Kumulatives Update für Windows 10 Version 1511: 9. August 2016

Hinweis
Wichtig Dieser Artikel enthält Informationen dazu, wie Sie Sicherheitseinstellungen herabsetzen oder Sicherheitsfunktionen auf einem Computer deaktivieren. Sie können diese Änderungen vornehmen, um ein bestimmtes Problem zu umgehen. Wir raten Ihnen jedoch, zunächst die Risiken dieser Problemumgehung für Ihre Umgebung abzuschätzen, bevor Sie die genannten Änderungen vornehmen. Falls Sie diese Problemumgehung einsetzen, sollten Sie entsprechende Maßnahmen treffen, um Ihren Computer zu schützen.
Zusammenfassung
Dieses Sicherheitsupdate enthält Verbesserungen und Korrekturen der Funktionalität von Windows 10 Version 1511. Es behebt auch die folgenden Sicherheitsrisiken in Windows:
  • 3177356 MS16-095: Kumulatives Sicherheitsupdate für Internet Explorer: 9. August 2016
  • 3177358 MS16-096: Kumulatives Sicherheitsupdate für Microsoft Edge: 9. August 2016
  • 3177393 MS16-097: Sicherheitsupdate für Microsoft-Grafikkomponente: 9. August 2016
  • 3178466 MS16-098: Sicherheitsupdate für Kernelmodustreiber: 9. August 2016
  • 3178465 MS16-101: Sicherheitsupdate für Windows-Authentifizierungsmethoden 9. August 2016
  • 3182248 MS16-102: Sicherheitsupdate für Microsoft Windows-PDF-Bibliothek: 9. August 2016
  • 3182332 MS16-103: Sicherheitsupdate für ActiveSyncProvider: 9. August 2016

Windows 10-Updates sind kumulativ. Dieses Paket enthält daher alle zuvor veröffentlichten Updates.

Wenn Sie frühere Updates installiert haben, werden nur die neuen Updates aus diesem Paket heruntergeladen und auf Ihrem Computer installiert. Wenn Sie zum ersten Mal ein Windows 10-Updatepaket installieren, hat das Paket für die x86-Version eine Größe von 502 MB und das Paket für die x64-Version eine Größe von 916 MB.


Weitere Informationen

Bekannte Probleme bei diesem Sicherheitsupdate

  • Bekanntes Problem 1

    Mit den Sicherheitsupdates in MS16-101 und neueren Updates kann der Aushandlungsprozess nicht mehr auf NTLM zurückgesetzt werden, wenn die Kerberos-Authentifizierung für Kennwortänderungsvorgänge mit dem Fehlercode STATUS_NO_LOGON_SERVERS (0xc000005e) fehlschlägt. In dieser Situation wird möglicherweise einer der folgenden Fehlercodes angezeigt:

    HexadezimalDezimalSymbolischFehlermeldung
    0xc00003881073740920STATUS_DOWNGRADE_DETECTEDDas System hat eine mögliche Sicherheitsgefahr festgestellt. Stellen Sie sicher, dass Sie mit dem Server, der Sie authentifiziert hat, Verbindung aufnehmen können.
    0x4f11265ERROR_DOWNGRADE_DETECTEDDas System hat eine mögliche Sicherheitsgefahr festgestellt. Stellen Sie sicher, dass Sie mit dem Server, der Sie authentifiziert hat, Verbindung aufnehmen können.


    Problemumgehung

    Wenn zuvor erfolgreiche Kennwortänderungen nach der Installation von MS16-101 fehlschlagen, basierten vorherige Kennwortänderungen wahrscheinlich auf dem NTLM-Fallback, da Kerberos fehlschlug. Gehen Sie wie folgt vor, um Kennwörter mithilfe von Kerberos-Protokollen erfolgreich zu ändern:

    1. Konfigurieren Sie einen geöffneten TCP-Port 464 zwischen Clients, auf denen MS16-101 installiert ist, und dem Domänencontroller, der Kennwortzurücksetzungen abwickelt.

