Kumulatīvais atjauninājums Windows versijas 1511 10: 9. augusts 2016

Zināmās problēmas drošības atjauninājums

• Zināma problēma 1
  
  Drošības atjauninājumus, kas paredzēti MS16 101 un jaunāko atjauninājumu atspējot iespēju vienošanās procesa atkāpšanās NTLM, kad Kerberos autentifikācija neizdodas mainīt paroli operāciju STATUS_NO_LOGON_SERVERS (0xc000005e) kļūdas kods. Šādā gadījumā var tikt parādīts kāds no šiem kļūdu kodiem.
  
  

  Heksadecimāls	Decimālais	Simboliska	Vienkāršotu
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Sistēma ir noteikusi iespējamu mēģinājumu apdraudēt drošību. Lūdzu, pārliecinieties, ka varat sazināties ar serveri, kas tiek autentificēti.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistēma ir noteikusi iespējamu mēģinājumu apdraudēt drošību. Lūdzu, pārliecinieties, ka varat sazināties ar serveri, kas tiek autentificēti.

  
  
  Risinājums
  
  Ja pēc instalēšanas MS16 101 paroles izmaiņas, kas iepriekš bija veiksmīga, visticamāk, paroles maiņas bija iepriekš paļaujas uz NTLM atkāpšanās, jo tika kļūdaini Kerberos. Lai mainītu paroles veiksmīgi, izmantojot Kerberos protokolu, veiciet tālāk norādītās darbības.
  
  
  

  1. Open saziņa konfigurēt TCP portu 464 starp klientiem, kuriem ir instalēta MS16 101 un tā domēna kontrollera, kas ir apkopes paroles atiestatīšana.
     
     Tikai lasāms domēna kontrolleri (RODCs) var apstrādāt pašapkalpošanās paroles atiestatīšana, ja lietotājam ir atļauts RODCs paroles replicēšanas politika. RODC paroļu politika neatļauj lietotājiem nepieciešama tīkla savienojamības read/write domēna kontrolleris (RWDC) domēna lietotāja kontu.
     
     Piezīme. Lai pārbaudītu, vai ir atvērta 464 TCP portu, rīkojieties šādi:
     
     
     

     1. Izveidojiet tīkla pārraugs parsētājs līdzvērtīga displejs filtru. Piemērs:
        

        ipv4.address== <ip address of client> && tcp.port==464

     2. Rezultātos meklējiet "TCP: [SynReTransmit" kadru.
        
        

  2. Pārliecinieties, vai mērķa Kerberos nosaukumi ir derīgs. (IP adreses nav derīgas Kerberos protokols. Kerberos nodrošina īsu un pilnībā kvalificēti domēna nosaukumi.)

  3. Pārliecinieties, vai ir pareizi reģistrēts pakalpojuma primāros nosaukumus (SPNs).
     
     Lai iegūtu papildinformāciju, skatiet Kerberos un pašapkalpošanās paroles atiestatīšana.

• Zināma problēma 2
  
  Mēs zinām par problēmu, kura programmēšanas paroles atiestatīšana domēna lietotāja kontu neizdodas un Atgrieztais kļūdas kods STATUS_DOWNGRADE_DETECTED (0x800704F1) , ja paredzētais kļūda ir viens no šiem:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (reti atpakaļ)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  Šajā tabulā pilna kļūdu kartēšanu.
  
  

  Heksadecimāls	Decimālais	Simboliska	Vienkāršotu
  0x56	86	ERROR_INVALID_PASSWORD	Norādītā tīkla parole nav pareiza.
  0x267	615	ERROR_PWD_TOO_SHORT	Kas sniedza parole ir par īsu, lai atbilstu lietotāja konta politikai. Lūdzu, ievadiet paroli vairs.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Mēģinot atjaunināt paroli, šis atgrieztais statuss norāda vērtību, kas ir norādīta kā pašreizējā parole nav pareiza.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Mēģinot atjaunināt paroli, šis atgrieztais statuss norāda tika traucēta dažu paroles atjaunināšanas kārtulu. Piemēram, parole neatbilst garums kritērijiem.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Sistēma nevar sazināties ar domēna kontrolleri un apstrādāt autentifikācijas pieprasījumu. Lūdzu, vēlāk mēģiniet vēlreiz.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Sistēma nevar sazināties ar domēna kontrolleri un apstrādāt autentifikācijas pieprasījumu. Lūdzu, vēlāk mēģiniet vēlreiz.

