Oluline see artikkel sisaldab teavet, mis näitab, kuidas vähendada turvasätteid või kuidas arvuti turvaelemente välja lülitada. Saate teha need muudatused konkreetse probleemi lahendamiseks. Enne nende muudatuste tegemist soovitame teil hinnata ohte, mis on seotud selle vastukaalu rakendamisega teie konkreetses keskkonnas. Kui rakendate selle lahenduse, võtke arvuti kaitsmiseks vajalikud meetmed.
Kokkuvõte
Selle turvavärskenduse lahendab Microsoft Windowsi mitu haavatavust. Haavatavused võivad lubada õiguste tõstmist, kui ründaja käitab domeeniga ühendatud süsteemis spetsiaalselt formuleeritud rakendust.
Haavatavuse kohta leiate lisateavet teemast Microsofti TURVABÜLLETÄÄN MS16 – 101.
Lisateave
Oluline
-
Windows 8,1 ja Windows Server 2012 R2 kõik tulevased turbe-ja turbega mitteseotud värskendused peavad olema installitud Update 2919355 . Soovitame installida Windows 8,1 või Windows Server 2012 R2 põhises arvutis värskenduse 2919355 , et tulevikus värskendusi vastu võtta.
-
Kui installite keelepaketi pärast selle värskenduse installimist, peate selle värskenduse uuesti installima. Seetõttu soovitame teil enne selle värskenduse installimist installida kõik vajalikud keelepaketid. Lisateavet leiate teemast keelepakettide lisamine Windowsile.
Selle turvavärskenduse lahendab ka järgmised turbega mitteseotud probleemid.
-
Domeeniga liidetud skaala välja failiserveri (SoFS) domeenita klastris, kui SMB klient, kus töötab kas Windows 8,1 või Windows Server 2012 R2 loob ühenduse sõlme, autentimine nurjub. Selle probleemi ilmnemisel võidakse kuvada tõrketeade, mis sarnaneb järgmise teatega:
STATUS_NO_TGT_REPLY
Täiendav teave selle turvavärskenduse kohta
Järgmised artiklid sisaldavad lisateavet selle turvavärskenduse kohta, mis on seotud üksikute toodete versioonidega. Artiklid võivad sisaldada teadaolevat probleemi teavet.
-
3177108 MS16-101: Windowsi autentimise meetodite turbevärskenduse kirjeldus: 9. august 2016
-
3167679 MS16-101: Windowsi autentimise meetodite turbevärskenduse kirjeldus: 9. august 2016
-
3192392 Oktoobri 2016 turbe ainult Windows 8,1 ja Windows Server 2012 R2 kvaliteedi värskendus
-
3185331 Oktoober 2016 turbe igakuine värskenduskomplekt Windows 8,1 ja Windows Server 2012 R2 jaoks
-
3192393 Oktoobril 2016 turbe ainult kvaliteedi värskendus Windows Server 2012
-
3185332 Oktoober 2016 turvalisuse igakuine värskenduskomplekt Windows Server 2012
-
3192391 Oktoobril 2016 ainult Windows 7 SP1 ja Windows Server 2008 R2 hoolduspaketi SP1 kvaliteedi värskendus
-
3185330 Oktoober 2016 turbe igakuine värskenduskomplekt Windows 7 SP1 ja Windows Server 2008 R2 hoolduspaketi SP1 jaoks
-
3192440 Windows 10 koondvärskenduses: 11 oktoober 2016
-
3194798 Windows 10 versiooni 1607 ja Windows Server 2016 koondvärskenduses: 11 oktoober 2016
-
3192441 Windows 10 versiooni 1511 koondvärskenduses: 11 oktoober 2016
Turvavärskendused, mis on replacedThe järgmised turvavärskendused on asendatud:
-
3176492 Windows 10 koondvärskenduses: 9. august 2016
-
3176493 Windows 10 versioon 1511 koondvärskenduses: 9. august 2016
-
3176495 Windows 10 versioon 1607 koondvärskenduses: 9. august 2016
Järgmised on uued turvavärskendused, kes asendavad varem mainitud turvavärskendusi.
