne sikkerhedsopdatering løser flere sårbarheder i Microsoft Windows. Sårbarhederne kan give mulighed for udvidelse af rettigheder, hvis en hacker kører et særligt udformet program på et domænetilknyttet system.
Du kan få mere at vide om sårbarheden i Microsoft Security Bulletin MS16-101.
Flere oplysninger
Kunde
-
Alle fremtidige sikkerheds-og ikke-sikkerhedsrelaterede opdateringer til Windows 8,1 og Windows Server 2012 R2 kræver, at opdatering 2919355 er installeret. Vi anbefaler, at du installerer opdatering 2919355 på din Windows 8,1-baserede eller Windows Server 2012 R2-baserede computer, så du modtager fremtidige opdateringer.
-
Hvis du installerer en sprogpakke, efter du har installeret opdateringen, skal du geninstallere denne opdatering. Vi anbefaler derfor, at du installerer eventuelle sprogpakker, du har brug for, før du installerer denne opdatering. Hvis du vil have mere at vide, skal du se føje sprogpakker til Windows.
Denne sikkerhedsopdatering retter også følgende ikke-sikkerhedsrelaterede problemer:
-
På en domæne server, der er medlem af et domæne, der er medlem af en server (SoFS) på en klynge, der er tillid til, når en SMB-klient, der kører enten Windows 8,1 eller Windows Server 2012 R2, opretter forbindelse til en node, der er nede, mislykkes godkendelsen. Når dette problem opstår, kan du få vist en fejlmeddelelse, der ligner følgende meddelelse:
STATUS_NO_TGT_REPLY
Yderligere oplysninger om denne sikkerhedsopdatering
Følgende artikler indeholder flere oplysninger om denne sikkerhedsopdatering, som den er relateret til individuelle produktversioner. Artiklerne indeholder muligvis kendte oplysninger om problemet.
-
3177108 MS16-101: Beskrivelse af sikkerhedsopdateringen til Windows-godkendelsesmetoder: 9. august 2016
-
3167679 MS16-101: Beskrivelse af sikkerhedsopdateringen til Windows-godkendelsesmetoder: 9. august 2016
-
3192392 Oktober 2016 sikkerhedsopdatering til Windows 8,1 og Windows Server 2012 R2
-
3185331 Sikkerhedsopdatering for oktober 2016 – månedlig kvalitet til Windows 8,1 og Windows Server 2012 R2
-
3192393 Oktober 2016 sikkerhedsopdatering til Windows Server 2012
-
3185332 Sikkerhedsopdatering for oktober 2016 – månedlig kvalitet til Windows Server 2012
-
3192391 Oktober 2016 sikkerhedsopdatering til Windows 7 SP1 og Windows Server 2008 R2 SP1
-
3185330 Sikkerhedsopdatering for oktober 2016 – månedlig kvalitet til Windows 7 SP1 og Windows Server 2008 R2 SP1
-
3192440 Kumulativ opdatering til Windows 10: oktober 11, 2016
-
3194798 Kumulativ opdatering til Windows 10 version 1607 og Windows Server 2016:11. oktober 2016
-
3192441 Kumulativ opdatering til Windows 10 version 1511:11. oktober 2016
Sikkerhedsopdateringer, der er replacedThe følgende sikkerhedsopdateringer er blevet erstattet:
-
3176492 Kumulativ opdatering til Windows 10:9. august 2016
-
3176493 Kumulativ opdatering til Windows 10 version 1511:9. august 2016
-
3176495 Kumulativ opdatering til Windows 10 version 1607:9. august 2016
Følgende er de nye sikkerhedsopdateringer, der erstatter de tidligere nævnte sikkerhedsopdateringer:
-
3192440 Kumulativ opdatering til Windows 10: oktober 11, 2016
-
3194798 Kumulativ opdatering til Windows 10 version 1607 og Windows Server 2016:11. oktober 2016
-
3192441 Kumulativ opdatering til Windows 10 version 1511:11. oktober 2016
Kendte problemer i denne sikkerhedsopdatering
-
Kendt problem 1
de sikkerhedsopdateringer, der er angivet i MS16-101 og nyere opdateringer deaktiverer muligheden for aftaleprocessen for at gå tilbage til NTLM, når Kerberos-godkendelse mislykkes for ændringer af adgangskode med fejlkoden STATUS_NO_LOGON_SERVERS (0xc000005e). I denne situation får du muligvis en af følgende fejlkoder.Hexadecimal
Tifolds
Symbolic
Bruger
0xc0000388
1073740920
STATUS_DOWNGRADE_DETECTED
Systemet registrerede et muligt forsøg på at kompromittere sikkerheden. Kontrollér, at du kan kontakte den server, der har godkendt dig.
