MS16-101: Windows autentifikācijas metožu drošības atjauninājuma apraksts: 2016. gada 9. augustā

Kopsavilkums

Šis drošības atjauninājums novērš vairākas ievainojamība programmā Microsoft Windows. Ievainojamība var atļaut paaugstināt privilēģiju, ja uzbrucējs darbojas īpaši izstrādāts lietojumprogrammā domēnā savienotā sistēmā.

Lai iegūtu papildinformāciju par šo problēmu, skatiet rakstu Microsoft drošības biļetens MS16-101.

Papildinformācija

Svarīgi!

• Visi turpmākie drošības un ar drošību nesaistīti atjauninājumi sistēmai Windows 8,1 un Windows Server 2012 R2 prasa atjaunināt 2919355 . Ieteicams instalēt atjauninājumu 2919355 savā Windows 8,1 vai windows Server 2012 R2 datorā, lai jūs saņemtu turpmākos atjauninājumus.

• Ja pēc šī atjauninājuma instalēšanas instalējat valodas pakotni, šis atjauninājums ir jāinstalē atkārtoti. Tāpēc pirms šī atjauninājuma instalēšanas iesakām instalēt visas nepieciešamās valodas pakotnes. Papildinformāciju skatiet rakstā valodu pakotņu pievienošana operētājsistēmā Windows.

Zināmās problēmas šajā drošības atjauninājumā

• Zināmā problēma 1
  
  drošības atjauninājumi, kas tiek nodrošināti MS16-101 un jaunākajos atjauninājumos, atspējo pārrunu procesa spēju atgriezties pie NTLM, ja Kerberos autentifikācija nav paroļu maiņas operācijām ar STATUS_NO_LOGON_SERVERS (0xc000005e) kļūdas kodu. Šajā gadījumā, iespējams, saņemsit kādu no tālāk norādītajiem kļūdu kodiem.
  
  

  Heksadecimālu	Decimāldaļu	Simbolisku	Draudzīgais
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Sistēma noteica iespējamu mēģinājumu kompromitēt drošību. Lūdzu, pārliecinieties, vai varat sazināties ar serveri, kas jūs autentificējis.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistēma noteica iespējamu mēģinājumu kompromitēt drošību. Lūdzu, pārliecinieties, vai varat sazināties ar serveri, kas jūs autentificējis.

  
  
  Risinājums
  
  Ja paroles izmaiņas, kas iepriekš bija izdevies pēc MS16-101 instalēšanas, iespējams, ka paroles izmaiņas iepriekš paļāvās uz NTLM atkāpšanos, jo Kerberos neizdevās. Lai veiksmīgi mainītu paroles, izmantojot Kerberos protokolus, veiciet tālāk norādītās darbības.
  
  
  

  1. Konfigurējiet atvērtu saziņu par TCP portu 464 starp klientiem, kuriem ir instalēts MS16-101, un domēnu kontrolleri, kas apkalpo paroles atiestatīšanu.
     
     Tikai lasāmi domēnu kontrolleri (RODC) var pakalpojumu pašapkalpošanās paroles atiestatīšana, ja šo lietotāju ir atļāvis RODC paroļu replicēšanas politika. Lietotājiem, kuriem nav atļāvusi RODC paroļu politika, lietotāja konta domēnā ir nepieciešams tīkla savienojums ar lasīšanas/rakstīšanas domēna kontrolleri (RWDC).
     
     Piezīme. lai pārbaudītu, vai TCP ports 464 ir atvērts, veiciet tālāk norādītās darbības.
     
     
     

     1. Izveidojiet līdzvērtīgu parādīšanas filtru savam tīkla monitora parsētājam. Piemēram:
        

        IPv4. Address = = <IP adrese klientam> && TCP. Port = = 464

     2. Rezultātos meklējiet "TCP: [SynReTransmit" rāmja.
        
        

  2. Pārliecinieties, vai meklējamie Kerberos nosaukumi ir derīgi. (Kerberos protokolam nav derīgas IP adreses. Kerberos atbalsta īsus nosaukumus un pilnos domēnu nosaukumus.)

  3. Pārliecinieties, vai pakalpojumu galvenie nosaukumi (SPN) ir pareizi reģistrēti.
     
     Lai iegūtu papildinformāciju, skatiet rakstu Kerberos un Self-Service paroles atiestatīšana.

• Zināmā problēma 2
  
  mēs zinām par problēmu, kurā programmatiskas paroles atiestatīšana no domēna lietotāju kontiem neizdosies un atgriež STATUS_DOWNGRADE_DETECTED (0x800704F1) kļūdas kodu, ja paredzētā atteice ir viens no šiem:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (reti atgriezts)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  Tālāk esošajā tabulā ir parādīta pilna kļūdu kartēšana.
  