  
  
  Risinājums
  
  MS16 101 ir atkārtoti palaistas šīs problēmas novēršanai. Instalējiet jaunāko atjauninājumu šo biļetenu, lai novērstu šo problēmu.
  
  

• Zināma problēma 3
  
  Mēs zinām par problēmu programmatiskā atiestata lokālo lietotāju kontu paroles maiņas var neizdoties un Atgrieztais kļūdas kods STATUS_DOWNGRADE_DETECTED (0x800704F1) .
  
  Šajā tabulā pilna kļūdu kartēšanu.
  
  

  Heksadecimāls	Decimālais	Simboliska	Vienkāršotu
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistēma nevar sazināties ar domēna kontrolleri un apstrādāt autentifikācijas pieprasījumu. Lūdzu, vēlāk mēģiniet vēlreiz.

  
  
  Risinājums
  
  MS16 101 ir atkārtoti palaistas šīs problēmas novēršanai. Instalējiet jaunāko atjauninājumu šo biļetenu, lai novērstu šo problēmu.
  
  

• Zināma problēma 4
  
  Atspējots un izejošais bloķēta lietotāja kontu paroles nevar mainīt vienošanās pakotni.
  
  
  Atspējots un bloķēta out kontu paroles maiņas turpinās darboties, izmantojot citas metodes, piemēram, izmantojot LDAP modificēšanas darbība tieši. Piemēram, PowerShell cmdlet Kopa ADAccountPassword izmanto operāciju "LDAP modificēšanas" mainīt paroli un paliek nemainīgs.
  
  Risinājums
  
  Šos kontus pieprasa administratoram izveidot paroles atiestatīšana. Šī darbība ir ar nolūku pēc instalēšanas MS16 101 un jaunākas versijas labojumi.
  
  

• Zināma problēma 5
  
  Lietojumprogrammas, kas izmanto NetUserChangePassword API un kas iziet servera_nosaukums domainname parametrs vairs nedarbojas pēc MS16 101 un jaunāki atjauninājumi ir instalēti.
  
  Microsoft dokumentācijā norāda tiek atbalstīta norādot domainname parametru NetUserChangePassword funkcijas attālā servera nosaukumu. Piemēram, MSDN tēmā NetUserChangePassword funkcija ir norādīts:
  
  domainname []
  

  Konstants virkni, kas norāda attālā servera vai domēna funkcija ir veikt DNS vai NetBIOS nosaukumu rādītājs. Ja šis parametrs ir nulle, tiek izmantots pieteikšanās domēna zvanītājs.Tomēr šīs norādes ir aizstāta ar MS16 101, ja vien paroles atiestatīšanas lokālo kontu lokālajā datorā. Ziņu MS16-101, domēna lietotāja paroles maiņas darbu, lai jums jāiziet derīgu DNS domēna nosaukumu NetUserChangePassword API.

• Zināma problēma 6
  
  
  
  Pēc šī drošības atjauninājuma un drukājot vairākus dokumentus pēc kārtas, pirmie divi dokumenti var izdrukāt veiksmīgi. Tomēr nevar izdrukāt trešās un attiecīgos dokumentus.
  
  Lai atrisinātu šo problēmu, lejupielādēt atjauninājumu 3186988 no vietnes Microsoft atjauninājumu kataloga .
  
  
  
  
  
  Arī šī problēma ir novērsta, Microsoft drošības biļetenu MS16 106.
  
  
  
  

• Zināma problēma 7
  
  Pēc instalēšanas MS16 101, tālvadības pults, drošības atjauninājumi, kas aprakstīti programmēšanas izmaiņas vietējā lietotāja konta paroli un paroles maiņas pāri uzticams mežs neizdodas.
  
