Ważne Ten artykuł zawiera informacje, które opisują, jak obniżyć poziom zabezpieczeń lub jak wyłączyć funkcje zabezpieczeń na komputerze. Można wprowadzić te zmiany w celu obejścia określonego problemu. Przed wprowadzeniem tych zmian zaleca się dokonanie oceny zagrożenia związanego z zastosowaniem tego obejścia w danym środowisku. Jeżeli zastosujesz to obejście, należy podjąć odpowiednie kroki dodatkowe, aby pomóc w ochronie komputera.
Streszczenie
Ta aktualizacja zabezpieczeń zawiera ulepszenia i poprawki w funkcjonalności Windows 10 wersji 1511. Eliminuje to również następujące luki w systemie Windows:
-
3177356 MS16-095: Zbiorcza aktualizacja zabezpieczeń dla programu Internet Explorer: 9 sierpnia 2016
-
3177358 MS16-096: Zbiorcza aktualizacja zabezpieczeń dla programu Microsoft Edge: 9 sierpnia 2016
-
3177393 MS16-097: Aktualizacja zabezpieczeń dla składnika grafiki firmy Microsoft: 9 sierpnia 2016
-
3178466 MS16-098: Aktualizacja zabezpieczeń dla sterowników trybu jądra: 9 sierpnia 2016
-
3178465 MS16-101: Aktualizacja zabezpieczeń dla metody uwierzytelniania systemu Windows: 9 sierpnia 2016
-
3182248 MS16-102: Aktualizacja zabezpieczeń dla biblioteki Microsoft Windows PDF: 9 sierpnia 2016
-
3182332 MS16-103: Aktualizacja zabezpieczeń dla ActiveSyncProvider: 9 sierpnia 2016
Aktualizacje systemu Windows 10 mają charakter kumulacyjny. W związku z tym ten pakiet zawiera wszystkie poprzednio wydane poprawki. Jeśli zainstalowano wcześniejsze aktualizacje, tylko nowe poprawki, które są zawarte w tym pakiecie, zostaną pobrane i zainstalowane na tym komputerze. Jeśli instalujesz pakiet aktualizacji systemu Windows 10 po raz pierwszy, pakiet dla wersji x86 zajmuje 502 MB i pakiet dla wersji x64 916 MB.
Więcej informacji
Znane problemy w tej aktualizacji zabezpieczeń
-
Znany problem 1MS16-101 i nowsze aktualizacje należy wyłączyć proces Negotiate możliwość powrotu do NTLM w przypadku niepowodzenia uwierzytelniania Kerberos dla operacji zmiany hasła z kodem błędu STATUS_NO_LOGON_SERVERS (0xc000005e) . W tej sytuacji może pojawić się jeden z następujących kodów błędów.
Aktualizacje zabezpieczeń, które są dostarczane wSzesnastkowy
Dziesiętny
Symboliczne
Przyjazny
0xc0000388
1073740920
STATUS_DOWNGRADE_DETECTED
System wykrył możliwe próby złamania zabezpieczeń. Upewnij się, że możesz skontaktować się z serwerem, który Cię uwierzytelnił.
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
System wykrył możliwe próby złamania zabezpieczeń. Upewnij się, że możesz skontaktować się z serwerem, który Cię uwierzytelnił.
-
Konfigurowanie komunikacji otwarte na porcie TCP 464 między klientów, którzy mają zainstalowany MS16-101 i kontroler domeny, który jest obsługa resetować hasła.
Kontrolery domeny tylko do odczytu (RODC) może obsłużyć resetować hasła Sklep internetowy, jeśli użytkownik jest dozwolone przez zasady replikacji haseł kontrolerów RODC. Użytkownicy, którzy nie są dozwolone przez zasady haseł kontrolera RODC wymagają połączenia z siecią do kontrolera domeny odczytu i zapisu (RWDC) w domenie konta użytkownika. Uwaga Aby sprawdzić, czy TCP port 464 jest otwarty, wykonaj następujące kroki:-
Utwórz filtr wyświetlana równoważne dla Twojego parser monitora sieci. Na przykład:
ipv4.address== <ip address of client> && tcp.port==464
-
W wynikach wyszukiwania "TCP: [SynReTransmit" ramki.
-
-
Upewnij się, że nazwy protokołu Kerberos docelowej są prawidłowe. (Adresy IP nie są prawidłowe dla protokołu Kerberos. Krótkie nazwy obsługuje protokół Kerberos i w pełni kwalifikowane nazwy domen.)
-
Upewnij się, że nazwy główne usługi (SPN) są zarejestrowane poprawnie.Kerberos i samoobsługowego resetowania hasła.
