Penting Artikel ini berisi informasi yang menunjukkan pada Anda cara membantu menurunkan setelan keamanan atau cara mematikan fitur keamanan di komputer. Anda dapat membuat perubahan ini untuk mengatasi masalah khusus. Sebelum Anda membuat perubahan ini, kami sarankan Anda mengevaluasi risiko yang terkait dengan penerapan solusi masalah ini di lingkungan tertentu. Jika Anda ingin mengatasi masalah ini, lakukan langkah-langkah tambahan yang sesuai untuk melindungi komputer.
Ringkasan
Pembaruan keamanan ini mencakup peningkatan dan perbaikan fungsionalitas Windows 10 versi 1511. Ini juga mengatasi kerentanan berikut ini di Windows:
-
3177356 MS16-095: pembaruan keamanan kumulatif untuk Internet Explorer: 9 Agustus 2016
-
3177358 MS16-096: pembaruan keamanan kumulatif untuk Microsoft Edge: 9 Agustus 2016
-
3177393 MS16-097: pembaruan keamanan untuk komponen grafis Microsoft: 9 Agustus 2016
-
3178466 MS16-098: pembaruan keamanan untuk pengandar mode kernel: 9 Agustus 2016
-
3178465 MS16-101: pembaruan keamanan untuk Windows metode otentikasi: 9 Agustus 2016
-
3182248 MS16-102: pembaruan keamanan untuk Microsoft Windows PDF Perpustakaan: 9 Agustus 2016
-
3182332 MS16-103: pembaruan keamanan untuk ActiveSyncProvider: 9 Agustus 2016
Pemutakhiran Windows 10 bersifat kumulatif. Oleh karena itu, paket ini berisi semua perbaikan yang telah dirilis sebelumnya. Apabila Anda telah menginstal pembaruan sebelumnya, hanya baru perbaikan yang disertakan dalam paket ini akan diunduh dan diinstal pada komputer Anda. Jika Anda menginstal paket Pemutakhiran Windows 10 untuk yang pertama kalinya, paket untuk x86 versi adalah 502 MB dan paket untuk x64 versi 916 MB.
Informasi lebih lanjut
Masalah yang diketahui dalam pembaruan keamanan
-
Masalah yang diketahui 1MS16-101 dan pemutakhiran baru menonaktifkan kemampuan proses Negotiate jatuh kembali ke NTLM ketika otentikasi Kerberos gagal untuk operasi perubahan sandi dengan kode galat STATUS_NO_LOGON_SERVERS (0xc000005e) . Dalam situasi ini, Anda mungkin menerima salah satu kode galat berikut ini.
Pembaruan keamanan yang disediakan dalamHeksadesimal
Desimal
Simbolik
Ramah
0xc0000388
1073740920
STATUS_DOWNGRADE_DETECTED
Sistem mendeteksi mungkin berusaha membahayakan keamanan. Pastikan bahwa Anda dapat menghubungi server yang diotentikasi Anda.
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
Sistem mendeteksi mungkin berusaha membahayakan keamanan. Pastikan bahwa Anda dapat menghubungi server yang diotentikasi Anda.
-
Mengkonfigurasi komunikasi terbuka pada TCP port 464 antara klien yang telah diinstal MS16-101 dan kontroler domain yang merupakan layanan resets sandi.
Kontroler domain baca-saja (RODCs) dapat Layanan resets sandi layanan mandiri jika pengguna diperbolehkan oleh RODCs sandi replikasi kebijakan. Pengguna yang tidak diizinkan oleh kebijakan sandi RODC memerlukan konektivitas jaringan ke kontroler domain baca/tulis (RWDC) di domain account pengguna. Catatan Untuk memeriksa apakah TCP port 464 terbuka, ikuti langkah-langkah berikut:-
Membuat filter setara tampilan untuk parser monitor jaringan Anda. Misalnya:
ipv4.address== <ip address of client> && tcp.port==464
-
Hasil, Cari "TCP: [SynReTransmit" frame.
-
-
Pastikan bahwa nama Kerberos target valid. (Alamat IP tidak valid untuk protokol Kerberos. Kerberos mendukung pendek nama dan nama domain yang memenuhi syarat.)
-
Pastikan bahwa nama prinsip Layanan (SPN) yang terdaftar dengan benar.Kerberos dan Reset sandi layanan mandiri.
