Mise à jour cumulative pour Windows 10 version 1511 datée du 9 août 2016

Avertissement
Important Cet article contient des informations expliquant comment abaisser les paramètres de sécurité ou comment désactiver les fonctions de sécurité sur un ordinateur. Vous pouvez être amené à procéder à ces modifications pour contourner un problème spécifique. Avant de procéder à ces modifications, nous vous recommandons d'évaluer les risques associés à l'implémentation de cette solution de contournement dans votre environnement propre. Si vous implémentez cette solution de contournement, veillez à prendre toutes les mesures appropriées pour protéger l'ordinateur.
Résumé
Cette mise à jour de sécurité comprend des améliorations et des correctifs apportés aux fonctionnalités de Windows 10 version 1511. Elle corrige les vulnérabilités suivantes dans Windows :
  • 3177356 MS16-095 : Mise à jour de sécurité cumulative pour Internet Explorer datée du 9 août 2016
  • 3177358 MS16-096 : Mise à jour de sécurité cumulative pour Microsoft Edge datée du 9 août 2016
  • 3177393 MS16-097 : Mise à jour de sécurité pour le composant Microsoft Graphics datée du 9 août 2016
  • 3178466 MS16-098 : Mise à jour de sécurité pour les pilotes en mode noyau datée du 9 août 2016
  • 3178465 MS16-101 : Mise à jour de sécurité pour les méthodes d'authentification Windows datée du 9 août 2016
  • 3182248 MS16-102 : Mise à jour de sécurité pour la bibliothèque PDF Microsoft Windows datée du 9 août 2016
  • 3182332 MS16-103 : Mise à jour de sécurité pour ActiveSyncProvider datée du 9 août 2016

Les mises à jour de Windows 10 sont cumulatives. Par conséquent, ce package contient tous les correctifs précédemment publiés.

Si vous avez installé les mises à jour précédentes, seuls les nouveaux correctifs contenus dans ce package sont téléchargés et installés sur votre ordinateur. Si vous installez un package de mise à jour de Windows 10 pour la première fois, le package associé à la version x86 fait 502 Mo et le package associé à la version x64 fait 916 Mo.


Plus d'informations

Problèmes connus dans cette mise à jour de sécurité

  • Problème connu 1

    Les mises à jour de sécurité fournies dans le Bulletin MS16-101 et les mises à jour plus récentes désactivent le rétablissement de NTLM pour le processus Negotiate en cas d'échec de l'authentification Kerberos pour les opérations de modification de mot de passe avec le code d'erreur STATUS_NO_LOGON_SERVERS (0xc000005e). Dans ce cas, l'un des codes d'erreur suivants peut s'afficher.

    Format hexadécimalFormat décimalFormat symboliqueFormat convivial
    0xc00003881073740920STATUS_DOWNGRADE_DETECTEDLe système a détecté une tentative potentielle d'atteinte à la sécurité. Vérifiez que vous pouvez contacter le serveur qui vous a authentifié.
    0x4f11265ERROR_DOWNGRADE_DETECTEDLe système a détecté une tentative potentielle d'atteinte à la sécurité. Vérifiez que vous pouvez contacter le serveur qui vous a authentifié.


    Solution de contournement

    Si les modifications de mot de passe qui réussissaient auparavant échouent après l'installation de la mise à jour MS16-101, il est probable que ces modifications de mot de passe reposaient précédemment sur le rétablissement de NTLM pour cause d'échec de Kerberos. Pour modifier des mots de passe à l'aide du protocole Kerberos, procédez comme suit :

    1. Configurez la communication ouverte sur le port TCP 464 entre les clients sur lesquels la mise à jour MS16-101 est installée et le contrôleur de domaine qui traite les réinitialisations de mot de passe.

      Les contrôleurs de domaine en lecture seule (RODC) peuvent traiter les réinitialisations de mot de passe en libre-service si l'utilisateur est autorisé par la stratégie de réplication de mot de passe RODC. Les utilisateurs qui ne sont pas autorisés par la stratégie de réplication de mot de passe RODC ont besoin d'une connectivité réseau pour un contrôleur de domaine en lecture/écriture (RWDC) dans le domaine de compte d'utilisateur.

      Remarque Pour déterminer si le port TCP 464 est ouvert, procédez comme suit :

      1. Créez un filtre d'affichage équivalent pour votre analyseur de moniteur réseau. Par exemple :
        ipv4.address== <ip address of client> && tcp.port==464
      2. Dans les résultats, recherchez la trame « TCP:[SynReTransmit ».

        Trame
    2. Veillez à ce que les noms Kerberos cibles soient valides. (Les adresses IP ne sont pas valides pour le protocole Kerberos. Kerberos prend en charge les noms courts et les noms de domaine complets.)
    3. Assurez-vous que les noms principaux de service (SPN) sont correctement enregistrés.

