Viktig denne artikkelen inneholder informasjon som viser deg hvordan du kan få hjelp til å redusere sikkerhets innstillinger eller hvordan du deaktiverer sikkerhets funksjoner på en data maskin. Du kan gjøre disse endringene for å omgå et bestemt problem. Før du foretar disse endringene, anbefaler vi at du evaluerer risikoen som er knyttet til implementering av denne løsningen i ditt bestemte miljø. Hvis du implementerer denne løsningen, må du gjøre eventuelle nødvendige tilleggs trinn for å beskytte data maskinen.
Sammendrag
Denne sikkerhets oppdateringen løser flere sikkerhets problemer i Microsoft Windows. Sikkerhets problemene kan tillate heving av tilgangs nivå hvis en angriper kjører et spesial laget program på et domene tilknyttet systemet.
Hvis du vil vite mer om sikkerhets problemet, kan du se Microsofts sikkerhets Bulletin MS16-101.
Mer informasjon
Viktig
-
Alle fremtidige sikkerhets-og ikke-sikkerhetsrelaterte oppdateringer for Windows 8,1 og Windows Server 2012 R2 krever at oppdatering 2919355 er installert. Vi anbefaler at du installerer oppdatering 2919355 på en Windows 8,1-basert eller windows server 2012 R2-basert data maskin slik at du mottar fremtidige oppdateringer.
-
Hvis du installerer en språk pakke etter at du har installert denne oppdateringen, må du installere denne oppdateringen på nytt. Vi anbefaler derfor at du installerer eventuelle språk pakker du trenger, før du installerer denne oppdateringen. Hvis du vil ha mer informasjon, kan du se legge til språk pakker i Windows.
Denne sikkerhets oppdateringen løser også følgende problemer som ikke er sikkerhetsrelaterte:
-
Når en SMB-klient som kjører enten Windows 8,1 eller Windows Server 2012 R2, kobles til en node som er nede, vil ikke godkjenningen mislykkes i en domene tilknyttet SoFS (Scale out File Server) på en domene fri klynge. Når dette problemet oppstår, kan du få en feil melding som ligner på følgende melding:
STATUS_NO_TGT_REPLY
Mer informasjon om denne sikkerhets oppdateringen
Følgende artikler inneholder tilleggs informasjon om denne sikkerhets oppdateringen etter hvert som den er relatert til individuelle produkt versjoner. Artiklene kan inneholde informasjon om kjente problemer.
-
3177108 MS16-101: beskrivelse av sikkerhets oppdateringen for Windows-godkjennings metoder: august 9, 2016
-
3167679 MS16-101: beskrivelse av sikkerhets oppdateringen for Windows-godkjennings metoder: august 9, 2016
-
3192392 Kvalitets oppdatering for Windows 8,1 for oktober 2016, og Windows Server 2012 R2
-
3185331 Den månedlige samle oppdateringen for oktober 2016 for Windows 8,1 og Windows Server 2012 R2
-
3192393 Kvalitets oppdatering for Windows Server 2012 for oktober 2016
-
3185332 Den månedlige samle oppdateringen for oktober 2016 for Windows Server 2012
-
3192391 Kvalitets oppdatering for Windows 7 SP1 og Windows Server 2008 R2 SP1 for oktober 2016
-
3185330 Den månedlige samle oppdateringen for oktober 2016 for Windows 7 SP1 og Windows Server 2008 R2 SP1
-
3192440 Kumulativ oppdatering for Windows 10: oktober 11 2016
-
3194798 Kumulativ oppdatering for Windows 10 versjon 1607 og Windows Server 2016: oktober 11, 2016
-
3192441 Kumulativ oppdatering for Windows 10 versjon 1511: oktober 11, 2016
Sikkerhets oppdateringer som er replacedThe følgende sikkerhets oppdateringer har blitt erstattet:
-
3176492 Kumulativ oppdatering for Windows 10: august 9, 2016
