MS16-101: Windowsi autentimise meetodite turbevärskenduse kirjeldus: 9. august 2016

Kokkuvõte

Selle turvavärskenduse lahendab Microsoft Windowsi mitu haavatavust. Haavatavused võivad lubada õiguste tõstmist, kui ründaja käitab domeeniga ühendatud süsteemis spetsiaalselt formuleeritud rakendust.

Haavatavuse kohta leiate lisateavet teemast Microsofti TURVABÜLLETÄÄN MS16 – 101.

Lisateave

NB!

• Windows 8,1 ja Windows Server 2012 R2 kõik tulevased turbe-ja turbega mitteseotud värskendused peavad olema installitud Update 2919355 . Soovitame installida Windows 8,1 või Windows Server 2012 R2 põhises arvutis värskenduse 2919355 , et tulevikus värskendusi vastu võtta.

• Kui installite keelepaketi pärast selle värskenduse installimist, peate selle värskenduse uuesti installima. Seetõttu soovitame teil enne selle värskenduse installimist installida kõik vajalikud keelepaketid. Lisateavet leiate teemast keelepakettide lisamine Windowsile.
  

Teadaolevad probleemid selle turvavärskenduse korral

• Teadaolev probleem 1
  
  turvavärskendused, mis on toodud punktis MS16-101 ja uuemates versioonides, keelavad läbirääkimiste protsessil naasta NTLM-i, kui Kerberose autentimine nurjub, kui parooli muutmise toimingud on STATUS_NO_LOGON_SERVERS (0xc000005e) tõrkekood. Sellisel juhul võidakse kuvada mõni järgmistest tõrkekoodidest.
  
  

  Kuueteistkümnendsüsteemis	Kümnendkohti	Sümboolse	Sõbralik
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Süsteem tuvastas võimaliku katse ohustada turvalisust. Palun veendu, et saad ühendust autentinud serveriga.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Süsteem tuvastas võimaliku katse ohustada turvalisust. Palun veendu, et saad ühendust autentinud serveriga.

  
  
  Lahendus –
  
  kui parool muutub, mis on varem õnnestunud pärast MS16-101 installimist nurjunud, on tõenäoline, et parooli muudatused on eelnevalt installitud NTLM-i varuvorm, sest Kerberose tõrge. Paroolide edukaks muutmiseks Kerberose protokollide abil tehke järgmist.
  
  
  

  1. Konfigureerige avatud suhtlus TCP-porti 464 klientide vahel, kellel on installitud MS16-101 ja mille parooli lähtestab domeenikontroller.
     
     Kirjutuskaitstud domeenikontrollerid (RODCs) saavad teenuse iseteeninduskeskuse parooli lähtestada, kui kasutajal on lubatud RODCs parooli replikatsiooni poliitika. Kasutajad, kes ei ole lubatud RODC, nõuavad võrguühendust, et kasutajakonto domeenis lugeda/kirjutada domeenikontroller (RWDC).
     
     Märkus. Kui soovite kontrollida, kas TCP port 464 on avatud, tehke järgmist.
     
     
     

     1. Looge oma võrgu monitori sõela jaoks samaväärne kuvatav filter. Näiteks:
        

        IPv4. Address = = <kliendi IP-aadress> && TCP. Port = = 464

     2. Otsige tulemites üles paneel "TCP: [SynReTransmit".
        
        

  2. Veenduge, et sihtrühma Kerberose nimed on õiged. (IP-aadressid ei sobi Kerberose protokolli jaoks. Kerberose kaudu toetatakse lühikesi nimesid ja täielikku domeeninime.)

  3. Veenduge, et teenuse põhinimed (SPN-id) on õigesti registreeritud.
     
     Lisateavet leiate teemast Kerberose ja Self-Service parooli lähtestamine.

• Teadaolev probleem 2
  
  . me teame probleemi, mille korral rakenduse programmiline parool lähtestab domeeni Kasutajakontod nurjub ja tagastab STATUS_DOWNGRADE_DETECTED (0x800704F1) tõrkekoodi, kui oodatav tõrge on üks järgmistest.
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (harva tagastatud)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  Järgmises tabelis on kujutatud täielik vigade vastendamine.
  
