MS16-101: Sigurnosno ažuriranje za metode provjere autentičnosti sustava Windows: Kolovoz 9, 2016

Sažetak

Ovo Sigurnosno ažuriranje rješava više ranjivosti u sustavu Microsoft Windows. Ranjivosti mogu dopustiti povećanje privilegija ako napadač pokrene posebno izrađen program na sustavu koji se pridružuje domeni.

Dodatne informacije o ranjivosti potražite u članku Microsoftov sigurnosni bilten MS16-101.

Dodatne informacije

Važno

• Sva buduća sigurnosna i nesigurnosna ažuriranja za Windows 8,1 i Windows Server 2012 R2 zahtijevaju ažuriranje 2919355 za instalaciju. Preporučujemo da instalirate Update 2919355 na računalo sa sustavom Windows 8,1 ili windows Server 2012 R2 da biste primali buduća ažuriranja.

• Ako nakon instalacije tog ažuriranja instalirate jezični paket, morate ponovno instalirati ovo ažuriranje. Stoga preporučujemo da prije instaliranja tog ažuriranja instalirate bilo koji jezični paket koji vam je potreban. Dodatne informacije potražite u članku Dodavanje jezičnih paketa u Windows.

Dodatne informacije o tom sigurnosnom ažuriranju

U sljedećim se člancima sadrže dodatne informacije o tom sigurnosnom ažuriranju koje se odnose na pojedinačne verzije proizvoda. Članci mogu sadržavati poznate informacije o problemu.

• 3177108 MS16-101: Opis metoda sigurnosnog ažuriranja za provjeru autentičnosti u sustavu Windows: Kolovoz 9, 2016

• 3167679 MS16-101: Opis metoda sigurnosnog ažuriranja za provjeru autentičnosti u sustavu Windows: Kolovoz 9, 2016

• 3192392 2016 sigurnost samo kvalitetno ažuriranje za Windows 8,1 i Windows Server 2012 R2

• 3185331 2016 za sigurnost mjesečna kumulativna kvaliteta za Windows 8,1 i Windows Server 2012 R2

• 3192393 2016 za sigurnost samo kvalitetno ažuriranje za Windows Server 2012

• 3185332 2016 za sigurnost mjesečna kumulativna kvaliteta za Windows Server 2012

• 3192391 2016 za sigurnost samo kvalitetno ažuriranje za Windows 7 SP1 i Windows Server 2008 R2 SP1

• 3185330 2016 za sigurnost mjesečne kvalitetne kumulativne vrijednosti za Windows 7 SP1 i Windows Server 2008 R2 SP1

• 3192440 Kumulativno ažuriranje za Windows 10: Listopad 11, 2016

• 3194798 Kumulativno ažuriranje za Windows 10 verzije 1607 i Windows Server 2016: Listopad 11, 2016

• 3192441 Kumulativno ažuriranje za Windows 10 verzija 1511: Listopad 11, 2016

Bezbednosna ažuriranja koja se zamjenjuju u sljedećim sigurnosnim ažuriranjima zamijenjena su:

• 3176492 Kumulativno ažuriranje za Windows 10: Kolovoz 9, 2016

• 3176493 Kumulativno ažuriranje za Windows 10 verzija 1511: Kolovoz 9, 2016

• 3176495 Kumulativno ažuriranje za Windows 10 verzija 1607: Kolovoz 9, 2016

Slijede nova sigurnosno ažuriranja koja zamjenjuju prethodno navedena Sigurnosno ažuriranje:

• 3192440 Kumulativno ažuriranje za Windows 10: Listopad 11, 2016

• 3194798 Kumulativno ažuriranje za Windows 10 verzije 1607 i Windows Server 2016: Listopad 11, 2016

• 3192441 Kumulativno ažuriranje za Windows 10 verzija 1511: Listopad 11, 2016

Poznati problemi s ovim sigurnosnim ažuriranjem

• Poznati problem 1
  
  sigurnosna ažuriranja koja se nalaze u programu MS16-101 i novija ažuriranja onemogućuju mogućnost pregovora da se vraćaju u NTLM kada provjera autentičnosti programa Kerberos ne prođe za operacije promjene lozinki s kodom pogreške STATUS_NO_LOGON_SERVERS (0xc000005e). U toj situaciji možete primiti neku od sljedećih kodova pogrešaka.
  
  

  Heksadecimalni	Decimalni	Simboličke	Prijateljski
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Sustav je otkrio mogući pokušaj ugrožavanja sigurnosti. Provjerite možete li se obratiti poslužitelju koji vam je potvrdio provjeru autentičnosti.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sustav je otkrio mogući pokušaj ugrožavanja sigurnosti. Provjerite možete li se obratiti poslužitelju koji vam je potvrdio provjeru autentičnosti.

