Zbiorcza aktualizacja dla systemu Windows 10 w wersji 1511: 9 sierpnia 2016

Ważne Ten artykuł zawiera informacje, które opisują, jak obniżyć poziom zabezpieczeń lub jak wyłączyć funkcje zabezpieczeń na komputerze. Można wprowadzić te zmiany w celu obejścia określonego problemu. Przed wprowadzeniem tych zmian zaleca się dokonanie oceny zagrożenia związanego z zastosowaniem tego obejścia w danym środowisku. Jeżeli zastosujesz to obejście, należy podjąć odpowiednie kroki dodatkowe, aby pomóc w ochronie komputera.

Streszczenie

Ta aktualizacja zabezpieczeń zawiera ulepszenia i poprawki w funkcjonalności Windows 10 wersji 1511. Eliminuje to również następujące luki w systemie Windows:
  • 3177356 MS16-095: Zbiorcza aktualizacja zabezpieczeń dla programu Internet Explorer: 9 sierpnia 2016
  • 3177358 MS16-096: Zbiorcza aktualizacja zabezpieczeń dla programu Microsoft Edge: 9 sierpnia 2016
  • 3177393 MS16-097: Aktualizacja zabezpieczeń dla składnika grafiki firmy Microsoft: 9 sierpnia 2016
  • 3178466 MS16-098: Aktualizacja zabezpieczeń dla sterowników trybu jądra: 9 sierpnia 2016
  • 3178465 MS16-101: Aktualizacja zabezpieczeń dla metody uwierzytelniania systemu Windows: 9 sierpnia 2016
  • 3182248 MS16-102: Aktualizacja zabezpieczeń dla biblioteki Microsoft Windows PDF: 9 sierpnia 2016
  • 3182332 MS16-103: Aktualizacja zabezpieczeń dla ActiveSyncProvider: 9 sierpnia 2016

Aktualizacje systemu Windows 10 mają charakter kumulacyjny. W związku z tym ten pakiet zawiera wszystkie poprzednio wydane poprawki.

Jeśli zainstalowano wcześniejsze aktualizacje, tylko nowe poprawki, które są zawarte w tym pakiecie, zostaną pobrane i zainstalowane na tym komputerze. Jeśli instalujesz pakiet aktualizacji systemu Windows 10 po raz pierwszy, pakiet dla wersji x86 zajmuje 502 MB i pakiet dla wersji x64 916 MB.


Więcej informacji

Znane problemy w tej aktualizacji zabezpieczeń

  • Znany problem 1

    Aktualizacje zabezpieczeń, które są dostarczane w MS16-101 i nowsze aktualizacje należy wyłączyć proces Negotiate możliwość powrotu do NTLM w przypadku niepowodzenia uwierzytelniania Kerberos dla operacji zmiany hasła z kodem błędu STATUS_NO_LOGON_SERVERS (0xc000005e) . W tej sytuacji może pojawić się jeden z następujących kodów błędów.

    SzesnastkowyDziesiętnySymbolicznePrzyjazny
    0xc00003881073740920STATUS_DOWNGRADE_DETECTEDSystem wykrył możliwe próby złamania zabezpieczeń. Upewnij się, że możesz skontaktować się z serwerem, który Cię uwierzytelnił.
    0x4f11265ERROR_DOWNGRADE_DETECTEDSystem wykrył możliwe próby złamania zabezpieczeń. Upewnij się, że możesz skontaktować się z serwerem, który Cię uwierzytelnił.


    Obejście problemu

    Jeśli zmiany hasła, które wcześniej pomyślnie zakończyć się niepowodzeniem po instalacji MS16-101, jest prawdopodobne, że zmiany hasła były wcześniej opierając się na rezerwa NTLM ponieważ kończyła protokołu Kerberos. Aby pomyślnie zmienić hasła przy użyciu protokołów Kerberos, wykonaj następujące kroki:


    1. Konfigurowanie komunikacji otwarte na porcie TCP 464 między klientów, którzy mają zainstalowany MS16-101 i kontroler domeny, który jest obsługa resetować hasła.

      Kontrolery domeny tylko do odczytu (RODC) może obsłużyć resetować hasła Sklep internetowy, jeśli użytkownik jest dozwolone przez zasady replikacji haseł kontrolerów RODC. Użytkownicy, którzy nie są dozwolone przez zasady haseł kontrolera RODC wymagają połączenia z siecią do kontrolera domeny odczytu i zapisu (RWDC) w domenie konta użytkownika.

      Uwaga Aby sprawdzić, czy TCP port 464 jest otwarty, wykonaj następujące kroki:


      1. Utwórz filtr wyświetlana równoważne dla Twojego parser monitora sieci. Na przykład:
        ipv4.address== <ip address of client> && tcp.port==464
      2. W wynikach wyszukiwania "TCP: [SynReTransmit" ramki.

        Frame
    2. Upewnij się, że nazwy protokołu Kerberos docelowej są prawidłowe. (Adresy IP nie są prawidłowe dla protokołu Kerberos. Krótkie nazwy obsługuje protokół Kerberos i w pełni kwalifikowane nazwy domen.)
    3. Upewnij się, że nazwy główne usługi (SPN) są zarejestrowane poprawnie.

