MS16-101: Deskripsi tentang pemutakhiran keamanan untuk Windows metode otentikasi: 9 Agustus 2016

Penting Artikel ini berisi informasi yang menunjukkan pada Anda cara membantu menurunkan setelan keamanan atau cara mematikan fitur keamanan di komputer. Anda dapat membuat perubahan ini untuk mengatasi masalah khusus. Sebelum Anda membuat perubahan ini, kami sarankan Anda mengevaluasi risiko yang terkait dengan penerapan solusi masalah ini di lingkungan tertentu. Jika Anda ingin mengatasi masalah ini, lakukan langkah-langkah tambahan yang sesuai untuk melindungi komputer.

Ringkasan

Pembaruan keamanan ini mengatasi beberapa kerentanan dalam Microsoft Windows. Kerentanan dapat memungkinkan hak khusus jika penyerang menjalankan aplikasi yang dibuat khusus pada sistem yang bergabung dengan domain.

Untuk mempelajari selengkapnya tentang kerentanan, baca buletin keamanan Microsoft MS16-101.

Informasi lebih lanjut

Penting
  • Semua keamanan di masa mendatang dan non-keamanan pemutakhiran untuk Windows 8.1 dan Windows Server 2012 R2 memerlukan pembaruan 2919355 harus diinstal. Kami menyarankan Anda menginstal pembaruan 2919355 pada komputer berbasis Windows Server 2012 R2 atau berbasis Windows 8.1 sehingga Anda akan menerima Pemutakhiran di masa mendatang.
  • Jika Anda menginstal paket bahasa setelah Anda menginstal pembaruan ini, Anda harus menginstal pembaruan ini. Oleh karena itu, kami menyarankan Anda menginstal bahasa setiap paket yang Anda butuhkan sebelum Anda menginstal pembaruan ini. Untuk informasi selengkapnya, lihat Tambah paket bahasa untuk Windows.
Perbaikan yang berkaitan dengan non-keamanan yang disertakan dalam pembaruan keamanan ini

Masalah yang diketahui dalam pembaruan keamanan

  • Masalah yang diketahui 1

    Pembaruan keamanan yang disediakan dalam MS16-101 dan pemutakhiran baru menonaktifkan kemampuan proses Negotiate jatuh kembali ke NTLM ketika otentikasi Kerberos gagal untuk operasi perubahan sandi dengan kode galat STATUS_NO_LOGON_SERVERS (0xc000005e) . Dalam situasi ini, Anda mungkin menerima salah satu kode galat berikut ini.

    HeksadesimalDesimalSimbolikRamah
    0xc00003881073740920STATUS_DOWNGRADE_DETECTEDSistem mendeteksi mungkin berusaha membahayakan keamanan. Pastikan bahwa Anda dapat menghubungi server yang diotentikasi Anda.
    0x4f11265ERROR_DOWNGRADE_DETECTEDSistem mendeteksi mungkin berusaha membahayakan keamanan. Pastikan bahwa Anda dapat menghubungi server yang diotentikasi Anda.


    Pemecahan masalah

    Jika perubahan sandi yang telah berhasil gagal setelah penginstalan MS16-101, ada kemungkinan bahwa perubahan sandi yang sebelumnya mengandalkan mundur NTLM karena Kerberos gagal. Untuk mengubah sandi berhasil menggunakan protokol Kerberos, ikuti langkah-langkah berikut:


    1. Mengkonfigurasi komunikasi terbuka pada TCP port 464 antara klien yang telah diinstal MS16-101 dan kontroler domain yang merupakan layanan resets sandi.

      Kontroler domain baca-saja (RODCs) dapat Layanan resets sandi layanan mandiri jika pengguna diperbolehkan oleh RODCs sandi replikasi kebijakan. Pengguna yang tidak diizinkan oleh kebijakan sandi RODC memerlukan konektivitas jaringan ke kontroler domain baca/tulis (RWDC) di domain account pengguna.

      Catatan Untuk memeriksa apakah TCP port 464 terbuka, ikuti langkah-langkah berikut:


      1. Membuat filter setara tampilan untuk parser monitor jaringan Anda. Misalnya:
        ipv4.address== <ip address of client> && tcp.port==464
      2. Hasil, Cari "TCP: [SynReTransmit" frame.

