MS16-101: Deskripsi tentang pembaruan keamanan untuk metode autentikasi Windows: 9 Agustus 2016

Ringkasan

Pembaruan keamanan ini mengatasi beberapa kerentanan dalam Microsoft Windows. Kerentanan dapat memungkinkan hak khusus jika penyerang menjalankan aplikasi yang dibuat khusus pada sistem yang digabungkan dengan domain.

Untuk mempelajari selengkapnya tentang kerentanan tersebut, lihat buletin keamanan Microsoft MS16-101.

Informasi Selengkapnya

Penting

• Semua pembaruan keamanan dan non-keamanan di masa mendatang untuk Windows 8,1, dan Windows Server 2012 R2 memerlukan pembaruan 2919355 untuk diinstal. Kami menyarankan Anda menginstal pembaruan 2919355 pada komputer berbasis windows server 2012 R2 atau berbasis Windows 8,1 sehingga Anda menerima pembaruan mendatang.

• Jika Anda menginstal paket bahasa setelah menginstal pembaruan ini, Anda harus menginstal ulang pembaruan ini. Oleh karena itu, kami menyarankan agar Anda menginstal paket bahasa apa pun yang Anda perlukan sebelum menginstal pembaruan ini. Untuk informasi selengkapnya, lihat menambahkan paket bahasa ke Windows.

Masalah yang diketahui dalam pembaruan keamanan ini

• Masalah yang diketahui 1
  
  pembaruan keamanan yang disediakan dalam MS16-101 dan pembaruan yang lebih baru menonaktifkan kemampuan proses Negotiate untuk jatuh kembali ke NTLM saat autentikasi Kerberos gagal untuk operasi perubahan kata sandi dengan kode kesalahan STATUS_NO_LOGON_SERVERS (0xc000005e). Dalam situasi ini, Anda mungkin menerima salah satu dari kode kesalahan berikut ini.
  
  

  AD	Desimal	Bermakna	Bersahabat
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Sistem mendeteksi kemungkinan upaya untuk membahayakan keamanan. Pastikan bahwa Anda bisa menghubungi server yang mengautentikasi Anda.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistem mendeteksi kemungkinan upaya untuk membahayakan keamanan. Pastikan bahwa Anda bisa menghubungi server yang mengautentikasi Anda.

  
  
  Penanganan masalah
  
  jika perubahan kata sandi yang sebelumnya berhasil gagal setelah penginstalan MS16-101, kemungkinan perubahan kata sandi sebelumnya bergantung pada fallback NTLM karena Kerberos gagal. Untuk mengubah kata sandi dengan sukses menggunakan protokol Kerberos, ikuti langkah-langkah berikut:
  
  
  

  1. Mengonfigurasi komunikasi terbuka di TCP port 464 antara klien yang memiliki MS16-101 terinstal dan pengontrol domain yang melayani pengaturan ulang kata sandi.
     
     Pengontrol domain baca-saja (RODCs) dapat mengatur ulang kata sandi layanan mandiri jika pengguna diperbolehkan oleh kebijakan replikasi kata sandi RODCs. Pengguna yang tidak diizinkan oleh kebijakan kata sandi RODC memerlukan konektivitas jaringan ke pengontrol domain baca/tulis (RWDC) dalam domain akun pengguna.
     
     Catatan untuk memeriksa apakah port TCP 464 terbuka, ikuti langkah-langkah berikut:
     
     
     

     1. Buat filter tampilan yang setara untuk parser monitor jaringan Anda. Misalnya:
        

        IPv4. Address = = <alamat IP klien> && TCP. Port = = 464

     2. Dalam hasil, Cari bingkai "TCP: [SynReTransmit".
        
        

  2. Pastikan bahwa nama Kerberos target valid. (Alamat IP tidak valid untuk protokol Kerberos. Kerberos mendukung nama pendek dan nama domain yang sepenuhnya memenuhi syarat.)

  3. Pastikan bahwa nama prinsip Layanan (SPNs) didaftarkan dengan benar.
     
     Untuk informasi selengkapnya, lihat pengaturan ulang kata sandi Kerberos dan Self-Service.

• Masalah yang diketahui 2
  
  kami tahu tentang masalah di mana reset kata sandi akun pengguna domain gagal dan mengembalikan kode kesalahan STATUS_DOWNGRADE_DETECTED (0x800704F1) jika kegagalan yang diharapkan adalah salah satu hal berikut ini:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (jarang dikembalikan)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  Tabel berikut ini memperlihatkan pemetaan kesalahan penuh.
  