Untuk informasi selengkapnya, lihat
-
-
Masalah yang diketahui 2
Kami tahu tentang masalah di mana resets programatik sandi pengguna domain akun gagal dan mengembalikan kode galat STATUS_DOWNGRADE_DETECTED (0x800704F1) jika kegagalan yang diharapkan adalah salah satu dari berikut ini:-
ERROR_INVALID_PASSWORD
-
ERROR_PWD_TOO_SHORT (jarang kembali)
-
STATUS_WRONG_PASSWORD
-
STATUS_PASSWORD_RESTRICTION
Heksadesimal
Desimal
Simbolik
Ramah
0x56
86
ERROR_INVALID_PASSWORD
Jaringan yang dimaksud sandi tidak benar.
0x267
615
ERROR_PWD_TOO_SHORT
Sandi yang diberikan terlalu pendek untuk memenuhi kebijakan akun pengguna Anda. Berikan sandi lagi.
0xc000006a
-1073741718
STATUS_WRONG_PASSWORD
Ketika Anda mencoba untuk memperbarui sandi, status kembali ini menunjukkan bahwa nilai yang disediakan sebagai password yang salah.
0xc000006c
-1073741716
STATUS_PASSWORD_RESTRICTION
Ketika Anda mencoba untuk memperbarui sandi, status kembali ini menunjukkan bahwa beberapa aturan pembaruan sandi melanggar. Sebagai contoh, sandi mungkin tidak memenuhi kriteria panjang.
0x800704F1
1265
STATUS_DOWNGRADE_DETECTED
Sistem tidak dapat menghubungi pengontrol domain untuk melayani permintaan otentikasi. Silakan coba lagi nanti.
0xc0000388
-1073740920
STATUS_DOWNGRADE_DETECTED
Sistem tidak dapat menghubungi pengontrol domain untuk melayani permintaan otentikasi. Silakan coba lagi nanti.
MS16-101 telah kembali dirilis untuk mengatasi masalah ini. Menginstal versi terbaru dari pembaruan untuk buletin ini untuk menyelesaikan masalah ini.
Pemecahan masalah -
-
Masalah yang diketahui 3
Kami tahu tentang masalah di mana programatik resets perubahan sandi akun pengguna lokal mungkin gagal dan mengembalikan kode galat STATUS_DOWNGRADE_DETECTED (0x800704F1) . Tabel berikut ini menunjukkan pemetaan galat penuh.Heksadesimal
Desimal
Simbolik
Ramah
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
Sistem tidak dapat menghubungi pengontrol domain untuk melayani permintaan otentikasi. Silakan coba lagi nanti.
MS16-101 telah kembali dirilis untuk mengatasi masalah ini. Menginstal versi terbaru dari pembaruan untuk buletin ini untuk menyelesaikan masalah ini.
Pemecahan masalah -
Masalah yang diketahui 4
Kata sandi untuk account pengguna dinonaktifkan dan diblokir tidak dapat diubah dengan menggunakan paket negotiate. Perubahan sandi untuk akun dinonaktifkan dan diblokir masih akan bekerja dengan menggunakan metode lain seperti saat menggunakan LDAP memodifikasi operasi secara langsung. Sebagai contoh, cmdlet PowerShell Set-ADAccountPassword menggunakan operasi "Mengubah LDAP" untuk mengubah sandi dan tetap tidak terpengaruh. Pemecahan masalah Akun ini memerlukan administrator untuk membuat sandi resets. Perilaku ini merupakan bagian dari rancangan setelah Anda menginstal perbaikan MS16-101 dan yang lebih baru. -
Masalah yang diketahui 5fungsi NetUserChangePassword MSDN topik menyatakan berikut ini: namadomain [di]
Aplikasi yang menggunakan NetUserChangePassword API dan yang masuk namaserver parameter namadomain tidak lagi bekerja setelah MS16-101 dan kemudian pembaruan diinstal. Dokumentasi Microsoft menyatakan bahwa menyediakan nama server jauh dalam parameter namadomain NetUserChangePassword fungsi yang didukung. Sebagai contoh,Pointer ke terus-menerus untai yang menentukan nama DNS atau NetBIOS server jauh atau domain di mana fungsi adalah untuk menjalankan. Jika parameter ini NULL, domain logon pemanggil akan digunakan.Namun, panduan ini telah digantikan oleh MS16-101, kecuali mereset sandi untuk akun lokal pada komputer lokal. Posting MS16-101, agar perubahan sandi pengguna domain untuk bekerja, Anda harus melewati nama Domain DNS yang valid untuk NetUserChangePassword API.
-
Masalah yang diketahui 6Katalog Pembaruan Microsoft . Masalah ini juga diselesaikan dalam buletin keamanan Microsoft MS16-106.