  
  
  Zaobilazno rješenje
  
  Ako promjene lozinke koje su prethodno uspjele uspjeti nakon instalacije sustava MS16-101, vjerojatno su se promjene lozinke prethodno oslonile na NTLM fallback jer Kerberos nije uspio. Da biste uspješno promijenili lozinke pomoću Kerberos protokola, slijedite ove korake:
  
  
  

  1. Konfigurirajte otvorenu komunikaciju na servisu TCP Port 464 između klijenata koji imaju instaliran MS16-101 i kontroler domene koji služi za servisiranje lozinki.
     
     Kontroleri domena samo za čitanje (RODCs) mogu servisiranjem lozinke za samoservisiranje ponovno instalirati ako je korisniku dopušteno pravilo replikacije RODCs lozinke. Korisnicima koji nisu dozvoljeni pravilnik o lozinkama za lozinku potrebna je mrežna veza za kontroler domene za čitanje/zapisivanje (RWDC) u domeni korisničkog računa.
     
     Obavijest da biste provjerili je li TCP priključak 464 otvoren, slijedite ove korake:
     
     
     

     1. Stvaranje ekvivalentnog filtra za prikaz za parsera mrežnog monitora. Na primjer:
        

        IPv4. Address = = <IP adresa klijenta> && TCP. Port = = 464

     2. U rezultatima potražite okvir "TCP: [Synreemitiraj".
        
        

  2. Provjerite jesu li nazivi ciljnih Kerberosa valjani. (IP adrese nisu valjane za Kerberos protokol. Kerberos podržava kratke nazive i potpuno kvalificirane nazive domena.)

  3. Provjerite jesu li glavni nazivi servisa (SPN-ovi) pravilno registrirani.
     
     Dodatne informacije potražite u članku Kerberos i Self-Service ponovno postavljanje lozinke.

• Poznati problem 2
  
  znamo o problemu u kojem se u programskoj lozinci ponovno postavlja korisnički računi domene ne uspiju i vraćaju STATUS_DOWNGRADE_DETECTED (0x800704F1) kod pogreške ako je očekivani neuspjeh jedan od sljedećih načina:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (rijetko se vraća)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  U sljedećoj su tablici prikazane potpune preslikavanja pogreške.
  
  

  Heksadecimalni	Decimalni	Simboličke	Prijateljski
  0x56	86	ERROR_INVALID_PASSWORD	Određena mrežna lozinka nije ispravna.
  0x267	615	ERROR_PWD_TOO_SHORT	Lozinka koja je navedena prekratka je da bi se zadovoljila pravila korisničkog računa. Navedite dužu lozinku.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Kada pokušate ažurirati lozinku, ovaj status povratka označava da je vrijednost koja je navedena kao sadašnja lozinka netočna.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Kada pokušate ažurirati lozinku, ovaj status povratka označava da je prekršeno pravilo o ažuriranju lozinke. Lozinka možda, primjerice, ne zadovoljava kriterije duljine.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Sustav se ne može obratiti kontroleru domene radi servisiranja zahtjeva za provjeru autentičnosti. Pokušajte ponovno poslije.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Sustav se ne može obratiti kontroleru domene radi servisiranja zahtjeva za provjeru autentičnosti. Pokušajte ponovno poslije.

  
  
  Rezolucija
  
  MS16-101 ponovno je objavljena da biste riješili taj problem. Instalirajte najnoviju verziju ažuriranja za ovaj bilten da biste riješili taj problem.
  
  

• Poznati problem 3
  
  znamo o problemu u kojem programsko ponovno postavljanje promjena lozinki lokalnog korisničkog računa može uspjeti i vraća STATUS_DOWNGRADE_DETECTED (0x800704F1) kod pogreške.
  
  U sljedećoj su tablici prikazane potpune preslikavanja pogreške.
  
  

  Heksadecimalni	Decimalni	Simboličke	Prijateljski
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sustav se ne može obratiti kontroleru domene radi servisiranja zahtjeva za provjeru autentičnosti. Pokušajte ponovno poslije.

  
  
  Rezolucija
  
  MS16-101 ponovno je objavljena da biste riješili taj problem. Instalirajte najnoviju verziju ažuriranja za ovaj bilten da biste riješili taj problem.
  
  

• Poznati problem 4
  
  lozinke za onemogućene i isključeni korisnički računi ne mogu se promijeniti pomoću paketa pregovora.
  
  
  Promjene lozinki za onemogućene i isključeni računi i dalje će funkcionirati prilikom korištenja drugih metoda, kao što je izravno korištenje značajke LDAP modificiranja. Na primjer, cmdlet za PowerShell Set-ADAccountPassword koristi operaciju "LDAP Change" za promjenu lozinke i ostaje nedirnut.
  
  Zaobilazno rješenje
  
  za ove račune potreban je administrator da bi ponovno postavio lozinku. To je ponašanje po dizajnu nakon instalacije MS16-101 i novijih popravaka.
  
