MS16-101: A Windows hitelesítési módszerek biztonsági frissítésének leírása: 2016. augusztus 9.

Összefoglalás

Ez a biztonsági frissítés a Microsoft Windows több biztonsági rését is elhárítja. A biztonsági rések lehetővé tehetik a jogosultságok kiterjesztését, ha egy támadó egy speciálisan kialakított alkalmazást futtat egy tartományhoz csatlakozott rendszerben.

A biztonsági résről a Microsoft MS16-101 biztonsági közleményében olvashat bővebben.

További információ

Fontos:

• A Windows 8.1 és a Windows Server 2012 R2 minden biztonsági és nem biztonsági frissítéséhez telepíteni kell a 2919355-ös frissítést. Azt javasoljuk, hogy telepítse a 2919355-ös frissítést Windows 8.1 vagy Windows Server 2012 R2 rendszerű számítógépére, hogy a jövőben megkapja a frissítéseket.

• Ha a frissítés telepítése után nyelvi csomagot telepít, újra kell telepítenie a frissítést. Ezért azt javasoljuk, hogy a frissítés telepítése előtt telepítse a szükséges nyelvi csomagokat. További információ: Nyelvi csomagok hozzáadása a Windowshoz.
  

A biztonsági frissítés ismert problémái

• Ismert, 1. probléma: Az MS16-101 és az újabb frissítések által biztosított biztonsági frissítések letiltják a "Negotiate process" eljárást az NTLM-re való visszaváltásra, ha a Kerberos-hitelesítés nem sikerül az
  
  STATUS_NO_LOGON_SERVERS (0xc000005e) hibakóddal kapcsolatos jelszó-módosítási műveletek esetén. Ilyen esetben az alábbi hibakódok egyike jelenhet meg.
  
  

  Hexadecimális	Decimális	Szimbolikus	Felhasználóbarát
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	A rendszer biztonsági kockázatot észlelt. Kérjük, győződjön meg arról, hogy kapcsolatba tud lépni az Ön hitelesítésére használt kiszolgálóval.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	A rendszer biztonsági kockázatot észlelt. Kérjük, győződjön meg arról, hogy kapcsolatba tud lépni az Ön hitelesítésére használt kiszolgálóval.

  
  
  Megoldás: Ha az
  MS16-101 telepítése után a korábban sikeres jelszóváltozások nem sikerülnek, akkor valószínű, hogy a jelszóváltozások korábban az NTLM-es tartalék jelszóra támaszkodtak, mert
  a Kerberos sikertelen volt. A jelszó Kerberos-protokollok használatával való sikeres módosítása érdekében kövesse az alábbi lépéseket:
  
  
  

  1. Konfigurálja a nyílt kommunikációt a 464-es TCP-porton az MS16-101 jelszavú ügyfelek és a jelszó-visszaállítást kezelő tartományvezérlő között.
     
     A csak olvasható tartományvezérlők (A.ISM-ek) az önkiszolgáló jelszó-visszaállítások szolgáltatását is lehetővé t tengedik, ha a FELHASZNÁLÓnak lehetővé teszi a BESZŰK jelszó-replikációs házirendje. Azok a felhasználók, akik nem engedik meg a MINTÁS jelszó házirendet, a felhasználói fiók tartományában olvasási/írási tartományvezérlőhöz (RWDC) kell hálózati csatlakozást használni.
     
     Megjegyzés: Ha ellenőriznie kell, hogy a 464-es TCP-port meg van-e nyitva, kövesse az alábbi lépéseket:
     
     
     

     1. Hozzon létre egy megfelelő megjelenítési szűrőt a hálózatfigyelő elemzőjéhez. Például:
        

        ipv4.address== <tcp.port=464-es ügyfélprogram ip-> && ip-címe

     2. Az eredmények között keresse meg a "TCP:[SynReTransmit" keretet.
        
        

  2. Győződjön meg arról, hogy a cél Kerberos-nevek érvényesek. (Az IP-címek nem érvényesek a Kerberos protokollra. A Kerberos rövid és teljesen minősített tartományneveket támogat.)

  3. Győződjön meg arról, hogy a szolgáltatásnévnevek (SPN-k) megfelelően vannak regisztrálva.
     
     További információt a Kerberosés a Self-Service a Jelszó alaphelyzetbe állítása.

