Belangrijk in dit artikel vindt u informatie over het verlagen van beveiligingsinstellingen of het uitschakelen van beveiligingsfuncties op een computer. Dit is een handige methode om een bepaald probleem te omzeilen. Voordat u deze methode echter toepast, moet u nagaan of uw computer hierdoor geen onaanvaardbare veiligheidsrisico's loopt. Als u deze methode implementeert, dient u extra maatregelen te nemen om de computer te beschermen.
Samenvatting
Met deze beveiligingsupdate worden meerdere beveiligingslekken in Microsoft Windows opgelost. De beveiligingsproblemen kunnen leiden tot uitbreiding van bevoegdheden als een aanvaller een speciaal ontworpen toepassing uitvoert op een systeem dat lid is van een domein.
Zie Microsoft Security Bulletin MS16-101voor meer informatie over dit probleem.
Meer informatie
Belangrijke
-
Voor alle toekomstige beveiligings-en niet-beveiligingsupdates voor Windows 8,1 en Windows Server 2012 R2 moet update 2919355 zijn geïnstalleerd. U wordt aangeraden update 2919355 te installeren op een computer met Windows 8,1 of windows server 2012 R2, zodat u toekomstige updates ontvangt.
-
Als u een taalpakket installeert nadat u deze update hebt geïnstalleerd, moet u deze update opnieuw installeren. Daarom raden we u aan om alle benodigde taalpakketten te installeren voordat u deze update installeert. Zie taalpakketten toevoegen aan Windowsvoor meer informatie.
Met deze beveiligingsupdate worden ook de volgende niet-beveiligingsproblemen opgelost:
-
Wanneer een SMB-client met Windows 8,1 of Windows Server 2012 R2 verbinding maakt met een knooppunt dat niet beschikbaar is, mislukt de authenticatie in een cluster met een scale-out. Als dit probleem zich voordoet, wordt mogelijk een foutbericht weergegeven dat lijkt op het volgende bericht:
STATUS_NO_TGT_REPLY
Aanvullende informatie over deze beveiligingsupdate
De volgende artikelen bevatten aanvullende informatie over deze beveiligingsupdate die betrekking heeft op afzonderlijke productversies. De artikelen kunnen bekende probleem informatie bevatten.
-
3177108 MS16-101: beschrijving van de verificatiemethoden van de beveiligingsupdate voor Windows: 9 augustus 2016
-
3167679 MS16-101: beschrijving van de verificatiemethoden van de beveiligingsupdate voor Windows: 9 augustus 2016
-
3192392 Update van oktober 2016 alleen voor kwaliteitsupdate voor Windows 8,1 en Windows Server 2012 R2
-
3185331 Update van oktober 2016 voor de maand kwaliteit voor Windows 8,1 en Windows Server 2012 R2
-
3192393 Kwaliteitsupdate van oktober 2016 voor Windows Server 2012
-
3185332 Update van oktober 2016 voor de maandelijkse kwaliteit van Windows Server 2012
-
3192391 Update van oktober 2016 voor enige kwaliteitsupdate voor Windows 7 SP1 en Windows Server 2008 R2 SP1
-
3185330 Update van oktober 2016 voor de maand kwaliteit voor Windows 7 SP1 en Windows Server 2008 R2 SP1
-
3192440 Cumulatieve update voor Windows 10:11 oktober 2016
-
3194798 Cumulatieve update voor Windows 10 versie 1607 en Windows Server 2016:11 oktober 2016
-
3192441 Cumulatieve update voor Windows 10 versie 1511:11 oktober 2016
Beveiligingsupdates die zijn replacedThe na beveiligingsupdates zijn vervangen:
-
3176492 Cumulatieve update voor Windows 10:9 augustus 2016
-
3176493 Cumulatieve update voor Windows 10 versie 1511:9 augustus 2016
-
3176495 Cumulatieve update voor Windows 10 versie 1607:9 augustus 2016
Hieronder volgen de nieuwe beveiligingsupdates die de eerdere beveiligingsupdates vervangen:
-
3192440 Cumulatieve update voor Windows 10:11 oktober 2016
-
3194798 Cumulatieve update voor Windows 10 versie 1607 en Windows Server 2016:11 oktober 2016
-
3192441 Cumulatieve update voor Windows 10 versie 1511:11 oktober 2016
Bekende problemen in deze beveiligingsupdate
-
Bekend probleem 1
de beveiligingsupdates die in MS16-101 en nieuwere updates zijn opgenomen, bieden de mogelijkheid om te overstappen op NTLM wanneer Kerberos-verificatie mislukt voor het wijzigen van wachtwoorden met de foutcode STATUS_NO_LOGON_SERVERS (0xc000005e). In deze situatie kan een van de volgende foutcodes worden weergegeven.Hexadecimaal
Tekens
Symbolic
Schrijven
0xc0000388
1073740920
STATUS_DOWNGRADE_DETECTED
Het systeem heeft een mogelijke poging om beveiliging te bezorgen. Zorg dat u contact kunt opnemen met de server die u heeft geverifieerd.
