Belangrijk Dit artikel bevat informatie over hoe u de beveiligingsinstellingen kunt verlagen of de beveiligingsfuncties op uw computer kunt uitschakelen. U kunt deze wijzigingen aanbrengen om een specifiek probleem te omzeilen. Voordat u deze wijzigingen aanbrengt, wordt u aangeraden de risico's die gekoppeld zijn aan de implementatie van deze oplossing in uw omgeving te evalueren. Als u deze methode implementeert, neem dan alle mogelijke extra maatregelen om de computer te beveiligen.
Samenvatting
Deze update bevat verbeteringen en correcties in de functionaliteit van Windows 10 versie 1511. Het lost ook de volgende beveiligingsproblemen op in Windows:
-
3177356 MS16-095: cumulatieve beveiligingsupdate voor Internet Explorer: 9 augustus 2016
-
3177358 MS16-096: cumulatieve beveiligingsupdate voor Microsoft Edge: 9 augustus 2016
-
3177393 MS16-097: beveiligingsupdate voor Microsoft-onderdeel voor afbeeldingen: 9 augustus 2016
-
3178466 MS16-098: beveiligingsupdate voor stuurprogramma's voor kernelmodus: 9 augustus 2016
-
3178465 MS16-101: beveiligingsupdate voor Windows-verificatiemethoden: 9 augustus 2016
-
3182248 MS16-102: beveiligingsupdate voor Microsoft Windows-PDF-bibliotheek: 9 augustus 2016
-
3182332 MS16-103: beveiligingsupdate voor ActiveSyncProvider: 9 augustus 2016
Updates voor Windows 10 zijn cumulatief. Daarom bevat dit pakket alle eerder uitgebrachte correcties. Als u de eerdere updates hebt geïnstalleerd, worden alleen de nieuwe problemen die worden opgelost in dit pakket gedownload en geïnstalleerd op uw computer. Als u een Windows 10 update-pakket installeert voor de eerste keer het pakket voor de x86 versie is 502 MB en de voor de x64 versie is 916 MB.
Meer informatie
Bekende problemen in deze update
-
Bekend probleem 1MS16 101 en nieuwere updates uitschakelen de mogelijkheid van het proces van onderhandelen over terugvalt op NTLM als Kerberos-verificatie voor wachtwoord wijzigen bewerkingen met de foutcode STATUS_NO_LOGON_SERVERS (0xc000005e mislukt) . In dit geval wordt een van de volgende foutcodes.
De beveiligingsupdates die worden geleverd inHexadecimaal
Decimaal
Symbolische
Beschrijvende
0xc0000388
1073740920
STATUS_DOWNGRADE_DETECTED
Het systeem heeft gedetecteerd dat een poging tot inbreuk op beveiliging. Controleer of u kunt contact met de server die u geverifieerd.
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
Het systeem heeft gedetecteerd dat een poging tot inbreuk op beveiliging. Controleer of u kunt contact met de server die u geverifieerd.
-
Open communicatie op de TCP-poort 464 tussen clients die MS16-101 geïnstalleerd hebben en de domeincontroller die het onderhoud aan wachtwoorden configureren.
Alleen-lezen domeincontrollers (RODC's) kunnen zelf opnieuw instellen van wachtwoorden service als de gebruiker is toegestaan door het wachtwoordreplicatiebeleid van de RODC. Gebruikers die niet zijn toegestaan door het beleid voor de alleen-lezen domeincontroller vereisen netwerkverbinding met een lezen/schrijven-domeincontroller (RWDC) in het domein van de gebruiker. Opmerking Ga als volgt te werk om te controleren of TCP-poort 464 openen:-
Maak een gelijkwaardige weergavefilter voor uw netwerk monitor parser. Bijvoorbeeld:
ipv4.address== <ip address of client> && tcp.port==464
-
Zoek in de resultaten van de ' TCP: [SynReTransmit ' frame.
-
-
Zorg ervoor dat de Kerberos doelnamen geldig zijn. (IP-adressen zijn niet geldig voor het Kerberos-protocol. FQDN-namen en Kerberos ondersteunt korte namen.)
-
Zorg ervoor dat de service principal-namen (SPN) juist zijn geregistreerd.Kerberos en zelf wachtwoord opnieuw instellenvoor meer informatie.