  

  Kuueteistkümnendsüsteemis	Kümnendkohti	Sümboolse	Sõbralik
  0x56	86	ERROR_INVALID_PASSWORD	Määratud võrgu parool pole õige.
  0x267	615	ERROR_PWD_TOO_SHORT	Antud parool on teie kasutajakonto poliitika täitmiseks liiga lühike. Esitage pikem parool.
  0xc000006a	– 1073741718	STATUS_WRONG_PASSWORD	Kui proovite parooli värskendada, näitab see tagastatava oleku korral, et praegune parool on vale.
  0xc000006c	– 1073741716	STATUS_PASSWORD_RESTRICTION	Kui proovite parooli värskendada, näitab see tagastatava oleku korral, et mõnda parooli värskendamise reeglit on rikutud. Näiteks parool ei pruugi olla vastavuses pikkuse kriteeriumidega.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Süsteem ei saa autentimise taotluse teenindamiseks võtta ühendust domeenikontrolleriga. Palun proovi hiljem uuesti.
  0xc0000388	– 1073740920	STATUS_DOWNGRADE_DETECTED	Süsteem ei saa autentimise taotluse teenindamiseks võtta ühendust domeenikontrolleriga. Palun proovi hiljem uuesti.

  
  
  Resolutsioon
  
  MS16-101 on selle probleemi lahendamiseks uuesti välja antud. Selle probleemi lahendamiseks installige selle bülletääni värskenduste uusim versioon.
  
  

• Teadaolev probleem 3
  
  me teame probleemi, mille korral ei pruugi kohaliku kasutajakonto parooli muudatused programmi lähtestada ning STATUS_DOWNGRADE_DETECTED (0x800704F1) tõrkekood tagastada.
  
  Järgmises tabelis on kujutatud täielik vigade vastendamine.
  
  

  Kuueteistkümnendsüsteemis	Kümnendkohti	Sümboolse	Sõbralik
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Süsteem ei saa autentimise taotluse teenindamiseks võtta ühendust domeenikontrolleriga. Palun proovi hiljem uuesti.

  
  
  Resolutsioon
  
  MS16-101 on selle probleemi lahendamiseks uuesti välja antud. Selle probleemi lahendamiseks installige selle bülletääni värskenduste uusim versioon.
  
  

• Teadaolevad probleemid 4
  
  paroolid keelatud ja lukustatud kasutajate kontode jaoks ei saa läbirääkimiste paketi abil muuta.
  
  Keelatud ja lukustatud kontode parooli muudatused toimivad ka siis, kui kasutate muid meetodeid (nt LDAP-i muutmise toimingu kasutamine otse). Näiteks PowerShelli cmdlet-käsk Set-ADAccountPassword kasutab parooli muutmiseks "LDAP-i muutmise" toimingut ja jääb muutumatuks.
  
  
  
  Nende kontode vastukaaluks peab parool lähtestama administraator. Selline käitumine on kujundatud pärast seda, kui olete installinud MS16-101 ja uuemad parandused.
  
  

• Teadaolevad probleemid 5
  
  rakendused, mis kasutavad NetUserChangePassword API-d ja mis edastavad domeeninimi olevat serverinimi, ei tööta enam pärast MS16-101 ja uuemate värskenduste installimist.
  
  Microsoft dokumentatsioonist on näha, et NetUserChangePassword funktsiooni domeeninimi parameeter serveri nimi on toetatud. Näiteks NetUserChangePassword funktsioon MSDN-i teema sätestab järgmist:
  
  domeeninimi [sees]
  

  Kursorit püsivale stringile, mis määrab serveri või domeeni DNS-i või NetBIOS-i nime, millele funktsioon on käivitatav. Kui see parameeter on NULLVÄÄRTUSEGA, kasutatakse helistaja domeeni sisselogimist. Siiski on need juhised asendatud MS16-101-ga, välja arvatud juhul, kui parooli lähtestamine on kohalikus arvutis kohaliku konto jaoks. Kui soovite, et domeeni kasutaja parool töötaks, peate NetUserChangePassword API-ga edastama kehtiva DNS-i domeeninime.

