Sign in with Microsoft
Sign in or create an account.

Belangrijk Dit artikel bevat informatie over het instellen van een lager beveiligingsniveau of het uitschakelen van de beveiligingsfuncties op een computer. Dit is een handige methode om een bepaald probleem te omzeilen. Voordat u deze methode echter toepast, moet u nagaan of uw computer hierdoor geen onaanvaardbare veiligheidsrisico's loopt. Als u deze methode implementeert, dient u extra maatregelen te nemen om de computer te beschermen.

Samenvatting

Deze beveiligingsupdate bevat verbeteringen en correcties in de functionaliteit van Windows 10. Ook worden de volgende beveiligingslekken in Windows opgelost:

  • 3177356 MS16-095: cumulatieve beveiligingsupdate voor Internet Explorer: 9 augustus 2016

  • 3177358 MS16-096: cumulatieve beveiligingsupdate voor Microsoft Edge: 9 augustus 2016

  • 3177393 MS16-097: beveiligingsupdate voor Microsoft-onderdeel voor afbeeldingen: 9 augustus 2016

  • 3178466 MS16-098: beveiligingsupdate voor Stuurprogramma's voor kernelmodus: 9 augustus 2016

  • 3178465 MS16-101: beveiligingsupdate voor Windows-verificatiemethoden: 9 augustus 2016

  • 3182248 MS16-102: beveiligingsupdate voor Microsoft Windows PDF-bibliotheek: 9 augustus 2016

  • 3182332 MS16-103: beveiligingsupdate voor ActiveSyncProvider: 9 augustus 2016

Windows 10-updates zijn cumulatief. Daarom bevat dit pakket alle eerder uitgebrachte correcties. Als u eerdere updates hebt geïnstalleerd, worden alleen de nieuwe correcties die zijn opgenomen in dit pakket gedownload en geïnstalleerd op uw computer. Als u een Windows 10 update-pakket installeert voor de eerste keer het pakket voor de x86 versie is 366 MB en het pakket voor de x64 versie is 776 MB.

Meer informatie

Bekende problemen in deze beveiligingsupdate

  • Bekend probleem 1 De beveiligingsupdates die zijn opgegeven in MS16-101 en nieuwere updates uitschakelen de mogelijkheid van het onderhandelingsproces om terug te vallen op NTLM wanneer Kerberos-verificatie mislukt voor wachtwoord wijzigingsbewerkingen met de STATUS_NO_LOGON_SERVERS (0xc000005e) foutcode. In dit geval wordt een van de volgende foutcodes weergegeven.

    Hexadecimaal

    Decimaal

    Symbolische

    Vriendelijke

    0xc0000388

    1073740920

    STATUS_DOWNGRADE_DETECTED

    Het systeem ontdekte een mogelijke poging om de veiligheid te compromitteren. Zorg ervoor dat u contact opnemen met de server die u heeft geverifieerd.

    0x4f1

    1265

    ERROR_DOWNGRADE_DETECTED

    Het systeem ontdekte een mogelijke poging om de veiligheid te compromitteren. Zorg ervoor dat u contact opnemen met de server die u heeft geverifieerd.

    Tijdelijke oplossing Als wachtwoord wijzigingen die eerder is gelukt mislukken na de installatie van MS16-101, is het waarschijnlijk dat wachtwoordwijzigingen eerder afhankelijk van NTLM terugval omdat Kerberos is mislukt. Voer de volgende stappen uit om wachtwoorden met succes te wijzigen met behulp van Kerberos-protocollen:

    1. Configureren van open communicatie op TCP-poort 464 tussen clients waarop MS16-101 is geïnstalleerd en de domeincontroller die onderhoud wachtwoord opnieuw wordt ingesteld. Alleen-lezen domeincontrollers (Rodc's) kunnen selfservice voor wachtwoord opnieuw instellen als de gebruiker is toegestaan door de RODCs wachtwoordreplicatiebeleid. Gebruikers die niet zijn toegestaan door het wachtwoordbeleid RODC vereisen netwerkverbinding met een lezen/schrijven domeincontroller (RWDC) in het domein van de gebruikersaccount. Opmerking Ga als volgt te werk om te controleren of TCP-poort 464 is geopend:

      1. Maak een gelijkwaardig weergavefilter voor de parser van Netwerkcontrole. Bijvoorbeeld:

        
         
        ipv4.address== <ip address of client> && tcp.port==464
      2. Zoek in de resultaten naar het frame ' TCP: [SynReTransmit '. Frame samenvatting

    2. Zorg ervoor dat de doel-Kerberos-namen geldig zijn. (IP-adressen zijn niet geldig voor het Kerberos-protocol. Kerberos ondersteunt korte namen en volledig gekwalificeerde domeinnamen.)

    3. Zorg ervoor dat Service Principal Names (Spn's) correct zijn geregistreerd. Zie voor meer informatie, Kerberos en self-service voor wachtwoord opnieuw instellen.