-
3192440 Windows 10 koondvärskenduses: 11 oktoober 2016
-
3194798 Windows 10 versiooni 1607 ja Windows Server 2016 koondvärskenduses: 11 oktoober 2016
-
3192441 Windows 10 versiooni 1511 koondvärskenduses: 11 oktoober 2016
Teadaolevad probleemid selle turvavärskenduse korral
-
Teadaolev probleem 1
turvavärskendused, mis on toodud punktis MS16-101 ja uuemates versioonides, keelavad läbirääkimiste protsessil naasta NTLM-i, kui Kerberose autentimine nurjub, kui parooli muutmise toimingud on STATUS_NO_LOGON_SERVERS (0xc000005e) tõrkekood. Sellisel juhul võidakse kuvada mõni järgmistest tõrkekoodidest.Kuueteistkümnendsüsteemis
Kümnendkohti
Sümboolse
Sõbralik
0xc0000388
1073740920
STATUS_DOWNGRADE_DETECTED
Süsteem tuvastas võimaliku katse ohustada turvalisust. Palun veendu, et saad ühendust autentinud serveriga.
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
Süsteem tuvastas võimaliku katse ohustada turvalisust. Palun veendu, et saad ühendust autentinud serveriga.
Lahendus –
kui parool muutub, mis on varem õnnestunud pärast MS16-101 installimist nurjunud, on tõenäoline, et parooli muudatused on eelnevalt installitud NTLM-i varuvorm, sest Kerberose tõrge. Paroolide edukaks muutmiseks Kerberose protokollide abil tehke järgmist.-
Konfigureerige avatud suhtlus TCP-porti 464 klientide vahel, kellel on installitud MS16-101 ja mille parooli lähtestab domeenikontroller.
Kirjutuskaitstud domeenikontrollerid (RODCs) saavad teenuse iseteeninduskeskuse parooli lähtestada, kui kasutajal on lubatud RODCs parooli replikatsiooni poliitika. Kasutajad, kes ei ole lubatud RODC, nõuavad võrguühendust, et kasutajakonto domeenis lugeda/kirjutada domeenikontroller (RWDC).
Märkus. Kui soovite kontrollida, kas TCP port 464 on avatud, tehke järgmist.-
Looge oma võrgu monitori sõela jaoks samaväärne kuvatav filter. Näiteks:
IPv4. Address = = <kliendi IP-aadress> && TCP. Port = = 464
-
Otsige tulemites üles paneel "TCP: [SynReTransmit".
-
-
Veenduge, et sihtrühma Kerberose nimed on õiged. (IP-aadressid ei sobi Kerberose protokolli jaoks. Kerberose kaudu toetatakse lühikesi nimesid ja täielikku domeeninime.)
-
Veenduge, et teenuse põhinimed (SPN-id) on õigesti registreeritud.
Lisateavet leiate teemast Kerberose ja Self-Service parooli lähtestamine.
-
-
Teadaolev probleem 2
. me teame probleemi, mille korral rakenduse programmiline parool lähtestab domeeni Kasutajakontod nurjub ja tagastab STATUS_DOWNGRADE_DETECTED (0x800704F1) tõrkekoodi, kui oodatav tõrge on üks järgmistest.-
ERROR_INVALID_PASSWORD
-
ERROR_PWD_TOO_SHORT (harva tagastatud)
-
STATUS_WRONG_PASSWORD
-
STATUS_PASSWORD_RESTRICTION
Järgmises tabelis on kujutatud täielik vigade vastendamine.Kuueteistkümnendsüsteemis
Kümnendkohti
Sümboolse
Sõbralik
0x56
86
ERROR_INVALID_PASSWORD
Määratud võrgu parool pole õige.
0x267
615
ERROR_PWD_TOO_SHORT
Antud parool on teie kasutajakonto poliitika täitmiseks liiga lühike. Esitage pikem parool.
0xc000006a
– 1073741718
STATUS_WRONG_PASSWORD
Kui proovite parooli värskendada, näitab see tagastatava oleku korral, et praegune parool on vale.
