Aggiornamento cumulativo per Windows 10 versione 1511: 9 agosto 2016

Importante Questo articolo contiene informazioni che mostrano come per le impostazioni di protezione inferiore o su come disattivare le funzionalità di protezione in un computer. È possibile apportare queste modifiche per risolvere un problema specifico. Prima di apportare queste modifiche, si consiglia di valutare i rischi associati all'implementazione di questa soluzione in un ambiente particolare. Se si implementa questa soluzione, adottare ogni ulteriore procedura per proteggere il computer.

Riepilogo

Questo aggiornamento della sicurezza include correzioni e miglioramenti nelle funzionalità di Windows 10 versione 1511. Risolve inoltre le seguenti vulnerabilità in Windows:
  • 3177356 MS16-095: aggiornamento cumulativo della sicurezza per Internet Explorer: 9 agosto 2016
  • 3177358 MS16-096: aggiornamento cumulativo della sicurezza per Microsoft Edge: 9 agosto 2016
  • 3177393 MS16-097: aggiornamento della protezione per Microsoft component grafica: 9 agosto 2016
  • MS16-098 3178466 : aggiornamento della protezione per i driver in modalità kernel: il 9 agosto 2016
  • 3178465 MS16-101: aggiornamento della protezione per i metodi di autenticazione di Windows: il 9 agosto 2016
  • 3182248 MS16-102: aggiornamento della protezione per Microsoft Windows PDF library: 9 agosto 2016
  • 3182332 MS16-103: aggiornamento della protezione per ActiveSyncProvider: il 9 agosto 2016

Gli aggiornamenti di Windows 10 sono cumulativi. Pertanto, questo pacchetto contiene tutte le correzioni rilasciate in precedenza.

Se sono stati installati aggiornamenti precedenti, le nuove correzioni contenute in questo pacchetto verranno scaricate e installate nel computer. Se si installa un pacchetto di aggiornamento di Windows 10 per la prima volta, il pacchetto per il x86 versione è 502 MB e il pacchetto per la versione di x64 916 MB.


Ulteriori informazioni

Problemi noti di questo aggiornamento della protezione

  • Problema noto 1

    Aggiornamenti più recenti e gli aggiornamenti forniti in MS16-101 disattivano la capacità del processo di negoziazione per l'utilizzo di NTLM quando si verifica un errore di autenticazione Kerberos per le operazioni di modifica password con il codice di errore STATUS_NO_LOGON_SERVERS (0xc000005e) . In questo caso si verifichi uno dei seguenti codici di errore.

    EsadecimaleDecimalSimbolicoDescrittivo
    0xc00003881073740920STATUS_DOWNGRADE_DETECTEDIl sistema ha rilevato un possibile tentativo di compromettere la sicurezza. Assicurarsi che sia possibile contattare il server di autenticazione.
    0x4f11265ERROR_DOWNGRADE_DETECTEDIl sistema ha rilevato un possibile tentativo di compromettere la sicurezza. Assicurarsi che sia possibile contattare il server di autenticazione.


    Soluzione alternativa

    Se le modifiche delle password che in precedenza è stata eseguita correttamente dopo l'installazione di MS16-101, è probabile che le modifiche delle password sono stati precedentemente affidarsi fallback a NTLM perché non era di Kerberos. Per modificare correttamente le password utilizzando i protocolli Kerberos, attenersi alla seguente procedura:


    1. Configurare le comunicazioni aperte sulla porta TCP 464 tra i client che hanno installato MS16-101 e il controller di dominio utilizzato per la reimpostazione della password.

      Il controller di dominio di sola lettura (RODC) può servire la reimpostazione della password self-service, se l'utente è consentito dai criteri di replica password di lettura. Gli utenti che non sono consentiti dai criteri di password del controller di DOMINIO richiedono la connettività di rete a un controller di dominio di sola lettura (RWDC) nel dominio di account utente.

      Nota: Per verificare se la porta TCP 464 è aperta, procedere come segue:


      1. Creare un filtro di visualizzazione equivalente per il parser di monitor di rete. Per esempio:
        ipv4.address== <ip address of client> && tcp.port==464
      2. Nei risultati, cercare di "TCP: [SynReTransmit" frame.

        Frame
    2. Assicurarsi che i nomi di destinazione Kerberos sono validi. (Indirizzi IP non vengono per il protocollo Kerberos. Kerberos supporta i nomi brevi i nomi di dominio completo.)
    3. Assicurarsi che i nomi principali di servizio (SPN) sono registrati correttamente.