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
Het systeem heeft een mogelijke poging om beveiliging te bezorgen. Zorg dat u contact kunt opnemen met de server die u heeft geverifieerd.
Tijdelijke oplossing
als het wachtwoord is gewijzigd dat na de installatie van MS16-101 is mislukt, zijn er waarschijnlijk wijzigingen in het wachtwoord die eerder gebruikmaken van NTLM-terugval omdat Kerberos mislukt. Ga als volgt te werk om het wachtwoord te wijzigen met de Kerberos-protocollen:-
Open communicatie met TCP-poort 464 tussen clients met MS16-101 geïnstalleerd en de domeincontroller die het wachtwoord opnieuw instelt.
Alleen-lezen-domeincontrollers (RODC'S) kunnen selfservice wachtwoord opnieuw instellen als de gebruiker wordt toegestaan door het wachtwoordreplicatiebeleid voor RODC'S. Gebruikers die niet zijn toegestaan in het wachtwoordbeleid voor RODC, hebben netwerkconnectiviteit met een lees-/schrijfmachtigingen (domeincontroller) in het domein van het gebruikersaccount vereist.
Opmerking Ga als volgt te werk om te controleren of TCP-poort 464 is geopend:-
Maak een gelijkwaardig weergavefilter voor uw netwerkmonitors-parser. Bijvoorbeeld:
IPv4. Address = = <IP-adres van client> && TCP. poort = = 464
-
Zoek in de resultaten naar het frame ' TCP: [SynReTransmit '.
-
-
Zorg ervoor dat de namen van de doel-Kerberos geldig zijn. (IP-adressen zijn niet geldig voor het Kerberos-protocol. Kerberos ondersteunt korte namen en FQDN (Fully Qualified domeinnamen).
-
Zorg ervoor dat Spn's (Service Principal Names) correct worden geregistreerd.
Zie voor meer informatie Kerberos en Self-Service wachtwoord opnieuw instellen.
-
-
Bekend probleem 2
we weten over een probleem waarbij het programmatisch opnieuw instellen van wachtwoorden van domeingebruikersaccounts mislukt en de foutcode van de STATUS_DOWNGRADE_DETECTED (0x800704F1) als resultaat geeft als de verwachte fout een van de volgende fout is:-
ERROR_INVALID_PASSWORD
-
ERROR_PWD_TOO_SHORT (zelden weergegeven)
-
STATUS_WRONG_PASSWORD
-
STATUS_PASSWORD_RESTRICTION
In de volgende tabel ziet u de volledige toewijzing van een fout.Hexadecimaal
Tekens
Symbolic
Schrijven
0x56
86
ERROR_INVALID_PASSWORD
Het opgegeven netwerkwachtwoord is niet juist.
0x267
615
ERROR_PWD_TOO_SHORT
Het opgegeven wachtwoord is te kort om te voldoen aan het beleid van uw gebruikersaccount. U kunt een langer wachtwoord opgeven.
0xc000006a
-1073741718
STATUS_WRONG_PASSWORD
Wanneer u een wachtwoord probeert bij te werken, wordt met deze retourstatus aangegeven dat de waarde die is opgegeven als het huidige wachtwoord niet klopt.
