Actualización acumulativa de Windows 10 versión 1511: 9 de agosto de 2016

Importante: este artículo contiene información que muestra cómo reducir la configuración de seguridad o desactivar las características de seguridad en un equipo. Puede realizar estos cambios para solucionar un problema específico. Antes de realizar estos cambios, le recomendamos que evalúe los riesgos asociados con la implementación de esta solución en su entorno concreto. Si decide implementar esta solución, tome las medidas adicionales oportunas para ayudar a proteger el equipo.

Resumen

Esta actualización de seguridad incluye las correcciones y mejoras en la funcionalidad de Windows 10 versión 1511. También resuelve las siguientes vulnerabilidades en Windows:
  • 3177356 MS16-095: actualización de seguridad acumulativa para Internet Explorer: 9 de agosto de 2016
  • 3177358 MS16-096: actualización de seguridad acumulativa para Microsoft Edge: 9 de agosto de 2016
  • 3177393 MS16-097: actualización de seguridad para el componente de gráficos de Microsoft: 9 de agosto de 2016
  • 3178466 MS16-098: actualización de seguridad para controladores de modo kernel: 9 de agosto de 2016
  • 3178465 MS16-101: actualización de seguridad para los métodos de autenticación de Windows: 9 de agosto de 2016
  • 3182248 MS16-102: actualización de seguridad para Microsoft Windows PDF library: 9 de agosto de 2016
  • 3182332 MS16-103: actualización de seguridad para ActiveSyncProvider: 9 de agosto de 2016

Las actualizaciones de Windows 10 son acumulativas. Por lo tanto, este paquete contiene todas las revisiones publicadas anteriormente.

Si ha instalado versiones anteriores, solo las nuevas revisiones contenidas en este paquete se descargarán e instalarán en el equipo. Si está instalando un paquete de actualización de Windows 10 por primera vez, el paquete de la versión x86 es de 502 MB y el paquete de la versión x64 de 916 MB.


Más información

Problemas conocidos en esta actualización de seguridad

  • Problema conocido 1

    Las actualizaciones más recientes y las actualizaciones de seguridad que se proporcionan en MS16-101 deshabilitan la capacidad del proceso de negociación de recurrir a NTLM cuando se produce un error en la autenticación Kerberos para las operaciones de cambio de contraseña con el código de error STATUS_NO_LOGON_SERVERS (0xc000005e) . En esta situación, puede recibir uno de los siguientes códigos de error.

    HexadecimalDecimalSimbólicoDescriptivo
    0xc00003881073740920STATUS_DOWNGRADE_DETECTEDEl sistema detectó un posible intento de comprometer la seguridad. Asegúrese de que puede ponerse en contacto con el servidor que le autenticó.
    0x4f11265ERROR_DOWNGRADE_DETECTEDEl sistema detectó un posible intento de comprometer la seguridad. Asegúrese de que puede ponerse en contacto con el servidor que le autenticó.


    Solución alternativa

    Si fallan los cambios de contraseña que previamente se realizaron correctamente después de la instalación de MS16-101, es probable que los cambios de contraseña se basaran anteriormente en la reserva NTLM porque estaba fallando Kerberos. Para poder cambiar las contraseñas con éxito mediante protocolos de Kerberos, siga estos pasos:


    1. Configurar una comunicación abierta en el puerto TCP 464 entre los clientes que tienen instalado MS16-101 y el controlador de dominio que está dando servicio a los restablecimientos de contraseña.

      Los controladores de dominio de sólo lectura (RODC) pueden atender a los restablecimientos de contraseña sin intervención del administrador si el usuario está autorizado por la directiva de replicación de contraseñas de RODC. Los usuarios no autorizados por la directiva de contraseñas RODC requieren conectividad de red con un controlador de dominio de lectura y escritura (RWDC) en el dominio de la cuenta de usuario.

      Nota: Para comprobar si está abierto el puerto TCP 464, siga estos pasos:


      1. Crear un filtro de presentación equivalente para el analizador de monitor de red. Por ejemplo:
        ipv4.address== <ip address of client> && tcp.port==464
      2. En los resultados, busque el marco "TCP: [SynReTransmit".

        Frame
    2. Asegúrese de que los nombres de Kerberos de destino son válidos. (Las direcciones IP no son válidas para el protocolo Kerberos. Kerberos admite nombres cortos y nombres de dominio completos).
    3. Asegúrese de que los nombres principales de servicio (SPN) están registrados correctamente.