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
Systemet registrerede et muligt forsøg på at kompromittere sikkerheden. Kontrollér, at du kan kontakte den server, der har godkendt dig.
Løsning
Hvis Adgangskodeændringer, der tidligere lykkedes, ikke lykkedes efter installationen af MS16-101, er det sandsynligt, at ændringer af adgangskoder tidligere var afhængige af NTLM-fallback, da Kerberos mislykkedes. Hvis du vil ændre adgangskoder ved hjælp af Kerberos-protokoller, skal du følge disse trin:-
Konfigurere åben kommunikation på TCP-port 464 mellem klienter, der har MS16-101 installeret, og den domænecontroller, der behandler adgangskode, nulstilles.
Skrivebeskyttede domænecontrollere (RODC) kan tjenestens selvbetjenings adgangskode nulstilles, hvis brugeren tillades af politik for RODC-adgangskodereplikering. Brugere, der ikke er tilladt af RODC-adgangskodepolitikken, kræver netværksforbindelse til en read/write-domænecontroller (RWDC) i brugerkonto domænet.
Bemærk! Hvis du vil kontrollere, om TCP-port 464 er åben, skal du følge disse trin:-
Opret et tilsvarende skærm filter til din parser af Netværksovervågning. F. eks.:
IPv4. address = = <IP-adresse til klient> && TCP. Port = = 464
-
Se efter "TCP: [SynReTransmit"-rammen i resultaterne.
-
-
Sørg for, at Kerberos-destinationsnavnene er gyldige. IP-adresser er ikke gyldige for Kerberos-protokollen. Kerberos understøtter korte navne og fuldt kvalificerede domænenavne.)
-
Sørg for, at SPN'er (Service Principal Names) er registreret korrekt.
Hvis du vil have mere at vide, skal du se Kerberos og Self-Service nulstilling af adgangskode.
-
-
Kendt problem 2
vi ved, at der er et problem, hvor nulstilling af adgangskoder for domænebrugerkonti mislykkes, og returnerer STATUS_DOWNGRADE_DETECTED (0x800704F1) fejlkoden, hvis den forventede fejl er en af følgende:-
ERROR_INVALID_PASSWORD
-
ERROR_PWD_TOO_SHORT (sjældent returneres)
-
STATUS_WRONG_PASSWORD
-
STATUS_PASSWORD_RESTRICTION
Den følgende tabel viser den fulde fejl tilknytning.Hexadecimal
Tifolds
Symbolic
Bruger
0x56
86
ERROR_INVALID_PASSWORD
Den angivne adgangskode til netværket er ikke korrekt.
0x267
615
ERROR_PWD_TOO_SHORT
Den adgangskode, der blev angivet, er for kort til at opfylde politikken for din brugerkonto. Angiv en længere adgangskode.
0xc000006a
-1073741718
STATUS_WRONG_PASSWORD
Når du forsøger at opdatere en adgangskode, angiver denne retur status, at den værdi, der blev angivet som den aktuelle adgangskode, er forkert.
