MS16-101: drošības atjauninājums Windows autentifikācijas metodēm: 2016. gada 9. augustā

Kopsavilkums

Šis drošības atjauninājums novērš vairākas ievainojamība programmā Microsoft Windows. Ievainojamība var atļaut paaugstināt privilēģiju, ja uzbrucējs darbojas īpaši izstrādāts lietojumprogrammā domēnā savienotā sistēmā.

Lai iegūtu papildinformāciju par šo problēmu, skatiet rakstu Microsoft drošības biļetens MS16-101.

Papildinformācija

Svarīgi

• Visi turpmākie drošības un ar drošību nesaistītie atjauninājumi sistēmai Windows 8,1 un Windows Server 2012 R2 prasa atjaunināt 2919355 . Ieteicams instalēt atjauninājumu 2919355 savā Windows 8,1 vai windows Server 2012 R2 datorā, lai jūs saņemtu turpmākos atjauninājumus.

• Ja pēc šī atjauninājuma instalēšanas instalējat valodas pakotni, šis atjauninājums ir jāinstalē atkārtoti. Tāpēc pirms šī atjauninājuma instalēšanas iesakām instalēt visas nepieciešamās valodas pakotnes. Papildinformāciju skatiet rakstā valodu pakotņu pievienošana operētājsistēmā Windows.

Papildu informācija par šo drošības atjauninājumu

Tālāk norādītajos rakstos ir iekļauta papildu informācija par šo drošības atjauninājumu, kas attiecas uz atsevišķām produktu versijām. Pantos var būt zināma informācija par problēmu.

• 3177108 MS16-101: Windows autentifikācijas metožu drošības atjauninājuma apraksts: 2016. gada 9. augustā

• 3167679 MS16-101: Windows autentifikācijas metožu drošības atjauninājuma apraksts: 2016. gada 9. augustā

• 3192392 2016. gada tikai drošības atjauninājums sistēmai Windows 8,1 un Windows Server 2012 R2

• 3185331 2016 oktobris drošības mēneša kvalitātes apkopojums sistēmai Windows 8,1 un Windows Server 2012 R2

• 3192393 2016. gada tikai drošības atjauninājums sistēmai Windows Server 2012

• 3185332 2016 oktobris drošības mēneša kvalitātes apkopojums sistēmai Windows Server 2012

• 3192391 2016. gada tikai drošības atjauninājums sistēmai Windows 7 SP1 un Windows Server 2008 R2 SP1

• 3185330 2016 oktobris drošības mēneša kvalitātes apkopojums sistēmai Windows 7 SP1 un Windows Server 2008 R2 SP1

• 3192440 Kumulatīvais atjauninājums sistēmai Windows 10:2016 11. oktobris

• 3194798 Kumulatīvais atjauninājums Windows 10 versijai 1607 un Windows Server 2016:11. oktobris 2016

• 3192441 Kumulatīvais atjauninājums sistēmai Windows 10 versija 1511:2016. gada 11. oktobris

ReplacedThe drošības atjauninājumi, kas ir aizstāti ar tālāk norādītajiem drošības atjauninājumiem.

• 3176492 Kumulatīvais atjauninājums sistēmai Windows 10:2016. gada 9. augustā

• 3176493 Kumulatīvais atjauninājums Windows 10 versijai 1511:2016. gada 9. augusts

• 3176495 Kumulatīvais atjauninājums Windows 10 versijai 1607:2016. gada 9. augusts

Tālāk ir norādīti jaunie drošības atjauninājumi, kas aizstāj iepriekš minētos drošības atjauninājumus.

