Actualizare cumulativă pentru Windows 10:9 august 2016

Probleme cunoscute în această actualizare de securitate

• Problemă cunoscută 1 Actualizările de securitate care sunt furnizate în MS16-101 și actualizări mai noi dezactivați capacitatea de negociere procesul să scadă înapoi la NTLM când autentificarea Kerberos nu reușește pentru operațiunile de modificare a parolei cu STATUS_NO_LOGON_SERVERS (0xC000005E) cod de eroare. În această situație, este posibil să primiți unul dintre următoarele coduri de eroare.

  Hexazecimal	Zecimal	Simbolic	Prietenos
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Sistemul a detectat o posibilă încercare de a compromite securitatea. Asigurați-vă că puteți contacta serverul care v-a autentificat.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistemul a detectat o posibilă încercare de a compromite securitatea. Asigurați-vă că puteți contacta serverul care v-a autentificat.

  Workaround Dacă modificările de parolă care au reușit anterior nu reușesc după instalarea de MS16-101, este probabil că modificările de parolă s-au bazat anterior pe NTLM de rezervă, deoarece Kerberos a fost lipsa. Pentru a schimba parolele cu succes utilizând protocoalele Kerberos, urmați acești pași:

  1. Configurați comunicarea deschisă pe portul TCP 464 între clienții care au MS16-101 instalat și controlerul de domeniu care este de întreținere reinițializează parola. Controlerele de domeniu doar în citire (RODCs) pot Service reinițializează parola cu autoservire dacă utilizatorul este permis de Politica de replicare a parolei RODCs. Utilizatorii care nu sunt permise de Politica de parolă RODC necesită conectivitate în rețea la un controler de domeniu citire/scriere (RWDC) în domeniul contului de utilizator. Notă Pentru a verifica dacă portul TCP 464 este deschis, urmați acești pași:

     1. Creați un filtru de afișare echivalent pentru parser-ul monitorului de rețea. De exemplu:

        ipv4.address== <ip address of client> && tcp.port==464

     2. În rezultatele, căutați cadrul "TCP: [SynReTransmit".

  2. Asigurați-vă că numele Kerberos țintă sunt valide. (Adresele IP nu sunt valide pentru protocolul Kerberos. Kerberos acceptă nume scurte și nume de domeniu complet calificat.)

  3. Asigurați-vă că numele principale de serviciu (SPNs) sunt înregistrate corect. Pentru mai multe informații, consultați Kerberos și auto-service Reinițializare parolă.

• Problemă cunoscută 2 Știm despre o problemă în care reinițializează parola programatic de conturi de utilizator de domeniu nu reușesc și returnați codul de eroare STATUS_DOWNGRADE_DETECTED (0x800704F1) dacă eroarea așteptată este una dintre următoarele:

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (rareori returnate)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  Următorul tabel afișează cartografierea completă a erorilor.

  Hexazecimal	Zecimal	Simbolic	Prietenos
  0x56	86	ERROR_INVALID_PASSWORD	Parola de rețea specificată nu este corectă.
  0x267	615	ERROR_PWD_TOO_SHORT	Parola furnizată este prea scurtă pentru a respecta politica contului de utilizator. Vă rugăm să furnizați o parolă mai lungă.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Când încercați să actualizați o parolă, această stare de returnare indică faptul că valoarea care a fost furnizată ca parola curentă este incorectă.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Când încercați să actualizați o parolă, această stare de returnare indică faptul că s-a încălcat o regulă de actualizare a parolei. De exemplu, este posibil ca parola să nu îndeplinească criteriile de lungime.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Sistemul nu poate contacta un controler de domeniu pentru a service Solicitarea de autentificare. Vă rugăm să încercați din nou mai târziu.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Sistemul nu poate contacta un controler de domeniu pentru a service Solicitarea de autentificare. Vă rugăm să încercați din nou mai târziu.

  RezoluțiaMS16-101 a fost relansată pentru a aborda această problemă. Instalați cea mai recentă versiune de actualizări pentru acest buletin pentru a rezolva această problemă.

• Problemă cunoscută 3 Știm despre o problemă în care resetează programatic de modificări de parolă cont de utilizator local poate eșua și returnează codul de eroare STATUS_DOWNGRADE_DETECTED (0x800704F1) . Următorul tabel afișează cartografierea completă a erorilor.

  Hexazecimal	Zecimal	Simbolic	Prietenos
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistemul nu poate contacta un controler de domeniu pentru a service Solicitarea de autentificare. Vă rugăm să încercați din nou mai târziu.

  RezoluțiaMS16-101 a fost relansată pentru a aborda această problemă. Instalați cea mai recentă versiune de actualizări pentru acest buletin pentru a rezolva această problemă.

• Problemă cunoscută 4 Parolele pentru conturile de utilizator dezactivate și blocate-out nu pot fi modificate utilizând pachetul de negociere. Modificările de parolă pentru conturile dezactivate și blocate-out vor funcționa în continuare atunci când se utilizează alte metode, ar fi atunci când utilizați o operațiune de modificare LDAP direct. De exemplu, cmdletul PowerShell set-ADAccountPassword utilizează o operațiune "LDAP Modify" pentru a modifica parola și rămâne neafectată. Workaround Aceste conturi necesită un administrator pentru a face Resetează parola. Acest comportament este proiectat după ce instalați MS16-101 și remedieri ulterioare.

