重要 この資料には、コンピューターのセキュリティ設定を低くする方法や、コンピューターのセキュリティ機能を無効にする方法を示す情報が記載されています。これらの変更によって特定の問題を回避できますが、変更を行う前に、特定の環境でこの回避策を実行した際に生じるリスクを評価することをお勧めします。この回避策を実行する場合は、コンピューターを保護するために、ここに記載された処理以外にも適切な処理を実行してください。

概要

このセキュリティ更新プログラムには、Windows 10 バージョン1511の機能の強化と修正が含まれています。さらに、Windows の次の脆弱性を解決します。

  • 3177356 MS16-095Internet Explorer 用の累積的なセキュリティ更新プログラム2016年8月9日

  • 3177358 MS16-096Microsoft Edge 用の累積的なセキュリティ更新プログラム2016年8月9日

  • 3177393 MS16-097Microsoft Graphics コンポーネント用のセキュリティ更新プログラム2016年8月9日

  • 3178466 MS16-098カーネルモード ドライバー用のセキュリティ更新プログラム2016年8月9日

  • 3178465 MS16-101Windows 認証方式のセキュリティ更新プログラム2016年8月9日

  • 3182248 MS16-102Microsoft Windows PDF Library のためのセキュリティ更新プログラム2016年8月9日

  • 3182332 MS16-103: ActiveSyncProvider 用のセキュリティ更新プログラム2016年8月9日


Windows 10 の更新プログラムは累積的です。つまり、このパッケージにはこれまでにリースされたすべての修正が含まれています。

以前の更新プログラムをインストールしている場合は、このパッケージに含まれている新しい修正のみがダウンロードされ、コンピューターにインストールされます。Windows 10 の更新プログラム パッケージを初めてインストールする場合、x86 バージョンのパッケージは 502 MB で、x64 バージョンは 916 MB です。


詳細

このセキュリティ更新プログラムの既知の問題

  • 既知の問題 1

    MS16-101 以降のセキュリティ更新では、Kerberos 認証でのパスワード変更に失敗し、STATUS_NO_LOGON_SERVERS (0xc000005e) エラー コードが表示された場合、NTLM に頼るために Negotiate プロセスが無効になっています。このとき、次のいずれかのエラー コードが表示される場合があります。

    16 進

    10 進

    記号

    フレンドリ

    0xc0000388

    1073740920

    STATUS_DOWNGRADE_DETECTED

    システムがセキュリティを損なう可能性のある試みを検出しました。認証したサーバと交信できることを確認してください。

    0x4f1

    1265

    ERROR_DOWNGRADE_DETECTED

    システムがセキュリティを損なう可能性のある試みを検出しました。認証したサーバと交信できることを確認してください。



    回避策

    MS16-101 のインストール後に、以前は成功したパスワード変更に失敗する場合、前回は Kerberos が失敗したため NTLM フォールバックによってパスワード変更を行っていた可能性が高いです。Kerberos プロトコルを使用してパスワードを変更するには、次の手順に従ってください。


    1. インストールした MS16-101 とパスワードのリセットを行うドメイン コントローラを持つクライアントとの間に、TCP ポート 464 上でオープン通信を設定します。

      ユーザが RODCs パスワード レプリケーション ポリシーで許可されている場合は、読み取り専用ドメイン コントローラ (RODCs) は、セルフサービス パスワード リセットを提供することができます。RODCs パスワード ポリシーで許可されていないユーザは、ユーザ アカウント ドメインで、リード/ライト ドメイン コントローラ (RWDC) へのネットワーク接続性が必要です。

      注 TCP ポート 464 が開いているかどうかを確認するには、次の手順に従ってください。


      1. ネットワーク モニター パーサーに、同等のディスプレイ フィルタを作成します。次に例を示します。

        ipv4.address== <ip address of client> && tcp.port==464

      2. 結果の中に、"TCP:[SynReTransmit" フレームを探します。

    2. 目的の Kerberos 名が有効になっていることを確かめます。(Kerberos プロトコルでは、IP アドレスは有効ではありません。Kerberos は、短い名前と完全修飾ドメイン名をサポートします。)

