現在オフラインです。再接続するためにインターネットの接続を待っています

MS16-101: Windows 認証のセキュリティ更新プログラム: 2016年8月9日

概要
このセキュリティ更新プログラムは、Microsoft Windows の脆弱性を解決します。この脆弱性により、影響を受けるシステムで攻撃者が特別に細工されたアプリケーションを実行した場合、特権の昇格が起こる可能性があります。

脆弱性についてより詳しく知りたい方はMicrosoft セキュリティ情報 MS16-101を参照してください。
詳細
重要

  • 今後の Windows 8.1 および Windows Server 2012 R2 のすべてのセキュリティ更新プログラムと通常の更新プログラムには、更新プログラム2919355がインストールされている必要があります。将来の更新プログラムをインストールするために、Windows 8.1 ベースまたは Windows Server 2012 R2 ベースのコンピューターに更新プログラム2919355をインストールしておくことをお勧めします。
  • この更新プログラムをインストールした後に言語パックをインストールした場合は、この更新プログラムを再インストールする必要があります。そのため、この更新プログラムをインストールする前に、必要な言語パックをすべてインストールすることをお勧めします。詳細については、「Windows への言語パックの追加」を参照してください。

このセキュリティ更新プログラムに含まれるセキュリティ関連以外の修正プログラム

このセキュリティ更新プログラムにより、以下の問題も修正されます。

  • ドメインレスクラスタ上にある影響を受けるスケールアウトファイルサーバー(SoFS) 内で、Windows 8.1あるいはWindows Server 2012 R2のいずれかを駆動中のlSMBクライアントがダウンしているノードに接続すると、認証が失敗します。このようなことが発生した場合、次のようなエラー メッセージが表示されることがあります。

    STATUS_NO_TGT_REPLY
このセキュリティ更新プログラムの関連情報
以下の資料では製品バージョン別に、このセキュリティ更新プログラムに関する追加情報が掲載されています。資料には、既知の問題に関する情報が掲載されている場合があります。

  • 3167679 MS16-101Windows 認証のセキュリティ更新プログラムの詳細: 2016年8月9日
  • 3177108 MS16-101Windows 認証のセキュリティ更新プログラムの詳細: 2016年8月9日
  • 3176492 Windows 10の累積更新プログラム: 2016年8月9日
  • 3176493 Windows 10 1511バージョンの累積更新プログラム: 2016年8月9日
  • 3176495 Windows 10 1607バージョンの累積更新プログラム: 2016年8月9日

このセキュリティ更新プログラムの既知の問題

  • 既知の問題 1

    MS16-101 以降のセキュリティ更新では、Kerberos 認証でのパスワード変更に失敗し、STATUS_NO_LOGON_SERVERS (0xc000005e) エラー コードが表示された場合、NTLM に頼るために Negotiate プロセスが無効になっています。このとき、次のいずれかのエラー コードが表示される場合があります。

    16 進10 進記号フレンドリ
    0xc00003881073740920STATUS_DOWNGRADE_DETECTEDシステムがセキュリティを損なう可能性のある試みを検出しました。認証したサーバと交信できることを確認してください。
    0x4f11265ERROR_DOWNGRADE_DETECTEDシステムがセキュリティを損なう可能性のある試みを検出しました。認証したサーバと交信できることを確認してください。


    回避策

    MS16-101 のインストール後に、以前は成功したパスワード変更に失敗する場合、前回は Kerberos が失敗したため NTLM フォールバックによってパスワード変更を行っていた可能性が高いです。Kerberos プロトコルを使用してパスワードを変更するには、次の手順に従ってください。

    1. インストールした MS16-101 とパスワードのリセットを行うドメイン コントローラを持つクライアントとの間に、TCP ポート 464 上でオープン通信を設定します。

      ユーザが RODCs パスワード レプリケーション ポリシーで許可されている場合は、読み取り専用ドメイン コントローラ (RODCs) は、セルフサービス パスワード リセットを提供することができます。RODCs パスワード ポリシーで許可されていないユーザは、ユーザ アカウント ドメインで、リード/ライト ドメイン コントローラ (RWDC) へのネットワーク接続性が必要です。

      TCP ポート 464 が開いているかどうかを確認するには、次の手順に従ってください。

      1. ネットワーク モニター パーサーに、同等のディスプレイ フィルタを作成します。次に例を示します。
        ipv4.address== <ip address of client> && tcp.port==464
      2. 結果の中に、"TCP:[SynReTransmit" フレームを探します。

        フレーム
    2. 目的の Kerberos 名が有効になっていることを確かめます。(Kerberos プロトコルでは、IP アドレスは有効ではありません。Kerberos は、短い名前と完全修飾ドメイン名をサポートします。)
    3. サービス プリンシパル名 (SPNs) が正しく登録されていることを確認します。

