MS16-101: sikkerhets oppdatering for Windows-godkjennings metoder: august 9, 2016

Sammendrag

Denne sikkerhets oppdateringen løser flere sikkerhets problemer i Microsoft Windows. Sikkerhets problemene kan tillate heving av tilgangs nivå hvis en angriper kjører et spesial laget program på et domene tilknyttet systemet.

Hvis du vil vite mer om sikkerhets problemet, kan du se Microsofts sikkerhets Bulletin MS16-101.

Mer informasjon

Viktig

• Alle fremtidige sikkerhets-og ikke-sikkerhetsrelaterte oppdateringer for Windows 8,1 og Windows Server 2012 R2 krever at oppdatering 2919355 er installert. Vi anbefaler at du installerer oppdatering 2919355 på en Windows 8,1-basert eller windows server 2012 R2-basert data maskin slik at du mottar fremtidige oppdateringer.

• Hvis du installerer en språk pakke etter at du har installert denne oppdateringen, må du installere denne oppdateringen på nytt. Vi anbefaler derfor at du installerer eventuelle språk pakker du trenger, før du installerer denne oppdateringen. Hvis du vil ha mer informasjon, kan du se legge til språk pakker i Windows.

Mer informasjon om denne sikkerhets oppdateringen

Følgende artikler inneholder tilleggs informasjon om denne sikkerhets oppdateringen etter hvert som den er relatert til individuelle produkt versjoner. Artiklene kan inneholde informasjon om kjente problemer.

• 3177108 MS16-101: beskrivelse av sikkerhets oppdateringen for Windows-godkjennings metoder: august 9, 2016

• 3167679 MS16-101: beskrivelse av sikkerhets oppdateringen for Windows-godkjennings metoder: august 9, 2016

• 3192392 Kvalitets oppdatering for Windows 8,1 for oktober 2016, og Windows Server 2012 R2

• 3185331 Den månedlige samle oppdateringen for oktober 2016 for Windows 8,1 og Windows Server 2012 R2

• 3192393 Kvalitets oppdatering for Windows Server 2012 for oktober 2016

• 3185332 Den månedlige samle oppdateringen for oktober 2016 for Windows Server 2012

• 3192391 Kvalitets oppdatering for Windows 7 SP1 og Windows Server 2008 R2 SP1 for oktober 2016

• 3185330 Den månedlige samle oppdateringen for oktober 2016 for Windows 7 SP1 og Windows Server 2008 R2 SP1

• 3192440 Kumulativ oppdatering for Windows 10: oktober 11 2016

• 3194798 Kumulativ oppdatering for Windows 10 versjon 1607 og Windows Server 2016: oktober 11, 2016

• 3192441 Kumulativ oppdatering for Windows 10 versjon 1511: oktober 11, 2016

Sikkerhets oppdateringer som er replacedThe følgende sikkerhets oppdateringer har blitt erstattet:

• 3176492 Kumulativ oppdatering for Windows 10: august 9, 2016

• 3176493 Kumulativ oppdatering for Windows 10 versjon 1511: august 9, 2016

• 3176495 Kumulativ oppdatering for Windows 10 versjon 1607: august 9, 2016

Følgende er de nye sikkerhets oppdateringene som erstatter sikkerhets oppdateringene som er nevnt tidligere:

• 3192440 Kumulativ oppdatering for Windows 10: oktober 11 2016

• 3194798 Kumulativ oppdatering for Windows 10 versjon 1607 og Windows Server 2016: oktober 11, 2016

• 3192441 Kumulativ oppdatering for Windows 10 versjon 1511: oktober 11, 2016

Kjente problemer i denne sikkerhets oppdateringen

• Kjent problem 1
  
  sikkerhets oppdateringene som er inkludert i MS16-101 og nyere oppdateringer, deaktiverer muligheten for Negotiate-prosessen til å gå tilbake til NTLM når Kerberos-godkjenning mislykkes for passord endrings operasjoner med feil koden STATUS_NO_LOGON_SERVERS (0xc000005e). I denne situasjonen kan det hende du får en av følgende feil koder:
  
  

  Tall	Desimaler	Symbol	Gyldig
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Systemet oppdaget et mulig forsøk på å redusere sikkerheten. Kontroller at du kan kontakte serveren som godkjente deg.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Systemet oppdaget et mulig forsøk på å redusere sikkerheten. Kontroller at du kan kontakte serveren som godkjente deg.

