Windows 10 versiooni 1511 koondvärskenduse: 9 August 2016

Selle turbevärskenduse teadaolevad probleemid

• Teadaolev probleem 1
  
  MS16-101 antud turvavärskendused ja uuemad värskendused keelata Negotiate protsessi langeb tagasi NTLM Kerberose autentimine nurjub parooli muutmine operatsioonide STATUS_NO_LOGON_SERVERS (0xc000005e) tõrkekood. Sellisel juhul võidakse kuvada üks järgmistest tõrkekoodidest.
  
  

  Kuueteistkümnendsüsteemis	Kümnendsüsteemis	Sümboolne	Sõbralik
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Süsteem avastas võimaliku katse ohustada turvalisust. Palun veenduge, et olete autenditud server pöörduda.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Süsteem avastas võimaliku katse ohustada turvalisust. Palun veenduge, et olete autenditud server pöörduda.

  
  
  Lahendus
  
  Kui parooli muudatusi, mis varem õnnestus nurjumise pärast installi MS16-101, on tõenäoline, et parooli muutmise olid varem tuginedes NTLM Fall Kuna Kerberose oli puudumisel. Selleks, et muuta paroole edukalt Kerberose protokollide abil, toimige järgmiselt.
  
  
  

  1. Konfigureerige avatud TCP-pordi 464 klientidele, mis on installitud MS16-101 ja domeenikontroller, mis on teeninduse parooli lähtestab.
     
     Kirjutuskaitstud domeenikontrollerid (RODCs) saate teenuse iseteeninduse parooli lähtestab, kui kasutajal on lubatud RODCs replikatsiooni paroolipoliitika. Kasutajad, kes ei ole lubatud RODC parooli poliitika nõuda võrguühenduse lugemiseks või kirjutamiseks domeenikontroller (RWDC) kasutaja konto domeenis.
     
     Märkus. Kontrollige, kas TCP pordi 464 on avatud, toimige järgmiselt.
     
     
     

     1. Looge samaväärne Kuva filtri network monitor sõela. Näiteks:
        

        ipv4.address== <ip address of client> && tcp.port==464

     2. Tulemused, otsige selle "TCP: [SynReTransmit" raam.
        
        

  2. Veenduge, et target Kerberose nimed sobivad. (IP-aadresse ei kehti Kerberose. Kerberose toetab lühikese nimed ja täielikud domeeninimed.)

  3. Veenduge, et subjektinimede (SPN-de) õigesti registreeritud.
     
     Lisateabe saamiseks vaadake Kerberose ja iseteeninduse parooli lähtestamine.

• Teadaolev probleem 2
  
  Me teame probleemi kohta, mis programmiline parooli lähtestab kontod nurjub ja tagastab tõrkekoodi STATUS_DOWNGRADE_DETECTED (0x800704F1) , kui kasutaja eeldatud tõrge on üks järgmistest:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (harva tagastatakse)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  Järgmises tabelis on täielik tõrge kaardistamine.
  
  

  Kuueteistkümnendsüsteemis	Kümnendsüsteemis	Sümboolne	Sõbralik
  0x56	86	ERROR_INVALID_PASSWORD	Määratud võrgu parool pole õige.
  0x267	615	ERROR_PWD_TOO_SHORT	Parooli, mis anti arvutitootja on liiga lühike, et teie kasutajakonto poliitikaga. Palun sisestage pikem parool.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Kui te püüate värskendada parooli, see return olek näitab, et praegune parool antud väärtus on vale.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Kui te püüate värskendada parooli, see return olek näitab, et mõned parooli värskenduse reegel on rikutud. Näiteks ei pruugi parooli pikkus kriteeriume.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Süsteem ei saa ühendust domeenikontrolleri teenuse autentimise taotluse. Palun proovige hiljem uuesti.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Süsteem ei saa ühendust domeenikontrolleri teenuse autentimise taotluse. Palun proovige hiljem uuesti.

  
  
  Lahendus
  
  MS16-101 on uuesti avaldatud selle probleemi lahendamiseks. Installige see turvabülletään selle probleemi lahendamiseks värskenduste uusim versioon.
  
  

• Teadaolev probleem 3
  
  Me teame probleemi programmiline taastab kohaliku kasutaja konto parooli muutmise võib nurjub ja tagastab tõrkekoodi STATUS_DOWNGRADE_DETECTED (0x800704F1) .
  
  Järgmises tabelis on täielik tõrge kaardistamine.
  
  

  Kuueteistkümnendsüsteemis	Kümnendsüsteemis	Sümboolne	Sõbralik
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Süsteem ei saa ühendust domeenikontrolleri teenuse autentimise taotluse. Palun proovige hiljem uuesti.

  
  
  Lahendus
  
  MS16-101 on uuesti avaldatud selle probleemi lahendamiseks. Installige see turvabülletään selle probleemi lahendamiseks värskenduste uusim versioon.
  
  

• Teadaolev probleem 4
  
  Keelatud ja lukustatud välja kasutajakontode paroole ei saa muuta negotiate pakett.
  
  
  Parooli muutmise keelatud ja lukustatud välja kontode ikkagi tööd kasutades muid meetodeid, näiteks kui mõnest LDAP abil muuta otse tööd. Näiteks PowerShelli cmdlet-käsu Set-ADAccountPassword kasutab "LDAP muuta" operation muuta parooli ja ei mõjuta.
  
