Kumulatiivne värskendus Windows 10:9 August 2016

Selle turvavärskenduse teadaolevad probleemid

• Teadaolev probleem 1 Turvavärskendused, mis on ette nähtud MS16-101 ja uuemad värskendused keelata Negotiate protsessi LANGEDA tagasi NTLM Kerberose autentimine nurjub parooli muutmine toimingute STATUS_NO_LOGON_SERVERS (0xc000005e) veakood. Sellisel juhul võidakse kuvada üks järgmistest tõrkekoodidest.

  Kuueteistkümnendsüsteemis	Kümnendarv	Sümboolne	Sõbralik
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Süsteem tuvastas võimaliku katse turvalisust ohustada. Palun veenduge, et saate ühendust serveriga, mis teid autenditas.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Süsteem tuvastas võimaliku katse turvalisust ohustada. Palun veenduge, et saate ühendust serveriga, mis teid autenditas.

  Vastukaal Kui parooli muudatusi, mis varem õnnestus nurjumise pärast MS16-101 installimist, on tõenäoline, et parooli muudatused varem tuginesid NTLM Fall, sest Kerberose oli ebaõnnestuda. Selleks, et muuta paroolid edukalt Kerberose protokollide abil, toimige järgmiselt.

  1. Konfigureerige avatud side TCP-pordi 464 vahel kliendid, kellel on installitud MS16-101 ja domeenikontroller, mis on teeninduse parooli lähtestab. Kirjutuskaitstud domeenikontrollerid (RODCs) saab teenuse iseteeninduse parooli lähtestab, kui kasutaja on lubatud RODCs parooli kopeerimise poliitika. Kasutajad, kes ei ole lubatud RODC paroolipoliitika nõuavad võrguühenduse lugemiseks/kirjutamiseks domeenikontrolleri (RWDC) kasutajakonto domeenis. Märkus Kontrollimaks, kas TCP port 464 on avatud, toimige järgmiselt.

     1. Looge samaväärne kuvasfilter oma võrgukuvari sõela jaoks. Näiteks:

        ipv4.address== <ip address of client> && tcp.port==464

     2. Otsige tulemustes "TCP: [Synreedasta" raam.

  2. Veenduge, et Target Kerberose nimed on kehtivad. (IP-aadressid ei kehti Kerberose protokoll. Kerberose toetab lühikeste nimede ja täielikult kvalifitseeritud domeeninimed.)

  3. Veenduge, et teenuse põhilist nime (SPN-id) on õigesti registreeritud. Lisateabe saamiseks vaadake Kerberose ja iseteeninduse parooli lähtestamine.

• Teadaolev probleem 2 Me teame probleemi, mille programmiline parooli lähtestab domeeni Kasutajakontod ebaõnnestuda ja STATUS_DOWNGRADE_DETECTED (0x800704F1) tõrkekood, kui oodatav tõrge on üks järgmistest:

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (harva tagastatud)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  Järgnev tabel näitab täielik tõrge vastendamine.

  Kuueteistkümnendsüsteemis	Kümnendarv	Sümboolne	Sõbralik
  0x56	86	ERROR_INVALID_PASSWORD	Määratud võrguparool pole õige.
  0x267	615	ERROR_PWD_TOO_SHORT	Esitatud parool on teie kasutajakontoga seotud poliitika täitmiseks liiga lühike. Palun esitage pikem salasõna.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Kui proovite värskendada parooli, see Return olek näitab, et väärtus, mis on antud praegune parool on vale.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Kui proovite värskendada parooli, see Return olek näitab, et mõned parooli värskendamise reegel on rikutud. Näiteks ei pruugi parool vastata pikkuse kriteeriumidele.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Süsteem ei saa ühendust domeenikontrolleriga autentimiseks taotluse. Palun proovige hiljem uuesti.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Süsteem ei saa ühendust domeenikontrolleriga autentimiseks taotluse. Palun proovige hiljem uuesti.

  LahendusMS16-101 on uuesti välja antud probleemi lahendamiseks. Installige selle väljaande värskenduste uusim versioon selle probleemi lahendamiseks.

• Teadaolev probleem 3 Me teame probleemi, mille programmemaatiline lähtestab kohaliku kasutajakonto parooli muudatused võivad nurjuda ja STATUS_DOWNGRADE_DETECTED (0x800704F1) tõrkekood. Järgnev tabel näitab täielik tõrge vastendamine.

  Kuueteistkümnendsüsteemis	Kümnendarv	Sümboolne	Sõbralik
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Süsteem ei saa ühendust domeenikontrolleriga autentimiseks taotluse. Palun proovige hiljem uuesti.

  LahendusMS16-101 on uuesti välja antud probleemi lahendamiseks. Installige selle väljaande värskenduste uusim versioon selle probleemi lahendamiseks.

• Teadaolev probleem 4 Blokeeritud ja lukustatud kasutajakontode paroole ei saa muuta, kasutades Negotiate pakett. Parooli muutmine keelatud ja lukustatud-out kontod endiselt töötab, kui kasutate muid meetodeid, näiteks kasutades LDAP muuta toiming otse. Näiteks PowerShelli cmdlet -käsu Set-ADAccountPassword kasutab "LDAP muuta" toiming parooli muutmiseks ja jääb muutmata. Vastukaal Need kontod nõuavad administraatori parooli lähtestab. Selline käitumine on loodud pärast installimist MS16-101 ja uuemad parandused.

