MS16-101: Opis aktualizacji zabezpieczeń dla metod uwierzytelniania systemu Windows: 9 sierpnia 2016 r.

Podsumowanie

Ta aktualizacja zabezpieczeń usuwa wiele luk w zabezpieczeniach systemu Microsoft Windows. Luki w zabezpieczeniach umożliwiają podniesienie uprawnień, jeśli osoba atakująca uruchomi specjalnie spreparowaną aplikację w systemie przyłączonym do domeny.

Aby uzyskać więcej informacji na temat luki w zabezpieczeniach, zobacz Biuletyn zabezpieczeń firmy Microsoft MS16-101.

Więcej informacji

Ważne

• Wszystkie przyszłe aktualizacje zabezpieczeń i niezwiązane z zabezpieczeniami dla systemów Windows 8,1 i Windows Server 2012 R2 wymagają zainstalowania aktualizacji 2919355 . Zalecamy zainstalowanie aktualizacji 2919355 na komputerze z systemem Windows 8,1 lub windows Server 2012 R2, aby otrzymywać przyszłe aktualizacje.

• Jeśli pakiet językowy został zainstalowany po zainstalowaniu tej aktualizacji, należy ponownie zainstalować tę aktualizację. Dlatego zalecamy zainstalowanie wszelkich potrzebnych pakietów językowych przed zainstalowaniem tej aktualizacji. Aby uzyskać więcej informacji, zobacz Dodawanie pakietów językowych do systemu Windows.
  

Znane problemy dotyczące tej aktualizacji zabezpieczeń

• Znany problem 1
  
  aktualizacje zabezpieczeń, które są dostępne w MS16-101 i nowszych, wyłączają możliwość procesu negocjowania do uwierzytelniania NTLM, gdy uwierzytelnianie Kerberos nie powiedzie się w przypadku operacji zmiany hasła z kodem błędu STATUS_NO_LOGON_SERVERS (0xC000005E). W takiej sytuacji może zostać wyświetlony dowolny z następujących kodów błędów.
  
  

  Szesnastkowy	Liczbę	Między	Przyjaźni
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	System wykrył możliwe podjęcie próby złamania zabezpieczeń. Upewnij się, że możesz skontaktować się z serwerem, który Cię uwierzytelnił.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	System wykrył możliwe podjęcie próby złamania zabezpieczeń. Upewnij się, że możesz skontaktować się z serwerem, który Cię uwierzytelnił.

  
  
  Obejście
  
  Jeśli zmiany hasła powiodło się po zainstalowaniu programu MS16-101, być może zmiany hasła były uprzednio oparte na pomyślnej rezerwie NTLM, ponieważ wystąpił błąd protokołu Kerberos. Aby pomyślnie zmienić hasła przy użyciu protokołów Kerberos, wykonaj następujące czynności:
  
  
  

  1. Skonfiguruj otwartą komunikację na porcie TCP 464 między klientami, na których zainstalowano MS16-101, oraz kontrolerem domeny obsługującym resetowanie haseł.
     
     Kontrolery domeny tylko do odczytu (RODC) mogą używać funkcji samoobsługowego resetowania haseł, jeśli użytkownik jest dozwolony przez zasady replikacji haseł kontrolerów RODC. Użytkownicy, którzy nie korzystają z zasad haseł kontrolera RODC, wymagają łączności sieciowej z kontrolerem domeny do odczytu/zapisu (RWDC) w domenie kont użytkowników.
     
     Uwaga Aby sprawdzić, czy port TCP 464 jest otwarty, wykonaj następujące czynności:
     
     
     

     1. Utwórz odpowiedni filtr wyświetlania dla analizatora monitora sieci. Na przyk³ad:
        

        IPv4. Address = = <adres IP klienta> && TCP. Port = = 464

     2. W wynikach wyszukiwania Odszukaj ramkę "TCP: [SynReTransmit".
        
        

  2. Upewnij się, że docelowe nazwy protokołu Kerberos są prawidłowe. (Adresy IP są nieprawidłowe dla protokołu Kerberos. Protokół Kerberos obsługuje krótkie nazwy i w pełni kwalifikowane nazwy domen.

