MICROSOFT MS16-101: עדכון אבטחה עבור שיטות אימות של Windows: 9 באוגוסט 2016

סיכום

עדכון אבטחה זה פותר פגיעויות מרובות ב-Microsoft Windows. הפגיעויות עלולות לאפשר העלאת הרשאות אם תוקף מפעיל יישום בעל מבנה מיוחד במערכת המצורפת לתחום.

לקבלת מידע נוסף אודות הפגיעות, ראה עלון אבטחה של MICROSOFT microsoft ms16-101.

מידע נוסף

חשוב

• כל העדכונים הבאים של אבטחה ועדכונים שאינם עדכוני אבטחה עבור Windows 8.1 ו-Windows Server 2012 R2 דורשים עדכון 2919355 להתקנה. אנו ממליצים להתקין את עדכון 2919355 במחשב המבוסס על windows 8.1 או ב-windows Server 2012, כך שתקבל עדכונים עתידיים.

• אם תתקין ערכת שפה לאחר התקנת עדכון זה, עליך להתקין מחדש עדכון זה. לכן, מומלץ להתקין ערכות שפה הדרושות לך לפני התקנת עדכון זה. לקבלת מידע נוסף, ראה הוספת ערכות שפה ל-Windows.

מידע נוסף אודות עדכון אבטחה זה

המאמרים הבאים מכילים מידע נוסף אודות עדכון אבטחה זה, כפי שהוא מתייחס לגירסאות מוצר בודדות. המאמרים עשויים להכיל מידע על בעיות ידועות.

• 3177108 MICROSOFT MS16-101: תיאור של עדכון אבטחה עבור שיטות אימות של Windows: 9 באוגוסט 2016

• 3167679 MICROSOFT MS16-101: תיאור של עדכון אבטחה עבור שיטות אימות של Windows: 9 באוגוסט 2016

• 3192392 עדכון איכות אבטחה של 2016 באוקטובר עבור Windows 8.1 ו-Windows Server 2012 R2

• 3185331 אוסף האיכות החודשי של אבטחה באוקטובר 2016 עבור Windows 8.1 ו-Windows Server 2012 R2

• 3192393 עדכון איכות אבטחה של 2016 באוקטובר עבור Windows Server 2012

• 3185332 אוסף האיכות החודשי של אבטחה באוקטובר 2016 עבור Windows Server 2012

• 3192391 עדכון איכות אבטחה של 2016 באוקטובר עבור Windows 7 SP1 ו-Windows Server 2008 R2 SP1

• 3185330 אוסף האיכות החודשי של אבטחה באוקטובר 2016 עבור Windows 7 SP1 ו-Windows Server 2008 R2 SP1

• 3192440 עדכון מצטבר עבור Windows 10:11 באוקטובר 2016

• 3194798 עדכון מצטבר עבור Windows 10 גירסה 1607 ו-Windows Server 2016:11 באוקטובר 2016

• 3192441 עדכון מצטבר עבור Windows 10 גירסה 1511:11 באוקטובר 2016

עדכוני אבטחה המהווים replacedThe בעקבות עדכוני אבטחה הוחלפו:

• 3176492 עדכון מצטבר עבור Windows 10:9 באוגוסט 2016

• 3176493 עדכון מצטבר עבור Windows 10 גירסה 1511:9 באוגוסט 2016

• 3176495 עדכון מצטבר עבור Windows 10 גירסה 1607:9 באוגוסט 2016

להלן עדכוני האבטחה החדשים שמחליפים את עדכוני האבטחה שהוזכרו מוקדם יותר:

• 3192440 עדכון מצטבר עבור Windows 10:11 באוקטובר 2016

• 3194798 עדכון מצטבר עבור Windows 10 גירסה 1607 ו-Windows Server 2016:11 באוקטובר 2016

• 3192441 עדכון מצטבר עבור Windows 10 גירסה 1511:11 באוקטובר 2016

בעיות ידועות בעדכון אבטחה זה

• בעיה ידועה 1
  
  עדכוני האבטחה הכלולים ב -microsoft ms16-101 והעדכונים החדשים מבטלים את היכולת של תהליך ניהול המשא ומתן כדי לחזור ל-NTLM כאשר אימות Kerberos נכשל בפעולות שינוי הסיסמאות באמצעות קוד השגיאה STATUS_NO_LOGON_SERVERS (0xc000005e). במצב זה, ייתכן שתקבל אחד מקודי השגיאה הבאים.
  