-
3176493 Kumulativ oppdatering for Windows 10 versjon 1511: august 9, 2016
-
3176495 Kumulativ oppdatering for Windows 10 versjon 1607: august 9, 2016
Følgende er de nye sikkerhets oppdateringene som erstatter sikkerhets oppdateringene som er nevnt tidligere:
-
3192440 Kumulativ oppdatering for Windows 10: oktober 11 2016
-
3194798 Kumulativ oppdatering for Windows 10 versjon 1607 og Windows Server 2016: oktober 11, 2016
-
3192441 Kumulativ oppdatering for Windows 10 versjon 1511: oktober 11, 2016
Kjente problemer i denne sikkerhets oppdateringen
-
Kjent problem 1
sikkerhets oppdateringene som er inkludert i MS16-101 og nyere oppdateringer, deaktiverer muligheten for Negotiate-prosessen til å gå tilbake til NTLM når Kerberos-godkjenning mislykkes for passord endrings operasjoner med feil koden STATUS_NO_LOGON_SERVERS (0xc000005e). I denne situasjonen kan det hende du får en av følgende feil koder:Tall
Desimaler
Symbol
Gyldig
0xc0000388
1073740920
STATUS_DOWNGRADE_DETECTED
Systemet oppdaget et mulig forsøk på å redusere sikkerheten. Kontroller at du kan kontakte serveren som godkjente deg.
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
Systemet oppdaget et mulig forsøk på å redusere sikkerheten. Kontroller at du kan kontakte serveren som godkjente deg.
Løsning
Hvis passord endringer som tidligere var vellykket, mislykkes etter installasjonen av MS16-101, er det sannsynlig at passord endringer tidligere var avhengig av NTLM-Reserve fordi Kerberos mislyktes. Hvis du vil endre passord ved hjelp av Kerberos-protokoller, følger du disse trinnene:-
Konfigurere åpen kommunikasjon på TCP-port 464 mellom klienter som har MS16-101 installert, og domene kontrolleren som vedlikeholds passordet tilbakestiller.
Skrivebeskyttede domene kontrollere (RODCer) kan tjeneste selv betjent passord tilbakestilles hvis brukeren tillates av policyen for passord rep like ring av RODCer. Brukere som ikke er tillatt av policyen for RODC-passord, krever nettverks tilkobling til en read/write Domain Controller (RWDC) i bruker konto domenet.
Obs! hvis du vil kontrollere om TCP-port 464 er åpen, følger du denne Fremgangs måten:-
Opprett et tilsvarende visnings filter for Network Monitor parser. For eksempel:
IPv4. address = = <IP-adressen til klienten> && TCP. port = = 464
-
Se etter "TCP: [SynReTransmit"-rammen i resultatene.
-
-
Kontroller at de aktuelle Kerberos-navnene er gyldige. (IP-adresser er ikke gyldige for Kerberos-protokollen. Kerberos støtter korte navn og fullt kvalifiserte domene navn.)
-
Kontroller at SPN (Service Principal Names) er registrert på riktig måte.
Hvis du vil ha mer informasjon, kan du se Kerberos og Self-Service tilbakestille passordet.
-
-
Kjent problem 2
vi vet om et problem der program bruker kontoer på et sikkert domene mislykkes og returnerer STATUS_DOWNGRADE_DETECTED (0x800704F1)-feil koden hvis den forventede feilen er ett av følgende:-
ERROR_INVALID_PASSWORD
-
ERROR_PWD_TOO_SHORT (sjelden returnert)
-
STATUS_WRONG_PASSWORD
-
STATUS_PASSWORD_RESTRICTION
Tabellen nedenfor viser den fullstendige feil tilordningen.Tall
Desimaler
Symbol
Gyldig
0x56
86
ERROR_INVALID_PASSWORD
Det angitte nettverks passordet er ikke riktig.
0x267
615
ERROR_PWD_TOO_SHORT
Passordet som ble oppgitt, er for kort til å oppfylle policyen for bruker kontoen din. Oppgi et lengre passord.
