Important acest articol conține informații care vă arată cum să ajutați la scăderea setărilor de securitate sau la dezactivarea caracteristicilor de securitate pe un computer. Puteți efectua aceste modificări pentru a soluționa o anumită problemă. Înainte de a efectua aceste modificări, vă recomandăm să evaluați riscurile asociate implementării acestei soluții în mediul dvs. Dacă implementați această soluție, luați toți pașii suplimentari necesari pentru a contribui la protejarea computerului.
Rezumat
Această actualizare de securitate rezolvă mai multe vulnerabilități în Microsoft Windows. Vulnerabilitățile pot permite sporirea privilegiilor dacă un atacator rulează o aplicație special creată într-un sistem asociat domeniului.
Pentru a afla mai multe despre vulnerabilitate, consultați buletin de securitate Microsoft MS16-101.
Mai multe informații
Importante
-
Toate actualizările viitoare de securitate și non-securitate pentru Windows 8,1 și Windows Server 2012 R2 necesită actualizarea 2919355 pentru a fi instalată. Vă recomandăm să instalați actualizarea 2919355 pe computerul bazat pe Windows 8,1 sau windows Server 2012 R2, astfel încât să primiți actualizări viitoare.
-
Dacă instalați un pachet lingvistic după ce instalați această actualizare, trebuie să reinstalați această actualizare. Prin urmare, vă recomandăm să instalați pachetele lingvistice de care aveți nevoie înainte să instalați această actualizare. Pentru mai multe informații, consultați adăugarea pachetelor lingvistice la Windows.
Această actualizare de securitate remediază și următoarele probleme legate de non-securitate:
-
Într-un server de fișiere Scaled Domain-Joined (SoFS) pe un cluster fără domeniu, când un client SMB care rulează Windows 8,1 sau Windows Server 2012 R2 se conectează la un nod care este în jos, autentificarea nu reușește. Atunci când apare această problemă, este posibil să primiți un mesaj de eroare care seamănă cu următorul mesaj:
STATUS_NO_TGT_REPLY
Informații suplimentare despre această actualizare de securitate
Articolele următoare conțin informații suplimentare despre această actualizare de securitate, deoarece se referă la versiunile de produs individuale. Articolele pot conține informații despre probleme cunoscute.
-
3177108 MS16-101: Descrierea actualizării de securitate pentru metodele de autentificare Windows: 9 august 2016
-
3167679 MS16-101: Descrierea actualizării de securitate pentru metodele de autentificare Windows: 9 august 2016
-
3192392 Actualizarea numai a calității din octombrie 2016 pentru Windows 8,1 și Windows Server 2012 R2
-
3185331 Pachetul de calitate lunară din octombrie 2016 pentru Windows 8,1 și Windows Server 2012 R2
-
3192393 Actualizare de calitate doar în octombrie 2016 pentru Windows Server 2012
-
3185332 Pachetul de calitate lunară din octombrie 2016 pentru Windows Server 2012
-
3192391 Actualizare de calitate doar în octombrie 2016 pentru Windows 7 SP1 și Windows Server 2008 R2 SP1
-
3185330 Pachetul de calitate lunară din octombrie 2016 pentru Windows 7 SP1 și Windows Server 2008 R2 SP1
-
3192440 Actualizare cumulativă pentru Windows 10:11 octombrie 2016
-
3194798 Actualizare cumulativă pentru Windows 10 versiunea 1607 și Windows Server 2016:11 octombrie 2016
-
3192441 Actualizare cumulativă pentru Windows 10 versiunea 1511:11 octombrie 2016
Actualizările de securitate care sunt replacedThe următoarele actualizări de securitate au fost înlocuite:
-
3176492 Actualizare cumulativă pentru Windows 10:9 august 2016
-
3176493 Actualizare cumulativă pentru Windows 10 versiunea 1511:9 august 2016
-
3176495 Actualizare cumulativă pentru Windows 10 versiunea 1607:9 august 2016
Următoarele sunt noile actualizări de securitate care înlocuiesc actualizările de securitate menționate anterior:
-
3192440 Actualizare cumulativă pentru Windows 10:11 octombrie 2016
-
3194798 Actualizare cumulativă pentru Windows 10 versiunea 1607 și Windows Server 2016:11 octombrie 2016
-
3192441 Actualizare cumulativă pentru Windows 10 versiunea 1511:11 octombrie 2016
Probleme cunoscute în această actualizare de securitate
-
Problemă cunoscută 1
actualizările de securitate furnizate în actualizările MS16-101 și mai noi dezactivează capacitatea procesului de negociere de revenire la NTLM atunci când autentificarea Kerberos nu reușește pentru operațiunile de modificare a parolei cu codul de eroare STATUS_NO_LOGON_SERVERS (0xC000005E). În această situație, este posibil să primiți unul dintre următoarele coduri de eroare.Hexazecimal
Zecimale
Symbolic
Friendly
0xc0000388
1073740920
STATUS_DOWNGRADE_DETECTED
Sistemul a detectat o posibilă încercare de a compromite securitatea. Asigurați-vă că aveți posibilitatea să contactați serverul care v-a autentificat.
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
Sistemul a detectat o posibilă încercare de a compromite securitatea. Asigurați-vă că aveți posibilitatea să contactați serverul care v-a autentificat.