Aby uzyskać więcej informacji zobacz
-
-
Znany problem 2
O problemie, wiemy, w których resetować hasła programistyczny użytkownika domeny konta się nie powieść i zwrócić kod błędu STATUS_DOWNGRADE_DETECTED (0x800704F1) , jeżeli przewidywany błąd jest jedną z następujących czynności:-
ERROR_INVALID_PASSWORD
-
ERROR_PWD_TOO_SHORT (rzadko zwrócone)
-
STATUS_WRONG_PASSWORD
-
STATUS_PASSWORD_RESTRICTION
Szesnastkowy
Dziesiętny
Symboliczne
Przyjazny
0x56
86
ERROR_INVALID_PASSWORD
Określone hasło sieciowe nie jest poprawny.
0x267
615
ERROR_PWD_TOO_SHORT
Hasło, które zostało dostarczone jest zbyt krótki, by niezgodne z zasadami wykorzystywania tego konta użytkownika. Proszę podać dłuższe hasło.
0xc000006a
-1073741718
STATUS_WRONG_PASSWORD
Podczas próby aktualizacji hasła oznacza to, że wartość, która została podana jako bieżące hasło jest niepoprawna.
0xc000006c
-1073741716
STATUS_PASSWORD_RESTRICTION
Podczas próby aktualizacji hasła oznacza to, że naruszono pewne reguły aktualizacji haseł. Na przykład hasło mogą nie spełniać kryteriów długości.
0x800704F1
1265
STATUS_DOWNGRADE_DETECTED
System nie może skontaktować się z kontrolera domeny do obsługi żądania uwierzytelniania. Spróbuj ponownie później.
0xc0000388
-1073740920
STATUS_DOWNGRADE_DETECTED
System nie może skontaktować się z kontrolera domeny do obsługi żądania uwierzytelniania. Spróbuj ponownie później.
MS16-101 opublikowano ponownie w celu rozwiązania tego problemu. Zainstaluj najnowszą wersję aktualizacji ten biuletyn, aby rozwiązać ten problem.
Rozwiązanie -
-
Znany problem 3
Wiemy o problemie, w którym programowy resetuje zmiany hasła konta użytkownika lokalnego może się nie powieść i zwrócić kod błędu STATUS_DOWNGRADE_DETECTED (0x800704F1) . W poniższej tabeli przedstawiono mapowanie pełne informacje dotyczące błędów.Szesnastkowy
Dziesiętny
Symboliczne
Przyjazny
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
System nie może skontaktować się z kontrolera domeny do obsługi żądania uwierzytelniania. Spróbuj ponownie później.
MS16-101 opublikowano ponownie w celu rozwiązania tego problemu. Zainstaluj najnowszą wersję aktualizacji ten biuletyn, aby rozwiązać ten problem.
Rozwiązanie -
Znany problem 4
Nie można zmienić hasła do kont użytkowników niepełnosprawnych i zablokowane za pomocą pakietu negotiate. Zmiany hasła dla konta wyłączone i zablokowane będzie nadal działać, korzystając z innych metod, takich jak kiedy przy użyciu protokołu LDAP bezpośrednio modyfikować operacji. Na przykład polecenia cmdlet programu PowerShell Zestaw ADAccountPassword używa "Modyfikowanie LDAP" operacji zmiany hasła i pozostaje bez zmian. Obejście problemu Konta te wymagają resetować hasła administratora. To zachowanie jest zgodne z projektem po zainstalowaniu poprawki MS16-101 i później. -
Znany problem 5funkcji NetUserChangePassword : nazwa_domeny [w]
Aplikacje używające NetUserChangePassword API i który przekazać w parametrze nazwa_domeny servername przestanie działać po MS16-101 i późniejsze aktualizacje są instalowane. Dokumentacja firmy Microsoft stwierdza, że podanie nazwy serwera zdalnego w parametrze nazwa_domeny funkcji NetUserChangePassword jest obsługiwany. Na przykład następujące Państwa temat dotyczącyWskaźnik do stałej ciąg, który określa nazwę DNS lub NetBIOS serwera zdalnego lub domeny, na którym funkcja ma wykonać. Jeśli ten parametr ma wartość NULL, jest używana domena logowania wywołującego.Jednakże niniejsze wytyczne została zastąpiona przez MS16-101, chyba że resetowania hasła jest dla lokalnego konta na komputerze lokalnym. Post MS16-101, w celu zmiany hasła użytkownika domeny do pracy, należy przekazać prawidłową nazwą domeny DNS do funkcji API NetUserChangePassword.
-
Znany problem 6Wykazu usługi Microsoft Update . Ten problem został rozwiązany również w biuletynie zabezpieczeń firmy Microsoft MS16-106.