0xc000006c
-1073741716
STATUS_PASSWORD_RESTRICTION
Når du forsøger at opdatere en adgangskode, angiver denne retur status, at reglen om adgangskode opdatering blev overtrådt. For eksempel opfylder adgangskoden muligvis ikke længde kriterierne.
0x800704F1
1265
STATUS_DOWNGRADE_DETECTED
Systemet kan ikke kontakte en domænecontroller for at behandle godkendelsesanmodningen. Prøv igen senere.
0xc0000388
-1073740920
STATUS_DOWNGRADE_DETECTED
Systemet kan ikke kontakte en domænecontroller for at behandle godkendelsesanmodningen. Prøv igen senere.
Løsning
MS16-101 er blevet genudgivet for at løse dette problem. Installer den nyeste version af opdateringer til denne Bulletin for at løse dette problem. -
-
Kendt problem 3
vi ved, at der er et problem, hvor program nulstilling af adgangskode ændringer af lokal brugerkonto muligvis mislykkes og returnerer STATUS_DOWNGRADE_DETECTED (0x800704F1)-fejlkoden.
Den følgende tabel viser den fulde fejl tilknytning.Hexadecimal
Tifolds
Symbolic
Bruger
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
Systemet kan ikke kontakte en domænecontroller for at behandle godkendelsesanmodningen. Prøv igen senere.
Løsning
MS16-101 er blevet genudgivet for at løse dette problem. Installer den nyeste version af opdateringer til denne Bulletin for at løse dette problem. -
Kendt problem 4
adgangskoder for deaktiverede og låste brugerkonti kan ikke ændres ved hjælp af Negotiate-pakken.
Ændringer af adgangskode for deaktiveret og låst-ud-konti fungerer stadig, når du bruger andre metoder, f. eks, når du bruger en LDAP-ændringshandling direkte. For eksempel bruger PowerShell-cmdlet'en Set-ADAccountPassword en handling af databasen "LDAP" til at ændre adgangskoden og forbliver uændret.
Løsning
disse konti kræver en administrator for at få nulstillet adgangskode. Denne funktionsmåde er tilsigtet, når du har installeret MS16-101 og nyere rettelser. -
Kendt problem 5
-programmer, der bruger NETUSERCHANGEPASSWORD-API'en, og som opfylder et servernavn i parameteren DomainName , fungerer ikke længere, når MS16-101 og senere opdateringer er installeret.
Microsoft-dokumentations tilstande, der angiver navnet på en fjernserver i parameteren DomainName for funktionen NetUserChangePassword, understøttes. For eksempel angiver funktionen NetUserChangePassword i MSDN følgende:
domænenavn [i]En pointer til en konstantstreng, der angiver DNS-eller NetBIOS-navnet på en fjernserver eller et domæne, hvor funktionen skal udføres. Hvis denne parameter er NULL, bruges tele-domænet for den, der ringer op. Status
denne vejledning er blevet tilsidesat af MS16-101, medmindre adgangskoden er nulstillet for en lokal konto på den lokale computer.
Bogfør MS16-101 du skal sende et gyldigt DNS-domænenavn til NetUserChangePassword-API'EN, før domænets brugeradgangskode skifter til arbejde. -
Kendt problem 6
efter installation af de sikkerhedsopdateringer, der er beskrevet i MS16-101, Fjern-, programændringer af en lokal brugerkontos adgangskode, og adgangskodeændringer på tværs af upålidelige områder mislykkes.
Denne handling lykkes ikke, fordi handlingen er afhængig af NTLM Fall-back, som ikke længere understøttes for ikke-lokale konti, når MS16-101 er installeret.
Der findes en post i registreringsdatabasen, som du kan bruge til at deaktivere denne ændring.
Advarsel denne løsning kan gøre en computer eller et netværk mere sårbart over for angreb fra ondsindede brugere eller skadelig software som virus. Vi anbefaler ikke denne løsning, men vi giver disse oplysninger, så du kan implementere denne løsning på eget skøn. Brug denne løsning på egen risiko.
