Pemutakhiran kumulatif untuk Windows 10:9 Agustus 2016

Masalah yang diketahui dalam pembaruan keamanan

• Masalah yang diketahui 1 Pembaruan keamanan yang disediakan dalam MS16-101 dan pemutakhiran yang lebih baru menonaktifkan kemampuan proses Negotiate jatuh kembali ke NTLM ketika otentikasi Kerberos gagal untuk operasi perubahan sandi dengan STATUS_NO_LOGON_SERVERS (0xc000005e) kode galat. Dalam situasi ini, Anda mungkin menerima salah satu kode galat berikut ini.

  Heksadesimal	Desimal	Simbolis	Ramah
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Sistem mendeteksi kemungkinan upaya untuk membahayakan keamanan. Pastikan bahwa Anda dapat menghubungi server yang diautentikasi Anda.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistem mendeteksi kemungkinan upaya untuk membahayakan keamanan. Pastikan bahwa Anda dapat menghubungi server yang diautentikasi Anda.

  Workaround Jika perubahan sandi yang sebelumnya berhasil gagal setelah penginstalan MS16-101, ada kemungkinan bahwa perubahan sandi sebelumnya mengandalkan mundur NTLM karena Kerberos gagal. Untuk mengubah sandi berhasil dengan menggunakan protokol Kerberos, ikuti langkah berikut:

  1. Mengkonfigurasi komunikasi terbuka pada TCP port 464 antara klien yang memiliki MS16-101 diinstal dan pengontrol domain yang melayani me-reset sandi. Pengontrol domain baca-saja (RODCs) dapat Layanan reset sandi layanan mandiri jika pengguna diizinkan oleh RODCs sandi replikasi kebijakan. Pengguna yang tidak diizinkan oleh kebijakan sandi RODC memerlukan konektivitas jaringan ke kontroler domain baca/tulis (RWDC) di domain akun pengguna. Catatan Untuk memeriksa apakah TCP port 464 terbuka, ikuti langkah berikut:

     1. Buat tampilan yang setara filter untuk parser monitor jaringan Anda. Sebagai contoh:

        ipv4.address== <ip address of client> && tcp.port==464

     2. Dalam hasil, Cari "TCP: [SynReTransmit" frame.

  2. Pastikan bahwa nama Kerberos target valid. (Alamat IP tidak valid untuk protokol Kerberos. Kerberos mendukung nama pendek dan nama domain yang sepenuhnya memenuhi syarat.)

  3. Pastikan bahwa nama prinsip Layanan (SPNs) terdaftar dengan benar. Untuk informasi lebih lanjut, lihat Kerberos dan reset sandi layanan mandiri.

• Masalah yang diketahui 2 Kami tahu tentang masalah di mana reset sandi programatik akun pengguna domain gagal dan mengembalikan kode galat STATUS_DOWNGRADE_DETECTED (0x800704F1) jika kegagalan yang diharapkan adalah salah satu dari berikut ini:

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (jarang kembali)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  Tabel berikut ini menunjukkan pemetaan galat penuh.

  Heksadesimal	Desimal	Simbolis	Ramah
  0x56	86	ERROR_INVALID_PASSWORD	Sandi jaringan tertentu tidak benar.
  0x267	615	ERROR_PWD_TOO_SHORT	Kata sandi yang disediakan terlalu pendek untuk memenuhi kebijakan akun pengguna Anda. Harap berikan kata sandi yang lebih panjang.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Ketika Anda mencoba untuk memperbarui sandi, status kembali ini menunjukkan bahwa nilai yang disediakan sebagai sandi saat ini tidak benar.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Ketika Anda mencoba untuk memperbarui sandi, status kembali ini menunjukkan bahwa beberapa sandi pembaruan aturan telah dilanggar. Misalnya, sandi mungkin tidak memenuhi kriteria panjang.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Sistem tidak dapat menghubungi pengontrol domain untuk layanan permintaan otentikasi. Silakan coba lagi nanti.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Sistem tidak dapat menghubungi pengontrol domain untuk layanan permintaan otentikasi. Silakan coba lagi nanti.

  ResolusiMS16-101 telah kembali dirilis untuk mengatasi masalah ini. Menginstal versi terbaru dari pembaruan untuk buletin ini untuk menyelesaikan masalah ini.

• Masalah yang diketahui 3 Kami tahu tentang masalah di mana me-reset programatik perubahan sandi akun pengguna lokal mungkin gagal dan mengembalikan kode galat STATUS_DOWNGRADE_DETECTED (0x800704F1) . Tabel berikut ini menunjukkan pemetaan galat penuh.

  Heksadesimal	Desimal	Simbolis	Ramah
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistem tidak dapat menghubungi pengontrol domain untuk layanan permintaan otentikasi. Silakan coba lagi nanti.

  ResolusiMS16-101 telah kembali dirilis untuk mengatasi masalah ini. Menginstal versi terbaru dari pembaruan untuk buletin ini untuk menyelesaikan masalah ini.

• Masalah yang diketahui 4 Sandi untuk akun pengguna dinonaktifkan dan terkunci tidak dapat diubah menggunakan paket Negotiate. Perubahan sandi untuk akun yang dinonaktifkan dan dikunci akan tetap berfungsi bila menggunakan metode lain seperti saat menggunakan LDAP memodifikasi operasi secara langsung. Sebagai contoh, Cmdlet PowerShell set-ADAccountPassword menggunakan operasi "mengubah LDAP" untuk mengubah sandi dan tetap tidak terpengaruh. Workaround Akun ini memerlukan administrator untuk membuat ulang sandi. Perilaku ini merupakan sebuah rancangan setelah Anda menginstal MS16-101 dan perbaikan terbaru.

