Cumulatieve update voor Windows 10:9 augustus 2016

Bekende problemen in deze beveiligingsupdate

• Bekend probleem 1 De beveiligingsupdates die zijn opgegeven in MS16-101 en nieuwere updates uitschakelen de mogelijkheid van het onderhandelingsproces om terug te vallen op NTLM wanneer Kerberos-verificatie mislukt voor wachtwoord wijzigingsbewerkingen met de STATUS_NO_LOGON_SERVERS (0xc000005e) foutcode. In dit geval wordt een van de volgende foutcodes weergegeven.

  Hexadecimaal	Decimaal	Symbolische	Vriendelijke
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Het systeem ontdekte een mogelijke poging om de veiligheid te compromitteren. Zorg ervoor dat u contact opnemen met de server die u heeft geverifieerd.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Het systeem ontdekte een mogelijke poging om de veiligheid te compromitteren. Zorg ervoor dat u contact opnemen met de server die u heeft geverifieerd.

  Tijdelijke oplossing Als wachtwoord wijzigingen die eerder is gelukt mislukken na de installatie van MS16-101, is het waarschijnlijk dat wachtwoordwijzigingen eerder afhankelijk van NTLM terugval omdat Kerberos is mislukt. Voer de volgende stappen uit om wachtwoorden met succes te wijzigen met behulp van Kerberos-protocollen:

  1. Configureren van open communicatie op TCP-poort 464 tussen clients waarop MS16-101 is geïnstalleerd en de domeincontroller die onderhoud wachtwoord opnieuw wordt ingesteld. Alleen-lezen domeincontrollers (Rodc's) kunnen selfservice voor wachtwoord opnieuw instellen als de gebruiker is toegestaan door de RODCs wachtwoordreplicatiebeleid. Gebruikers die niet zijn toegestaan door het wachtwoordbeleid RODC vereisen netwerkverbinding met een lezen/schrijven domeincontroller (RWDC) in het domein van de gebruikersaccount. Opmerking Ga als volgt te werk om te controleren of TCP-poort 464 is geopend:

     1. Maak een gelijkwaardig weergavefilter voor de parser van Netwerkcontrole. Bijvoorbeeld:

        ipv4.address== <ip address of client> && tcp.port==464

     2. Zoek in de resultaten naar het frame ' TCP: [SynReTransmit '.

  2. Zorg ervoor dat de doel-Kerberos-namen geldig zijn. (IP-adressen zijn niet geldig voor het Kerberos-protocol. Kerberos ondersteunt korte namen en volledig gekwalificeerde domeinnamen.)

  3. Zorg ervoor dat Service Principal Names (Spn's) correct zijn geregistreerd. Zie voor meer informatie, Kerberos en self-service voor wachtwoord opnieuw instellen.

• Bekend probleem 2 We weten over een probleem in welke programmatische wachtwoord opnieuw instellen van domeingebruikersaccounts mislukken en retourneert de foutcode STATUS_DOWNGRADE_DETECTED (0x800704F1) als de verwachte storing een van de volgende is:

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (zelden geretourneerd)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  In de volgende tabel ziet u de volledige fout toewijzing.

  Hexadecimaal	Decimaal	Symbolische	Vriendelijke
  0x56	86	ERROR_INVALID_PASSWORD	Het opgegeven netwerkwachtwoord is niet correct.
  0x267	615	ERROR_PWD_TOO_SHORT	Het opgegeven wachtwoord is te kort om te voldoen aan het beleid van uw gebruikersaccount. Geef een langer wachtwoord op.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Wanneer u probeert een wachtwoord bij te werken, geeft deze retourstatus aan dat de waarde die als huidig wachtwoord is opgegeven, onjuist is.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Wanneer u probeert een wachtwoord bij te werken, geeft deze retourstatus aan dat er een regel voor het bijwerken van wachtwoorden is geschonden. Het wachtwoord kan bijvoorbeeld niet voldoen aan de lengte criteria.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Het systeem kan geen contact opnemen met een domeincontroller voor de service van de verificatieaanvraag. Probeer het later opnieuw.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Het systeem kan geen contact opnemen met een domeincontroller voor de service van de verificatieaanvraag. Probeer het later opnieuw.

  ResolutieMS16-101 is opnieuw uitgebracht om dit probleem te verhelpen. Installeer de meest recente versie van de updates voor dit bulletin om dit probleem op te lossen.

• Bekend probleem 3 We weten over een probleem waarbij het programmatisch opnieuw instellen van wachtwoordwijzigingen van lokale gebruikersaccounts kan mislukken en de foutcode STATUS_DOWNGRADE_DETECTED (0x800704F1) retourneren. In de volgende tabel ziet u de volledige fout toewijzing.

  Hexadecimaal	Decimaal	Symbolische	Vriendelijke
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Het systeem kan geen contact opnemen met een domeincontroller voor de service van de verificatieaanvraag. Probeer het later opnieuw.

  ResolutieMS16-101 is opnieuw uitgebracht om dit probleem te verhelpen. Installeer de meest recente versie van de updates voor dit bulletin om dit probleem op te lossen.

• Bekend probleem 4 Wachtwoorden voor uitgeschakelde en vergrendelde gebruikersaccounts kunnen niet worden gewijzigd met behulp van het Negotiate-pakket. Wachtwoordwijzigingen voor uitgeschakelde en vergrendelde accounts werken nog steeds wanneer u andere methoden gebruikt, bijvoorbeeld wanneer u een LDAP-bewerking rechtstreeks gebruikt. Bijvoorbeeld, de PowerShell -cmdlet Set-ADAccountPassword maakt gebruik van een bewerking ' LDAP wijzigen ' om het wachtwoord te wijzigen en blijft onaangetast. Tijdelijke oplossing Deze accounts vereisen een beheerder om wachtwoorden opnieuw in te stellen. Dit gedrag is door het ontwerp na het installeren van MS16-101 en latere correcties.