0xc000006c
– 1073741716
STATUS_PASSWORD_RESTRICTION
Kui proovite parooli värskendada, näitab see tagastatava oleku korral, et mõnda parooli värskendamise reeglit on rikutud. Näiteks parool ei pruugi olla vastavuses pikkuse kriteeriumidega.
0x800704F1
1265
STATUS_DOWNGRADE_DETECTED
Süsteem ei saa autentimise taotluse teenindamiseks võtta ühendust domeenikontrolleriga. Palun proovi hiljem uuesti.
0xc0000388
– 1073740920
STATUS_DOWNGRADE_DETECTED
Süsteem ei saa autentimise taotluse teenindamiseks võtta ühendust domeenikontrolleriga. Palun proovi hiljem uuesti.
Resolutsioon
MS16-101 on selle probleemi lahendamiseks uuesti välja antud. Selle probleemi lahendamiseks installige selle bülletääni värskenduste uusim versioon. -
-
Teadaolev probleem 3
me teame probleemi, mille korral ei pruugi kohaliku kasutajakonto parooli muudatused programmi lähtestada ning STATUS_DOWNGRADE_DETECTED (0x800704F1) tõrkekood tagastada.
Järgmises tabelis on kujutatud täielik vigade vastendamine.Kuueteistkümnendsüsteemis
Kümnendkohti
Sümboolse
Sõbralik
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
Süsteem ei saa autentimise taotluse teenindamiseks võtta ühendust domeenikontrolleriga. Palun proovi hiljem uuesti.
Resolutsioon
MS16-101 on selle probleemi lahendamiseks uuesti välja antud. Selle probleemi lahendamiseks installige selle bülletääni värskenduste uusim versioon. -
Teadaolevad probleemid 4
paroolid keelatud ja lukustatud kasutajate kontode jaoks ei saa läbirääkimiste paketi abil muuta.
Keelatud ja lukustatud kontode parooli muudatused toimivad ka siis, kui kasutate muid meetodeid (nt LDAP-i muutmise toimingu kasutamine otse). Näiteks PowerShelli cmdlet-käsk Set-ADAccountPassword kasutab parooli muutmiseks "LDAP-i muutmise" toimingut ja jääb muutumatuks.
Nende kontode vastukaaluks peab parool lähtestama administraator. Selline käitumine on kujundatud pärast seda, kui olete installinud MS16-101 ja uuemad parandused. -
Teadaolevad probleemid 5
rakendused, mis kasutavad NetUserChangePassword API-d ja mis edastavad domeeninimi olevat serverinimi, ei tööta enam pärast MS16-101 ja uuemate värskenduste installimist.
Microsoft dokumentatsioonist on näha, et NetUserChangePassword funktsiooni domeeninimi parameeter serveri nimi on toetatud. Näiteks NetUserChangePassword funktsioon MSDN-i teema sätestab järgmist:
domeeninimi [sees]Kursorit püsivale stringile, mis määrab serveri või domeeni DNS-i või NetBIOS-i nime, millele funktsioon on käivitatav. Kui see parameeter on NULLVÄÄRTUSEGA, kasutatakse helistaja domeeni sisselogimist. Oleku
see juhend on asendatud MS16-101-ga, välja arvatud juhul, kui parooli lähtestamine on kohalikus arvutis kohaliku konto jaoks.
Kui soovite, et domeeni kasutaja parool töötaks, peate NetUserChangePassword API-ga edastama kehtiva DNS-i domeeninime. -
Teadaolev probleem 6 pärast seda, kui
olete installinud turvavärskendused, mida on kirjeldatud jaotises MS16 – 101, kohaliku kasutajakonto parooli Remote, programmilised muudatused ja parooli muudatused ebausaldusväärses metsas.
See toiming nurjub, kuna toiming sõltub NTLM-i tagasilangusest, mida ei toetata enam kohalike kontode puhul pärast MS16-101 installimist.
Registrikirje on esitatud, mille abil saate selle muudatuse keelata.