• 3192440 Kumulatīvais atjauninājums sistēmai Windows 10:2016 11. oktobris

• 3194798 Kumulatīvais atjauninājums Windows 10 versijai 1607 un Windows Server 2016:11. oktobris 2016

• 3192441 Kumulatīvais atjauninājums sistēmai Windows 10 versija 1511:2016. gada 11. oktobris

Zināmās problēmas šajā drošības atjauninājumā

• Zināmā problēma 1
  
  drošības atjauninājumi, kas tiek nodrošināti MS16-101 un jaunākajos atjauninājumos, atspējo pārrunu procesa spēju atgriezties pie NTLM, ja Kerberos autentifikācija nav paroļu maiņas operācijām ar STATUS_NO_LOGON_SERVERS (0xc000005e) kļūdas kodu. Šajā gadījumā, iespējams, saņemsit kādu no tālāk norādītajiem kļūdu kodiem.
  
  

  Heksadecimālu	Decimāldaļu	Simbolisku	Draudzīgais
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Sistēma noteica iespējamu mēģinājumu kompromitēt drošību. Lūdzu, pārliecinieties, vai varat sazināties ar serveri, kas jūs autentificējis.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistēma noteica iespējamu mēģinājumu kompromitēt drošību. Lūdzu, pārliecinieties, vai varat sazināties ar serveri, kas jūs autentificējis.

  
  
  Risinājums
  
  Ja paroles izmaiņas, kas iepriekš bija izdevies pēc MS16-101 instalēšanas, iespējams, ka paroles izmaiņas iepriekš paļāvās uz NTLM atkāpšanos, jo Kerberos neizdevās. Lai veiksmīgi mainītu paroles, izmantojot Kerberos protokolus, veiciet tālāk norādītās darbības.
  
  
  

  1. Konfigurējiet atvērtu saziņu par TCP portu 464 starp klientiem, kuriem ir instalēts MS16-101, un domēnu kontrolleri, kas apkalpo paroles atiestatīšanu.
     
     Tikai lasāmi domēnu kontrolleri (RODC) var pakalpojumu pašapkalpošanās paroles atiestatīšana, ja šo lietotāju ir atļāvis RODC paroļu replicēšanas politika. Lietotājiem, kuriem nav atļāvusi RODC paroļu politika, lietotāja konta domēnā ir nepieciešams tīkla savienojums ar lasīšanas/rakstīšanas domēna kontrolleri (RWDC).
     
     Piezīme. lai pārbaudītu, vai TCP ports 464 ir atvērts, veiciet tālāk norādītās darbības.
     
     
     

     1. Izveidojiet līdzvērtīgu parādīšanas filtru savam tīkla monitora parsētājam. Piemēram:
        

        IPv4. Address = = <IP adrese klientam> && TCP. Port = = 464

     2. Rezultātos meklējiet "TCP: [SynReTransmit" rāmja.
        
        

  2. Pārliecinieties, vai meklējamie Kerberos nosaukumi ir derīgi. (Kerberos protokolam nav derīgas IP adreses. Kerberos atbalsta īsus nosaukumus un pilnos domēnu nosaukumus.)

  3. Pārliecinieties, vai pakalpojumu galvenie nosaukumi (SPN) ir pareizi reģistrēti.
     
     Lai iegūtu papildinformāciju, skatiet rakstu Kerberos un Self-Service paroles atiestatīšana.

• Zināmā problēma 2
  
  mēs zinām par problēmu, kurā programmatiskas paroles atiestatīšana no domēna lietotāju kontiem neizdosies un atgriež STATUS_DOWNGRADE_DETECTED (0x800704F1) kļūdas kodu, ja paredzētā atteice ir viens no šiem:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (reti atgriezts)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  Tālāk esošajā tabulā ir parādīta pilna kļūdu kartēšana.
  
  

  Heksadecimālu	Decimāldaļu	Simbolisku	Draudzīgais
  0x56	86	ERROR_INVALID_PASSWORD	Norādītā tīkla parole nav pareiza.
  0x267	615	ERROR_PWD_TOO_SHORT	Nodrošinātā parole ir pārāk īsa, lai atbilstu jūsu lietotāja konta politikai. Lūdzu, sniedziet garāku paroli.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Mēģinot atjaunināt paroli, šis atgrieztais statuss norāda, ka vērtība, kas tika norādīta kā pašreizējā parole, ir nepareiza.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Mēģinot atjaunināt paroli, šis atgrieztais statuss norāda, ka ir pārkāpta daļa paroļu atjaunināšanas kārtulas. Piemēram, parole var neatbilst garuma kritērijiem.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Sistēma nevar sazināties ar domēna kontrolleri, lai apkalpotu autentifikācijas pieprasījumu. Vēlāk mēģiniet vēlreiz.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Sistēma nevar sazināties ar domēna kontrolleri, lai apkalpotu autentifikācijas pieprasījumu. Vēlāk mēģiniet vēlreiz.