  

  Heksadecimālu	Decimāldaļu	Simbolisku	Draudzīgais
  0x56	86	ERROR_INVALID_PASSWORD	Norādītā tīkla parole nav pareiza.
  0x267	615	ERROR_PWD_TOO_SHORT	Nodrošinātā parole ir pārāk īsa, lai atbilstu jūsu lietotāja konta politikai. Lūdzu, sniedziet garāku paroli.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Mēģinot atjaunināt paroli, šis atgrieztais statuss norāda, ka vērtība, kas tika norādīta kā pašreizējā parole, ir nepareiza.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Mēģinot atjaunināt paroli, šis atgrieztais statuss norāda, ka ir pārkāpta daļa paroļu atjaunināšanas kārtulas. Piemēram, parole var neatbilst garuma kritērijiem.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Sistēma nevar sazināties ar domēna kontrolleri, lai apkalpotu autentifikācijas pieprasījumu. Vēlāk mēģiniet vēlreiz.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Sistēma nevar sazināties ar domēna kontrolleri, lai apkalpotu autentifikācijas pieprasījumu. Vēlāk mēģiniet vēlreiz.

  
  
  Risinājums
  
  MS16-101 ir atkārtoti izlaists, lai risinātu šo problēmu. Lai novērstu šo problēmu, instalējiet jaunāko šī biļetena atjauninājumu versiju.
  
  

• Zināmā problēma 3
  
  mēs zinām par problēmu, kad programmatisks atiestata lokālās lietotāja konta paroles izmaiņas, un atgriež STATUS_DOWNGRADE_DETECTED (0x800704F1) kļūdas kodu.
  
  Tālāk esošajā tabulā ir parādīta pilna kļūdu kartēšana.
  
  

  Heksadecimālu	Decimāldaļu	Simbolisku	Draudzīgais
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistēma nevar sazināties ar domēna kontrolleri, lai apkalpotu autentifikācijas pieprasījumu. Vēlāk mēģiniet vēlreiz.

  
  
  Risinājums
  
  MS16-101 ir atkārtoti izlaists, lai risinātu šo problēmu. Lai novērstu šo problēmu, instalējiet jaunāko šī biļetena atjauninājumu versiju.
  
  

• Zināmās problēmas 4
  
  paroļu atspējošanas un bloķēšanas lietotāju kontiem nevar mainīt, izmantojot sarunu pakotni.
  
  
  Paroļu izmaiņas atspējotajiem un aizslēgtajiem kontiem joprojām darbosies, izmantojot citas metodes, piemēram, izmantojot LDAP modificēšanas darbību tieši. Piemēram, PowerShell cmdlet Set-ADAccountPassword izmanto "LDAP Modify" darbību, lai mainītu paroli un paliek neskarta.
  
  Risinājums
  
  lai veiktu paroļu atiestatīšanu, šiem kontiem nepieciešams administrators. Šī darbība ir izstrādāta pēc MS16-101 un jaunāku labojumu instalēšanas.
  
  

• Zināmās problēmas 5
  
  lietojumprogrammas, kas izmanto NetUserChangePassword API, un kas iztur servera nosaukumu, domainname parametrā vairs nedarbosies pēc MS16-101 un jaunākām versijām.
  
  Microsoft dokumentācijā ir norādīts, kas nodrošina attālā servera nosaukumu funkcijas NetUserChangePassword parametrā domainname . Piemēram, funkcijas NetUserChangePassword MSDN tēmā ir norādīts:
  
  domainname [in]
  

  Rādītājs uz konstantu virkni, kas norāda attālā servera vai domēna DNS vai NetBIOS nosaukumu, kurā šī funkcija ir jāizpilda. Ja šis parametrs ir NULL, tiek izmantots zvanītāja pieteikšanās domēns. Tomēr šīs vadlīnijas ir aizstātas ar MS16-101, ja vien paroles atiestatīšana lokālajā datorā ir lokāls konts. Publicējiet MS16-101, lai domēna lietotāja paroli mainītu uz darbu, ir jānodod derīga DNS domēna nosaukums NetUserChangePassword API.

• Zināmā problēma 6
  
  pēc šī atjauninājuma instalēšanas var rasties 0xC0000022 NTLM autentifikācijas kļūdas. Lai atrisinātu šo problēmu, skatiet rakstu NTLM autentifikācija neizdodas ar 0xC0000022 kļūdu sistēmai Windows Server 2012, windows 8,1 un Windows server 2012 R2 pēc atjauninājumalietošanas.

• Zināmā problēma 7
  
  pēc tam, kad esat instalējis drošības atjauninājumus, kas ir aprakstīti rakstā MS16-101, attālas, programmatiskas izmaiņas lokālā lietotāja konta parolē, un paroļu izmaiņas neuzticamos meža iztrūkumos.
  
  
  Šo darbību nevar veikt, jo darbība ir atkarīga no NTLM krišanas, kas vairs netiek atbalstīta nelokāliem kontiem pēc MS16-101 instalēšanas.
  
  
  Tiek nodrošināts reģistra ieraksts, ko var izmantot, lai atspējotu šīs izmaiņas.
  