• Teadaolev probleem 5 Rakendused, mis kasutavad Netuserchangepassword API ja mis edasi serveri nimi domeeninimi parameeter ei tööta enam pärast MS16-101 ja uuemad värskendused on installitud. Microsofti dokumentatsiooni teatab, et kaugserveri nime andmine Netuserchangepassword funktsiooni domeeninimi parameeter on toetatud. Näiteks Netuserchangepassword funktsiooni MSDN-i teema ütleb järgmist: domeeninimi [in]

  Kursor konstantse stringi, mis määrab DNS-i või NetBIOS-nime Remote server või domeeni, kus funktsioon on käivitada. Kui see parameeter on NULL, kasutatakse helistaja sisselogimise Domeen.Kuid need juhised on asendatud MS16-101, kui parooli lähtestamine on kohaliku konto kohalikus arvutis. Pärast MS16-101, et domeeni kasutaja parooli muudatuste töö, peate läbima kehtiv DNS-i domeeninimi NetUserChangePassword API.

• Teadaolev probleem 6 Pärast selle turvavärskenduse installimist ja seejärel printida mitu dokumenti järjest, kaks esimest dokumenti printida edukalt, kuid kolmanda ja järgnevate dokumentide võib printida. Selle probleemi lahendamiseks tehke ühte järgmistest:

  • Installige värskendus 3187022. Lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:

    3187022 printimise funktsioon on katki pärast seda, kui mõni MS16-098 turvavärskendused on installitud

  • Installige värskendus 3186987 Microsofti värskenduste kataloogist veebisaidilt.

  See probleem on lahendatud ka Microsofti TURVABÜLLETÄÄN MS16-106.

• Teadaolev probleem 7 Pärast installimist turvavärskendused, mida on kirjeldatud MS16-101, Remote, programmiline muudatused kohaliku kasutajakonto parooli ja parooli muudatused üle ebausaldusväärne metsa ei õnnestu. See toiming nurjub, kuna toiming sõltub NTLM-i Fall-Back, mis ei toeta enam mittekohalikku kontod pärast MS16-101 on installitud. Registrikirje on ette nähtud, et saate keelata selle muudatuse. Hoiatus see lahendus võib muuta arvuti või võrgu haavatavamaks pahatahtlike kasutajate või pahatahtliku tarkvara, näiteks viiruste ründama. Me ei soovita seda lahendust, kuid pakuvad seda teavet nii, et saate rakendada seda lahendust oma äranägemisel. Kasutage seda lahendust omal vastutusel. Olulinesee jaotis, meetod või toiming sisaldab etappe, mis ütlevad teile, kuidas registrit muuta. Siiski võib tekkida tõsiseid probleeme, kui muudate registrit valesti. Seetõttu veenduge, et järgige neid samme hoolikalt. Lisatud kaitse, varundage register enne selle muutmist. Seejärel saate registri taastada, kui probleem ilmneb. Kuidas varundada ja taastada registrit kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:

  322756 , mis on Kuidas varundada ja taastada Windowsi registritSelle muudatuse keelamiseks seadke NegoAllowNtlmPwdChangeFallback DWORD-kirje kasutada väärtust 1 (üks). Tähtis Sätte NegoAllowNtlmPwdChangeFallback registrikirje väärtuseks 1 keelab selle Security FIX:

  Registri väärtus	Kirjeldus
  0	Vaikeväärtus. Fall on takistatud.
  1	Varuback on alati lubatud. Turbeparandus on välja lülitatud. Kliendid, kellel on probleeme Remote kohaliku konto või ebausaldusväärne metsa stsenaariumid saab määrata selle väärtuse register.

  Nende registriväärtuste lisamiseks toimige järgmiselt.

  1. Klõpsake nuppu Start, käsku Käivita, tippige väljale Avakäsk regedit ja klõpsake OK.

  2. Leidke ja klõpsake registrist järgmine alamvõti:

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

  3. Menüü Redigeeri käsku Uusjaklõpsake DWORD-väärtus.

  4. Tippige NegoAllowNtlmPwdChangeFallback nimeks DWORD-i ja seejärel vajutage sisestusklahvi ENTER.

  5. Paremklõpsake NegoAllowNtlmPwdChangeFallbackseejärel klõpsake nuppu muuta.

  6. Väljale Value data tippige 1 selle muudatuse keelamiseks ja seejärel klõpsake nuppu OK. Märkus Vaikeväärtuse taastamiseks tippige 0 (null) ja seejärel klõpsake nuppu OK.

  Staatusega Selle probleemi algpõhjus on arusaadav. Seda artiklit värskendatakse täiendavate üksikasjadega, kui need kättesaadavaks muutuvad.

1. meetod: Windows Update

See värskendus laaditakse alla ja installitakse automaatselt.

2. meetod: Microsofti värskenduste kataloogist

Selle värskenduse eraldiseisva paketi saamiseks minge veebisaidile Microsofti värskenduste kataloogist .

Eeltingimused

Selle värskenduse installimiseks pole eeltingimusi.

Taaskäivitage teave

Pärast selle värskenduse rakendamist peate arvuti taaskäivitama.

Uuenda asendusteavet

See värskendus asendab varem välja antud värskenduse 3163912.