  

• Poznati problem 5
  
  aplikacija koje koriste API NetUserChangePassword i koja prođe naziv poslužitelja u parametru domena više neće funkcionirati nakon instalacije MS16-101 i novija ažuriranja.
  
  Microsoftova dokumentacija kaže da je podržan naziv udaljenog poslužitelja u parametru domeninname u funkciji NetUserChangePassword. Na primjer, funkcija netuserchangepassword MSDN navodi sljedeće:
  
  domeninaziv [u]
  

  Pokazivač na konstantni niz koji određuje DNS ili NetBIOS naziv udaljenog poslužitelja ili domene na kojoj se funkcija izvršava. Ako je parametar NULL, koristi se domena za prijavu pozivatelja. Status
  
  te je smjernice ZAMIJENJENO MS16-101, osim ako se za lokalni račun na lokalnom računalu ne resetuje lozinka.
  
  Post MS16-101, da bi se za korisničke lozinke domene promijenile rad, morate prenijeti valjani DNS naziv domene u API NetUserChangePassword.

• Poznat problem 6
  
  nakon instalacije sigurnosnih ažuriranja opisanih u MS16-101, udaljenim, programskim promjenama lozinke lokalnog korisničkog računa i promjena lozinki u svim nepouzdanim šumama nije uspjelo.
  
  
  Ova operacija ne uspijeva jer se operacija oslanja na vraćanje NTLM-a koji više nije podržan za nelokalne račune nakon instalacije MS16-101.
  
  
  Stavka registra osigurana je pomoću koje možete onemogućiti tu promjenu.
  
  Upozorenje ovo zaobilazno rješenje može učiniti računalo ili mrežu ranjivom na napade zlonamjernih korisnika ili zlonamjernog softvera, kao što su virusi. Ovo zaobilazno rješenje ne preporučujemo, ali vam pružamo te informacije da biste mogli implementirati ovo zaobilazno rješenje na vlastitu diskreciju. Ovo zaobilazno rješenje koristite na vlastitu odgovornost.
  
  ImportantThis odjeljak, način ili zadatak sadrži korake koji vam objašnjavaju kako izmijeniti registar. A nepravilnim izmjenama registra možete prouzročiti ozbiljne probleme. Zato pažljivo slijedite ove upute. Radi dodatne zaštite prije izmjene registra stvorite njegovu sigurnosnu kopiju. Na taj ćete način moći vratiti registar ako se pojave problemi. Dodatne informacije o stvaranju sigurnosne kopije i vraćanju registra potražite u članku iz Microsoftove baze znanja pod brojem

  322756Kako sigurnosno kopiranje i vraćanje registra u sustavu Windows
  
  da biste onemogućili tu promjenu, postavite stavku Negoallowntlmpwdechangefallback d Word da biste koristili vrijednost 1 (jedan).
  
  
  Važno postavljanje unosa registra Negoallowntlmpwdechangefallback u vrijednost 1 onemogućit će ovaj sigurnosni popravak:
  

  Vrijednost registra	Opis
  0	Zadana vrijednost. Povlačenje je onemogućeno.
  1	Povlačenje je uvijek dopušteno. Sigurnosno je rješenje isključeno. Korisnici koji imaju problema s udaljenim lokalnim računima ili nepouzdanim scenarijima šuma mogu postaviti registar na tu vrijednost.

  Da biste dodali te vrijednosti registra, slijedite ove korake:
  

  1. Kliknite Start, zatim Pokreni, u okvir Otvori upišite regedit, a zatim kliknite u redu.

  2. Pronađite, a zatim kliknite sljedeći potključ u registru:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. Na izborniku Uređivanje pokažite na novo, a zatim kliknite vrijednost d Word.

  4. Upišite Negoallowntlmpwd Changefallback za naziv programa deword, a zatim pritisnite ENTER.

  5. Desnom tipkom miša kliknite Negoallowntlmpwd Changefallback, a zatim kliknite Izmijeni.

  6. U okvir vrijednost podataka upišite 1 da biste onemogućili tu promjenu, a zatim kliknite u redu.
     
     
     Obavijest da biste vratili zadanu vrijednost, upišite 0 (nula), a zatim kliknite u redu.

  Status
  
  uzrok tog problema se razumije. Ovaj će se članak ažurirati dodatnim pojedinostima kada postanu dostupni.

Dohvaćanje i instalacija ažuriranja

Prvi način: Windows Update

Ovo je ažuriranje dostupno putem servisa Windows Update. Kada uključite automatsko ažuriranje, ovo će se ažuriranje preuzeti i instalirati automatski. Dodatne informacije o uključivanjem automatskog ažuriranja potražite u članku
Automatsko dohvaćanje sigurnosnih ažuriranja.

Druga metoda: Microsoft Update Catalog

Da biste dobili samostalan paket za ovo ažuriranje, otvorite web-mjesto Microsoft Update Catalog .

Dodatne informacije