0xc000006c
-1073741716
STATUS_PASSWORD_RESTRICTION
Wanneer u een wachtwoord probeert bij te werken, wordt met deze retourstatus aangegeven dat sommige regels voor het bijwerken van uw wachtwoord zijn geschonden. Het wachtwoord kan bijvoorbeeld niet voldoen aan de lengte criteria.
0x800704F1
1265
STATUS_DOWNGRADE_DETECTED
Het systeem kan geen contact opnemen met een domeincontroller om de authenticatieaanvraag te serviceen. Probeer het later nogmaals.
0xc0000388
-1073740920
STATUS_DOWNGRADE_DETECTED
Het systeem kan geen contact opnemen met een domeincontroller om de authenticatieaanvraag te serviceen. Probeer het later nogmaals.
Oplossing
MS16-101 is opnieuw uitgebracht om dit probleem op te lossen. Installeer de meest recente versie van de updates voor dit bulletin om dit probleem op te lossen. -
-
Bekend probleem 3
we weten over een probleem waarbij het opnieuw instellen van wachtwoorden voor lokale gebruikersaccounts mogelijk mislukt en de foutcode voor de STATUS_DOWNGRADE_DETECTED (0x800704F1) als resultaat geeft.
In de volgende tabel ziet u de volledige toewijzing van een fout.Hexadecimaal
Tekens
Symbolic
Schrijven
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
Het systeem kan geen contact opnemen met een domeincontroller om de authenticatieaanvraag te serviceen. Probeer het later nogmaals.
Oplossing
MS16-101 is opnieuw uitgebracht om dit probleem op te lossen. Installeer de meest recente versie van de updates voor dit bulletin om dit probleem op te lossen. -
Bekend probleem 4
wachtwoorden voor uitgeschakelde en vergrendelde gebruikersaccounts kunnen niet worden gewijzigd met het Negotiate pakket.
Wachtwoordwijzigingen voor uitgeschakelde en vergrendelde accounts werken nog steeds als u andere methoden gebruikt, bijvoorbeeld wanneer u een LDAP-wijzigingsbewerking rechtstreeks gebruikt. Met de PowerShell-cmdlet Set-ADAccountPassword bijvoorbeeld een wijziging van het wachtwoord wordt gewijzigd en deze ongewijzigd blijft.
Tijdelijke oplossing
voor deze accounts moet een beheerder een wachtwoord opnieuw instellen. Dit gedrag is inherent aan het ontwerp na de installatie van MS16-101 en latere oplossingen. -
Bekend probleem 5
toepassingen die de NETUSERCHANGEPASSWORD-API gebruiken en die een servernaam in de parameter domainname doorgeven, werken niet meer na het installeren van MS16-101 en latere updates.
Microsoft-documentatie die een externe servernaam levert in de parameter domainname van de functie NetUserChangePassword wordt ondersteund. Met de functie NetUserChangePassword in dit voorbeeld wordt de volgende gezocht:
domeinnaam [in]Een aanwijzer naar een constante tekenreeks waarmee de DNS-of NetBIOS-naam wordt opgegeven van een externe server of domein waarop de functie moet worden uitgevoerd. Als deze parameter NULL is, wordt het aanmeldingsdomein van de beller gebruikt. Status
deze richtlijnen zijn vervangen door MS16-101, tenzij het opnieuw instellen van het wachtwoord is ingesteld voor een lokaal account op de lokale computer.
Post MS16-101, als u wilt dat het wachtwoord van de gebruiker wordt gewijzigd in werk, moet u een geldige DNS-domeinnaam doorgeven aan de API van NetUserChangePassword. -
Bekend probleem 6
nadat u de beveiligingsupdates hebt geïnstalleerd die worden beschreven in MS16-101, extern, programmatisch gewijzigd van een lokaal wachtwoord voor een gebruikersaccount en het wijzigen van het wachtwoord voor een niet-vertrouwd forest.
Deze bewerking mislukt omdat de bewerking gebruikmaakt van een NTLM-val die niet meer wordt ondersteund voor niet-lokale accounts nadat MS16-101 is geïnstalleerd.
