Kumulatīvais atjauninājums operētājsistēmai Windows 10:9. augusts 2016

Zināmās problēmas drošības atjauninājumā

• Zināma problēma 1 Drošības atjauninājumi, kas ir norādītas MS16-101 un jaunāku atjauninājumu atspējot iespēju sarunu procesu krist atpakaļ uz NTLM, Kerberos autentifikācija neizdodas paroles maiņa darbības ar STATUS_NO_LOGON_SERVERS (0xc000005e) kļūdas kods. Šādā gadījumā var tikt parādīts kāds no šiem kļūdu kodiem.

  Heksadecimālo	Decimāldaļas	Simbolisku	Draudzīgs
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Sistēma atklāja iespējamu mēģinājumu apdraudēt drošību. Lūdzu, pārliecinieties, ka varat sazināties ar serveri, kas jūs autentificējis.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistēma atklāja iespējamu mēģinājumu apdraudēt drošību. Lūdzu, pārliecinieties, ka varat sazināties ar serveri, kas jūs autentificējis.

  Risinājums Ja paroles izmaiņas, kas iepriekš izdevās neizdoties pēc instalēšanas MS16-101, tas ir iespējams, ka paroles izmaiņas iepriekš paļaujoties uz NTLM atkāpšanās, jo Kerberos bija kļūmes. Lai mainītu paroles veiksmīgi, izmantojot Kerberos protokolus, rīkojieties šādi:

  1. Konfigurējiet atvērto sakaru TCP portu 464 starp klientiem, kas ir instalēta MS16-101 un domēna kontrolleri, kas ir apkopes paroles atiestata. Tikai lasāms domēna kontrolleri (RODCs) var pakalpojumu pašapkalpošanās paroles atiestata ja lietotājs ir atļāvis RODCs paroles replicēšanas politika. Lietotājiem, kuri nav atļauti RODC paroļu politika nepieciešams tīkla savienojamības lasīšanas/rakstīšanas domēna kontrolleri (RWDC) lietotāja konta domēnā. Ņemiet vērā Lai pārbaudītu, vai ir atvērts TCP portu 464, rīkojieties šādi:

     1. Izveidojiet līdzvērtīgu displeja filtru tīkla monitora parsētājā. Piemēram:

        ipv4.address== <ip address of client> && tcp.port==464

     2. Rezultātos meklējiet "TCP: [SynReTransmit" rāmis.

  2. Pārliecinieties, vai mērķa Kerberos nosaukumi ir derīgi. (IP adreses nav derīgas Kerberos protokols. Kerberos atbalsta īsus vārdus un pilnībā kvalificētu domēna nosaukumu.)

  3. Pārliecinieties, vai pakalpojumu primāriem nosaukumiem (SPNs) ir reģistrētas pareizi. Lai iegūtu papildinformāciju, skatiet Kerberos un pašapkalpošanās paroles atiestatīšana.

• Zināma problēma 2 Mēs zinām par problēmu, kad neizdodas programmatiska paroles atiestata domēna lietotāja kontu un atgriezt STATUS_DOWNGRADE_DETECTED (0x800704F1) kļūdas kodu, ja paredzētais kļūme ir kāda no šīm darbībām:

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (reti atgriezās)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  Nākamajā tabulā ir parādīts pilnais kļūdu kartējums.

  Heksadecimālo	Decimāldaļas	Simbolisku	Draudzīgs
  0x56	86	ERROR_INVALID_PASSWORD	Norādītā tīkla parole nav pareiza.
  0x267	615	ERROR_PWD_TOO_SHORT	Parole, kas tika sniegta, ir pārāk īsa, lai atbilstu jūsu lietotāja konta politikai. Lūdzu, norādiet garāku paroli.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Mēģinot atjaunināt paroli, šis atgriešanas statuss norāda, ka vērtība, kas tika sniegta kā pašreizējā parole, nav pareiza.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Mēģinot atjaunināt paroli, šis atgriešanas statuss norāda, ka dažas paroles atjaunināšanas kārtula tika pārkāpts. Piemēram, parole var neatbilst garuma kritērijiem.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Sistēma nevar sazināties ar domēna kontrolleri, lai apkalpotu autentifikācijas pieprasījumu. Lūdzu, vēlāk mēģiniet vēlreiz.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Sistēma nevar sazināties ar domēna kontrolleri, lai apkalpotu autentifikācijas pieprasījumu. Lūdzu, vēlāk mēģiniet vēlreiz.

