Kaupiamasis naujinimas, skirtas Windows 10 versija 1511: 2016 m. rugpjūčio 9 d.

Žinomos problemos, šį saugos naujinimą

• Žinoma problema 1
  
  Saugos naujinimus, kurie yra pateikti MS16-101 ir naujesnių naujinimai išjungti Negotiate proceso galimybę būti Atsukti atgal į NTLM kai Kerberos autentifikavimas nepavyksta slaptažodžio keitimo operacijos ir parodomas klaidos kodas STATUS_NO_LOGON_SERVERS (0xc000005e) . Tokiu atveju galite gauti vieną iš šių klaidos kodų.
  
  

  Šešioliktainį	Dešimtainis	Simbolinis	Draugiškas
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Sistema nustatė galimą bandoma pažeisti saugą. Įsitikinkite, kad galite susisiekti su serverio, kad jūs autentifikuoti.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistema nustatė galimą bandoma pažeisti saugą. Įsitikinkite, kad galite susisiekti su serverio, kad jūs autentifikuoti.

  
  
  Sprendimas
  
  Jei slaptažodžio keitimai, anksčiau sėkmingai įdiegę MS16-101, tikėtina, kad slaptažodžio pakeitimus buvo anksčiau remiasi NTLM grįžti dėl to, jei Kerberos. Norint pakeisti slaptažodžius sėkmingai naudojant Kerberos protokolai, atlikite šiuos veiksmus:
  
  
  

  1. Konfigūruoti atidaryti ryšio TCP prievado 464 klientams, kurie MS16-101 įdiegtas ir domeno valdiklio, kuriam bus priežiūros slaptažodį iš naujo.
     
     Perskaityti tik domeno valdikliai (RODCs) gali aptarnauti savitarnos slaptažodį iš naujo, jeigu RODCs slaptažodį replikavimo strategija leidžia vartotojui. Vartotojai, kurie negali būti RODC slaptažodį politikos reikia tinklo ryšio skaityti/rašyti domeno valdiklis (RWDC) domeno vartotojo abonementą.
     
     Pastaba. Norėdami patikrinti, ar veikia TCP prievado 464, atlikite šiuos veiksmus:
     
     
     

     1. Sukurkite savo tinklo monitoriaus analizatorius lygiavertį Rodyti filtrą. Pvz.:
        

        ipv4.address== <ip address of client> && tcp.port==464

     2. Rezultatų, ieškokite toliau "TCP: [SynReTransmit" kadras.
        
        

  2. Įsitikinkite, kad paskirties Kerberos pavadinimai yra netinkamas. (IP adresų negalioja Kerberos protokolas. Kerberos palaiko trumpi vardai ir visiškai apibrėžtus domeno vardus.)

  3. Patikrinkite, ar tinkamai užregistruoti pagrindinius tarnybos pavadinimus (SPNs).
     
     Jei norite gauti daugiau informacijos, peržiūrėkite Kerberos ir savitarnos slaptažodžio nustatymo iš naujo.

• Žinoma problema 2
  
  Žinome apie problemą, kurioje programinis slaptažodį iš naujo domeno vartotojo abonementų nepavyksta ir grąžina STATUS_DOWNGRADE_DETECTED (0x800704F1) klaidos kodą, jei turėtų klaida vieną iš toliau nurodytų veiksmų:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (retai grąžintas)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  Šioje lentelėje pateikti visos klaidos susiejimas.
  
  

  Šešioliktainį	Dešimtainis	Simbolinis	Draugiškas
  0x56	86	ERROR_INVALID_PASSWORD	Nurodyto tinklo slaptažodis yra neteisingas.
  0x267	615	ERROR_PWD_TOO_SHORT	Slaptažodį, kurį gavote yra per trumpas, kad atitiktų jūsų vartotojo abonemento strategija. Pateikite ilgiau slaptažodį.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Bandant atnaujinti slaptažodį, ši grąžinimo būsena parodys, kad pateikta dabartinio slaptažodžio vertė yra neteisingas.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Bandant atnaujinti slaptažodį, ši grąžinimo būsena parodys, kai slaptažodžio naujinimo taisyklė buvo pažeistas. Pvz., slaptažodį, gali neatitikti ilgio kriterijus.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Sistema negali susisiekti su domeno valdiklio, Norėdami apdoroti autentifikavimo užklausą. Bandykite dar kartą vėliau.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Sistema negali susisiekti su domeno valdiklio, Norėdami apdoroti autentifikavimo užklausą. Bandykite dar kartą vėliau.

