Actualização cumulativa para o Windows 10: 9 de Agosto de 2016

Problemas conhecidos desta actualização de segurança

• Problema conhecido 1 As actualizações de segurança que são fornecidos no MS16-101 e mais recentes actualizações de desactivar a capacidade do processo de negociar reverter para NTLM quando a autenticação Kerberos falha por palavra-passe alteram operações com o STATUS_NO_LOGON_SERVERS (0xc000005e) código de erro. Nesta situação, poderá receber um dos seguintes códigos de erro.

  Hexadecimal	Decimal	Simbólica	Amigável
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	O sistema detectou uma tentativa possível de comprometer a segurança. Certifique-se de que pode contactar o servidor que autenticou.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	O sistema detectou uma tentativa possível de comprometer a segurança. Certifique-se de que pode contactar o servidor que autenticou.

  Solução alternativa Se as alterações de palavra-passe que anteriormente tenha tido êxito falharem após a instalação do MS16-101, é provável que as alterações de palavra-passe foram anteriormente depender de reversão NTLM uma vez que não conseguia Kerberos. Para alterar as palavras-passe com êxito utilizando protocolos de Kerberos, siga estes passos:

  1. Configure comunicação abertas na porta TCP 464 entre os clientes que tenham instalado o MS16-101 e controlador de domínio que está a assistir reposições de palavra-passe. Se o utilizador é permitido pela política de replicação de palavras-passe RODCs de controladores de domínio só de leitura (RODCs) podem serviço reposições de palavra-passe personalizada. Os utilizadores que não são permitidos pela política de palavra-passe RODC requerem conectividade de rede para um controlador de domínio de leitura/escrita (RWDC) do domínio de conta de utilizador. Nota Para verificar se a porta TCP 464 está aberta, siga estes passos:

     1. Crie um filtro de visualização equivalente para o analisador de monitor de rede. Por exemplo:

        ipv4.address== <ip address of client> && tcp.port==464

     2. Nos resultados, procure o "TCP: [SynReTransmit" moldura.

  2. Certifique-se de que os nomes de Kerberos de destino são válidos. (Endereços IP não são válidos para o protocolo Kerberos. Kerberos suporta os nomes abreviados e nomes de domínio totalmente qualificado.)

  3. Certifique-se de que nomes principais de serviço (SPN) estão correctamente registados. Para mais informações, consulte Kerberos e reposição de palavra-passe Self-Service.

• Problema conhecido 2 Sabemos sobre um problema no qual repõe programática palavra-passe de utilizador do domínio contas falharem e devolvem o código de erro STATUS_DOWNGRADE_DETECTED (0x800704F1) se a falha esperada é um dos seguintes:

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (raramente devolvido)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  A tabela seguinte mostra o mapeamento de completa do erro.

  Hexadecimal	Decimal	Simbólica	Amigável
  0x56	86	ERROR_INVALID_PASSWORD	A palavra-passe de rede especificado não está correcta.
  0x267	615	ERROR_PWD_TOO_SHORT	A palavra-passe fornecida é demasiado curta para satisfazer a política da sua conta de utilizador. Forneça uma palavra-passe mais longa.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Quando tentar actualizar uma palavra-passe, o estado devolvido indica que o valor que foi fornecido com a palavra-passe actual está incorrecto.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Quando tentar actualizar uma palavra-passe, o estado devolvido indica que alguma regra de actualização da palavra-passe foi violada. Por exemplo, a palavra-passe não pode satisfazer os critérios de comprimento.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	O sistema não consegue contactar um controlador de domínio para assistirem o pedido de autenticação. Tente novamente mais tarde.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	O sistema não consegue contactar um controlador de domínio para assistirem o pedido de autenticação. Tente novamente mais tarde.

  Resolução deMS16-101 foi publicado novamente para resolver este problema. Instale a versão mais recente das actualizações para este boletim resolver este problema.

• Problema conhecido 3 Sabemos sobre um problema em que repõe programática de alterações de palavra-passe de conta de utilizador local pode falhar e devolver o código de erro STATUS_DOWNGRADE_DETECTED (0x800704F1) . A tabela seguinte mostra o mapeamento de completa do erro.

  Hexadecimal	Decimal	Simbólica	Amigável
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	O sistema não consegue contactar um controlador de domínio para assistirem o pedido de autenticação. Tente novamente mais tarde.

  Resolução deMS16-101 foi publicado novamente para resolver este problema. Instale a versão mais recente das actualizações para este boletim resolver este problema.

• Problema conhecido 4 Palavras-passe para contas de utilizador desactivado e bloqueada não podem ser alteradas utilizando o pacote negotiate. Alterações de palavra-passe para contas desactivadas e bloqueada continuará a funcionar quando utilizar outros métodos como quando utilizar um LDAP modificar operação directamente. Por exemplo, o cmdlet PowerShell Conjunto ADAccountPassword utiliza uma operação "LDAP modificar" para alterar a palavra-passe e não é afectado. Solução alternativa Estas contas necessitam de um administrador efectuar as reposições de palavra-passe. Este comportamento ocorre por predefinição depois de instalar correcções 101 de MS16 e posteriores.