0xc000006a
-1073741718
STATUS_WRONG_PASSWORD
Når du prøver å oppdatere et passord, angir denne retur statusen at verdien som ble oppgitt som gjeldende passord, er feil.
0xc000006c
-1073741716
STATUS_PASSWORD_RESTRICTION
Når du prøver å oppdatere et passord, angir denne retur statusen at noe passord oppdaterings regel ble brutt. Passordet kan for eksempel ikke oppfylle lengde kriteriene.
0x800704F1
1265
STATUS_DOWNGRADE_DETECTED
Systemet kan ikke kontakte en domene kontroller for å vedlikeholde godkjennings forespørselen. Prøv på nytt senere.
0xc0000388
-1073740920
STATUS_DOWNGRADE_DETECTED
Systemet kan ikke kontakte en domene kontroller for å vedlikeholde godkjennings forespørselen. Prøv på nytt senere.
Løsning
MS16-101 har blitt utgitt på nytt for å løse dette problemet. Installer den nyeste versjonen av oppdateringene for denne bulletinen for å løse dette problemet. -
-
Kjent problem 3
vi vet om et problem med at programmatiske tilbakestillinger av passord endringer på lokale bruker kontoer kan mislykkes og returnere STATUS_DOWNGRADE_DETECTED (0x800704F1)-feil koden.
Tabellen nedenfor viser den fullstendige feil tilordningen.Tall
Desimaler
Symbol
Gyldig
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
Systemet kan ikke kontakte en domene kontroller for å vedlikeholde godkjennings forespørselen. Prøv på nytt senere.
Løsning
MS16-101 har blitt utgitt på nytt for å løse dette problemet. Installer den nyeste versjonen av oppdateringene for denne bulletinen for å løse dette problemet. -
Kjent problem 4
passord for deaktiverte og låste bruker kontoer kan ikke endres ved hjelp av Negotiate-pakken.
Passord endringer for deaktiverte og låste kontoer vil fremdeles fungere når du bruker andre metoder, for eksempel når du bruker en endring av LDAP-operasjon direkte. PowerShell-cmdleten Set-ADAccountPassword for eksempel bruker en «LDAP-endring»-operasjon til å endre passordet og forblir uberørt.
Løsning
disse kontoene krever en administrator for å kunne tilbakestille passordet. Denne virke måten er den samme som standard når du har installert MS16-101 og senere løsninger. -
Kjent problem 5
programmer som bruker NETUSERCHANGEPASSWORD-APIen, og som sender en servername i domainname -parameteren vil ikke lenger fungere etter at MS16-101 og nyere oppdateringer er installert.
Microsoft dokumentasjons statuser som gir et eksternt server navn i domainname -parameteren til NetUserChangePassword-funksjonen, støttes. NetUserChangePassword-funksjonen MSDN-emne sier for eksempel følgende:
domene navn [in]En peker til en konstant streng som angir DNS-eller NetBIOS-navnet til en ekstern server eller et domene som funksjonen skal kjøres på. Hvis denne parameteren er NULL, brukes påloggings domenet for anroperen. Status
denne veiledningen har blitt erstattet av MS16-101, med mindre tilbakestilling av passord gjelder for en lokal konto på den lokale data maskinen.
Legg inn MS16-101, hvis du vil at domene bruker passord endres til arbeid, må du sende et gyldig DNS-domenenavn til NetUserChangePassword API. -
Kjent problem 6
etter at du har installert sikkerhets oppdateringene som er beskrevet i MS16-101, eksterne, programmatiske endringer av et passord for en lokal bruker konto, og endring av passord på tvers av upålitelige skog feil.
Denne operasjonen mislykkes fordi operasjonen er avhengig av NTLM-fall-tilbake som ikke lenger støttes for ikke-lokale kontoer etter at MS16-101 er installert.
Det finnes en register oppføring som du kan bruke til å deaktivere denne endringen.
