MS16-101: aggiornamento della sicurezza per i metodi di autenticazione di Windows: 9 agosto 2016

Riepilogo

Questo aggiornamento della sicurezza risolve più vulnerabilità in Microsoft Windows. Le vulnerabilità possono consentire l'elevazione dei privilegi se un utente malintenzionato esegue un'applicazione appositamente predisposta in un sistema basato su un dominio.

Per ulteriori informazioni sulla vulnerabilità, vedere Bollettino Microsoft sulla sicurezza MS16-101.

Ulteriori informazioni

Importanti

• Tutti i futuri aggiornamenti per la sicurezza e la mancata sicurezza per Windows 8,1 e Windows Server 2012 R2 richiedono l'installazione dell'aggiornamento 2919355 . È consigliabile installare l'aggiornamento 2919355 nel computer basato su Windows 8,1 o windows Server 2012 R2 in modo da ricevere gli aggiornamenti futuri.

• Se si installa un Language Pack dopo l'installazione di questo aggiornamento, è necessario reinstallare questo aggiornamento. È pertanto consigliabile installare i Language Pack necessari prima di installare questo aggiornamento. Per altre informazioni, vedere aggiungere Language Pack a Windows.

Altre informazioni su questo aggiornamento della sicurezza

Gli articoli seguenti contengono informazioni aggiuntive su questo aggiornamento della sicurezza in relazione alle singole versioni di prodotto. Gli articoli possono contenere informazioni sui problemi noti.

• 3177108 MS16-101: Descrizione dell'aggiornamento della sicurezza per i metodi di autenticazione di Windows: 9 agosto 2016

• 3167679 MS16-101: Descrizione dell'aggiornamento della sicurezza per i metodi di autenticazione di Windows: 9 agosto 2016

• 3192392 Ottobre 2016 sicurezza solo aggiornamento della qualità per Windows 8,1 e Windows Server 2012 R2

• 3185331 Mese di ottobre 2016 Security Rollup mensile di qualità per Windows 8,1 e Windows Server 2012 R2

• 3192393 Ottobre 2016 sicurezza solo aggiornamento della qualità per Windows Server 2012

• 3185332 Mese di ottobre 2016 Security Rollup mensile di qualità per Windows Server 2012

• 3192391 Ottobre 2016 sicurezza solo aggiornamento della qualità per Windows 7 SP1 e Windows Server 2008 R2 SP1

• 3185330 Mese di ottobre 2016 Security Rollup mensile di qualità per Windows 7 SP1 e Windows Server 2008 R2 SP1

• 3192440 Aggiornamento cumulativo per Windows 10:11 ottobre 2016

• 3194798 Aggiornamento cumulativo per Windows 10 versione 1607 e Windows Server 2016:11 ottobre 2016

• 3192441 Aggiornamento cumulativo per Windows 10 versione 1511:11 ottobre 2016

Gli aggiornamenti della sicurezza sostituitoil seguenti aggiornamenti della sicurezza sono stati sostituiti:

• 3176492 Aggiornamento cumulativo per Windows 10:9 agosto 2016

• 3176493 Aggiornamento cumulativo per Windows 10 versione 1511:9 agosto 2016

• 3176495 Aggiornamento cumulativo per Windows 10 versione 1607:9 agosto 2016

Di seguito sono riportati i nuovi aggiornamenti della sicurezza che sostituiscono gli aggiornamenti della sicurezza menzionati in precedenza:

• 3192440 Aggiornamento cumulativo per Windows 10:11 ottobre 2016

• 3194798 Aggiornamento cumulativo per Windows 10 versione 1607 e Windows Server 2016:11 ottobre 2016

• 3192441 Aggiornamento cumulativo per Windows 10 versione 1511:11 ottobre 2016

Problemi noti di questo aggiornamento della sicurezza

• Problema noto 1
  
  gli aggiornamenti della sicurezza forniti in MS16-101 e gli aggiornamenti più recenti disabilitano la possibilità che il processo di negoziazione rientri in NTLM quando l'autenticazione Kerberos non riesce per le operazioni di modifica della password con il codice di errore STATUS_NO_LOGON_SERVERS (0xC000005E). In questa situazione, potresti ricevere uno dei codici di errore seguenti.
  
  

  Esadecimale	Decimale	Connessione logica	Descrittivo
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Il sistema ha rilevato un possibile tentativo di compromissione della sicurezza. Verificare che sia possibile contattare il server che ha autenticato l'utente.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Il sistema ha rilevato un possibile tentativo di compromissione della sicurezza. Verificare che sia possibile contattare il server che ha autenticato l'utente.

