MS16-101: beschrijving van de verificatiemethoden van de beveiligingsupdate voor Windows: 9 augustus 2016

Samenvatting

Met deze beveiligingsupdate worden meerdere beveiligingslekken in Microsoft Windows opgelost. De beveiligingsproblemen kunnen leiden tot uitbreiding van bevoegdheden als een aanvaller een speciaal ontworpen toepassing uitvoert op een systeem dat lid is van een domein.

Zie Microsoft Security Bulletin MS16-101voor meer informatie over dit probleem.

Meer informatie

Belangrijk

• Voor alle toekomstige beveiligings-en niet-beveiligingsupdates voor Windows 8,1 en Windows Server 2012 R2 moet update 2919355 zijn geïnstalleerd. U wordt aangeraden update 2919355 te installeren op een computer met Windows 8,1 of windows server 2012 R2, zodat u toekomstige updates ontvangt.

• Als u een taalpakket installeert nadat u deze update hebt geïnstalleerd, moet u deze update opnieuw installeren. Daarom raden we u aan om alle benodigde taalpakketten te installeren voordat u deze update installeert. Zie taalpakketten toevoegen aan Windowsvoor meer informatie.
  

Bekende problemen in deze beveiligingsupdate

• Bekend probleem 1
  
  de beveiligingsupdates die in MS16-101 en nieuwere updates zijn opgenomen, bieden de mogelijkheid om te overstappen op NTLM wanneer Kerberos-verificatie mislukt voor het wijzigen van wachtwoorden met de foutcode STATUS_NO_LOGON_SERVERS (0xc000005e). In deze situatie kan een van de volgende foutcodes worden weergegeven.
  
  

  Hexadecimaal	Tekens	Symbolic	Schrijven
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Het systeem heeft een mogelijke poging om beveiliging te bezorgen. Zorg dat u contact kunt opnemen met de server die u heeft geverifieerd.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Het systeem heeft een mogelijke poging om beveiliging te bezorgen. Zorg dat u contact kunt opnemen met de server die u heeft geverifieerd.

  
  
  Tijdelijke oplossing
  
  als het wachtwoord is gewijzigd dat na de installatie van MS16-101 is mislukt, zijn er waarschijnlijk wijzigingen in het wachtwoord die eerder gebruikmaken van NTLM-terugval omdat Kerberos mislukt. Ga als volgt te werk om het wachtwoord te wijzigen met de Kerberos-protocollen:
  
  
  

  1. Open communicatie met TCP-poort 464 tussen clients met MS16-101 geïnstalleerd en de domeincontroller die het wachtwoord opnieuw instelt.
     
     Alleen-lezen-domeincontrollers (RODC'S) kunnen selfservice wachtwoord opnieuw instellen als de gebruiker wordt toegestaan door het wachtwoordreplicatiebeleid voor RODC'S. Gebruikers die niet zijn toegestaan in het wachtwoordbeleid voor RODC, hebben netwerkconnectiviteit met een lees-/schrijfmachtigingen (domeincontroller) in het domein van het gebruikersaccount vereist.
     
     Opmerking Ga als volgt te werk om te controleren of TCP-poort 464 is geopend:
     
     
     

     1. Maak een gelijkwaardig weergavefilter voor uw netwerkmonitors-parser. Bijvoorbeeld:
        

        IPv4. Address = = <IP-adres van client> && TCP. poort = = 464

     2. Zoek in de resultaten naar het frame ' TCP: [SynReTransmit '.
        
        

  2. Zorg ervoor dat de namen van de doel-Kerberos geldig zijn. (IP-adressen zijn niet geldig voor het Kerberos-protocol. Kerberos ondersteunt korte namen en FQDN (Fully Qualified domeinnamen).

  3. Zorg ervoor dat Spn's (Service Principal Names) correct worden geregistreerd.
     
     Zie voor meer informatie Kerberos en Self-Service wachtwoord opnieuw instellen.

