Aggiornamento cumulativo per Windows 10 versione 1511: 9 agosto 2016

Problemi noti di questo aggiornamento della protezione

• Problema noto 1
  
  Aggiornamenti più recenti e gli aggiornamenti forniti in MS16-101 disattivano la capacità del processo di negoziazione per l'utilizzo di NTLM quando si verifica un errore di autenticazione Kerberos per le operazioni di modifica password con il codice di errore STATUS_NO_LOGON_SERVERS (0xc000005e) . In questo caso si verifichi uno dei seguenti codici di errore.
  
  

  Esadecimale	Decimal	Simbolico	Descrittivo
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Il sistema ha rilevato un possibile tentativo di compromettere la sicurezza. Assicurarsi che sia possibile contattare il server di autenticazione.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Il sistema ha rilevato un possibile tentativo di compromettere la sicurezza. Assicurarsi che sia possibile contattare il server di autenticazione.

  
  
  Soluzione alternativa
  
  Se le modifiche delle password che in precedenza venivano eseguite correttamente dopo l'installazione di MS16-101 non riescono, è probabile che le modifiche delle password si basassero in precedenza sul fallback NTLM a causa del mancato funzionamento di Kerberos. Per modificare correttamente le password utilizzando i protocolli Kerberos, attenersi alla seguente procedura:
  
  
  

  1. Configurare le comunicazioni aperte sulla porta TCP 464 tra i client che hanno installato MS16-101 e il controller di dominio utilizzato per la reimpostazione della password.
     
     Il controller di dominio di sola lettura (RODC) può servire la reimpostazione della password self-service, se l'utente è consentito dai criteri di replica password di lettura. Gli utenti che non sono consentiti dai criteri di password del controller di dominio richiedono la connettività di rete a un controller di dominio di sola lettura (RWDC) nel dominio di account utente.
     
     Nota: Per verificare se la porta TCP 464 è aperta, procedere come segue:
     
     
     

     1. Creare un filtro di visualizzazione equivalente per il parser di monitor di rete. Per esempio:
        

        ipv4.address== <ip address of client> && tcp.port==464

     2. Nei risultati, cercare di "TCP: [SynReTransmit" frame.
        
        

  2. Assicurarsi che i nomi di destinazione Kerberos sono validi. (Indirizzi IP non vengono per il protocollo Kerberos. Kerberos supporta i nomi brevi i nomi di dominio completo.)

  3. Assicurarsi che i nomi principali di servizio (SPN) sono registrati correttamente.
     
     Per ulteriori informazioni, vedere autenticazione Kerberos e la reimpostazione della Password Self-Service.

• Problema noto 2
  
  Sappiamo su un problema in cui Reimposta la password a livello di codice dell'utente di dominio degli account non riuscire e restituiscono il codice di errore STATUS_DOWNGRADE_DETECTED (0x800704F1) se l'errore previsto è uno dei seguenti:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (raramente restituito)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  Nella tabella seguente viene illustrato il mapping di errore completo.
  
  

  Esadecimale	Decimal	Simbolico	Descrittivo
  0x56	86	ERROR_INVALID_PASSWORD	La password di rete specificato non è corretta.
  0x267	615	ERROR_PWD_TOO_SHORT	La password fornita è troppo breve per soddisfare i criteri di account utente. Fornire una password più lunga.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Quando si tenta di aggiornare una password, questo stato indica che il valore fornito per la password corrente non è corretto.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Quando si tenta di aggiornare una password, questo stato indica che alcune regole di aggiornamento è stata violata. Ad esempio, la password potrebbe non soddisfare i criteri di lunghezza.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Il sistema non riesce a contattare un controller di dominio per rispondere alla richiesta di autenticazione. Riprovare più tardi.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Il sistema non riesce a contattare un controller di dominio per rispondere alla richiesta di autenticazione. Riprovare più tardi.

  
  
  Risoluzione
  
  MS16-101 è stato rilasciato nuovamente per risolvere questo problema. Installare la versione più recente degli aggiornamenti per questo bollettino risolvere il problema.
  
  

• Problema noto 3
  
  Sappiamo che su un problema in cui Reimposta programmatico di cambio password account utente locali potrebbe non riuscire e restituire il codice di errore STATUS_DOWNGRADE_DETECTED (0x800704F1) .
  
  Nella tabella seguente viene illustrato il mapping di errore completo.
  
  

  Esadecimale	Decimal	Simbolico	Descrittivo
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Il sistema non riesce a contattare un controller di dominio per rispondere alla richiesta di autenticazione. Riprovare più tardi.

  
  
  Risoluzione
  
  MS16-101 è stato rilasciato nuovamente per risolvere questo problema. Installare la versione più recente degli aggiornamenti per questo bollettino risolvere il problema.
  
  

• Problema noto 4
  
  Impossibile modificare le password degli account utente disabilitati e bloccato utilizzando il pacchetto di negoziazione.
  
  
  Le modifiche delle password per gli account disabilitati e bloccato continuerà a funzionare quando si utilizzano altri metodi, ad esempio quando un elenco LDAP utilizzando Modifica operazione direttamente. Ad esempio, il cmdlet PowerShell Set-ADAccountPassword utilizza un'operazione di "Modifica LDAP" per modificare la password e rimane invariato.
  