Zie
-
-
Bekend probleem 2
We weten over een probleem in welk programma opnieuw instellen van wachtwoorden van domeingebruiker accounts mislukt en retourneert de foutcode STATUS_DOWNGRADE_DETECTED (0x800704F1) als de verwachte storing is een van de volgende opties:-
ERROR_INVALID_PASSWORD
-
ERROR_PWD_TOO_SHORT (zelden geretourneerd)
-
STATUS_WRONG_PASSWORD
-
STATUS_PASSWORD_RESTRICTION
Hexadecimaal
Decimaal
Symbolische
Beschrijvende
0x56
86
ERROR_INVALID_PASSWORD
Het opgegeven wachtwoord is onjuist.
0x267
615 kan
ERROR_PWD_TOO_SHORT
Het opgegeven wachtwoord is te kort om te voldoen aan het beleid van uw gebruikersaccount. Geef een langer wachtwoord.
0xc000006a
-1073741718
STATUS_WRONG_PASSWORD
Wanneer u probeert een wachtwoord bij te werken, wordt deze status geeft aan dat de waarde die is opgegeven met het huidige wachtwoord onjuist is.
0xc000006c
-1073741716
STATUS_PASSWORD_RESTRICTION
Wanneer u probeert een wachtwoord bij te werken, wordt deze status geeft aan dat een bepaalde regel wordt geschonden. Bijvoorbeeld kan het wachtwoord niet voldoen aan de lengte.
0x800704F1
1265
STATUS_DOWNGRADE_DETECTED
Het systeem kan geen contact op met een domeincontroller de verificatieaanvraag-service. Probeer het later opnieuw.
0xc0000388
-1073740920
STATUS_DOWNGRADE_DETECTED
Het systeem kan geen contact op met een domeincontroller de verificatieaanvraag-service. Probeer het later opnieuw.
MS16 101 is opnieuw uitgebracht om dit probleem te verhelpen. Installeer de nieuwste versie van de updates voor dit bulletin om dit probleem te verhelpen.
Oplossing -
-
Bekend probleem 3
We weten over een probleem waarbij programma opnieuw instellen van de lokale gebruiker account wachtwoordwijzigingen kunnen mislukken en de foutcode STATUS_DOWNGRADE_DETECTED (0x800704F1) . De volgende tabel ziet u de fout met volledige toewijzing.Hexadecimaal
Decimaal
Symbolische
Beschrijvende
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
Het systeem kan geen contact op met een domeincontroller de verificatieaanvraag-service. Probeer het later opnieuw.
MS16 101 is opnieuw uitgebracht om dit probleem te verhelpen. Installeer de nieuwste versie van de updates voor dit bulletin om dit probleem te verhelpen.
Oplossing -
Bekend probleem 4
Wachtwoorden voor gebruikersaccounts uitgeschakeld en vergrendelde kunnen niet worden gewijzigd met behulp van het pakket onderhandelen. Wijzigen van wachtwoorden uitgeschakeld en vergrendelde accounts werkt nog steeds bij het gebruik van andere methoden zoals het gebruik van een LDAP-Adreslijst als bewerking rechtstreeks wijzigen. Bijvoorbeeld de PowerShell-cmdlet Set-ADAccountPassword maakt gebruik van een bewerking 'LDAP wijzigen' om het wachtwoord te wijzigen en blijft ongewijzigd. Tijdelijke oplossing Deze accounts moeten een beheerder opnieuw instellen van wachtwoorden. Dit gedrag is inherent aan het ontwerp nadat u correcties MS16 101 en hoger. -
Bekend probleem 5functie NetUserChangePassword MSDN-onderwerp staat bijvoorbeeld het volgende: domeinnaam [in]
Toepassingen die gebruikmaken van de NetUserChangePassword API en die een servernaam doorgegeven in de parameter domeinnaam werkt niet meer na MS16 101 en latere updates zijn geïnstalleerd. Microsoft-documentatie staat die de naam van een externe server in de domeinnaam -parameter van de functie NetUserChangePassword wordt ondersteund. DeEen aanwijzer naar een constante tekenreeks die de DNS- of NetBIOS-naam van een externe server of het domein waarop de functie moet worden uitgevoerd. Als deze parameter NULL is, wordt het aanmeldingsdomein van de beller wordt gebruikt.Echter dit advies is vervangen door MS16 101, tenzij u het wachtwoord opnieuw instellen voor een lokale account op de lokale computer. Boeken MS16-101 in domein gebruiker wachtwoord wijzigingen wilt werken, moet u een geldige DNS-domeinnaam aan de API NetUserChangePassword doorgeven.
-
Bekend probleem 6Microsoft Update-catalogus . Dit probleem wordt ook opgelost in Microsoft Security Bulletin MS16 106.