• Bekend probleem 5 Toepassingen die gebruikmaken van de API netuserchangepassword en die doorgeven een servernaam in de domeinnaam parameter zal niet meer werken na MS16-101 en latere updates zijn geïnstalleerd. Microsoft-documentatie staat dat het verstrekken van een externe servernaam in de domeinnaam parameter van de functie netuserchangepassword wordt ondersteund. De functie Netuserchangepassword in het MSDN-onderwerp staat bijvoorbeeld het volgende: domeinnaam [in]

  Een verwijzing naar een constante tekenreeks die de DNS-of NetBIOS-naam aangeeft van een externe server of domein waarop de functie moet worden uitgevoerd. Als deze parameter NULL is, wordt het aanmeldingsdomein van de beller gebruikt.Deze richtlijnen is echter vervangen door MS16-101, tenzij het wachtwoord opnieuw instellen voor een lokale account op de lokale computer is. Post MS16-101, om te voorkomen dat domeingebruikers wachtwoordwijzigingen werken, moet u een geldige DNS-domeinnaam doorgeven aan de NetUserChangePassword API.

• Bekend probleem 6 Nadat u deze beveiligingsupdate hebt toegepast en vervolgens meerdere documenten achtereenvolgens afdrukt, kunnen de eerste twee documenten met succes worden afgedrukt, maar de derde en volgende documenten worden mogelijk niet afgedrukt. U dit probleem op een van de volgende manieren oplossen:

  • Installeer update 3187022. Klik voor meer informatie op het volgende artikelnummer, zodat het artikel in de Microsoft Knowledge Base wordt weergegeven:

    3187022 afdrukfunctionaliteit is verbroken nadat een van de MS16-098 beveiligingsupdates zijn geïnstalleerd

  • Installeer update 3186987 vanaf de website Microsoft Update-catalogus .

  Dit probleem wordt ook opgelost in MS16-106.

• Bekend probleem 7 Nadat u de beveiligingsupdates die worden beschreven in MS16-101, externe, programmatische wijzigingen van het wachtwoord van een lokale gebruikersaccount en wachtwoord wijzigingen in niet-vertrouwde forest mislukken. Deze bewerking is mislukt omdat de bewerking is afhankelijk van NTLM Fall-back die niet langer wordt ondersteund voor niet-lokale accounts nadat MS16-101 is geïnstalleerd. Er wordt een registervermelding opgegeven die u gebruiken om deze wijziging uit te schakelen. Waarschuwing deze tijdelijke oplossing kan een computer of netwerk kwetsbaarder maken voor aanvallen door kwaadwillende gebruikers of schadelijke software, zoals virussen. Deze tijdelijke oplossing wordt niet aanbevolen, maar deze informatie wordt verstrekt, zodat u deze tijdelijke oplossing naar eigen goeddunken implementeren. Gebruik deze oplossing op eigen risico. Belangrijkdeze sectie, methode of taak bevat stappen die u vertellen hoe u het register moet wijzigen. Er kunnen echter ernstige problemen optreden als u het register onjuist wijzigt. Zorg er daarom voor dat u deze stappen zorgvuldig volgt. Voor extra beveiliging maakt u een back-up van het register voordat u deze wijzigt. Vervolgens u het register herstellen als er een probleem optreedt. Als u meer informatie wilt over het maken en terugzetten van een back-up van het register, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:

  322756 Back-up en herstel van het register in WindowsAls u deze wijziging wilt uitschakelen, stelt u de DWORD-vermelding Negoallowntlmpwdchangefallback in op de waarde 1 (één). Belangrijk Als u de registervermelding Negoallowntlmpwdchangefallback instelt op de waarde 1, wordt deze beveiligingscorrectie uitgeschakeld:

  Registerwaarde	Beschrijving
  0	Standaardwaarde. Terugval wordt voorkomen.
  1	Terugval is altijd toegestaan. De beveiligingscorrectie is uitgeschakeld. Klanten die problemen met externe lokale accounts of niet-vertrouwde forest-scenario's hebben kunnen het register instellen op deze waarde.

  Voer de volgende stappen uit om deze registerwaarden toe te voegen:

  1. Klik op Start, klik op Uitvoeren, typ regedit in het vak Openen en klik op OK.

  2. Zoek en klik op de volgende subsleutel in het register:

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

  3. Open het menu Bewerken, wijs Nieuw aan en klik op DWORD Value.

  4. Typ Negoallowntlmpwdchangefallback voor de naam van de DWORD-waarde en druk op ENTER.

  5. Klik met de rechtermuisknop op Negoallowntlmpwdchangefallbacken klik vervolgens op wijzigen.

  6. Typ 1 in het vak Waardegegevens om deze wijziging uit te schakelen en klik vervolgens op OK. Opmerking Als u de standaardwaarde wilt herstellen, typt u 0 (nul) en klikt u op OK.

  Status De hoofdoorzaak van dit probleem is begrepen. Dit artikel wordt bijgewerkt met aanvullende informatie zodra deze beschikbaar zijn.

Methode 1: Windows Update

Deze update wordt automatisch gedownload en geïnstalleerd.

Methode 2: Microsoft Update-catalogus

Als u het zelfstandige pakket voor deze update, gaat u naar de website van Microsoft Update-catalogus .

Vereisten

Er zijn geen vereisten voor het installeren van deze update.

Informatie opnieuw opstarten

Nadat u deze update hebt toegepast, moet u de computer opnieuw opstarten.

Vervangende informatie bijwerken

Deze update vervangt de eerder uitgebrachte update 3163912.