• Ismert 2. probléma: Tudunk arról a problémáról, amely miatt a tartományi felhasználói fiókok programozott jelszavas alaphelyzetbe állítása sikertelen, és ha a várt hiba az alábbiak egyike, akkor a
  
  STATUS_DOWNGRADE_DETECTED (0x800704F1) hibakódot adja vissza:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (ritkán)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  Az alábbi táblázat a teljes hibaleképezést mutatja be.
  
  

  Hexadecimális	Decimális	Szimbolikus	Felhasználóbarát
  0x56	86	ERROR_INVALID_PASSWORD	A megadott hálózati jelszó nem helyes.
  0x267	615	ERROR_PWD_TOO_SHORT	A megadott jelszó túl rövid ahhoz, hogy megfeleljen a felhasználói fiók házirendjének. Adjon meg hosszabb jelszót.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Amikor megpróbál frissíteni egy jelszót, a visszatérési állapot azt jelzi, hogy az aktuális jelszóként megadott érték helytelen.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Amikor megpróbál frissíteni egy jelszót, ez a visszatérési állapot azt jelzi, hogy néhány jelszófrissítési szabály nem lett megsértve. Előfordulhat például, hogy a jelszó nem felel meg a hosszra vonatkozó feltételeknek.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	A rendszer nem tud kapcsolatba lépni a tartományvezérlővel a hitelesítési kérelem szolgáltatása érdekében. Próbálkozzon újra később.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	A rendszer nem tud kapcsolatba lépni a tartományvezérlővel a hitelesítési kérelem szolgáltatása érdekében. Próbálkozzon újra később.

  
  
  A probléma megoldásához az
  
  MS16-101-es hiba megoldása is megjelent. A probléma megoldásához telepítse a közlemény frissítésének legújabb verzióját.
  
  

• Ismert probléma, 3. Ismert probléma, amely miatt a helyi felhasználói fiókok jelszavának programozott alaphelyzetbe állítása sikertelen lehet, és a
  
  STATUS_DOWNGRADE_DETECTED (0x800704F1) hibakódot adja vissza.
  
  Az alábbi táblázat a teljes hibaleképezést mutatja be.
  
  

  Hexadecimális	Decimális	Szimbolikus	Felhasználóbarát
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	A rendszer nem tud kapcsolatba lépni a tartományvezérlővel a hitelesítési kérelem szolgáltatása érdekében. Próbálkozzon újra később.

  
  
  A probléma megoldásához az
  
  MS16-101-es hiba megoldása is megjelent. A probléma megoldásához telepítse a közlemény frissítésének legújabb verzióját.
  
  

• Ismert 4. probléma: A letiltott és zárolt felhasználói fiókokhoz használt jelszavak nem módosíthatók
  
  az egyeztetési csomag használatával.
  
  A letiltott és zárolt fiókok jelszavas módosításai más módszerek, például az LDAP-módosítási művelet közvetlen használata esetén is működnek. A PowerShell-parancsmag Set-ADAccountPassword például egy "LDAP-módosítás" művelettel módosítja a jelszót, és változatlan marad.
  
  Kerülő
  
  megoldás: Ezekhez a fiókokhoz a rendszergazdának kell alaphelyzetbe állítania a jelszót. Ez a működés az MS16-101 és újabb javítások telepítése után, tervezés szerint van.
  
  

• Ismert, 5. probléma, amelyek
  
  a NetUserChangePassword API-t használják, és a tartománynév paraméterben megadott kiszolgálónevet adjanak át, az MS16-101 és újabb frissítések telepítése után nem fognak működni.
  
  A Microsoft dokumentációja szerint a NetUserChangePassword függvény tartománynév paraméterében támogatott a távoli kiszolgálónév megadása. A NetUserChangePassword függvény MSDN-témaköre például a következőt tartalmazza:
  
  tartománynév [in]
  

  Egy olyan konstans karakterláncra mutató, amely megadja annak a távoli kiszolgálónak vagy tartománynak a DNS- vagy Net KARAKTERLÁNC-nevét, amelyen a függvényt végre kell hajtani. Ha ez a paraméter NULL, a rendszer a hívó bejelentkezési tartományát használja. Ezt az útmutatót azonban az MS16-101 már nem írta le, hacsak a jelszó alaphelyzetbe állítása nem helyi fiókhoz van beállítva a helyi számítógépen. Az MS16-101 jelszavának csak akkor működik, ha érvényes DNS-tartománynevet ad át a NetUserChangePassword API-nak.