Er is een registervermelding beschikbaar die u kunt gebruiken om deze wijziging uit te schakelen.
Waarschuwing deze tijdelijke oplossing kan een computer of een netwerk kwetsbaarder maken voor een aanval door kwaadwillende gebruikers of schadelijke software zoals virussen. We raden u aan deze tijdelijke oplossing niet te doen, maar leveren deze informatie, zodat u de tijdelijke oplossing op eigen wijze kunt implementeren. Het gebruik van deze methode is op eigen risico.
ImportantThis sectie, methode of taak bevat stappen die bepalen hoe u het register kunt wijzigen. Als u het register op onjuiste wijze wijzigt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen van het register, klikt u op de volgende artikelnummers in de Microsoft Knowledge Base:322756Als u een back-up van het register wilt maken en
deze wijziging wilt uitschakelen, stelt u de DWORD-waarde NegoAllowNtlmPwdChangeFallback in om de waarde 1 (1) te gebruiken.
Belangrijk als u de registervermelding NegoAllowNtlmPwdChangeFallback instelt op de waarde 1, wordt deze beveiligingsoplossing uitgeschakeld:Registerwaarde
Beschrijving
0
Standaardwaarde. Terugval wordt voorkomen.
1
Terugval is altijd toegestaan. De beveiligingsoplossing is uitgeschakeld. Voor klanten die problemen hebben met externe lokale accounts of niet-vertrouwde forestvertrouwensrelaties, kunt u het register instellen op deze waarde.
Voer de volgende stappen uit om deze registerwaarden toe te voegen:
-
Klik op Start, klik op Uitvoeren, typ regedit in het vak Openen en klik op OK.
-
Ga naar de volgende subsleutel in het register en klik erop:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
-
Open het menu Bewerken, wijs Nieuw aan en klik op DWORD Value.
-
Typ NegoAllowNtlmPwdChangeFallback voor de naam van de DWORD en druk op ENTER.
-
Klik met de rechtermuisknop op NegoAllowNtlmPwdChangeFallbacken klik op wijzigen.
-
Typ in het vak Waardegegevens het getal 1 om deze wijziging uit te schakelen en klik vervolgens op OK.
Opmerking Als u de standaardwaarde wilt herstellen, typt u 0 (nul) en klikt u op OK.
Status
de hoofdoorzaak van dit probleem is begrijpelijk. Dit artikel wordt bijgewerkt met aanvullende details wanneer deze beschikbaar komen. -
De update downloaden en installeren
Methode 1: Windows Update
Deze update is beschikbaar via Windows Update. Wanneer u automatische updates inschakelt, wordt deze update automatisch gedownload en geïnstalleerd. Zie
automatisch beveiligingsupdates ontvangenvoor meer informatie over het inschakelen van automatische updates.
Methode 2: Microsoft Update-catalogus
Als u het zelfstandige pakket voor deze update wilt weergeven, gaat u naar de website van de Microsoft Update-catalogus .
U kunt het zelfstandige updatepakket verkrijgen via het Microsoft Download centrum. Volg de installatie-instructies op de downloadpagina om de update te installeren.
Klik op de downloadkoppeling in Microsoft Security Bulletin MS16-101 die overeenkomen met de versie van Windows die u gebruikt.
Meer informatie
Naslagtabel voor Windows Vista (alle edities)
de volgende tabel bevat de informatie over de beveiligingsupdate voor deze software.
Bestandsnamen van beveiligingsupdates |
Voor alle ondersteunde 32-bits versies van Windows Vista: |
Voor alle ondersteunde op x64 gebaseerde versies van Windows Vista: |
|
Installatieschakelopties |
|
Opnieuw opstarten vereist |
U moet het systeem opnieuw opstarten nadat u deze beveiligingsupdate hebt toegepast. |
Informatie over verwijderen |
WUSA.exe biedt geen ondersteuning voor het verwijderen van updates. Als u een update wilt verwijderen die door WUSA is geïnstalleerd, klikt u op Configuratieschermen vervolgens op beveiliging. Klik onder Windows Update op geïnstalleerde updates weergevenen selecteer vervolgens in de lijst met updates. |
Bestandsgegevens |
|
Verificatie van registersleutel |
Opmerking Deze update voegt geen registersleutel toe om de aanwezigheidsgegevens te valideren. |
Naslagtabel voor Windows Server 2008 (alle edities)
de volgende tabel bevat de informatie over de beveiligingsupdate voor deze software.
