MS16-101: Περιγραφή της ενημέρωσης ασφαλείας για τις μεθόδους ελέγχου ταυτότητας των Windows: 9 Αυγούστου 2016

Σύνοψη

Αυτή η ενημέρωση ασφαλείας επιλύει πολλά θέματα ευπάθειας στα Microsoft Windows. Τα θέματα ευπάθειας θα μπορούσαν να επιτρέψουν προβιβασμό δικαιωμάτων εάν ένας εισβολέας εκτελέσει μια ειδικά κατασκευασμένη εφαρμογή σε ένα σύστημα τομέα.

Για να μάθετε περισσότερα σχετικά με την ευπάθεια, ανατρέξτε στο Ενημερωτικό δελτίο ασφαλείας της Microsoft MS16-101.

Περισσότερες πληροφορίες

Σημαντικό

• Όλες οι μελλοντικές ενημερώσεις ασφαλείας και ενημερώσεις που δεν σχετίζονται με την ασφάλεια για τα Windows 8,1 και τον Windows Server 2012 R2 απαιτούν την ενημέρωση του 2919355 για εγκατάσταση. Συνιστούμε να εγκαταστήσετε την ενημέρωση 2919355 σε υπολογιστή που βασίζεται σε Windows 8,1 ή windows Server 2012 R2, ώστε να λαμβάνετε μελλοντικές ενημερώσεις.

• Εάν εγκαταστήσετε ένα πακέτο γλώσσας μετά την εγκατάσταση αυτής της ενημέρωσης, πρέπει να εγκαταστήσετε ξανά αυτήν την ενημέρωση. Επομένως, συνιστούμε να εγκαταστήσετε όλα τα πακέτα γλωσσών που χρειάζεστε πριν από την εγκατάσταση αυτής της ενημέρωσης. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Προσθήκη πακέτων γλώσσας στα Windows.
  

Γνωστά θέματα σε αυτήν την ενημέρωση ασφαλείας

• Γνωστό πρόβλημα 1
  
  οι ενημερώσεις ασφαλείας που παρέχονται στο MS16-101 και στις νεότερες ενημερώσεις απενεργοποιούν τη δυνατότητα της διαδικασίας διαπραγμάτευσης να επανέλθει στο NTLM όταν αποτύχει ο έλεγχος ταυτότητας Kerberos για λειτουργίες αλλαγής κωδικού πρόσβασης με τον κωδικό σφάλματος STATUS_NO_LOGON_SERVERS (0xC000005E). Σε αυτήν την περίπτωση, ενδέχεται να λάβετε έναν από τους παρακάτω κωδικούς σφάλματος.
  
  

  Δεκαεξαδικό	Δεκαδικά	Συμβολική	Φιλικό
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Το σύστημα εντόπισε μια πιθανή απόπειρα παραβίασης της ασφάλειας. Βεβαιωθείτε ότι μπορείτε να επικοινωνήσετε με τον διακομιστή που σας επικύρωσε τον έλεγχο ταυτότητας.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Το σύστημα εντόπισε μια πιθανή απόπειρα παραβίασης της ασφάλειας. Βεβαιωθείτε ότι μπορείτε να επικοινωνήσετε με τον διακομιστή που σας επικύρωσε τον έλεγχο ταυτότητας.

  
  
  Λύση
  
  Εάν οι αλλαγές κωδικού πρόσβασης που προηγουμένως πέτυχαν απέτυχαν μετά την εγκατάσταση του MS16-101, είναι πιθανό οι αλλαγές κωδικού πρόσβασης να βασίζονταν προηγουμένως στην επιστροφή του NTLM, επειδή το Kerberos απέτυχε. Για να αλλάξετε τους κωδικούς πρόσβασης με επιτυχία χρησιμοποιώντας πρωτόκολλα Kerberos, ακολουθήστε τα παρακάτω βήματα:
  
  
  

  1. Ρυθμίστε τις παραμέτρους της ανοιχτής επικοινωνίας στη θύρα TCP 464 μεταξύ των υπολογιστών-πελατών που έχουν εγκατεστημένο το MS16-101 και του ελεγκτή τομέα που εξυπηρετεί την επαναφορά κωδικού πρόσβασης.
     
     Οι ελεγκτές τομέα μόνο για ανάγνωση (RODCs) μπορούν να κάνουν επαναφορά του κωδικού πρόσβασης της υπηρεσίας από το χρήστη, εάν ο χρήστης επιτρέπεται από την πολιτική αναπαραγωγής κωδικού πρόσβασης RODCs. Οι χρήστες που δεν επιτρέπεται από την πολιτική κωδικού πρόσβασης RODC απαιτούν συνδεσιμότητα δικτύου σε έναν ελεγκτή τομέα ανάγνωσης/εγγραφής (RWDC) στον τομέα του λογαριασμού χρήστη.
     