• Problemă cunoscută 5 Aplicațiile care utilizează API Netuserchangepassword și care trece un numecerver în parametrul domeniunume nu va mai funcționa după MS16-101 și actualizările ulterioare sunt instalate. Documentația Microsoft afirmă că furnizarea unui nume de server la distanță în parametrul domeniunume al funcției Netuserchangepassword este acceptată. De exemplu, topic Netuserchangepassword funcția MSDN afirmă următoarele: domeniunume [în]

  Un indicator la un șir constant care specifică numele DNS sau NetBIOS al unui server sau domeniu la distanță pe care funcția este de a executa. Dacă acest parametru este nul, se utilizează domeniul de Log on al apelantului.Cu toate acestea, această îndrumare a fost înlocuită de MS16-101, cu excepția cazului în care Reinițializarea parolei este pentru un cont local pe computerul local. Post MS16-101, pentru a modifica parola de domeniu utilizator la locul de muncă, trebuie să treacă un nume de domeniu DNS valid la NetUserChangePassword API.

• Problemă cunoscută 6 După ce aplicați această actualizare de securitate și apoi imprimați mai multe documente în succesiune, primele două documente pot imprima cu succes, dar a treia și documentele ulterioare nu poate imprima. Pentru a rezolva această problemă, procedați într-una din următoarele variante:

  • Instalați actualizarea 3187022. Pentru mai multe informații, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:

    3187022 funcționalitatea de imprimare este întreruptă după ce se instalează oricare dintre actualizările de securitate MS16-098

  • Instalați actualizarea 3186987 de pe site-ul web Catalog Microsoft Update .

  Această problemă este, de asemenea, rezolvată în buletin de securitate Microsoft MS16-106.

• Problemă cunoscută 7 După ce instalați actualizările de securitate care sunt descrise în MS16-101, la distanță, programatic modificările de o parolă de cont de utilizator local și modificările de parolă peste pădure de încredere nu reușesc. Această operațiune nu reușește, deoarece operațiunea se bazează pe NTLM Fall-back, care nu mai este acceptată pentru conturile nelocale după ce este instalat MS16-101. Este furnizată o intrare de registry care se poate utiliza pentru a dezactiva această modificare. Avertizare această soluție poate face un computer sau o rețea mai vulnerabile la atacuri de utilizatori rău intenționate sau de software rău intenționat, ar fi viruși. Nu recomandăm această soluție, dar sunt furnizarea acestor informații, astfel încât să puteți implementa această soluție la propria discreție. Utilizați această soluție pe propriul risc. Importantaceastă secțiune, metodă sau activitate conține pașii care vă spun să modificați registry. Cu toate acestea, pot apărea probleme grave dacă modificați registry incorect. Prin urmare, asigurați-vă că urmați acești pași cu atenție. Pentru protecție sporită, spate sus registru înainte tu modify it. Apoi, aveți posibilitatea să restaurați registry dacă apare o problemă. Pentru mai multe informații despre la spre spate sus și restaurarea registry, faceți clic pe următorul număr de articol pentru a vedea articolul în bază de cunoștințe Microsoft:

  322756 de la spre spate sus și restaurarea registry în WindowsPentru a dezactiva această modificare, setați intrarea de DWORD Negoallowntlmpwdchangefallback pentru a utiliza o valoare de 1 (unul). Importante Setarea intrării de registry Negoallowntlmpwdchangefallback la o valoare de 1 va dezactiva această remediere de securitate:

  Valoare registry	Descrierea /
  0	Valoare implicită. Retragerea este împiedicată.
  1	Rezervă este întotdeauna permisă. Remedierea de securitate este dezactivată. Clienții care au probleme cu conturi locale la distanță sau scenarii forestiere de încredere poate seta registry la această valoare.

  Pentru a adăuga aceste valori de registry, urmați acești pași:

  1. Faceți clic pe Start, pe Executare, tastați regedit în caseta Deschidere, apoi faceți clic pe OK.

  2. Localizați și apoi faceți clic pe următoarea subcheie în registry:

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

  3. În meniul Editare , indicați spre noușiapoi faceți clic pe valoarea DWORD.

  4. Tastați Negoallowntlmpwdchangefallback pentru numele DWORD, apoi apăsați Enter.

  5. Faceți clic dreapta pe Negoallowntlmpwdchangefallback, apoi faceți clic pe modify.

  6. În caseta Value data , tastați 1 pentru a dezactiva această modificare, și apoi faceți clic pe OK. Notă Pentru a restabili valoarea implicită, tastați 0 (zero), apoi faceți clic pe OK.

  Status Cauza principală a acestei probleme este înțeleasă. Acest articol va fi actualizat cu detalii suplimentare pe măsură ce acestea devin disponibile.

Metoda 1: Actualizare Windows

Această actualizare va fi descărcată și instalată automat.

Metoda 2: Microsoft Update Catalog

Pentru a obține pachetul autonom pentru această actualizare, accesați site-ul web Catalog Microsoft Update .

Cerinţe preliminare

Nu există cerințe preliminare pentru instalarea acestei actualizări.

Repornire informații

Trebuie să reporniți computerul după aplicarea acestei actualizări.

Informații de înlocuire actualizare

Această actualizare înlocuiește actualizarea lansată anterior 3163912.