• Bekend probleem 2
  
  we weten over een probleem waarbij het programmatisch opnieuw instellen van wachtwoorden van domeingebruikersaccounts mislukt en de foutcode van de STATUS_DOWNGRADE_DETECTED (0x800704F1) als resultaat geeft als de verwachte fout een van de volgende fout is:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (zelden weergegeven)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  In de volgende tabel ziet u de volledige toewijzing van een fout.
  
  

  Hexadecimaal	Tekens	Symbolic	Schrijven
  0x56	86	ERROR_INVALID_PASSWORD	Het opgegeven netwerkwachtwoord is niet juist.
  0x267	615	ERROR_PWD_TOO_SHORT	Het opgegeven wachtwoord is te kort om te voldoen aan het beleid van uw gebruikersaccount. U kunt een langer wachtwoord opgeven.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Wanneer u een wachtwoord probeert bij te werken, wordt met deze retourstatus aangegeven dat de waarde die is opgegeven als het huidige wachtwoord niet klopt.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Wanneer u een wachtwoord probeert bij te werken, wordt met deze retourstatus aangegeven dat sommige regels voor het bijwerken van uw wachtwoord zijn geschonden. Het wachtwoord kan bijvoorbeeld niet voldoen aan de lengte criteria.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Het systeem kan geen contact opnemen met een domeincontroller om de authenticatieaanvraag te serviceen. Probeer het later nogmaals.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Het systeem kan geen contact opnemen met een domeincontroller om de authenticatieaanvraag te serviceen. Probeer het later nogmaals.

  
  
  Oplossing
  
  MS16-101 is opnieuw uitgebracht om dit probleem op te lossen. Installeer de meest recente versie van de updates voor dit bulletin om dit probleem op te lossen.
  
  

• Bekend probleem 3
  
  we weten over een probleem waarbij het opnieuw instellen van wachtwoorden voor lokale gebruikersaccounts mogelijk mislukt en de foutcode voor de STATUS_DOWNGRADE_DETECTED (0x800704F1) als resultaat geeft.
  
  In de volgende tabel ziet u de volledige toewijzing van een fout.
  
  

  Hexadecimaal	Tekens	Symbolic	Schrijven
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Het systeem kan geen contact opnemen met een domeincontroller om de authenticatieaanvraag te serviceen. Probeer het later nogmaals.

  
  
  Oplossing
  
  MS16-101 is opnieuw uitgebracht om dit probleem op te lossen. Installeer de meest recente versie van de updates voor dit bulletin om dit probleem op te lossen.
  
  

• Bekend probleem 4
  
  wachtwoorden voor uitgeschakelde en vergrendelde gebruikersaccounts kunnen niet worden gewijzigd met het Negotiate pakket.
  
  Wachtwoordwijzigingen voor uitgeschakelde en vergrendelde accounts werken nog steeds als u andere methoden gebruikt, bijvoorbeeld wanneer u een LDAP-wijzigingsbewerking rechtstreeks gebruikt. Met de PowerShell-cmdlet Set-ADAccountPassword bijvoorbeeld een wijziging van het wachtwoord wordt gewijzigd en deze ongewijzigd blijft.
  
  Tijdelijke oplossing
  
  voor deze accounts moet een beheerder een wachtwoord opnieuw instellen. Dit gedrag is inherent aan het ontwerp na de installatie van MS16-101 en latere oplossingen.
  
  

• Bekend probleem 5
  
  toepassingen die de NETUSERCHANGEPASSWORD-API gebruiken en die een servernaam in de parameter domainname doorgeven, werken niet meer na het installeren van MS16-101 en latere updates.
  
  Microsoft-documentatie die een externe servernaam levert in de parameter domainname van de functie NetUserChangePassword wordt ondersteund. Met de functie NetUserChangePassword in dit voorbeeld wordt de volgende gezocht:
  
  domeinnaam [in]
  

  Een aanwijzer naar een constante tekenreeks waarmee de DNS-of NetBIOS-naam wordt opgegeven van een externe server of domein waarop de functie moet worden uitgevoerd. Als deze parameter NULL is, wordt het aanmeldingsdomein van de beller gebruikt. Deze richtlijnen zijn echter vervangen door MS16-101, tenzij het opnieuw instellen van het wachtwoord is ingesteld voor een lokaal account op de lokale computer. Post MS16-101, als u wilt dat het wachtwoord van de gebruiker wordt gewijzigd in werk, moet u een geldige DNS-domeinnaam doorgeven aan de API van NetUserChangePassword.

