Ważne Ten artykuł zawiera informacje, które pokazują, jak pomóc obniżyć ustawienia zabezpieczeń lub jak wyłączyć funkcje zabezpieczeń na komputerze. Można wprowadzić te zmiany w celu obejścia określonego problemu. Przed wprowadzeniem tych zmian zaleca się dokonanie oceny ryzyka związanego z wdrożeniem tego obejścia w danym środowisku. W przypadku zastosowania tego obejścia należy podjąć odpowiednie kroki dodatkowe, aby pomóc w ochronie komputera.

Podsumowanie

Ta aktualizacja zabezpieczeń zawiera ulepszenia i poprawki w funkcjonalności systemu Windows 10. Rozwiązuje również następujące luki w zabezpieczeniach w systemie Windows:

  • 3177356 MS16-095: Zbiorcza aktualizacja zabezpieczeń dla programu Internet Explorer: 9 sierpnia 2016

  • 3177358 MS16-096: Zbiorcza aktualizacja zabezpieczeń dla programu Microsoft Edge: 9 sierpnia 2016

  • 3177393 MS16-097: Aktualizacja zabezpieczeń dla składnika grafiki firmy Microsoft: 9 sierpnia 2016

  • 3178466 MS16-098: Aktualizacja zabezpieczeń dla sterowników trybu jądra: 9 sierpnia 2016

  • 3178465 MS16-101: Aktualizacja zabezpieczeń dla metod uwierzytelniania systemu Windows: 9 sierpnia 2016

  • 3182248 MS16-102: Aktualizacja zabezpieczeń dla systemu Microsoft Windows PDF Library: 9 sierpnia 2016

  • 3182332 MS16-103: Aktualizacja zabezpieczeń dla ActiveSyncProvider: 9 sierpnia 2016

Aktualizacje systemu Windows 10 kumulują się. W związku z tym ten pakiet zawiera wszystkie poprzednio wydane poprawki. Jeśli zainstalowano wcześniejszych aktualizacji, tylko nowe poprawki, które są zawarte w tym pakiecie zostaną pobrane i zainstalowane na komputerze. Jeśli instalujesz pakiet aktualizacji systemu Windows 10 po raz pierwszy, pakiet dla x86 wersja jest 366 MB i pakiet dla x64 jest wersja 776 MB.

Więcej informacji

Znane problemy w tej aktualizacji zabezpieczeń

  • Znany problem 1 Aktualizacje zabezpieczeń, które znajdują się w MS16-101 i nowszych aktualizacji wyłączyć zdolność procesu negocjowania wrócić do NTLM, gdy uwierzytelnianie Kerberos nie powiedzie się dla operacji zmiany hasła z STATUS_NO_LOGON_SERVERS (0xC000005E) kod błędu. W tej sytuacji może zostać wyświetlony jeden z następujących kodów błędów.

    Szesnastkowy

    Dziesiętnych

    Symboliczne

    Przyjazny

    0xc0000388

    1073740920

    STATUS_DOWNGRADE_DETECTED

    System wykrył możliwą próbę złamania zabezpieczeń. Proszę się upewnić, że możesz skontaktować się z serwerem, który Cię uwierzytelnił.

    0x4f1

    1265

    ERROR_DOWNGRADE_DETECTED

    System wykrył możliwą próbę złamania zabezpieczeń. Proszę się upewnić, że możesz skontaktować się z serwerem, który Cię uwierzytelnił.