Hoiatus See lahendus võib muuta arvuti või võrgu kaitsetumaks pahatahtlike kasutajate või ründetarkvara (nt viiruste) rünnakute eest. Me ei soovita seda lahendust, vaid edastame seda teavet, et saaksite seda lahendust oma äranägemisel rakendada. Kasutage seda lahendust omal riisikol.
ImportantThis jaotis, meetod või ülesanne sisaldab juhiseid, mis õpetavad registrit muutma. Registri ekslik muutmine võib aga põhjustada tõsiseid probleeme. Seetõttu järgige tingimata hoolikalt juhiseid. Lisakaitseks varundage register enne selle muutmist. Siis saate probleemide ilmnemisel registri taastada. Registri varundamise ja taastamise kohta lisateabe saamiseks klõpsake Microsofti teabebaasi asjakohase artikli kuvamiseks järgmist artiklinumbrit.322756Windowsi registri varundamine ja taastamine
selle muudatuse keelamiseks seadke NegoAllowNtlmPwdChangeFallback DWORD-kirje väärtuseks 1 (üks).
Oluline säte NegoAllowNtlmPwdChangeFallback registrikirje väärtuseks 1 keelab selle turvalisuse paranduse.Registriväärtus
Kirjeldus
0
Vaikeväärtus. Varuvorm on takistatud.
1
Varuvorm on alati lubatud. Turvalisuse parandus on välja lülitatud. Kliendid, kellel on probleeme Kaug-kohaliku kontoga või ebausaldusväärsete metsade stsenaariumid, saavad selle väärtuse registrisse määrata.
Nende registri väärtuste lisamiseks tehke järgmist.
-
Klõpsake nuppu Start, klõpsake käsku Käivita, tippige väljale Ava käsk regedit ja seejärel klõpsake nuppu OK.
-
Otsige üles järgmine registri alamvõti ja klõpsake seda:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
-
Osutage menüüs Redigeeri käsule Uusja klõpsake siis käsku DWORD Value.
-
Tippige DWORD-nime NegoAllowNtlmPwdChangeFallback ja seejärel vajutage sisestusklahvi (ENTER).
-
Paremklõpsake NegoAllowNtlmPwdChangeFallbackja seejärel klõpsake käsku Modify ( Muuda).
-
Tippige selle muudatuse keelamiseks väljale Value data (väärtuse andmed) väärtus 1 ja seejärel klõpsake nuppu OK.
Märkus vaikeväärtuse taastamiseks tippige 0 (null) ja seejärel klõpsake nuppu OK.
Selle probleemi algpõhjus on arusaadav. Seda artiklit värskendatakse täiendavate üksikasjadega, kui need muutuvad kättesaadavaks. -
Värskenduse hankimine ja installimine
1. meetod: Windows Update
See värskendus on saadaval Windows Update ' i kaudu. Kui lülitate automaatse värskendamise, laaditakse see värskendus alla ja installitakse automaatselt. Lisateavet automaatvärskenduste sisselülitamise kohta leiate teemast
turvavärskenduste automaatne hankimine.
Meetod 2: Microsoft Update ' i kataloog
Selle värskenduse eraldiseisva paketi saamiseks minge Microsofti värskenduste kataloogi veebisaidile.
Saate hankida autonoomse värskenduspaketi Microsoft Download Center kaudu. Värskenduse installimiseks järgige allalaadimise lehel olevaid installijuhiseid.
Klõpsake linki allalaadimine Microsofti TURVABÜLLETÄÄN MS16-101 , mis vastab teie Windowsi versioonile.
Lisateave
Windows Vista (kõik versioonid) viidete tabel
Järgmine tabel sisaldab selle tarkvara turvavärskenduse teavet.