  Brīdinājums šis risinājums var padarīt datoru vai tīklu neaizsargātu pret ļaunprātīgu lietotāju uzbrukumiem vai ļaunprātīgām programmatūrām, piemēram, vīrusiem. Mēs neiesakām šo risinājumu, bet sniedzam šo informāciju, lai jūs varētu ieviest šo risinājumu patstāvīgi. Izmantojiet šo risinājumu savā riskā.
  
  ImportantThis sadaļā, metodē vai uzdevumā ir aprakstītas darbības, kas norāda, kā modificēt reģistru. Tomēr, ja reģistru modificēsit nepareizi, var rasties nopietnas problēmas. Tāpēc veiciet šīs darbības tieši tā, kā aprakstīts. Papildu drošībai pirms reģistra modificēšanas izveidojiet tā dublējumu. Tādējādi, ja radīsies kāda problēma, varēsit reģistru atjaunot. Lai iegūtu papildinformāciju par reģistra dublēšanu un atjaunošanu, noklikšķiniet uz tālāk norādītā raksta numura un lasiet rakstu Microsoft zināšanu bāzē.

  322756Kā dublēt un atjaunot reģistru sistēmā Windows,
  
  lai atspējotu šīs izmaiņas, iestatiet NegoAllowNtlmPwdChangeFallback DWORD ierakstu, lai izmantotu vērtību 1 (viens).
  
  
  Svarīga NegoAllowNtlmPwdChangeFallback reģistra ieraksta iestatīšana uz vērtību 1 atspējos šo drošības labojumu:
  

  Reģistra vērtība	Aprakstu
  0	Noklusējuma vērtība. Alternatīva ir liegta.
  1	Alternatīva vienmēr ir atļauta. Drošības labojums ir izslēgts. Klienti, kuriem ir problēmas ar attālajiem lokālajiem kontiem vai neticamiem meža scenārijiem, var iestatīt reģistru uz šo vērtību.

  Lai pievienotu šīs reģistra vērtības, veiciet tālāk norādītās darbības.
  

  1. Noklikšķiniet uz Sākt, noklikšķiniet uz izpildīt, lodziņā Atvērt ierakstiet regedit un pēc tam noklikšķiniet uz Labi.

  2. Atrodiet un pēc tam noklikšķiniet uz šādas reģistra apakšatslēgas:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. Izvēlnē Rediģēt norādiet uz Jaunsun pēc tam noklikšķiniet uz DWORD vērtība.

  4. Ierakstiet NegoAllowNtlmPwdChangeFallback un pēc tam nospiediet taustiņu ENTER.

  5. Ar peles labo pogu noklikšķiniet uz NegoAllowNtlmPwdChangeFallbackun pēc tam noklikšķiniet uz modificēt.

  6. Lodziņā vērtības dati ierakstiet 1, lai atspējotu šīs izmaiņas, un pēc tam noklikšķiniet uz Labi.
     
     
     Piezīme. Lai atjaunotu noklusējuma vērtību, ierakstiet 0 (nulle) un pēc tam noklikšķiniet uz Labi.

  Statuss
  
  šīs problēmas cēlonis ir saprasts. Šis raksts tiks atjaunināts ar papildu datiem, tiklīdz tie būs pieejami.

Kā iegūt un instalēt atjauninājumu

1. metode: Windows Update

Šis atjauninājums ir pieejams, izmantojot Windows Update. Ieslēdzot automātisko atjaunināšanu, šis atjauninājums tiks automātiski lejupielādēts un instalēts. Papildinformāciju par to, kā ieslēgt automātisko atjaunināšanu, skatiet rakstā
drošības atjauninājumu automātiska saņemšana.

2. metode: Microsoft atjaunināšanas katalogs

Lai iegūtu savrupu pakotnes šo atjauninājumu, dodieties uz Microsoft atjaunināšanas kataloga tīmekļa vietni.

3. metode: Microsoft lejupielādes centrs

Savrupo atjaunināšanas pakotni varat iegūt no Microsoft lejupielādes centra. Lai instalētu atjauninājumu, izpildiet instalēšanas norādījumus lapā lejupielāde.

Noklikšķiniet uz lejupielādes saites Microsoft Security BULLETIN MS16-101 , kas atbilst Windows versijai, kuru lietojat savā datorā.

Papildinformācija

Palīdzības un atbalsta saņemšana par šo drošības atjauninājumu

Palīdzība par atjauninājumu instalēšanu: Microsoft atjaunināšanas atbalsts

Drošības risinājumi IT profesionāļiem: TechNet drošības problēmu novēršana un atbalsts

Palīdzība saistībā ar Windows datora aizsardzību pret vīrusiem un ļaunprogrammatūru: vīrusu risinājumu un drošības centru

Vietējais atbalsts saskaņā ar jūsu valsti: Starptautiskais atbalsts

Informācija par failu