  • Bekend probleem 2 We weten over een probleem in welke programmatische wachtwoord opnieuw instellen van domeingebruikersaccounts mislukken en retourneert de foutcode STATUS_DOWNGRADE_DETECTED (0x800704F1) als de verwachte storing een van de volgende is:

    • ERROR_INVALID_PASSWORD

    • ERROR_PWD_TOO_SHORT (zelden geretourneerd)

    • STATUS_WRONG_PASSWORD

    • STATUS_PASSWORD_RESTRICTION

    In de volgende tabel ziet u de volledige fout toewijzing.

    Hexadecimaal

    Decimaal

    Symbolische

    Vriendelijke

    0x56

    86

    ERROR_INVALID_PASSWORD

    Het opgegeven netwerkwachtwoord is niet correct.

    0x267

    615

    ERROR_PWD_TOO_SHORT

    Het opgegeven wachtwoord is te kort om te voldoen aan het beleid van uw gebruikersaccount. Geef een langer wachtwoord op.

    0xc000006a

    -1073741718

    STATUS_WRONG_PASSWORD

    Wanneer u probeert een wachtwoord bij te werken, geeft deze retourstatus aan dat de waarde die als huidig wachtwoord is opgegeven, onjuist is.

    0xc000006c

    -1073741716

    STATUS_PASSWORD_RESTRICTION

    Wanneer u probeert een wachtwoord bij te werken, geeft deze retourstatus aan dat er een regel voor het bijwerken van wachtwoorden is geschonden. Het wachtwoord kan bijvoorbeeld niet voldoen aan de lengte criteria.

    0x800704F1

    1265

    STATUS_DOWNGRADE_DETECTED

    Het systeem kan geen contact opnemen met een domeincontroller voor de service van de verificatieaanvraag. Probeer het later opnieuw.

    0xc0000388

    -1073740920

    STATUS_DOWNGRADE_DETECTED

    Het systeem kan geen contact opnemen met een domeincontroller voor de service van de verificatieaanvraag. Probeer het later opnieuw.

    ResolutieMS16-101 is opnieuw uitgebracht om dit probleem te verhelpen. Installeer de meest recente versie van de updates voor dit bulletin om dit probleem op te lossen.

  • Bekend probleem 3 We weten over een probleem waarbij het programmatisch opnieuw instellen van wachtwoordwijzigingen van lokale gebruikersaccounts kan mislukken en de foutcode STATUS_DOWNGRADE_DETECTED (0x800704F1) retourneren. In de volgende tabel ziet u de volledige fout toewijzing.

    Hexadecimaal

    Decimaal

    Symbolische

    Vriendelijke

    0x4f1

    1265

    ERROR_DOWNGRADE_DETECTED

    Het systeem kan geen contact opnemen met een domeincontroller voor de service van de verificatieaanvraag. Probeer het later opnieuw.

    ResolutieMS16-101 is opnieuw uitgebracht om dit probleem te verhelpen. Installeer de meest recente versie van de updates voor dit bulletin om dit probleem op te lossen.

  • Bekend probleem 4 Wachtwoorden voor uitgeschakelde en vergrendelde gebruikersaccounts kunnen niet worden gewijzigd met behulp van het Negotiate-pakket. Wachtwoordwijzigingen voor uitgeschakelde en vergrendelde accounts werken nog steeds wanneer u andere methoden gebruikt, bijvoorbeeld wanneer u een LDAP-bewerking rechtstreeks gebruikt. Bijvoorbeeld, de PowerShell -cmdlet Set-ADAccountPassword maakt gebruik van een bewerking ' LDAP wijzigen ' om het wachtwoord te wijzigen en blijft onaangetast. Tijdelijke oplossing Deze accounts vereisen een beheerder om wachtwoorden opnieuw in te stellen. Dit gedrag is door het ontwerp na het installeren van MS16-101 en latere correcties.

  • Bekend probleem 5 Toepassingen die gebruikmaken van de API netuserchangepassword en die doorgeven een servernaam in de domeinnaam parameter zal niet meer werken na MS16-101 en latere updates zijn geïnstalleerd. Microsoft-documentatie staat dat het verstrekken van een externe servernaam in de domeinnaam parameter van de functie netuserchangepassword wordt ondersteund. De functie Netuserchangepassword in het MSDN-onderwerp staat bijvoorbeeld het volgende: domeinnaam [in]

    Een verwijzing naar een constante tekenreeks die de DNS-of NetBIOS-naam aangeeft van een externe server of domein waarop de functie moet worden uitgevoerd. Als deze parameter NULL is, wordt het aanmeldingsdomein van de beller gebruikt.Deze richtlijnen is echter vervangen door MS16-101, tenzij het wachtwoord opnieuw instellen voor een lokale account op de lokale computer is. Post MS16-101, om te voorkomen dat domeingebruikers wachtwoordwijzigingen werken, moet u een geldige DNS-domeinnaam doorgeven aan de NetUserChangePassword API.