  Soluzione alternativa
  
  Questi account è necessario un amministratore per la reimpostazione della password. Questo comportamento è legato dopo l'installazione di correzioni MS16-101 e versioni successive.
  
  

• Problema noto 5
  
  Le applicazioni che utilizzano l'API NetUserChangePassword e che un nomeserver, passare il parametro domainname non funzionerà più dopo MS16-101 e vengono installati gli aggiornamenti successivi.
  
  La documentazione Microsoft stabilisce che fornisce un nome server remoto nel parametro domainname della funzione NetUserChangePassword è supportato. Ad esempio, l'argomento MSDN NetUserChangePassword funzione riporta quanto segue:
  
  DomainName [in]
  

  Puntatore a una stringa costante che specifica il nome DNS o NetBIOS del server remoto o dominio su cui eseguire la funzione. Se questo parametro è NULL, viene utilizzato il dominio di accesso del chiamante.Tuttavia, questa guida è stata sostituita da MS16-101, a meno che non la reimpostazione della password per un account locale sul computer locale. Post MS16-101, affinché le modifiche delle password utente dominio funzioni correttamente, è necessario passare un nome di dominio DNS valido all'API NetUserChangePassword.

• Problema noto 6
  
  
  
  Dopo avere applicato questo aggiornamento della protezione e la stampa di più documenti in successione, i primi due documenti vengano stampati correttamente. Tuttavia, potrebbero non essere stampati i documenti dal terzo in poi.
  
  Per risolvere questo problema, scaricare l'aggiornamento 3186988 dal sito Web Microsoft Update Catalog .
  
  
  
  
  
  Questo problema è stato risolto in Microsoft Security Bulletin MS16-106.
  
  
  
  

• Problema noto 7
  
  Dopo aver installato gli aggiornamenti della protezione descritti in MS16-101, remoto, non le modifiche di programmazione di una password di account utente locale e le modifiche delle password tra insiemi di strutture non attendibili.
  
  
  Questa operazione non riesce perché l'operazione si basa su NTLM fallback non è più supportata per gli account locali dopo l'installazione di MS16-101.
  
  
  Una voce del Registro di sistema è che è possibile utilizzare per disattivare questa modifica.
  
  Avviso Questa procedura potrebbe rendere un computer o una rete più vulnerabile agli attacchi di utenti malintenzionati o programmi software dannosi, quali i virus. Si sconsiglia questa soluzione, tuttavia queste informazioni vengono fornite per consentire all'utente di implementarla a propria discrezione. Questa soluzione può essere utilizzata a proprio rischio.
  
  Importante Questa sezione, metodo o attività contiene passaggi su come modificare il Registro di sistema. Tuttavia, una modifica errata del registro di sistema potrebbe causare gravi problemi. Pertanto, assicurarsi di seguire attentamente i passaggi. Per maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Cosicché sia possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:

  322756 Eseguire il backup e ripristino del Registro di sistema in Windows
  
  Per disattivare questa modifica, impostare la voce DWORD NegoAllowNtlmPwdChangeFallback per utilizzare un valore pari a 1 (uno).
  
  
  Importante Se la voce del Registro di sistema NegoAllowNtlmPwdChangeFallback su un valore pari a 1, verrà disattivato questa correzione per la protezione:
  

  Valore del Registro di sistema	Descrizione
  0	Valore predefinito. Non è consentito il fallback.
  1	È sempre consentito il fallback. La correzione è disattivata. I clienti che riscontrano problemi con gli account locali remoti o scenari di insieme di strutture è possono impostare questo valore di registro di sistema.

  Per aggiungere questi valori del Registro di sistema, attenersi alla seguente procedura:
  

  1. Fare clic su Start, scegliere Esegui, digitare regedit nella casella Apri e quindi fare clic su OK.

  2. Individuare e selezionare la seguente sottochiave del Registro di sistema:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. Dal menu Modifica , scegliere Nuovoe quindi fare clic su Valore DWORD.

  4. Digitare NegoAllowNtlmPwdChangeFallback per il nome del valore DWORD e quindi premere INVIO.

  5. Destro NegoAllowNtlmPwdChangeFallbacke quindi fare clic su Modifica.

  6. Nella casella dati valore digitare 1 per disattivare la modifica e quindi fare clic su OK.
     
     
     Nota: Per ripristinare il valore predefinito, digitare 0 (zero) e quindi fare clic su OK.

  Stato
  
  Viene considerata la causa principale del problema. In questo articolo verrà aggiornato con ulteriori dettagli man mano che diventano disponibili.

Metodo 1: Windows Update

Questo aggiornamento verrà scaricato e installato automaticamente.

Metodo 2: Catalogo di Microsoft Update

Per ottenere il pacchetto autonomo per questo aggiornamento, visitare il sito Web Microsoft Update Catalog .

Prerequisiti

Non esistono prerequisiti per l'installazione di questo aggiornamento.

Informazioni sul riavvio

È necessario riavviare il computer dopo avere applicato questo aggiornamento.

Informazioni sulla sostituzione dell'aggiornamento

Questo aggiornamento sostituisce l' aggiornamento rilasciato in precedenza 3172985.