חשוב מאמר זה מכיל מידע המסביר כיצד ניתן להנמיך הגדרות אבטחה או כיצד לבטל תכונות אבטחה במחשב. באפשרותך לבצע שינויים אלה כדי לעקוף בעיה ספציפית. לפני שתבצע שינויים אלה, אנו ממליצים לך להעריך את הסיכונים הקשורים ליישום פתרון זה בסביבה הספציפית שלך. אם אתה מיישם דרך זו לעקיפת הבעיה, נקוט באמצעים מתאימים נוספים שיסייעו לך להגן על המחשב.
סיכום
עדכון אבטחה זה כולל שיפורים ותיקונים בפונקציונליות של Windows 10 גירסה 1511. גם הוא פותר את הפגיעויות שלהלן ב- Windows:
-
3177356 MS16-095: עדכון האבטחה המצטבר עבור Internet Explorer: 9 באוגוסט, 2016
-
3177358 MS16-096: עדכון אבטחה מצטבר עבור Microsoft קצה: 9 באוגוסט, 2016
-
3177393 MS16-097: עדכון אבטחה עבור Microsoft רכיב גרפיקה: 9 באוגוסט, 2016
-
3178466 MS16-098: עדכון אבטחה עבור מנהלי התקנים במצב kernel: 9 באוגוסט, 2016
-
3178465 MS16-101: עדכון אבטחה עבור שיטות האימות של Windows: 9 באוגוסט, 2016
-
3182248 MS16-102: עדכון אבטחה עבור ספריית Microsoft Windows PDF: 9 באוגוסט, 2016
-
3182332 MS16-103: עדכון אבטחה עבור ActiveSyncProvider: 9 באוגוסט, 2016
עדכוני Windows 10 הם מצטברים. לכן, חבילה זו מכיל את כל התיקונים שכבר פורסמו.
אם התקנת עדכונים קודמים, רק חדש התיקונים הכלולים בחבילה זו יורדו ויותקנו במחשב שלך. אם אתה מתקין את חבילת עדכון Windows 10 בפעם הראשונה, חבילת עבור x86 הגירסה הוא 502 MB וחבילת עבור x64 הוא גירסה 916 מגה-בתים.
מידע נוסף
בעיות מוכרות בעדכון אבטחה זה
-
בעיה מוכרת 1
עדכוני האבטחה המסופקים ב- MS16-101 ועדכונים חדשים יותר לבטל את היכולת של תהליך משא ומתן נסיגה ל- NTLM בעת אימות Kerberos נכשל עבור פעולות שינוי סיסמה עם קוד השגיאה STATUS_NO_LOGON_SERVERS (0xc000005e) . במצב זה, ייתכן שתקבל את אחת של קודי השגיאה הבאה.הקסדצימאלי
עשרוני
סמלי
ידידותי
0xc0000388
1073740920
STATUS_DOWNGRADE_DETECTED
המערכת זיהתה ניסיון אפשרי לפגוע באבטחה. נא ודא כי באפשרותך ליצור קשר עם השרת שאימת אותך.
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
המערכת זיהתה ניסיון אפשרי לפגוע באבטחה. נא ודא כי באפשרותך ליצור קשר עם השרת שאימת אותך.
פתרון הבעיה
אם הסיסמה משתנה בעבר שהצליח להיכשל לאחר ההתקנה של MS16-101, סביר להניח כי שינויי סיסמאות היו בעבר להסתמך על נסיגה NTLM מכיוון היה כשל ב- Kerberos. כדי לשנות סיסמאות בהצלחה באמצעות פרוטוקול Kerberos, בצע את הפעולות הבאות:-
קביעת תצורה של תקשורת פתוחה ביציאת TCP 464 בין לקוחות בעלי MS16-101 מותקן בבקר התחום הוא מתן שירות איפוס סיסמה.
בקרי תחום לקריאה בלבד (RODCs) ניתן שירות איפוס סיסמה בשירות עצמי אם המשתמש מורשה על-ידי מדיניות שכפול של הסיסמה RODCs. משתמשים שאינם מורשים על-ידי המדיניות סיסמה RODC דורשים קישוריות רשת לבקר תחום לקריאה/כתיבה (RWDC) בתחום חשבון המשתמש.
הערה כדי לבדוק אם יציאת TCP 464 פתוח, בצע את הפעולות הבאות:-
צור מסנן התצוגה שוות ערך עבור שלך מנתח צג הרשת. לדוגמה:
ipv4.address== <ip address of client> && tcp.port==464
-
בתוצאות, חפש "TCP: [SynReTransmit" מסגרת.
-
-
ודא שהשמות Kerberos היעד הם חוקיים. (כתובות IP אינן חוקיות עבור פרוטוקול Kerberos. שמות קצרים תומך Kerberos ושמות תחום מלאים.)
-
ודא כי שמות ראשיים של שירות (Spn) רשומים כהלכה.
לקבלת מידע נוסף, ראה Kerberos ואיפוס סיסמה בשירות עצמי.