  Lahendus
  
  Nende kontode nõuavad administraatori parooli lähtestab. Selline käitumine on ette nähtud pärast installimist MS16-101 ja hiljem parandusi.
  
  

• Teadaolev probleem 5
  
  Rakendused kasutavad NetUserChangePassword API ja mis edasi on serverinimi domeeninimi parameeter ei tööta enam pärast MS16-101 ja uuemad värskendused on installitud.
  
  Microsofti dokumentatsiooni kohta, pakkudes kaugserveri nimi NetUserChangePassword funktsiooni domeeninimi parameetri toetatud. Näiteks NetUserChangePassword funktsiooni MSDN-i teema sarnaneb järgmisega:
  
  domeeninimi [s]
  

  Osuti pidev string, mis määrab DNS-i või NetBIOS-i nimi serveritega või domeen, millele on funktsiooni käivitamiseks. Kui see parameeter on tühi, kasutatakse sisselogimise domeeni helistaja.Kuid juhised on asendatud MS16-101, kui parooli lähtestamise kohaliku konto kohalikus arvutis. Postituse MS16-101 domeeni kasutaja parooli muudatusi tegema, et peate läbima kehtiv DNS-i domeeninimi NetUserChangePassword API.

• Teadaolev probleem 6
  
  
  
  Pärast selle turvavärskenduse installimist ja järjest mitu dokumenti printida, kahe esimese dokumente printida edukalt. Siiski ei pruugi kolmas ja dokumente printida.
  
  Selle probleemi lahendamiseks laadige alla värskendus 3186988 Microsofti värskenduste kataloogist veebilehel.
  
  
  
  
  
  See probleem on lahendatud ka Microsofti turvabülletään MS16-106.
  
  
  
  

• Teadaolev probleem 7
  
  Pärast installimist turvalisuse värskendused, mida kirjeldatakse MS16-101, remote, programmiline muudatused kohaliku kasutajakonto parool ja parooli muutmise üle ebausaldusväärne metsa nurjuda.
  
  
  See toiming nurjub, kuna toiming sõltub NTLM varukoopiate mis ei toeta enam mittekohalikku kontode pärast installimist MS16-101.
  
  
  Registrikirje on eeldusel, et saate selle muudatuse keelata.
  
  Hoiatus See abinõu võib muuta arvuti või võrgu kaitsetumaks pahatahtlike kasutajate või pahatahtliku tarkvara, näiteks viiruste vastu. Me ei soovita seda lahendust, vaid teavitame sellest, et te saaksite seda lahendust kasutada oma enda äranägemisel. Kasutage seda abinõud omal vastutusel.
  
  NB! See sektsioon, meetod või toiming sisaldab etappe, mille käigus õpetatakse registrit muutma. Registri vale muutmine võib aga põhjustada tõsiseid probleeme. Seega veenduge, et järgite neid samme hoolikalt. Lisakaitseks varundage register enne selle muutmist. Seejärel saate probleemi ilmnemisel registri taastada. Registri varundamise ja taastamise kohta lisateabe saamiseks klõpsake Microsofti teabebaasis artikli kuvamiseks järgmist artiklinumbrit:

  322756 Kuidas varundada ja taastada Windowsi registrit
  
  See muudatus keelamiseks seadke NegoAllowNtlmPwdChangeFallback DWORD-kirjes kasutada väärtuse 1 (üks).
  
  
  NB! Registrikirje NegoAllowNtlmPwdChangeFallback sätte väärtus 1 keelab turvalisuse PARANDUS:
  

  Registriväärtus	Kirjeldus
  0	Vaikeväärtus. Fall ei saa.
  1	Fall on alati lubatud. Turvalisus lahendus on välja lülitatud. Kliendid, kellel on probleeme serveri kohaliku konto või ebausaldusväärne metsa stsenaariumid määrata see väärtus registris.

  Nende registriväärtuste lisamiseks toimige järgmiselt.
  

  1. Klõpsake nuppu Start, käsku Käivita, tippige väljale Ava käsk regedit ja klõpsake OK.

  2. Leidke ja klõpsake registrist järgmine alamvõti:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. Menüü Redigeeri käsk Uusja klõpsake DWORD-väärtus.

  4. Tüüp NegoAllowNtlmPwdChangeFallback nimeks DWORD-i ja seejärel vajutage sisestusklahvi ENTER.

  5. Paremklõpsake NegoAllowNtlmPwdChangeFallbackja seejärel klõpsake nuppu muuta.

  6. Väljale Value data tippige 1 , et keelata see muudatus ja seejärel klõpsake nuppu OK.
     
     
     Märkus. Vaikeväärtus taastamiseks tippige 0 (null) ja seejärel klõpsake nuppu OK.

  Olek
  
  Selle probleemi põhjuseks on kokku lepitud. Käesoleva artikli värskendatakse täiendavad üksikasjad, kui need on kättesaadavad.

1. meetod: Windows Update

See värskendus laaditakse alla ja installitakse automaatselt.

2. meetod: Microsofti värskenduste kataloogist

Selle värskenduse eraldiseisva paketi saamiseks minge veebisaidile Microsoft Update'i kataloog.

Eeltingimused

Selle värskenduse installimiseks pole eeltingimusi.

Taaskäivitusteave

Pärast selle värskenduse installimist peate arvuti taaskäivitama.

Värskenduse asendamise teave

See värskendus asendab varem välja antud värskendusi 3172985.