      Aby uzyskać więcej informacji zobacz Kerberos i samoobsługowego resetowania hasła.
  • Znany problem 2

    O problemie, wiemy, w których resetować hasła programistyczny użytkownika domeny konta się nie powieść i zwrócić kod błędu STATUS_DOWNGRADE_DETECTED (0x800704F1) , jeżeli przewidywany błąd jest jedną z następujących czynności:

    • ERROR_INVALID_PASSWORD
    • ERROR_PWD_TOO_SHORT (rzadko zwrócone)
    • STATUS_WRONG_PASSWORD
    • STATUS_PASSWORD_RESTRICTION

    W poniższej tabeli przedstawiono mapowanie pełne informacje dotyczące błędów.

    SzesnastkowyDziesiętnySymbolicznePrzyjazny
    0x5686ERROR_INVALID_PASSWORDOkreślone hasło sieciowe nie jest poprawny.
    0x267615ERROR_PWD_TOO_SHORTHasło, które zostało dostarczone jest zbyt krótki, by niezgodne z zasadami wykorzystywania tego konta użytkownika. Proszę podać dłuższe hasło.
    0xc000006a-1073741718STATUS_WRONG_PASSWORDPodczas próby aktualizacji hasła oznacza to, że wartość, która została podana jako bieżące hasło jest niepoprawna.
    0xc000006c-1073741716STATUS_PASSWORD_RESTRICTIONPodczas próby aktualizacji hasła oznacza to, że naruszono pewne reguły aktualizacji haseł. Na przykład hasło mogą nie spełniać kryteriów długości.
    0x800704F11265STATUS_DOWNGRADE_DETECTEDSystem nie może skontaktować się z kontrolera domeny do obsługi żądania uwierzytelniania. Spróbuj ponownie później.
    0xc0000388-1073740920STATUS_DOWNGRADE_DETECTEDSystem nie może skontaktować się z kontrolera domeny do obsługi żądania uwierzytelniania. Spróbuj ponownie później.


    Rozwiązanie

    MS16-101 opublikowano ponownie w celu rozwiązania tego problemu. Zainstaluj najnowszą wersję aktualizacji ten biuletyn, aby rozwiązać ten problem.

  • Znany problem 3

    Wiemy o problemie, w którym programowy resetuje zmiany hasła konta użytkownika lokalnego może się nie powieść i zwrócić kod błędu STATUS_DOWNGRADE_DETECTED (0x800704F1) .

    W poniższej tabeli przedstawiono mapowanie pełne informacje dotyczące błędów.

    SzesnastkowyDziesiętnySymbolicznePrzyjazny
    0x4f11265ERROR_DOWNGRADE_DETECTEDSystem nie może skontaktować się z kontrolera domeny do obsługi żądania uwierzytelniania. Spróbuj ponownie później.


    Rozwiązanie

    MS16-101 opublikowano ponownie w celu rozwiązania tego problemu. Zainstaluj najnowszą wersję aktualizacji ten biuletyn, aby rozwiązać ten problem.

  • Znany problem 4

    Nie można zmienić hasła do kont użytkowników niepełnosprawnych i zablokowane za pomocą pakietu negotiate.


    Zmiany hasła dla konta wyłączone i zablokowane będzie nadal działać, korzystając z innych metod, takich jak kiedy przy użyciu protokołu LDAP bezpośrednio modyfikować operacji. Na przykład polecenia cmdlet programu PowerShell Zestaw ADAccountPassword używa "Modyfikowanie LDAP" operacji zmiany hasła i pozostaje bez zmian.

    Obejście problemu

    Konta te wymagają resetować hasła administratora. To zachowanie jest zgodne z projektem po zainstalowaniu poprawki MS16-101 i później.

  • Znany problem 5

    Aplikacje używające NetUserChangePassword API i który przekazać w parametrze nazwa_domeny servername przestanie działać po MS16-101 i późniejsze aktualizacje są instalowane.

    Dokumentacja firmy Microsoft stwierdza, że podanie nazwy serwera zdalnego w parametrze nazwa_domeny funkcji NetUserChangePassword jest obsługiwany. Na przykład następujące Państwa temat Dotyczący funkcji NetUserChangePassword :

    nazwa_domeny [w]
    Wskaźnik do stałej ciąg, który określa nazwę DNS lub NetBIOS serwera zdalnego lub domeny, na którym funkcja ma wykonać. Jeśli ten parametr ma wartość NULL, jest używana domena logowania wywołującego.
    Jednakże niniejsze wytyczne została zastąpiona przez MS16-101, chyba że resetowania hasła jest dla lokalnego konta na komputerze lokalnym. Post MS16-101, w celu zmiany hasła użytkownika domeny do pracy, należy przekazać prawidłową nazwą domeny DNS do funkcji API NetUserChangePassword.
  • Znany problem 6



    Po zastosowaniu tej aktualizacji zabezpieczeń i drukujesz wiele dokumentów w odstępie czasu, pierwsze dwa dokumenty mogą drukować pomyślnie. Trzeciej i następnych dokumentów nie może drukować.