  

  AD	Desimal	Bermakna	Bersahabat
  0x56	86	ERROR_INVALID_PASSWORD	Kata sandi jaringan yang ditentukan tidak benar.
  0x267	615	ERROR_PWD_TOO_SHORT	Kata sandi yang disediakan terlalu singkat untuk memenuhi kebijakan akun pengguna Anda. Harap sediakan kata sandi yang lebih panjang.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Saat Anda mencoba memperbarui kata sandi, status pengembalian ini mengindikasikan bahwa nilai yang disediakan sebagai kata sandi saat ini salah.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Saat Anda mencoba memperbarui kata sandi, status pengembalian ini mengindikasikan bahwa beberapa aturan pembaruan kata sandi telah dilanggar. Misalnya, kata sandi mungkin tidak memenuhi kriteria panjang.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Sistem tidak dapat menghubungi pengontrol domain untuk melayani permintaan autentikasi. Coba lagi nanti.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Sistem tidak dapat menghubungi pengontrol domain untuk melayani permintaan autentikasi. Coba lagi nanti.

  
  
  Resolusi
  
  MS16-101 telah dirilis kembali untuk mengatasi masalah ini. Instal versi terbaru pembaruan buletin ini untuk mengatasi masalah ini.
  
  

• Masalah yang diketahui 3
  
  kami tahu tentang masalah di mana pengaturan ulang kata sandi akun pengguna lokal mungkin gagal dan mengembalikan kode kesalahan STATUS_DOWNGRADE_DETECTED (0x800704F1).
  
  Tabel berikut ini memperlihatkan pemetaan kesalahan penuh.
  
  

  AD	Desimal	Bermakna	Bersahabat
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistem tidak dapat menghubungi pengontrol domain untuk melayani permintaan autentikasi. Coba lagi nanti.

  
  
  Resolusi
  
  MS16-101 telah dirilis kembali untuk mengatasi masalah ini. Instal versi terbaru pembaruan buletin ini untuk mengatasi masalah ini.
  
  

• Masalah yang diketahui 4
  
  kata sandi untuk akun pengguna yang dinonaktifkan dan diblokir tidak bisa diubah menggunakan paket Negotiate.
  
  
  Perubahan kata sandi untuk akun yang dinonaktifkan dan diblokir masih akan berfungsi ketika menggunakan metode lain seperti ketika menggunakan operasi modifikasi LDAP secara langsung. Misalnya, Cmdlet PowerShell Set-ADAccountPassword menggunakan operasi "modifikasi LDAP" untuk mengubah kata sandi dan tetap tidak terpengaruh.
  
  Penanganan masalah
  
  akun ini memerlukan administrator untuk membuat ulang kata sandi. Perilaku ini merupakan desain setelah Anda menginstal MS16-101 dan perbaikan yang lebih baru.
  
  

• Masalah yang diketahui 5
  
  aplikasi yang menggunakan api NetUserChangePassword dan yang lulus namaserver dalam parameter domainname tidak lagi berfungsi setelah MS16-101 dan pembaruan yang lebih baru diinstal.
  
  Dokumentasi Microsoft menyatakan bahwa menyediakan nama server jarak jauh dalam parameter domainname dari fungsi NetUserChangePassword didukung. Misalnya, fungsi netuserchangepassword menyatakan topik berikut ini:
  
  domainname [in]
  

  Penunjuk ke string konstan yang menentukan nama DNS atau NetBIOS dari server atau domain jarak jauh tempat fungsi dijalankan. Jika parameter ini adalah NULL, domain logon penelepon akan digunakan. Namun, panduan ini telah digantikan oleh MS16-101, kecuali pengaturan ulang kata sandi untuk akun lokal di komputer lokal. Post MS16-101, agar kata sandi pengguna domain berubah menjadi bekerja, Anda harus memasukkan nama domain DNS yang valid ke API NetUserChangePassword.

• Masalah yang diketahui 6
  
  setelah Anda menginstal pembaruan ini, Anda mungkin mengalami kesalahan autentikasi NTLM 0xC0000022. Untuk mengatasi masalah ini, lihat autentikasi NTLM gagal dengan kesalahan 0xC0000022 untuk Windows server 2012, windows 8,1, dan Windows server 2012 R2 setelah pembaruan diterapkan.

