Pemutakhiran kumulatif untuk Windows 10 versi 1511: 9 Agustus 2016

Masalah yang diketahui dalam pembaruan keamanan

• Masalah yang diketahui 1
  
  Pembaruan keamanan yang disediakan dalam MS16-101 dan pemutakhiran baru menonaktifkan kemampuan proses Negotiate jatuh kembali ke NTLM ketika otentikasi Kerberos gagal untuk operasi perubahan sandi dengan kode galat STATUS_NO_LOGON_SERVERS (0xc000005e) . Dalam situasi ini, Anda mungkin menerima salah satu kode galat berikut ini.
  
  

  Heksadesimal	Desimal	Simbolik	Ramah
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Sistem mendeteksi mungkin berusaha membahayakan keamanan. Pastikan bahwa Anda dapat menghubungi server yang diotentikasi Anda.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistem mendeteksi mungkin berusaha membahayakan keamanan. Pastikan bahwa Anda dapat menghubungi server yang diotentikasi Anda.

  
  
  Pemecahan masalah
  
  Jika perubahan sandi yang telah berhasil gagal setelah penginstalan MS16-101, ada kemungkinan bahwa perubahan sandi yang sebelumnya mengandalkan mundur NTLM karena Kerberos gagal. Untuk mengubah sandi berhasil menggunakan protokol Kerberos, ikuti langkah-langkah berikut:
  
  
  

  1. Mengkonfigurasi komunikasi terbuka pada TCP port 464 antara klien yang telah diinstal MS16-101 dan kontroler domain yang merupakan layanan resets sandi.
     
     Kontroler domain baca-saja (RODCs) dapat Layanan resets sandi layanan mandiri jika pengguna diperbolehkan oleh RODCs sandi replikasi kebijakan. Pengguna yang tidak diizinkan oleh kebijakan sandi RODC memerlukan konektivitas jaringan ke kontroler domain baca/tulis (RWDC) di domain account pengguna.
     
     Catatan Untuk memeriksa apakah TCP port 464 terbuka, ikuti langkah-langkah berikut:
     
     
     

     1. Membuat filter setara tampilan untuk parser monitor jaringan Anda. Misalnya:
        

        ipv4.address== <ip address of client> && tcp.port==464

     2. Hasil, Cari "TCP: [SynReTransmit" frame.
        
        

  2. Pastikan bahwa nama Kerberos target valid. (Alamat IP tidak valid untuk protokol Kerberos. Kerberos mendukung pendek nama dan nama domain yang memenuhi syarat.)

  3. Pastikan bahwa nama prinsip Layanan (SPN) yang terdaftar dengan benar.
     
     Untuk informasi selengkapnya, lihat Kerberos dan Reset sandi layanan mandiri.

• Masalah yang diketahui 2
  
  Kami tahu tentang masalah di mana resets programatik sandi pengguna domain akun gagal dan mengembalikan kode galat STATUS_DOWNGRADE_DETECTED (0x800704F1) jika kegagalan yang diharapkan adalah salah satu dari berikut ini:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (jarang kembali)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  Tabel berikut ini menunjukkan pemetaan galat penuh.
  
  

  Heksadesimal	Desimal	Simbolik	Ramah
  0x56	86	ERROR_INVALID_PASSWORD	Jaringan yang dimaksud sandi tidak benar.
  0x267	615	ERROR_PWD_TOO_SHORT	Sandi yang diberikan terlalu pendek untuk memenuhi kebijakan akun pengguna Anda. Berikan sandi lagi.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Ketika Anda mencoba untuk memperbarui sandi, status kembali ini menunjukkan bahwa nilai yang disediakan sebagai password yang salah.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Ketika Anda mencoba untuk memperbarui sandi, status kembali ini menunjukkan bahwa beberapa aturan pembaruan sandi melanggar. Sebagai contoh, sandi mungkin tidak memenuhi kriteria panjang.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Sistem tidak dapat menghubungi pengontrol domain untuk melayani permintaan otentikasi. Silakan coba lagi nanti.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Sistem tidak dapat menghubungi pengontrol domain untuk melayani permintaan otentikasi. Silakan coba lagi nanti.

  
  
  Pemecahan masalah
  
  MS16-101 telah kembali dirilis untuk mengatasi masalah ini. Menginstal versi terbaru dari pembaruan untuk buletin ini untuk menyelesaikan masalah ini.
  
  

• Masalah yang diketahui 3
  
  Kami tahu tentang masalah di mana programatik resets perubahan sandi akun pengguna lokal mungkin gagal dan mengembalikan kode galat STATUS_DOWNGRADE_DETECTED (0x800704F1) .
  
  Tabel berikut ini menunjukkan pemetaan galat penuh.
  
  

  Heksadesimal	Desimal	Simbolik	Ramah
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistem tidak dapat menghubungi pengontrol domain untuk melayani permintaan otentikasi. Silakan coba lagi nanti.

  
  
  Pemecahan masalah
  
  MS16-101 telah kembali dirilis untuk mengatasi masalah ini. Menginstal versi terbaru dari pembaruan untuk buletin ini untuk menyelesaikan masalah ini.
  
  

• Masalah yang diketahui 4
  
  Kata sandi untuk account pengguna dinonaktifkan dan diblokir tidak dapat diubah dengan menggunakan paket negotiate.
  
  
  Perubahan sandi untuk akun dinonaktifkan dan diblokir masih akan bekerja dengan menggunakan metode lain seperti saat menggunakan LDAP memodifikasi operasi secara langsung. Sebagai contoh, cmdlet PowerShell Set-ADAccountPassword menggunakan operasi "Mengubah LDAP" untuk mengubah sandi dan tetap tidak terpengaruh.
  