      Pour plus d'informations, consultez l'article Kerberos et réinitialisation de mot de passe en libre-service.
  • Problème connu 2

    Nous sommes au courant d'un problème selon lequel les réinitialisations de mot de passe par programme des comptes d'utilisateur de domaine échouent et renvoient le code d'erreur STATUS_DOWNGRADE_DETECTED (0x800704F1) si l'échec attendu est l'un des suivants :

    • ERROR_INVALID_PASSWORD
    • ERROR_PWD_TOO_SHORT (rarement renvoyé)
    • STATUS_WRONG_PASSWORD
    • STATUS_PASSWORD_RESTRICTION

    Le tableau suivant affiche les détails complets.

    Format hexadécimalFormat décimalFormat symboliqueFormat convivial
    0x5686ERROR_INVALID_PASSWORDLe mot de passe réseau spécifié est incorrect.
    0x267615ERROR_PWD_TOO_SHORTLe mot de passe fourni est trop court pour satisfaire à la stratégie de votre compte d'utilisateur. Choisissez un mot de passe plus long.
    0xc000006a-1073741718STATUS_WRONG_PASSWORDLors de la tentative de mise à jour d'un mot de passe, cet état renvoyé indique que la valeur fournie comme mot de passe actuel est incorrecte.
    0xc000006c-1073741716STATUS_PASSWORD_RESTRICTIONLors de la tentative de mise à jour d'un mot de passe, cet état renvoyé indique qu'une règle de mise à jour de mot de passe actuel n'a pas été respectée. Par exemple, le mot de passe ne respecte pas les critères de longueur.
    0x800704F11265STATUS_DOWNGRADE_DETECTEDLe système ne parvient pas à contacter un contrôleur de domaine pour traiter la demande d’authentification. Recommencez ultérieurement.
    0xc0000388-1073740920STATUS_DOWNGRADE_DETECTEDLe système ne parvient pas à contacter un contrôleur de domaine pour traiter la demande d’authentification. Recommencez ultérieurement.


    Résolution

    Le Bulletin MS16-101 a été republié pour résoudre ce problème. Installez la dernière version des mises à jour pour ce Bulletin afin de résoudre ce problème.

  • Problème connu 3

    Nous sommes au courant d'un problème selon lequel les réinitialisations par programme des modifications de mot de passe de compte d'utilisateur local peuvent échouer et renvoyer le code d'erreur STATUS_DOWNGRADE_DETECTED (0x800704F1).

    Le tableau suivant affiche les détails complets.

    Format hexadécimalFormat décimalFormat symboliqueFormat convivial
    0x4f11265ERROR_DOWNGRADE_DETECTEDLe système ne parvient pas à contacter un contrôleur de domaine pour traiter la demande d’authentification. Recommencez ultérieurement.


    Résolution

    Le Bulletin MS16-101 a été republié pour résoudre ce problème. Installez la dernière version des mises à jour pour ce Bulletin afin de résoudre ce problème.

  • Problème connu 4

    Il est impossible de modifier les mots de passe de comptes d'utilisateur désactivés et verrouillés à l'aide du package Negotiate.

    Les changements de mot de passe pour des comptes désactivés et verrouillés fonctionnent encore en cas d'utilisation d'autres méthodes, comme une opération de modification LDAP directe. Par exemple, l'applet de commande PowerShell Set-ADAccountPassword utilise une opération de modification LDAP pour changer le mot de passe et n'est pas concernée.

    Solution de contournement

    Un administrateur doit réinitialiser les mots de passe pour ces comptes. Ce comportement est lié à la conception après l'installation de la mise à jour MS16-101 et des correctifs ultérieurs.

  • Problème connu 5

    Les applications qui utilisent l'API NetUserChangePassword et qui transmettent un nom de serveur dans le paramètre domainname ne fonctionnent plus après l'installation de la mise à jour MS16-101 et des mises à jour ultérieures.

    La documentation Microsoft signale que la fourniture d'un nom de serveur distant dans le paramètre domainname de la fonction NetUserChangePassword est prise en charge. Par exemple, la rubrique MSDN sur la fonction NetUserChangePassword signale :

    domainname [in]
    Pointeur vers une chaîne constante qui spécifie le nom DNS ou NetBIOS d'un serveur ou domaine distant sur lequel la fonction doit être exécutée. Si ce paramètre a la valeur NULL, c'est le domaine de connexion de l'appelant qui est utilisé.
    Toutefois, ces conseils ont été remplacés par la mise à jour MS16-101, sauf si la réinitialisation de mot de passe est destinée à un compte local sur l'ordinateur local. Après la mise à jour MS16-101, pour que le changement de mot de passe d'un utilisateur de domaine soit effectif, vous devez transmettre un nom de domaine DNS valide à l'API NetUserChangePassword.
  • Problème connu 6

    Après l'application de cette mise à jour de sécurité, si vous imprimez successivement plusieurs documents, les deux premiers documents peuvent s'imprimer correctement. Toutefois, le troisième document et les documents suivants risquent de ne pas s'imprimer.

