עדכון מצטבר עבור Windows 10:9 באוגוסט, 2016

בעיות ידועות בעדכון אבטחה זה

• בעיה מוכרת 1 עדכוני האבטחה המסופקים ב -MS16-101 ובעדכונים חדשים יותר מבטלים את היכולת של תהליך ניהול משא ומתן כדי לחזור ל-NTLM כאשר אימות Kerberos נכשל בפעולות שינוי סיסמה עם הSTATUS_NO_LOGON_SERVERS (0xc000005e) קוד שגיאה. במצב זה, ייתכן שתקבל את אחד מקודי השגיאה הבאים.

  הקסדצימאלי	עשרוני	סמלי	ידידותי
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	המערכת זיהתה ניסיון אפשרי לפגוע באבטחה. נא ודא שבאפשרותך ליצור קשר עם השרת שאימת אותך.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	המערכת זיהתה ניסיון אפשרי לפגוע באבטחה. נא ודא שבאפשרותך ליצור קשר עם השרת שאימת אותך.

  עקיפת אם שינויי סיסמה שהצליחו בעבר נכשלו לאחר ההתקנה של MS16-101, סביר להניח ששינויי הסיסמה הסתמכות קודם לכן על בסיס NTLM מאחר שKerberos נכשל. כדי לשנות את הסיסמאות בהצלחה באמצעות פרוטוקולי Kerberos, בצע את הפעולות הבאות:

  1. קבע את תצורת התקשורת הפתוחה ביציאת TCP 464 בין לקוחות שמותקנת בהם MS16-101 ובבקר התחום המהווה שירות לאיפוס סיסמה. בקרי קבוצות מחשבים לקריאה בלבד (רודמ) יכולים לאפשר איפוס של סיסמת שירות עצמי אם המשתמש מורשה על-ידי מדיניות שכפול הסיסמה של רודיcs. משתמשים שאינם מותרים על-ידי מדיניות סיסמת ה-RODC דורשים קישוריות לרשת לבקר תחום הנקרא/כתיבה (RWDC) בקבוצת המחשבים של חשבון המשתמש. שים לב כדי לבדוק אם יציאת TCP 464 פתוחה, בצע את השלבים הבאים:

     1. צור מסנן תצוגה מקביל עבור מנתח צג הרשת שלך. לדוגמה:

        ipv4.address== <ip address of client> && tcp.port==464

     2. בתוצאות, חפש את המסגרת "TCP: [שידור מחדש".

  2. ודא ששמות היעד של Kerberos הם חוקיים. (כתובות IP אינן חוקיות עבור פרוטוקול Kerberos. Kerberos תומך בשמות קצרים ובשמות תחומים מלאים.)

  3. ודא ששמות ראשיים של שירות (Spn) רשומים כהלכה. לקבלת מידע נוסף, ראה Kerberos ואיפוס סיסמה של שירות עצמי.

• בעיה מוכרת 2 אנו יודעים על בעיה שבה מאפסת סיסמה תוכניתית של חשבונות משתמשי תחום נכשלים ומחזירים את קוד השגיאה STATUS_DOWNGRADE_DETECTED (0x800704F1) אם הכשל הצפוי הוא אחד מהבאים:

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (מוחזר לעתים נדירות)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  הטבלה הבאה מציגה את מיפוי השגיאות המלא.

  הקסדצימאלי	עשרוני	סמלי	ידידותי
  0x56	86	ERROR_INVALID_PASSWORD	סיסמת הרשת שצוינה אינה נכונה.
  0x267	615	ERROR_PWD_TOO_SHORT	הסיסמה שסופקה קצרה מכדי לעמוד במדיניות של חשבון המשתמש שלך. נא ספק סיסמה ארוכה יותר.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	כאשר אתה מנסה לעדכן סיסמה, מצב ההחזרה מציין שהערך שסופק כסיסמה הנוכחית שגוי.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	כאשר אתה מנסה לעדכן סיסמה, מצב ההחזרה מעיד על כך שכלל עדכון סיסמה מסוים הופר. לדוגמה, ייתכן שהסיסמה לא עונה על קריטריוני האורך.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	למערכת אין אפשרות ליצור קשר עם בקר קבוצת מחשבים כדי לשרת את בקשת האימות. . אנא נסה שוב מאוחר יותר
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	למערכת אין אפשרות ליצור קשר עם בקר קבוצת מחשבים כדי לשרת את בקשת האימות. . אנא נסה שוב מאוחר יותר

  הרזולוציהMS16-101 שוחררה מחדש כדי לטפל בבעיה זו. התקן את הגירסה העדכנית ביותר של העדכונים עבור עלון זה כדי לפתור בעיה זו.

