Importante In questo articolo contiene informazioni che illustrano come ridurre le impostazioni di protezione o come disattivare le funzionalità di protezione in un computer. È possibile apportare queste modifiche per risolvere un problema specifico. Prima di apportare queste modifiche, è consigliabile valutare i rischi associati all'implementazione di questa soluzione alternativa in un ambiente specifico. Se si implementa questa soluzione alternativa, adottare tutte le misure aggiuntive appropriate per proteggere il computer.
Riepilogo
Questo aggiornamento della sicurezza include miglioramenti e correzioni nella funzionalità di Windows 10. Risolve anche le seguenti vulnerabilità in Windows:
-
3177356 MS16-095: aggiornamento cumulativo della protezione per Internet Explorer: 9 agosto 2016
-
3177358 MS16-096: aggiornamento cumulativo della protezione per Microsoft Edge: 9 agosto 2016
-
3177393 MS16-097: aggiornamento della protezione per il componente grafico Microsoft: 9 agosto 2016
-
3178466 MS16-098: aggiornamento della protezione per i driver in modalità kernel: 9 agosto 2016
-
3178465 MS16-101: Aggiornamento della protezione per i metodi di autenticazione di Windows: 9 agosto 2016
-
3182248 MS16-102: Aggiornamento della protezione per la libreria PDF di Microsoft Windows: 9 agosto 2016
-
3182332 MS16-103: aggiornamento della protezione per ActiveSyncProvider: 9 agosto 2016
Gli aggiornamenti di Windows 10 sono cumulativi. Pertanto, questo pacchetto contiene tutte le correzioni rilasciate in precedenza. Se sono stati installati aggiornamenti precedenti, nel computer verranno scaricate e installate solo le nuove correzioni contenute in questo pacchetto. Se si installa un pacchetto di aggiornamento di Windows 10 per la prima volta, il pacchetto per la versione x86 è 366 MB e il pacchetto per la versione x64 è 776 MB.
Ulteriori informazioni
Problemi noti di questo aggiornamento della protezione
-
Problema noto 1 Gli aggiornamenti della protezione forniti in MS16-101 e aggiornamenti più recenti disabilitano la possibilità del processo di negoziazione di eseguire il rollback a NTLM quando l'autenticazione Kerberos non riesce per le operazioni di modifica della password con STATUS_NO_LOGON_SERVERS (0xc000005e) codice di errore. In questo caso, venga visualizzato uno dei seguenti codici di errore.
notazione f esadecimale
decimale
simbolico
simpatico
0xc0000388
1073740920
STATUS_DOWNGRADE_DETECTED
Il sistema ha rilevato un possibile tentativo di compromettere la sicurezza. Assicurati di poter contattare il server che ti ha autenticato.
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
Il sistema ha rilevato un possibile tentativo di compromettere la sicurezza. Assicurati di poter contattare il server che ti ha autenticato.
Soluzione alternativa Se le modifiche della password che in precedenza hanno avuto esito positivo e ha esito negativo dopo l'installazione di MS16-101, è probabile che le modifiche della password in precedenza si basassero sul fallback NTLM perché Kerberos non è riuscito. Per modificare correttamente le password utilizzando i protocolli Kerberos, attenersi alla seguente procedura:
-
Configurare la comunicazione aperta sulla porta TCP 464 tra i client in cui è installato MS16-101 e il controller di dominio che gestisce la reimpostazione della password. I controller di dominio di sola lettura (RODC) possono servire la reimpostazione della password self-service se l'utente è consentito dai criteri di replica delle password dei controller di dominio di sola lettura. Gli utenti non consentiti dai criteri password del controller di dominio di sola lettura richiedono la connettività di rete a un controller di dominio di lettura/scrittura (RWDC) nel dominio dell'account utente. Nota: Per verificare se la porta TCP 464 è aperta, attenersi alla seguente procedura:
-
Creare un filtro di visualizzazione equivalente per il parser del monitor di rete. Per esempio:
ipv4.address== <ip address of client> && tcp.port==464 -
Nei risultati, cercare il frame "TCP:[SynReTransmit".
-
-
Assicurarsi che i nomi Kerberos di destinazione siano validi. Gli indirizzi IP non sono validi per il protocollo Kerberos. Kerberos supporta nomi brevi e nomi di dominio completi.)
-
Assicurarsi che i nomi delle entità servizio (SPN) siano registrati correttamente. Per ulteriori informazioni, vedere Ripristino della password Kerberos e self-service.