    Pour résoudre ce problème, téléchargez la mise à jour 3186988 sur le site web Catalogue Microsoft Update.

    Ce problème est également résolu dans le Bulletin de sécurité Microsoft MS16-106.
  • Problème connu 7

    Après l'installation des mises à jour de sécurité décrites dans le Bulletin MS16-101, la modification par programme à distance du mot de passe d'un compte d'utilisateur local et la modification de mots de passe dans une forêt non approuvée échouent.

    Cette opération échoue car elle repose sur le rétablissement NTLM, qui n'est plus pris en charge pour les comptes non locaux après l'installation de la mise à jour MS16-101.

    Une clé de Registre est prévue pour désactiver cette modification.

    Avertissement Cette solution de contournement peut rendre votre ordinateur ou réseau vulnérable aux attaques par des utilisateurs ou des logiciels malveillants comme des virus. Cette solution de contournement n'est pas recommandée ; nous vous indiquons toutefois la marche à suivre si vous souhaitez l'appliquer. Vous assumez l'ensemble des risques liés à cette solution de contournement.

    ImportantCette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    322756Comment faire pour sauvegarder et restaurer le Registre dans Windows


    Pour désactiver cette modification, affectez la valeur 1 (un) à l'entrée DWORD NegoAllowNtlmPwdChangeFallback.

    Important L'affectation de la valeur 1 à l'entrée de Registre NegoAllowNtlmPwdChangeFallback désactive ce correctif de sécurité :
    Valeur de RegistreDescription
    0 Valeur par défaut. Le rétablissement est désactivé.
    1Le rétablissement est toujours autorisé. Le correctif de sécurité est désactivé. Les clients qui rencontrent des problèmes liés à des comptes locaux distants ou à des scénarios de forêt non approuvée peuvent affecter cette valeur dans le Registre.
    Pour ajouter ces valeurs de Registre, procédez comme suit :
    1. Cliquez sur Démarrer, sur Exécuter, tapez regedit dans la zone Ouvrir, puis cliquez sur OK.
    2. Recherchez la sous-clé de Registre suivante et cliquez dessus :
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
    3. Dans le menu Edition, pointez sur Nouveau, puis cliquez sur Valeur DWORD.
    4. Entrez NegoAllowNtlmPwdChangeFallback comme nom pour la valeur DWORD, puis appuyez sur ENTRÉE.
    5. Cliquez avec le bouton droit sur NegoAllowNtlmPwdChangeFallback, puis cliquez sur Modifier.
    6. Dans la zone Données de la valeur, tapez 1 pour désactiver cette modification, puis cliquez sur OK.

      Remarque Pour rétablir la valeur par défaut, tapez 0 (zéro), puis cliquez sur OK.
    Statut

    La cause première de ce problème est comprise. Cet article sera mis à jour dès que d'autres informations seront disponibles.
Comment obtenir cette mise à jour
Important Si vous installez un module linguistique après cette mise à jour, vous devez réinstaller cette mise à jour. Par conséquent, nous vous conseillons d'installer les modules linguistiques nécessaires avant cette mise à jour. Pour en savoir plus, consultez Ajouter des modules linguistiques à Windows.

Méthode 1 : Windows Update

Cette mise à jour de sécurité sera téléchargée et installée automatiquement.

Méthode 2 : Catalogue Microsoft Update

Pour obtenir le package autonome pour cette mise à jour, accédez au site web Catalogue Microsoft Update.

Conditions préalables

Il n'y a aucune condition préalable à l'installation de cette mise à jour.

Informations sur le redémarrage

Vous devez redémarrer l'ordinateur après avoir appliqué cette mise à jour.

Informations sur le remplacement de la mise à jour

Cette mise à jour remplace la mise à jour 3172985 publiée précédemment.

Informations sur les fichiers
Pour obtenir une liste des fichiers fournis dans la mise à jour cumulative, téléchargez les informations sur les fichiers pour la mise à jour cumulative 3176493.
Références
En savoir plus à propos de la terminologie utilisée par Microsoft pour décrire les mises à jour logicielles.
Propriétés

ID d'article : 3176493 - Dernière mise à jour : 10/18/2016 15:40:00 - Révision : 12.0

Windows 10 Version 1511

  • kbsurveynew atdownload kbfix kbexpertiseadvanced kbcontentauto KB3176493
Commentaires