• בעיה מוכרת 3 ידוע לנו על בעיה שבה מאפסת תוכניתיות של שינויי סיסמה של חשבון משתמש מקומי עלולים להיכשל ולהחזיר את קוד השגיאה STATUS_DOWNGRADE_DETECTED (0x800704F1) . הטבלה הבאה מציגה את מיפוי השגיאות המלא.

  הקסדצימאלי	עשרוני	סמלי	ידידותי
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	למערכת אין אפשרות ליצור קשר עם בקר קבוצת מחשבים כדי לשרת את בקשת האימות. . אנא נסה שוב מאוחר יותר

  הרזולוציהMS16-101 שוחררה מחדש כדי לטפל בבעיה זו. התקן את הגירסה העדכנית ביותר של העדכונים עבור עלון זה כדי לפתור בעיה זו.

• בעיה מוכרת 4 אין אפשרות לשנות סיסמאות עבור חשבונות משתמשים לא זמינים ונעולים באמצעות החבילה למשא ומתן. שינויי סיסמה עבור חשבונות לא מושבתים ונעולים עדיין יפעלו בעת שימוש בשיטות אחרות, כגון בעת שימוש בפעולת שינוי LDAP באופן ישיר. לדוגמה, מערכת ה-Cmdlet PowerShell Set-Adהסיסמה משתמשת בפעולה "שינוי LDAP" כדי לשנות את הסיסמה ונותרת בלתי מושפעת. עקיפת חשבונות אלה דורשים ממנהל מערכת לבצע איפוס סיסמה. אופן פעולה זה מעוצב על-ידי עיצוב לאחר התקנת MS16-101 ותיקונים מאוחרים יותר.

• בעיה מוכרת 5 יישומים המשתמשים ב-API של Netuserשינוי סיסמה והעברת שם שרת בפרמטר domainname לא יפעלו עוד לאחר התקנת MS16-101 ועדכונים מאוחרים יותר. מצבי התיעוד של Microsoft המספקים שם שרת מרוחק בפרמטר domainname של הפונקציה netuserשינוי סיסמה נתמך. לדוגמה, הנושא של הפונקציה Netuserשינוי סיסמה מציין את הפעולות הבאות: domainname [ב]

  מצביע למחרוזת קבועה המציינת את שם DNS או ה-NetBIOS של שרת מרוחק או תחום שבו יש לבצע את הפונקציה. אם פרמטר זה הוא NULL, נעשה שימוש בתחום הכניסה של המתקשר.עם זאת, הדרכה זו הוחלף על-ידי MS16-101, אלא אם כן איפוס הסיסמה מיועד לחשבון מקומי במחשב המקומי. Post MS16-101, כדי ששינויים בסיסמאות המשתמש בתחום העבודה, עליך להעביר שם חוקי של קבוצת מחשבים של DNS ל-Netuser, API.

• בעיה מוכרת 6 לאחר החלת עדכון אבטחה זה ולאחר מכן תדפיס מסמכים מרובים ברצף, שני המסמכים הראשונים עשויים להיות מודפסים בהצלחה אך ייתכן שהמסמכים השלישי והמסמכים הבאים לא יודפסו. כדי לפתור בעיה זו, בצע אחת מהפעולות הבאות:

  • התקנת עדכון 3187022. לקבלת מידע נוסף, לחץ על מספר המאמר הבא כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:

    3187022 פונקציונליות הדפסה מקולקלת לאחר התקנת עדכוני האבטחה MS16-098

  • התקן עדכון 3186987 מאתר האינטרנט של קטלוג העדכונים של Microsoft .