Bestandsnamen van beveiligingsupdates |
Voor alle ondersteunde 32-bits versies van Windows Server 2008: |
Voor alle ondersteunde x64-versies van Windows Server 2008: |
|
Voor alle ondersteunde Itanium-versies van Windows Server 2008: |
|
Installatieschakelopties |
|
Opnieuw opstarten vereist |
U moet het systeem opnieuw opstarten nadat u deze beveiligingsupdate hebt toegepast. |
Informatie over verwijderen |
WUSA.exe biedt geen ondersteuning voor het verwijderen van updates. Als u een update wilt verwijderen die door WUSA is geïnstalleerd, klikt u op Configuratieschermen vervolgens op beveiliging. Klik onder Windows Update op geïnstalleerde updates weergevenen selecteer vervolgens in de lijst met updates. |
Bestandsgegevens |
Naslagtabel voor Windows 7 (alle edities)
de volgende tabel bevat de informatie over de beveiligingsupdate voor deze software.
Bestandsnaam van beveiligingsupdate |
Voor alle ondersteunde versies van 32-bits versie van Windows 7: |
Voor alle ondersteunde 32-bits versie van Windows 7 |
|
Voor alle ondersteunde op x64 gebaseerde edities van Windows 7: |
|
Voor alle ondersteunde x64-versies van Windows 7: |
|
Installatieschakelopties |
|
Opnieuw opstarten vereist |
U moet het systeem opnieuw opstarten nadat u deze beveiligingsupdate hebt toegepast. |
Informatie over verwijderen |
Als u een update wilt verwijderen die door WUSA is geïnstalleerd, gebruikt u de schakeloptie van de instelling/Uninstall of klikt u op Configuratieschermen op systeem en beveiliging. Klik onder Windows Updateop geïnstalleerde updates weergevenen selecteer vervolgens in de lijst met updates. |
Bestandsgegevens |
Zie micro soft Knowledge Base-artikel 3192391 |
Verificatie van registersleutel |
Opmerking Deze update voegt geen registersleutel toe om de installatie ervan te valideren. |
Naslagtabel voor Windows Server 2008 R2 (alle edities)
de volgende tabel bevat de informatie over de beveiligingsupdate voor deze software.
Bestandsnaam van beveiligingsupdate |
Voor alle ondersteunde x64-versies van Windows Server 2008 R2: |
Voor alle ondersteunde x64-versies van Windows Server 2008 R2: |
|
Voor alle ondersteunde Itanium-versies van Windows Server 2008 R2: |
|
Voor alle ondersteunde Itanium-versies van Windows Server 2008 R2: |
|
Installatieschakelopties |
|
Opnieuw opstarten vereist |
Opnieuw opstarten van het systeem is vereist nadat u deze beveiligingsupdate hebt toegepast. |
Informatie over verwijderen |
Als u een update die door WUSA is geïnstalleerd, wilt verwijderen, gebruikt u de schakeloptie van de optie/Uninstall of klikt u op Configuratiescherm, op systeem en beveiliging en selecteert u vervolgens onder Windows Update de optie geïnstalleerde updates weergeven en selecteert u in de lijst met updates. |
Bestandsgegevens |
Zie micro soft Knowledge Base-artikel 3192391 |
Verificatie van registersleutel |
Opmerking een registersleutel bestaat niet om de aanwezigheid van deze update te valideren. |
Naslagtabel voor Windows 8,1 (alle edities)
de volgende tabel bevat de informatie over de beveiligingsupdate voor deze software.