      Schreibgeschützte Domänencontroller (Read-Only Domain Controllers, RODCs) können Self-Service-Kennwortzurücksetzungen abwickeln, falls dem Benutzer dies durch die RODC-Kennwortreplikationsrichtlinie gestattet ist. Benutzern, denen dies durch die RODC-Kennwortreplikationsrichtlinie nicht gestattet ist, benötigen eine Netzwerkverbindung zu einem Lese/Schreib-Domänencontroller (Read/Write Domain Controller, RWDC) in der Domäne des Benutzerkontos.

      Hinweis Gehen Sie wie folgt vor, um festzustellen, ob Port 464 geöffnet ist:

      1. Erstellen Sie einen entsprechenden Anzeigefilter für Ihren Netzwerkmonitorparser. Beispiel:
        ipv4.address== <ip address of client> && tcp.port==464
      2. Suchen Sie in den Ergebnissen nach dem Frame „TCP:[SynReTransmit“.

        Frame
    2. Stellen Sie sicher, dass die Ziel-Kerberos-Namen gültig sind. (IP-Adressen sind für das Kerberos-Protokoll nicht zulässig. Kerberos unterstützt kurze Namen und vollqualifizierte Domänennamen.)
    3. Stellen Sie sicher, dass Dienstprinzipalnamen (Service Principal Names, SPNs) ordnungsgemäß registriert sind.

      Weitere Informationen finden Sie unter Kerberos und Self-Service-Kennwortzurücksetzung.
  • Bekanntes Problem 2

    Es gibt ein bekanntes Problem, dass programmgesteuerte Kennwortzurücksetzungen von Domänenbenutzerkonten fehlschlagen und den Fehlercode STATUS_DOWNGRADE_DETECTED (0x800704F1) zurückgeben, wenn einer der folgenden erwarteten Fehler vorliegt:

    • ERROR_INVALID_PASSWORD
    • ERROR_PWD_TOO_SHORT (wird selten zurückgegeben)
    • STATUS_WRONG_PASSWORD
    • STATUS_PASSWORD_RESTRICTION

    Die folgende Tabelle enthält eine vollständige Aufstellung der Fehlermeldungen.

    HexadezimalDezimalSymbolischFehlermeldung
    0x5686ERROR_INVALID_PASSWORDDas angegebene Netzwerkkennwort ist falsch.
    0x267615ERROR_PWD_TOO_SHORTDas Kennwort ist zu kurz und verstößt so gegen die Richtlinien für Ihr Konto. Wählen Sie ein längeres Kennwort.
    0xc000006a-1073741718STATUS_WRONG_PASSWORDBeim Versuch, ein Kennwort zu aktualisieren, zeigt dieser Rückgabestatus an, dass der als aktuelles Kennwort angegebene Wert nicht korrekt ist.
    0xc000006c-1073741716STATUS_PASSWORD_RESTRICTIONBeim Versuch, ein Kennwort zu aktualisieren, zeigt dieser Status an, dass eine Regel zur Kennwortaktualisierung verletzt wurde. Das Kennwort entspricht z. B. nicht der Längenbeschränkung.
    0x800704F11265STATUS_DOWNGRADE_DETECTEDZur Abwicklung der Authentifizierungsanforderung konnte keine Verbindung mit einem Domänencontroller hergestellt werden. Wiederholen Sie den Vorgang zu einem späteren Zeitpunkt.
    0xc0000388-1073740920STATUS_DOWNGRADE_DETECTEDZur Abwicklung der Authentifizierungsanforderung konnte keine Verbindung mit einem Domänencontroller hergestellt werden. Wiederholen Sie den Vorgang zu einem späteren Zeitpunkt.


    Lösung

    MS16-101 wurde erneut veröffentlicht, um dieses Problem zu beheben. Installieren Sie die aktuelle Version der Updates für dieses Bulletin, um dieses Problem zu beheben.

  • Bekanntes Problem 3

    Es gibt ein bekanntes Problem, dass programmgesteuerte Kennwortzurücksetzungen von lokalen Benutzerkonten fehlschlagen und den Fehlercode STATUS_DOWNGRADE_DETECTED (0x800704F1) zurückgeben.

