MS16-101: Windows-todennusmenetelmien suojauspäivityksen kuvaus: 9. elokuuta 2016

Yhteenveto

Tämä suojauspäivitys korjaa useita haavoittuvuuksia Microsoft Windowsissa. Tietoturva-aukko voi sallia oikeuksien laajentamisen, jos hyökkäykseen liittynyt henkilö suorittaa erityisesti muodostelun sovelluksen toimialueeseen yhdistetyssä järjestelmässä.

Lisätietoja haavoittuvuusongelmasta on Microsoftin tietoturvatiedotteessa MS16-101.

Lisätietoja

Tärkeää

• Kaikki Windows 8.1:n ja Windows Server 2012 R2:n tulevat suojauspäivitykset ja muut päivitykset edellyttävät päivityksen 2919355 asentamista. Suosittelemme asentamaan päivityksen 2919355 Windows 8.1- tai Windows Server 2012 R2 -tietokoneeseen, jotta saat tulevat päivitykset.

• Jos asennat kielipaketin päivityksen asentamisen jälkeen, tämä päivitys on asennettava uudelleen. Siksi suosittelemme asentamaan kaikki kielipaketit, joita tarvitset ennen tämän päivityksen asentamista. Lisätietoja on ohjeaiheessa Kielipakettien lisääminen Windowsiin.
  

Tämän suojauspäivityksen tunnetut ongelmat

• Tunnettu ongelma 1 Ms16-101:n ja uudempien päivitysten suojauspäivitykset poistavat neuvotteluprosessin mahdollisuuden palata NTLM:iin, kun
  
  Kerberos-todennus epäonnistuu STATUS_NO_LOGON_SERVERS (0xc000005e) -virhekoodilla. Tässä tilanteessa saatat saada joksikin seuraavista virhekoodeista.
  
  

  Heksadesimaali	Desimaali	Symbolinen	Friendly
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Järjestelmä havaitsi mahdollisen tietoturvan vaarantamisen. Varmista, että voit ottaa yhteyttä todennuttajaan.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Järjestelmä havaitsi mahdollisen tietoturvan vaarantamisen. Varmista, että voit ottaa yhteyttä todennuttajaan.

  
  
  Vaihtoehtoinen menetelmä Jos salasanamuutokset, jotka onnistuivat aiemmin
  MS16-101:n asentamisen jälkeen, on todennäköistä, että salasanojen muutokset ovat aiemmin riippuvaisia NTLM:n varasta, koska
  Kerberos ei toiminut. Jos haluat vaihtaa salasanoja kerberos-protokollien avulla, toimi seuraavasti:
  
  
  

  1. Määritä avoin viestintä TCP-porttiin 464 niiden asiakkaiden välillä, joissa on MS16-101 asennettuna, ja toimialueen ohjauskone, joka huoltaa salasanan vaihtoa.
     
     Vain luku -toimialueen ohjauskoneet voivat käyttää omatoimisia salasanojen vaihtoa, jos KÄYTTÖPP-salasanojen replikointikäytäntö on sallinut käyttäjän. Käyttäjät, jotka eivät ole SALLITTUJA ROMIC-salasanakäytännön mukaan, edellyttävät verkkoyhteyttä käyttäjätilitoimialueen luku-/kirjoitustoimialueeseen (RWDC).
     
     Huomautus: Jos haluat tarkistaa, onko TCP-portti 464 auki, toimi seuraavasti:
     
     
     

     1. Luo vastaava näyttösuodatin verkkonäytön jäsennintä varten. Esimerkki:
        

        ipv4.address== <ip-osoite> && tcp.port==464

     2. Etsi hakutuloksista TCP:[SynReTransmit-kehys.
        
        

  2. Varmista, että Kerberos-kohdenimet ovat kelvollisia. (IP-osoitteet eivät ole kelvollisia Kerberos-protokollaa varten. Kerberos tukee lyhyitä nimiä ja täysin hyväksyttyjä toimialuenimiä.)

  3. Varmista, että palvelun päänimi (SPN) on rekisteröity oikein.
     
     Lisätietoja on kerberos- ja Self-Service palauttamisessa.