ImportantThis sektion, metode eller opgave indeholder trin, der fortæller, hvordan du ændrer registreringsdatabasen. Der kan dog opstå alvorlige problemer, hvis du ændrer registreringsdatabasen forkert. Derfor skal du kontrollere, at du følger disse trin nøje. Som en ekstra sikkerhed bør du oprette en sikkerhedskopi af registreringsdatabasen, før du redigerer den. Det giver dig mulighed for at gendanne registreringsdatabasen, hvis der opstår problemer. Få flere oplysninger om, hvordan du sikkerhedskopierer og gendanner registreringsdatabasen, ved at klikke på nedenstående artikelnummer for at se artiklen i Microsoft Knowledge Base:322756Sådan sikkerhedskopieres og gendannes registreringsdatabasen i Windows
Hvis du vil deaktivere denne ændring, skal du angive NegoAllowNtlmPwdChangeFallback DWORD-post for at bruge værdien 1 (én).
Vigtig indstilling posten NegoAllowNtlmPwdChangeFallback i registreringsdatabasen til en værdi på 1 deaktiverer denne sikkerhedsrettelse:Værdi i registreringsdatabasen
Beskrivelse
0,8
Standardværdi. Fallback forhindres.
ét
Fallback er altid tilladt. Sikkerhedsrettelsen er slået fra. Kunder, der har problemer med Fjern lokale konti eller upålidelige område scenarier, kan angive registreringsdatabasen til denne værdi.
Hvis du vil tilføje disse værdier i registreringsdatabasen, skal du følge disse trin:
-
Klik på Start, klik på Kør, Skriv regedit i feltet Åbn , og klik derefter på OK.
-
Find og klik derefter på følgende undernøgle i registreringsdatabasen:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
-
I menuen Rediger skal du pege på nyog derefter klikke på DWORD-værdi.
-
Skriv NegoAllowNtlmPwdChangeFallback for navnet på DWORD, og tryk derefter på ENTER.
-
Højreklik på NegoAllowNtlmPwdChangeFallback, og klik derefter på Rediger.
-
I feltet Værdidata skal du skrive 1 for at deaktivere ændringen og derefter klikke på OK.
Bemærk! Hvis du vil gendanne standardværdien, skal du skrive 0 (nul) og derefter klikke på OK.
Status. den grundlæggende
årsag til dette problem er blevet forstået. Denne artikel opdateres med flere detaljer, efterhånden som de bliver tilgængelige. -
Sådan henter og installerer du opdateringen
Metode 1: Windows Update
Denne opdatering er tilgængelig via Windows Update. Når du aktiverer automatisk opdatering, bliver denne opdatering automatisk downloadet og installeret. Du kan finde flere oplysninger om, hvordan du aktiverer automatisk opdatering, i
få sikkerhedsopdateringer automatisk.
Metode 2: Microsoft Update-katalog
Hvis du vil hente den enkeltstående pakke til denne opdatering, skal du gå til webstedet Microsoft Update-katalog .
Du kan få den enkeltstående opdateringspakke via Microsoft Download Center. Følg installationsvejledningen på downloadsiden for at installere opdateringen.
Klik på linket Download i Microsoft Security Bulletin MS16-101 , der svarer til den version af Windows, du kører.
Flere oplysninger
Windows Vista (alle udgaver) reference tabel
følgende tabel indeholder oplysninger om sikkerhedsopdateringen for denne software.
Filnavne for sikkerhedsopdateringer |
Alle understøttede 32-bit versioner af Windows Vista: |
Alle understøttede x64-baserede udgaver af Windows Vista: |
|
Installationsparametre |
|
Krav om genstart |
Du skal genstarte systemet, når du har anvendt denne sikkerhedsopdatering. |
Oplysninger om fjernelse |
WUSA.exe understøtter ikke fjernelse af opdateringer. Hvis du vil fjerne en opdatering, der er installeret af WUSA, skal du klikke på kontrol panelog derefter klikke på sikkerhed. Klik på Vis installerede opdateringerunder Windows Update, og vælg derefter på listen over opdateringer. |
Filoplysninger |
|
Bekræftelse af registreringsdatabasenøgle |
Bemærk! denne opdatering tilføjer ikke en registreringsdatabasenøgle for at bekræfte dens tilstedeværelse. |
Windows Server 2008 (alle udgaver) reference tabel
følgende tabel indeholder oplysninger om sikkerhedsopdateringen for denne software.