Advarsel denne løsningen kan gjøre en data maskin eller et nettverk mer utsatt for angrep fra ondsinnede brukere eller skadelig program vare, for eksempel virus. Vi anbefaler ikke denne løsningen, men gir deg denne informasjonen, slik at du kan implementere denne løsningen på eget initiativ. Du bruker eventuelt denne løsningen på eget ansvar.
ImportantThis-delen,-metoden eller-oppgaven inneholder Fremgangs måter som forteller deg hvordan du endrer registeret. Det kan imidlertid oppstå alvorlige problemer hvis du endrer registret på feil måte. Sørg derfor for at du følger fremgangsmåten nøye. Husk å ta sikkerhetskopi av registret før du endrer det, som en ekstra beskyttelse. Da kan du gjenopprette registret hvis det skulle oppstå problemer. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registret, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:322756Slik sikkerhetskopierer og gjenoppretter du registret i Windows
Hvis du vil deaktivere denne endringen, angir du NegoAllowNtlmPwdChangeFallback DWORD-oppføringen for å bruke en verdi på 1 (én).
Viktig innstilling for register oppføringen NegoAllowNtlmPwdChangeFallback til verdien 1, deaktiverer denne sikkerhets løsningen:Register verdi
Beskrivelse
0,0
Standard verdi. Reserve forhindret.
1
Reserve er alltid tillatt. Sikkerhets reparasjonen er slått av. Kunder som har problemer med eksterne lokale kontoer eller uklarerte skog scenarioer, kan angi registeret til denne verdien.
Hvis du vil legge til disse register verdiene, følger du disse trinnene:
-
Klikk Start, Kjør, Skriv inn regedit i Åpne -boksen, og klikk deretter OK.
-
Finn og klikk deretter følgende undernøkkel i registeret:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
-
Hold musepekeren over Ny i Rediger-menyen, og klikk deretter DWORD-verdi.
-
Skriv inn NegoAllowNtlmPwdChangeFallback for navnet på DWORD-en, og trykk deretter ENTER.
-
Høyre klikk NegoAllowNtlmPwdChangeFallback, og klikk deretter endre.
-
Skriv inn 1 i boksen verdi data for å deaktivere denne endringen, og klikk deretter OK.
Obs! hvis du vil gjenopprette standard verdien, skriver du inn 0 (null), og deretter klikker du OK.
Status
den opprinnelige årsaken til dette problemet er forstått. Denne artikkelen vil bli oppdatert med flere detaljer etter hvert som de blir tilgjengelige. -
Slik laster du ned og installerer oppdateringen
Metode 1: Windows Update
Denne oppdateringen er tilgjengelig via Windows Update. Når du slår på automatisk oppdatering, blir denne oppdateringen lastet ned og installert automatisk. Hvis du vil ha mer informasjon om hvordan du aktiverer automatisk oppdatering, kan du se
få sikkerhets oppdateringer automatisk.
Metode 2: Microsoft Update-katalogen
Hvis du vil ha den fritt stående pakken for denne oppdateringen, kan du gå til nettstedet Microsoft Update-katalogen .
Du kan få tak i den fritt stående oppdaterings pakken via Microsoft Download Center. Følg installasjons instruksjonene på nedlastingssiden for å installere oppdateringen.
Klikk Last ned-koblingen i Microsofts sikkerhets Bulletin MS16 – 101 som Sams varer med versjonen av Windows du kjører.
Mer informasjon
Referanse tabell i Windows Vista (alle versjoner) tabellen
nedenfor inneholder informasjon om sikkerhets oppdateringen for denne program varen.