  3. Upewnij się, że nazwy podmiotów usługi (SPN) są poprawnie zarejestrowane.
     
     Aby uzyskać więcej informacji, zobacz uwierzytelnianie przy użyciu protokołu Kerberos i Self-Service Resetowanie hasła.

• Znany problem 2
  
  firma Microsoft wie o problemie, w którym programowy resetowanie haseł kont użytkowników domeny kończy się niepowodzeniem i zwraca kod błędu STATUS_DOWNGRADE_DETECTED (0x800704F1), jeśli oczekiwany błąd jest jeden z następujących:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (rzadko zwracane)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  W poniższej tabeli przedstawiono pełne mapowanie błędów.
  
  

  Szesnastkowy	Liczbę	Między	Przyjaźni
  0x56	86	ERROR_INVALID_PASSWORD	Podane hasło sieciowe jest niepoprawne.
  0x267	615	ERROR_PWD_TOO_SHORT	Podane hasło jest zbyt krótkie, co jest niezgodne z zasadami swojego konta użytkownika. Podaj dłuższe hasło.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Podczas próby aktualizacji hasła oznacza to, że wartość podana jako bieżące hasło jest niepoprawna.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Podczas próby zaktualizowania hasła ten stan powrotu wskazuje, że naruszono niektóre reguły aktualizacji haseł. Na przykład hasło może nie odpowiadać kryteriom długości.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	System nie może skontaktować się z kontrolerem domeny w celu obsługi żądania uwierzytelnienia. Spróbuj ponownie później.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	System nie może skontaktować się z kontrolerem domeny w celu obsługi żądania uwierzytelnienia. Spróbuj ponownie później.

  
  
  Rezolucja
  
  MS16-101 została wydana ponownie w celu rozwiązania tego problemu. Aby rozwiązać ten problem, zainstaluj najnowszą wersję aktualizacji dla tego biuletynu.
  
  

• Znany problem 3
  
  wiemy o problemie, w którym programowy Resetowanie zmian hasła konta użytkownika lokalnego może zakończyć się niepowodzeniem i zwrócić STATUS_DOWNGRADE_DETECTED (0x800704F1).
  
  W poniższej tabeli przedstawiono pełne mapowanie błędów.
  
  

  Szesnastkowy	Liczbę	Między	Przyjaźni
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	System nie może skontaktować się z kontrolerem domeny w celu obsługi żądania uwierzytelnienia. Spróbuj ponownie później.

  
  
  Rezolucja
  
  MS16-101 została wydana ponownie w celu rozwiązania tego problemu. Aby rozwiązać ten problem, zainstaluj najnowszą wersję aktualizacji dla tego biuletynu.
  
  

• Znany problem 4
  
  hasła dla wyłączonych i zablokowanych kont użytkowników nie można zmienić przy użyciu pakietu Negotiate.
  
  Zmiany hasła dla kont wyłączonych i zablokowanych będą nadal działać, gdy korzystasz z innych metod, takich jak używanie operacji modyfikowania w protokole LDAP bezpośrednio. Na przykład polecenie cmdlet programu PowerShell Set-ADAccountPassword używa operacji "Modify LDAP", aby zmienić hasło, i pozostaje bez zmian.
  
  Obejście
  
  te konta wymagają od administratora, aby Resetowanie hasła było wymagane. Zachowanie to jest następujące po zainstalowaniu MS16-101 i nowszych poprawek.
  
  

• Znany problem 5 aplikacje korzystające
  
  z interfejsu API NetUserChangePassword i przekazujące serwer w parametrze DomainName nie będą działać po zainstalowaniu aktualizacji MS16-101 i nowszych.
  
  Dokumentacja firmy Microsoft z informacją o tym, że jest obsługiwana nazwa serwera zdalnego w parametrze DomainName funkcji NetUserChangePassword. Na przykład w temacie witryna sieci NetUserChangePassword jest następująca:
  
  nazwa_domeny [in]
  

  Wskaźnik do stałej długooci określający nazwę DNS lub NetBIOS serwera zdalnego lub domeny, na której ma zostać wykonane wykonywanie funkcji. Jeśli ten parametr ma wartość NULL, używana jest domena logowania rozmówcy. Jednak te wskazówki zostały zastąpione przez MS16-101, chyba że hasło zostanie zresetowane dla konta lokalnego na komputerze lokalnym. Post MS16-101, aby zmiana hasła użytkownika domeny działała, należy przekazać prawidłową nazwę domeny DNS do interfejsu API NetUserChangePassword.

