Kaupiamasis naujinimas, skirtas Windows 10: rugpjūčio 9, 2016

Žinomos problemos, Šis saugos naujinimas

• Žinoma problema 1 Saugos naujinimai, pateikiami MS16-101 ir naujesniuose naujinimuose išjungti galimybę Negotiate procesą grįžti prie NTLM kai Kerberos autentifikavimas nepavyksta slaptažodžio keitimo operacijas su STATUS_NO_LOGON_SERVERS (0xc000005e) klaidos kodas. Tokiu atveju galite gauti vieną iš šių klaidos kodų.

  Šešioliktainis	Dešimtainis	Simbolinę	Draugiškas
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Sistema nustatė galimą bandymą kelti pavojų saugumui. Prašome įsitikinti, kad jūs galite susisiekti su serveriu, kuris autentifikuotas jums.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistema nustatė galimą bandymą kelti pavojų saugumui. Prašome įsitikinti, kad jūs galite susisiekti su serveriu, kuris autentifikuotas jums.

  Problemos sprendimas Jei slaptažodžio pakeitimus, kad anksčiau pavyko nepavyksta įdiegus MS16-101, tikėtina, kad slaptažodžio pakeitimai anksčiau buvo pasikliaujant NTLM originalo, nes Kerberos nepavyko. Siekiant pakeisti slaptažodžius sėkmingai naudojant Kerberos protokolai, atlikite šiuos veiksmus:

  1. Konfigūruoti atvirą ryšių TCP prievadas 464 tarp klientų, kurie turi MS16-101 įdiegta ir domeno valdiklio, kuris yra aptarnavimo slaptažodį iš naujo. Perskaityti tik domeno valdikliai (RODCs) gali paslaugų savitarnos slaptažodį iš naujo, jei vartotojas yra leidžiama RODCs slaptažodį replikacijos strategija. Vartotojai, kurie negali pagal RODC slaptažodžio strategijos reikalauja tinklo jungiamumą prie skaitymo/rašymo domeno valdiklio (RWDC) vartotojo abonemento domeno. Pastaboje Norėdami patikrinti, ar TCP prievadas 464 yra atidarytas, atlikite šiuos veiksmus:

     1. Sukurkite lygiavertį monitorių filtrą tinklo monitoriaus analizatoriaus. Pavyzdžiui:

        ipv4.address== <ip address of client> && tcp.port==464

     2. Rezultatuose ieškokite "TCP: [SynReTransmit" rėmelis.

  2. Įsitikinkite, kad paskirties Kerberos pavadinimai yra svarbūs. (IP adresai negalioja Kerberos protokolas. Kerberos palaiko trumpasius pavadinimus ir visiškai apibrėžtą domenų vardus.)

  3. Įsitikinkite, kad tinkamai užregistruoti pagrindiniai tarnybos pavadinimai (SPNs). Daugiau informacijos ieškokite Kerberos ir savitarnos slaptažodžio nustatymas iš naujo.

• Žinoma problema 2 Mes žinome apie problemą, kuri programinis slaptažodis iš naujo nustato domeno vartotojo abonementai nepavyksta ir grįžti į STATUS_DOWNGRADE_DETECTED (0x800704F1) klaidos kodas, jei numatomas gedimas yra vienas iš šių veiksmų:

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (retai grįžo)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  Ši lentelė rodo visą klaidų atvaizdavimas.

  Šešioliktainis	Dešimtainis	Simbolinę	Draugiškas
  0x56	86	ERROR_INVALID_PASSWORD	Nurodytas tinklo slaptažodis neteisingas.
  0x267	615	ERROR_PWD_TOO_SHORT	Slaptažodis, kuris buvo pateiktas per trumpas, kad atitiktų jūsų vartotojo abonemento politiką. Pateikite ilgesnį slaptažodį.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Bandant naujinti slaptažodį, ši grąžinimo būsena nurodo, kad reikšmė, kuri buvo pateikta kaip dabartinis slaptažodis, yra neteisinga.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Kai bandote naujinti slaptažodį, ši grąžinimo būsena nurodo, kad kai kurios slaptažodžio naujinimo taisyklės buvo pažeistos. Pavyzdžiui, slaptažodis gali neatitikti ilgio kriterijų.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Sistema negali susisiekti su domeno valdiklio aptarnauti autentifikavimo užklausą. Bandykite dar kartą vėliau.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Sistema negali susisiekti su domeno valdiklio aptarnauti autentifikavimo užklausą. Bandykite dar kartą vėliau.

