Zbiorcza aktualizacja dla systemu Windows 10:9 sierpnia 2016

Znane problemy w tej aktualizacji zabezpieczeń

• Znany problem 1 Aktualizacje zabezpieczeń, które znajdują się w MS16-101 i nowszych aktualizacji wyłączyć zdolność procesu negocjowania wrócić do NTLM, gdy uwierzytelnianie Kerberos nie powiedzie się dla operacji zmiany hasła z STATUS_NO_LOGON_SERVERS (0xC000005E) kod błędu. W tej sytuacji może zostać wyświetlony jeden z następujących kodów błędów.

  Szesnastkowy	Dziesiętnych	Symboliczne	Przyjazny
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	System wykrył możliwą próbę złamania zabezpieczeń. Proszę się upewnić, że możesz skontaktować się z serwerem, który Cię uwierzytelnił.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	System wykrył możliwą próbę złamania zabezpieczeń. Proszę się upewnić, że możesz skontaktować się z serwerem, który Cię uwierzytelnił.

  Obejście Jeśli zmiany hasła, które wcześniej zakończyło się niepowodzeniem po zainstalowaniu MS16-101, jest prawdopodobne, że zmiany hasła były wcześniej polegał na rezerwowej NTLM, ponieważ Kerberos nie powiodło się. Aby pomyślnie zmienić hasła przy użyciu protokołów Kerberos, wykonaj następujące kroki:

  1. Skonfiguruj otwartą komunikację na porcie TCP 464 między klientami, którzy mają zainstalowany MS16-101 i kontroler domeny, który jest obsługa resetowania hasła. Kontrolery domeny tylko do odczytu (RODC) może Samoobsługowe resetowanie hasła, jeśli użytkownik jest dozwolony przez zasady replikacji haseł kontrolerów RODC. Użytkownicy, którzy nie są dozwolone przez zasady haseł kontrolera RODC wymagają łączności sieciowej z kontrolerem domeny odczytu/zapisu (RWDC) w domenie konta użytkownika. Uwaga Aby sprawdzić, czy port TCP 464 jest otwarty, wykonaj następujące kroki:

     1. Utwórz filtr wyświetlania równoważne dla analizatora monitora sieci. Na przykład:

        ipv4.address== <ip address of client> && tcp.port==464

     2. W wynikach poszukaj "TCP: [SynReTransmit" ramki.

  2. Upewnij się, że docelowe nazwy protokołu Kerberos są prawidłowe. (Adresy IP nie są prawidłowe dla protokołu Kerberos. Protokół Kerberos obsługuje krótkie nazwy i w pełni kwalifikowane nazwy domen.)

  3. Upewnij się, że główne nazwy usług (SPN) są poprawnie zarejestrowane. Aby uzyskać więcej informacji, zobacz Kerberos i Samoobsługowe resetowanie hasła.

• Znany problem 2 Wiemy o problemie, w którym programowe resetowanie haseł kont użytkowników domeny nie powiedzie się i zwraca kod błędu STATUS_DOWNGRADE_DETECTED (0x800704F1) , jeśli oczekiwany błąd jest jedną z następujących czynności:

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (rzadko zwracane)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  W poniższej tabeli przedstawiono mapowanie pełnego błędu.

  Szesnastkowy	Dziesiętnych	Symboliczne	Przyjazny
  0x56	86	ERROR_INVALID_PASSWORD	Określone hasło sieciowe nie jest poprawne.
  0x267	615	ERROR_PWD_TOO_SHORT	Podane hasło jest zbyt krótkie, aby spełnić Zasady konta użytkownika. Proszę podać dłuższe hasło.
  0xc000006a	-1073741718 w	STATUS_WRONG_PASSWORD	Podczas próby zaktualizowania hasła, ten stan zwracany wskazuje, że wartość, która została podana jako bieżące hasło jest niepoprawna.
  0xc000006c	-1073741716 w	STATUS_PASSWORD_RESTRICTION	Podczas próby zaktualizowania hasła, ten stan powrotu wskazuje, że niektóre reguły aktualizacji hasła została naruszona. Na przykład hasło może nie spełniać kryteriów długości.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	System nie może skontaktować się z kontrolerem domeny do obsługi żądania uwierzytelnienia. Spróbuj ponownie później.
  0xc0000388	-1073740920 w	STATUS_DOWNGRADE_DETECTED	System nie może skontaktować się z kontrolerem domeny do obsługi żądania uwierzytelnienia. Spróbuj ponownie później.