-
-
Problema noto 2 Conosciamo un problema in cui la reimpostazione della password a livello di codice degli account utente di dominio ha esito negativo e restituire il codice di errore STATUS_DOWNGRADE_DETECTED (0x800704F1) se l'errore previsto è uno dei seguenti:
-
ERROR_INVALID_PASSWORD
-
ERROR_PWD_TOO_SHORT (restituito raramente)
-
STATUS_WRONG_PASSWORD
-
STATUS_PASSWORD_RESTRICTION
Nella tabella seguente viene illustrato il mapping degli errori completo.
notazione f esadecimale
decimale
simbolico
simpatico
0x56
86
ERROR_INVALID_PASSWORD
La password di rete specificata non è corretta.
0x267
615
ERROR_PWD_TOO_SHORT
La password fornita è troppo breve per soddisfare i criteri dell'account utente. Fornire una password più lunga.
0xc000006a
-1073741718
STATUS_WRONG_PASSWORD
Quando si tenta di aggiornare una password, questo stato restituito indica che il valore fornito come password corrente non è corretto.
0xc000006c
-1073741716
STATUS_PASSWORD_RESTRICTION
Quando si tenta di aggiornare una password, questo stato restituito indica che è stata violata una regola di aggiornamento della password. Ad esempio, la password potrebbe non soddisfare i criteri di lunghezza.
0x800704F1
1265
STATUS_DOWNGRADE_DETECTED
Il sistema non è in grado di contattare un controller di dominio per soddisfare la richiesta di autenticazione. Riprova più tardi.
0xc0000388
-1073740920
STATUS_DOWNGRADE_DETECTED
Il sistema non è in grado di contattare un controller di dominio per soddisfare la richiesta di autenticazione. Riprova più tardi.
RisoluzioneMS16-101 è stato rilasciato nuovamente per risolvere questo problema. Installare la versione più recente degli aggiornamenti per questo bollettino per risolvere il problema.
-
-
Problema noto 3 Siamo a conoscenza di un problema in cui la reimpostazione a livello di codice delle modifiche della password dell'account utente locale potrebbe non riuscire e restituire il codice di errore STATUS_DOWNGRADE_DETECTED (0x800704F1). Nella tabella seguente viene illustrato il mapping degli errori completo.
notazione f esadecimale
decimale
simbolico
simpatico
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
Il sistema non è in grado di contattare un controller di dominio per soddisfare la richiesta di autenticazione. Riprova più tardi.
RisoluzioneMS16-101 è stato rilasciato nuovamente per risolvere questo problema. Installare la versione più recente degli aggiornamenti per questo bollettino per risolvere il problema.
-
Problema noto 4 Le password per gli account utente disabilitati e bloccati non possono essere modificate utilizzando il pacchetto di negoziazione. Le modifiche delle password per gli account disabilitati e bloccati continueranno a funzionare quando si utilizzano altri metodi, ad esempio quando si utilizza direttamente un'operazione di modifica LDAP. Ad esempio, il cmdlet PowerShell Set-ADAccountPassword utilizza un'operazione "Modifica LDAP" per modificare la password e rimane inalterato. Soluzione alternativa Questi account richiedono che un amministratore reseghi la password. Questo comportamento è legato dopo l'installazione di MS16-101 e correzioni successive.
-
Problema noto 5 Le applicazioni che utilizzano l'API NetUserChangePassword e che passano un nome server nel parametro domainname non funzioneranno più dopo l'installazione di MS16-101 e degli aggiornamenti successivi. La documentazione Microsoft indica che è supportato il nome di un server remoto nel parametro domainname della funzione NetUserChangePassword. Ad esempio, l'argomento MSDN della funzione NetUserChangePassword indica quanto segue: nomedominio [in]
Puntatore a una stringa costante che specifica il nome DNS o NetBIOS di un server remoto o di un dominio in cui deve essere eseguita la funzione. Se questo parametro è NULL, viene utilizzato il dominio di accesso del chiamante.Tuttavia, questa guida è stata sostituita da MS16-101, a meno che la reimpostazione della password non sia per un account locale nel computer locale. Post MS16-101, affinché le modifiche della password utente di dominio funzionino, è necessario passare un nome di dominio DNS valido all'API NetUserChangePassword.