  
  Šī darbība neizdodas, jo darbība ir atkarīga no NTLM rezerves, kas vairs netiek atbalstīta izsauc kontiem pēc instalēšanas MS16 101.
  
  
  Reģistra ieraksts ir, ko var izmantot, lai atspējotu šo izmaiņu.
  
  Brīdinājums. Šī metode var padarīt datoru vai tīklu uzņēmīgāku pret ļaunprātīgu lietotāju vai ļaunprātīgas programmatūras (vīrusu) uzbrukumiem. Mēs neiesakām šo metodi, bet sniedzam šo informāciju, lai jūs varētu īstenot šo risinājumu saviem ieskatiem. Izmantojiet šo metodi jūs uzņematies atbildību.
  
  Svarīgi! Šī sadaļa, metode vai uzdevums ietver darbības, kuras izpildot, var modificēt reģistru. Tomēr, ja reģistru modificēsit nepareizi, var rasties nopietnas problēmas. Tāpēc veiciet šīs darbības uzmanīgi. Papildu drošībai dublējiet reģistru pirms tā mainīšanas. Pēc tam varat atjaunot reģistru, ja rodas problēmas. Lai iegūtu papildinformāciju par to, kā dublēt un atjaunot reģistru, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:

  322756 Kā dublēt un atjaunot reģistru sistēmā Windows
  
  Atspējot šo izmaiņu, iestatiet DWORD ierakstam NegoAllowNtlmPwdChangeFallback izmantot vērtība ir 1 (viens).
  
  
  Svarīgi! Šis drošības labojums atspējos Setting NegoAllowNtlmPwdChangeFallback reģistra ieraksta vērtību 1:
  

  Reģistra vērtība	Apraksts
  0	Noklusējuma vērtība. Atkāpšanās dēļ.
  1.	Alternatīvs vienmēr ir atļauta. Drošības labojums ir izslēgts. Klientiem, kuriem ir problēmas ar attālo lokālo kontu vai uzticams mežs gadījumos var iestatīt reģistra šo vērtību.

  Lai pievienotu šo reģistra vērtību, rīkojieties šādi:
  

  1. Noklikšķiniet uz Sākt, noklikšķiniet uz izpildīt, lodziņā Atvērt ierakstiet regedit un pēc tam noklikšķiniet uz Labi.

  2. Atrodiet un pēc tam noklikšķiniet uz šādu reģistra apakšatslēgu:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. Izvēlnē Rediģēt norādiet uz Jaunsun pēc tam noklikšķiniet uz DWORD vērtība.

  4. Ievadiet DWORD nosaukumu NegoAllowNtlmPwdChangeFallback un pēc tam nospiediet taustiņu ENTER.

  5. Ar peles labo pogu noklikšķiniet uz NegoAllowNtlmPwdChangeFallbackun pēc tam noklikšķiniet uz modificēt.

  6. Vērtības datu lodziņā ierakstiet 1 , lai atspējotu šo izmaiņu un pēc tam noklikšķiniet uz Labi.
     
     
     Piezīme. Lai atjaunotu noklusējuma vērtību, ierakstiet 0 (nulle) un pēc tam noklikšķiniet uz Labi.

  Statuss
  
  Saprot šīs problēmas cēloni. Šis raksts tiks atjaunināts ar papildu informāciju, tiklīdz tie kļūst pieejami.

1. metode: Windows Update

Šis atjauninājums tiks lejupielādēti un instalēti automātiski.

2. metode: Microsoft atjauninājumu kataloga

Lai iegūtu šo atjauninājumu savrupu pakotni, dodieties uz vietni Microsoft atjauninājumu kataloga .

Priekšnosacījumi

Nav priekšnosacījumu, lai instalētu šo atjauninājumu.

Informācija par restartēšanu

Pēc šī atjauninājuma lietošanas dators ir jārestartē.

Informācija par atjauninājumu aizstāšanu

Šis atjauninājums aizstāj iepriekš izlaistu atjauninājumu 3172985.