Fil navn for sikkerhets oppdatering |
For alle støttede 32-biters versjoner av Windows Vista: |
For alle støttede x64-baserte versjoner av Windows Vista: |
|
Installasjonsbrytere |
|
Omstartskrav |
Du må starte systemet på nytt etter at du har brukt denne sikkerhets oppdateringen. |
Informasjon om fjerning |
WUSA.exe støtter ikke avinstallasjon av oppdateringer. Hvis du vil avinstallere en oppdatering som er installert av WUSA, klikker du kontroll panelog deretter sikkerhet. Klikk Vis installerte oppdateringerunder Windows Update, og velg deretter fra listen over oppdateringer. |
Fil informasjon |
|
Kontroll av register nøkkel |
Obs! denne oppdateringen legger ikke til en register nøkkel for å bekrefte tilstede værelsen. |
Referanse tabellen for Windows Server 2008 (alle versjoner) tabellen
nedenfor inneholder informasjon om sikkerhets oppdateringen for denne program varen.
Fil navn for sikkerhets oppdatering |
For alle støttede 32-biters versjoner av Windows Server 2008: |
For alle støttede x64-baserte versjoner av Windows Server 2008: |
|
For alle støttede Itanium-based-versjoner av Windows Server 2008: |
|
Installasjonsbrytere |
|
Omstartskrav |
Du må starte systemet på nytt etter at du har brukt denne sikkerhets oppdateringen. |
Informasjon om fjerning |
WUSA.exe støtter ikke avinstallasjon av oppdateringer. Hvis du vil avinstallere en oppdatering som er installert av WUSA, klikker du kontroll panelog deretter sikkerhet. Klikk Vis installerte oppdateringerunder Windows Update, og velg deretter fra listen over oppdateringer. |
Fil informasjon |
Referanse tabell for Windows 7 (alle versjoner) tabellen
nedenfor inneholder informasjon om sikkerhets oppdateringen for denne program varen.
Fil navn for sikkerhets oppdatering |
For alle støttede 32-biters versjoner av Windows 7: |
For alle støttede 32-biters versjoner av Windows 7 |
|
For alle støttede x64-baserte versjoner av Windows 7: |
|
For alle støttede x64-baserte versjoner av Windows 7: |
|
Installasjonsbrytere |
|
Omstartskrav |
Du må starte systemet på nytt etter at du har brukt denne sikkerhets oppdateringen. |
Informasjon om fjerning |
Hvis du vil avinstallere en oppdatering som er installert av WUSA, bruker du installasjons programmet for/Uninstall, eller klikker kontroll panel, og deretter system og sikkerhet. Klikk Vis installerte oppdateringerunder Windows Update, og velg deretter fra listen over oppdateringer. |
Fil informasjon |
Se Microsoft Knowledge Base-artikkel 3192391 |
Kontroll av register nøkkel |
Obs! denne oppdateringen legger ikke til en register nøkkel for å bekrefte installasjonen. |
Referanse tabellen for Windows Server 2008 R2 (alle versjoner) tabellen
nedenfor inneholder informasjon om sikkerhets oppdateringen for denne program varen.
Fil navn for sikkerhets oppdatering |
For alle støttede x64-baserte versjoner av Windows Server 2008 R2: |
For alle støttede x64-baserte versjoner av Windows Server 2008 R2: |
|
For alle støttede Itanium-based-versjoner av Windows Server 2008 R2: |
|
For alle støttede Itanium-based-versjoner av Windows Server 2008 R2: |
|
Installasjonsbrytere |
|
Omstartskrav |
Det er nødvendig å starte systemet på nytt etter at du har brukt denne sikkerhets oppdateringen. |
Informasjon om fjerning |
Hvis du vil avinstallere en oppdatering som er installert av WUSA, bruker du installasjons funksjonen for/Uninstall eller klikker kontroll panel, system og sikkerhet, og deretter klikker du Vis installerte oppdateringer under Windows Update, og deretter velger du fra listen over oppdateringer. |
Fil informasjon |
Se Microsoft Knowledge Base-artikkel 3192391 |
Kontroll av register nøkkel |
Vær oppmerksom på at en register nøkkel ikke finnes for å bekrefte at denne oppdateringen finnes. |
Referanse tabell i Windows 8,1 (alle versjoner) tabellen
nedenfor inneholder informasjon om sikkerhets oppdateringen for denne program varen.