      詳細は、Kerberos and Self-Service Password Reset を参照してください。
  • 既知の問題 2

    ドメイン ユーザ アカウントのプログラマティック パスワード リセットが失敗し、予想される失敗が次のうちの一つの場合、STATUS_DOWNGRADE_DETECTED (0x800704F1) エラー コードを表示する問題があります。

    • ERROR_INVALID_PASSWORD
    • ERROR_PWD_TOO_SHORT (表示されることは少ない)
    • STATUS_WRONG_PASSWORD
    • STATUS_PASSWORD_RESTRICTION

    次の表は、完全なエラー マッピングを示しています。

    16 進10 進記号フレンドリ
    0x5686ERROR_INVALID_PASSWORD指定されたネットワーク パスワードが間違っています。
    0x267615ERROR_PWD_TOO_SHORT入力されたパスワードは、ユーザ アカウントのポリシーに対して短すぎます。これよりも長いパスワードを入力してください。
    0xc000006a-1073741718STATUS_WRONG_PASSWORDパスワードの更新時、このリターン状態は、現在のパスワードとして指定した値が正しくないことを示します。
    0xc000006c-1073741716STATUS_PASSWORD_RESTRICTIONパスワードの更新時、このリターン状態は、なんらかのパスワード更新ルールが違反していることを示します。例えば、パスワードが長さの基準を満たしていないかもしれません。
    0x800704F11265STATUS_DOWNGRADE_DETECTEDシステムがドメイン コントローラと交信できず、認証要求に応えられません。後でもう一度やり直してください。
    0xc0000388-1073740920STATUS_DOWNGRADE_DETECTEDシステムがドメイン コントローラと交信できず、認証要求に応えられません。後でもう一度やり直してください。


    状態

    この問題の根本原因が分かりました。2016年10月にこの問題を解決する修正プログラムをリリースする計画です。このリリース予定日は、変更される場合があります。追加の情報が利用可能になった時点で、この資料は更新されます。

  • 既知の問題 3

    ローカル ユーザ アカウント パスワード変更のプログラマティック リセットに失敗し、 STATUS_DOWNGRADE_DETECTED (0x800704F1) エラーコードが表示される問題があります。

    次の表は、完全なエラー マッピングを示しています。

    16 進10 進記号フレンドリ
    0x4f11265ERROR_DOWNGRADE_DETECTEDシステムがドメイン コントローラと交信できず、認証要求に応えられません。後でもう一度やり直してください。


    状態

    この問題の根本原因が分かりました。2016年10月にこの問題を解決する修正プログラムをリリースする計画です。このリリース予定日は、変更される場合があります。追加の情報が利用可能になった時点で、この資料は更新されます。

  • 既知の問題 4

    無効でロックアウトされたユーザ アカウントのパスワードは、変更できません。

    回避策

    これらのアカウントは、管理者がパスワード リセットを行う必要があります。この挙動は、MS16-101 以降の更新プログラムのインストール後の設計によるものです。

  • 既知の問題 5

    NetUserChangePassword API を使用し、ドメイン名パラメータ内のサーバ名をパスするアプリケーションは、MS16-101 以降の更新プログラムをインストールした後は機能しません。

    Microsoft のドキュメントには、NetUserChangePassword 関数の domainname パラメーターでリモート サーバー名を指定することがサポートされると記載されています。例えば、NetUserChangePassword function MSDN トピックは、以下のように述べています。

    ドメイン名 [in]
    機能を実行するリモート サーバまたはドメインの、DNS または NetBIOS 名を指定するコンスタント ストリングへのポインタ。このパラメータが NULL の場合、呼び出し元のログオン ドメインが使用されます。
    状態

    パスワード リセットがローカル コンピュータのローカル アカウント用でない限り、このガイダンスはMS16-101 に置き換わっています。

    Post MS16-101、ドメイン ユーザー パスワードの変更を有効にするには、有効な DNS ドメイン名を NetUserChangePassword API にパスしなければなりません。
更新プログラムの入手方法およびインストール方法

方法 1: Windows Update

この更新プログラムは、Windows Update を介して利用可能です。自動更新を有効にすると、この更新プログラムは自動的にダウンロードおよびインストールされます。自動更新を有効にする方法については、「セキュリティ更新プログラムを自動的に入手」を参照してください。

方法 2: Microsoft Update カタログ

この更新プログラムのスタンドアロン パッケージを入手するには、Microsoft Update カタログ Web サイトにアクセスします。

方法 3: Microsoft ダウンロード センター

Microsoft ダウンロード センターからスタンドアロンの更新プログラム パッケージを取得できます。ダウンロード ページのインストール手順に従って、更新プログラムをインストールします。