-
-
בעיה מוכרת 2
אנו יודעים אודות בעיה אילו איפוס סיסמה תוכניתית של משתמש תחום חשבונות להיכשל ולהחזיר את קוד השגיאה STATUS_DOWNGRADE_DETECTED (0x800704F1) אם הכשל הצפויה היא אחת מהפעולות הבאות:-
ERROR_INVALID_PASSWORD
-
ERROR_PWD_TOO_SHORT (לעיתים נדירות החזיר)
-
STATUS_WRONG_PASSWORD
-
STATUS_PASSWORD_RESTRICTION
הטבלה הבאה מציגה את המיפוי שגיאה מלא.הקסדצימאלי
עשרוני
סמלי
ידידותי
0x56
86
ERROR_INVALID_PASSWORD
סיסמת הרשת שצוינה אינה נכונה.
0x267
615
ERROR_PWD_TOO_SHORT
הסיסמה שסופקה קצרה מדי מתאימה למדיניות של חשבון המשתמש שלך. נא ספק סיסמה ארוכה יותר.
0xc000006a
-1073741718
STATUS_WRONG_PASSWORD
בעת ניסיון לעדכן סיסמה, מצב החזרה זה מציין כי הערך שסופק כסיסמה הנוכחית שגוי.
0xc000006c
-1073741716
STATUS_PASSWORD_RESTRICTION
בעת ניסיון לעדכן סיסמה, מצב החזרה זה מציין כי היתה הפרה של כללי עדכון סיסמאות אחדים. לדוגמה, ייתכן הסיסמה אינם עונים על הקריטריונים אורך.
0x800704F1
1265
STATUS_DOWNGRADE_DETECTED
המערכת לא פנה אל בקר קבוצת מחשבים כדי לשרת את בקשת האימות. נא נסה שוב מאוחר יותר.
0xc0000388
-1073740920
STATUS_DOWNGRADE_DETECTED
המערכת לא פנה אל בקר קבוצת מחשבים כדי לשרת את בקשת האימות. נא נסה שוב מאוחר יותר.
פתרון
MS16-101 פורסם מחדש כדי לטפל בבעיה זו. התקן את הגירסה העדכנית ביותר של העדכונים עבור עלון זה כדי לפתור בעיה זו.
-
-
בעיה מוכרת 3
אנו יודעים אודות בעיה שבה איפוס תוכניתית של שינויי סיסמאות של חשבונות משתמשים מקומיים עלול להיכשל ולהחזיר את קוד השגיאה STATUS_DOWNGRADE_DETECTED (0x800704F1) .
הטבלה הבאה מציגה את המיפוי שגיאה מלא.הקסדצימאלי
עשרוני
סמלי
ידידותי
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
המערכת לא פנה אל בקר קבוצת מחשבים כדי לשרת את בקשת האימות. נא נסה שוב מאוחר יותר.
פתרון
MS16-101 פורסם מחדש כדי לטפל בבעיה זו. התקן את הגירסה העדכנית ביותר של העדכונים עבור עלון זה כדי לפתור בעיה זו. -
בעיה מוכרת 4
אין אפשרות לשנות את סיסמאות עבור חשבונות משתמשים לא זמין ולא נעול באמצעות חבילת משא ומתן.
שינויי סיסמאות עבור חשבונות לא זמין ולא נעול ימשיכו לפעול בעת שימוש בשיטות אחרות, כגון בעת שימוש LDAP לשנות פעולה ישירות. לדוגמה, cmdlet PowerShell ADAccountPassword ערכת משתמשת פעולת "שנה LDAP" כדי לשנות את הסיסמה ותישאר מושפעים מכך.
פתרון הבעיה
חשבונות אלה דורשים מנהל כדי לבצע איפוס סיסמה. אופן פעולה זה הוא מכוון לאחר התקנת תיקונים MS16-101 ואילך. -
בעיה מוכרת 5
יישומים המשתמשים NetUserChangePassword API ולהכניס בו servername של הפרמטר domainname לא יפעלו עוד לאחר MS16-101 ומותקנים עדכונים מאוחר יותר.
תיעוד Microsoft מצהיר כי מתן שם שרת מרוחק בהפרמטר domainname של הפונקציה NetUserChangePassword יש תמיכה. לדוגמה, בנושא של MSDN הפונקציה NetUserChangePassword הברית הבאות:
domainname [ב]מצביע למחרוזת קבוע המציין את שם ה-DNS או ב- NetBIOS של השרת המרוחק או תחום שבו היא הפונקציה לביצוע. אם פרמטר זה הוא NULL, משמש את התחום לכניסה של הגורם הקורא.עם זאת, הדרכה זה הוחלף MS16-101, אלא אם כן לאפס את הסיסמה עבור חשבון מקומי במחשב המקומי. MS16 post-101, ששינויים סיסמה של משתמש תחום לעבודה, אתה חייבת לעבור שם תחום DNS חוקי אל ה-API של NetUserChangePassword.
-
בעיה מוכרת 6
לאחר החלת עדכון אבטחה זה ולהדפיס מסמכים מרובים ברצף, תחילה שני המסמכים עשוי להדפיס בהצלחה. עם זאת, ייתכן המסמכים השלישי והבאות לא יודפס.