    Obejście Jeśli zmiany hasła, które wcześniej zakończyło się niepowodzeniem po zainstalowaniu MS16-101, jest prawdopodobne, że zmiany hasła były wcześniej polegał na rezerwowej NTLM, ponieważ Kerberos nie powiodło się. Aby pomyślnie zmienić hasła przy użyciu protokołów Kerberos, wykonaj następujące kroki:

    1. Skonfiguruj otwartą komunikację na porcie TCP 464 między klientami, którzy mają zainstalowany MS16-101 i kontroler domeny, który jest obsługa resetowania hasła. Kontrolery domeny tylko do odczytu (RODC) może Samoobsługowe resetowanie hasła, jeśli użytkownik jest dozwolony przez zasady replikacji haseł kontrolerów RODC. Użytkownicy, którzy nie są dozwolone przez zasady haseł kontrolera RODC wymagają łączności sieciowej z kontrolerem domeny odczytu/zapisu (RWDC) w domenie konta użytkownika. Uwaga Aby sprawdzić, czy port TCP 464 jest otwarty, wykonaj następujące kroki:

      1. Utwórz filtr wyświetlania równoważne dla analizatora monitora sieci. Na przykład:

        
         
        ipv4.address== <ip address of client> && tcp.port==464
      2. W wynikach poszukaj "TCP: [SynReTransmit" ramki. Podsumowanie ramki

    2. Upewnij się, że docelowe nazwy protokołu Kerberos są prawidłowe. (Adresy IP nie są prawidłowe dla protokołu Kerberos. Protokół Kerberos obsługuje krótkie nazwy i w pełni kwalifikowane nazwy domen.)

    3. Upewnij się, że główne nazwy usług (SPN) są poprawnie zarejestrowane. Aby uzyskać więcej informacji, zobacz Kerberos i Samoobsługowe resetowanie hasła.

  • Znany problem 2 Wiemy o problemie, w którym programowe resetowanie haseł kont użytkowników domeny nie powiedzie się i zwraca kod błędu STATUS_DOWNGRADE_DETECTED (0x800704F1) , jeśli oczekiwany błąd jest jedną z następujących czynności:

    • ERROR_INVALID_PASSWORD

    • ERROR_PWD_TOO_SHORT (rzadko zwracane)

    • STATUS_WRONG_PASSWORD

    • STATUS_PASSWORD_RESTRICTION

    W poniższej tabeli przedstawiono mapowanie pełnego błędu.

    Szesnastkowy

    Dziesiętnych

    Symboliczne

    Przyjazny

    0x56

    86

    ERROR_INVALID_PASSWORD

    Określone hasło sieciowe nie jest poprawne.

    0x267

    615

    ERROR_PWD_TOO_SHORT

    Podane hasło jest zbyt krótkie, aby spełnić Zasady konta użytkownika. Proszę podać dłuższe hasło.

    0xc000006a

    -1073741718 w

    STATUS_WRONG_PASSWORD

    Podczas próby zaktualizowania hasła, ten stan zwracany wskazuje, że wartość, która została podana jako bieżące hasło jest niepoprawna.

    0xc000006c

    -1073741716 w

    STATUS_PASSWORD_RESTRICTION

    Podczas próby zaktualizowania hasła, ten stan powrotu wskazuje, że niektóre reguły aktualizacji hasła została naruszona. Na przykład hasło może nie spełniać kryteriów długości.

    0x800704F1

    1265

    STATUS_DOWNGRADE_DETECTED

    System nie może skontaktować się z kontrolerem domeny do obsługi żądania uwierzytelnienia. Spróbuj ponownie później.

    0xc0000388

    -1073740920 w

    STATUS_DOWNGRADE_DETECTED

    System nie może skontaktować się z kontrolerem domeny do obsługi żądania uwierzytelnienia. Spróbuj ponownie później.

    RozdzielczośćMS16-101 został ponownie wydany w celu rozwiązania tego problemu. Aby rozwiązać ten problem, zainstaluj najnowszą wersję aktualizacji tego biuletynu.

  • Znany problem 3 Wiemy o problemie, w którym programowe Resetowanie zmiany hasła konta użytkownika lokalnego może zakończyć się niepowodzeniem i zwracają kod błędu STATUS_DOWNGRADE_DETECTED (0x800704F1) . W poniższej tabeli przedstawiono mapowanie pełnego błędu.