      Per ulteriori informazioni, vedere autenticazione Kerberos e la reimpostazione della Password Self-Service.
  • Problema noto 2

    Sappiamo su un problema in cui Reimposta la password a livello di codice dell'utente di dominio degli account non riuscire e restituiscono il codice di errore STATUS_DOWNGRADE_DETECTED (0x800704F1) se l'errore previsto è uno dei seguenti:

    • ERROR_INVALID_PASSWORD
    • ERROR_PWD_TOO_SHORT (raramente restituito)
    • STATUS_WRONG_PASSWORD
    • STATUS_PASSWORD_RESTRICTION

    Nella tabella seguente viene illustrato il mapping di errore completo.

    EsadecimaleDecimalSimbolicoDescrittivo
    0x5686ERROR_INVALID_PASSWORDLa password di rete specificato non è corretta.
    0x267615ERROR_PWD_TOO_SHORTLa password fornita è troppo breve per soddisfare i criteri di account utente. Fornire una password più lunga.
    0xc000006a-1073741718STATUS_WRONG_PASSWORDQuando si tenta di aggiornare una password, questo stato indica che il valore fornito per la password corrente non è corretto.
    0xc000006c-1073741716STATUS_PASSWORD_RESTRICTIONQuando si tenta di aggiornare una password, questo stato indica che alcune regole di aggiornamento è stata violata. Ad esempio, la password potrebbe non soddisfare i criteri di lunghezza.
    0x800704F11265STATUS_DOWNGRADE_DETECTEDIl sistema non riesce a contattare un controller di dominio per rispondere alla richiesta di autenticazione. Riprovare più tardi.
    0xc0000388-1073740920STATUS_DOWNGRADE_DETECTEDIl sistema non riesce a contattare un controller di dominio per rispondere alla richiesta di autenticazione. Riprovare più tardi.


    Risoluzione

    MS16-101 è stato rilasciato nuovamente per risolvere questo problema. Installare la versione più recente degli aggiornamenti per questo bollettino risolvere il problema.

  • Problema noto 3

    Sappiamo che su un problema in cui Reimposta programmatico di cambio password account utente locali potrebbe non riuscire e restituire il codice di errore STATUS_DOWNGRADE_DETECTED (0x800704F1) .

    Nella tabella seguente viene illustrato il mapping di errore completo.

    EsadecimaleDecimalSimbolicoDescrittivo
    0x4f11265ERROR_DOWNGRADE_DETECTEDIl sistema non riesce a contattare un controller di dominio per rispondere alla richiesta di autenticazione. Riprovare più tardi.


    Risoluzione

    MS16-101 è stato rilasciato nuovamente per risolvere questo problema. Installare la versione più recente degli aggiornamenti per questo bollettino risolvere il problema.

  • Problema noto 4

    Impossibile modificare le password degli account utente disabilitati e bloccato utilizzando il pacchetto di negoziazione.


    Le modifiche delle password per gli account disabilitati e bloccato continuerà a funzionare quando si utilizzano altri metodi, ad esempio quando un elenco LDAP utilizzando Modifica operazione direttamente. Ad esempio, il cmdlet PowerShell Set-ADAccountPassword utilizza un'operazione di "Modifica LDAP" per modificare la password e rimane invariato.

    Soluzione alternativa

    Questi account è necessario un amministratore per la reimpostazione della password. Questo comportamento è legato dopo l'installazione di correzioni MS16-101 e versioni successive.

  • Problema noto 5

    Le applicazioni che utilizzano l'API NetUserChangePassword e che un nomeserver, passare il parametro domainname non funzionerà più dopo MS16-101 e vengono installati gli aggiornamenti successivi.

    La documentazione Microsoft stabilisce che fornisce un nome server remoto nel parametro domainname della funzione NetUserChangePassword è supportato. Ad esempio, l'argomento MSDN NetUserChangePassword funzione riporta quanto segue:

    DomainName [in]
    Puntatore a una stringa costante che specifica il nome DNS o NetBIOS del server remoto o dominio su cui eseguire la funzione. Se questo parametro è NULL, viene utilizzato il dominio di accesso del chiamante.
    Tuttavia, questa guida è stata sostituita da MS16-101, a meno che non la reimpostazione della password per un account locale sul computer locale. Post MS16-101, affinché le modifiche delle password utente dominio funzioni correttamente, è necessario passare un nome di dominio DNS valido all'API NetUserChangePassword.
  • Problema noto 6



    Dopo avere applicato questo aggiornamento della protezione e la stampa di più documenti in successione, i primi due documenti vengano stampati correttamente. Tuttavia, potrebbero non essere stampati i documenti dal terzo in poi.