כדי לפתור בעיה זו, הורד את עדכון 3186988 מאתר האינטרנט Microsoft Update קטלוג .
בעיה זו נפתרה גם בעלון אבטחה של Microsoft MS16-106. -
בעיה מוכרת 7
לאחר התקנת עדכוני האבטחה המתוארות ב- MS16-101, מרוחק, שינויים תוכניתית של סיסמת חשבון משתמש מקומי, ושינויים סיסמה על-פני יער לא אמין להיכשל.
פעולה זו תיכשל מאחר שפעולת מסתמך על NTLM סתיו חזרה אשר אינו נתמך עוד עבור חשבונות שאינם מקומיים לאחר התקנת MS16-101.
ערך רישום הוא בתנאי שבו באפשרותך להשתמש כדי לבטל שינוי זה.
אזהרה דרך זו לעקיפת הבעיה עלולה להפוך את המחשב או הרשת לפגיעים יותר להתקפות של משתמשים זדוניים או של תוכנות זדוניות כגון וירוסים. פתרון זה אינו מומלץ, אך אנו מספקים מידע זה כך שתוכל ליישם פתרון זה לפי שיקול דעתך. שימוש בדרך זו לעקיפת הבעיה באחריותך הבלעדית.
חשוב הסעיף, שיטה או המשימה הזו מכילה פעולות המציינות כיצד לשנות את הרישום. עם זאת, עלולות להתרחש בעיות חמורות אם תשנה את הרישום באופן שגוי. לפיכך, ודא כי אתה מבצע צעדים אלה בקפידה. לקבלת הגנה נוספת, בצע גיבוי של הרישום לפני שתבצע בו שינויים. כך תוכל לשחזר את הרישום מאוחר יותר במקרה שתתעורר בעיה. לקבלת מידע נוסף על אופן הגיבוי והשחזור של הרישום, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:322756 כיצד לגבות ולשחזר את הרישום ב-Windows
כדי לבטל את השינוי, קבע את ערך DWORD NegoAllowNtlmPwdChangeFallback לשימוש ערך של 1 (אחד).
חשוב הגדרת ערך הרישום NegoAllowNtlmPwdChangeFallback לערך של 1 יבטל תיקון אבטחה זה:ערך הרישום
תיאור
0
ערך ברירת המחדל. מנע נסיגה.
1
נסיגה אפשרית תמיד. תיקון אבטחה מבוטלת. לקוחות אשר אתה נתקל בבעיות עם חשבונות מקומיים מרחוק או יער לא אמין תרחישים באפשרותך להגדיר את הרישום לערך זה.
כדי להוסיף ערכי רישום אלה, בצע את הפעולות הבאות:
-
לחץ על התחל, לחץ על הפעלה, הקלד regedit בתיבה פתח את ולאחר מכן לחץ על אישור.
-
אתר את מפתח המשנה הבא ברישום ולחץ עליו:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
-
בתפריט עריכה, הצבע על חדש ולאחר מכן לחץ על ערך DWORD.
-
הקלד NegoAllowNtlmPwdChangeFallback עבור שם ה-DWORD ולאחר מכן הקש ENTER.
-
לחץ לחיצה ימנית על NegoAllowNtlmPwdChangeFallbackולאחר מכן לחץ על שנה.
-
בתיבה נתוני ערך , הקלד 1 כדי לבטל את השינוי, ולאחר מכן לחץ על אישור.
הערה כדי לשחזר את ערך ברירת המחדל, הקלד 0 (אפס) ולאחר מכן לחץ על אישור.
מצב
סיבת בסיס של בעיה זו מובנת. מאמר זה יעודכן עם פרטים נוספים כאשר הם הופכים לזמינים. -
כיצד לקבל עדכון זה
חשוב אם התקנת ערכת שפה לאחר שתתקין עדכון זה, עליך להתקין מחדש עדכון זה. לכן, אנו ממליצים לך להתקין בכל שפה ערכות הדרוש לך לפני התקנת עדכון זה. לקבלת מידע נוסף, ראה הוספת ערכות שפה ל- Windows.
שיטה 1: Windows Update
עדכון זה יורד ויותקן באופן אוטומטי.
שיטה 2: קטלוג Microsoft Update
כדי לקבל את החבילה העצמאית עבור עדכון זה, עבור אל אתר האינטרנט קטלוג Microsoft Update.
דרישות מוקדמות
אין תנאים מוקדמים להתקנת עדכון זה.
מידע על הפעלה מחדש
עליך להפעיל מחדש את המחשב לאחר החלת עדכון זה.
מידע על החלפת עדכונים
עדכון זה מחליף את העדכון שפורסם בעבר 3172985.
פרטי קובץ
לקבלת רשימה של הקבצים הכלולים בעדכון מצטבר זה, להוריד את נתוני קובץ עבור עדכון מצטבר 3176493.
הפניות
למד אודות המינוח שבו Microsoft משתמשת לתיאור עדכוני תוכנה.