Bestandsnaam van beveiligingsupdate |
Voor alle ondersteunde 32-bits versies van Windows 8,1: |
Voor alle ondersteunde 32-bits versies van Windows 8,1: |
|
Voor alle ondersteunde op x64 gebaseerde versies van Windows 8,1: |
|
Voor alle ondersteunde x64-versies van Windows 8,1: |
|
Installatieschakelopties |
|
Opnieuw opstarten vereist |
U moet het systeem opnieuw opstarten nadat u deze beveiligingsupdate hebt toegepast. |
Informatie over verwijderen |
Als u een update wilt verwijderen die door WUSA is geïnstalleerd, gebruikt u de schakeloptie van de instelling/Uninstall of klikt u op Configuratiescherm, klikt u op systeem en beveiligingen vervolgens op Windows Update. Klik onder Zie ook op geïnstalleerde updates en selecteer vervolgens in de lijst met updates. |
Bestandsgegevens |
Zie micro soft Knowledge Base-artikel 3192392 |
Verificatie van registersleutel |
Opmerking Deze update voegt geen registersleutel toe om de installatie ervan te valideren. |
Naslagtabel voor Windows Server 2012 en Windows Server 2012 R2 (alle edities)
de volgende tabel bevat de informatie over de beveiligingsupdate voor deze software.
Bestandsnaam van beveiligingsupdate |
Voor alle ondersteunde versies van Windows Server 2012: |
Voor alle ondersteunde versies van Windows Server 2012: |
|
Voor alle ondersteunde versies van Windows Server 2012 R2: |
|
Voor alle ondersteunde versies van Windows Server 2012 R2: |
|
Installatieschakelopties |
|
Opnieuw opstarten vereist |
Opnieuw opstarten van het systeem is vereist nadat u deze beveiligingsupdate hebt toegepast. |
Informatie over verwijderen |
Als u een update die door WUSA is geïnstalleerd, wilt verwijderen, gebruikt u de schakeloptie van/Uninstall of klikt u op systeem en beveiliging, klikt u op Windows Update en selecteert u vervolgens onder Zie ook de optie geïnstalleerde updates en selecteert u in de lijst met updates. |
Bestandsgegevens |
Zie micro soft Knowledge Base-artikel 3192393 |
Verificatie van registersleutel |
Opmerking een registersleutel bestaat niet om de aanwezigheid van deze update te valideren. |
Naslagtabel voor Windows 10 (alle edities)
de volgende tabel bevat de informatie over de beveiligingsupdate voor deze software.
Bestandsnaam van beveiligingsupdate |
Voor alle ondersteunde 32-bits versies van Windows 10: |
Voor alle ondersteunde x64-versies van Windows 10: |
|
Voor alle ondersteunde 32-bits versies van Windows 10 versie 1511: |
|
Voor alle ondersteunde op x64 gebaseerde versies van Windows 10 versie 1511: |
|
Voor alle ondersteunde 32-bits versies van Windows 10 versie 1607: |
|
Voor alle ondersteunde op x64 gebaseerde versies van Windows 10 versie 1607: |
|
Installatieschakelopties |
|
Opnieuw opstarten vereist |
U moet het systeem opnieuw opstarten nadat u deze beveiligingsupdate hebt toegepast. |
Informatie over verwijderen |
Als u een update wilt verwijderen die door WUSA is geïnstalleerd, gebruikt u de schakeloptie van de instelling/Uninstall of klikt u op Configuratiescherm, klikt u op systeem en beveiligingen vervolgens op Windows Update. Klik onder Zie ook op geïnstalleerde updates en selecteer vervolgens in de lijst met updates. |
Bestandsgegevens |
Zie Microsoft Knowledge Base- artikel 3192440raadplegen Microsoft Knowledge Base- |
Verificatie van registersleutel |
Opmerking Deze update voegt geen registersleutel toe om de installatie ervan te valideren. |
Help voor het installeren van updates: ondersteuning voor de Microsoft Update-
beveiligingsoplossingen voor IT-professionals: TechNet-beveiliging probleemoplossing en ondersteuning
voor het beschermen van uw Windows-computer tegen virussen en malware: antivirusoplossing en Beveiligingscentrum
lokale ondersteuning overeenkomstig uw land: internationale ondersteuning