搭載されている Windows のバージョンに対応するマイクロソフト セキュリティ情報 MS16-101 のダウンロード リンクをクリックします。
詳細

セキュリティ更新プログラムの展開に関する情報

Windows Vista (すべてのエディション)

参照表

このソフトウェアのセキュリティ更新プログラムの情報を次の表に示します。

セキュリティ更新プログラムのファイル名すべてのサポートされている 32 ビット版の Windows Vista:
Windows6.0-KB3167679-x86.msu
すべてのサポートされている x64-based エディションの Windows Vista:
Windows6.0-KB3167679-x64.msu
インストール スイッチマイクロソフト サポート技術情報 934307 を参照してください。
再起動の必要性このセキュリティ更新プログラムの適用後に、システムを再起動する必要があります。
アンインストール情報WUSA.exe は更新プログラムのアンインストールをサポートしていません。WUSAによってインストールされた更新プログラムをアンインストールするためにはコントロールパネルをクリックしてセキュリティをクリックしてください。Windowsアップデートの下のインストールされたアップデート を選択してアップデート一覧から選択してください。
ファイル情報マイクロソフト サポート技術情報 3167679 を参照してください。
レジストリ キーの確認注意 この更新プログラムは、その存在を有効にするためのレジストリ キーを追加しません。


Windows Server 2008 (すべてのエディション)

参照表

このソフトウェアのセキュリティ更新プログラムの情報を次の表に示します。

セキュリティ更新プログラムのファイル名サポートされているすべての Windows Server 2008 (32 ビット)
Windows6.0-KB3167679-x86.msu
サポートされているすべての Windows Server 2008 (x64 ベース)
Windows6.0-KB3167679-x64.msu
サポートされているすべての Windows Server 2008 (Itanium ベース)
Windows6.0-KB3167679-ia64.msu
インストール スイッチマイクロソフト サポート技術情報 934307 を参照してください。
再起動の必要性このセキュリティ更新プログラムの適用後に、システムを再起動する必要があります。
アンインストール情報WUSA.exe は更新プログラムのアンインストールをサポートしていません。WUSAによってインストールされた更新プログラムをアンインストールするためにはコントロールパネルをクリックしてセキュリティをクリックしてください。Windowsアップデートの下のインストールされたアップデート を選択してアップデート一覧から選択してください。
ファイル情報マイクロソフト サポート技術情報 3167679 を参照してください。


Windows 7 (すべてのエディション)

参照表

このソフトウェアのセキュリティ更新プログラムの情報を次の表に示します。

セキュリティ更新プログラムのファイル名サポートされているすべてのエディションの Windows 7 (32 ビット版):
Windows6.1-KB3167679-x86.msu
サポートされているすべてのエディションの Windows 7 (x64 ベース):
Windows6.1-KB3167679-x64.msu
インストール スイッチマイクロソフト サポート技術情報 934307 を参照してください。
再起動の必要性このセキュリティ更新プログラムの適用後に、システムを再起動する必要があります。
アンインストール情報WUSAによってインストールされた更新プログラムをアンインストールするためにはアンインストールセットアップスイッチを使用するか、コントロールパネルをクリックして システムとセキュリティをクリックしてください。Windowsアップデートの下のインストールされたアップデート を選択してアップデート一覧から選択してください。
ファイル情報マイクロソフト サポート技術情報 3167679 を参照してください。
レジストリ キーの確認注意 この更新プログラムは、その存在を有効にするためのレジストリ キーを追加しません。


Windows Server 2008 R2 (すべてのエディション)

参照表

このソフトウェアのセキュリティ更新プログラムの情報を次の表に示します。

セキュリティ更新プログラムのファイル名すべてのサポートされている x64-based エディションの Windows Server 2008 R2:
Windows6.1-KB3167679-x64.msu
すべてのサポートされている Itanium ベース エディションの Windows Server 2008 R2:
Windows6.1-KB3167679-ia64.msu
インストール スイッチマイクロソフト サポート技術情報 934307 を参照してください。
再起動の必要性このセキュリティ更新プログラムの適用後に、システムを再起動する必要があります。
アンインストール情報WUSAによってインストールされた更新プログラムをアンインストールするためにはアンインストールセットアップスイッチを使用するか、コントロールパネルをクリックして システムとセキュリティをクリックしてください。Windowsアップデートの下のインストールされたアップデート を選択してアップデート一覧から選択してください。
ファイル情報マイクロソフト サポート技術情報 3167679 を参照してください。
レジストリ キーの確認注意 この更新プログラムは、その存在を有効にするためのレジストリ キーを追加しません。


Windows 8.1 (すべてのエディション)