  
  
  Sprendimas
  
  MS16-101 buvo išleistas pakartotinai spręsti šią problemą. Įdiekite naujausią naujinimų šio biuletenio Norėdami išspręsti šią problemą.
  
  

• Žinoma problema 3
  
  Mes žinome apie problema, kai nepavyksta ir grąžina STATUS_DOWNGRADE_DETECTED (0x800704F1) klaidos kodas programinis vietinio vartotojo abonemento slaptažodžio pakeitimus iš naujo.
  
  Šioje lentelėje pateikti visos klaidos susiejimas.
  
  

  Šešioliktainį	Dešimtainis	Simbolinis	Draugiškas
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistema negali susisiekti su domeno valdiklio, Norėdami apdoroti autentifikavimo užklausą. Bandykite dar kartą vėliau.

  
  
  Sprendimas
  
  MS16-101 buvo išleistas pakartotinai spręsti šią problemą. Įdiekite naujausią naujinimų šio biuletenio Norėdami išspręsti šią problemą.
  
  

• Žinoma problema 4
  
  Neįgaliesiems ir ekranas vartotojo abonementų slaptažodžius negali būti pakeistas negotiate paketą.
  
  
  Slaptažodžio keitimus išjungta ir ekranas paskyrų veiks naudojant kitus metodus, pvz., kai naudojant su LDAP keisti operaciją tiesiogiai. Pvz., "PowerShell" cmdlet Set-ADAccountPassword naudoja veiksmą "LDAP modifikuoti" pakeisti slaptažodį ir išlieka.
  
  Sprendimas
  
  Šios sąskaitos reikia administratoriaus, kad slaptažodį iš naujo. Taip yra numatyta įdiegus MS16-101 ir vėliau pataisos.
  
  

• Žinoma problema 5
  
  Programos, naudokite NetUserChangePassword API ir, perduoti parametrą domeno vardas yra serverio vardas bus nebeveikia po MS16-101 ir vėliau naujinimai yra įdiegti.
  
  "Microsoft" dokumentus, nurodo, kad pateikiant nuotolinio serverio pavadinimą, domeno vardas parametras NetUserChangePassword funkcijos palaiko. Pvz., NetUserChangePassword funkcija MSDN tema nurodo šiuos veiksmus:
  
  domeno vardas [į]
  

  Rodyklė į nuolat eilutė, nurodanti nuotolinio serverio arba domeno, kuriame funkcija yra vykdyti DNS arba NetBIOS vardą. Jei šis parametras yra neapibrėžta, naudojamas įėjimo domeno skambinančiojo.Tačiau šios rekomendacijos buvo pakeista MS16-101, išskyrus atvejus, kai iš naujo nustatyti slaptažodį vietinį abonementą vietiniame kompiuteryje. Skelbimas MS16-101, domeno vartotojo slaptažodį pakeitimai dirbti, kad jūs turite pereiti galiojančio DNS domeno pavadinimas NetUserChangePassword API.

• Žinoma problema 6
  
  
  
  Po to, kai įdiegiate šį saugos naujinimą ir spausdinti kelis dokumentus iš eilės, pirmą kartą dokumentai, gali būti spausdinama sėkmingai. Vis dėlto trečiąjį ir visus kitus dokumentus gali spausdinti.
  
  Norėdami išspręsti šią problemą, Atsisiųskite naujinimą 3186988 iš "Microsoft Update" katalogo svetainės.
  
  
  
  
  
  Ši problema taip pat išspręsta "Microsoft" saugos biuletenį MS16-106.
  
  
  
  

• Žinoma problema 7
  
  Įdiegus saugos naujinimus, kurie yra aprašyti MS16-101nuotolinio, programinis pakeitimai vietinio vartotojo abonemento slaptažodį ir slaptažodžio pakeitimus per nepatikimas miško nepavyksta.
  