        Frame
    2. Pastikan bahwa nama Kerberos target valid. (Alamat IP tidak valid untuk protokol Kerberos. Kerberos mendukung pendek nama dan nama domain yang memenuhi syarat.)
    3. Pastikan bahwa nama prinsip Layanan (SPN) yang terdaftar dengan benar.

      Untuk informasi selengkapnya, lihat Kerberos dan Reset sandi layanan mandiri.
  • Masalah yang diketahui 2

    Kami tahu tentang masalah di mana resets programatik sandi pengguna domain akun gagal dan mengembalikan kode galat STATUS_DOWNGRADE_DETECTED (0x800704F1) jika kegagalan yang diharapkan adalah salah satu dari berikut ini:

    • ERROR_INVALID_PASSWORD
    • ERROR_PWD_TOO_SHORT (jarang kembali)
    • STATUS_WRONG_PASSWORD
    • STATUS_PASSWORD_RESTRICTION

    Tabel berikut ini menunjukkan pemetaan galat penuh.

    HeksadesimalDesimalSimbolikRamah
    0x5686ERROR_INVALID_PASSWORDJaringan yang dimaksud sandi tidak benar.
    0x267615ERROR_PWD_TOO_SHORTSandi yang diberikan terlalu pendek untuk memenuhi kebijakan akun pengguna Anda. Berikan sandi lagi.
    0xc000006a-1073741718STATUS_WRONG_PASSWORDKetika Anda mencoba untuk memperbarui sandi, status kembali ini menunjukkan bahwa nilai yang disediakan sebagai password yang salah.
    0xc000006c-1073741716STATUS_PASSWORD_RESTRICTIONKetika Anda mencoba untuk memperbarui sandi, status kembali ini menunjukkan bahwa beberapa aturan pembaruan sandi melanggar. Sebagai contoh, sandi mungkin tidak memenuhi kriteria panjang.
    0x800704F11265STATUS_DOWNGRADE_DETECTEDSistem tidak dapat menghubungi pengontrol domain untuk melayani permintaan otentikasi. Silakan coba lagi nanti.
    0xc0000388-1073740920STATUS_DOWNGRADE_DETECTEDSistem tidak dapat menghubungi pengontrol domain untuk melayani permintaan otentikasi. Silakan coba lagi nanti.


    Pemecahan masalah

    MS16-101 telah kembali dirilis untuk mengatasi masalah ini. Menginstal versi terbaru dari pembaruan untuk buletin ini untuk menyelesaikan masalah ini.

  • Masalah yang diketahui 3

    Kami tahu tentang masalah di mana programatik resets perubahan sandi akun pengguna lokal mungkin gagal dan mengembalikan kode galat STATUS_DOWNGRADE_DETECTED (0x800704F1) .

    Tabel berikut ini menunjukkan pemetaan galat penuh.

    HeksadesimalDesimalSimbolikRamah
    0x4f11265ERROR_DOWNGRADE_DETECTEDSistem tidak dapat menghubungi pengontrol domain untuk melayani permintaan otentikasi. Silakan coba lagi nanti.


    Pemecahan masalah

    MS16-101 telah kembali dirilis untuk mengatasi masalah ini. Menginstal versi terbaru dari pembaruan untuk buletin ini untuk menyelesaikan masalah ini.

  • Masalah yang diketahui 4

    Kata sandi untuk account pengguna dinonaktifkan dan diblokir tidak dapat diubah dengan menggunakan paket negotiate.

    Perubahan sandi untuk akun dinonaktifkan dan diblokir masih akan bekerja dengan menggunakan metode lain seperti saat menggunakan LDAP memodifikasi operasi secara langsung. Sebagai contoh, cmdlet PowerShell Set-ADAccountPassword menggunakan operasi "Mengubah LDAP" untuk mengubah sandi dan tetap tidak terpengaruh.

    Pemecahan masalah

    Akun ini memerlukan administrator untuk membuat sandi resets. Perilaku ini merupakan bagian dari rancangan setelah Anda menginstal perbaikan MS16-101 dan yang lebih baru.

  • Masalah yang diketahui 5

    Aplikasi yang menggunakan NetUserChangePassword API dan yang masuk namaserver parameter namadomain tidak lagi bekerja setelah MS16-101 dan kemudian pembaruan diinstal.