• Problema conhecido 5 Aplicações que utilizam as NetUserChangePassword API e uma nomeservidor que passar o parâmetro de NomeDomínio deixará de funcionar depois de MS16-101 e actualizações mais recentes são instalados. Documentação da Microsoft indica que a fornecer um nome de servidor remoto no parâmetro de nome de domínio da função NetUserChangePassword é suportado. Por exemplo, o tópico do MSDN NetUserChangePassword função indica o seguinte: NomeDomínio [in]

  Um ponteiro para uma cadeia constante que especifica o nome DNS ou NetBIOS de um domínio no qual vai executar a função ou um servidor remoto. Se este parâmetro for NULL, o domínio de início de sessão do chamador é utilizado.No entanto, esta orientação foi substituído pelo MS16-101, a menos que repor a palavra-passe é uma conta local no computador local. Post MS16-101, para que as alterações da palavra-passe de utilizador do domínio trabalhar, tem de passar um nome de domínio DNS válido para a API NetUserChangePassword.

• Problema conhecido 6 Depois de aplicar esta actualização de segurança e, em seguida, imprimir vários documentos sucessivamente, os primeiros dois documentos podem imprimir com êxito mas não podem imprimir os documentos de terceiros e subsequentes. Para resolver este problema, efectue um dos seguintes procedimentos:

  • Instale a actualização 3187022. Para mais informações, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:

    3187022 a funcionalidade de impressão é interrompida depois de qualquer das actualizações de segurança de MS16-098 estiver instalado

  • Instale a actualização 3186987 no Web site do Catálogo do Microsoft Update .

  Este problema também é resolvido no boletim de segurança da Microsoft MS16-106.

• Problema conhecido 7 Depois de instalar as actualizações de segurança que são descritas no MS16-101, remoto, alterações programáticas de uma palavra-passe da conta de utilizador local e alterações de palavra-passe em toda a floresta não fidedigna falham. Esta operação falhar porque a operação depende de NTLM queda de retorno, que já não é suportado para contas não locais após a instalação do MS16-101. É uma entrada de registo desde que pode utilizar para desactivar esta alteração. Aviso esta medida pode tornar um computador ou de uma rede mais vulnerável a ataques de utilizadores mal intencionados ou software malicioso como vírus. A Microsoft não recomenda esta solução alternativa, mas fornece estas informações para que possa implementá-la à sua própria responsabilidade. Utilize esta solução alternativa na sua conta e risco. Importantenesta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorrectamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para uma maior protecção, efectuar cópias de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar cópias de segurança e restaurar o registo, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:

  322756 Como efectuar cópias de segurança e restaurar o registo no WindowsPara desactivar esta alteração, defina a entrada DWORD de NegoAllowNtlmPwdChangeFallback para utilizar um valor de 1 (um). Importante Definir a entrada de registo NegoAllowNtlmPwdChangeFallback para um valor de 1 irá desactivar esta correcção de segurança:

  Valor de registo	Descrição
  0	Valor predefinido. Reversão é impedida.
  1	Reversão é sempre permitido. A correcção de segurança está desactivada. Os clientes que estão a ter problemas com cenários de floresta não fidedigno ou de contas locais remotos podem definir o registo para este valor.

  Para adicionar estes valores de registo, siga estes passos:

  1. Clique em Iniciar, clique em Executar, escreva regedit na caixa Abrir e, em seguida, clique em OK.

  2. Localize e, em seguida, clique na seguinte subchave no registo:

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

  3. No menu Editar , aponte para Novoe, em seguida, clique em Valor DWORD.

  4. Escreva NegoAllowNtlmPwdChangeFallback para o nome da DWORD e, em seguida, prima ENTER.

  5. NegoAllowNtlmPwdChangeFallbackcom o botão direito e, em seguida, clique em Modificar.

  6. Na caixa dados do valor , escreva 1 para desactivar esta alteração e, em seguida, clique em OK. Nota Para restaurar o valor predefinido, escreva 0 (zero) e, em seguida, clique em OK.

  Estado Entende-se a causa raiz deste problema. Este artigo será actualizado com detalhes adicionais à medida que vão ficando disponíveis.

Método 1: O Windows Update

Esta actualização será transferida e instalada automaticamente.

Método 2: O catálogo do Microsoft Update

Para obter o pacote autónomo para esta actualização, vá para o Web site do Catálogo do Microsoft Update .

Pré-requisitos

Não existem pré-requisitos para instalar esta actualização.

Informações sobre reinício

Tem de reiniciar o computador depois de aplicar esta actualização.

Actualizar informações de substituição

Esta actualização substitui a actualização disponibilizada anteriormente 3163912.