MS16-101: pembaruan keamanan untuk metode autentikasi Windows: 9 Agustus 2016

Ringkasan

Pembaruan keamanan ini mengatasi beberapa kerentanan dalam Microsoft Windows. Kerentanan dapat memungkinkan hak khusus jika penyerang menjalankan aplikasi yang dibuat khusus pada sistem yang digabungkan dengan domain.

Untuk mempelajari selengkapnya tentang kerentanan tersebut, lihat buletin keamanan Microsoft MS16-101.

Informasi Selengkapnya

Important

• Semua pembaruan keamanan dan non-keamanan di masa mendatang untuk Windows 8,1 dan Windows Server 2012 R2 memerlukan pembaruan 2919355 untuk diinstal. Kami menyarankan Anda menginstal pembaruan 2919355 pada komputer berbasis windows server 2012 R2 atau berbasis Windows 8,1 sehingga Anda menerima pembaruan mendatang.

• Jika Anda menginstal paket bahasa setelah menginstal pembaruan ini, Anda harus menginstal ulang pembaruan ini. Oleh karena itu, kami menyarankan agar Anda menginstal paket bahasa apa pun yang Anda perlukan sebelum menginstal pembaruan ini. Untuk informasi selengkapnya, lihat menambahkan paket bahasa ke Windows.

Informasi tambahan tentang pembaruan keamanan ini

Artikel berikut ini berisi informasi tambahan tentang pembaruan keamanan yang berkaitan dengan versi produk individual. Artikel mungkin berisi informasi masalah umum.

• 3177108 MS16-101: Deskripsi tentang pembaruan keamanan untuk metode autentikasi Windows: 9 Agustus 2016

• 3167679 MS16-101: Deskripsi tentang pembaruan keamanan untuk metode autentikasi Windows: 9 Agustus 2016

• 3192392 Pembaruan keamanan hanya 2016 Oktober hanya untuk Windows 8,1, dan Windows Server 2012 R2

• 3185331 Rollup kualitas bulanan keamanan 2016 Oktober untuk Windows 8,1, dan Windows Server 2012 R2

• 3192393 Pembaruan keamanan hanya 2016 Oktober untuk Windows Server 2012

• 3185332 Rollup kualitas bulanan keamanan 2016 Oktober untuk Windows Server 2012

• 3192391 Pembaruan keamanan hanya 2016 Oktober hanya untuk Windows 7 SP1 dan Windows Server 2008 R2 SP1

• 3185330 2016 Oktober Rollup kualitas bulanan keamanan untuk Windows 7 SP1 dan Windows Server 2008 R2 SP1

• 3192440 Pembaruan kumulatif untuk Windows 10:11 Oktober 2016

• 3194798 Pembaruan kumulatif untuk Windows 10 versi 1607 dan Windows Server 2016:11 Oktober 2016

• 3192441 Pembaruan kumulatif untuk Windows 10 versi 1511:11 Oktober 2016

Pembaruan keamanan yang mengubah pembaruan keamanan berikut ini telah digantikan:

• 3176492 Pembaruan kumulatif untuk Windows 10:9 Agustus 2016

• 3176493 Pembaruan kumulatif untuk Windows 10 versi 1511:9 Agustus 2016

• 3176495 Pembaruan kumulatif untuk Windows 10 versi 1607:9 Agustus 2016

Berikut ini adalah pembaruan keamanan baru yang menggantikan pembaruan keamanan yang disebutkan sebelumnya:

• 3192440 Pembaruan kumulatif untuk Windows 10:11 Oktober 2016

• 3194798 Pembaruan kumulatif untuk Windows 10 versi 1607 dan Windows Server 2016:11 Oktober 2016

• 3192441 Pembaruan kumulatif untuk Windows 10 versi 1511:11 Oktober 2016

Masalah yang diketahui dalam pembaruan keamanan ini

• Masalah yang diketahui 1
  
  pembaruan keamanan yang disediakan dalam MS16-101 dan pembaruan yang lebih baru menonaktifkan kemampuan proses Negotiate untuk jatuh kembali ke NTLM saat autentikasi Kerberos gagal untuk operasi perubahan kata sandi dengan kode kesalahan STATUS_NO_LOGON_SERVERS (0xc000005e). Dalam situasi ini, Anda mungkin menerima salah satu dari kode kesalahan berikut ini.
  
  

  AD	Desimal	Bermakna	Bersahabat
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Sistem mendeteksi kemungkinan upaya untuk membahayakan keamanan. Pastikan bahwa Anda bisa menghubungi server yang mengautentikasi Anda.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistem mendeteksi kemungkinan upaya untuk membahayakan keamanan. Pastikan bahwa Anda bisa menghubungi server yang mengautentikasi Anda.