  

  הקסדצימאלי	עשרוניים	Symbolic	ידידותי
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	המערכת זיהתה ניסיון אפשרי להתפשר על אבטחה. ודא שבאפשרותך לפנות לשרת שאימת אותך.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	המערכת זיהתה ניסיון אפשרי להתפשר על אבטחה. ודא שבאפשרותך לפנות לשרת שאימת אותך.

  
  
  פתרון
  
  אם שינויים בסיסמאות שהופצו בעבר לאחר ההתקנה של microsoft ms16-101, סביר להניח ששינויי סיסמה הסתמך בעבר על בסיס הפעלה של NTLM מכיוון ש-Kerberos נכשל. כדי לשנות סיסמאות בהצלחה באמצעות פרוטוקולים של Kerberos, בצע את הפעולות הבאות:
  
  
  

  1. קבע את התצורה של תקשורת פתוחה ביציאת TCP 464 בין לקוחות שmicrosoft ms16-101 מותקנים ובקר התחום המהווה שירות לאיפוס סיסמאות.
     
     בקרי תחום לקריאה בלבד (RODCs) יכולים לירות באמצעות סיסמה בשירות עצמי אם המשתמש מורשה על-ידי מדיניות שכפול הסיסמאות של RODCs. משתמשים שאינם מורשים על-ידי מדיניות הסיסמה של RODC דורשים קישוריות רשת לבקר תחום לקריאה/כתיבה (RWDC) בתחום חשבון המשתמש.
     
     הערה כדי לבדוק אם יציאת TCP 464 פתוחה, בצע את הפעולות הבאות:
     
     
     

     1. צור מסנן תצוגה שווה ערך עבור מנתח הרשת של צג הרשת. לדוגמה:
        

        ipv4. address = = <כתובת ה-ip של לקוח> && tcp. port = = 464

     2. בתוצאות, חפש את המסגרת "TCP: [SynReTransmit".
        
        

  2. ודא ששמות היעד של Kerberos חוקיים. (כתובות IP אינן חוקיות עבור פרוטוקול Kerberos. Kerberos תומך בשמות קצרים ובשמות תחומים מלאים.)

  3. ודא שהשמות הראשיים של השירות (Spn) רשומים כראוי.
     
     לקבלת מידע נוסף, ראה האיפוס של Kerberos וSelf-Service סיסמה.

• בעיה ידועה 2
  
  אנו מכירים בנושא בעיה שבה איפוס סיסמאות תיכנותי של חשבונות משתמשי תחום נכשלים ומחזירים את קוד השגיאה STATUS_DOWNGRADE_DETECTED (0x800704F1) אם הכשל הצפוי הוא אחד מהבאים:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (מוחזר לעתים נדירות)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  הטבלה הבאה מציגה את מיפוי השגיאה המלא.
  
  

  הקסדצימאלי	עשרוניים	Symbolic	ידידותי
  0x56	86	ERROR_INVALID_PASSWORD	סיסמת הרשת שצוינה אינה נכונה.
  0x267	615	ERROR_PWD_TOO_SHORT	הסיסמה שנמסרה קצרה מכדי לעמוד במדיניות של חשבון המשתמש שלך. ספק סיסמה ארוכה יותר.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	כאשר אתה מנסה לעדכן סיסמה, מצב החזרה זה מציין שהערך שהתקבל כסיסמה הנוכחית שגוי.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	כאשר אתה מנסה לעדכן סיסמה, מצב החזרה זה מציין כי חלק מהכלל של עדכון הסיסמאות הופר. לדוגמה, ייתכן שהסיסמה אינה עונה על קריטריוני האורך.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	למערכת אין אפשרות ליצור קשר עם בקר תחום כדי לספק את בקשת האימות. נסה שוב מאוחר יותר.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	למערכת אין אפשרות ליצור קשר עם בקר תחום כדי לספק את בקשת האימות. נסה שוב מאוחר יותר.