  
  
  Løsning
  
  Hvis passord endringer som tidligere var vellykket, mislykkes etter installasjonen av MS16-101, er det sannsynlig at passord endringer tidligere var avhengig av NTLM-Reserve fordi Kerberos mislyktes. Hvis du vil endre passord ved hjelp av Kerberos-protokoller, følger du disse trinnene:
  
  
  

  1. Konfigurere åpen kommunikasjon på TCP-port 464 mellom klienter som har MS16-101 installert, og domene kontrolleren som vedlikeholds passordet tilbakestiller.
     
     Skrivebeskyttede domene kontrollere (RODCer) kan tjeneste selv betjent passord tilbakestilles hvis brukeren tillates av policyen for passord rep like ring av RODCer. Brukere som ikke er tillatt av policyen for RODC-passord, krever nettverks tilkobling til en read/write Domain Controller (RWDC) i bruker konto domenet.
     
     Obs! hvis du vil kontrollere om TCP-port 464 er åpen, følger du denne Fremgangs måten:
     
     
     

     1. Opprett et tilsvarende visnings filter for Network Monitor parser. For eksempel:
        

        IPv4. address = = <IP-adressen til klienten> && TCP. port = = 464

     2. Se etter "TCP: [SynReTransmit"-rammen i resultatene.
        
        

  2. Kontroller at de aktuelle Kerberos-navnene er gyldige. (IP-adresser er ikke gyldige for Kerberos-protokollen. Kerberos støtter korte navn og fullt kvalifiserte domene navn.)

  3. Kontroller at SPN (Service Principal Names) er registrert på riktig måte.
     
     Hvis du vil ha mer informasjon, kan du se Kerberos og Self-Service tilbakestille passordet.

• Kjent problem 2
  
  vi vet om et problem der program bruker kontoer på et sikkert domene mislykkes og returnerer STATUS_DOWNGRADE_DETECTED (0x800704F1)-feil koden hvis den forventede feilen er ett av følgende:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (sjelden returnert)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  Tabellen nedenfor viser den fullstendige feil tilordningen.
  
  

  Tall	Desimaler	Symbol	Gyldig
  0x56	86	ERROR_INVALID_PASSWORD	Det angitte nettverks passordet er ikke riktig.
  0x267	615	ERROR_PWD_TOO_SHORT	Passordet som ble oppgitt, er for kort til å oppfylle policyen for bruker kontoen din. Oppgi et lengre passord.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Når du prøver å oppdatere et passord, angir denne retur statusen at verdien som ble oppgitt som gjeldende passord, er feil.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Når du prøver å oppdatere et passord, angir denne retur statusen at noe passord oppdaterings regel ble brutt. Passordet kan for eksempel ikke oppfylle lengde kriteriene.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Systemet kan ikke kontakte en domene kontroller for å vedlikeholde godkjennings forespørselen. Prøv på nytt senere.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Systemet kan ikke kontakte en domene kontroller for å vedlikeholde godkjennings forespørselen. Prøv på nytt senere.

  
  
  Løsning
  
  MS16-101 har blitt utgitt på nytt for å løse dette problemet. Installer den nyeste versjonen av oppdateringene for denne bulletinen for å løse dette problemet.
  
  

• Kjent problem 3
  
  vi vet om et problem med at programmatiske tilbakestillinger av passord endringer på lokale bruker kontoer kan mislykkes og returnere STATUS_DOWNGRADE_DETECTED (0x800704F1)-feil koden.
  
  Tabellen nedenfor viser den fullstendige feil tilordningen.
  
  

  Tall	Desimaler	Symbol	Gyldig
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Systemet kan ikke kontakte en domene kontroller for å vedlikeholde godkjennings forespørselen. Prøv på nytt senere.

  
  
  Løsning
  
  MS16-101 har blitt utgitt på nytt for å løse dette problemet. Installer den nyeste versjonen av oppdateringene for denne bulletinen for å løse dette problemet.
  
  

• Kjent problem 4
  
  passord for deaktiverte og låste bruker kontoer kan ikke endres ved hjelp av Negotiate-pakken.
  
  
  Passord endringer for deaktiverte og låste kontoer vil fremdeles fungere når du bruker andre metoder, for eksempel når du bruker en endring av LDAP-operasjon direkte. PowerShell-cmdleten Set-ADAccountPassword for eksempel bruker en «LDAP-endring»-operasjon til å endre passordet og forblir uberørt.
  
  Løsning
  
  disse kontoene krever en administrator for å kunne tilbakestille passordet. Denne virke måten er den samme som standard når du har installert MS16-101 og senere løsninger.
  
  

• Kjent problem 5
  
  programmer som bruker NETUSERCHANGEPASSWORD-APIen, og som sender en servername i domainname -parameteren vil ikke lenger fungere etter at MS16-101 og nyere oppdateringer er installert.
  