• Znany problem 6
  
  po zainstalowaniu aktualizacji zabezpieczeń opisanych w MS16-101, programistyczne zmiany hasła konta użytkownika lokalnego oraz zmiany hasła w niezaufanym lesie nie powiodą się.
  
  
  Ta operacja kończy się niepowodzeniem, ponieważ operacja opiera się na zwrotach NTLM, która nie jest już obsługiwana dla kont nielokalnych po zainstalowaniu MS16-101.
  
  
  W celu wyłączenia tej zmiany można użyć wpisu rejestru.
  
  Ostrzeżenie to obejście może zwiększyć podatność komputera lub sieci na ataki złośliwych użytkowników lub złośliwego oprogramowania, takiego jak wirusy. Firma Microsoft nie zaleca tego obejścia, ale udostępnia te informacje, aby można było zastosować to obejście według własnego uznania. To obejście użytkownicy stosują na własną odpowiedzialność.
  
  ImportantThis sekcja, metoda lub zadanie zawiera instrukcje, które mówią, jak zmodyfikować rejestr. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Dla większego bezpieczeństwa przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

  322756Jak wykonać kopię zapasową rejestru i przywrócić go w systemie Windows w
  
  celu wyłączenia tej zmiany, ustaw wpis DWORD NegoAllowNtlmPwdChangeFallback, tak aby korzystał z wartości 1 (jeden).
  
  
  Ważne ustawienie wpisu rejestru NegoAllowNtlmPwdChangeFallback na wartość 1 spowoduje wyłączenie tej poprawki zabezpieczeń:
  

  Wartość rejestru	Opis
  0,4	Wartość domyślna. Brak możliwości powrotu.
  1	Powrót jest zawsze dozwolony. Poprawka zabezpieczeń jest wyłączona. Klienci, którzy mają problemy ze zdalnymi kontami lokalnymi lub niezaufanymi scenariuszami lasów, mogą ustawić tę wartość w rejestrze.

  Aby dodać te wartości rejestru, wykonaj następujące czynności:
  

  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit w polu Otwórz , a następnie kliknij przycisk OK.

  2. Zlokalizuj i kliknij następujący podklucz rejestru:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. W menu Edycja wskaż polecenie Nowy, a następnie kliknij polecenie Wartość DWORD.

  4. Wpisz NegoAllowNtlmPwdChangeFallback w polu Nazwa wartości DWORD, a następnie naciśnij klawisz ENTER.

  5. Kliknij prawym przyciskiem myszy pozycję NegoAllowNtlmPwdChangeFallback, a następnie kliknij polecenie Modyfikuj.

  6. W polu dane wartości wpisz wartość 1, aby wyłączyć tę zmianę, a następnie kliknij przycisk OK.
     
     
     Uwaga Aby przywrócić wartość domyślną, wpisz 0 (zero), a następnie kliknij przycisk OK.

  Status
  
  główna przyczyna tego problemu jest zrozumiała. Ten artykuł zostanie zaktualizowany o dodatkowe informacje, które staną się dostępne.

Jak uzyskać i zainstalować aktualizację

Metoda 1: Windows Update

Ta aktualizacja jest dostępna za pośrednictwem usługi Windows Update. Po włączeniu funkcji automatycznego aktualizowania ta aktualizacja zostanie pobrana i zainstalowana automatycznie. Aby uzyskać więcej informacji na temat włączania automatycznego aktualizowania, zobacz
Automatyczne uzyskiwanie aktualizacji zabezpieczeń.

Metoda 2: wykaz Microsoft Update

Aby uzyskać pakiet autonomiczny dla tej aktualizacji, przejdź do witryny sieci Web wykazu usługi Microsoft Update .

Więcej informacji

Informacje o plikach