  Pemecahan masalah
  
  Akun ini memerlukan administrator untuk membuat sandi resets. Perilaku ini merupakan bagian dari rancangan setelah Anda menginstal perbaikan MS16-101 dan yang lebih baru.
  
  

• Masalah yang diketahui 5
  
  Aplikasi yang menggunakan NetUserChangePassword API dan yang masuk namaserver parameter namadomain tidak lagi bekerja setelah MS16-101 dan kemudian pembaruan diinstal.
  
  Dokumentasi Microsoft menyatakan bahwa menyediakan nama server jauh dalam parameter namadomain NetUserChangePassword fungsi yang didukung. Sebagai contoh, fungsi NetUserChangePassword MSDN topik menyatakan berikut ini:
  
  namadomain [di]
  

  Pointer ke terus-menerus untai yang menentukan nama DNS atau NetBIOS server jauh atau domain di mana fungsi adalah untuk menjalankan. Jika parameter ini NULL, domain logon pemanggil akan digunakan.Namun, panduan ini telah digantikan oleh MS16-101, kecuali mereset sandi untuk akun lokal pada komputer lokal. Posting MS16-101, agar perubahan sandi pengguna domain untuk bekerja, Anda harus melewati nama Domain DNS yang valid untuk NetUserChangePassword API.

• Masalah yang diketahui 6
  
  
  
  Setelah Anda menerapkan pembaruan keamanan ini dan mencetak beberapa dokumen berturut-turut, dokumen dua dapat mencetak berhasil. Namun, ketiga dan selanjutnya dokumen mungkin tidak dicetak.
  
  Untuk memperbaiki masalah ini, Unduh pemutakhiran 3186988 dari situs Katalog Pembaruan Microsoft .
  
  
  
  
  
  Masalah ini juga diselesaikan dalam buletin keamanan Microsoft MS16-106.
  
  
  
  

• Masalah yang diketahui 7
  
  Setelah Anda menginstal pembaruan keamanan yang dijelaskan dalam MS16-101, jarak jauh, programatik perubahan sandi akun pengguna lokal, dan perubahan sandi di hutan terpercaya gagal.
  
  
  Operasi ini gagal karena operasi mengandalkan NTLM jatuh kembali yang tidak lagi didukung untuk akun nonlocal setelah MS16-101 diinstal.
  
  
  Entri registri ini yang dapat Anda gunakan untuk menonaktifkan perubahan ini.
  
  Peringatan Pemecahan masalah ini dapat membuat komputer atau jaringan lebih mudah diserang oleh pengguna yang jahat atau perangkat lunak berbahaya seperti virus. Kami tidak merekomendasikan pemecahan masalah ini, tetapi menyediakan informasi ini sehingga Anda dapat menerapkan pemecahan masalah ini atas kebijaksanaan Anda sendiri. Gunakan pemecahan masalah ini dengan risiko Anda sendiri.
  
  Penting Bagian, metode, atau tugas ini berisi langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah serius dapat terjadi apabila Anda salah mengubah registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah ini dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum mengubahnya. Lalu, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

  322756 Cara membuat cadangan dan memulihkan registri di Windows
  
  Untuk menonaktifkan perubahan ini, tetapkan entri DWORD NegoAllowNtlmPwdChangeFallback untuk menggunakan nilai dari 1 (satu).
  
  
  Penting Menetapkan entri registri NegoAllowNtlmPwdChangeFallback ke nilai dari 1 akan menonaktifkan perbaikan keamanan ini:
  

  Nilai registri	Deskripsi
  0	Nilai asali. Mundur dicegah.
  1	Mundur selalu diizinkan. Memperbaiki keamanan dinonaktifkan. Pelanggan yang mengalami masalah dengan akun lokal jarak jauh atau hutan terpercaya skenario yang dapat menetapkan registri ke nilai ini.

  Untuk menambahkan nilai registri ini, ikuti langkah-langkah berikut:
  

  1. Klik Mulai, klik Jalankan, ketik regedit di kotak buka, lalu klik OK.

  2. Temukan dan kemudian klik subkunci berikut dalam registri:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. Pada menu Edit, arahkan ke Baru, lalu klik Nilai DWORD.

  4. Ketik NegoAllowNtlmPwdChangeFallback untuk nama DWORD, dan kemudian tekan ENTER.

  5. Klik kanan NegoAllowNtlmPwdChangeFallback, dan kemudian klik Ubah.

  6. Di kotak data nilai , ketik 1 untuk menonaktifkan perubahan ini, dan kemudian klik OK.
     
     
     Catatan Untuk memulihkan nilai asali, ketik 0 (nol), dan kemudian klik OK.

  Status
  
  Memahami penyebab masalah ini. Artikel ini akan diperbarui dengan rincian tambahan mereka menjadi tersedia.

Metode 1: Pemutakhiran Windows

Pembaruan ini akan diunduh dan diinstal secara otomatis.

Metode 2: Katalog Pembaruan Microsoft

Untuk mendapatkan paket mandiri pembaruan ini, kunjungi situs web Katalog Pembaruan Microsoft .

Prasyarat

Ada beberapa prasyarat untuk menginstal pembaruan ini.

Informasi menghidupkan ulang

Anda harus menghidupkan ulang komputer setelah menerapkan pemutakhiran ini.

Informasi penggantian pemutakhiran

Pemutakhiran ini menggantikan pemutakhiran yang diedarkan sebelumnya 3172985.