MS16-101: saugos naujinimas, skirtas "Windows" autentifikavimo metodams: rugpjūčio 9, 2016

Suvestinė

Šis saugos naujinimas išsprendžia keletą pažeidžiamumų "Microsoft Windows". Pažeidžiamumas gali sudaryti didesnių teisių suteikimas, jei pažeidėjas paleidžia specialiai sukurtą taikomąją programą domeno prijungtoje sistemoje.

Norėdami sužinoti daugiau apie pažeidžiamumą, peržiūrėkite "Microsoft" saugos biuletenis MS16-101.

Daugiau informacijos

Svarbu

• Visiems būsimiems saugos ir ne saugos naujinimams, skirtiems "Windows" 8,1 ir "Windows Server 2012 R2" reikia įdiegti naujinimą 2919355 . Rekomenduojame įdiegti naujinimą 2919355 "Windows 8,1" arba "windows Server 2012 R2" kompiuteryje, kad gautumėte būsimus naujinimus.

• Įdiegę kalbos paketą Įdiegę šį naujinimą, turite iš naujo įdiegti šį naujinimą. Todėl rekomenduojame įdiegti bet kokius kalbos paketus, kurie jums reikia prieš diegiant šį naujinimą. Daugiau informacijos rasite kalbų paketų įtraukimas į "Windows".

Papildoma informacija apie šį saugos naujinimą

Tolesniuose straipsniuose pateikiama papildoma informacija apie šį saugos naujinimą, kiek jis susijęs su individualia produktų versija. Straipsniuose gali būti žinomos žinomos informacijos.

• 3177108 MS16-101: saugos naujinimo, skirto "Windows" autentifikavimo metodams, apibūdinimas: rugpjūčio 9, 2016

• 3167679 MS16-101: saugos naujinimo, skirto "Windows" autentifikavimo metodams, apibūdinimas: rugpjūčio 9, 2016

• 3192392 Spalis 2016 saugos tik kokybės naujinimas, skirtas "Windows 8,1" ir "Windows Server 2012 R2"

• 3185331 Spalis 2016 saugos mėnesio kokybės naujinimų paketas, skirtas "Windows 8,1" ir "Windows Server 2012 R2"

• 3192393 Spalis 2016 saugos tik kokybės naujinimas, skirtas "Windows Server 2012"

• 3185332 Spalis 2016 saugos mėnesio kokybės paketas, skirtas "Windows Server 2012"

• 3192391 Spalis 2016 saugos tik kokybės naujinimas, skirtas "Windows 7 SP1" ir "Windows Server 2008 R2 SP1"

• 3185330 Spalis 2016 saugos mėnesio kokybės naujinimų paketas, skirtas "Windows 7 SP1" ir "Windows Server 2008 R2 SP1"

• 3192440 Kaupiamasis naujinimas, skirtas "Windows 10": spalio 11, 2016

• 3194798 Kaupiamasis naujinimas, skirtas "Windows 10" versija 1607 ir "Windows Server 2016": spalio 11, 2016

• 3192441 Kaupiamasis naujinimas, skirtas "Windows 10" 1511 versijai: spalio 11, 2016

Pakeičiami saugos naujinimai, kurie pakeičiami toliau nurodytais saugos naujinimais:

• 3176492 Kaupiamasis naujinimas, skirtas "Windows 10": rugpjūčio 9, 2016

• 3176493 Kaupiamasis naujinimas, skirtas "Windows 10" 1511 versijai: rugpjūčio 9, 2016

• 3176495 Kaupiamasis naujinimas, skirtas "Windows 10" 1607 versijai: rugpjūčio 9, 2016

Toliau pateikti nauji saugos naujinimai, kurie pakeičia anksčiau minėtus saugos naujinimus:

• 3192440 Kaupiamasis naujinimas, skirtas "Windows 10": spalio 11, 2016

• 3194798 Kaupiamasis naujinimas, skirtas "Windows 10" versija 1607 ir "Windows Server 2016": spalio 11, 2016

• 3192441 Kaupiamasis naujinimas, skirtas "Windows 10" 1511 versijai: spalio 11, 2016

Žinomos problemos šiame saugos naujinime

• Žinoma problema 1
  
  saugos naujinimai, pateikiami MS16 – 101 ir naujesniuose naujinimuose, išjungia derybų proceso galimybę grįžti į NTLM, kai Kerberos autentifikavimas nepavyksta dėl slaptažodžio keitimo operacijų su STATUS_NO_LOGON_SERVERS (0xc000005e) klaidos kodu. Šioje situacijoje galite gauti vieną iš šių klaidos kodų.
  