    Szesnastkowy

    Dziesiętnych

    Symboliczne

    Przyjazny

    0x4f1

    1265

    ERROR_DOWNGRADE_DETECTED

    System nie może skontaktować się z kontrolerem domeny do obsługi żądania uwierzytelnienia. Spróbuj ponownie później.

    RozdzielczośćMS16-101 został ponownie wydany w celu rozwiązania tego problemu. Aby rozwiązać ten problem, zainstaluj najnowszą wersję aktualizacji tego biuletynu.

  • Znany problem 4 Hasła dla kont użytkowników wyłączone i zablokowane nie można zmienić przy użyciu pakietu negocjowania. Zmiany hasła dla kont wyłączone i zablokowane będą nadal działać podczas korzystania z innych metod, takich jak podczas korzystania z LDAP operacji modyfikowania bezpośrednio. Na przykład polecenia cmdlet programu PowerShell Set-ADAccountPassword używa operacji "LDAP Modify", aby zmienić hasło i pozostaje nienaruszona. Obejście Te konta wymagają od administratora zresetowanie hasła. To zachowanie jest według projektu po zainstalowaniu MS16-101 i nowszych poprawek.

  • Znany problem 5 Aplikacje, które używają interfejsu API Netuserchangepassword i które przekazują nazwa_serwera w parametrze DomainName nie będą działać po zainstalowaniu aktualizacji MS16-101 i nowszych. Dokumentacja firmy Microsoft stwierdza, że dostarczanie nazwy serwera zdalnego w parametrze DomainName funkcji Netuserchangepassword jest obsługiwana. Na przykład Funkcja Netuserchangepassword temat MSDN stwierdza, co następuje: DomainName [w]

    Wskaźnik do stałego ciągu, który określa nazwę DNS lub NetBIOS serwera zdalnego lub domeny, na którym funkcja jest do wykonania. Jeśli ten parametr ma wartość NULL, jest używana domena logowania obiektu wywołującego.Jednak te wskazówki został zastąpiony przez MS16-101, chyba że resetowania hasła jest dla konta lokalnego na komputerze lokalnym. Post MS16-101, aby zmiany hasła użytkownika domeny do pracy, należy przekazać prawidłową nazwę domeny DNS do interfejsu API NetUserChangePassword.

  • Znany problem 6 Po zastosowaniu tej aktualizacji zabezpieczeń, a następnie wydrukować wiele dokumentów z rzędu, pierwsze dwa dokumenty mogą być drukowane pomyślnie, ale trzeci i kolejne dokumenty mogą nie być drukowane. Aby rozwiązać ten problem, wykonaj jedną z następujących czynności:

    • Zainstaluj aktualizację 3187022. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

      3187022 funkcje drukowania jest uszkodzony po zainstalowaniu któregokolwiek z aktualizacji zabezpieczeń MS16-098

    • Zainstaluj aktualizację 3186987 z witryny wykazu Microsoft Update .

    Ten problem jest również rozwiązany w biuletynie zabezpieczeń firmy Microsoft MS16-106.

  • Znany problem 7 Po zainstalowaniu aktualizacji zabezpieczeń, które są opisane w MS16-101, zdalne, programowe zmiany hasła konta użytkownika lokalnego i zmiany hasła w niezaufanym lesie nie powiedzie się. Ta operacja nie powiedzie się, ponieważ operacja opiera się na NTLM Fall-back, który nie jest już obsługiwana dla kont nielokalnych po zainstalowaniu MS16-101. Wpis rejestru jest pod warunkiem, że można użyć, aby wyłączyć tę zmianę. Ostrzeżenie to obejście może sprawić, że komputer lub sieć będą bardziej narażone na ataki złośliwych użytkowników lub złośliwego oprogramowania, takiego jak wirusy. Nie zaleca się tego obejścia, ale dostarcza te informacje, dzięki czemu można zaimplementować to obejście według własnego uznania. Użyj tego obejścia na własne ryzyko. WażneTa sekcja, metoda lub zadanie zawiera kroki, które informują, jak zmodyfikować rejestr. Jednak Niepoprawne zmodyfikowanie rejestru może spowodować poważne problemy. W związku z tym upewnij się, wykonaj następujące kroki ostrożnie. Aby uzyskać dodatkową ochronę, należy wykonać kopię zapasową rejestru przed przystąpieniem do modyfikacji. Następnie można przywrócić rejestr, jeśli wystąpi problem. Aby uzyskać więcej informacji dotyczących sposobu kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