  
  
  הפתרון
  
  microsoft ms16-101 פורסם מחדש כדי לטפל בבעיה זו. התקן את הגירסה העדכנית ביותר של העדכונים עבור עלון זה כדי לפתור בעיה זו.
  
  

• בעיה ידועה 3
  
  אנו מכירים בעיה שבה השינויים התוכניתיים של הסיסמה של חשבון המשתמש המקומי עשויים להיכשל ולהחזיר את קוד השגיאה STATUS_DOWNGRADE_DETECTED (0x800704F1).
  
  הטבלה הבאה מציגה את מיפוי השגיאה המלא.
  
  

  הקסדצימאלי	עשרוניים	Symbolic	ידידותי
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	למערכת אין אפשרות ליצור קשר עם בקר תחום כדי לספק את בקשת האימות. נסה שוב מאוחר יותר.

  
  
  הפתרון
  
  microsoft ms16-101 פורסם מחדש כדי לטפל בבעיה זו. התקן את הגירסה העדכנית ביותר של העדכונים עבור עלון זה כדי לפתור בעיה זו.
  
  

• 
  
  לא ניתן לשנות סיסמאות של בעיה ידועה של 4 עבור חשבונות משתמשים שאינם זמינים ונעולים באמצעות חבילת המשא ומתן.
  
  
  שינויים בסיסמאות עבור חשבונות לא זמינים וחשבונות נעולים עדיין יפעלו בעת שימוש בשיטות אחרות, כגון בעת שימוש בפעולות שינוי של LDAP ישירות. לדוגמה, ה-cmdlet של PowerShell Set-ADAccountPassword משתמש בפעולת "שינוי LDAP" כדי לשנות את הסיסמה ועדיין לא יושפע.
  
  פתרון
  
  חשבונות אלה דורשים מנהל מערכת כדי ליצור איפוס סיסמאות. אופן פעולה זה מתבצע על-ידי עיצוב לאחר התקנת MICROSOFT MS16-101 ותיקונים מאוחרים יותר.
  
  

• בעיה ידועה 5
  
  יישומים המשתמשים ב-API של NetUserChangePassword והעברת שרת servername בפרמטר domainname לא יפעלו עוד לאחר התקנת העדכונים microsoft ms16-101 ואילך.
  
  מדינות התיעוד של Microsoft המספקות שם שרת מרוחק בפרמטר domainname של הפונקציה NetUserChangePassword נתמכות. לדוגמה, הנושא NetUserChangePassword function MSDN מציין את הפרטים הבאים:
  
  domainname [in]
  

  מצביע על מחרוזת קבועה המציינת את שם ה-DNS או ה-NetBIOS של שרת או תחום מרוחק שעליהם לבצע את הפונקציה. אם פרמטר זה הוא NULL, נעשה שימוש בתחום הכניסה של המתקשר. מצב
  
  הדרכה זו הוחלף על-ידי microsoft ms16-101, אלא אם איפוס הסיסמה מיועד לחשבון מקומי במחשב המקומי.
  
  פרסם את MICROSOFT MS16-101, כדי לבצע שינויים בסיסמאות משתמשי תחום כדי לעבוד, עליך להעביר שם תחום DNS חוקי ל-API של NetUserChangePassword.

• בעיה ידועה 6
  
  לאחר התקנת עדכוני האבטחה המתוארים בסיסמאות של חשבון משתמש מקומי microsoft ms16-101, מרוחק ומרוחק של הסיסמה של חשבון משתמש מקומי, ושינויי סיסמה ביער שאינו מהימן נכשלים.
  