  

  Šešioliktainį	Dešimtainį	Simbolinių	Draugiškas
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Sistema aptiko galimą mėginimą pakenkti saugai. Įsitikinkite, kad galite susisiekti su jums autentifikuotu serveriu.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistema aptiko galimą mėginimą pakenkti saugai. Įsitikinkite, kad galite susisiekti su jums autentifikuotu serveriu.

  
  
  Sprendimo būdas
  
  Jei slaptažodžio keitimų, kuriems anksčiau pavyko nepavyko įdiegti ĮDIEGUS "MS16", gali būti, kad slaptažodžio keitimas anksčiau buvo pagrįstas NTLM atsargomis, nes nepavyko "Kerberos". Norėdami sėkmingai pakeisti slaptažodžius naudodami "Kerberos" protokolus, atlikite šiuos veiksmus:
  
  
  

  1. Konfigūruokite atvirą bendravimą "TCP Port 464" tarp klientų, kuriuose įdiegta "MS16-101", ir domeno valdiklį, kuris yra aptarnavimo slaptažodžių resetuje.
     
     Tik skaityti skirtų domenų valdikliai (RODCs) gali iš naujo naudoti tarnybų savitarnos slaptažodį iš naujo, jei vartotoją leidžia RODCs slaptažodžių replikavimo strategija. Vartotojai, kuriems neleidžiamas "RODC" slaptažodžių strategijos, vartotojo abonemento domene reikia tinklo ryšio su skaitymo/rašymo domeno valdikliu (RWDC).
     
     Pastaba Norėdami patikrinti, ar atidaryti TCP prievadas 464, atlikite šiuos veiksmus:
     
     
     

     1. Sukurkite lygiavertį rodymo filtrą savo tinklo monitoriaus analizatorius. Pavyzdžiui:
        

        IPv4. Address = = <kliento> && TCP. Port = = 464 IP adresas

     2. Rezultatuose ieškokite "TCP: [Synretransliuoti" rėmelį.
        
        

  2. Įsitikinkite, kad paskirties Kerberos vardai yra tinkami. (IP adresai negalioja Kerberos protokolui. Kerberos palaiko trumpus pavadinimus ir visiškai apibrėžtą domenų vardus.)

  3. Įsitikinkite, kad tarnybos pagrindiniai pavadinimai (SPNs) yra tinkamai užregistruoti.
     
     Daugiau informacijos ieškokite " Kerberos" ir Self-Service slaptažodžio nustatymas iš naujo.

• Žinoma problema 2
  
  žinome apie problemą, kai programinis slaptažodis iš naujo nustato domeno vartotojų paskyras ir grąžina STATUS_DOWNGRADE_DETECTED (0x800704F1) klaidos kodą, jei tikėtina, kad klaida yra viena iš šių:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (retai grąžinamas)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  Toliau pateiktoje lentelėje parodytas visas klaidų susiejimas.
  
  