  RezoliucijaMS16-101 buvo pakartotinai išleistas spręsti šią problemą. Norėdami išspręsti šią problemą, įdiekite naujausią šio biuletenio naujinimų versiją.

• Žinoma problema 3 Mes žinome apie problemą, kuri programinis iš naujo nustato vietinio vartotojo abonemento slaptažodžio pakeitimai gali nepavykti ir grįžti į STATUS_DOWNGRADE_DETECTED (0x800704F1) klaidos kodas. Ši lentelė rodo visą klaidų atvaizdavimas.

  Šešioliktainis	Dešimtainis	Simbolinę	Draugiškas
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistema negali susisiekti su domeno valdiklio aptarnauti autentifikavimo užklausą. Bandykite dar kartą vėliau.

  RezoliucijaMS16-101 buvo pakartotinai išleistas spręsti šią problemą. Norėdami išspręsti šią problemą, įdiekite naujausią šio biuletenio naujinimų versiją.

• Žinoma problema 4 Slaptažodžių neįgaliesiems ir užrakintų vartotojų abonementai negali būti keičiami naudojant Negotiate paketą. Slaptažodžio pakeitimai neįgaliesiems ir užrakintų paskyrų vis tiek veiks naudojant kitus metodus, pvz., naudojant LDAP modifikavimo operaciją tiesiogiai. Pvz., PowerShell cmdlet nustatyti ADAccountPassword naudoja "LDAP modifikuoti" operaciją pakeisti slaptažodį ir lieka nepakitęs. Problemos sprendimas Šie abonementai reikalauja administratoriaus, kad slaptažodis iš naujo. Taip yra dizaino įdiegę MS16-101 ir vėliau pataisymai.

• Žinoma problema 5 Programos, kurios naudoja Netuserchangepassword API ir kad perduoti serverio vardas domenname PARAMETRAS nebeveiks po MS16-101 ir vėliau naujinimai yra įdiegti. Microsoft dokumentaciją nurodo, kad teikti nuotolinio serverio vardas, domeno vardas parametro Netuserchangepassword funkcija yra palaikoma. Pvz., Netuserchangepassword funkcija MSDN temoje nurodo šiuos veiksmus: domeno vardas [į]

  Rodyklė į pastovią eilutę, nurodanti nuotolinio serverio arba domeno, kurio funkciją vykdyti, DNS arba NetBIOS vardą. Jei šis parametras yra NULL, naudojamas skambinančiojo įėjimo domenas.Tačiau šios rekomendacijos buvo pakeistos MS16-101, nebent slaptažodžio nustatymas iš naujo vietinio kompiuterio abonementą. Rašyti MS16-101, kad domeno vartotojo slaptažodis pasikeičia į darbą, turite perduoti galiojantį DNS domeno vardas NetUserChangePassword API.

• Žinoma problema 6 Po to, kai įdiegsite šį saugos naujinimą, ir tada galite spausdinti kelis dokumentus paeiliui, pirmieji du dokumentai gali spausdinti sėkmingai, bet trečiasis ir vėlesni dokumentai gali spausdinti. Norėdami išspręsti šią problemą, atlikite vieną iš šių veiksmų:

  • Įdiekite naujinimą 3187022. Jei norite gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:

    3187022 spausdinimo funkcija neveikia, kai yra įdiegti MS16-098 saugos naujinimai

  • Įdiekite naujinimą 3186987 iš "Microsoft Update" katalogo svetainės.

  Ši problema taip pat išspręsta " Microsoft" saugos BIULETENYJE MS16-106.