• Masalah yang diketahui 5 Aplikasi yang menggunakan netuserchangepassword api dan yang lulus namaserver dalam parameter namadomain akan tidak lagi bekerja setelah MS16-101 dan pemutakhiran yang lebih baru yang diinstal. Dokumentasi Microsoft menyatakan bahwa menyediakan nama server jauh dalam parameter namadomain fungsi netuserchangepassword didukung. Sebagai contoh, fungsi Netuserchangepassword topik MSDN menyatakan berikut ini: namadomain [di]

  Penunjuk ke untai konstan yang menentukan nama DNS atau NetBIOS dari server jauh atau domain di mana fungsi adalah untuk mengeksekusi. Jika parameter ini NULL, logon domain pemanggil digunakan.Namun, panduan ini telah digantikan oleh MS16-101, kecuali reset sandi untuk akun lokal di komputer lokal. Posting MS16-101, agar perubahan sandi pengguna domain untuk bekerja, Anda harus melewati nama domain DNS yang valid untuk NetUserChangePassword API.

• Masalah yang diketahui 6 Setelah Anda menerapkan pembaruan keamanan ini, dan kemudian Anda mencetak beberapa dokumen berturut-turut, dua dokumen pertama dapat mencetak berhasil tetapi dokumen ketiga dan berikutnya mungkin tidak dicetak. Untuk mengatasi masalah ini, lakukan salah satu dari berikut ini:

  • Instal pemutakhiran 3187022. Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

    3187022 mencetak fungsionalitas rusak setelah salah satu dari PEMUTAKHIRAN keamanan MS16-098 diinstal

  • Instal pemutakhiran 3186987 dari situs Katalog Pembaruan Microsoft .

  Masalah ini juga diselesaikan dalam buletin keamanan Microsoft MS16-106.

• Masalah yang diketahui 7 Setelah Anda menginstal pembaruan keamanan yang dijelaskan di MS16-101, jauh, programatik perubahan sandi akun pengguna lokal, dan perubahan sandi di hutan terpercaya gagal. Operasi ini gagal karena operasi bergantung pada NTLM jatuh kembali yang tidak lagi didukung untuk akun nonlokal setelah MS16-101 diinstal. Entri registri yang tersedia yang dapat Anda gunakan untuk menonaktifkan perubahan ini. Peringatan pemecahan masalah ini dapat membuat komputer atau jaringan lebih rentan terhadap serangan pengguna jahat atau perangkat lunak berbahaya seperti virus. Kami tidak menyarankan pemecahan masalah ini tetapi menyediakan informasi ini sehingga Anda dapat menerapkan pemecahan masalah ini kebijaksanaan Anda sendiri. Gunakan solusi ini risiko Anda sendiri. Pentingbagian ini, metode, atau tugas ini berisi langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah serius dapat terjadi jika Anda salah memodifikasi registri. Oleh karena itu, pastikan bahwa Anda mengikuti langkah ini dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda mengubahnya. Kemudian, Anda dapat memulihkan registri jika terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

  322756 Cara membuat cadangan dan memulihkan registri di WindowsUntuk menonaktifkan perubahan ini, tetapkan entri DWORD Negoallowntlmpwdchangefallback untuk menggunakan nilai 1 (satu). Penting Menetapkan entri registri Negoallowntlmpwdchangefallback ke nilai 1 akan menonaktifkan perbaikan keamanan ini:

  Nilai Registry	Deskripsi
  0	Nilai default. Fallback dicegah.
  1	Fallback selalu diperbolehkan. Perbaikan keamanan dimatikan. Pelanggan yang mengalami masalah dengan akun lokal jauh atau hutan terpercaya skenario dapat mengatur registri untuk nilai ini.

  Untuk menambahkan nilai registri ini, ikuti langkah berikut:

  1. Klik Mulai, klik Jalankan, ketik regedit di kotak Buka, lalu klik OK.

  2. Temukan dan kemudian klik subkunci berikut dalam registri:

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

  3. Pada Edit menu, arahkan ke baru, dan kemudian klik nilai DWORD.

  4. Ketik Negoallowntlmpwdchangefallback untuk nama DWORD, dan kemudian tekan Enter.

  5. Klik kanan Negoallowntlmpwdchangefallback, dan kemudian klik Ubah.

  6. Di kotak data nilai , ketik 1 untuk menonaktifkan perubahan ini, dan kemudian klik OK. Catatan Untuk memulihkan nilai asali, ketik 0 (nol), dan kemudian klik OK.

  Status Akar penyebab masalah ini dipahami. Artikel ini akan diperbarui dengan rincian tambahan yang tersedia.

Metode 1: Pemutakhiran Windows

Pemutakhiran ini akan diunduh dan diinstal secara otomatis.

Metode 2: Katalog Pemutakhiran Microsoft

Untuk mendapatkan paket berdiri sendiri untuk pembaruan ini, kunjungi situs web Katalog Pembaruan Microsoft .

Prasyarat

Ada beberapa prasyarat untuk menginstal pembaruan ini.

Restart informasi

Anda harus me-restart komputer setelah Anda menerapkan pembaruan ini.

Informasi penggantian pemutakhiran

Pemutakhiran ini menggantikan pemutakhiran yang diedarkan sebelumnya 3163912.