  
  
  Risinājums
  
  MS16-101 ir atkārtoti izlaists, lai risinātu šo problēmu. Lai novērstu šo problēmu, instalējiet jaunāko šī biļetena atjauninājumu versiju.
  
  

• Zināmā problēma 3
  
  mēs zinām par problēmu, kad programmatisks atiestata lokālās lietotāja konta paroles izmaiņas, un atgriež STATUS_DOWNGRADE_DETECTED (0x800704F1) kļūdas kodu.
  
  Tālāk esošajā tabulā ir parādīta pilna kļūdu kartēšana.
  
  

  Heksadecimālu	Decimāldaļu	Simbolisku	Draudzīgais
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistēma nevar sazināties ar domēna kontrolleri, lai apkalpotu autentifikācijas pieprasījumu. Vēlāk mēģiniet vēlreiz.

  
  
  Risinājums
  
  MS16-101 ir atkārtoti izlaists, lai risinātu šo problēmu. Lai novērstu šo problēmu, instalējiet jaunāko šī biļetena atjauninājumu versiju.
  
  

• Zināmās problēmas 4
  
  paroļu atspējošanas un bloķēšanas lietotāju kontiem nevar mainīt, izmantojot sarunu pakotni.
  
  
  Paroļu izmaiņas atspējotajiem un aizslēgtajiem kontiem joprojām darbosies, izmantojot citas metodes, piemēram, izmantojot LDAP modificēšanas darbību tieši. Piemēram, PowerShell cmdlet Set-ADAccountPassword izmanto "LDAP Modify" darbību, lai mainītu paroli un paliek neskarta.
  
  Risinājums
  
  lai veiktu paroļu atiestatīšanu, šiem kontiem nepieciešams administrators. Šī darbība ir izstrādāta pēc MS16-101 un jaunāku labojumu instalēšanas.
  
  

• Zināmās problēmas 5
  
  lietojumprogrammas, kas izmanto NetUserChangePassword API, un kas iztur servera nosaukumu, domainname parametrā vairs nedarbosies pēc MS16-101 un jaunākām versijām.
  
  Microsoft dokumentācijā ir norādīts, kas nodrošina attālā servera nosaukumu funkcijas NetUserChangePassword parametrā domainname . Piemēram, funkcijas NetUserChangePassword MSDN tēmā ir norādīts:
  
  domainname [in]
  

  Rādītājs uz konstantu virkni, kas norāda attālā servera vai domēna DNS vai NetBIOS nosaukumu, kurā šī funkcija ir jāizpilda. Ja šis parametrs ir NULL, tiek izmantots zvanītāja pieteikšanās domēns. Statuss
  
  šīs vadlīnijas ir aizstātas ar MS16-101, ja vien paroles atiestatīšana lokālajā datorā ir lokāls konts.
  
  Publicējiet MS16-101, lai domēna lietotāja paroli mainītu uz darbu, ir jānodod derīga DNS domēna nosaukums NetUserChangePassword API.

• Zināmā problēma 6
  
  pēc tam, kad būsit instalējis drošības atjauninājumus, kas aprakstīti rakstā MS16-101, attālas, programmatiskas izmaiņas lokālajā lietotāja kontā, kā arī paroļu izmaiņas neuzticamos meža iztrūkumos.
  
  
  Šo darbību nevar veikt, jo darbība ir atkarīga no NTLM krišanas, kas vairs netiek atbalstīta nelokāliem kontiem pēc MS16-101 instalēšanas.
  