• Tunnettu ongelma 2 Tiedämme ongelman, jossa toimialuekäyttäjätilien ohjelmallinen salasanan nollaus epäonnistuu ja
  STATUS_DOWNGRADE_DETECTED (0x800704F1) -virhekoodi palautetaan, jos odotettu virhe on jokin
  seuraavista:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (harvoin palautettu)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  Seuraavassa taulukossa on esitetty täydellinen virheiden yhdistäminen.
  
  

  Heksadesimaali	Desimaali	Symbolinen	Ystävällisen
  0x56	86	ERROR_INVALID_PASSWORD	Määritetty verkon salasana ei ole oikein.
  0x267	615	ERROR_PWD_TOO_SHORT	Annettu salasana on liian lyhyt, jotta se vastaa käyttäjätilisi käytäntöä. Anna pidempi salasana.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Kun yrität päivittää salasanaa, tämä palautustila ilmaisee, että nykyisen salasanana annettu arvo on virheellinen.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Kun yrität päivittää salasanaa, tämä palautustila ilmaisee, että salasanapäivityssääntöä on rikottu. Salasana ei esimerkiksi ehkä täytä pituusehtoja.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Järjestelmä ei voi ottaa yhteyttä toimialueen ohjauskoneeseen todennuspyynnön huoltoa varten. Yritä myöhemmin uudelleen.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Järjestelmä ei voi ottaa yhteyttä toimialueen ohjauskoneeseen todennuspyynnön huoltoa varten. Yritä myöhemmin uudelleen.

  
  
  Ratkaisu
  
  MS16-101 on julkaistu uudelleen ongelman ratkaisemiseksi. Ratkaise ongelma asentamalla tämän tiedotteen päivitysten uusin versio.
  
  

• Tunnettu ongelma 3 Tiedämme ongelman, jossa paikallisen käyttäjätilin salasanan muutosten ohjelmallinen vaihtaminen voi epäonnistua ja
  
  palauttaa STATUS_DOWNGRADE_DETECTED (0x800704F1) -virhekoodin.
  
  Seuraavassa taulukossa on esitetty täydellinen virheiden yhdistäminen.
  
  

  Heksadesimaali	Desimaali	Symbolinen	Ystävällisen
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Järjestelmä ei voi ottaa yhteyttä toimialueen ohjauskoneeseen todennuspyynnön huoltoa varten. Yritä myöhemmin uudelleen.

  
  
  Ratkaisu
  
  MS16-101 on julkaistu uudelleen ongelman ratkaisemiseksi. Ratkaise ongelma asentamalla tämän tiedotteen päivitysten uusin versio.
  
  

• Tunnettu ongelma 4
  
  Käytöstä poistettujen ja lukittujen käyttäjätilien salasanoja ei voi muuttaa neuvottelupaketin avulla.
  
  Käytöstä poistettujen ja lukittujen tilien salasanamuutokset toimivat edelleen, kun käytetään muita menetelmiä, kuten LDAP-muokkaustoimintoa suoraan. Esimerkiksi PowerShellin cmdlet-Set-ADAccountPassword muuttaa salasanaa LDAP-muokkaustoiminnon avulla eikä se vaikuta.
  
  Vaihtoehtoinen menetelmä
  
  Edellyttää järjestelmänvalvojaa tekemään salasanojen palauttamisen. Tämä on suunniteltu ms16-101:n ja sitä uudempien korjausten asentamisen jälkeen.
  
  

• Tunnettu ongelma 5 Sovellukset, jotka käyttävät
  
  NetUserChangePassword-ohjelmointirajapintaa ja jotka ohittavat palvelinnimen toimialuenimiparametrissa, eivät enää toimi, kun MS16-101 ja uudemmat päivitykset on asennettu.
  
  Microsoftin ohjeissa todetaan, että etäpalvelimen nimeä tuetaan NetUserChangePassword-funktion toimialuenimiparametrissa. Esimerkiksi NetUserChangePassword-funktioN MSDN-aiheessa on seuraava teksti:
  
  toimialuenimi [in]
  

  Osoitin vakiomerkkijonoon, joka määrittää sen etäpalvelimen tai -toimialueen DNS- tai NetTOIMINNONS-nimen, jossa funktio suoritetaan. Jos tämä parametri on TYHJÄARVO, käytetään soittajan kirjautumistoimialuetta. MS16-101 on kuitenkin korvannut nämä ohjeet, ellei salasanan vaihtaminen ole paikallisen tietokoneen paikallista tiliä varten. Julkaise MS16-101, jotta toimialueen käyttäjien salasanat vaihtuvat, sinun on välitettava kelvollinen DNS-toimialuenimi NetUserChangePassword API:lle.