    3. サービス プリンシパル名 (SPNs) が正しく登録されていることを確認します。

      詳細は、Kerberos and Self-Service Password Reset を参照してください。

  • 既知の問題 2

    ドメイン ユーザ アカウントのプログラマティック パスワード リセットが失敗し、予想される失敗が次のうちの一つの場合、STATUS_DOWNGRADE_DETECTED (0x800704F1) エラー コードを表示する問題があります。

    • ERROR_INVALID_PASSWORD

    • ERROR_PWD_TOO_SHORT (表示されることは少ない)

    • STATUS_WRONG_PASSWORD

    • STATUS_PASSWORD_RESTRICTION


    次の表は、完全なエラー マッピングを示しています。

    16 進

    10 進

    記号

    フレンドリ

    0x56

    86

    ERROR_INVALID_PASSWORD

    指定されたネットワーク パスワードが間違っています。

    0x267

    615

    ERROR_PWD_TOO_SHORT

    入力されたパスワードは、ユーザ アカウントのポリシーに対して短すぎます。これよりも長いパスワードを入力してください。

    0xc000006a

    -1073741718

    STATUS_WRONG_PASSWORD

    パスワードの更新時、このリターン状態は、現在のパスワードとして指定した値が正しくないことを示します。

    0xc000006c

    -1073741716

    STATUS_PASSWORD_RESTRICTION

    パスワードの更新時、このリターン状態は、なんらかのパスワード更新ルールが違反していることを示します。例えば、パスワードが長さの基準を満たしていないかもしれません。

    0x800704F1

    1265

    STATUS_DOWNGRADE_DETECTED

    システムがドメイン コントローラと交信できず、認証要求に応えられません。後でもう一度やり直してください。

    0xc0000388

    -1073740920

    STATUS_DOWNGRADE_DETECTED

    システムがドメイン コントローラと交信できず、認証要求に応えられません。後でもう一度やり直してください。



    解決方法

    この問題に対応するために MS16-101 が再リリースされました。この問題を解決するには、このセキュリティ情報の最新バージョンをインストールしてください。

  • 既知の問題 3

    ローカル ユーザ アカウント パスワード変更のプログラマティック リセットに失敗し、 STATUS_DOWNGRADE_DETECTED (0x800704F1) エラーコードが表示される問題があります。

    次の表は、完全なエラー マッピングを示しています。

    16 進

    10 進

    記号

    フレンドリ

    0x4f1

    1265

    ERROR_DOWNGRADE_DETECTED

    システムがドメイン コントローラと交信できず、認証要求に応えられません。後でもう一度やり直してください。



    解決方法

    この問題に対応するために MS16-101 が再リリースされました。この問題を解決するには、このセキュリティ情報の最新バージョンをインストールしてください。

  • 既知の問題 4

    無効でロックアウトされたユーザ アカウントのパスワードは、ネゴシエート パッケージを使用して変更できません。


    無効でロックアウトされたアカウントのパスワードの変更は、LDAP Modify 操作を直接使用するなど、他の方法でも実行できます。たとえば、PowerShell コマンドレット Set-ADAccountPassword で "LDAP Modify" 操作を使用してパスワードを変更し、影響を受けません。

    回避策

    これらのアカウントは、管理者がパスワード リセットを行う必要があります。この挙動は、MS16-101 以降の更新プログラムのインストール後の設計によるものです。

  • 既知の問題 5

    NetUserChangePassword API を使用し、ドメイン名パラメータ内のサーバ名をパスするアプリケーションは、MS16-101 以降の更新プログラムをインストールした後は機能しません。

    Microsoft のドキュメントには、NetUserChangePassword 関数の domainname パラメーターでリモート サーバー名を指定することがサポートされると記載されています。例えば、NetUserChangePassword function MSDN トピックは、以下のように述べています。

    ドメイン名 [in]

    機能を実行するリモート サーバまたはドメインの、DNS または NetBIOS 名を指定するコンスタント ストリングへのポインタ。このパラメータが NULL の場合、呼び出し元のログオン ドメインが使用されます。 ただし、パスワード リセットがローカル コンピュータのローカル アカウント用でない限り、このガイダンスはMS16-101 に置き換わっています。Post MS16-101、ドメイン ユーザー パスワードの変更を有効にするには、有効な DNS ドメイン名を NetUserChangePassword API にパスしなければなりません。

