MS16-101: Descrição da atualização de segurança para métodos de autenticação do Windows: 9 de agosto de 2016

Resumo

Esta atualização de segurança resolve múltiplas vulnerabilidades no Microsoft Windows. As vulnerabilidades podem permitir a elevação do privilégio se um intruso executa uma aplicação especialmente trabalhada num sistema ligado ao domínio.

Para saber mais sobre a vulnerabilidade, consulte o Microsoft Security Bulletin MS16-101.

Mais Informações

Importante

• Todas as futuras atualizações de segurança e não segurança para o Windows 8.1 e Windows Server 2012 R2 requerem a atualização 2919355 a ser instalada. Recomendamos que instale a atualização 2919355 no seu computador baseado no Windows 8.1 ou no Windows Server 2012 R2 para que receba futuras atualizações.

• Se instalar um pacote de idiomas depois de instalar esta atualização, tem de reinstalar esta atualização. Por isso, recomendamos que instale quaisquer pacotes de idiomas de que necessite antes de instalar esta atualização. Para obter mais informações, consulte adicionar pacotes de idiomas ao Windows.

Problemas conhecidos nesta atualização de segurança

• Conhecidas edição 1
  
  As atualizações de segurança fornecidas no MS16-101 e as atualizações mais recentes desativam a capacidade do processo De negociar recuar para a NTLM quando a autenticação kerberos falhar para operações de mudança de senha com o código de erro STATUS_NO_LOGON_SERVERS (0xc000005e). Nesta situação, poderá receber um dos seguintes códigos de erro.
  
  

  Hexadecimal	Decimal	Simbólico	Amigável
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	O sistema detetou uma possível tentativa de comprometer a segurança. Por favor, certifique-se de que pode contactar o servidor que o autenticou.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	O sistema detetou uma possível tentativa de comprometer a segurança. Por favor, certifique-se de que pode contactar o servidor que o autenticou.

  
  
  Solução
  
  Se as alterações de palavra-passe que anteriormente foram bem sucedidas falharem após a instalação do MS16-101, é provável que as alterações de palavra-passe estivessem anteriormente a depender do recuo da NTLM porque a Kerberos estava a falhar. Para alterar as palavras-passe com sucesso utilizando os protocolos Kerberos, siga estes passos:
  
  
  

  1. Configure a comunicação aberta na porta TCP 464 entre clientes que tenham MS16-101 instalado e o controlador de domínio que está a fazer a manutenção de redefinições de senha.
     
     Os controladores de domínio apenas de leitura (RODCs) podem reiniciar a palavra-passe de autosserviço se o utilizador for autorizado pela política de replicação da palavra-passe RODCs. Os utilizadores que não são autorizados pela política de palavra-passe RODC requerem conectividade de rede a um controlador de domínio de leitura/escrita (RWDC) no domínio da conta de utilizador.
     
     Nota Para verificar se a porta TCP 464 está aberta, siga estes passos:
     
     
     

     1. Crie um filtro de visualização equivalente para o seu monitor de rede. Por exemplo:
        

        ipv4.address== <endereço ip do cliente> && tcp.port==464

     2. Nos resultados, procure a moldura "TCP:[SynReTransmit".
        
        

  2. Certifique-se de que os nomes de Kerberos são válidos. (Os endereços IP não são válidos para o protocolo Kerberos. Kerberos suporta nomes curtos e nomes de domínio totalmente qualificados.)

  3. Certifique-se de que os nomes principais do serviço (SPNs) estão registados corretamente.
     
     Para obter mais informações, consulte Kerberos e Self-Service Redefinição de password.

• Conhecido problema 2
  
  Sabemos sobre um problema em que a palavra-passe programática repõe as contas de utilizador de domínio falha e devolve o código de erro STATUS_DOWNGRADE_DETECTED (0x800704F1) se a falha esperada for uma das seguintes:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (raramente devolvido)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  A tabela seguinte mostra o mapeamento completo do erro.
  