  RozdzielczośćMS16-101 został ponownie wydany w celu rozwiązania tego problemu. Aby rozwiązać ten problem, zainstaluj najnowszą wersję aktualizacji tego biuletynu.

• Znany problem 3 Wiemy o problemie, w którym programowe Resetowanie zmiany hasła konta użytkownika lokalnego może zakończyć się niepowodzeniem i zwracają kod błędu STATUS_DOWNGRADE_DETECTED (0x800704F1) . W poniższej tabeli przedstawiono mapowanie pełnego błędu.

  Szesnastkowy	Dziesiętnych	Symboliczne	Przyjazny
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	System nie może skontaktować się z kontrolerem domeny do obsługi żądania uwierzytelnienia. Spróbuj ponownie później.

  RozdzielczośćMS16-101 został ponownie wydany w celu rozwiązania tego problemu. Aby rozwiązać ten problem, zainstaluj najnowszą wersję aktualizacji tego biuletynu.

• Znany problem 4 Hasła dla kont użytkowników wyłączone i zablokowane nie można zmienić przy użyciu pakietu negocjowania. Zmiany hasła dla kont wyłączone i zablokowane będą nadal działać podczas korzystania z innych metod, takich jak podczas korzystania z LDAP operacji modyfikowania bezpośrednio. Na przykład polecenia cmdlet programu PowerShell Set-ADAccountPassword używa operacji "LDAP Modify", aby zmienić hasło i pozostaje nienaruszona. Obejście Te konta wymagają od administratora zresetowanie hasła. To zachowanie jest według projektu po zainstalowaniu MS16-101 i nowszych poprawek.

• Znany problem 5 Aplikacje, które używają interfejsu API Netuserchangepassword i które przekazują nazwa_serwera w parametrze DomainName nie będą działać po zainstalowaniu aktualizacji MS16-101 i nowszych. Dokumentacja firmy Microsoft stwierdza, że dostarczanie nazwy serwera zdalnego w parametrze DomainName funkcji Netuserchangepassword jest obsługiwana. Na przykład Funkcja Netuserchangepassword temat MSDN stwierdza, co następuje: DomainName [w]

  Wskaźnik do stałego ciągu, który określa nazwę DNS lub NetBIOS serwera zdalnego lub domeny, na którym funkcja jest do wykonania. Jeśli ten parametr ma wartość NULL, jest używana domena logowania obiektu wywołującego.Jednak te wskazówki został zastąpiony przez MS16-101, chyba że resetowania hasła jest dla konta lokalnego na komputerze lokalnym. Post MS16-101, aby zmiany hasła użytkownika domeny do pracy, należy przekazać prawidłową nazwę domeny DNS do interfejsu API NetUserChangePassword.

• Znany problem 6 Po zastosowaniu tej aktualizacji zabezpieczeń, a następnie wydrukować wiele dokumentów z rzędu, pierwsze dwa dokumenty mogą być drukowane pomyślnie, ale trzeci i kolejne dokumenty mogą nie być drukowane. Aby rozwiązać ten problem, wykonaj jedną z następujących czynności:

  • Zainstaluj aktualizację 3187022. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

    3187022 funkcje drukowania jest uszkodzony po zainstalowaniu któregokolwiek z aktualizacji zabezpieczeń MS16-098

  • Zainstaluj aktualizację 3186987 z witryny wykazu Microsoft Update .

  Ten problem jest również rozwiązany w biuletynie zabezpieczeń firmy Microsoft MS16-106.

