Atualização cumulativa para Windows 10: terça-feira, 9 de agosto de 2016

Problemas conhecidos nesta atualização de segurança

• Problema conhecido 1
  
  As atualizações de segurança que são fornecidas no MS16-101, e as atualizações mais recentes, desativam a capacidade do processo de Negociação de voltar para NTLM quando houver falha na autenticação Kerberos para operações de alteração de senha com o código de erro STATUS_NO_LOGON_SERVERS (0xc000005e). Nesta situação, você pode receber um dos seguintes códigos de erro.
  
  

  Hexadecimal	Decimal	Simbólico	Amigável
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	O sistema detectou uma possível tentativa de comprometer a segurança. Certifique-se de que é possível entrar em contato com o servidor no qual você foi autenticado.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	O sistema detectou uma possível tentativa de comprometer a segurança. Certifique-se de que é possível entrar em contato com o servidor no qual você foi autenticado.

  
  
  Solução alternativa
  
  Se as alterações de senha que foram bem-sucedidas anteriormente falharem após a instalação do MS16-101, é provável que elas tenham dependido previamente do fallback de NTLM, pois o Kerberos apresentou falhas. Para alterar com sucesso as senhas usando os protocolos Kerberos, siga estas etapas:
  
  
  

  1. Configure uma comunicação aberta na porta 464 do TCP entre os clientes que têm o MS16-101 instalado e o controlador de domínio que está atendendo às redefinições de senha.
     
     Os controladores de domínio somente leitura (RODCs) podem atender às redefinições de senha de autosserviço se o usuário tiver permissão da política de replicação de senha dos RODCs. Os usuários que não têm permissão da política de senha do RODC exigem conectividade de rede para um controlador de domínio leitura/gravação (RWDC) no domínio da conta de usuário.
     
     Anotação Para verificar se a porta 464 do TCP está aberta, siga estas etapas:
     
     
     

     1. Crie um filtro de exibição equivalente para o seu analisador de monitor de rede. Por exemplo:
        

        ipv4.address== <ip address of client> && tcp.port==464

     2. Nos resultados, procure pelo quadro "TCP:[SynReTransmit".
        
        

  2. Certifique-se de que os nomes Kerberos de destino são válidos. (Endereços IP inválidos para o protocolo Kerberos. O Kerberos é compatível com nomes curtos e nomes de domínio totalmente qualificados).

  3. Certifique-se de que os nomes principais do serviço (SPN) estão registrados corretamente.
     
     Para obter mais informações, consulte Redefinição de senha do Kerberos e autosserviço.

• Problema conhecido 2
  
  Temos ciência de um problema no qual há uma falha nas redefinições de senha programáticas das contas de usuário do domínio e que retorna o código de erro STATUS_DOWNGRADE_DETECTED (0x800704F1), se a falha esperada for uma das seguintes:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (raramente retornada)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  A tabela a seguir mostra o mapeamento de erros completo.
  
  

  Hexadecimal	Decimal	Simbólico	Amigável
  0x56	86	ERROR_INVALID_PASSWORD	A senha de rede especificada não está correta.
  0x267	615	ERROR_PWD_TOO_SHORT	A senha fornecida é muito curta para atender à política de sua conta de usuário. Forneça uma senha mais longa.
  0xC000006A	-1073741718	STATUS_WRONG_PASSWORD	Ao tentar atualizar uma senha, este status de retorno indica que o valor fornecido como senha atual não está correto.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Ao tentar atualizar uma senha, este status de retorno indica que alguma regra de atualização de senha foi violada. Por exemplo, a senha pode não atender aos critérios de comprimento.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	O sistema não pode entrar em contato com um controlador de domínio para atender à solicitação de autenticação. Tente novamente mais tarde.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	O sistema não pode entrar em contato com um controlador de domínio para atender à solicitação de autenticação. Tente novamente mais tarde.

  
  
  Resolução
  
  O MS16-101 foi relançado para resolver esse problema. Instale a última versão das atualizações desse boletim resolver o problema.
  
  

• Problema conhecido 3
  
  Temos ciência de um problema no qual pode haver uma falha nas redefinições programáticas das alterações de senha da conta de usuário local e que retorna o código de erro STATUS_DOWNGRADE_DETECTED (0x800704F1).
  
  A tabela a seguir mostra o mapeamento de erros completo.
  
  

  Hexadecimal	Decimal	Simbólico	Amigável
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	O sistema não pode entrar em contato com um controlador de domínio para atender à solicitação de autenticação. Tente novamente mais tarde.

  
  
  Resolução
  
  O MS16-101 foi relançado para resolver esse problema. Instale a última versão das atualizações desse boletim resolver o problema.
  
  

• Problema conhecido 4
  
  As senhas para contas de usuário desativadas e bloqueadas não podem ser alteradas.
  
  Solução alternativa
  
  Essas contas exigem que um administrador faça as redefinições de senha. Esse comportamento ocorre por predefinição após a instalação do MS16-101 e as correções posteriores.
  
  

• Problema conhecido 5
  
  Os aplicativos que usam a API NetUserChangePassword e que passam um nome de servidor no parâmetro domainname deixarão de funcionar após a instalação do MS16-101 e das atualizações posteriores.
  
  A documentação da Microsoft afirma que o fornecimento de um nome de servidor remoto no parâmetro domainname da função NetUserChangePassword é permitido. Por exemplo, o tópico MSDN da função NetUserChangePassword afirma o seguinte:
  
  nome_do_domínio [interno]
  

  Um ponteiro para uma cadeia de caracteres constante que especifica o nome de DNS ou NetBIOS de um servidor ou domínio remoto no qual a função seja a execução. Se este parâmetro é NULO, o domínio de logon do chamador é usado. No entanto, essa orientação foi substituída pelo MS16-101, a menos que a redefinição de senha seja para uma conta local no computador local. Após o MS16-101, para que as alterações na senha do usuário do domínio tenham efeito, você precisa transmitir um nome de domínio DNS válido para a API NetUserChangePassword.

• Problema conhecido 6
  
  
  Após aplicar esta atualização de segurança e imprimir vários documentos sucessivamente, os dois primeiros poderão ser impressos com êxito, mas o terceiro documento e os subsequentes poderão não ser impressos.
  
  
  
  Para resolver esse problema, execute um destes procedimentos:

  • Instale a atualização 3187022. Para obter mais informações, clique no número abaixo para ler os artigos na Base de Dados de Conhecimento Microsoft:
    

    3187022 A funcionalidade de impressão é interrompida após a instalação de qualquer uma das atualizações de segurança do MS16-098
    

  • Instale a atualização 3186987 pelo site, no Catálogo do Microsoft Update.

  
  Este problema também é resolvido no Boletim de Segurança da Microsoft MS16-106.
  
  
  

Método 1: Windows Update

Esta atualização será baixada e instalada automaticamente.

Método 2: Catálogo do Microsoft Update

Para obter o pacote autônomo desta atualização, vá para o site do Catálogo do Microsoft Update.

Pré-requisitos

Não há nenhum pré-requisito para instalar essa atualização.

Informação de reinicialização

É necessário reiniciar o computador após aplicar essa atualização.

Informações sobre substituição da atualização

Esta atualização substitui a atualização lançada anteriormente 3163912.