  
  
  Soluzione alternativa
  
  se le modifiche apportate alla password non riescono in precedenza dopo l'installazione di MS16-101, è probabile che le modifiche apportate alle password siano già state affidate al fallback NTLM perché Kerberos non è riuscito. Per modificare correttamente le password usando i protocolli Kerberos, eseguire le operazioni seguenti:
  
  
  

  1. Configurare la comunicazione aperta sulla porta TCP 464 tra i client con MS16-101 installati e il controller di dominio che sta servendo la reimpostazione delle password.
     
     I controller di dominio di sola lettura (RODC) possono reimpostare la password self-service se l'utente è autorizzato dai criteri di replica della password di RODC. Gli utenti non consentiti dal criterio password di RODC richiedono la connettività di rete a un controller di dominio di lettura/scrittura (RWDC) nel dominio dell'account utente.
     
     Nota per verificare se la porta TCP 464 è aperta, eseguire le operazioni seguenti:
     
     
     

     1. Creare un filtro di visualizzazione equivalente per il parser di Network Monitor. Ad esempio:
        

        IPv4. Address = = <indirizzo IP del client> && TCP. Port = = 464

     2. Nei risultati cercare il fotogramma "TCP: [SynReTransmit".
        
        

  2. Verificare che i nomi Kerberos di destinazione siano validi. Gli indirizzi IP non sono validi per il protocollo Kerberos. Kerberos supporta nomi brevi e nomi di dominio completi.

  3. Verificare che i nomi delle entità servizio (SPN) siano registrati correttamente.
     
     Per altre informazioni, vedere Kerberos e Self-Service reimpostazione della password.

• Problema noto 2
  
  conosciamo un problema in cui la reimpostazione della password a livello di programmazione degli account utente del dominio non riesce e restituisce il codice di errore STATUS_DOWNGRADE_DETECTED (0x800704F1) se l'errore previsto è uno dei seguenti:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (raramente restituiti)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  La tabella seguente mostra il mapping degli errori completo.
  
  

  Esadecimale	Decimale	Connessione logica	Descrittivo
  0x56	86	ERROR_INVALID_PASSWORD	La password di rete specificata non è corretta.
  0x267	615	ERROR_PWD_TOO_SHORT	La password fornita è troppo breve per soddisfare i criteri dell'account utente. Immettere una password più lunga.
  0xC000006A	-1073741718	STATUS_WRONG_PASSWORD	Quando si tenta di aggiornare una password, questo stato restituito indica che il valore fornito come password corrente non è corretto.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Quando si tenta di aggiornare una password, questo stato restituito indica che è stata violata una regola di aggiornamento delle password. Ad esempio, la password potrebbe non corrispondere ai criteri di lunghezza.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Il sistema non può contattare un controller di dominio per il servizio della richiesta di autenticazione. Riprovare più tardi.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Il sistema non può contattare un controller di dominio per il servizio della richiesta di autenticazione. Riprovare più tardi.

  
  
  La risoluzione
  
  MS16-101 è stata rilasciata per risolvere il problema. Installare la versione più recente degli aggiornamenti per questo bollettino per risolvere il problema.
  
  

• Problema noto 3
  
  si conosce un problema in cui le modifiche a livello di codice delle password degli account utente locali potrebbero non riuscire e restituiscono la STATUS_DOWNGRADE_DETECTED (0x800704F1).
  
  La tabella seguente mostra il mapping degli errori completo.
  
  

  Esadecimale	Decimale	Connessione logica	Descrittivo
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Il sistema non può contattare un controller di dominio per il servizio della richiesta di autenticazione. Riprovare più tardi.

  
  
  La risoluzione
  
  MS16-101 è stata rilasciata per risolvere il problema. Installare la versione più recente degli aggiornamenti per questo bollettino per risolvere il problema.
  
  

• Problema noto 4
  
  le password per gli account utente disabilitati e bloccati non possono essere modificate usando il pacchetto Negotiate.
  
  
  Le modifiche apportate alle password per gli account disabilitati e bloccati continueranno a funzionare quando si usano altri metodi, ad esempio quando si usa un'operazione di modifica LDAP direttamente. Ad esempio, il cmdlet di PowerShell Set-ADAccountPassword usa un'operazione "LDAP Modify" per cambiare la password e rimane inalterata.
  
  Soluzione alternativa
  
  questi account richiedono a un amministratore di reimpostare la password. Questo comportamento è in base alla progettazione dopo l'installazione di MS16-101 e correzioni successive.
  