  

  Hexadecimal	Decimal	Simbólico	Amigável
  0x56	86	ERROR_INVALID_PASSWORD	A palavra-passe de rede especificada não está correta.
  0x267	615	ERROR_PWD_TOO_SHORT	A palavra-passe fornecida é demasiado curta para cumprir a política da sua conta de utilizador. Por favor, forneça uma senha mais longa.
  0xc00006a	-1073741718	STATUS_WRONG_PASSWORD	Quando tenta atualizar uma palavra-passe, este estado de devolução indica que o valor fornecido como palavra-passe atual está incorreto.
  0xc00006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Quando tenta atualizar uma palavra-passe, este estado de devolução indica que alguma regra de atualização de palavra-passe foi violada. Por exemplo, a palavra-passe pode não cumprir os critérios de comprimento.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	O sistema não pode contactar um controlador de domínio para fazer o serviço do pedido de autenticação. Tente novamente mais tarde.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	O sistema não pode contactar um controlador de domínio para fazer o serviço do pedido de autenticação. Tente novamente mais tarde.

  
  
  A Resolução
  
  MS16-101 foi relançada para abordar esta questão. Instale a versão mais recente das atualizações para este boletim para resolver este problema.
  
  

• Assunto 3 Conhecido 3
  
  Sabemos sobre um problema em que resets programáticos de alterações de password de conta de utilizador local podem falhar e devolver o código de erro STATUS_DOWNGRADE_DETECTED (0x800704F1).
  
  A tabela seguinte mostra o mapeamento completo do erro.
  
  

  Hexadecimal	Decimal	Simbólico	Amigável
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	O sistema não pode contactar um controlador de domínio para fazer o serviço do pedido de autenticação. Tente novamente mais tarde.

  
  
  A Resolução
  
  MS16-101 foi relançada para abordar esta questão. Instale a versão mais recente das atualizações para este boletim para resolver este problema.
  
  

• O número 4
  
  Palavras-passe conhecidas para contas de utilizador desativadas e bloqueadas não podem ser alteradas utilizando o pacote de negociação.
  
  
  As alterações de palavra-passe para contas desativadas e bloqueadas continuarão a funcionar quando utilizarem outros métodos, tais como quando se utiliza uma operação de modificação LDAP diretamente. Por exemplo, o cmdlet PowerShell Set-ADAccountPassword utiliza uma operação "LDAP Modificar" para alterar a palavra-passe e permanece inalterada.
  
  Solução Alternativa
  
  Estas contas requerem que um administrador faça resets de palavra-passe. Este comportamento é por design depois de instalar o MS16-101 e posteriormente corre.
  
  

• Emissão conhecida 5
  
  Aplicações que utilizam a API NetUserChangePassword e que passam um nome de servidor no parâmetro de nome de domínio deixarão de funcionar após a instalação de MS16-101 e atualizações posteriores.
  
  A documentação da Microsoft indica que é suportado o suporte de um nome de servidor remoto no parâmetro de nome de domínio da função NetUserChangePassword. Por exemplo, o tópico MSDN da função NetUserChangePassword indica o seguinte:
  
  nome de domínio [em]
  

  Um ponteiro para uma cadeia constante que especifica o nome DNS ou NetBIOS de um servidor ou domínio remoto no qual a função deve ser executada. Se este parâmetro for NU, é utilizado o domínio do início de sposição do autor da chamada. No entanto, esta orientação foi substituído pelo MS16-101, a menos que a palavra-passe seja para uma conta local no computador local. Post MS16-101, para que as alterações da palavra-passe do utilizador de domínio funcionem, tem de passar um Nome de Domínio DNS válido para a API NetUserChangePassword.

• Problema conhecido 6
  
  Depois de instalar esta atualização, poderá encontrar erros de autenticação NTLM de 0xC0000022. Para resolver este problema, consulte a autenticação NTLM falha com erro de 0xC0000022 para Windows Server 2012, Windows 8.1 e Windows Server 2012 R2 após a aplicação da atualização.