参照表

このソフトウェアのセキュリティ更新プログラムの情報を次の表に示します。

セキュリティ更新プログラムのファイル名サポートされているすべてのエディションの Windows 8.1 (32 ビット版):
Windows8.1-KB3167679-x86.msu
Windows8.1-KB3177108-x86.msu
サポートされているすべてのエディションの Windows 8.1 (x64 ベース):
Windows8.1-KB3167679-x64.msu
Windows8.1-KB3177108-x64.msu
インストール スイッチマイクロソフト サポート技術情報 934307 を参照してください。
再起動の必要性このセキュリティ更新プログラムの適用後に、システムを再起動する必要があります。
アンインストール情報WUSAによってインストールされた更新プログラムをアンインストールするためにはアンインストールセットアップスイッチを使用するか、コントロールパネルをクリックして システムとセキュリティをクリックして、ウィンドウズ更新プログラムをクリックしてください。[関連項目] の下の [インストールされた更新プログラム] をクリックして、更新プログラムの一覧から選択します。
ファイル情報マイクロソフト サポート技術情報 3167679 を参照してください。
マイクロソフト サポート技術情報 3177108 を参照してください。
レジストリ キーの確認注意 この更新プログラムは、その存在を有効にするためのレジストリ キーを追加しません。


Windows Server 2012 および Windows Server 2012 R2 (すべてのエディション)

参照表

このソフトウェアのセキュリティ更新プログラムの情報を次の表に示します。

セキュリティ更新プログラムのファイル名すべてのサポートされているエディションの Windows Server 2012:
Windows8-RT-KB3177108-x64.msu
すべてのサポートされている Windows Server 2012 R2:
Windows8.1-KB-3177108-x64.msu
インストール スイッチマイクロソフト サポート技術情報 934307 を参照してください。
再起動の必要性このセキュリティ更新プログラムの適用後に、システムを再起動する必要があります。
アンインストール情報WUSAによってインストールされた更新プログラムをアンインストールするためにはアンインストールセットアップスイッチを使用するか、コントロールパネルをクリックして システムとセキュリティをクリックして、ウィンドウズ更新プログラムをクリックしてください。[関連項目] の下の [インストールされた更新プログラム] をクリックして、更新プログラムの一覧から選択します。
ファイル情報マイクロソフト サポート技術情報 3177108 を参照してください。
レジストリ キーの確認注意 この更新プログラムは、その存在を有効にするためのレジストリ キーを追加しません。


Windows 10 (すべてのエディション)

参照表

このソフトウェアのセキュリティ更新プログラムの情報を次の表に示します。

セキュリティ更新プログラムのファイル名サポートされているすべてのエディションの Windows 10 (32 ビット版):
Windows10.0-KB3176492-x86.msu
サポートされているすべてのエディションの Windows 10 (x64 ベース):
Windows10.0-KB3176492-x64.msu
サポートされているすべての 32 ビット版 Windows 10 Version 1511:
Windows10.0-KB3176493-x86.msu
サポートされているすべての x64 ベース エディションの Windows 10 Version 1511:
Windows10.0-KB3176493-x64.msu
サポートされているすべての 32 ビット版 Windows 10 Version 1607:
Windows10.0-KB3176495-x86.msu
サポートされている、x64のWindows 10 バージョン 1607:
Windows10.0-KB3176495-x86.msu
インストール スイッチマイクロソフト サポート技術情報 934307 を参照してください。
再起動の必要性このセキュリティ更新プログラムの適用後に、システムを再起動する必要があります。
アンインストール情報WUSAによってインストールされた更新プログラムをアンインストールするためにはアンインストールセットアップスイッチを使用するか、コントロールパネルをクリックして システムとセキュリティをクリックして、ウィンドウズ更新プログラムをクリックしてください。[関連項目] の下の [インストールされた更新プログラム] をクリックして、更新プログラムの一覧から選択します。
ファイル情報マイクロソフト サポート技術情報 3176492 を参照してください。
マイクロソフト サポート技術情報 3176493 を参照してください。
マイクロソフト サポート技術情報 3176495 を参照してください。
レジストリ キーの確認注意 この更新プログラムは、その存在を有効にするためのレジストリ キーを追加しません。

このセキュリティ更新プログラムに関するヘルプとサポートを受ける方法

更新プログラムのインストールのヘルプ: Windows Update サポート ページ

IT 専門家のためのセキュリティ ソリューション: セキュリティに関するトラブルシューティングとサポート

ウイルスとマルウェアから Windows を搭載しているコンピューターを保護する: ウイルスとセキュリティ サポート ページ

国ごとのローカル サポート: その他の地域のサポート
悪質な攻撃者のエクスプロイト
プロパティ

文書番号:3178465 - 最終更新日: 09/21/2016 13:24:00 - リビジョン: 6.0

Windows 10, Windows 10 Version 1511, Windows 10 Version 1607, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2008 R2 Service Pack 1, Windows 7 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Vista Service Pack 2

  • atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability KB3178465
フィードバック