Importante Este artigo contém informações que lhe mostra como pode ajudar as definições de segurança inferiores ou como desactivar as funcionalidades de segurança num computador. Pode efectuar estas alterações para contornar um problema específico. Antes de efectuar estas alterações, recomendamos que avalie os riscos associados à implementação destas medidas no seu ambiente específico. Se implementar esta solução alternativa, tome medidas adicionais adequadas para ajudar a proteger o computador.
Sumário
Esta actualização de segurança inclui melhoramentos e correcções na funcionalidade do Windows 10 versão 1511. Também resolve as seguintes vulnerabilidades no Windows:
-
3177356 MS16-095: actualização de segurança cumulativa para o Internet Explorer: 9 de Agosto de 2016
-
3177358 MS16-096: actualização de segurança cumulativa para o Microsoft Edge: 9 de Agosto de 2016
-
3177393 MS16-097: actualização de segurança para o componente de gráficos da Microsoft: 9 de Agosto de 2016
-
3178466 MS16-098: actualização de segurança para controladores de modo kernel: 9 de Agosto de 2016
-
3178465 MS16-101: actualização de segurança para métodos de autenticação do Windows: 9 de Agosto de 2016
-
3182248 MS16-102: actualização de segurança para a biblioteca do Microsoft Windows PDF: 9 de Agosto de 2016
-
3182332 MS16-103: actualização de segurança para ActiveSyncProvider: 9 de Agosto de 2016
Actualizações do Windows 10 são cumulativas. Por conseguinte, este pacote contém todas as correcções disponibilizadas anteriormente. Se tiver instalado as actualizações anteriores, apenas as novas correcções contidas neste pacote serão transferidas e instaladas no computador. Se estiver a instalar um pacote de actualização do Windows 10 pela primeira vez, o pacote para x86 versão é 502 MB e o pacote para a versão de x64 916 MB.
Mais informações
Problemas conhecidos desta actualização de segurança
-
Problema conhecido 1MS16-101 e actualizações mais recentes desactivar a capacidade do processo de Negotiate para reverter para NTLM quando a autenticação Kerberos falha para operações de alteração de palavra-passe com o código de erro STATUS_NO_LOGON_SERVERS (0xc000005e) . Nesta situação, poderá receber um dos seguintes códigos de erro.
As actualizações de segurança são fornecidas noHexadecimal
Decimal
Simbólica
Amigável
0xc0000388
1073740920
STATUS_DOWNGRADE_DETECTED
O sistema detectou uma tentativa possível de comprometer a segurança. Certifique-se de que pode contactar o servidor que autenticou.
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
O sistema detectou uma tentativa possível de comprometer a segurança. Certifique-se de que pode contactar o servidor que autenticou.
-
Configure comunicação abertas na porta TCP 464 entre os clientes que tenham instalado o MS16-101 e controlador de domínio que está a assistir reposições de palavra-passe.
Se o utilizador é permitido pela política de replicação de palavras-passe RODCs de controladores de domínio só de leitura (RODCs) podem serviço reposições de palavra-passe personalizada. Os utilizadores que não são permitidos pela política de palavra-passe RODC requerem conectividade de rede para um controlador de domínio de leitura/escrita (RWDC) do domínio de conta de utilizador. Nota Para verificar se a porta TCP 464 está aberta, siga estes passos:-
Crie um filtro de visualização equivalente para o analisador de monitor de rede. Por exemplo:
ipv4.address== <ip address of client> && tcp.port==464
-
Nos resultados, procure o "TCP: [SynReTransmit" moldura.
-
-
Certifique-se de que os nomes de Kerberos de destino são válidos. (Endereços IP não são válidos para o protocolo Kerberos. Kerberos suporta os nomes abreviados e nomes de domínio totalmente qualificado.)
-
Certifique-se de que nomes principais de serviço (SPN) estão correctamente registados.Kerberos e reposição de palavra-passe Self-Service.