    Dokumentasi Microsoft menyatakan bahwa menyediakan nama server jauh dalam parameter namadomain NetUserChangePassword fungsi yang didukung. Sebagai contoh, fungsi NetUserChangePassword MSDN topik menyatakan berikut ini:

    namadomain [di]
    Pointer ke terus-menerus untai yang menentukan nama DNS atau NetBIOS server jauh atau domain di mana fungsi adalah untuk menjalankan. Jika parameter ini NULL, domain logon pemanggil akan digunakan.
    Namun, panduan ini telah digantikan oleh MS16-101, kecuali mereset sandi untuk akun lokal pada komputer lokal. Posting MS16-101, agar perubahan sandi pengguna domain untuk bekerja, Anda harus melewati nama Domain DNS yang valid untuk NetUserChangePassword API.
  • Masalah yang diketahui 6

    Setelah Anda menginstal pembaruan keamanan yang dijelaskan dalam MS16-101, jarak jauh, programatik perubahan sandi akun pengguna lokal, dan perubahan sandi di hutan terpercaya gagal.


    Operasi ini gagal karena operasi mengandalkan NTLM jatuh kembali yang tidak lagi didukung untuk akun nonlocal setelah MS16-101 diinstal.


    Entri registri ini yang dapat Anda gunakan untuk menonaktifkan perubahan ini.

    Peringatan Pemecahan masalah ini dapat membuat komputer atau jaringan lebih mudah diserang oleh pengguna yang jahat atau perangkat lunak berbahaya seperti virus. Kami tidak merekomendasikan pemecahan masalah ini, tetapi menyediakan informasi ini sehingga Anda dapat menerapkan pemecahan masalah ini atas kebijaksanaan Anda sendiri. Gunakan pemecahan masalah ini dengan risiko Anda sendiri.

    Penting Bagian, metode, atau tugas ini berisi langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah serius dapat terjadi apabila Anda salah mengubah registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah ini dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum mengubahnya. Lalu, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
    322756 Cara membuat cadangan dan memulihkan registri di Windows


    Untuk menonaktifkan perubahan ini, tetapkan entri DWORD NegoAllowNtlmPwdChangeFallback untuk menggunakan nilai dari 1 (satu).


    Penting Menetapkan entri registri NegoAllowNtlmPwdChangeFallback ke nilai dari 1 akan menonaktifkan perbaikan keamanan ini:
    Nilai registriDeskripsi
    0Nilai asali. Mundur dicegah.
    1Mundur selalu diizinkan. Memperbaiki keamanan dinonaktifkan. Pelanggan yang mengalami masalah dengan akun lokal jarak jauh atau hutan terpercaya skenario yang dapat menetapkan registri ke nilai ini.
    Untuk menambahkan nilai registri ini, ikuti langkah-langkah berikut:
    1. Klik Mulai, klik Jalankan, ketik regedit di kotak buka, lalu klik OK.
    2. Temukan dan kemudian klik subkunci berikut dalam registri:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
    3. Pada menu Edit, arahkan ke Baru, lalu klik Nilai DWORD.
    4. Ketik NegoAllowNtlmPwdChangeFallback untuk nama DWORD, dan kemudian tekan ENTER.
    5. Klik kanan NegoAllowNtlmPwdChangeFallback, dan kemudian klik Ubah.
    6. Di kotak data nilai , ketik 1 untuk menonaktifkan perubahan ini, dan kemudian klik OK.


      Catatan Untuk memulihkan nilai asali, ketik 0 (nol), dan kemudian klik OK.
    Status

    Memahami penyebab masalah ini. Artikel ini akan diperbarui dengan rincian tambahan mereka menjadi tersedia.

Cara mendapatkan dan menginstal pemutakhiran

Metode 1: Pemutakhiran Windows

Pemutakhiran ini tersedia melalui Pemutakhiran Windows. Saat Anda mengaktifkan pemutakhiran otomatis, pembaruan ini akan diunduh dan diinstal secara otomatis. Untuk informasi selengkapnya tentang cara mengaktifkan pemutakhiran otomatis, lihat
Dapatkan pembaruan keamanan secara otomatis.

Metode 2: Katalog Pembaruan Microsoft

Untuk mendapatkan paket mandiri pembaruan ini, kunjungi situs web Katalog Pembaruan Microsoft .
Metode 3: Pusat Unduhan Microsoft

Informasi lebih lanjut

Cara mendapatkan bantuan dan dukungan untuk pemutakhiran keamanan

Informasi berkas

Informasi berkas hash
Informasi file
Properti

ID Artikel: 3177108 - Tinjauan Terakhir: 29 Jan 2017 - Revisi: 1

Tanggapan