Filnavne for sikkerhedsopdateringer |
Alle understøttede 32-bit versioner af Windows Server 2008: |
Alle understøttede x64-baserede udgaver af Windows Server 2008: |
|
Alle understøttede Itanium-baserede udgaver af Windows Server 2008: |
|
Installationsparametre |
|
Krav om genstart |
Du skal genstarte systemet, når du har anvendt denne sikkerhedsopdatering. |
Oplysninger om fjernelse |
WUSA.exe understøtter ikke fjernelse af opdateringer. Hvis du vil fjerne en opdatering, der er installeret af WUSA, skal du klikke på kontrol panelog derefter klikke på sikkerhed. Klik på Vis installerede opdateringerunder Windows Update, og vælg derefter på listen over opdateringer. |
Filoplysninger |
Windows 7 (alle udgaver) reference tabel
følgende tabel indeholder oplysninger om sikkerhedsopdateringen for denne software.
Filnavn for sikkerhedsopdateringer |
Alle understøttede 32-bit versioner af Windows 7: |
For alle understøttede 32-bit versioner af Windows 7 |
|
Alle understøttede x64-baserede udgaver af Windows 7: |
|
For alle understøttede x64-baserede udgaver af Windows 7: |
|
Installationsparametre |
|
Krav om genstart |
Du skal genstarte systemet, når du har anvendt denne sikkerhedsopdatering. |
Oplysninger om fjernelse |
Hvis du vil fjerne en opdatering, der er installeret af WUSA, skal du bruge parameteren/Uninstall setup eller klikke på kontrol panel, klikke på system og sikkerhed. Klik på Vis installerede opdateringerunder Windows Update, og vælg derefter på listen over opdateringer. |
Filoplysninger |
Se Microsoft Knowledge Base-artikel 3192391, |
Bekræftelse af registreringsdatabasenøgle |
Bemærk denne opdatering tilføjer ikke en registreringsdatabasenøgle for at bekræfte dens installation. |
Windows Server 2008 R2 (alle udgaver) reference tabel
følgende tabel indeholder oplysninger om sikkerhedsopdateringen for denne software.
Filnavn for sikkerhedsopdateringer |
Alle understøttede x64-baserede udgaver af Windows Server 2008 R2: |
For alle understøttede x64-baserede udgaver af Windows Server 2008 R2: |
|
Alle understøttede Itanium-baserede udgaver af Windows Server 2008 R2: |
|
Alle understøttede Itanium-baserede udgaver af Windows Server 2008 R2: |
|
Installationsparametre |
|
Krav om genstart |
Du skal genstarte systemet, når du har anvendt denne sikkerhedsopdatering. |
Oplysninger om fjernelse |
Hvis du vil fjerne en opdatering, der er installeret af WUSA, skal du bruge indstillingen/Uninstall-konfiguration eller klikke på kontrol panel, klikke på system og sikkerhed og derefter klikke på Vis installerede opdateringer under Windows Update og vælge på listen over opdateringer. |
Filoplysninger |
Se Microsoft Knowledge Base-artikel 3192391, |
Bekræftelse af registreringsdatabasenøgle |
Bemærk! der findes ikke en registreringsdatabasenøgle til godkendelse af tilstedeværelse af denne opdatering. |
Windows 8,1 (alle udgaver) reference tabel
følgende tabel indeholder oplysninger om sikkerhedsopdateringen for denne software.