  Microsoft dokumentasjons statuser som gir et eksternt server navn i domainname -parameteren til NetUserChangePassword-funksjonen, støttes. NetUserChangePassword-funksjonen MSDN-emne sier for eksempel følgende:
  
  domene navn [in]
  

  En peker til en konstant streng som angir DNS-eller NetBIOS-navnet til en ekstern server eller et domene som funksjonen skal kjøres på. Hvis denne parameteren er NULL, brukes påloggings domenet for anroperen. Status
  
  denne veiledningen har blitt erstattet av MS16-101, med mindre tilbakestilling av passord gjelder for en lokal konto på den lokale data maskinen.
  
  Legg inn MS16-101, hvis du vil at domene bruker passord endres til arbeid, må du sende et gyldig DNS-domenenavn til NetUserChangePassword API.

• Kjent problem 6
  
  etter at du har installert sikkerhets oppdateringene som er beskrevet i MS16-101, eksterne, programmatiske endringer av et passord for en lokal bruker konto, og endring av passord på tvers av upålitelige skog feil.
  
  
  Denne operasjonen mislykkes fordi operasjonen er avhengig av NTLM-fall-tilbake som ikke lenger støttes for ikke-lokale kontoer etter at MS16-101 er installert.
  
  
  Det finnes en register oppføring som du kan bruke til å deaktivere denne endringen.
  
  Advarsel denne løsningen kan gjøre en data maskin eller et nettverk mer utsatt for angrep fra ondsinnede brukere eller skadelig program vare, for eksempel virus. Vi anbefaler ikke denne løsningen, men gir deg denne informasjonen, slik at du kan implementere denne løsningen på eget initiativ. Du bruker eventuelt denne løsningen på eget ansvar.
  
  ImportantThis-delen,-metoden eller-oppgaven inneholder Fremgangs måter som forteller deg hvordan du endrer registeret. Det kan imidlertid oppstå alvorlige problemer hvis du endrer registret på feil måte. Sørg derfor for at du følger fremgangsmåten nøye. Husk å ta sikkerhetskopi av registret før du endrer det, som en ekstra beskyttelse. Da kan du gjenopprette registret hvis det skulle oppstå problemer. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registret, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

  322756Slik sikkerhetskopierer og gjenoppretter du registret i Windows
  
  Hvis du vil deaktivere denne endringen, angir du NegoAllowNtlmPwdChangeFallback DWORD-oppføringen for å bruke en verdi på 1 (én).
  
  
  Viktig innstilling for register oppføringen NegoAllowNtlmPwdChangeFallback til verdien 1, deaktiverer denne sikkerhets løsningen:
  

  Register verdi	Beskrivelse
  0,0	Standard verdi. Reserve forhindret.
  1	Reserve er alltid tillatt. Sikkerhets reparasjonen er slått av. Kunder som har problemer med eksterne lokale kontoer eller uklarerte skog scenarioer, kan angi registeret til denne verdien.

  Hvis du vil legge til disse register verdiene, følger du disse trinnene:
  

  1. Klikk Start, Kjør, Skriv inn regedit i Åpne -boksen, og klikk deretter OK.

  2. Finn og klikk deretter følgende undernøkkel i registeret:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. Hold musepekeren over Ny i Rediger-menyen, og klikk deretter DWORD-verdi.

  4. Skriv inn NegoAllowNtlmPwdChangeFallback for navnet på DWORD-en, og trykk deretter ENTER.

  5. Høyre klikk NegoAllowNtlmPwdChangeFallback, og klikk deretter endre.

  6. Skriv inn 1 i boksen verdi data for å deaktivere denne endringen, og klikk deretter OK.
     
     
     Obs! hvis du vil gjenopprette standard verdien, skriver du inn 0 (null), og deretter klikker du OK.

  Status
  
  den opprinnelige årsaken til dette problemet er forstått. Denne artikkelen vil bli oppdatert med flere detaljer etter hvert som de blir tilgjengelige.

Slik laster du ned og installerer oppdateringen

Metode 1: Windows Update

Denne oppdateringen er tilgjengelig via Windows Update. Når du slår på automatisk oppdatering, blir denne oppdateringen lastet ned og installert automatisk. Hvis du vil ha mer informasjon om hvordan du aktiverer automatisk oppdatering, kan du se
få sikkerhets oppdateringer automatisk.

Metode 2: Microsoft Update-katalogen

Hvis du vil ha den fritt stående pakken for denne oppdateringen, kan du gå til nettstedet Microsoft Update-katalogen .

Mer informasjon