Kumulativ oppdatering for Windows 10 versjon 1511: 9. August 2016

Kjente problemer i denne sikkerhetsoppdateringen

• Kjent problem 1
  
  Sikkerhetsoppdateringene som tilbys i MS16 101 og nyere oppdateringer deaktivere muligheten for Negotiate prosessen for å gå tilbake til NTLM når Kerberos-godkjenning mislykkes for passord endre-operasjoner med feilkoden STATUS_NO_LOGON_SERVERS (0xc000005e) . I dette tilfellet kan du få én av følgende feilkoder.
  
  

  Heksadesimal	Desimaltall	Symbolsk	Brukervennlig
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Systemet fant et mulig forsøk på å redusere sikkerheten. Kontroller at du kan kontakte serveren som du er godkjent.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Systemet fant et mulig forsøk på å redusere sikkerheten. Kontroller at du kan kontakte serveren som du er godkjent.

  
  
  Løsningen
  
  Hvis passordendringer som tidligere var vellykket, ikke etter installasjon av MS16 101, er det sannsynlig at passordendringer ble tidligere stole på NTLM-reserve fordi Kerberos var mislykket. Hvis du vil endre passord ble ved hjelp av Kerberos-protokoller, følger du denne fremgangsmåten:
  
  
  

  1. Konfigurere åpen kommunikasjon på TCP-port 464 mellom klienter som har installert MS16-101 og domenekontrolleren som behandler tilbakestilling av passord.
     
     Skrivebeskyttede domenekontrollere (RODCer) kan vedlikeholde selvbetjent passordet tilbakestilles Hvis brukeren er tillatt ved replikering RODCer passordpolicy. Brukere som ikke er tillatt av RODC passordpolicy krever nettverkstilkobling til en lese/skrive-domenekontroller (RWDC) i brukerens kontodomene.
     
     Obs! Hvis du vil kontrollere om TCP-port 464 er åpent, gjør du følgende:
     
     
     

     1. Opprette en tilsvarende Vis filter for network monitor-parseren. For eksempel:
        

        ipv4.address== <ip address of client> && tcp.port==464

     2. I resultatene, ser du etter den "TCP: [SynReTransmit" ramme.
        
        

  2. Kontroller at målet Kerberos er gyldig. (IP-adresser er ikke gyldige for Kerberos-protokollen. Kerberos støtter korte navn og fullstendig kvalifisert domenenavn.)

  3. Kontroller at service principal navn (SPNer) er riktig registrert.
     
     Hvis du vil ha mer informasjon, kan du se Kerberos og selvbetjent for tilbakestilling av passord.

• Kjent problem 2
  
  Vi vet om et problem som tilbakestilling av passord for programmering av domenebruker kontoer mislykkes og returnere feilkoden STATUS_DOWNGRADE_DETECTED (0x800704F1) hvis forventet feil er i ett av følgende:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (sjelden tilbake)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  Tabellen nedenfor viser tilordningen er fullt.
  
  

  Heksadesimal	Desimaltall	Symbolsk	Brukervennlig
  0x56	86	ERROR_INVALID_PASSWORD	Det angitte nettverkspassordet er ikke riktig.
  0x267	615	ERROR_PWD_TOO_SHORT	Passordet som ble angitt, er for kort til å oppfylle kriteriene for brukerkontoen din. Angi et lengre passord.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Når du prøver å oppdatere en passord, angir denne returverdien at verdien som ble angitt som gjeldende passord er feil.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Når du prøver å oppdatere en passord, angir denne returverdien at en oppdateringsregel for passord er brutt. Passordet kan for eksempel ikke oppfyller kriteriene lengde.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Systemet kan ikke kontakte domenekontroller for å vedlikeholde godkjenningsforespørselen. Prøv på nytt senere.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Systemet kan ikke kontakte domenekontroller for å vedlikeholde godkjenningsforespørselen. Prøv på nytt senere.

  
  
  Oppløsning
  
  MS16 101 har blitt utgitt på nytt for å løse dette problemet. Installer den nyeste versjonen av oppdateringer for denne bulletinen å løse dette problemet.
  
  

• Kjent problem 3
  
  Vi vet om et problem der programmatisk tilbakestiller endre for lokal bruker konto passord kan mislykkes, og returnere feilkoden STATUS_DOWNGRADE_DETECTED (0x800704F1) .
  
  Tabellen nedenfor viser tilordningen er fullt.
  
  

  Heksadesimal	Desimaltall	Symbolsk	Brukervennlig
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Systemet kan ikke kontakte domenekontroller for å vedlikeholde godkjenningsforespørselen. Prøv på nytt senere.

  
  
  Oppløsning
  
  MS16 101 har blitt utgitt på nytt for å løse dette problemet. Installer den nyeste versjonen av oppdateringer for denne bulletinen å løse dette problemet.
  
  

• Kjent problem 4
  
  Passord for brukerkontoer er deaktivert og låst, kan ikke endres ved hjelp av pakken negotiate.
  
  
  Endre passord for deaktivert og låst kontoer vil fremdeles fungere når du bruker andre metoder som du når ved å bruke en LDAP endring direkte. PowerShell-cmdleten Set-ADAccountPassword bruker en "LDAP endre"-operasjon til å endre passordet, og de forblir upåvirket.
  