     Σημείωση για να δείτε εάν η θύρα TCP 464 είναι ανοιχτή, ακολουθήστε τα παρακάτω βήματα:
     
     
     

     1. Δημιουργήστε ένα ισοδύναμο φίλτρο εμφάνισης για το πρόγραμμα ανάλυσης εποπτείας δικτύου. Για παράδειγμα:
        

        IPv4. Address = = <διεύθυνση IP του προγράμματος-πελάτη> && TCP. Port = = 464

     2. Στα αποτελέσματα, αναζητήστε το πλαίσιο "TCP: [SynReTransmit".
        
        

  2. Βεβαιωθείτε ότι τα ονόματα Kerberos προορισμού είναι έγκυρα. (Οι διευθύνσεις IP δεν είναι έγκυρες για το πρωτόκολλο Kerberos. Το Kerberos υποστηρίζει μικρά ονόματα και πλήρως αναγνωρισμένα ονόματα τομέων.)

  3. Βεβαιωθείτε ότι τα κύρια ονόματα υπηρεσίας (SPN) έχουν καταχωρηθεί σωστά.
     
     Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Επαναφορά κωδικού πρόσβασης Kerberos και Self-Service.

• Γνωστό ζήτημα 2 γνωρίζουμε
  
  για ένα πρόβλημα στο οποίο η επαναφορά προγραμματικού κωδικού πρόσβασης των λογαριασμών χρηστών τομέα αποτυγχάνει και επιστρέφει τον κωδικό σφάλματος STATUS_DOWNGRADE_DETECTED (0x800704F1), εάν η αναμενόμενη αποτυχία είναι ένα από τα εξής:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (σπάνια επιστρέφεται)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  Ο παρακάτω πίνακας εμφανίζει την πλήρη αντιστοίχιση σφαλμάτων.
  
  

  Δεκαεξαδικό	Δεκαδικά	Συμβολική	Φιλικό
  0x56	86	ERROR_INVALID_PASSWORD	Ο καθορισμένος κωδικός πρόσβασης δικτύου δεν είναι σωστός.
  0x267	615	ERROR_PWD_TOO_SHORT	Ο κωδικός πρόσβασης που παρέχεται είναι πολύ σύντομος για να ικανοποιήσει την πολιτική του λογαριασμού χρήστη σας. Δώστε έναν μεγαλύτερο κωδικό πρόσβασης.
  0xC000006A	-1073741718	STATUS_WRONG_PASSWORD	Όταν προσπαθείτε να ενημερώσετε έναν κωδικό πρόσβασης, αυτή η κατάσταση επιστροφής υποδηλώνει ότι η τιμή που δόθηκε ως ο τρέχων κωδικός πρόσβασης είναι εσφαλμένη.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Όταν προσπαθείτε να ενημερώσετε έναν κωδικό πρόσβασης, αυτή η κατάσταση επιστροφής υποδηλώνει ότι παραβιάστηκε κάποιος κανόνας ενημέρωσης κωδικού πρόσβασης. Για παράδειγμα, ο κωδικός πρόσβασης μπορεί να μην πληροί τα κριτήρια μήκους.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Το σύστημα δεν μπορεί να επικοινωνήσει με έναν ελεγκτή τομέα για την υπηρεσία της αίτησης ελέγχου ταυτότητας. Δοκιμάστε ξανά αργότερα.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Το σύστημα δεν μπορεί να επικοινωνήσει με έναν ελεγκτή τομέα για την υπηρεσία της αίτησης ελέγχου ταυτότητας. Δοκιμάστε ξανά αργότερα.

  
  
  Η ανάλυση
  
  MS16-101 έχει κυκλοφορήσει ξανά για την αντιμετώπιση αυτού του ζητήματος. Εγκαταστήστε την πιο πρόσφατη έκδοση των ενημερώσεων για αυτό το ενημερωτικό δελτίο για να επιλύσετε αυτό το πρόβλημα.
  
  

• Γνωστό πρόβλημα 3 ξέρουμε
  
  για ένα πρόβλημα στο οποίο οι αλλαγές του κωδικού πρόσβασης του τοπικού λογαριασμού χρήστη με προγραμματισμό μπορεί να αποτύχουν και να επιστρέψουν τον κωδικό σφάλματος STATUS_DOWNGRADE_DETECTED (0x800704F1).
  
  Ο παρακάτω πίνακας εμφανίζει την πλήρη αντιστοίχιση σφαλμάτων.
  
  

  Δεκαεξαδικό	Δεκαδικά	Συμβολική	Φιλικό
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Το σύστημα δεν μπορεί να επικοινωνήσει με έναν ελεγκτή τομέα για την υπηρεσία της αίτησης ελέγχου ταυτότητας. Δοκιμάστε ξανά αργότερα.