  
  
  Penanganan masalah
  
  jika perubahan kata sandi yang sebelumnya berhasil gagal setelah penginstalan MS16-101, kemungkinan perubahan kata sandi sebelumnya bergantung pada fallback NTLM karena Kerberos gagal. Untuk mengubah kata sandi dengan sukses menggunakan protokol Kerberos, ikuti langkah-langkah berikut:
  
  
  

  1. Mengonfigurasi komunikasi terbuka di TCP port 464 antara klien yang memiliki MS16-101 terinstal dan pengontrol domain yang melayani pengaturan ulang kata sandi.
     
     Pengontrol domain baca-saja (RODCs) dapat mengatur ulang kata sandi layanan mandiri jika pengguna diperbolehkan oleh kebijakan replikasi kata sandi RODCs. Pengguna yang tidak diizinkan oleh kebijakan kata sandi RODC memerlukan konektivitas jaringan ke pengontrol domain baca/tulis (RWDC) dalam domain akun pengguna.
     
     Catatan untuk memeriksa apakah port TCP 464 terbuka, ikuti langkah-langkah berikut:
     
     
     

     1. Buat filter tampilan yang setara untuk parser monitor jaringan Anda. Misalnya:
        

        IPv4. Address = = <alamat IP klien> && TCP. Port = = 464

     2. Dalam hasil, Cari bingkai "TCP: [SynReTransmit".
        
        

  2. Pastikan bahwa nama Kerberos target valid. (Alamat IP tidak valid untuk protokol Kerberos. Kerberos mendukung nama pendek dan nama domain yang sepenuhnya memenuhi syarat.)

  3. Pastikan bahwa nama prinsip Layanan (SPNs) didaftarkan dengan benar.
     
     Untuk informasi selengkapnya, lihat pengaturan ulang kata sandi Kerberos dan Self-Service.

• Masalah yang diketahui 2
  
  kami tahu tentang masalah di mana reset kata sandi akun pengguna domain gagal dan mengembalikan kode kesalahan STATUS_DOWNGRADE_DETECTED (0x800704F1) jika kegagalan yang diharapkan adalah salah satu hal berikut ini:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (jarang dikembalikan)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  Tabel berikut ini memperlihatkan pemetaan kesalahan penuh.
  
  

  AD	Desimal	Bermakna	Bersahabat
  0x56	86	ERROR_INVALID_PASSWORD	Kata sandi jaringan yang ditentukan tidak benar.
  0x267	615	ERROR_PWD_TOO_SHORT	Kata sandi yang disediakan terlalu singkat untuk memenuhi kebijakan akun pengguna Anda. Harap sediakan kata sandi yang lebih panjang.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Saat Anda mencoba memperbarui kata sandi, status pengembalian ini mengindikasikan bahwa nilai yang disediakan sebagai kata sandi saat ini salah.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Saat Anda mencoba memperbarui kata sandi, status pengembalian ini mengindikasikan bahwa beberapa aturan pembaruan kata sandi telah dilanggar. Misalnya, kata sandi mungkin tidak memenuhi kriteria panjang.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Sistem tidak dapat menghubungi pengontrol domain untuk melayani permintaan autentikasi. Coba lagi nanti.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Sistem tidak dapat menghubungi pengontrol domain untuk melayani permintaan autentikasi. Coba lagi nanti.

  
  
  Resolusi
  
  MS16-101 telah dirilis kembali untuk mengatasi masalah ini. Instal versi terbaru pembaruan buletin ini untuk mengatasi masalah ini.
  
  

• Masalah yang diketahui 3
  
  kami tahu tentang masalah di mana pengaturan ulang kata sandi akun pengguna lokal mungkin gagal dan mengembalikan kode kesalahan STATUS_DOWNGRADE_DETECTED (0x800704F1).
  
  Tabel berikut ini memperlihatkan pemetaan kesalahan penuh.
  
  

  AD	Desimal	Bermakna	Bersahabat
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistem tidak dapat menghubungi pengontrol domain untuk melayani permintaan autentikasi. Coba lagi nanti.

  
  
  Resolusi
  
  MS16-101 telah dirilis kembali untuk mengatasi masalah ini. Instal versi terbaru pembaruan buletin ini untuk mengatasi masalah ini.
  
  

• Masalah yang diketahui 4
  
  kata sandi untuk akun pengguna yang dinonaktifkan dan diblokir tidak bisa diubah menggunakan paket Negotiate.
  
  
  Perubahan kata sandi untuk akun yang dinonaktifkan dan diblokir masih akan berfungsi ketika menggunakan metode lain seperti ketika menggunakan operasi modifikasi LDAP secara langsung. Misalnya, Cmdlet PowerShell Set-ADAccountPassword menggunakan operasi "modifikasi LDAP" untuk mengubah kata sandi dan tetap tidak terpengaruh.
  
  Penanganan masalah
  
  akun ini memerlukan administrator untuk membuat ulang kata sandi. Perilaku ini merupakan desain setelah Anda menginstal MS16-101 dan perbaikan yang lebih baru.
  