    322756 Jak wykonać kopię zapasową i przywrócić rejestr w systemie WindowsAby wyłączyć tę zmianę, należy ustawić Negoallowntlmpwdchangefallback wpis DWORD, aby użyć wartości 1 (jeden). Ważne Ustawienie wpisu rejestru Negoallowntlmpwdchangefallback na wartość 1 spowoduje wyłączenie tej poprawki zabezpieczeń:

    Wartość rejestru

    Opis

    0

    Wartość domyślna. Rezerwa jest uniemożliwiona.

    1

    Fallback jest zawsze dozwolone. Poprawka zabezpieczeń jest wyłączona. Klienci mający problemy ze zdalnym kontem lokalnym lub niezaufanymi scenariuszami lasu mogą ustawić tę wartość w rejestrze.

    Aby dodać te wartości rejestru, wykonaj następujące kroki:

    1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit w polu Otwórz , a następnie kliknij przycisk OK.

    2. Zlokalizuj i kliknij następujący podklucz w rejestrze:

      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

    3. W menu Edycja wskaż polecenie Nowy, a następnie kliknij polecenie Wartość DWORD.

    4. Wpisz Negoallowntlmpwdchangefallback dla nazwy DWORD, a następnie naciśnij Enter.

    5. Kliknij prawym przyciskiem myszy Negoallowntlmpwdchangefallback, a następnie kliknij polecenie Modyfikuj.

    6. W polu dane wartości wpisz 1 , aby wyłączyć tę zmianę, a następnie kliknij przycisk OK. Uwaga Aby przywrócić wartość domyślną, wpisz 0 (zero), a następnie kliknij przycisk OK.

    Status Główną przyczyną tego problemu jest zrozumiałe. Ten artykuł zostanie zaktualizowany o dodatkowe szczegóły, gdy staną się one dostępne.

Jak uzyskać tę aktualizację

Ważne Po zainstalowaniu pakietu językowego po zainstalowaniu tej aktualizacji należy ponownie zainstalować tę aktualizację. Dlatego zaleca się zainstalowanie wszelkich pakietów językowych, które są potrzebne przed zainstalowaniem tej aktualizacji. Aby uzyskać więcej informacji, zobacz Dodawanie pakietów językowych do systemu Windows.

Metoda 1: Windows Update

Ta aktualizacja zostanie pobrana i zainstalowana automatycznie.

Metoda 2: wykazu Microsoft Update

Aby uzyskać pakiet autonomiczny tej aktualizacji, przejdź do witryny wykazu Microsoft Update .

Wymagania wstępne

Nie ma żadnych wymagań wstępnych dotyczących instalowania tej aktualizacji.

Informacje o ponownym uruchomieniu

Po zastosowaniu tej aktualizacji należy ponownie uruchomić komputer.

Informacje dotyczące zastępowania aktualizacji

Ta aktualizacja zastępuje wcześniej wydaną aktualizację 3163912.

Informacje o pliku

Aby uzyskać listę plików, które znajdują się w tej aktualizacji zbiorczej Pobierz Informacje o plikach aktualizacji zbiorczej 3176492.

Informacje

Zapoznaj się z terminologią używaną przez firmę Microsoft do opisywania aktualizacji oprogramowania.

Potrzebna dalsza pomoc?

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów firmy Microsoft

Czy te informacje były pomocne?

Jak zadowalająca jest jakość tłumaczenia?

Co wpłynęło na Twoje wrażenia?

Czy chcesz przekazać jakieś inne uwagi? (Opcjonalnie)

Dziękujemy za opinię!

×