• Teadaolev probleem 6 pärast seda, kui
  
  olete installinud turvavärskendused, mida on kirjeldatud jaotises MS16 – 101, kohaliku kasutajakonto parooli Remote, programmilised muudatused ja parooli muudatused ebausaldusväärses metsas.
  
  
  See toiming nurjub, kuna toiming sõltub NTLM-i tagasilangusest, mida ei toetata enam kohalike kontode puhul pärast MS16-101 installimist.
  
  
  Registrikirje on esitatud, mille abil saate selle muudatuse keelata.
  
  Hoiatus See lahendus võib muuta arvuti või võrgu kaitsetumaks pahatahtlike kasutajate või ründetarkvara (nt viiruste) rünnakute eest. Me ei soovita seda lahendust, vaid edastame seda teavet, et saaksite seda lahendust oma äranägemisel rakendada. Kasutage seda lahendust omal riisikol.
  
  ImportantThis jaotis, meetod või ülesanne sisaldab juhiseid, mis õpetavad registrit muutma. Registri ekslik muutmine võib aga põhjustada tõsiseid probleeme. Seetõttu järgige tingimata hoolikalt juhiseid. Lisakaitseks varundage register enne selle muutmist. Siis saate probleemide ilmnemisel registri taastada. Registri varundamise ja taastamise kohta lisateabe saamiseks klõpsake Microsofti teabebaasi asjakohase artikli kuvamiseks järgmist artiklinumbrit.

  322756Windowsi registri varundamine ja taastamine
  
  selle muudatuse keelamiseks seadke NegoAllowNtlmPwdChangeFallback DWORD-kirje väärtuseks 1 (üks).
  
  
  Oluline säte NegoAllowNtlmPwdChangeFallback registrikirje väärtuseks 1 keelab selle turvalisuse paranduse.
  

  Registriväärtus	Kirjeldus
  0	Vaikeväärtus. Varuvorm on takistatud.
  1	Varuvorm on alati lubatud. Turvalisuse parandus on välja lülitatud. Kliendid, kellel on probleeme Kaug-kohaliku kontoga või ebausaldusväärsete metsade stsenaariumid, saavad selle väärtuse registrisse määrata.

  Nende registri väärtuste lisamiseks tehke järgmist.
  

  1. Klõpsake nuppu Start, klõpsake käsku Käivita, tippige väljale Ava käsk regedit ja seejärel klõpsake nuppu OK.

  2. Otsige üles järgmine registri alamvõti ja klõpsake seda:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. Osutage menüüs Redigeeri käsule Uusja klõpsake siis käsku DWORD Value.

  4. Tippige DWORD-nime NegoAllowNtlmPwdChangeFallback ja seejärel vajutage sisestusklahvi (ENTER).

  5. Paremklõpsake NegoAllowNtlmPwdChangeFallbackja seejärel klõpsake käsku Modify ( Muuda).

  6. Tippige selle muudatuse keelamiseks väljale Value data (väärtuse andmed) väärtus 1 ja seejärel klõpsake nuppu OK.
     
     
     Märkus vaikeväärtuse taastamiseks tippige 0 (null) ja seejärel klõpsake nuppu OK.

  
  
  Selle probleemi algpõhjus on arusaadav. Seda artiklit värskendatakse täiendavate üksikasjadega, kui need muutuvad kättesaadavaks.

Värskenduse hankimine ja installimine

1. meetod: Windows Update

See värskendus on saadaval Windows Update ' i kaudu. Kui lülitate automaatse värskendamise, laaditakse see värskendus alla ja installitakse automaatselt. Lisateavet automaatvärskenduste sisselülitamise kohta leiate teemast
turvavärskenduste automaatne hankimine.

Meetod 2: Microsoft Update ' i kataloog

Selle värskenduse eraldiseisva paketi saamiseks minge Microsofti värskenduste kataloogi veebisaidile.

Lisateave

Teave failiteave