Turbe värskendamise failinimed |
Kõigi toetatud Windows Vista 32-bitiste versioonide korral: |
Kõigi Windows Vista x64-põhiste toetatud versioonide korral: |
|
Installi lülitid |
|
Taaskäivitamise nõue |
Pärast selle turvavärskenduse rakendamist peate süsteemi taaskäivitama. |
Eemaldamise teave |
WUSA.exe ei toeta värskenduste desinstallimist. WUSA installitud värskenduse desinstallimiseks klõpsake nuppu Juhtpaneel jaseejärel nuppu Turve. Klõpsake jaotises Windows Update nuppu Kuva installitud värskendusedja seejärel valige värskenduste loendist. |
Teave failiteave |
|
Registri võtme kinnitus |
MärkusSee värskendus ei lisa registri võtit selle kohaloleku kinnitamiseks. |
Windows Server 2008 (kõik versioonid) viide tabel
sisaldab selle tarkvara turvavärskenduse teavet.
Turbe värskendamise failinimed |
Kõigi Windows Server 2008 toetatud 32-bitiste versioonide korral: |
Kõigi Windows Server 2008 x64-põhiste toetatud versioonide korral: |
|
Kõigi Windows Server 2008 Itaniumi-põhiste toetatud versioonide korral: |
|
Installi lülitid |
|
Taaskäivitamise nõue |
Pärast selle turvavärskenduse rakendamist peate süsteemi taaskäivitama. |
Eemaldamise teave |
WUSA.exe ei toeta värskenduste desinstallimist. WUSA installitud värskenduse desinstallimiseks klõpsake nuppu Juhtpaneel jaseejärel nuppu Turve. Klõpsake jaotises Windows Update nuppu Kuva installitud värskendusedja seejärel valige värskenduste loendist. |
Teave failiteave |
Windows 7 (kõik versioonid) viidete tabel
Järgmine tabel sisaldab selle tarkvara turvavärskenduse teavet.
Turbe värskendamise failinimi |
Kõigi Windows 7 toetatud 32-bitiste versioonide korral: |
Kõigi Windows 7 toetatud 32-bitiste versioonide |
|
Kõigi Windows 7 x64-põhiste toetatud versioonide korral: |
|
Kõigi Windows 7 x64-põhiste toetatud versioonide korral: |
|
Installi lülitid |
|
Taaskäivitamise nõue |
Pärast selle turvavärskenduse rakendamist peate süsteemi taaskäivitama. |
Eemaldamise teave |
WUSA installitud värskenduse desinstallimiseks kasutage/Uninstall häälestust või klõpsake nuppu Juhtpaneel, valigesüsteem ja turve. Klõpsake jaotises Windows Updatenuppu Kuva installitud värskendusedja seejärel valige värskenduste loendist. |
Teave failiteave |
Lugege Microsofti teabebaasi artiklit 3192391 |
Registri võtme kinnitus |
Märkus See värskendus ei lisa registri võtit selle installi kinnitamiseks. |
Windows Server 2008 R2 (kõik versioonid) viidete tabel
sisaldab selle tarkvara turvavärskenduse teavet.
Turbe värskendamise failinimi |
Kõigi Windows Server 2008 R2 x64-põhiste toetatud versioonide korral: |
Kõigi toetatud Windows Server 2008 R2 x64-põhiste versioonide korral: |
|
Kõigi Windows Server 2008 R2 Itaniumi-põhiste toetatud versioonide korral: |
|
Kõigi Windows Server 2008 R2 Itaniumi-põhiste toetatud versioonide korral: |
|
Installi lülitid |
|
Taaskäivitamise nõue |
Pärast selle turvavärskenduse rakendamist on vaja süsteemi taaskäivitada. |
Eemaldamise teave |
WUSA installitud värskenduse desinstallimiseks kasutage/Uninstall häälestust või klõpsake nuppu Juhtpaneel, valige süsteem ja turve ning seejärel klõpsake jaotises Windows Update nuppu Kuva installitud värskendused ja valige värskenduste loendist. |
Teave failiteave |
Lugege Microsofti teabebaasi artiklit 3192391 |
Registri võtme kinnitus |
Märkus. registrivõtit pole olemas, et kinnitada selle värskenduse olemasolu. |
Windows 8,1 (kõik versioonid) tabel
Järgmine tabel sisaldab selle tarkvara turvavärskenduse teavet.