  Šešioliktainį	Dešimtainį	Simbolinių	Draugiškas
  0x56	86	ERROR_INVALID_PASSWORD	Nurodytas tinklo slaptažodis neteisingas.
  0x267	615	ERROR_PWD_TOO_SHORT	Pateiktas slaptažodis yra per trumpas, kad atitiktų jūsų vartotojo paskyros strategiją. Pateikite ilgesnį slaptažodį.
  0xc000006a	– 1073741718	STATUS_WRONG_PASSWORD	Kai bandote atnaujinti slaptažodį, ši grįžimo būsena nurodo, kad reikšmė, kuri buvo pateikta kaip dabartinis slaptažodis, yra neteisinga.
  0xc000006c	– 1073741716	STATUS_PASSWORD_RESTRICTION	Kai bandote atnaujinti slaptažodį, ši grįžimo būsena nurodo, kad buvo pažeista kai kurios slaptažodžio atnaujinimo taisyklės. Pvz., slaptažodis gali nepasiekti ilgio kriterijų.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Sistema negali susisiekti su domeno valdikliu, kad galėtų aptarnauti autentifikavimo užklausą. Pabandykite vėliau.
  0xc0000388	– 1073740920	STATUS_DOWNGRADE_DETECTED	Sistema negali susisiekti su domeno valdikliu, kad galėtų aptarnauti autentifikavimo užklausą. Pabandykite vėliau.

  
  
  Sprendimas
  
  MS16 – 101 buvo pakartotinai išleistas šiai problemai spręsti. Įdiekite naujausią šio biuletenio naujinimų versiją, kad išspręstumėte šią problemą.
  
  

• Žinoma problema 3
  
  žinome apie problemą, dėl kurios programinis vietinio vartotojo paskyros slaptažodžio keitimas gali nepavykti ir grąžinti STATUS_DOWNGRADE_DETECTED (0x800704F1) klaidos kodą.
  
  Toliau pateiktoje lentelėje parodytas visas klaidų susiejimas.
  
  

  Šešioliktainį	Dešimtainį	Simbolinių	Draugiškas
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistema negali susisiekti su domeno valdikliu, kad galėtų aptarnauti autentifikavimo užklausą. Pabandykite vėliau.

  
  
  Sprendimas
  
  MS16 – 101 buvo pakartotinai išleistas šiai problemai spręsti. Įdiekite naujausią šio biuletenio naujinimų versiją, kad išspręstumėte šią problemą.
  
  

• Žinoma problema 4
  
  slaptažodžiai neįgaliesiems ir užrakintose vartotojų paskyroms negalima keisti naudojant Negotiate paketą.
  
  
  Išjungtų ir užrakintų abonementų slaptažodžių keitimas vis dar veiks, kai naudosite kitus metodus, pvz., naudodami LDAP modifikavimo operaciją tiesiogiai. Pvz., "PowerShell" cmdlet Set-ADAccountPassword naudoja veiksmą LDAP modifikavimas, kad pakeistų slaptažodį ir liktų nepakitęs.
  
  Sprendimo būdas
  
  šioms paskyroms reikia administratoriaus, kad būtų galima iš naujo nustatyti slaptažodį. Taip nutinka, kai diegiate MS16 – 101 ir vėlesnė pataisymai.
  
  

• Žinoma problema 5
  
  taikomosios programos, naudojančios NetUserChangePassword API ir kurios serverio vardas yra domainname parametre, nebeveiks, kai bus įdiegti MS16 – 101 ir vėlesni naujinimai.
  
  "Microsoft" dokumentacijoje nurodoma, kad "Netuserchangespassword" funkcijoje domainname parametras teikia nuotolinio serverio vardą. Pvz., funkcija netuserchangepassword MSDN tema nurodo:
  
  domainname [in]
  

  Žymiklis su pastoviu eilute, nurodanti nuotolinio serverio ar domeno, kuriame vykdoma funkcija, DNS arba NetBIOS vardą. Jei šis parametras neapibrėžtas, naudojamas skambinančiojo įėjimo domenas. Būsena
  
  šios gairės buvo pakeistos MS16 – 101, nebent slaptažodžio nustatymas iš naujo yra vietinio abonemento vietiniame kompiuteryje.
  
  Post MS16-101, kad būtų galima atlikti domeno vartotojo slaptažodžio pakeitimų, turite perduoti galiojantį DNS domeno vardą į "Netuserchangdpassword" API.

• Žinoma problema 6 įdiegus
  
  saugos naujinimus, aprašytus " MS16-101", nuotolinis, programinis vietinio vartotojo paskyros slaptažodžio keitimas ir slaptažodžio keitimas per nepatikimą miškų fail.
  