Nadat u deze beveiligingsupdate hebt toegepast en u meerdere documenten na elkaar afdrukt, kunnen de eerste twee documenten wel afdrukken. De derde en volgende documenten echter mogelijk niet afgedrukt. U kunt dit probleem oplossen door update 3186988 te downloaden vanaf de website -
Bekend probleem 7MS16 101, externe, niet programmatisch wijzigen van het wachtwoord van een lokale gebruikersaccount en wachtwoord wijzigen in de niet-vertrouwde forests. Deze bewerking mislukt, omdat de bewerking is afhankelijk van de NTLM-herfst-terug die niet langer wordt ondersteund voor niet-lokale accounts nadat MS16 101 is geïnstalleerd. Er is een registervermelding beschikbaar waarmee u kunt uitschakelen van deze wijziging. Waarschuwing Deze oplossing kan een computer of netwerk kwetsbaarder maken voor aanvallen door kwaadwillende gebruikers of schadelijke software, zoals virussen. We raden u deze oplossing niet aan, maar verschaffen u deze informatie zodat u deze oplossing naar eigen goeddunken kunt implementeren. Gebruik deze tijdelijke oplossing op eigen risico. Belangrijk Deze sectie, methode of taak bevat stappen voor het wijzigen van het register. Echter, er kunnen ernstige problemen optreden als u het register onjuist bewerkt. Daarom is het belangrijk de volgende stappen zorgvuldig te volgen. Als extra beveiliging maakt u een back-up van het register voordat u wijzigingen aanbrengt. Vervolgens kunt u het register herstellen als er een probleem optreedt. Voor meer informatie over hoe u een back-up van het register kunt maken en terugzetten, klikt u op het volgende artikel in de Microsoft Knowledge Base:
Na installatie van de beveiligingsupdates die worden beschreven in322756 Back-up maken en terugzetten van het register in Windows Schakel deze wijziging stelt u de vermelding NegoAllowNtlmPwdChangeFallback DWORD-waarde 1 (één) gebruikt. Belangrijk Als u de registervermelding NegoAllowNtlmPwdChangeFallback op de waarde 1 wordt deze beveiligingsupdate uitschakelen:
Registerwaarde
Beschrijving
0
De standaardwaarde. Terugval voorkomen.
1
Terugval is altijd toegestaan. De beveiligingscorrectie is uitgeschakeld. Klanten die u problemen met externe lokale accounts of niet-vertrouwde forest scenario's ondervindt kunnen het register op deze waarde ingesteld.
Doordat deze registerwaarden als volgt te werk:
-
Klik op Start, klik op uitvoeren, typ Regedit in het vak Openen en klik vervolgens op OK.
-
Zoek en klik op de volgende subsleutel in het register:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
-
Wijs Nieuw aan in het menu Bewerken en klik vervolgens op DWORD-waarde.
-
Typ NegoAllowNtlmPwdChangeFallback voor de naam van de DWORD-waarde en druk op ENTER.
-
Klik met de rechtermuisknop op NegoAllowNtlmPwdChangeFallbacken klik vervolgens op wijzigen.
-
Typ 1 als u wilt uitschakelen van deze wijziging in het vak Waardegegevens en klik op OK.
Opmerking Als u de standaardwaarde herstellen, typt u 0 (nul) en klik vervolgens op OK.
Status
De oorzaak van dit probleem is duidelijk. In dit artikel wordt bijgewerkt met aanvullende informatie zodra deze beschikbaar. -
Hoe krijg ik deze update
Belangrijk Als u een taalpakket installeert nadat u deze update installeert, moet u deze update opnieuw installeren. Daarom wordt aangeraden dat u de taalpakketten die u nodig hebt, installeert voordat u deze update installeert. Zie voor meer informatie Taalpakketten toevoegen aan Windows.
Methode 1: Windows Update
Deze update wordt automatisch gedownload en geïnstalleerd.
Methode 2: Microsoft Update-catalogus
Als u het zelfstandige pakket voor deze update, gaat u naar de website Microsoft Update-catalogus.
Vereisten
Er zijn geen vereisten voor het installeren van deze update.
Opstartinformatie
U moet de computer opnieuw opstarten nadat u deze update hebt toegepast.
Informatie over het vervangen van updates
Deze update vervangt de eerder uitgebrachte update 3172985.
Informatie over bestanden
Download de Bestandsgegevens voor de cumulatieve update 3176493voor een lijst van de bestanden die in deze cumulatieve update worden geleverd.
Referenties
Meer informatie over de terminologie die door Microsoft wordt gebruikt om software-updates te beschrijven.