    Die folgende Tabelle enthält eine vollständige Aufstellung der Fehlermeldungen.

    HexadezimalDezimalSymbolischFehlermeldung
    0x4f11265ERROR_DOWNGRADE_DETECTEDZur Abwicklung der Authentifizierungsanforderung konnte keine Verbindung mit einem Domänencontroller hergestellt werden. Wiederholen Sie den Vorgang zu einem späteren Zeitpunkt.


    Lösung

    MS16-101 wurde erneut veröffentlicht, um dieses Problem zu beheben. Installieren Sie die aktuelle Version der Updates für dieses Bulletin, um dieses Problem zu beheben.

  • Bekanntes Problem 4

    Kennwörter für deaktivierte und gesperrte Benutzerkonten können mit dem Aushandlungspaket nicht geändert werden.

    Kennwortänderungen für deaktivierte und gesperrte Benutzerkonten sind mit anderen Methoden weiterhin möglich, beispielsweise bei direkter Verwendung eines LDAP-Änderungsvorgangs. Beispielsweise verwendet das PowerShell-Cmdlet Set-ADAccountPassword einen LDAP-Änderungsvorgang zum Ändern des Kennworts und ist nicht davon betroffen.

    Problemumgehung

    Für diese Konten muss ein Administrator Kennwortzurücksetzungen vornehmen. Nach der Installation von MS16-101 und späteren Fehlerbehebungen entspricht dies dem erwarteten Verhalten.

  • Bekanntes Problem 5

    Anwendungen, welche die API NetUserChangePassword verwenden und über den Parameter domainname einen Servernamen übergeben, funktionieren nach der Installation von MS16-101 und späteren Updates nicht mehr.

    In der Dokumentation von Microsoft ist beschrieben, dass die Angabe eines Remoteservernamens im Parameter domainname der Funktion NetUserChangePassword unterstützt wird. Beispielsweise enthält das MSDN-Thema zur NetUserChangePassword-Funktion folgende sinngemäße Beschreibung:

    domainname [in]
    Ein Zeiger auf eine Konstantenzeichenfolge, die den DNS oder NetBIOS-Namen eines Remoteservers oder einer Domäne angibt, für den bzw. die die Funktion ausgeführt werden soll. Wenn dieser Parameter den Wert NULL aufweist, wird die Anmeldedomäne des aufrufenden Benutzers verwendet.
    Diese Anweisung wurde jedoch durch MS16-101 ersetzt, außer die Kennwortzurücksetzung bezieht sich auf ein lokales Konto auf dem lokalen Computer. Nach MS16-101 müssen Sie, damit Kennwortänderungen für Domänenbenutzer funktionieren, einen gültigen DNS-Domänennamen an die NetUserChangePassword-API übergeben.
  • Bekanntes Problem 6

    Nachdem Sie dieses Sicherheitsupdate angewendet haben und Sie mehrere Dokumente hintereinander drucken, werden die ersten zwei Dokumente unter Umständen erfolgreich gedruckt. Das dritte und alle nachfolgenden Dokumente können aber eventuell nicht gedruckt werden.

    Um dieses Problem zu beheben, laden Sie das Update 3186988 von der Microsoft Update-Katalog-Website herunter.

    Dieses Problem wurde auch im Microsoft-Sicherheitsbulletin MS16-106 behoben.
  • Bekanntes Problem 7

    Nach der Installation der in MS16-101 beschriebenen Sicherheitsupdates schlagen programmgesteuerte Remoteänderungen des Kennworts eines lokalen Benutzerkontos sowie Kennwortänderungen für eine nicht vertrauenswürdige Gesamtstruktur fehl.

    Dieser Vorgang schlägt fehl, da er auf NTLM-Fallback basiert. Diese Funktion wird jedoch für nicht lokale Konten nach der Installation von MS16-101 nicht mehr unterstützt.