  בעיה זו נפתרה גם בעלון האבטחה של מיקרוסופט MS16-106.

• בעיה מוכרת 7 לאחר התקנת עדכוני האבטחה המתוארים בשינויים MS16-101, מרוחקים ותוכניתיים של סיסמת חשבון משתמש מקומית ושינויי סיסמה ביער לא מהימן נכשלים. פעולה זו נכשלת מכיוון שהפעולה מסתמכת על שחזור מסוג NTLM שאינו נתמך עוד עבור חשבונות שאינם מקומיים לאחר התקנת MS16-101. ערך רישום מסופק שניתן להשתמש בו כדי להשבית את השינוי. אזהרה זו דרך לעקיפת המצב עלולה להפוך מחשב או רשת לפגיעים יותר להתקפות של משתמשים זדוניים או של תוכנות זדוניות כגון וירוסים. אנו לא ממליצים על דרך זו לעקיפת העניין, אך אנו מספקים מידע זה כדי שתוכל ליישם את הדרך לעקיפת העניין לפי שיקול דעתך. השתמש בדרך זו לעקיפת הסיכון שלך. חשובמקטע, שיטה או משימה אלה מכילים שלבים האומרים לך כיצד לשנות את הרישום. עם זאת, בעיות חמורות עלולות להתרחש אם תשנה את הרישום בצורה שגויה. לכן, הקפד לבצע את השלבים הבאים בזהירות. לצורך הגנה נוספת, גבה את הרישום לפני שתשנה אותו. לאחר מכן, באפשרותך לשחזר את הרישום אם מתרחשת בעיה. לקבלת מידע נוסף אודות אופן הגיבוי והשחזור של הרישום, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:

  322756 כיצד לגבות ולשחזר את הרישום ב-Windowsכדי להפוך שינוי זה ללא זמין, הגדר את ערך ה-DWORD המשמש למשא ומשוב כדי להשתמש בערך 1 (אחד). חשוב הגדרת ערך הרישום של הנתונים לערך 1 תהפוך תיקון אבטחה זה ללא זמין:

  ערך רישום	תיאור
  0	ערך ברירת מחדל. ההחזרה נמנעת.
  1	. הבסיס תמיד מותר תיקון האבטחה מבוטל. לקוחות הנושאים בעיות בחשבונות מקומיים מרוחקים או בתרחישי יער לא מהימנים יכולים להגדיר את הרישום לערך זה.

  כדי להוסיף ערכי רישום אלה, בצע את הפעולות הבאות:

  1. לחץ על התחל, לחץ על הפעלה, הקלד regedit בתיבה פתח את ולאחר מכן לחץ על אישור.

  2. אתר את מפתח המשנה הבא ברישום ולחץ עליו:

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

  3. בתפריט עריכה, הצבע על חדש ולאחר מכן לחץ על ערך DWORD.

  4. הקלד משא ומזה על שם ערך DWORD ולאחר מכן הקש ENTER.

  5. לחץ לחיצה ימניתעל משוב ולאחר מכן לחץ על שינוי.

  6. בתיבה נתוני ערך , הקלד 1 כדי להשבית שינוי זה ולאחר מכן לחץ על אישור. שים לב כדי לשחזר את ערך ברירת המחדל, הקלד 0 (אפס) ולאחר מכן לחץ על אישור.

  מצב הסיבה הבסיסית לבעיה זו מובנת. מאמר זה יעודכן בפרטים נוספים בעת הפכו לזמינים.

שיטה 1: עדכון חלונות

עדכון זה יוריד ויותקן באופן אוטומטי.

שיטה 2: קטלוג מיקרוסופט לעדכון

כדי לקבל את החבילה העצמאית עבור עדכון זה, עבור אל אתר האינטרנט של קטלוג העדכונים של Microsoft .

דרישות מוקדמות

אין דרישות מוקדמות להתקנת עדכון זה.

הפעל מחדש מידע

עליך להפעיל מחדש את המחשב לאחר החלת עדכון זה.

מידע על החלפת עדכונים

עדכון זה מחליף את העדכון הקודם שפורסם 3163912.