  

• Masalah yang diketahui 5
  
  aplikasi yang menggunakan api NetUserChangePassword dan yang lulus namaserver dalam parameter domainname tidak lagi berfungsi setelah MS16-101 dan pembaruan yang lebih baru diinstal.
  
  Dokumentasi Microsoft menyatakan bahwa menyediakan nama server jarak jauh dalam parameter domainname dari fungsi NetUserChangePassword didukung. Misalnya, fungsi netuserchangepassword menyatakan topik berikut ini:
  
  domainname [in]
  

  Penunjuk ke string konstan yang menentukan nama DNS atau NetBIOS dari server atau domain jarak jauh tempat fungsi dijalankan. Jika parameter ini adalah NULL, domain logon penelepon akan digunakan. Status
  
  panduan ini telah DIGANTIKAN oleh MS16-101, kecuali reset kata sandi adalah akun lokal di komputer lokal.
  
  Post MS16-101, agar kata sandi pengguna domain berubah menjadi bekerja, Anda harus memasukkan nama domain DNS yang valid ke API NetUserChangePassword.

• Masalah yang diketahui 6
  
  setelah Anda menginstal pembaruan keamanan yang dijelaskan dalam MS16-101, remote, perubahan terprogram dari kata sandi akun pengguna lokal, dan perubahan kata sandi di seluruh Forest terpercaya gagal.
  
  
  Operasi ini gagal karena operasi bergantung pada pengembalian-kembali NTLM yang tidak lagi didukung untuk akun nonlokal setelah MS16-101 terinstal.
  
  
  Entri registri disediakan yang bisa Anda gunakan untuk menonaktifkan perubahan ini.
  
  Peringatan penanganan masalah ini mungkin membuat komputer atau jaringan lebih rentan diserang pengguna jahat atau perangkat lunak jahat seperti virus. Kami tidak menyarankan solusi ini tetapi menyediakan informasi ini agar Anda bisa menerapkan solusi ini dengan kebijaksanaan Anda sendiri. Apabila menggunakan penyelesaian ini, risiko Anda tanggung sendiri.
  
  Importantbagian, metode, atau tugas ini berisi langkah-langkah untuk memodifikasi registri. Namun, masalah yang serius dapat terjadi apabila Anda salah dalam mengubah registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum memodifikasinya. Lalu, Anda dapat memulihkan registri jika terjadi masalah. Untuk informasi selengkapnya tentang cara mencadangkan dan memulihkan registri, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

  322756Cara mencadangkan dan memulihkan registri di Windows
  
  untuk menonaktifkan perubahan ini, mengatur entri DWORD NegoAllowNtlmPwdChangeFallback untuk menggunakan nilai 1 (satu).
  
  
  Pengaturan penting NegoAllowNtlmPwdChangeFallback entri registri ke nilai 1 akan menonaktifkan perbaikan keamanan ini:
  

  Nilai registri	Deskripsi
  0-0	Nilai default. Fallback dicegah.
  ,1	Fallback selalu diperbolehkan. Perbaikan keamanan dinonaktifkan. Pelanggan yang mengalami masalah dengan akun lokal jarak jauh atau skenario hutan yang tidak tepercaya dapat mengatur registri ke nilai ini.

  Untuk menambahkan nilai registri ini, ikuti langkah-langkah berikut:
  

  1. Klik Mulai, klik Jalankan, ketik regedit di kotak Buka, lalu klik OK.

  2. Temukan lalu klik subkunci berikut ini dalam registri:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. Pada menu Edit , arahkan ke baru, lalu klik nilai DWORD.

  4. Ketikkan NegoAllowNtlmPwdChangeFallback untuk nama DWORD, lalu tekan ENTER.

  5. Klik kanan Negoallowntlmpwdchangefallback, lalu klik Ubah.

  6. Dalam kotak data nilai , ketik 1 untuk menonaktifkan perubahan ini, lalu klik OK.
     
     
     Catatan untuk memulihkan nilai default, ketik 0 (nol), lalu klik OK.

  Status
  
  akar penyebab masalah ini dipahami. Artikel ini akan diperbarui dengan detail tambahan saat tersedia.

Cara mendapatkan dan menginstal pembaruan

Metode 1: pembaruan Windows

Pembaruan ini tersedia melalui pembaruan Windows. Saat Anda mengaktifkan pembaruan otomatis, pembaruan ini akan diunduh dan diinstal secara otomatis. Untuk informasi selengkapnya tentang cara mengaktifkan pembaruan otomatis, lihat
mendapatkan pembaruan keamanan secara otomatis.

Metode 2: Katalog Pembaruan Microsoft

Untuk mendapatkan paket mandiri untuk pembaruan ini, masuk ke situs web Katalog Pembaruan Microsoft .

Informasi Selengkapnya