Aggiornamento cumulativo per Windows 10: 9 agosto 2016

Problemi noti di questo aggiornamento della protezione

• Problema noto 1 Gli aggiornamenti della protezione forniti in MS16-101 e aggiornamenti più recenti disabilitano la possibilità del processo di negoziazione di eseguire il rollback a NTLM quando l'autenticazione Kerberos non riesce per le operazioni di modifica della password con STATUS_NO_LOGON_SERVERS (0xc000005e) codice di errore. In questo caso, venga visualizzato uno dei seguenti codici di errore.

  notazione f esadecimale	decimale	simbolico	simpatico
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Il sistema ha rilevato un possibile tentativo di compromettere la sicurezza. Assicurati di poter contattare il server che ti ha autenticato.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Il sistema ha rilevato un possibile tentativo di compromettere la sicurezza. Assicurati di poter contattare il server che ti ha autenticato.

  Soluzione alternativa Se le modifiche della password che in precedenza hanno avuto esito positivo e ha esito negativo dopo l'installazione di MS16-101, è probabile che le modifiche della password in precedenza si basassero sul fallback NTLM perché Kerberos non è riuscito. Per modificare correttamente le password utilizzando i protocolli Kerberos, attenersi alla seguente procedura:

  1. Configurare la comunicazione aperta sulla porta TCP 464 tra i client in cui è installato MS16-101 e il controller di dominio che gestisce la reimpostazione della password. I controller di dominio di sola lettura (RODC) possono servire la reimpostazione della password self-service se l'utente è consentito dai criteri di replica delle password dei controller di dominio di sola lettura. Gli utenti non consentiti dai criteri password del controller di dominio di sola lettura richiedono la connettività di rete a un controller di dominio di lettura/scrittura (RWDC) nel dominio dell'account utente. Nota: Per verificare se la porta TCP 464 è aperta, attenersi alla seguente procedura:

     1. Creare un filtro di visualizzazione equivalente per il parser del monitor di rete. Per esempio:

        ipv4.address== <ip address of client> && tcp.port==464

     2. Nei risultati, cercare il frame "TCP:[SynReTransmit".

  2. Assicurarsi che i nomi Kerberos di destinazione siano validi. Gli indirizzi IP non sono validi per il protocollo Kerberos. Kerberos supporta nomi brevi e nomi di dominio completi.)

  3. Assicurarsi che i nomi delle entità servizio (SPN) siano registrati correttamente. Per ulteriori informazioni, vedere Ripristino della password Kerberos e self-service.

• Problema noto 2 Conosciamo un problema in cui la reimpostazione della password a livello di codice degli account utente di dominio ha esito negativo e restituire il codice di errore STATUS_DOWNGRADE_DETECTED (0x800704F1) se l'errore previsto è uno dei seguenti:

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (restituito raramente)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  Nella tabella seguente viene illustrato il mapping degli errori completo.

  notazione f esadecimale	decimale	simbolico	simpatico
  0x56	86	ERROR_INVALID_PASSWORD	La password di rete specificata non è corretta.
  0x267	615	ERROR_PWD_TOO_SHORT	La password fornita è troppo breve per soddisfare i criteri dell'account utente. Fornire una password più lunga.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Quando si tenta di aggiornare una password, questo stato restituito indica che il valore fornito come password corrente non è corretto.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Quando si tenta di aggiornare una password, questo stato restituito indica che è stata violata una regola di aggiornamento della password. Ad esempio, la password potrebbe non soddisfare i criteri di lunghezza.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Il sistema non è in grado di contattare un controller di dominio per soddisfare la richiesta di autenticazione. Riprova più tardi.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Il sistema non è in grado di contattare un controller di dominio per soddisfare la richiesta di autenticazione. Riprova più tardi.

  RisoluzioneMS16-101 è stato rilasciato nuovamente per risolvere questo problema. Installare la versione più recente degli aggiornamenti per questo bollettino per risolvere il problema.

• Problema noto 3 Siamo a conoscenza di un problema in cui la reimpostazione a livello di codice delle modifiche della password dell'account utente locale potrebbe non riuscire e restituire il codice di errore STATUS_DOWNGRADE_DETECTED (0x800704F1). Nella tabella seguente viene illustrato il mapping degli errori completo.

  notazione f esadecimale	decimale	simbolico	simpatico
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Il sistema non è in grado di contattare un controller di dominio per soddisfare la richiesta di autenticazione. Riprova più tardi.

  RisoluzioneMS16-101 è stato rilasciato nuovamente per risolvere questo problema. Installare la versione più recente degli aggiornamenti per questo bollettino per risolvere il problema.

• Problema noto 4 Le password per gli account utente disabilitati e bloccati non possono essere modificate utilizzando il pacchetto di negoziazione. Le modifiche delle password per gli account disabilitati e bloccati continueranno a funzionare quando si utilizzano altri metodi, ad esempio quando si utilizza direttamente un'operazione di modifica LDAP. Ad esempio, il cmdlet PowerShell Set-ADAccountPassword utilizza un'operazione "Modifica LDAP" per modificare la password e rimane inalterato. Soluzione alternativa Questi account richiedono che un amministratore reseghi la password. Questo comportamento è legato dopo l'installazione di MS16-101 e correzioni successive.