• Ismert probléma: 6. ismert probléma az
  
  MS16-101jelszavának, a helyi felhasználói fiókok jelszavának távoli, programozott módosításai, valamint a nem megbízható erdő jelszavas módosításainak telepítése után.
  
  
  Ez a művelet sikertelen lesz, mert a művelet az NTLM visszaeső működésére támaszkodik, amely az MS16-101 telepítése után már nem támogatott a nemlocal fiókokban.
  
  
  A módosítás letiltásához használhatja a beállításjegyzék bejegyzését.
  
  Figyelmeztetés Ez a kerülő megoldás sebezhetővé teszi a számítógépeket vagy a hálózatokat a rosszindulatú felhasználók vagy kártékony szoftverek, például vírusok támadásaival szemben. Ezt a kerülő megoldást nem javasoljuk, de ezeket az információkat azért használhatja, hogy saját belátása szerint implementálja. Az alábbi megoldást csak saját felelősségére hajtsa végre.
  
  FontosEz a szakasz, metódus vagy feladat olyan lépéseket tartalmaz, amelyekből meg tudja tudni, hogy miként módosíthatja a beállításjegyzéket. A beállításjegyzék helytelen módosítása azonban komoly problémákhoz vezethet. Ezért ügyeljen arra, hogy gondosan kövesse ezeket a lépéseket. A további védelem érdekében a módosítás előtt biztonsági gombra kell módosítania a beállításjegyzéket. Ezután probléma esetén visszaállíthatja a beállításjegyzéket. A beállításjegyzék biztonsági mentésével és visszaállításával kapcsolatos további információkért kattintson a következő cikkszámra a Microsoft Tudásbázisban található cikk megtekintéséhez:

  322756A beállításjegyzék biztonsági mentésének és visszaállításának lépései a Windowsban A módosítás letiltásához állítsa be
  
  a NegoAllowNtlmPwdChangeFallback DWORD bejegyzést 1 (egy) értékre.
  
  
  Fontos, hogy a NegoAllowNtlmPwdChangeFallback beállításjegyzékbeli bejegyzésének 1-es értékre való beállítása letiltja ezt a biztonsági javítást:
  

  Beállításjegyzékbeli érték	Leírás
  0	Alapértelmezett érték. A visszalépés le van akadályozva.
  1	A visszalépés mindig engedélyezett. A biztonsági javítás ki van kapcsolva. Azok az ügyfelek, akik távoli helyi fiókokkal vagy nem megbízható erdővel kapcsolatos problémákat tudnak beállítani, ezt az értéket állíthatják be a beállításjegyzékben.

  A beállításjegyzék értékeinek hozzáadásához kövesse az alábbi lépéseket:
  

  1. Kattintson a Start menü Futtatás parancsára, írja be a regedit parancsot a Megnyitás mezőbe, majd kattintson az OK gombra.

  2. Keresse meg, majd kattintson a következő alkulcsra a beállításjegyzékben:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. Mutasson a Szerkesztés menü Új pontjára, majd kattintson a DUPLASZÓ parancsra.

  4. Írja be a NegoAllowNtlmPwdChangeFallback nevet a DWORD névhez, majd nyomja le az ENTER billentyűt.

  5. Kattintson a jobb gombbal a NegoAllowNtlmPwdChangeFallbackelemre, és válassza a Modify (Módosítás) gombra.

  6. Az Érték adatmezőbe írja be az 1 értéket a módosítás letiltásához, majd kattintson az OK gombra.
     
     
     Megjegyzés: Az alapértelmezett érték visszaállításához írja be a 0 (nulla) értéket, majd kattintson az OK gombra.

  Status
  
  The root cause of this issue isstood. Ez a cikk frissülni fog további részletekkel, amint elérhetővé válnak.

A frissítés beszerzése és telepítése

1. módszer: Windows Update

Ez a frissítés a Windows Update-ön keresztül érhető el. Az automatikus frissítés bekapcsolásakor a rendszer automatikusan letölti és telepíti ezt a frissítést. Az automatikus frissítés bekapcsolásával kapcsolatos további információkért lásd:
Biztonsági frissítések automatikus letöltése.

2. módszer: Microsoft Update katalógus

A frissítés különálló csomagját a Microsoft Frissítési katalógus webhelyéről szerezze be.

További információ

Fájlinformációk