-
Problema noto 6 Dopo aver applicato questo aggiornamento della protezione e quindi si stampano più documenti in successione, i primi due documenti possono essere stampati correttamente, ma il terzo e i documenti successivi potrebbero non essere stampati. Per risolvere questo problema, effettuare una delle seguenti operazioni:
-
Installare l'aggiornamento 3187022. Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
3187022 funzionalità di stampa viene interrotta dopo l'installazione di uno qualsiasi degli aggiornamenti della protezione MS16-098
-
Installare l'aggiornamento 3186987 dal sito Web del catalogo di Microsoft Update.
Questo problema viene risolto anche nel Bollettino sulla sicurezza Microsoft MS16-106.
-
-
Problema noto 7 Dopo aver installato gli aggiornamenti della protezione descritti in MS16-101, le modifiche remote a livello di codice della password di un account utente locale e le modifiche della password in una foresta non attendibile hanno esito negativo. Questa operazione non riesce perché l'operazione si basa sul fallback NTLM che non è più supportato per gli account non locali dopo l'installazione di MS16-101. Viene fornita una voce del Registro di sistema che è possibile utilizzare per disattivare questa modifica. Avviso Questa soluzione alternativa può rendere un computer o una rete più vulnerabile agli attacchi di utenti malintenzionati o di software dannoso, ad esempio virus. Questa soluzione non è consigliata, ma fornisce queste informazioni in modo che sia possibile implementare questa soluzione alternativa a propria discrezione. Utilizzare questa soluzione alternativa a proprio rischio. ImportanteQuesta sezione, metodo o attività contiene passaggi che indicano come modificare il Registro di sistema. Tuttavia, se si modifica il Registro di sistema in modo non corretto, potrebbero verificarsi problemi gravi. Pertanto, assicurarsi di seguire questi passaggi con attenzione. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Quindi, è possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
322756 Come eseguire il backup e ripristinare il Registro di sistema in WindowsPer disabilitare questa modifica, impostare la voce DWORD NegoAllowNtlmPwdChangeFallback in modo da utilizzare il valore 1 (uno). Importante L'impostazione della voce del Registro di sistema NegoAllowNtlmPwdChangeFallback su un valore pari a 1 disabiliterà questa correzione di protezione:
Valore del Registro di sistema
Descrizione
0
Valore predefinito. Il fallback è impedito.
1
Il fallback è sempre consentito. La correzione di sicurezza è disattivata. I clienti che hanno problemi con gli account locali remoti o scenari di foresta non attendibile possono impostare il Registro di sistema su questo valore.
Per aggiungere questi valori del Registro di sistema, attenersi alla seguente procedura:
-
Fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri, quindi scegliere OK.
-
Individuare e selezionare la seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
-
Scegliere Nuovo dal menu Modifica, quindi fare clic su Valore DWORD.
-
Digitare NegoAllowNtlmPwdChangeFallback come nome del valore DWORD e quindi premere INVIO.
-
Destro NegoAllowNtlmPwdChangeFallback, quindi scegliere Modifica.
-
Nella casella dati valore digitare 1 per disattivare la modifica e quindi fare clic su OK. Nota: Per ripristinare il valore predefinito, digitare 0 (zero) e quindi fare clic su OK.
Stato La causa principale di questo problema è compresa. Questo articolo verrà aggiornato con ulteriori dettagli non appena saranno disponibili.
-
Come ottenere questo aggiornamento
Importante Se si installa un Language Pack dopo aver installato questo aggiornamento, è necessario reinstallare questo aggiornamento. Pertanto, si consiglia di installare tutti i Language Pack necessari prima di installare questo aggiornamento. Per ulteriori informazioni, vedere Aggiungere Language Pack a Windows.
Metodo 1: Windows Update
Questo aggiornamento verrà scaricato e installato automaticamente.
Metodo 2: Catalogo di Microsoft Update
Per ottenere il pacchetto autonomo per questo aggiornamento, visitare il sito Web Microsoft Update Catalog.
Requisiti
Non esistono prerequisiti per l'installazione di questo aggiornamento.
Informazioni sul riavvio
È necessario riavviare il computer dopo avere applicato questo aggiornamento.
Informazioni sulla sostituzione dell'aggiornamento
Questo aggiornamento sostituisce l'aggiornamento rilasciato in precedenza 3163912.
Informazioni sui file
Per un elenco dei file forniti in questo aggiornamento cumulativo, scaricare le informazioni sui file per l'aggiornamento cumulativo 3176492.
Riferimenti
Informazioni sulla terminologia utilizzata da Microsoft per descrivere gli aggiornamenti software.