• Tunnettu ongelma 6 Kun olet asentanut
  
  ms16-101-versioissakuvatut suojauspäivitykset, paikallisen käyttäjätilin salasanan ohjelmalliset muutokset ja salasanamuutokset eivät toimi ei-luotetuissa puumaissa.
  
  
  Tämä toiminto epäonnistuu, koska toiminto perustuu NTLM:n varalle, jota ei enää tueta ei-paikallisilla tileillä, kun MS16-101 on asennettu.
  
  
  Saat rekisterimerkinnän, jonka avulla voit poistaa tämän muutoksen käytöstä.
  
  Varoitus Tämä vaihtoehtoinen menetelmä voi tehdä tietokoneesta tai verkosta haavoittuvampia haittaohjelmien, kuten virusten, hyökkäyksille. Emme suosittele tätä vaihtoehtoista tapaa, mutta toimitamme nämä tiedot, jotta voit ottaa tämän vaihtoehtoinen menetelmän käyttöön oman harkintasi mukaan. Käytä tätä kiertotapaa omalla vastuulla.
  
  ImportantThis section, method, or task contains steps that tell you how to modify the registry. Rekisterin virheellinen muokkaaminen saattaa kuitenkin aiheuttaa vakavia ongelmia. Noudata näitä ohjeita ehdottoman tarkasti. Varmuuskopioi rekisteri varmuuden vuoksi ennen muokkaustoimia. Tällöin voit palauttaa rekisterin ongelmatilanteessa. Lisätietoja rekisterin varmuuskopioimisesta ja palauttamisesta saat napsauttamalla seuraavaa Microsoft Knowledge Base -artikkelinumeroa:

  322756Rekisterin varmuuskopiointi ja palauttaminen Windowsissa Voit poistaa tämän muutoksen käytöstä asettamalla
  
  NegoAllowNtlmPwdChangeFallback DWORD-merkinnän käyttämään arvoa 1 (yksi).
  
  
  Jos Määritä NegoAllowNtlmPwdChangeFallback-rekisterimerkinnän arvoksi 1, tämä suojauskorjaus poistetaan käytöstä:
  

  Rekisteriarvo	Kuvaus
  0	Oletusarvo. Vara vara on estity.
  1	Vara vara on aina sallittu. Suojauskorjaus on poistettu käytöstä. Asiakkaat, joilla on ongelmia paikallisissa etätileillä tai ei-luotetuissa puupuutilantissa, voivat määrittää rekisterin arvoksi tämän arvon.

  Voit lisätä nämä rekisteriarvot seuraavasti:
  

  1. Valitse Käynnistä,valitse Suorita,kirjoita Avaa-ruutuun regedit ja valitse sitten OK.

  2. Etsi rekisteristä seuraava aliavain ja napsauta sitä:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. Valitse Muokkaa-valikossa Uusi javalitse sitten DWORD-arvo.

  4. Kirjoita DWORD-nimeksi NegoAllowNtlmPwdChangeFallback ja paina sitten ENTER-näppäintä.

  5. Napsauta Hiiren kakkospainikkeella NegoAllowNtlmPwdChangeFallbackja valitse sitten Muokkaa.

  6. Poista muutos käytöstä kirjoittamalla Arvo-tietoruutuun 1 ja valitse sitten OK.
     
     
     Huomautus: Palauta oletusarvo kirjoittamalla 0 (nolla) ja valitsemalla sitten OK.

  Tila
  
  Ongelman perimmäinen syy on ymmärretty. Tähän artikkeliin päivitetään lisätietoja, kun ne ovat saatavilla.

Päivityksen hankkiminen ja asentaminen

Menetelmä 1: Windows Update

Tämä päivitys on saatavilla Windows Updaten kautta. Kun otat automaattisen päivityksen käyttöön, tämä päivitys ladataan ja asennetaan automaattisesti. Lisätietoja automaattisen päivityksen asentaminen käyttöön on ohjeaiheessa
Suojauspäivitysten automaattinen asentaminen.

Menetelmä 2: Microsoft Update -luettelo

Jos haluat saada tämän päivityksen erillinen paketti, siirry Microsoft Update Catalog -sivustoon.

Lisätietoja

Tiedoston tiedot