  • Bekend probleem 6 Nadat u deze beveiligingsupdate hebt toegepast en vervolgens meerdere documenten achtereenvolgens afdrukt, kunnen de eerste twee documenten met succes worden afgedrukt, maar de derde en volgende documenten worden mogelijk niet afgedrukt. U dit probleem op een van de volgende manieren oplossen:

    • Installeer update 3187022. Klik voor meer informatie op het volgende artikelnummer, zodat het artikel in de Microsoft Knowledge Base wordt weergegeven:

      3187022 afdrukfunctionaliteit is verbroken nadat een van de MS16-098 beveiligingsupdates zijn geïnstalleerd

    • Installeer update 3186987 vanaf de website Microsoft Update-catalogus .

    Dit probleem wordt ook opgelost in MS16-106.

  • Bekend probleem 7 Nadat u de beveiligingsupdates die worden beschreven in MS16-101, externe, programmatische wijzigingen van het wachtwoord van een lokale gebruikersaccount en wachtwoord wijzigingen in niet-vertrouwde forest mislukken. Deze bewerking is mislukt omdat de bewerking is afhankelijk van NTLM Fall-back die niet langer wordt ondersteund voor niet-lokale accounts nadat MS16-101 is geïnstalleerd. Er wordt een registervermelding opgegeven die u gebruiken om deze wijziging uit te schakelen. Waarschuwing deze tijdelijke oplossing kan een computer of netwerk kwetsbaarder maken voor aanvallen door kwaadwillende gebruikers of schadelijke software, zoals virussen. Deze tijdelijke oplossing wordt niet aanbevolen, maar deze informatie wordt verstrekt, zodat u deze tijdelijke oplossing naar eigen goeddunken implementeren. Gebruik deze oplossing op eigen risico. Belangrijkdeze sectie, methode of taak bevat stappen die u vertellen hoe u het register moet wijzigen. Er kunnen echter ernstige problemen optreden als u het register onjuist wijzigt. Zorg er daarom voor dat u deze stappen zorgvuldig volgt. Voor extra beveiliging maakt u een back-up van het register voordat u deze wijzigt. Vervolgens u het register herstellen als er een probleem optreedt. Als u meer informatie wilt over het maken en terugzetten van een back-up van het register, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:

    322756 Back-up en herstel van het register in WindowsAls u deze wijziging wilt uitschakelen, stelt u de DWORD-vermelding Negoallowntlmpwdchangefallback in op de waarde 1 (één). Belangrijk Als u de registervermelding Negoallowntlmpwdchangefallback instelt op de waarde 1, wordt deze beveiligingscorrectie uitgeschakeld:

    Registerwaarde

    Beschrijving

    0

    Standaardwaarde. Terugval wordt voorkomen.

    1

    Terugval is altijd toegestaan. De beveiligingscorrectie is uitgeschakeld. Klanten die problemen met externe lokale accounts of niet-vertrouwde forest-scenario's hebben kunnen het register instellen op deze waarde.

    Voer de volgende stappen uit om deze registerwaarden toe te voegen:

    1. Klik op Start, klik op Uitvoeren, typ regedit in het vak Openen en klik op OK.

    2. Zoek en klik op de volgende subsleutel in het register:

      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

    3. Open het menu Bewerken, wijs Nieuw aan en klik op DWORD Value.

    4. Typ Negoallowntlmpwdchangefallback voor de naam van de DWORD-waarde en druk op ENTER.

    5. Klik met de rechtermuisknop op Negoallowntlmpwdchangefallbacken klik vervolgens op wijzigen.

    6. Typ 1 in het vak Waardegegevens om deze wijziging uit te schakelen en klik vervolgens op OK. Opmerking Als u de standaardwaarde wilt herstellen, typt u 0 (nul) en klikt u op OK.

    Status De hoofdoorzaak van dit probleem is begrepen. Dit artikel wordt bijgewerkt met aanvullende informatie zodra deze beschikbaar zijn.

Hoe deze update te krijgen

Belangrijk Als u een taalpakket installeert nadat u deze update hebt geïnstalleerd, moet u deze update opnieuw installeren. Daarom is het raadzaam dat u alle taalpakketten die u nodig hebt voordat u deze update installeert. Zie voor meer informatie taalpakketten toevoegen aan Windows.

Methode 1: Windows Update

Deze update wordt automatisch gedownload en geïnstalleerd.

Methode 2: Microsoft Update-catalogus

Als u het zelfstandige pakket voor deze update, gaat u naar de website van Microsoft Update-catalogus .

Vereisten

Er zijn geen vereisten voor het installeren van deze update.

Informatie opnieuw opstarten

Nadat u deze update hebt toegepast, moet u de computer opnieuw opstarten.

Vervangende informatie bijwerken

Deze update vervangt de eerder uitgebrachte update 3163912.

Bestandsgegevens

Download de Bestandsgegevens voor de cumulatieve update 3176492voor een lijst van de bestanden die worden geleverd in deze cumulatieve update.

Verwijzingen

Informatie over de terminologie die door Microsoft wordt gebruikt om software updates te beschrijven.

Meer hulp nodig?

Uw vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Microsoft insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de taalkwaliteit?
Wat heeft uw ervaring beïnvloed?

Bedankt voor uw feedback.

×