  
  
  Η ανάλυση
  
  MS16-101 έχει κυκλοφορήσει ξανά για την αντιμετώπιση αυτού του ζητήματος. Εγκαταστήστε την πιο πρόσφατη έκδοση των ενημερώσεων για αυτό το ενημερωτικό δελτίο για να επιλύσετε αυτό το πρόβλημα.
  
  

• Οι κωδικοί πρόσβασης γνωστών ζητημάτων 4
  
  για άτομα με ειδικές ανάγκες και κλειδωμένους λογαριασμούς χρηστών δεν μπορούν να αλλάξουν χρησιμοποιώντας το πακέτο διαπραγμάτευσης.
  
  Οι αλλαγές κωδικών πρόσβασης για τους χρήστες με ειδικές ανάγκες και τους αποκλεισμένους λογαριασμούς θα εξακολουθήσουν να λειτουργούν κατά τη χρήση άλλων μεθόδων, όπως όταν χρησιμοποιείτε απευθείας μια λειτουργία τροποποίησης LDAP. Για παράδειγμα, το cmdlet PowerShell Set-ADAccountPassword χρησιμοποιεί μια λειτουργία "LDAP Modify" για να αλλάξει τον κωδικό πρόσβασης και παραμένει ανεπηρέαστος.
  
  Λύση
  
  αυτοί οι λογαριασμοί απαιτούν από ένα διαχειριστή να κάνει επαναφορά κωδικού πρόσβασης. Αυτή η συμπεριφορά οφείλεται στη σχεδίαση μετά την εγκατάσταση του MS16-101 και των νεότερων επιδιορθώσεων.
  
  

• Γνωστές εφαρμογές 5 οι
  
  εφαρμογές που χρησιμοποιούν το API του NetUserChangePassword και οι οποίες μεταβιβάζουν ένα όνομα_διακομιστή στην παράμετρο domainname δεν θα λειτουργούν πλέον μετά την εγκατάσταση των ενημερώσεων MS16-101 και των νεότερων ενημερώσεων.
  
  Η τεκμηρίωση της Microsoft αναφέρει ότι υποστηρίζεται η παροχή ενός ονόματος απομακρυσμένου διακομιστή στην παράμετρο domainname της συνάρτησης NetUserChangePassword. Για παράδειγμα, η συνάρτηση NetUserChangePassword το θέμα MSDN αναφέρει τα εξής:
  
  domainname [in]
  

  Δείκτης σε σταθερή συμβολοσειρά που καθορίζει το όνομα DNS ή NetBIOS ενός απομακρυσμένου διακομιστή ή τομέα στον οποίο πρόκειται να εκτελεστεί η συνάρτηση. Εάν αυτή η παράμετρος είναι NULL, χρησιμοποιείται ο τομέας σύνδεσης του Καλούα. Ωστόσο, αυτή η καθοδήγηση έχει αντικατασταθεί από την MS16-101, εκτός εάν η επαναφορά του κωδικού πρόσβασης είναι για έναν τοπικό λογαριασμό στον τοπικό υπολογιστή. Δημοσίευση MS16-101, για να αλλάξετε τον κωδικό πρόσβασης χρήστη τομέα για να εργαστείτε, πρέπει να μεταβιβάσετε ένα έγκυρο όνομα τομέα DNS στο API του NetUserChangePassword.

• Γνωστό πρόβλημα 6
  
  μετά την εγκατάσταση των ενημερώσεων ασφαλείας που περιγράφονται στο MS16-101, οι απομακρυσμένες, προγραμματικές αλλαγές ενός κωδικού πρόσβασης λογαριασμού τοπικού χρήστη και οι αλλαγές κωδικού πρόσβασης σε μη αξιόπιστα δάση αποτυγχάνουν.
  
  
  Αυτή η λειτουργία αποτυγχάνει, επειδή η λειτουργία βασίζεται στην επιστροφή του NTLM, η οποία δεν υποστηρίζεται πλέον για μη τοπικούς λογαριασμούς μετά την εγκατάσταση του MS16-101.
  
  
  Μια καταχώρηση μητρώου παρέχεται, την οποία μπορείτε να χρησιμοποιήσετε για να απενεργοποιήσετε αυτήν την αλλαγή.
  
  Προειδοποίηση αυτή η λύση μπορεί να κάνει έναν υπολογιστή ή ένα δίκτυο πιο ευάλωτο σε επιθέσεις από κακόβουλους χρήστες ή από κακόβουλο λογισμικό, όπως οι ιοί. Δεν συνιστούμε αυτή τη λύση, αλλά παρέχετε αυτές τις πληροφορίες, ώστε να μπορείτε να υλοποιήσετε αυτή τη λύση κατά την κρίση σας. Χρησιμοποιήστε αυτόν τον εναλλακτικό τρόπο αντιμετώπισης με δική σας ευθύνη.
  