  
  Tiek nodrošināts reģistra ieraksts, ko var izmantot, lai atspējotu šīs izmaiņas.
  
  Brīdinājums šis risinājums var padarīt datoru vai tīklu neaizsargātu pret ļaunprātīgu lietotāju uzbrukumiem vai ļaunprātīgām programmatūrām, piemēram, vīrusiem. Mēs neiesakām šo risinājumu, bet sniedzam šo informāciju, lai jūs varētu ieviest šo risinājumu patstāvīgi. Izmantojiet šo risinājumu savā riskā.
  
  ImportantThis sadaļā, metodē vai uzdevumā ir aprakstītas darbības, kas norāda, kā modificēt reģistru. Tomēr, ja reģistru modificēsit nepareizi, var rasties nopietnas problēmas. Tāpēc veiciet šīs darbības tieši tā, kā aprakstīts. Papildu drošībai pirms reģistra modificēšanas izveidojiet tā dublējumu. Tādējādi, ja radīsies kāda problēma, varēsit reģistru atjaunot. Lai iegūtu papildinformāciju par reģistra dublēšanu un atjaunošanu, noklikšķiniet uz tālāk norādītā raksta numura un lasiet rakstu Microsoft zināšanu bāzē.

  322756Kā dublēt un atjaunot reģistru sistēmā Windows,
  
  lai atspējotu šīs izmaiņas, iestatiet NegoAllowNtlmPwdChangeFallback DWORD ierakstu, lai izmantotu vērtību 1 (viens).
  
  
  Svarīga NegoAllowNtlmPwdChangeFallback reģistra ieraksta iestatīšana uz vērtību 1 atspējos šo drošības labojumu:
  

  Reģistra vērtība	Aprakstu
  0	Noklusējuma vērtība. Alternatīva ir liegta.
  1	Alternatīva vienmēr ir atļauta. Drošības labojums ir izslēgts. Klienti, kuriem ir problēmas ar attālajiem lokālajiem kontiem vai neticamiem meža scenārijiem, var iestatīt reģistru uz šo vērtību.

  Lai pievienotu šīs reģistra vērtības, veiciet tālāk norādītās darbības.
  

  1. Noklikšķiniet uz Sākt, noklikšķiniet uz izpildīt, lodziņā Atvērt ierakstiet regedit un pēc tam noklikšķiniet uz Labi.

  2. Atrodiet un pēc tam noklikšķiniet uz šādas reģistra apakšatslēgas:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. Izvēlnē Rediģēt norādiet uz Jaunsun pēc tam noklikšķiniet uz DWORD vērtība.

  4. Ierakstiet NegoAllowNtlmPwdChangeFallback un pēc tam nospiediet taustiņu ENTER.

  5. Ar peles labo pogu noklikšķiniet uz NegoAllowNtlmPwdChangeFallbackun pēc tam noklikšķiniet uz modificēt.

  6. Lodziņā vērtības dati ierakstiet 1, lai atspējotu šīs izmaiņas, un pēc tam noklikšķiniet uz Labi.
     
     
     Piezīme. Lai atjaunotu noklusējuma vērtību, ierakstiet 0 (nulle) un pēc tam noklikšķiniet uz Labi.

  Statuss
  
  šīs problēmas cēlonis ir saprasts. Šis raksts tiks atjaunināts ar papildu datiem, tiklīdz tie būs pieejami.

Kā iegūt un instalēt atjauninājumu

1. metode: Windows Update

Šis atjauninājums ir pieejams, izmantojot Windows Update. Ieslēdzot automātisko atjaunināšanu, šis atjauninājums tiks automātiski lejupielādēts un instalēts. Papildinformāciju par to, kā ieslēgt automātisko atjaunināšanu, skatiet rakstā
drošības atjauninājumu automātiska saņemšana.

2. metode: Microsoft atjaunināšanas katalogs

Lai iegūtu savrupu pakotnes šo atjauninājumu, dodieties uz Microsoft atjaunināšanas kataloga tīmekļa vietni.

Papildinformācija