• Znany problem 7 Po zainstalowaniu aktualizacji zabezpieczeń, które są opisane w MS16-101, zdalne, programowe zmiany hasła konta użytkownika lokalnego i zmiany hasła w niezaufanym lesie nie powiedzie się. Ta operacja nie powiedzie się, ponieważ operacja opiera się na NTLM Fall-back, który nie jest już obsługiwana dla kont nielokalnych po zainstalowaniu MS16-101. Wpis rejestru jest pod warunkiem, że można użyć, aby wyłączyć tę zmianę. Ostrzeżenie to obejście może sprawić, że komputer lub sieć będą bardziej narażone na ataki złośliwych użytkowników lub złośliwego oprogramowania, takiego jak wirusy. Nie zaleca się tego obejścia, ale dostarcza te informacje, dzięki czemu można zaimplementować to obejście według własnego uznania. Użyj tego obejścia na własne ryzyko. WażneTa sekcja, metoda lub zadanie zawiera kroki, które informują, jak zmodyfikować rejestr. Jednak Niepoprawne zmodyfikowanie rejestru może spowodować poważne problemy. W związku z tym upewnij się, wykonaj następujące kroki ostrożnie. Aby uzyskać dodatkową ochronę, należy wykonać kopię zapasową rejestru przed przystąpieniem do modyfikacji. Następnie można przywrócić rejestr, jeśli wystąpi problem. Aby uzyskać więcej informacji dotyczących sposobu kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

  322756 Jak wykonać kopię zapasową i przywrócić rejestr w systemie WindowsAby wyłączyć tę zmianę, należy ustawić Negoallowntlmpwdchangefallback wpis DWORD, aby użyć wartości 1 (jeden). Ważne Ustawienie wpisu rejestru Negoallowntlmpwdchangefallback na wartość 1 spowoduje wyłączenie tej poprawki zabezpieczeń:

  Wartość rejestru	Opis
  0	Wartość domyślna. Rezerwa jest uniemożliwiona.
  1	Fallback jest zawsze dozwolone. Poprawka zabezpieczeń jest wyłączona. Klienci mający problemy ze zdalnym kontem lokalnym lub niezaufanymi scenariuszami lasu mogą ustawić tę wartość w rejestrze.

  Aby dodać te wartości rejestru, wykonaj następujące kroki:

  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit w polu Otwórz , a następnie kliknij przycisk OK.

  2. Zlokalizuj i kliknij następujący podklucz w rejestrze:

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

  3. W menu Edycja wskaż polecenie Nowy, a następnie kliknij polecenie Wartość DWORD.

  4. Wpisz Negoallowntlmpwdchangefallback dla nazwy DWORD, a następnie naciśnij Enter.

  5. Kliknij prawym przyciskiem myszy Negoallowntlmpwdchangefallback, a następnie kliknij polecenie Modyfikuj.

  6. W polu dane wartości wpisz 1 , aby wyłączyć tę zmianę, a następnie kliknij przycisk OK. Uwaga Aby przywrócić wartość domyślną, wpisz 0 (zero), a następnie kliknij przycisk OK.

  Status Główną przyczyną tego problemu jest zrozumiałe. Ten artykuł zostanie zaktualizowany o dodatkowe szczegóły, gdy staną się one dostępne.

Metoda 1: Windows Update

Ta aktualizacja zostanie pobrana i zainstalowana automatycznie.

Metoda 2: wykazu Microsoft Update

Aby uzyskać pakiet autonomiczny tej aktualizacji, przejdź do witryny wykazu Microsoft Update .

Wymagania wstępne

Nie ma żadnych wymagań wstępnych dotyczących instalowania tej aktualizacji.

Informacje o ponownym uruchomieniu

Po zastosowaniu tej aktualizacji należy ponownie uruchomić komputer.

Informacje dotyczące zastępowania aktualizacji

Ta aktualizacja zastępuje wcześniej wydaną aktualizację 3163912.