  
  Ši operacija nepavyksta, nes veikimas priklauso nuo NTLM atsarginės kai nebepalaikomas nevietiniai paskyrų įdiegus MS16-101.
  
  
  Registro įrašas yra sąlyga, kad galite naudoti norėdami išjungti šį pakeitimą.
  
  Įspėjimas. Tai padarius kompiuteris ar tinklas gali tapti labiau pažeidžiamas kenkėjiškų vartotojų arba kenkėjiškos programinės įrangos, pvz., virusų, atakoms. Mes nerekomenduojame šio problemos sprendimo būdo, bet pateikiame šią informaciją, kad galėtumėte šį sprendimą priimti savo nuožiūra. Naudodami šį sprendimą prisiimate visą riziką.
  
  Svarbu. Šiame skyrelyje nurodoma, kaip keisti registro duomenis. Vis dėlto, jei neteisingai modifikuosite registrą, gali kilti rimtų problemų. Todėl atidžiai atlikite nurodytus veiksmus. Siekiant papildomai apsisaugoti, prieš modifikuodami registrą, sukurkite atsarginę kopiją. Tuomet iškilus problemai galėsite atkurti registrą. Norėdami gauti daugiau informacijos apie tai, kaip kurti atsargines kopijas ir atkurti registrą, spustelėkite toliau esančio straipsnio numerį ir peržiūrėkite „Microsoft“ žinių bazės straipsnį:

  322756 Kaip kurti „Windows“ registro atsargines kopijas ir jį atkurti
  
  Norėdami išjungti šį pakeitimą, nustatykite NegoAllowNtlmPwdChangeFallback DWORD įrašą, naudoti reikšmę iš 1 (vieną).
  
  
  Svarbu. Nustačius NegoAllowNtlmPwdChangeFallback registro įrašo reikšmę į 1 išjungs šią saugos pataisą:
  

  Registro reikšmė	Aprašymas
  0	Numatytoji reikšmė. Negali grįžti.
  1	Visada gali grįžti. Saugos pataisa yra išjungtas. Vartotojai, kurie, turintys problemų su nuotolinio vietos abonementai arba nepatikimas miško atvejais galite nustatyti šią reikšmę registro.

  Norėdami įtraukti šiuos registro reikšmes, atlikite šiuos veiksmus:
  

  1. Spustelėkite pradėti, spustelėkite vykdyti, įveskite regedit lauke atidaryti , ir tada spustelėkite gerai.

  2. Raskite ir spustelėkite šį registro dalinį raktą:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. Redaguoti meniu, perkelkite pelės žymiklį ant naujas, ir spustelėkite DWORD reikšmė.

  4. Įveskite NegoAllowNtlmPwdChangeFallback DWORD pavadinimą, ir tada paspauskite ENTER.

  5. Dešiniuoju pelės mygtuku spustelėkite NegoAllowNtlmPwdChangeFallback, ir tada spustelėkite keisti.

  6. Reikšmės duomenų lauke įveskite 1 , kad išjungtumėte šį pakeitimą, ir spustelėkite gerai.
     
     
     Pastaba. Norėdami atkurti numatytąją reikšmę, įveskite 0 (nulis), ir tada spustelėkite gerai.

  Būsena
  
  Šios problemos priežastis yra suprasti. Šis straipsnis bus atnaujintas su papildoma informacija, kai jie išleidžiami.

1 būdas: „Windows Update“

Šis naujinimas bus atsisiųstas ir įdiegtas automatiškai.

2 būdas: "Microsoft Update" katalogo

Norėdami šį naujinimo paketą gauti atskirai, eikite į "Microsoft Update" katalogo svetainę.

Būtinosios sąlygos

Nėra jokių būtinųjų sąlygų, diegiant šį naujinimą.

Informacija apie paleidimą iš naujo

Kai pritaikote šį naujinimą, kompiuterį turite paleisti iš naujo.

Naujinimo pakeitimo informacija

Šis naujinimas pakeičia anksčiau išleistų naujinimų 3172985.