Filnavn for sikkerhedsopdateringer |
Alle understøttede 32-bit versioner af Windows 8,1: |
For alle understøttede 32-bit versioner af Windows 8,1: |
|
Alle understøttede x64-baserede udgaver af Windows 8,1: |
|
Alle understøttede x64-baserede udgaver af Windows 8,1: |
|
Installationsparametre |
|
Krav om genstart |
Du skal genstarte systemet, når du har anvendt denne sikkerhedsopdatering. |
Oplysninger om fjernelse |
Hvis du vil fjerne en opdatering, der er installeret af WUSA, skal du bruge parameteren/Uninstall setup eller klikke på kontrol panel, klikke på system og sikkerhedog derefter klikke på Windows Update. Under Se også skal du klikke på installerede opdateringer og derefter vælge på listen over opdateringer. |
Filoplysninger |
Se Microsoft Knowledge Base-artikel 3192392, |
Bekræftelse af registreringsdatabasenøgle |
Bemærk denne opdatering tilføjer ikke en registreringsdatabasenøgle for at bekræfte dens installation. |
Windows Server 2012 og Windows Server 2012 R2 (alle udgaver) reference tabel
følgende tabel indeholder oplysninger om sikkerhedsopdateringen for denne software.
Filnavn for sikkerhedsopdateringer |
Alle understøttede udgaver af Windows Server 2012: |
For alle understøttede versioner af Windows Server 2012: |
|
Alle understøttede udgaver af Windows Server 2012 R2: |
|
For alle understøttede udgaver af Windows Server 2012 R2: |
|
Installationsparametre |
|
Krav om genstart |
Du skal genstarte systemet, når du har anvendt denne sikkerhedsopdatering. |
Oplysninger om fjernelse |
Hvis du vil fjerne en opdatering, der er installeret af WUSA, skal du bruge indstillingen/Uninstall-konfiguration eller klikke på kontrol panel, klikke på system og sikkerhed, klikke på Windows Update og derefter klikke på installerede opdateringer under Se også for at vælge på listen over opdateringer. |
Filoplysninger |
Se Microsoft Knowledge Base-artikel 3192393, |
Bekræftelse af registreringsdatabasenøgle |
Bemærk! der findes ikke en registreringsdatabasenøgle til godkendelse af tilstedeværelse af denne opdatering. |
Windows 10 (alle udgaver) reference tabel
følgende tabel indeholder oplysninger om sikkerhedsopdateringen for denne software.
Filnavn for sikkerhedsopdateringer |
Alle understøttede 32-bit versioner af Windows 10: |
Alle understøttede x64-baserede udgaver af Windows 10: |
|
Alle understøttede 32-bit versioner af Windows 10 version 1511: |
|
Alle understøttede x64-baserede udgaver af Windows 10 version 1511: |
|
Alle understøttede 32-bit versioner af Windows 10 version 1607: |
|
Alle understøttede x64-baserede udgaver af Windows 10 version 1607: |
|
Installationsparametre |
|
Krav om genstart |
Du skal genstarte systemet, når du har anvendt denne sikkerhedsopdatering. |
Oplysninger om fjernelse |
Hvis du vil fjerne en opdatering, der er installeret af WUSA, skal du bruge parameteren/Uninstall setup eller klikke på kontrol panel, klikke på system og sikkerhedog derefter klikke på Windows Update. Under Se også skal du klikke på installerede opdateringer og derefter vælge på listen over opdateringer. |
Filoplysninger |
Se Microsoft Knowledge Base-artikel 3192440 |
Bekræftelse af registreringsdatabasenøgle |
Bemærk denne opdatering tilføjer ikke en registreringsdatabasenøgle for at bekræfte dens installation. |
Hjælp til installation af opdateringer: support til Microsoft Update
-sikkerhedsløsninger til it -fagfolk: technet security troubleshooting and Support
Hjælp til at beskytte din Windows-baserede computer mod virus og malware: virus løsninger og
lokal support i sikkerheds center i henhold til dit land: understøttelse af internationale support løsninger