    Aby rozwiązać ten problem, Pobierz aktualizację 3186988 z witryny Wykazu usługi Microsoft Update .





    Ten problem został rozwiązany również w biuletynie zabezpieczeń firmy Microsoft MS16-106.



  • Znany problem 7

    Po zainstalowaniu aktualizacji zabezpieczeń, które są opisane w MS16-101, zdalne, nie programistyczny zmiany hasła konta użytkownika lokalnego, a zmiany hasła w całym lesie niezaufanych.


    Ta operacja nie powiedzie się, ponieważ operacja opiera się na NTLM awaryjne, który nie jest już obsługiwana dla kont nielokalne po zainstalowaniu MS16-101.


    Wpis rejestru jest pod warunkiem, że można użyć, aby wyłączyć tę zmianę.

    Ostrzeżenie: To obejście może narazić komputer lub sieć na ataki złośliwych użytkowników lub złośliwego oprogramowania, takiego jak wirusy. Firma Microsoft nie zaleca tego obejścia, ale podaje te informacje, aby umożliwić zastosowanie według uznania użytkownika. Stosujesz to obejście na własną odpowiedzialność.

    Ważne Niniejsza sekcja, metoda lub zadanie zawiera informacje dotyczące modyfikowania rejestru. Jednak niepoprawne zmodyfikowanie rejestru może spowodować poważne problemy. W związku z tym upewnij się, że wykonujesz następujące kroki ostrożnie. Aby zapewnić sobie dodatkową ochronę, wykonaj kopię zapasową rejestru przed przystąpieniem do modyfikacji. Wtedy będziesz mógł przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    322756 Jak wykonać kopię zapasową i przywrócić rejestr w systemie Windows


    Aby wyłączyć tę zmianę, należy ustawić wpis DWORD NegoAllowNtlmPwdChangeFallback do używania na wartość 1 (jeden).


    Ważne Ustawienie wpisu rejestru NegoAllowNtlmPwdChangeFallback na wartość 1 wyłączy tę poprawkę zabezpieczeń:
    Wartość rejestruOpis
    0Wartość domyślna. Rezerwa jest zabronione.
    1Rezerwa będzie zawsze dozwolone. Poprawka zabezpieczeń jest wyłączone. Klientów, którzy mają problemy z zdalnego kont lokalnych lub niezaufanego lasu scenariuszy można ustawić tej wartości rejestru.
    Aby dodać te wartości rejestru, wykonaj następujące kroki:
    1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit w polu Otwórz , a następnie kliknij przycisk OK.
    2. Zlokalizuj i kliknij następujący podklucz w rejestrze:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
    3. W menu Edycja wskaż polecenie Nowy, a następnie kliknij polecenie Wartość DWORD.
    4. Wpisz NegoAllowNtlmPwdChangeFallback jako nazwę wartości DWORD, a następnie naciśnij klawisz ENTER.
    5. Kliknij prawym przyciskiem myszy NegoAllowNtlmPwdChangeFallback, a następnie kliknij polecenie Modyfikuj.
    6. W polu Dane wartości wpisz 1 , aby wyłączyć tę zmianę, a następnie kliknij przycisk OK.


      Uwaga Aby przywrócić wartość domyślną, wpisz 0 (zero), a następnie kliknij przycisk OK.
    Stan

    Przyczyną tego problemu jest zrozumiałe. Ten artykuł będzie aktualizowany o dodatkowe szczegóły dotyczące staną się one dostępne.

Jak uzyskać tę aktualizację

Ważne Jeśli po zainstalowaniu tej aktualizacji zainstalowany zostanie pakiet językowy, należy ponownie zainstalować tę aktualizację. Dlatego przed zainstalowaniem tej aktualizacji zaleca się zainstalowanie potrzebnego pakietu językowego. Aby uzyskać więcej informacji zobacz Dodawanie pakietów językowych systemu Windows.

Metoda 1: Usługi Windows Update

Ta aktualizacja zostanie pobrana i zainstalowana automatycznie.

Metoda 2: Katalog Microsoft Update

Aby uzyskać pakiet autonomiczny tej aktualizacji, przejdź do witryny sieci Web Wykazu usługi Microsoft Update .

Wymagania wstępne

Nie ma żadnych wymagań wstępnych dotyczących instalowania tej aktualizacji.

Informacje dotyczące ponownego uruchamiania

Po zastosowaniu tej aktualizacji należy ponownie uruchomić komputer.

Informacje dotyczące zastępowania aktualizacji

Ta aktualizacja zastępuje wcześniej wydaną aktualizację 3172985.

Informacje o pliku

Aby uzyskać listę plików, które znajdują się w tej aktualizacji zbiorczej, pobierz informacje o plikach aktualizacji zbiorczej 3176493.

Powiązane artykuły

Zobacz więcej informacji na temat terminologii stosowanej przez firmę Microsoft do opisywania aktualizacji oprogramowania.
Właściwości

Identyfikator artykułu: 3176493 — ostatni przegląd: 08.01.2017 — zmiana: 1

Opinia