• Žinoma problema 7 Įdiegus saugos naujinimus, aprašytus MS16-101, nuotolinis, programavimo pakeitimai vietinio vartotojo abonemento slaptažodį, ir slaptažodžio pakeitimus per nepatikimas miško nepavyksta. Ši operacija nepavyksta, nes operacija priklauso nuo NTLM rudenį-atgal, kuris yra nebepalaikomas nevietiniai sąskaitas po MS16-101 yra įdiegtas. Pateikiamas registro įrašas, kurį naudodami galite išjungti šį pakeitimą. Įspėjimas Šis problemos sprendimas gali padaryti kompiuterį arba tinklo labiau pažeidžiami kenkėjiškų vartotojų arba kenkėjiškos programinės įrangos, pvz., virusų atakų. Mes nerekomenduojame šio sprendimo, bet pateikti šią informaciją, kad galėtumėte įgyvendinti šį sprendimą savo nuožiūra. Naudokite šį sprendimą savo pačių rizika. Svarbušiame skyriuje, metodas ar užduotyje pateikiami veiksmai, kuriais nurodoma, kaip modifikuoti registrą. Tačiau, jei pakeisite registro duomenis netinkamai, gali kilti rimtų problemų. Todėl įsitikinkite, kad atlikite šiuos veiksmus atsargiai. Norėdami gauti papildomos apsaugos, prieš keisdami registrą sukurkite atsarginę jo kopiją. Tada, jei kils problemų, galite atkurti registrą. Jei norite gauti daugiau informacijos apie tai, kaip kurti atsargines kopijas ir atkurti registrą, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:

  322756 Kaip sukurti atsarginę registro kopiją ir atkurti registrą sistemoje "Windows"Norėdami išjungti šį pakeitimą, nustatykite Negoallowntlmpwdchangefallback DWORD įrašą, Norėdami naudoti reikšmę 1 (vienas). Svarbioms Nustačius Negoallowntlmpwdchangefallback registro įrašą į reikšmę 1 bus išjungti šį saugos pataisa:

  Registro reikšmė	Aprašymas / kontrolė
  0	Numatytoji reikšmė. Atsarginis yra užkirstas kelias.
  1	Atsarginis visada leidžiama. Saugos pataisa yra išjungta. Klientai, turintys problemų su nuotolinių vietinių paskyrų arba nepatikimų miško scenarijai gali nustatyti registro į šią reikšmę.

  Norėdami įtraukti šias registro reikšmes, atlikite šiuos veiksmus:

  1. Spustelėkite pradėti, spustelėkite vykdyti, įveskite regedit lauke atidaryti ir spustelėkite gerai.

  2. Raskite ir spustelėkite šį dalinį raktą registre:

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

  3. Meniu Redaguoti pasirinkite Naujas, tada spustelėkite DWORD vertė.

  4. Tipo Negoallowntlmpwdchangefallback vardo DWORD, ir tada paspauskite ENTER.

  5. Dešiniuoju pelės mygtuku spustelėkite Negoallowntlmpwdchangefallback, tada spustelėkite modifikuoti.

  6. Reikšmės duomenų lauke įveskite 1 Norėdami išjungti šį pakeitimą, ir tada spustelėkite gerai. Pastaboje Norėdami atkurti numatytąją reikšmę, įveskite 0 (nulis), tada spustelėkite gerai.

  Būsenai Šios problemos priežastis yra suprantama. Šis straipsnis bus atnaujintas su papildoma informacija, kai jie taps prieinami.

1 būdas: "Windows" naujinimas

Šis naujinimas bus atsisiųstas ir įdiegtas automatiškai.

2 būdas: "Microsoft Update" katalogo

Norėdami gauti šį naujinimą atskirą paketą, eikite į "Microsoft Update" katalogo svetainę.

Būtinosios sąlygos

Nėra jokių būtinųjų sąlygų įdiegti šį naujinimą.

Iš naujo paleiskite informaciją

Pritaikius šį naujinimą, turite iš naujo paleisti kompiuterį.

Naujinimo pakeitimo informacija

Šis naujinimas pakeičia anksčiau išleistų naujinimų 3163912.