Fil navn for sikkerhets oppdatering |
For alle støttede 32-biters versjoner av Windows 8,1: |
For alle støttede 32-biters versjoner av Windows 8,1: |
|
For alle støttede x64-baserte versjoner av Windows 8,1: |
|
For alle støttede x64-baserte versjoner av Windows 8,1: |
|
Installasjonsbrytere |
|
Omstartskrav |
Du må starte systemet på nytt etter at du har brukt denne sikkerhets oppdateringen. |
Informasjon om fjerning |
Hvis du vil avinstallere en oppdatering som er installert av WUSA, bruker du installasjons funksjonen for/Uninstall eller klikker kontroll panel, system og sikkerhetog deretter Windows Update. Klikk på installerte oppdateringer under Se også, og velg deretter fra listen over oppdateringer. |
Fil informasjon |
Se Microsoft Knowledge Base-artikkel 3192392 |
Kontroll av register nøkkel |
Obs! denne oppdateringen legger ikke til en register nøkkel for å bekrefte installasjonen. |
Referanse tabell for Windows Server 2012 og Windows Server 2012 R2 (alle versjoner) tabellen
nedenfor inneholder informasjon om sikkerhets oppdateringen for denne program varen.
Fil navn for sikkerhets oppdatering |
For alle støttede versjoner av Windows Server 2012: |
For alle støttede versjoner av Windows Server 2012: |
|
For alle støttede versjoner av Windows Server 2012 R2: |
|
For alle støttede versjoner av Windows Server 2012 R2: |
|
Installasjonsbrytere |
|
Omstartskrav |
Det er nødvendig å starte systemet på nytt etter at du har brukt denne sikkerhets oppdateringen. |
Informasjon om fjerning |
Hvis du vil avinstallere en oppdatering som er installert av WUSA, bruker du installasjons funksjonen for/Uninstall eller klikker kontroll panel, system og sikkerhet, klikker Windows Update og deretter klikker du installerte oppdateringer og velger fra listen over oppdateringer. |
Fil informasjon |
Se Microsoft Knowledge Base-artikkel 3192393 |
Kontroll av register nøkkel |
Vær oppmerksom på at en register nøkkel ikke finnes for å bekrefte at denne oppdateringen finnes. |
Referanse tabellen i Windows 10 (alle versjoner) tabellen
nedenfor inneholder informasjon om sikkerhets oppdateringen for denne program varen.
Fil navn for sikkerhets oppdatering |
For alle støttede 32-biters versjoner av Windows 10: |
For alle støttede x64-baserte versjoner av Windows 10: |
|
For alle støttede 32-biters versjoner av Windows 10 versjon 1511: |
|
For alle støttede x64-baserte versjoner av Windows 10 versjon 1511: |
|
For alle støttede 32-biters versjoner av Windows 10 versjon 1607: |
|
For alle støttede x64-baserte versjoner av Windows 10 versjon 1607: |
|
Installasjonsbrytere |
|
Omstartskrav |
Du må starte systemet på nytt etter at du har brukt denne sikkerhets oppdateringen. |
Informasjon om fjerning |
Hvis du vil avinstallere en oppdatering som er installert av WUSA, bruker du installasjons funksjonen for/Uninstall eller klikker kontroll panel, system og sikkerhetog deretter Windows Update. Klikk på installerte oppdateringer under Se også, og velg deretter fra listen over oppdateringer. |
Fil informasjon |
Se Microsoft Knowledge Base-artikkel 3192440 |
Kontroll av register nøkkel |
Obs! denne oppdateringen legger ikke til en register nøkkel for å bekrefte installasjonen. |
Hjelp for å installere oppdateringer: støtte for
sikkerhets løsninger for Microsoft Update for IT-teknikere: TechNet Security Troubleshooting and Support
Help for å beskytte den Windows-baserte data maskinen mot virus og skadelig program vare: virus løsning oglokal støtte for sikkerhets senter
i henhold til ditt land: internasjonal støtte