Po zastosowaniu tej aktualizacji zabezpieczeń i drukujesz wiele dokumentów w odstępie czasu, pierwsze dwa dokumenty mogą drukować pomyślnie. Trzeciej i następnych dokumentów nie może drukować. Aby rozwiązać ten problem, Pobierz aktualizację 3186988 z witryny -
Znany problem 7MS16-101, zdalne, nie programistyczny zmiany hasła konta użytkownika lokalnego, a zmiany hasła w całym lesie niezaufanych. Ta operacja nie powiedzie się, ponieważ operacja opiera się na NTLM awaryjne, który nie jest już obsługiwana dla kont nielokalne po zainstalowaniu MS16-101. Wpis rejestru jest pod warunkiem, że można użyć, aby wyłączyć tę zmianę. Ostrzeżenie: To obejście może narazić komputer lub sieć na ataki złośliwych użytkowników lub złośliwego oprogramowania, takiego jak wirusy. Firma Microsoft nie zaleca tego obejścia, ale podaje te informacje, aby umożliwić zastosowanie według uznania użytkownika. Stosujesz to obejście na własną odpowiedzialność. Ważne Niniejsza sekcja, metoda lub zadanie zawiera informacje dotyczące modyfikowania rejestru. Jednak niepoprawne zmodyfikowanie rejestru może spowodować poważne problemy. W związku z tym upewnij się, że wykonujesz następujące kroki ostrożnie. Aby zapewnić sobie dodatkową ochronę, wykonaj kopię zapasową rejestru przed przystąpieniem do modyfikacji. Wtedy będziesz mógł przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
Po zainstalowaniu aktualizacji zabezpieczeń, które są opisane w322756 Jak wykonać kopię zapasową i przywrócić rejestr w systemie Windows Aby wyłączyć tę zmianę, należy ustawić wpis DWORD NegoAllowNtlmPwdChangeFallback do używania na wartość 1 (jeden). Ważne Ustawienie wpisu rejestru NegoAllowNtlmPwdChangeFallback na wartość 1 wyłączy tę poprawkę zabezpieczeń:
Wartość rejestru
Opis
0
Wartość domyślna. Rezerwa jest zabronione.
1
Rezerwa będzie zawsze dozwolone. Poprawka zabezpieczeń jest wyłączone. Klientów, którzy mają problemy z zdalnego kont lokalnych lub niezaufanego lasu scenariuszy można ustawić tej wartości rejestru.
Aby dodać te wartości rejestru, wykonaj następujące kroki:
-
Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit w polu Otwórz , a następnie kliknij przycisk OK.
-
Zlokalizuj i kliknij następujący podklucz w rejestrze:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
-
W menu Edycja wskaż polecenie Nowy, a następnie kliknij polecenie Wartość DWORD.
-
Wpisz NegoAllowNtlmPwdChangeFallback jako nazwę wartości DWORD, a następnie naciśnij klawisz ENTER.
-
Kliknij prawym przyciskiem myszy NegoAllowNtlmPwdChangeFallback, a następnie kliknij polecenie Modyfikuj.
-
W polu Dane wartości wpisz 1 , aby wyłączyć tę zmianę, a następnie kliknij przycisk OK.
Uwaga Aby przywrócić wartość domyślną, wpisz 0 (zero), a następnie kliknij przycisk OK.
Stan
Przyczyną tego problemu jest zrozumiałe. Ten artykuł będzie aktualizowany o dodatkowe szczegóły dotyczące staną się one dostępne. -
Jak uzyskać tę aktualizację
Ważne Jeśli po zainstalowaniu tej aktualizacji zainstalowany zostanie pakiet językowy, należy ponownie zainstalować tę aktualizację. Dlatego przed zainstalowaniem tej aktualizacji zaleca się zainstalowanie potrzebnego pakietu językowego. Aby uzyskać więcej informacji zobacz Dodawanie pakietów językowych systemu Windows.
Metoda 1: Usługi Windows Update
Ta aktualizacja zostanie pobrana i zainstalowana automatycznie.
Metoda 2: Katalog Microsoft Update
Aby uzyskać pakiet autonomiczny tej aktualizacji, przejdź do witryny sieci Web Katalogu usługi Microsoft Update .
Wymagania wstępne
Nie ma żadnych wymagań wstępnych dotyczących instalowania tej aktualizacji.
Informacje dotyczące ponownego uruchamiania
Po zastosowaniu tej aktualizacji należy ponownie uruchomić komputer.
Informacje dotyczące zastępowania aktualizacji
Ta aktualizacja zastępuje wcześniej wydaną aktualizację 3172985.
Informacje o pliku
Aby uzyskać listę plików, które znajdują się w tej aktualizacji zbiorczej, pobierz informacje o plikach aktualizacji zbiorczej 3176493.
Powiązane artykuły
Zobacz więcej informacji na temat terminologii stosowanej przez firmę Microsoft do opisywania aktualizacji oprogramowania.