  Καθοδηγούν ενότητα, μέθοδος ή εργασία περιέχει βήματα που σας καθοδηγούν να τροποποιήσετε το μητρώο. Ωστόσο, ενδέχεται να προκύψουν σοβαρά προβλήματα σε περίπτωση λανθασμένης τροποποίησης του μητρώου. Γι' αυτό, βεβαιωθείτε ότι ακολουθείτε με προσοχή τα σχετικά βήματα. Για επιπλέον προστασία, δημιουργήστε αντίγραφο ασφαλείας του μητρώου, πριν να το τροποποιήσετε. Στη συνέχεια, εάν παρουσιαστεί πρόβλημα, μπορείτε να επαναφέρετε το μητρώο. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και τον τρόπο επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής Βάσης (Knowledge Base) της Microsoft:

  322756Πώς μπορείτε να δημιουργήσετε αντίγραφα ασφαλείας και να επαναφέρετε το μητρώο στα Windows
  
  για να απενεργοποιήσετε αυτήν την αλλαγή, ορίστε την καταχώρηση DWORD του NegoAllowNtlmPwdChangeFallback για να χρησιμοποιήσετε την τιμή 1 (μία).
  
  
  Σημαντική ρύθμιση η καταχώρηση μητρώου NegoAllowNtlmPwdChangeFallback στην τιμή 1 θα απενεργοποιήσει αυτή την επιδιόρθωση ασφαλείας:
  

  Τιμή μητρώου	Περιγραφή
  0	Προεπιλεγμένη τιμή. Η επιστροφή εμποδίζεται.
  1	Η επιστροφή επιτρέπεται πάντα. Η επιδιόρθωση ασφαλείας είναι απενεργοποιημένη. Οι πελάτες που αντιμετωπίζουν προβλήματα με απομακρυσμένους τοπικούς λογαριασμούς ή σενάρια μη αξιόπιστων δασικών δομών μπορούν να ορίζουν το μητρώο σε αυτήν την τιμή.

  Για να προσθέσετε αυτές τις τιμές μητρώου, ακολουθήστε τα παρακάτω βήματα:
  

  1. Κάντε κλικ στο κουμπί Έναρξη, κάντε κλικ στην επιλογή εκτέλεση, πληκτρολογήστε regedit στο πλαίσιο Άνοιγμα και, στη συνέχεια, κάντε κλικ στο κουμπί OK.

  2. Εντοπίστε και, στη συνέχεια, κάντε κλικ στο ακόλουθο δευτερεύον κλειδί στο μητρώο:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. Στο μενού Επεξεργασία, τοποθετήστε το δείκτη του ποντικιού στην εντολή Δημιουργία και στη συνέχεια κάντε κλικ στην εντολή Τιμή DWORD.

  4. Πληκτρολογήστε NegoAllowNtlmPwdChangeFallback για το όνομα του DWORD και, στη συνέχεια, πατήστε το πλήκτρο ENTER.

  5. Κάντε δεξί κλικ στο NegoAllowNtlmPwdChangeFallbackκαι, στη συνέχεια, κάντε κλικ στην επιλογή Τροποποίηση.

  6. Στο πλαίσιο δεδομένα τιμής , πληκτρολογήστε 1 για να απενεργοποιήσετε αυτήν την αλλαγή και, στη συνέχεια, κάντε κλικ στο κουμπί OK.
     
     
     Σημείωση για να επαναφέρετε την προεπιλεγμένη τιμή, πληκτρολογήστε 0 (μηδέν) και, στη συνέχεια, κάντε κλικ στο κουμπί OK.

  Κατάσταση
  
  η αρχική αιτία αυτού του ζητήματος είναι κατανοητή. Αυτό το άρθρο θα ενημερωθεί με πρόσθετες λεπτομέρειες καθώς καθίστανται διαθέσιμες.

Πώς μπορείτε να αποκτήσετε και να εγκαταστήσετε την ενημέρωση

Μέθοδος 1: Windows Update

Αυτή η ενημέρωση είναι διαθέσιμη μέσω του Windows Update. Όταν ενεργοποιήσετε την αυτόματη ενημέρωση, αυτή η ενημέρωση θα ληφθεί και θα εγκατασταθεί αυτόματα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο με τον οποίο μπορείτε να ενεργοποιήσετε την αυτόματη ενημέρωση, ανατρέξτε στο θέμα
λήψη ενημερώσεων ασφαλείας αυτόματα.

Μέθοδος 2: Κατάλογος του Microsoft Update

Για να λάβετε το αυτόνομο πακέτο για αυτήν την ενημέρωση, μεταβείτε στην τοποθεσία Web του καταλόγου Microsoft Update .

Περισσότερες πληροφορίες

Πληροφορίες αρχείου