  
  Ši operacija nepavyksta, nes operacija priklauso nuo NTLM "Fall-back", kuri nebepalaikoma nevietinių abonementų, įdiegus MS16 – 101.
  
  
  Pateikiamas registro įrašas, kurį galite naudoti norėdami išjungti šį keitimą.
  
  Įspėjimas Šis sprendimas gali padaryti kompiuterį arba tinklą labiau pažeidžiamą kenkėjiškų vartotojų arba kenkėjiškos programinės įrangos, pvz., virusų, atakų. Nerekomenduojame šio sprendimo būdo, bet pateikiame šią informaciją, kad galėtumėte savo nuožiūra atlikti šį sprendimo būdą. Naudokite šį sprendimo būdą savo pačių rizika.
  
  Importantšiame skyriuje, metode ar užduotyje pateikiami veiksmai, kuriais nurodoma, kaip modifikuoti registrą. Jei registro duomenis pakeisite netinkamai, gali kilti rimtų problemų. Todėl atlikite šiuos veiksmus atidžiai. Kad būtų saugiau, prieš modifikuodami registrą sukurkite atsarginę jo kopiją. Tada galėsite atkurti registrą, jei kils problemų. Daugiau informacijos, kaip sukurti atsarginę registro kopiją ir atkurti registrą, rasite spustelėję toliau nurodytą straipsnio numerį ir peržiūrėję „Microsoft“ žinių bazės straipsnį:

  322756Kaip sukurti atsarginę registro kopiją ir atkurti registrą sistemoje "Windows"
  
  Norėdami išjungti šį keitimą, NUSTATYKITE NegoAllowNtlmPwdChangeFallback DWORD įrašą, kad būtų naudojama 1 (viena) reikšmė.
  
  
  Svarbu nustačius NegoAllowNtlmPwdChangeFallback registro įrašą į 1 reikšmę, Šis saugos pataisymas bus išjungtas:
  

  Registro reikšmė	Aprašymas/kontrolė
  0	Numatytoji reikšmė. Atsarginis.
  1	Atsarginis atkūrimas visada leidžiamas. Saugos pataisa yra išjungta. Klientai, kuriems kyla problemų su nuotoliniais vietiniais abonementais arba nepatikimais miškų scenarijais, gali nustatyti registrą šiai reikšmei.

  Norėdami įtraukti šias registro reikšmes, atlikite šiuos veiksmus:
  

  1. Spustelėkite pradėti, spustelėkite vykdyti, lauke atidaryti įveskite regedit, tada spustelėkite gerai.

  2. Raskite ir spustelėkite šį dalinį registro raktą:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. Meniu Redaguoti pasirinkite Naujas, tada spustelėkite DWORD vertė.

  4. Įveskite NegoAllowNtlmPwdChangeFallback už DWORD pavadinimą, tada paspauskite klavišą "įvesti".

  5. Dešiniuoju pelės mygtuku spustelėkite NegoAllowNtlmPwdChangeFallback, tada spustelėkite modifikuoti.

  6. Lauke Reikšmės duomenys įveskite 1, kad išjungtumėte šį keitimą, tada spustelėkite gerai.
     
     
     Pastaba Norėdami atkurti numatytąją reikšmę, įveskite 0 (nulis), tada spustelėkite gerai.

  Būsena šios
  
  problemos priežastis suprantama. Šis straipsnis bus atnaujintas su papildoma informacija, kai jie taps prieinami.

Kaip gauti ir įdiegti naujinimą

1 būdas: "Windows Update"

Šį naujinimą galima atsisiųsti naudojant "Windows Update". Įjungus automatinį naujinimą, Šis naujinimas bus atsisiųstas ir įdiegtas automatiškai. Daugiau informacijos apie tai, kaip įjungti automatinį naujinimą, ieškokite
saugos naujinimų gavimas automatiškai.

2 būdas: "Microsoft Update" katalogas

Norėdami gauti atskirą šio naujinimo paketą, eikite į "Microsoft Update" katalogo svetainę.

Daugiau informacijos