• Masalah yang diketahui 7
  
  setelah Anda menginstal pembaruan keamanan yang dijelaskan dalam MS16-101, remote, perubahan terprogram dari kata sandi akun pengguna lokal, dan perubahan kata sandi di seluruh Forest terpercaya gagal.
  
  
  Operasi ini gagal karena operasi bergantung pada pengembalian-kembali NTLM yang tidak lagi didukung untuk akun nonlokal setelah MS16-101 terinstal.
  
  
  Entri registri disediakan yang bisa Anda gunakan untuk menonaktifkan perubahan ini.
  
  Peringatan penanganan masalah ini mungkin membuat komputer atau jaringan lebih rentan diserang pengguna jahat atau perangkat lunak jahat seperti virus. Kami tidak menyarankan solusi ini tetapi menyediakan informasi ini agar Anda bisa menerapkan solusi ini dengan kebijaksanaan Anda sendiri. Apabila menggunakan penyelesaian ini, risiko Anda tanggung sendiri.
  
  Importantbagian, metode, atau tugas ini berisi langkah-langkah untuk memodifikasi registri. Namun, masalah yang serius dapat terjadi apabila Anda salah dalam mengubah registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum memodifikasinya. Lalu, Anda dapat memulihkan registri jika terjadi masalah. Untuk informasi selengkapnya tentang cara mencadangkan dan memulihkan registri, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

  322756Cara mencadangkan dan memulihkan registri di Windows
  
  untuk menonaktifkan perubahan ini, mengatur entri DWORD NegoAllowNtlmPwdChangeFallback untuk menggunakan nilai 1 (satu).
  
  
  Pengaturan penting NegoAllowNtlmPwdChangeFallback entri registri ke nilai 1 akan menonaktifkan perbaikan keamanan ini:
  

  Nilai registri	Deskripsi
  0-0	Nilai default. Fallback dicegah.
  ,1	Fallback selalu diperbolehkan. Perbaikan keamanan dinonaktifkan. Pelanggan yang mengalami masalah dengan akun lokal jarak jauh atau skenario hutan yang tidak tepercaya dapat mengatur registri ke nilai ini.

  Untuk menambahkan nilai registri ini, ikuti langkah-langkah berikut:
  

  1. Klik Mulai, klik Jalankan, ketik regedit di kotak Buka, lalu klik OK.

  2. Temukan lalu klik subkunci berikut ini dalam registri:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. Pada menu Edit , arahkan ke baru, lalu klik nilai DWORD.

  4. Ketikkan NegoAllowNtlmPwdChangeFallback untuk nama DWORD, lalu tekan ENTER.

  5. Klik kanan Negoallowntlmpwdchangefallback, lalu klik Ubah.

  6. Dalam kotak data nilai , ketik 1 untuk menonaktifkan perubahan ini, lalu klik OK.
     
     
     Catatan untuk memulihkan nilai default, ketik 0 (nol), lalu klik OK.

  Status
  
  akar penyebab masalah ini dipahami. Artikel ini akan diperbarui dengan detail tambahan saat tersedia.

Cara mendapatkan dan menginstal pembaruan

Metode 1: pembaruan Windows

Pembaruan ini tersedia melalui pembaruan Windows. Saat Anda mengaktifkan pembaruan otomatis, pembaruan ini akan diunduh dan diinstal secara otomatis. Untuk informasi selengkapnya tentang cara mengaktifkan pembaruan otomatis, lihat
mendapatkan pembaruan keamanan secara otomatis.

Metode 2: Katalog Pembaruan Microsoft

Untuk mendapatkan paket mandiri untuk pembaruan ini, masuk ke situs web Katalog Pembaruan Microsoft .

Metode 3: Pusat Unduhan Microsoft

Anda bisa mendapatkan paket pembaruan mandiri melalui Pusat Unduhan Microsoft. Ikuti instruksi penginstalan di halaman unduh untuk menginstal pembaruan.

Klik tautan unduhan dalam buletin keamanan Microsoft MS16-101 yang sesuai untuk versi Windows yang Anda jalankan.

Informasi Selengkapnya

Cara mendapatkan bantuan dan dukungan untuk pembaruan keamanan ini

Bantuan untuk menginstal pembaruan: dukungan untuk Pembaruan Microsoft

Solusi keamanan untuk profesional TI: pemecahan masalah dan dukungan

keamanan TechNet Bantuan untuk melindungi komputer berbasis Windows dari virus dan malware: solusi virus dan pusat keamanan

Dukungan lokal menurut negara Anda: dukungan internasional

Informasi Berkas