    Per risolvere questo problema, scaricare l'aggiornamento 3186988 dal sito Web Microsoft Update Catalog .





    Questo problema è stato risolto in Microsoft Security Bulletin MS16-106.



  • Problema noto 7

    Dopo aver installato gli aggiornamenti della protezione descritti in MS16-101, remoto, non le modifiche di programmazione di una password di account utente locale e le modifiche delle password tra insiemi di strutture non attendibili.


    Questa operazione non riesce perché l'operazione si basa su NTLM fallback non è più supportata per gli account locali dopo l'installazione di MS16-101.


    Una voce del Registro di sistema è che è possibile utilizzare per disattivare questa modifica.

    Avviso Questa procedura potrebbe rendere un computer o una rete più vulnerabile agli attacchi di utenti malintenzionati o programmi software dannosi, quali i virus. Si sconsiglia questa soluzione, tuttavia queste informazioni vengono fornite per consentire all'utente di implementarla a propria discrezione. Questa soluzione può essere utilizzata a proprio rischio.

    Importante Questa sezione, metodo o attività contiene passaggi su come modificare il Registro di sistema. Tuttavia, può causare seri problemi la modifica del Registro di sistema in modo non corretto. Pertanto, assicurarsi di seguire attentamente i passaggi. Per maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Cosicché sia possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
    322756 Eseguire il backup e ripristino del Registro di sistema in Windows


    Per disattivare questa modifica, impostare la voce DWORD NegoAllowNtlmPwdChangeFallback per utilizzare un valore pari a 1 (uno).


    Importante Se la voce del Registro di sistema NegoAllowNtlmPwdChangeFallback su un valore pari a 1, verrà disattivato questa correzione per la protezione:
    Valore del Registro di sistemaDescrizione
    0Valore predefinito. Non è consentito il fallback.
    1È sempre consentito il fallback. La correzione è disattivata. I clienti che riscontrano problemi con gli account locali remoti o scenari di insieme di strutture è possono impostare questo valore di registro di sistema.
    Per aggiungere questi valori del Registro di sistema, attenersi alla seguente procedura:
    1. Fare clic su Start, scegliere Esegui, digitare regedit nella casella Apri e quindi fare clic su OK.
    2. Individuare e selezionare la seguente sottochiave del Registro di sistema:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
    3. Dal menu Modifica , scegliere Nuovoe quindi fare clic su Valore DWORD.
    4. Digitare NegoAllowNtlmPwdChangeFallback per il nome del valore DWORD e quindi premere INVIO.
    5. Destro NegoAllowNtlmPwdChangeFallbacke quindi fare clic su Modifica.
    6. Nella casella dati valore digitare 1 per disattivare la modifica e quindi fare clic su OK.


      Nota: Per ripristinare il valore predefinito, digitare 0 (zero) e quindi fare clic su OK.
    Stato

    Viene considerata la causa principale del problema. In questo articolo verrà aggiornato con ulteriori dettagli man mano che diventano disponibili.

Come ottenere questo aggiornamento

Importante Se si installa un Language Pack dopo aver installato questo aggiornamento, è necessario reinstallare questo aggiornamento. Pertanto, si consiglia di installare qualsiasi Language Pack di cui si ha bisogno prima di installare questo aggiornamento. Per ulteriori informazioni, vedere aggiunta di language pack per Windows.

Metodo 1: Windows Update

Questo aggiornamento verrà scaricato e installato automaticamente.

Metodo 2: Catalogo di Microsoft Update

Per ottenere il pacchetto autonomo per questo aggiornamento, visitare il sito Web Microsoft Update Catalog .

Prerequisiti

Non esistono prerequisiti per l'installazione di questo aggiornamento.

Informazioni sul riavvio

È necessario riavviare il computer dopo avere applicato questo aggiornamento.

Informazioni sulla sostituzione dell'aggiornamento

Questo aggiornamento sostituisce l' aggiornamento rilasciato in precedenza 3172985.

Informazioni sui file

Per un elenco dei file forniti in questo aggiornamento cumulativo, scaricare le informazioni sui file per l'aggiornamento cumulativo 3176493.

Riferimenti

Informazioni sulla terminologia utilizzata da Microsoft per descrivere gli aggiornamenti software.
Proprietà

ID articolo: 3176493 - Ultima revisione: 08 gen 2017 - Revisione: 1

Feedback