Setelah Anda menerapkan pembaruan keamanan ini dan mencetak beberapa dokumen berturut-turut, dokumen dua dapat mencetak berhasil. Namun, ketiga dan selanjutnya dokumen mungkin tidak dicetak. Untuk memperbaiki masalah ini, Unduh pemutakhiran 3186988 dari situs -
Masalah yang diketahui 7MS16-101, jarak jauh, programatik perubahan sandi akun pengguna lokal, dan perubahan sandi di hutan terpercaya gagal. Operasi ini gagal karena operasi mengandalkan NTLM jatuh kembali yang tidak lagi didukung untuk akun nonlocal setelah MS16-101 diinstal. Entri registri ini yang dapat Anda gunakan untuk menonaktifkan perubahan ini. Peringatan Pemecahan masalah ini dapat membuat komputer atau jaringan lebih mudah diserang oleh pengguna yang jahat atau perangkat lunak berbahaya seperti virus. Kami tidak merekomendasikan pemecahan masalah ini, tetapi menyediakan informasi ini sehingga Anda dapat menerapkan pemecahan masalah ini atas kebijaksanaan Anda sendiri. Gunakan pemecahan masalah ini dengan risiko Anda sendiri. Penting Bagian, metode, atau tugas ini berisi langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah serius dapat terjadi apabila Anda salah mengubah registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah ini dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum mengubahnya. Lalu, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
Setelah Anda menginstal pembaruan keamanan yang dijelaskan dalam322756 Cara membuat cadangan dan memulihkan registri di Windows Untuk menonaktifkan perubahan ini, tetapkan entri DWORD NegoAllowNtlmPwdChangeFallback untuk menggunakan nilai dari 1 (satu). Penting Menetapkan entri registri NegoAllowNtlmPwdChangeFallback ke nilai dari 1 akan menonaktifkan perbaikan keamanan ini:
Nilai registri
Deskripsi
0
Nilai asali. Mundur dicegah.
1
Mundur selalu diizinkan. Memperbaiki keamanan dinonaktifkan. Pelanggan yang mengalami masalah dengan akun lokal jarak jauh atau hutan terpercaya skenario yang dapat menetapkan registri ke nilai ini.
Untuk menambahkan nilai registri ini, ikuti langkah-langkah berikut:
-
Klik Mulai, klik Jalankan, ketik regedit di kotak buka, lalu klik OK.
-
Temukan dan kemudian klik subkunci berikut dalam registri:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
-
Pada menu Edit, arahkan ke Baru, lalu klik Nilai DWORD.
-
Ketik NegoAllowNtlmPwdChangeFallback untuk nama DWORD, dan kemudian tekan ENTER.
-
Klik kanan NegoAllowNtlmPwdChangeFallback, dan kemudian klik Ubah.
-
Di kotak data nilai , ketik 1 untuk menonaktifkan perubahan ini, dan kemudian klik OK.
Catatan Untuk memulihkan nilai asali, ketik 0 (nol), dan kemudian klik OK.
Status
Memahami penyebab masalah ini. Artikel ini akan diperbarui dengan rincian tambahan mereka menjadi tersedia. -
Cara mendapatkan pembaruan ini
Penting Jika Anda menginstal paket bahasa setelah Anda menginstal pembaruan ini, Anda harus menginstal pembaruan ini. Oleh karena itu, kami menyarankan Anda menginstal bahasa setiap paket yang Anda butuhkan sebelum Anda menginstal pembaruan ini. Untuk informasi selengkapnya, lihat Tambah paket bahasa untuk Windows.
Metode 1: Pemutakhiran Windows
Pembaruan ini akan diunduh dan diinstal secara otomatis.
Metode 2: Katalog Pembaruan Microsoft
Untuk mendapatkan paket mandiri pembaruan ini, kunjungi situs web Katalog Pembaruan Microsoft .
Prasyarat
Ada beberapa prasyarat untuk menginstal pembaruan ini.
Informasi menghidupkan ulang
Anda harus menghidupkan ulang komputer setelah menerapkan pemutakhiran ini.
Informasi penggantian pemutakhiran
Pemutakhiran ini menggantikan pemutakhiran yang diedarkan sebelumnya 3172985.
Informasi berkas
Untuk daftar berkas yang disertakan dalam pemutakhiran kumulatif ini, download informasi file untuk pembaruan kumulatif 3176493.
Referensi
Pelajari tentang peristilahan yang digunakan untuk menjelaskan pembaruan perangkat lunak Microsoft.