• Problema noto 5 Le applicazioni che utilizzano l'API NetUserChangePassword e che passano un nome server nel parametro domainname non funzioneranno più dopo l'installazione di MS16-101 e degli aggiornamenti successivi. La documentazione Microsoft indica che è supportato il nome di un server remoto nel parametro domainname della funzione NetUserChangePassword. Ad esempio, l'argomento MSDN della funzione NetUserChangePassword indica quanto segue: nomedominio [in]

  Puntatore a una stringa costante che specifica il nome DNS o NetBIOS di un server remoto o di un dominio in cui deve essere eseguita la funzione. Se questo parametro è NULL, viene utilizzato il dominio di accesso del chiamante.Tuttavia, questa guida è stata sostituita da MS16-101, a meno che la reimpostazione della password non sia per un account locale nel computer locale. Post MS16-101, affinché le modifiche della password utente di dominio funzionino, è necessario passare un nome di dominio DNS valido all'API NetUserChangePassword.

• Problema noto 6 Dopo aver applicato questo aggiornamento della protezione e quindi si stampano più documenti in successione, i primi due documenti possono essere stampati correttamente, ma il terzo e i documenti successivi potrebbero non essere stampati. Per risolvere questo problema, effettuare una delle seguenti operazioni:

  • Installare l'aggiornamento 3187022. Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:

    3187022 funzionalità di stampa viene interrotta dopo l'installazione di uno qualsiasi degli aggiornamenti della protezione MS16-098

  • Installare l'aggiornamento 3186987 dal sito Web del catalogo di Microsoft Update.

  Questo problema viene risolto anche nel Bollettino sulla sicurezza Microsoft MS16-106.

• Problema noto 7 Dopo aver installato gli aggiornamenti della protezione descritti in MS16-101, le modifiche remote a livello di codice della password di un account utente locale e le modifiche della password in una foresta non attendibile hanno esito negativo. Questa operazione non riesce perché l'operazione si basa sul fallback NTLM che non è più supportato per gli account non locali dopo l'installazione di MS16-101. Viene fornita una voce del Registro di sistema che è possibile utilizzare per disattivare questa modifica. Avviso Questa soluzione alternativa può rendere un computer o una rete più vulnerabile agli attacchi di utenti malintenzionati o di software dannoso, ad esempio virus. Questa soluzione non è consigliata, ma fornisce queste informazioni in modo che sia possibile implementare questa soluzione alternativa a propria discrezione. Utilizzare questa soluzione alternativa a proprio rischio. ImportanteQuesta sezione, metodo o attività contiene passaggi che indicano come modificare il Registro di sistema. Tuttavia, se si modifica il Registro di sistema in modo non corretto, potrebbero verificarsi problemi gravi. Pertanto, assicurarsi di seguire questi passaggi con attenzione. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Quindi, è possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:

  322756 Come eseguire il backup e ripristinare il Registro di sistema in WindowsPer disabilitare questa modifica, impostare la voce DWORD NegoAllowNtlmPwdChangeFallback in modo da utilizzare il valore 1 (uno). Importante L'impostazione della voce del Registro di sistema NegoAllowNtlmPwdChangeFallback su un valore pari a 1 disabiliterà questa correzione di protezione:

  Valore del Registro di sistema	Descrizione
  0	Valore predefinito. Il fallback è impedito.
  1	Il fallback è sempre consentito. La correzione di sicurezza è disattivata. I clienti che hanno problemi con gli account locali remoti o scenari di foresta non attendibile possono impostare il Registro di sistema su questo valore.

  Per aggiungere questi valori del Registro di sistema, attenersi alla seguente procedura:

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri, quindi scegliere OK.

  2. Individuare e selezionare la seguente sottochiave del Registro di sistema:

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

  3. Scegliere Nuovo dal menu Modifica, quindi fare clic su Valore DWORD.

  4. Digitare NegoAllowNtlmPwdChangeFallback come nome del valore DWORD e quindi premere INVIO.

  5. Destro NegoAllowNtlmPwdChangeFallback, quindi scegliere Modifica.

  6. Nella casella dati valore digitare 1 per disattivare la modifica e quindi fare clic su OK. Nota: Per ripristinare il valore predefinito, digitare 0 (zero) e quindi fare clic su OK.

  Stato La causa principale di questo problema è compresa. Questo articolo verrà aggiornato con ulteriori dettagli non appena saranno disponibili.

Metodo 1: Windows Update

Questo aggiornamento verrà scaricato e installato automaticamente.

Metodo 2: Catalogo di Microsoft Update

Per ottenere il pacchetto autonomo per questo aggiornamento, visitare il sito Web Microsoft Update Catalog.

Requisiti

Non esistono prerequisiti per l'installazione di questo aggiornamento.

Informazioni sul riavvio

È necessario riavviare il computer dopo avere applicato questo aggiornamento.

Informazioni sulla sostituzione dell'aggiornamento

Questo aggiornamento sostituisce l'aggiornamento rilasciato in precedenza 3163912.