      Para obtener más información, vea Kerberos y restablecimiento de contraseña sin intervención del administrador.
  • Problema conocido 2

    Sabemos acerca de un problema en el que los restablecimientos de contraseña mediante programación de usuario de dominio fallan y devuelven el código de error STATUS_DOWNGRADE_DETECTED (0x800704F1) , si dicho error es uno de los siguientes:

    • ERROR_INVALID_PASSWORD
    • ERROR_PWD_TOO_SHORT (poco frecuente)
    • STATUS_WRONG_PASSWORD
    • STATUS_PASSWORD_RESTRICTION

    La tabla siguiente muestra la asignación completa del error.

    HexadecimalDecimalSimbólicoDescriptivo
    0x5686ERROR_INVALID_PASSWORDLa contraseña de red especificada no es correcta.
    0x267615ERROR_PWD_TOO_SHORTLa contraseña que proporcionó es demasiado corta para cumplir las directivas de su cuenta de usuario. Proporcione una contraseña más larga.
    0xc000006a-1073741718STATUS_WRONG_PASSWORDAl intentar actualizar una contraseña, este estado de retorno indica que el valor proporcionado como contraseña actual es incorrecto.
    0xc000006c-1073741716STATUS_PASSWORD_RESTRICTIONAl intentar actualizar una contraseña, este estado de retorno indica que se ha infringido alguna regla de actualización de la contraseña. Por ejemplo, la contraseña puede no satisfacer los criterios de longitud.
    0x800704F11265STATUS_DOWNGRADE_DETECTEDEl sistema no puede ponerse en contacto con un controlador de dominio para atender la solicitud de autenticación. Vuelva a intentarlo más tarde.
    0xc0000388-1073740920STATUS_DOWNGRADE_DETECTEDEl sistema no puede ponerse en contacto con un controlador de dominio para atender la solicitud de autenticación. Vuelva a intentarlo más tarde.


    Solución

    MS16-101 se ha vuelto a publicar para tratar este problema. Instale la versión más reciente de las actualizaciones de este boletín resolver este problema.

  • Problema conocido 3

    Sabemos acerca de un problema en el que los reinicios de programación de los cambios de contraseña de cuenta de usuario local pueden producir errores y devolver el código de error STATUS_DOWNGRADE_DETECTED (0x800704F1) .

    La tabla siguiente muestra la asignación completa del error.

    HexadecimalDecimalSimbólicoDescriptivo
    0x4f11265ERROR_DOWNGRADE_DETECTEDEl sistema no puede ponerse en contacto con un controlador de dominio para atender la solicitud de autenticación. Vuelva a intentarlo más tarde.


    Solución

    MS16-101 se ha vuelto a publicar para tratar este problema. Instale la versión más reciente de las actualizaciones de este boletín resolver este problema.

  • Problema conocido 4

    No se pueden cambiar las contraseñas de cuentas de usuario deshabilitadas y bloqueadas mediante el paquete de negociación.


    Los cambios de contraseña para cuentas deshabilitadas y bloqueadas seguirán funcionando cuando se utilizan otros métodos, como cuando se utiliza una operación de modificación LDAP directamente. Por ejemplo, el cmdlet de PowerShell Set-ADAccountPassword utiliza una operación de "Modificación LDAP" para cambiar la contraseña y no se ve afectado.

    Solución alternativa

    Estas cuentas requieren un administrador para realizar los restablecimientos de contraseña. Este comportamiento es por diseño después de instalar revisiones MS16-101 y posteriores.

  • Problema conocido 5

    Aplicaciones que utilizan la API NetUserChangePassword y que pase el nombre del servidor en el parámetro domainname dejarán de funcionar después de MS16-101 y se instalan las actualizaciones posteriores.