• Bekend probleem 6
  
  nadat u de beveiligingsupdates hebt geïnstalleerd die worden beschreven in MS16-101, extern, programmatisch gewijzigd van een lokaal wachtwoord voor een gebruikersaccount en het wijzigen van het wachtwoord voor een niet-vertrouwd forest.
  
  
  Deze bewerking mislukt omdat de bewerking gebruikmaakt van een NTLM-val die niet meer wordt ondersteund voor niet-lokale accounts nadat MS16-101 is geïnstalleerd.
  
  
  Er is een registervermelding beschikbaar die u kunt gebruiken om deze wijziging uit te schakelen.
  
  Waarschuwing deze tijdelijke oplossing kan een computer of een netwerk kwetsbaarder maken voor een aanval door kwaadwillende gebruikers of schadelijke software zoals virussen. We raden u aan deze tijdelijke oplossing niet te doen, maar leveren deze informatie, zodat u de tijdelijke oplossing op eigen wijze kunt implementeren. Het gebruik van deze methode is op eigen risico.
  
  ImportantThis sectie, methode of taak bevat stappen die bepalen hoe u het register kunt wijzigen. Als u het register op onjuiste wijze wijzigt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen van het register, klikt u op de volgende artikelnummers in de Microsoft Knowledge Base:

  322756Als u een back-up van het register wilt maken en
  
  deze wijziging wilt uitschakelen, stelt u de DWORD-waarde NegoAllowNtlmPwdChangeFallback in om de waarde 1 (1) te gebruiken.
  
  
  Belangrijk als u de registervermelding NegoAllowNtlmPwdChangeFallback instelt op de waarde 1, wordt deze beveiligingsoplossing uitgeschakeld:
  

  Registerwaarde	Beschrijving
  0	Standaardwaarde. Terugval wordt voorkomen.
  1	Terugval is altijd toegestaan. De beveiligingsoplossing is uitgeschakeld. Voor klanten die problemen hebben met externe lokale accounts of niet-vertrouwde forestvertrouwensrelaties, kunt u het register instellen op deze waarde.

  Voer de volgende stappen uit om deze registerwaarden toe te voegen:
  

  1. Klik op Start, klik op Uitvoeren, typ regedit in het vak Openen en klik op OK.

  2. Ga naar de volgende subsleutel in het register en klik erop:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. Open het menu Bewerken, wijs Nieuw aan en klik op DWORD Value.

  4. Typ NegoAllowNtlmPwdChangeFallback voor de naam van de DWORD en druk op ENTER.

  5. Klik met de rechtermuisknop op NegoAllowNtlmPwdChangeFallbacken klik op wijzigen.

  6. Typ in het vak Waardegegevens het getal 1 om deze wijziging uit te schakelen en klik vervolgens op OK.
     
     
     Opmerking Als u de standaardwaarde wilt herstellen, typt u 0 (nul) en klikt u op OK.

  Status
  
  de hoofdoorzaak van dit probleem is begrijpelijk. Dit artikel wordt bijgewerkt met aanvullende details wanneer deze beschikbaar komen.

De update downloaden en installeren

Methode 1: Windows Update

Deze update is beschikbaar via Windows Update. Wanneer u automatische updates inschakelt, wordt deze update automatisch gedownload en geïnstalleerd. Zie
automatisch beveiligingsupdates ontvangenvoor meer informatie over het inschakelen van automatische updates.

Methode 2: Microsoft Update-catalogus

Als u het zelfstandige pakket voor deze update wilt weergeven, gaat u naar de website van de Microsoft Update-catalogus .

Meer informatie

Bestandsinformatie