Para mais informações, consulte
-
-
Problema conhecido 2
Sabemos sobre um problema no qual repõe programática palavra-passe de utilizador do domínio contas falharem e devolvem o código de erro STATUS_DOWNGRADE_DETECTED (0x800704F1) se a falha esperada é um dos seguintes:-
ERROR_INVALID_PASSWORD
-
ERROR_PWD_TOO_SHORT (raramente devolvido)
-
STATUS_WRONG_PASSWORD
-
STATUS_PASSWORD_RESTRICTION
Hexadecimal
Decimal
Simbólica
Amigável
0x56
86
ERROR_INVALID_PASSWORD
A palavra-passe de rede especificado não está correcta.
0x267
615
ERROR_PWD_TOO_SHORT
A palavra-passe fornecida é demasiado curta para satisfazer a política da sua conta de utilizador. Forneça uma palavra-passe mais longa.
0xc000006a
-1073741718
STATUS_WRONG_PASSWORD
Quando tentar actualizar uma palavra-passe, o estado devolvido indica que o valor que foi fornecido com a palavra-passe actual está incorrecto.
0xc000006c
-1073741716
STATUS_PASSWORD_RESTRICTION
Quando tentar actualizar uma palavra-passe, o estado devolvido indica que alguma regra de actualização da palavra-passe foi violada. Por exemplo, a palavra-passe não pode satisfazer os critérios de comprimento.
0x800704F1
1265
STATUS_DOWNGRADE_DETECTED
O sistema não consegue contactar um controlador de domínio para assistirem o pedido de autenticação. Tente novamente mais tarde.
0xc0000388
-1073740920
STATUS_DOWNGRADE_DETECTED
O sistema não consegue contactar um controlador de domínio para assistirem o pedido de autenticação. Tente novamente mais tarde.
MS16-101 foi publicado novamente para resolver este problema. Instale a versão mais recente das actualizações para este boletim resolver este problema.
Resolução -
-
Problema conhecido 3
Sabemos sobre um problema em que repõe programática de alterações de palavra-passe de conta de utilizador local pode falhar e devolver o código de erro STATUS_DOWNGRADE_DETECTED (0x800704F1) . A tabela seguinte mostra o mapeamento de completa do erro.Hexadecimal
Decimal
Simbólica
Amigável
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
O sistema não consegue contactar um controlador de domínio para assistirem o pedido de autenticação. Tente novamente mais tarde.
MS16-101 foi publicado novamente para resolver este problema. Instale a versão mais recente das actualizações para este boletim resolver este problema.
Resolução -
Problema conhecido 4
Palavras-passe para contas de utilizador desactivado e bloqueada não podem ser alteradas utilizando o pacote negotiate. Alterações de palavra-passe para contas desactivadas e bloqueada continuará a funcionar quando utilizar outros métodos como quando utilizar um LDAP modificar operação directamente. Por exemplo, o cmdlet PowerShell Conjunto ADAccountPassword utiliza uma operação "LDAP modificar" para alterar a palavra-passe e não é afectado. Solução alternativa Estas contas necessitam de um administrador efectuar as reposições de palavra-passe. Este comportamento ocorre por predefinição depois de instalar correcções 101 de MS16 e posteriores. -
Problema conhecido 5NetUserChangePassword função indica o seguinte: NomeDomínio [in]
Aplicações que utilizam as NetUserChangePassword API e uma nomeservidor que passar o parâmetro de NomeDomínio deixará de funcionar depois de MS16-101 e actualizações mais recentes são instalados. Documentação da Microsoft indica que a fornecer um nome de servidor remoto no parâmetro de nome de domínio da função NetUserChangePassword é suportado. Por exemplo, o tópico do MSDNUm ponteiro para uma cadeia constante que especifica o nome DNS ou NetBIOS de um domínio no qual vai executar a função ou um servidor remoto. Se este parâmetro for NULL, o domínio de início de sessão do chamador é utilizado.No entanto, esta orientação foi substituído pelo MS16-101, a menos que repor a palavra-passe é uma conta local no computador local. Post MS16-101, para que as alterações da palavra-passe de utilizador do domínio trabalhar, tem de passar um nome de domínio DNS válido para a API NetUserChangePassword.