    Diese Änderung können Sie mithilfe eines Registrierungseintrags deaktivieren.

    Warnung Durch diese Problemumgehung wird ein Computer oder Netzwerk möglicherweise anfälliger für Angriffe böswilliger Benutzer oder gefährlicher Software, wie etwa Viren. Diese Problemumgehung wird nicht von Microsoft empfohlen, wird jedoch hier aufgeführt, damit Sie diese Option nach eigenem Ermessen anwenden können. Die Verwendung dieser Problemumgehung erfolgt auf eigene Verantwortung.

    Wichtig Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    322756Sichern und Wiederherstellen der Registrierung in Windows


    Zum Deaktivieren dieser Änderung legen Sie den DWORD-Eintrag NegoAllowNtlmPwdChangeFallback auf den Wert „1“ fest.

    Wichtig Durch Festlegen des Registrierungseintrags NegoAllowNtlmPwdChangeFallback auf den Wert „1“ wird dieser Sicherheitsfix deaktiviert:
    RegistrierungswertBeschreibung
    0 Standardwert. Fallback wird verhindert.
    1Fallback ist stets zulässig. Der Sicherheitsfix ist deaktiviert. Kunden, die Probleme mit lokalen Remotekonten oder nicht vertrauenswürdigen Gesamtstrukturen haben, können für die Registrierung diesen Wert festlegen.
    Gehen Sie wie folgt vor, um diese Registrierungswerte hinzuzufügen:
    1. Klicken Sie auf Start und auf Ausführen. Geben Sie in das Feld Öffnen die Zeichenfolge regedit ein, und klicken Sie anschließend auf OK.
    2. Klicken Sie auf den folgenden Unterschlüssel in der Registrierung:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
    3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie anschließend auf DWORD-Wert.
    4. Geben Sie NegoAllowNtlmPwdChangeFallback als Namen für den DWORD-Wert ein, und drücken Sie anschließend die EINGABETASTE.
    5. Klicken Sie mit der rechten Maustaste auf NegoAllowNtlmPwdChangeFallback, und klicken Sie dann auf Ändern.
    6. Geben Sie in das Feld Wert den Wert 1 ein, um diese Änderung zu deaktivieren, und klicken Sie dann auf OK.

      Hinweis Um den Standardwert wiederherzustellen, geben Sie „0“ (null) ein, und klicken Sie anschließend auf OK.
    Status

    Die Ursache dieses Problems ist erforscht. Dieser Artikel wird mit zusätzlichen Details aktualisiert, sobald sie verfügbar sind.
Beziehen dieses Updates
Wichtig Wenn Sie nach der Installation dieses Updates ein Language Pack installieren, müssen Sie dieses Update erneut installieren. Daher wird empfohlen, alle benötigen Language Packs vor diesem Update zu installieren. Weitere Informationen finden Sie unter Hinzufügen von Language Packs zu Windows.

Methode 1: Windows Update

Dieses Update wird automatisch heruntergeladen und installiert.

Methode 2: Microsoft Update-Katalog

Um das eigenständige Paket für dieses Update zu erhalten, besuchen Sie die Microsoft Update-Katalog-Website.

Voraussetzungen

Es müssen keine speziellen Voraussetzungen für die Installation dieses Update erfüllt werden.

Informationen zum Neustart

Sie müssen den Computer nach der Installation des Updates neu starten.

Ersetzte Updates

Dieses Update ersetzt das zuvor veröffentlichte Update 3172985.

Dateiinformationen
Eine Liste der Dateien, die in diesem kumulativen Update bereitgestellt werden, finden Sie in Dateiinformationen für das kumulative Update 3176493.
Informationsquellen
Informieren Sie sich über die Terminologie, die Microsoft zum Beschreiben von Softwareupdates verwendet.
Eigenschaften

Artikelnummer: 3176493 – Letzte Überarbeitung: 10/18/2016 15:16:00 – Revision: 13.0

Windows 10 Version 1511

  • kbsurveynew atdownload kbfix kbexpertiseadvanced kbcontentauto KB3176493
Feedback