Turbe värskendamise failinimi |
Kõigi Windows 8,1 toetatud 32-bitiste versioonide korral: |
Kõigi Windows 8,1 toetatud 32-bitiste versioonide korral: |
|
Kõigi Windows 8,1 x64-põhiste toetatud versioonide korral: |
|
Kõigi Windows 8,1 x64-põhiste toetatud versioonide korral: |
|
Installi lülitid |
|
Taaskäivitamise nõue |
Pärast selle turvavärskenduse rakendamist peate süsteemi taaskäivitama. |
Eemaldamise teave |
WUSA installitud värskenduse desinstallimiseks kasutage/Uninstall häälestust või klõpsake nuppu Juhtpaneel,seejärel valikut süsteem ja turvening seejärel käsku Windows Update. Klõpsake jaotises Vt ka käsku installitud värskendused ja seejärel valige värskenduste loendist. |
Teave failiteave |
Lugege Microsofti teabebaasi artiklit 3192392 |
Registri võtme kinnitus |
Märkus See värskendus ei lisa registri võtit selle installi kinnitamiseks. |
Windows Server 2012 ja Windows Server 2012 R2 (kõik versioonid) tabeli viidete tabel
sisaldab selle tarkvara turvavärskenduse teavet.
Turbe värskendamise failinimi |
Kõigi Windows Server 2012 toetatud versioonide korral: |
Kõigi Windows Server 2012 toetatud versioonide korral: |
|
Kõigi Windows Server 2012 R2 toetatud versioonide korral: |
|
Kõigi Windows Server 2012 R2 toetatud versioonide korral: |
|
Installi lülitid |
|
Taaskäivitamise nõue |
Pärast selle turvavärskenduse rakendamist on vaja süsteemi taaskäivitada. |
Eemaldamise teave |
WUSA installitud värskenduse desinstallimiseks kasutage/Uninstall häälestust või klõpsake nuppu Juhtpaneel, valige süsteem ja turve, klõpsake nuppu Windows Update ja seejärel klõpsake jaotises Vt ka käsku installitud värskendused ja valige värskenduste loendist. |
Teave failiteave |
Lugege Microsofti teabebaasi artiklit 3192393 |
Registri võtme kinnitus |
Märkus. registrivõtit pole olemas, et kinnitada selle värskenduse olemasolu. |
Windows 10 (kõik versioonid) viidete tabel
Järgmine tabel sisaldab selle tarkvara turvavärskenduse teavet.
Turbe värskendamise failinimi |
Kõik toetatud Windows 10 32-bitised väljaanded: |
Kõigi Windows 10 x64-põhiste toetatud versioonide korral: |
|
Kõigi toetatud Windows 10 versiooni 1511 32-bitised versioonid: |
|
Kõik toetatud Windows 10 x64-põhiste versioonide 1511: |
|
Kõigi toetatud Windows 10 versiooni 1607 32-bitised versioonid: |
|
Kõik toetatud Windows 10 x64-põhiste versioonide 1607: |
|
Installi lülitid |
|
Taaskäivitamise nõue |
Pärast selle turvavärskenduse rakendamist peate süsteemi taaskäivitama. |
Eemaldamise teave |
WUSA installitud värskenduse desinstallimiseks kasutage/Uninstall häälestust või klõpsake nuppu Juhtpaneel,seejärel valikut süsteem ja turvening seejärel käsku Windows Update. Klõpsake jaotises Vt ka käsku installitud värskendused ja seejärel valige värskenduste loendist. |
Teave failiteave |
Lugege Microsofti teabebaasi artiklit 3192440Microsofti teabebaasi artikli 3192441 leiate Microsofti |
Registri võtme kinnitus |
Märkus See värskendus ei lisa registri võtit selle installi kinnitamiseks. |
Värskenduste installimise spikker: Microsoft Update ' i tugiteenused
IT-spetsialistidele: TechNeti turvalisuse tõrkeotsing ja tugi
Windowsi-põhise arvuti kaitsmiseks viiruste ja ründevara eest: Virus Solution ja Turvakeskus
kohalik tugi vastavalt teie riigile: Rahvusvaheline tugi