  IzšķirtspējaMS16-101 ir atkārtoti izlaists šīs problēmas risināšanai. Instalējiet jaunāko versiju atjauninājumus šim biļetenam, lai novērstu šo problēmu.

• Zināma problēma 3 Mēs zinām par problēmu, kad programmatiskā atiestata lokālā lietotāja konta paroles izmaiņas var neizdoties un atgriezt STATUS_DOWNGRADE_DETECTED (0x800704F1) kļūdas kods. Nākamajā tabulā ir parādīts pilnais kļūdu kartējums.

  Heksadecimālo	Decimāldaļas	Simbolisku	Draudzīgs
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistēma nevar sazināties ar domēna kontrolleri, lai apkalpotu autentifikācijas pieprasījumu. Lūdzu, vēlāk mēģiniet vēlreiz.

  IzšķirtspējaMS16-101 ir atkārtoti izlaists šīs problēmas risināšanai. Instalējiet jaunāko versiju atjauninājumus šim biļetenam, lai novērstu šo problēmu.

• Zināma problēma 4 Atspējotā un bloķētā lietotāja kontu paroles nevar mainīt, izmantojot vienošanās paketi. Atspējotie un bloķēta-out kontu paroles izmaiņas joprojām darbosies, izmantojot citas metodes, piemēram, izmantojot LDAP modificēšanas darbība tieši. Piemēram, PowerShell cmdlet kopa ADAccountPassword izmanto "LDAP modificēšanu" darbību, lai mainītu paroli un paliek neskarts. Risinājums Šie konti pieprasa administratoram, lai parole tiktu atiestatīta. Šī darbība ir ar noformējuma pēc instalēšanas MS16-101 un vēlāk labojumi.

• Zināma problēma 5 Lietojumprogrammas, kas izmanto Netuserchangepassword API un kas iziet servera_nosaukums parametrs domainname vairs nedarbosies pēc MS16-101 un jaunāku atjauninājumu instalēšanas. Microsoft dokumentācijā norāda, ka attālā servera nosaukums ir domainname parametru Netuserchangepassword funkcija tiek atbalstīta. Piemēram, Netuserchangepassword funkcija MSDN tēmā ir norādīts šādi: domainname [in]

  Rādītāju uz konstantu virkni, kas norāda DNS vai NetBIOS nosaukumu attālā servera vai domēna, kurā funkcija ir izpildīt. Ja šis parametrs ir nulle, tiek izmantots zvanītāja pieteikšanās domēns.Tomēr šie norādījumi ir aizstāta ar MS16-101, ja vien paroles atiestatīšana ir lokālajam kontam lokālajā datorā. Post MS16-101, lai domēna lietotāja paroles izmaiņas darbā, ir jānokārto derīgu DNS domēna nosaukumu NetUserChangePassword API.

• Zināma problēma 6 Pēc šī drošības atjauninājuma un pēc tam drukājot vairākus dokumentus pēc kārtas, pirmie divi dokumenti var drukāt veiksmīgi, bet trešais un turpmākie dokumenti var nedrukāt. Lai novērstu šo problēmu, veiciet kādu no šīm darbībām:

  • Instalējiet atjauninājumu 3187022. Lai iegūtu papildinformāciju, noklikšķiniet uz šī raksta numura un skatiet Microsoft zināšanu bāzes rakstu:

    3187022 drukas funkcionalitāte ir bojāta pēc tam, kad ir INSTALĒTI visi MS16-098 drošības atjauninājumi

  • Instalējiet atjauninājumu 3186987 no vietnes Microsoft atjauninājumu kataloga .

  Šī problēma ir atrisināta arī Microsoft drošības BIĻETENU MS16-106.