• Problema conhecido 7 Depois de instalar as atualizações de
  
  segurança descritas no MS16-101,alterações remotas e programáticas de uma palavra-passe da conta de utilizador local e alterações de palavra-passe através de falhas na floresta não fidedquibadas.
  
  
  Esta operação falha porque a operação depende do recuo da NTLM, que já não é suportado para contas nãolocais após a instalação do MS16-101.
  
  
  É fornecida uma entrada de registo que pode utilizar para desativar esta alteração.
  
  Aviso Esta solução alternativa pode tornar um computador ou uma rede mais vulnerável a ataques por utilizadores maliciosos ou por software malicioso, como vírus. Não recomendamos esta solução alternativa, mas estamos a fornecer esta informação para que possa implementar esta solução a seu critério. Todo e qualquer risco decorrente da utilização desta medida é da responsabilidade do utilizador.
  
  ImportanteEste secção, método ou tarefa contém etapas que lhe dizem como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorreta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para maior segurança, faça uma cópia de segurança do registo antes de o modificar. Deste modo, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como fazer uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para ver o artigo na Base de Dados de Conhecimento Microsoft:

  322756Como fazer o back up e restaurar o registo no Windows
  
  Para desativar esta alteração, desative a entrada DWORD do NegoAllowNtlmPwdChangeFallback para utilizar um valor de 1 (um).
  
  
  Definição importante da entrada do registo NegoAllowNtlmPwdChangeFallback para um valor de 1 irá desativar esta correção de segurança:
  

  Valor do registo	Descrição
  0	Valor predefinido. O recuo é evitado.
  1	Recuo é sempre permitido. A correção de segurança está desligada. Os clientes que estão a ter problemas com contas locais remotas ou cenários florestais não fidedqui os casos podem definir o registo para este valor.

  Para adicionar estes valores de registo, siga estes passos:
  

  1. Clique em Iniciar,clique em Executar,escreva regedit na caixa Aberta e, em seguida, clique em OK.

  2. Localize e clique no sub-chave seguinte no registo:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. No menu Editar, aponte para Novoe, em seguida, clique em DWORD Value.

  4. Tipo NegoAllowNtlmPwdChangeFallback para o nome do DWORD e, em seguida, prima ENTER.

  5. Clique à direita no NegoAllowNtlmPwdChangeFallbacke, em seguida, clique em Modificar.

  6. Na caixa de dados Value, tipo 1 para desativar esta alteração e, em seguida, clique em OK.
     
     
     Nota Para restaurar o valor predefinido, digite 0 (zero) e, em seguida, clique em OK.

  Estado
  
  A causa principal desta questão é entendida. Este artigo será atualizado com detalhes adicionais à medida que forem disponibilizados.

Como obter e instalar a atualização

Método 1: Atualização do Windows

Esta atualização está disponível através do Windows Update. Quando ligar a atualização automática, esta atualização será descarregada e instalada automaticamente. Para obter mais informações sobre como ligar a atualização automática, consulte
obter as atualizações de segurança automaticamente.

Método 2: Catálogo de atualizações da Microsoft

Para obter o pacote autónomo para esta atualização, aceda ao site do Catálogo microsoft Update.

Método 3: Microsoft Download Center

Pode obter o pacote de atualização autónoma através do Microsoft Download Center. Siga as instruções de instalação na página de descarregamento para instalar a atualização.

Clique no link de descarregamento no Microsoft Security Bulletin MS16-101 que corresponde à versão do Windows que está a executar.

Mais Informações

Como obter ajuda e apoio para esta atualização de segurança

Ajuda para instalar atualizações: Suporte para a Atualização

do Microsoft Soluções de segurança para profissionais de TI: Resolução e Suporte

a Problemas de Segurança TechNet Ajuda para proteger o seu computador baseado no Windows contra vírus e malware: Virus Solution and Security Center

Apoio local de acordo com o seu país: Apoio Internacional

Informação de Arquivos