  Løsningen
  
  Disse kontoene krever at en administrator å gjøre tilbakestilling av passord. Denne virkemåten er standard når du har installert MS16-101 og nyere reparasjoner.
  
  

• Kjent problem 5
  
  Programmer som bruker NetUserChangePassword API og som sender et servernavn i parameteren domenenavn vil ikke lenger virke etter MS16 101 og senere oppdateringer er installert.
  
  Det står i dokumentasjonen for Microsoft å gi et navn på ekstern server i parameteren domenenavn for funksjonen NetUserChangePassword er støttet. NetUserChangePassword-funksjonen MSDN-emnet om for eksempel følgende:
  
  domenenavn [in]
  

  En peker til en fast streng som angir DNS- eller NetBIOS-navnet på en ekstern server eller et domene der funksjonen er å kjøre. Hvis denne parameteren er NULL, brukes påloggingsdomene oppkallerens.Imidlertid denne veiledningen har blitt erstattet av MS16 101, med mindre tilbakestilling av passord for en lokal konto på den lokale datamaskinen. Etter MS16-101 for domenet brukeren passordendringer skal fungere, at du må sende en gyldig DNS-domenenavn til NetUserChangePassword-APIen.

• Kjent problem 6
  
  
  
  Når du har installert denne sikkerhetsoppdateringen, og du skriver ut flere dokumenter i rekkefølge, de to første dokumentene kan skrives ut. De tredje og påfølgende dokumentene kan imidlertid ikke ut.
  
  Hvis du vil løse dette problemet, laster du ned oppdateringen 3186988 fra webområdet Microsoft Update-katalogen .
  
  
  
  
  
  Dette problemet er også løst i Microsoft sikkerhetsbulletin MS16-106.
  
  
  
  

• Kjent problem 7
  
  Når du har installert sikkerhetsoppdateringene som er beskrevet i MS16 101, ekstern, mislykkes programmatiske endringer av en lokal brukerkontopassord og passordendringer på tvers av ikke-klarerte skogen.
  
  
  Denne operasjonen mislykkes fordi operasjonen bruker NTLM faller bakover som ikke lenger støttes for Regionsidentifikatoren kontoer etter MS16 101 er installert.
  
  
  En registeroppføring er forutsatt at du kan bruke til å deaktivere denne endringen.
  
  Advarsel Denne løsningen kan gjøre en datamaskin eller et nettverk mer utsatt for angrep av ondsinnede brukere eller skadelig programvare som virus. Denne løsningen anbefales ikke, men informasjonen oppgis slik at du kan implementere løsningen på eget initiativ. Bruk denne løsningen på eget ansvar.
  
  Viktig Denne delen, metoden eller oppgaven inneholder fremgangsmåter for hvordan du endrer registret. Imidlertid kan oppstå alvorlige problemer hvis du endrer registeret feilaktig. Sørg derfor for at du følger disse trinnene nøye. Ta sikkerhetskopi av registret før du endrer den ekstra beskyttelse. Deretter kan du gjenopprette registret hvis det oppstår et problem. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registret, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

  322756 Slik sikkerhetskopierer og gjenoppretter registret i Windows
  
  Hvis du vil deaktivere denne endringen, kan du angi DWORD-oppføring for NegoAllowNtlmPwdChangeFallback du bruker verdien 1 (én).
  
  
  Viktig Når du setter registeroppføringen NegoAllowNtlmPwdChangeFallback til verdien 1 deaktiverer denne hurtigreparasjonen for sikkerhet:
  

  Registerverdien	Beskrivelse
  0	Standardverdien. Reserve er forhindret.
  1	"Fallback" tillates alltid. Retting av sikkerhetsproblemer, er slått av. Kunder som har problemer med eksterne lokale kontoer eller ikke-klarerte skogen scenarier kan angi registret til denne verdien.

  Hvis du vil legge til disse registerverdiene, gjør du følgende:
  

  1. Klikk Start, klikk Kjør, Skriv inn regedit i Åpne -boksen, og klikk deretter OK.

  2. Finn og klikk følgende undernøkkel i registret:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. Velg Nypå Rediger -menyen, og klikk deretter DWORD-verdi.

  4. Skriv inn NegoAllowNtlmPwdChangeFallback som navn på DWORD-verdien, og trykk deretter ENTER.

  5. Høyreklikk NegoAllowNtlmPwdChangeFallback, og klikk deretter Endre.

  6. I Verdidata -boksen skriver du inn 1 for å deaktivere denne endringen, og klikk deretter OK.
     
     
     Obs! Hvis du vil gjenopprette standardverdien, skriver du inn 0 (null), og klikk deretter OK.

  Status
  
  Hovedårsaken til dette problemet er forstått. Denne artikkelen oppdateres med flere detaljer etter hvert som de blir tilgjengelige.

Metode 1: Windows Update

Denne oppdateringen vil bli lastet ned og installert automatisk.

Metode 2: Microsoft Update-katalogen

Hvis du vil hente den frittstående pakken for denne oppdateringen, kan du gå til webområdet Microsoft Update-katalogen .

Forutsetninger

Det er ingen forutsetninger for å installere denne oppdateringen.

Informasjon om omstart

Du må starte datamaskinen etter at du har installert denne oppdateringen.

Informasjon om erstatning av oppdatering

Denne oppdateringen erstatter tidligere utgitte oppdatering 3172985.