    Documentación de Microsoft establece que proporcionar un nombre de servidor remoto en el parámetro de nombre de dominio de la función NetUserChangePassword es compatible. Por ejemplo, el tema MSDN función NetUserChangePassword afirma lo siguiente:

    nombreDeDominio [in]
    El puntero a una cadena constante que especifica el nombre DNS o NetBIOS de un servidor remoto o dominio en el que ejecutar la función. Si este parámetro es NULL, se utiliza el dominio de inicio de sesión del llamador.
    No obstante, esta guía se ha sustituido por MS16-101, a menos que restablezca la contraseña de una cuenta local en el equipo local. Después de MS16-101, para que los cambios de contraseña de usuario de dominio funcionen, debe pasar un nombre de dominio DNS válido a la API NetUserChangePassword.
  • Problema conocido 6



    Después de aplicar esta actualización de seguridad e imprimir varios documentos en sucesión, los dos primeros documentos pueden imprimir correctamente. Sin embargo, es posible que no se puedan imprimir los documentos terceros y subsiguientes.

    Para corregir este problema, descargue la actualización 3186988 desde el sitio Web de Catálogo de Microsoft Update .





    Este problema también se resuelve en el boletín de seguridad de Microsoft MS16-106.



  • Problema conocido 7

    Después de instalar las actualizaciones de seguridad que se describen en MS16-101, remoto, cambio de contraseña de una cuenta de usuario local en el programa y los cambios de contraseña a través del bosque de confianza no.


    Se produce un error en esta operación porque la operación se basa en reserva NTLM que ya no se admite para las cuentas locales después de instala MS16-101.


    Una entrada del registro es siempre que puede utilizar para deshabilitar este cambio.

    Advertencia: esta solución puede hacer que un equipo o una red sean más vulnerables a los ataques de usuarios malintencionados o de software malintencionado como los virus. No recomendamos esta solución, pero proporcionamos esta información para que puede implementar esta solución temporal a su propia discreción. Utilice esta solución bajo su propia responsabilidad.

    Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    322756 Cómo realizar una copia de seguridad y restaurar el registro de Windows


    Para deshabilitar este cambio, establezca la entrada DWORD NegoAllowNtlmPwdChangeFallback utilizar un valor de 1 (uno).


    Importante: Establece la entrada del registro NegoAllowNtlmPwdChangeFallback a un valor de 1, se deshabilitará esta revisión de seguridad:
    Valor del registroDescripción
    0Valor predeterminado. Se evita la reserva.
    1Reserva siempre está permitido. La revisión de seguridad está desactivada. Los clientes que tienen problemas con cuentas locales remotas o escenarios de bosque de confianza pueden establecer el registro en este valor.
    Para agregar estos valores del registro, siga estos pasos:
    1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit en el cuadro Abrir y, a continuación, haga clic en Aceptar.
    2. Busque y, a continuación, haga clic en la siguiente subclave del registro:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
    3. En el menú Edición , seleccione Nuevo y, a continuación, haga clic en Valor DWORD.
    4. Escriba NegoAllowNtlmPwdChangeFallback como nombre del valor DWORD y, a continuación, presione ENTRAR.
    5. Haga clic en NegoAllowNtlmPwdChangeFallbacky, a continuación, haga clic en Modificar.
    6. En el cuadro información del valor , escriba 1 para deshabilitar este cambio y, a continuación, haga clic en Aceptar.


      Nota: Para restaurar el valor predeterminado, escriba 0 (cero) y, a continuación, haga clic en Aceptar.
    Estado

    Se entiende la causa de este problema. En este artículo se actualizará con detalles adicionales cuando estén disponibles.

Cómo obtener esta actualización

Importante: Si instala un paquete de idioma después de instalar esta actualización, debe reinstalar esta actualización. Por lo tanto, se recomienda que instale cualquier paquete de idioma necesario antes de la instalación de esta actualización. Para obtener más información, vea Agregar paquetes de idioma para Windows.

Método 1: Windows Update

Esta actualización se descargará y se instalará automáticamente.

Método 2: Catálogo de Microsoft Update

Para obtener el paquete independiente de esta actualización, visite el sitio web de Catálogo de Microsoft Update.

Requisitos previos

No hay ningún requisito previo para instalar esta actualización.

Información de reinicio

Debe reiniciar el equipo después de aplicar esta actualización.

Información para sustituir la actualización

Esta actualización reemplaza la actualización publicada anteriormente 3172985.

Información de archivo

Para obtener una lista de los archivos que se incluyen en esta actualización acumulativa, descargue la información de archivo de la actualización acumulativa 3176493.

Referencias

Obtenga información acerca de la terminología que utiliza Microsoft para describir las actualizaciones de software.
Propiedades

Id. de artículo: 3176493 - Última revisión: 8 ene. 2017 - Revisión: 1

Comentarios