-
Problema conhecido 6Catálogo do Microsoft Update . Este problema também é resolvido no boletim de segurança da Microsoft MS16-106.
Depois de aplicar esta actualização de segurança e imprimir vários documentos em sequência, os primeiros dois documentos podem imprimir com êxito. No entanto, não poderão imprimir os documentos de terceiros e subsequentes. Para corrigir este problema, transfira a actualização 3186988 no Web site do -
Problema conhecido 7MS16-101, remoto, alterações programáticas de uma palavra-passe da conta de utilizador local e alterações de palavra-passe em toda a floresta não fidedigna falham. Esta operação falhar porque a operação depende de NTLM queda de retorno, que já não é suportado para contas não locais após a instalação do MS16-101. É uma entrada de registo desde que pode utilizar para desactivar esta alteração. Aviso Esta medida pode tornar um computador ou de uma rede mais vulnerável a ataques por utilizadores mal intencionados ou software malicioso como vírus. A Microsoft não recomenda esta solução alternativa, mas fornece estas informações para que possa implementá-la à sua própria responsabilidade. Utilize esta solução alternativa na sua conta e risco. Importante Esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorrectamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para uma maior protecção, efectue o backup do Registro antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar cópias de segurança e restaurar o registo, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
Depois de instalar as actualizações de segurança que são descritas no322756 Como efectuar cópias de segurança e restaurar o registo no Windows Para desactivar esta alteração, defina a entrada DWORD de NegoAllowNtlmPwdChangeFallback para utilizar um valor de 1 (um). Importante Definir a entrada de registo NegoAllowNtlmPwdChangeFallback para um valor de 1 irá desactivar esta correcção de segurança:
Valor de registo
Descrição
0
Valor predefinido. Reversão é impedida.
1
Reversão é sempre permitido. A correcção de segurança está desactivada. Os clientes que estão a ter problemas com cenários de floresta não fidedigno ou de contas locais remotos podem definir o registo para este valor.
Para adicionar estes valores de registo, siga estes passos:
-
Clique em Iniciar, clique em Executar, escreva regedit na caixa Abrir e, em seguida, clique em OK.
-
Localize e, em seguida, clique na seguinte subchave no registo:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
-
No menu Editar , aponte para Novoe, em seguida, clique em Valor DWORD.
-
Escreva NegoAllowNtlmPwdChangeFallback para o nome da DWORD e, em seguida, prima ENTER.
-
NegoAllowNtlmPwdChangeFallbackcom o botão direito e, em seguida, clique em Modificar.
-
Na caixa dados do valor , escreva 1 para desactivar esta alteração e, em seguida, clique em OK.
Nota Para restaurar o valor predefinido, escreva 0 (zero) e, em seguida, clique em OK.
Estado
Entende-se a causa raiz deste problema. Este artigo será actualizado com detalhes adicionais à medida que vão ficando disponíveis. -
Como obter esta actualização
Importante Se instalar um language pack depois de instalar esta actualização, terá de reinstalar esta actualização. Por conseguinte, recomendamos que instalar quaisquer language packs que necessita antes de instalar esta actualização. Para mais informações, consulte adicionar language packs para Windows.
Método 1: Windows Update
Esta actualização será transferida e instalada automaticamente.
Método 2: O catálogo do Microsoft Update
Para obter o pacote autónomo para esta actualização, vá para o Web site do Catálogo do Microsoft Update .
Pré-requisitos
Não existem pré-requisitos para instalar esta atualização.
Informações sobre reinício
Tem de reiniciar o computador depois de aplicar esta atualização.
Atualizar informações de substituição
Esta actualização substitui a actualização disponibilizada anteriormente 3172985.
Informações de ficheiro
Para obter uma lista dos ficheiros que são fornecidos nesta actualização cumulativa, transferir as informações dos ficheiros de actualização cumulativa 3176493.
Referências
Obter informações sobre a terminologia utilizada pela Microsoft para descrever actualizações de software.