  • 既知の問題 6



    このセキュリティ更新プログラムを適用した後に複数のドキュメントを連続して印刷すると、最初の 2 つのドキュメントは正常に印刷されます。しかし、3つ目以降のドキュメントについては印刷できない可能性があります。

    この問題をなおすには、更新プログラム 3186988を Microsoft Update カタログ ウェブサイトからダウンロードしてください。





    この問題は、マイクロソフト セキュリティ情報 MS16-106 でも解決されています。



  • 既知の問題 7

    MS16-101 に記載されているセキュリティ更新プログラムをインストールした後に、ローカル ユーザー アカウントのパスワードをリモートからプログラムで変更する操作と、信頼されていないフォレスト全体のパスワードの変更は失敗します。


    この操作が失敗する理由は、この操作が NTLM フォールバックに依存しているためです。MS16-101 のインストール後、ローカル以外のアカウントでは NTLM フォールバックがサポートされなくなりました。


    この変更を無効にすることができるレジストリ エントリが用意されています。

    警告 この回避策によって、コンピューターやネットワークが、悪意のあるユーザーやウイルスなどの悪質なソフトウェアからの攻撃を受けやすくなる場合があります。この資料の情報は、記載されている回避策をユーザーが自己の判断で使用することを前提に提供されているものであり、この回避策をお勧めするものではありません。この回避策は、自己の責任において使用してください。

    重要このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。

    322756Windows でレジストリをバックアップおよび復元する方法

    この変更を無効にするには、NegoAllowNtlmPwdChangeFallback DWORD エントリの値を 1 に設定します。


    重要NegoAllowNtlmPwdChangeFallback レジストリ エントリの値を 1 に設定すると、このセキュリティ修正プログラムが無効になります。

    レジストリの値

    説明

    0

    既定値。フォールバックは回避されます。

    1

    フォールバックは常に許可されます。このセキュリティ修正プログラムは無効になります。リモート ローカル アカウントまたは信頼されないフォレストのシナリオで問題が発生している場合、レジストリをこの値に設定することができます。

    これらのレジストリ値を追加するには、以下の手順を実行します。

    1. [スタート] ボタンをクリックし、[ファイル名を指定して実行]をクリックします。 [名前] ボックスに [regedit]と入力し、[OK] をクリックします。

    2. レジストリで次のサブキーを見つけてクリックします。

      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

    3. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。

    4. DWORD 値の名前として「NegoAllowNtlmPwdChangeFallback」と入力し、Enter キーを押します。

    5. [NegoAllowNtlmPwdChangeFallback]を右クリックし、[修正]をクリックします。

    6. [値のデータ]ボックスに「1」と入力し、[OK]をクリックします。


      注 既定値を復元するには、「0」と入力し、[OK]をクリックします。

    状態

    この問題の根本原因が分かりました。追加の情報が利用可能になった時点で、この資料は更新されます。

この更新プログラムの入手方法

重要: この更新プログラムをインストールした後に言語パックをインストールした場合は、この更新プログラムを再インストールする必要があります。そのため、この更新プログラムをインストールする前に、必要な言語パックをすべてインストールすることをお勧めします。詳細については、「Windows への言語パックの追加」を参照してください。

方法 1: Windows Update

この更新プログラムは自動的にダウンロードされ、インストールされます。

方法 2: Microsoft Update カタログ

この更新プログラムのスタンドアロン パッケージを入手するには、Microsoft Update カタログ Web サイトにアクセスします。

必要条件

この更新プログラムをインストールするための必要条件はありません。

再起動に関する情報

この更新プログラムの適用後に、コンピューターを再起動する必要があります。

更新プログラムの置き換えに関する情報

この更新プログラムを適用すると、以前にリリースされた更新プログラム 3172985 が置き換えられます。

ファイル情報

この累積的な更新プログラムで提供されるファイルの一覧については、累積的な更新プログラム 3176493 のファイル情報をダウンロードしてください。

関連情報

マイクロソフトでソフトウェア更新プログラムの説明に使用する用語集を参照してください。

ヘルプを表示

スキルを磨く
トレーニングの探索
新機能を最初に入手
Microsoft Insider に参加する

この情報は役に立ちましたか?

言語の品質にどの程度満足していますか?
どのような要因がお客様の操作性に影響しましたか?

ご意見をいただきありがとうございます。

×