• Zināma problēma 7 Pēc instalēšanas drošības atjauninājumi, kas aprakstīti MS16-101, attālā, programmatiskā izmaiņas lokālā lietotāja konta paroli un paroles izmaiņas visā uzticams mežā neizdodas. Šī operācija neizdodas, jo darbība ir atkarīga no NTLM atkāpšanās, kas vairs netiek atbalstīta Nonlocal kontiem pēc MS16-101 instalēšanas. Reģistra ieraksts ir paredzēts, ka varat izmantot, lai atspējotu šīs izmaiņas. Brīdinājums šis risinājums var padarīt datoru vai tīklu uzņēmīgāku pret ļaunprātīgu lietotāju vai ļaunprātīgas programmatūras (vīrusu) uzbrukumiem. Mēs neiesakām šo metodi, bet sniedzam šo informāciju, lai jūs varētu īstenot šo risinājumu pēc saviem ieskatiem. Izmantojiet šo metodi uz savu risku. Svarīgišajā sadaļā, metodē vai uzdevumā ir norādītas darbības, kas norāda, kā modificēt reģistru. Tomēr, ja reģistru modificēsit nepareizi, var rasties nopietnas problēmas. Tādēļ pārliecinieties, vai veiciet šīs darbības uzmanīgi. Lai iegūtu papildu aizsardzību, dublējiet reģistru, pirms to modificējat. Pēc tam varat atjaunot reģistru, ja rodas kāda problēma. Lai iegūtu papildinformāciju par to, kā dublēt un atjaunot reģistru, noklikšķiniet uz šī raksta numura un skatiet Microsoft zināšanu bāzes rakstu:

  322756 Kā dublēt un atjaunot reģistru sistēmā WindowsLai atspējotu šīs izmaiņas, iestatiet DWORD ierakstu Negoallowntlmpwdchangefallback , lai izmantotu vērtību 1 (viena). Svarīgam Iestatot reģistra ieraksta Negoallowntlmpwdchangefallback vērtību 1 atspējos šo drošības problēmu:

  Reģistra vērtība	Apraksts
  0	Noklusējuma vērtība. Atkāpšanās ir novērsta.
  1	Atkāpšanās vienmēr ir atļauta. Drošības labojums ir izslēgts. Klientiem, kuriem ir problēmas ar attālo lokālo kontu vai uzticams meža scenārijiem var iestatīt reģistra šo vērtību.

  Lai pievienotu šīs reģistra vērtības, rīkojieties šādi:

  1. Noklikšķiniet uz Sākt, noklikšķiniet uz izpildīt, lodziņā Atvērt ierakstiet regedit un pēc tam noklikšķiniet uz Labi.

  2. Reģistrā atrodiet šādu apakšatslēgu un noklikšķiniet uz tās:

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

  3. Izvēlnē Rediģēt norādiet uz jaununpēc tam noklikšķiniet uz DWORD vērtība.

  4. Ievadiet DWORD nosaukumu Negoallowntlmpwdchangefallback un pēc tam nospiediet taustiņu ENTER.

  5. Ar peles labo pogu noklikšķiniet uz Negoallowntlmpwdchangefallbackun pēc tam noklikšķiniet uz modificēt.

  6. Vērtības datu lodziņā ierakstiet 1 , lai atspējotu šīs izmaiņas, un pēc tam noklikšķiniet uz Labi. Ņemiet vērā Lai atjaunotu noklusējuma vērtību, ierakstiet 0 (nulle) un pēc tam noklikšķiniet uz Labi.

  Status Šī jautājuma galvenais cēlonis ir saprotams. Šis raksts tiks atjaunināts ar papildu informāciju, tiklīdz tie kļūst pieejami.

1. metode: Windows Update

Šis atjauninājums tiks lejupielādēti un instalēti automātiski.

2. metode: Microsoft atjauninājumu kataloga

Lai iegūtu šo atjauninājumu savrupu pakotni, dodieties uz vietni Microsoft atjauninājumu kataloga .

Priekšnoteikumi

Nav priekšnosacījumu, lai instalētu šo atjauninājumu.

Restartēt informāciju

Pēc šī atjauninājuma lietošanas dators ir jārestartē.

Informācija par atjauninājumu aizstāšanu

Šis atjauninājums aizstāj iepriekš izlaistu atjauninājumu 3163912.