  
  פעולה זו נכשלת מכיוון שהפעולה מסתמכת על מחזור NTLM שאינו נתמך עוד עבור חשבונות לא מקומיים לאחר התקנת MICROSOFT MS16-101.
  
  
  ניתן להשתמש בערך רישום שניתן להשתמש בו כדי להפוך שינוי זה ללא זמין.
  
  אזהרה פתרון זה עשוי לגרום למחשב או לרשת להיות פגיעים יותר להתקפה על-ידי משתמשים זדוניים או תוכנות זדוניות כגון וירוסים. אין אנו ממליצים על פתרון זה, אך אנו מספקים מידע זה כדי שתוכל ליישם פתרון זה על פי שיקול הדעת שלך. השתמש בפתרון זה באחריותך בלבד.
  
  המקטע ImportantThis, פעולת השירות או המשימה מכיל שלבים המסבירים כיצד לשנות את הרישום. עם זאת, בעיות חמורות עלולות להתרחש אם תשנה את הרישום באופן שגוי. לכן, הקפד על ביצוע שלבים אלה בתשומת לב מרובה. לתוספת הגנה, גבה את הרישום לפני שתשנה אותו. לאחר מכן, תוכל לשחזר את הרישום אם תתרחש בעיה. לקבלת מידע נוסף על אופן הגיבוי והשחזור של הרישום, לחץ על מספר המאמר הבא כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:

  322756כיצד לגבות ולשחזר את הרישום ב
  
  -Windows כדי להפוך שינוי זה ללא זמין, הגדר את ערך DWORD NegoAllowNtlmPwdChangeFallback כדי להשתמש בערך של 1 (אחד).
  
  
  חשוב הגדרת ערך הרישום של NegoAllowNtlmPwdChangeFallback לערך של 1 יהפוך את תיקון אבטחה זה ללא זמין:
  

  ערך רישום	תיאור
  0	ערך ברירת מחדל. האפשרות ' נסיגה ' מונעת.
  1	תמיד מותר להכניס את הבסיס. תיקון האבטחה מבוטל. לקוחות הנתקלים בבעיות עם חשבונות מקומיים מרוחקים או תרחישים של יער שאינם מהימנים יכולים להגדיר את הרישום לערך זה.

  כדי להוסיף ערכי רישום אלה, בצע את הפעולות הבאות:
  

  1. לחץ על התחל, לחץ על הפעלה, הקלד regedit בתיבה פתח את ולאחר מכן לחץ על אישור.

  2. אתר את מפתח המשנה הבא ברישום ולחץ עליו:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. בתפריט עריכה, הצבע על חדש ולאחר מכן לחץ על ערך DWORD.

  4. הקלד NegoAllowNtlmPwdChangeFallback עבור השם של ערך DWORD ולאחר מכן הקש ENTER.

  5. לחץ באמצעות לחצן העכבר הימני על NegoAllowNtlmPwdChangeFallbackולאחר מכן לחץ על שנה.

  6. בתיבה נתוני ערך , הקלד 1 כדי להפוך שינוי זה ללא זמין ולאחר מכן לחץ על אישור.
     
     
     הערה כדי לשחזר את ערך ברירת המחדל, הקלד 0 (אפס) ולאחר מכן לחץ על אישור.

  מצב
  
  הסיבה לכך שהגורם הבסיסי לבעיה זו מובן. מאמר זה יעודכן בפרטים נוספים כאשר הם יהפכו לזמינים.

כיצד להשיג ולהתקין את העדכון

שיטה 1: Windows Update

עדכון זה זמין באמצעות Windows Update. כאשר תפעיל את העדכון האוטומטי, עדכון זה יוריד ויותקן באופן אוטומטי. לקבלת מידע נוסף אודות הפעלת העדכון האוטומטי, ראה
קבלת עדכוני אבטחה באופן אוטומטי.

שיטה 2: קטלוג העדכונים של Microsoft

כדי לקבל את החבילה העצמאית עבור עדכון זה, עבור אל אתר האינטרנט של הקטלוג של Microsoft update .

מידע נוסף