  

• Problema noto 5
  
  le applicazioni che usano l'API NetUserChangePassword e che passano un ServerName nel parametro DomainName non funzioneranno più dopo l'installazione di MS16-101 e versioni successive.
  
  La documentazione Microsoft indica che è supportato il nome del server remoto nel parametro DomainName della funzione NetUserChangePassword. Ad esempio, l'argomento della funzione NetUserChangePassword in MSDN è il seguente:
  
  NomeDominio [in]
  

  Puntatore a una stringa costante che specifica il nome DNS o NetBIOS di un server remoto o di un dominio in cui la funzione deve essere eseguita. Se questo parametro è NULL, viene usato il dominio di accesso del chiamante. Stato
  
  questa guida è stata sostituita da MS16-101, a meno che la reimpostazione della password non sia relativa a un account locale nel computer locale.
  
  Post MS16-101, in modo che le modifiche apportate alla password dell'utente di dominio siano necessarie per l'uso, è necessario passare un nome di dominio DNS valido all'API NetUserChangePassword.

• Problema noto 6
  
  dopo l'installazione degli aggiornamenti della sicurezza descritti in MS16-101, le modifiche a livello di programmazione remote di una password di un account utente locale e le modifiche delle password in una foresta non attendibile non riescono.
  
  
  Questa operazione non riesce perché l'operazione si basa sul rientro NTLM che non è più supportata per gli account non locali dopo l'installazione di MS16-101.
  
  
  È disponibile una voce del registro di sistema che consente di disabilitare questa modifica.
  
  Avviso questa soluzione alternativa può rendere un computer o una rete più vulnerabile agli attacchi da parte di utenti malintenzionati o da un software malintenzionato, ad esempio virus. Questa soluzione non è consigliabile, ma fornisce queste informazioni in modo da poter implementare questa soluzione alternativa a propria discrezione. Usare questa soluzione alternativa a proprio rischio.
  
  La sezione, il metodo o l'attività di sia ImportanteQuesto contiene passaggi che spiegano come modificare il registro di sistema. L'errata modifica del Registro di sistema può causare seri problemi. Per questo motivo, occorre attenersi scrupolosamente alla procedura indicata. Per una maggiore sicurezza, eseguire una copia di backup del Registro di sistema prima di modificarlo. in modo da poterlo poi ripristinare in caso di problemi. Per ulteriori informazioni su come eseguire il backup e il ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

  322756Come eseguire il backup e ripristinare il registro di sistema in Windows
  
  per disabilitare questa modifica, impostare la voce DWORD NegoAllowNtlmPwdChangeFallback per usare il valore 1 (uno).
  
  
  Importante l'impostazione della voce del registro di sistema NegoAllowNtlmPwdChangeFallback su un valore pari a 1 disabilita questa correzione per la sicurezza:
  

  Valore del registro di sistema	Descrizione
  0	Valore predefinito. Il fallback viene impedito.
  1	Il fallback è sempre consentita. La correzione della sicurezza è disattivata. I clienti che hanno problemi con gli account locali remoti o gli scenari di foresta non attendibili possono impostare il registro di sistema su questo valore.

  Per aggiungere questi valori del registro di sistema, eseguire le operazioni seguenti:
  

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri, quindi scegliere OK.

  2. Individuare e selezionare la seguente sottochiave del Registro di sistema:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. Scegliere Nuovo dal menu Modifica, quindi fare clic su Valore DWORD.

  4. Digitare NegoAllowNtlmPwdChangeFallback per il nome del valore DWORD e quindi premere INVIO.

  5. Fare clic con il pulsante destro del mouse su NegoAllowNtlmPwdChangeFallbacke quindi scegliere modifica.

  6. Nella casella dati valore Digitare 1 per disabilitare la modifica e quindi fare clic su OK.
     
     
     Nota per ripristinare il valore predefinito, digitare 0 (zero) e quindi fare clic su OK.

  Stato
  
  la causa radice del problema è compresa. Questo articolo verrà aggiornato con altri dettagli man mano che diventano disponibili.

Come ottenere e installare l'aggiornamento

Metodo 1: Windows Update

Questo aggiornamento è disponibile tramite Windows Update. Quando si attiva l'aggiornamento automatico, questo aggiornamento verrà scaricato e installato automaticamente. Per altre informazioni su come attivare l'aggiornamento automatico, vedere
ottenere automaticamente gli aggiornamenti della sicurezza.

Metodo 2: catalogo Microsoft Update

Per ottenere il pacchetto autonomo per questo aggiornamento, accedere al sito Web del catalogo Microsoft Update .

Ulteriori informazioni