Soluție
dacă modificările parolei care au reușit anterior nu reușesc după instalarea de MS16-101, probabil că modificările parolei s-au bazat anterior pe rezervă NTLM, deoarece Kerberos nu a reușit. Pentru a modifica cu succes parolele utilizând protocoale Kerberos, urmați acești pași:-
Configurați comunicațiile deschise în portul TCP 464 între clienții care au instalat MS16-101 și controlerul de domeniu care face resetări pentru parole.
Controlerele de domeniu doar în citire (RODCs) pot Resetează parola cu autoservire dacă utilizatorul este permis de Politica de replicare a parolei RODCs. Utilizatorii care nu sunt permiși de politica pentru parole RODC necesită conectivitate în rețea la un controler de domeniu citire/scriere (RWDC) în domeniul contului de utilizator.
Notă pentru a verifica dacă portul TCP 464 este deschis, urmați acești pași:-
Creați un filtru de afișare echivalent pentru parser-ul monitorului de rețea. De exemplu:
IPv4. Address = = <adresa IP a clientului> && TCP. port = = 464
-
În rezultate, căutați cadrul "TCP: [SynReTransmit".
-
-
Asigurați-vă că numele Kerberos țintă sunt valide. (Adresele IP nu sunt valide pentru protocolul Kerberos. Kerberos acceptă nume scurte și nume de domenii complet calificate.)
-
Asigurați-vă că numele principale de serviciu (SPN) sunt înregistrate corect.
Pentru mai multe informații, consultați Kerberos și Self-Service resetare parolă.
-
-
Problemă cunoscută 2 știm
despre o problemă în care Resetează parola programatic a conturilor de utilizator de domeniu nu reușește și returnează codul de eroare STATUS_DOWNGRADE_DETECTED (0x800704F1) Dacă eroarea așteptat este una dintre următoarele:-
ERROR_INVALID_PASSWORD
-
ERROR_PWD_TOO_SHORT (rareori returnat)
-
STATUS_WRONG_PASSWORD
-
STATUS_PASSWORD_RESTRICTION
Următorul tabel afișează maparea completă a erorilor.Hexazecimal
Zecimale
Symbolic
Friendly
0x56
86
ERROR_INVALID_PASSWORD
Parola de rețea specificată nu este corectă.
0x267
615
ERROR_PWD_TOO_SHORT
Parola furnizată este prea scurtă pentru a îndeplini politica contului dumneavoastră de utilizator. Vă rugăm să furnizați o parolă mai lungă.
0xc000006a
-1073741718
STATUS_WRONG_PASSWORD
Atunci când încercați să actualizați o parolă, această stare de returnare indică faptul că valoarea care a fost furnizată ca parolă curentă este incorectă.
0xc000006c
-1073741716
STATUS_PASSWORD_RESTRICTION
Atunci când încercați să actualizați o parolă, această stare de returnare indică faptul că o regulă de actualizare a parolei a fost încălcată. De exemplu, este posibil ca parola să nu îndeplinească criteriile de lungime.
0x800704F1
1265
STATUS_DOWNGRADE_DETECTED
Sistemul nu poate contacta un controler de domeniu pentru a deservi solicitarea de autentificare. Încercați din nou mai târziu.
0xc0000388
-1073740920
STATUS_DOWNGRADE_DETECTED
Sistemul nu poate contacta un controler de domeniu pentru a deservi solicitarea de autentificare. Încercați din nou mai târziu.
Rezoluția
MS16-101 a fost relansată pentru a rezolva această problemă. Instalați cea mai recentă versiune a actualizărilor pentru acest buletin pentru a rezolva această problemă. -
-
Problemă cunoscută 3 știm
despre o problemă în care resetarea programatic a parolelor contului de utilizator local poate să nu reușească și să returneze codul de eroare STATUS_DOWNGRADE_DETECTED (0x800704F1).
Următorul tabel afișează maparea completă a erorilor.Hexazecimal
Zecimale
Symbolic
Friendly
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
Sistemul nu poate contacta un controler de domeniu pentru a deservi solicitarea de autentificare. Încercați din nou mai târziu.
Rezoluția
MS16-101 a fost relansată pentru a rezolva această problemă. Instalați cea mai recentă versiune a actualizărilor pentru acest buletin pentru a rezolva această problemă. -
Probleme cunoscute 4
parolele pentru conturile de utilizator dezactivate și blocate nu pot fi modificate utilizând pachetul negociere.
Modificările parolei pentru conturile dezactivate și blocate vor funcționa în continuare atunci când utilizați alte metode, cum ar fi atunci când utilizați o operațiune de modificare LDAP direct. De exemplu, cmdletul PowerShell Set-ADAccountPassword utilizează o operațiune "LDAP Modify" pentru a schimba parola și rămâne neafectată.
Soluție
aceste conturi necesită un administrator pentru a face resetări prin parolă. Acest comportament este proiectat după ce instalați MS16-101 și remedieri mai recente. -
Probleme cunoscute 5
aplicațiile care utilizează API-ul NetUserChangePassword și care trec un nume de bază în parametrul numedomeniu nu vor mai funcționa după ce sunt instalate actualizări MS16-101 și versiuni mai recente.
Documentația Microsoft afirmă că furnizarea unui nume de server la distanță în parametrul numedomeniu al funcției NetUserChangePassword este acceptată. De exemplu, subiectul NetUserChangePassword din funcția MSDN spune următoarele:
numedomeniu [in]Un indicator către un șir constant care specifică numele DNS sau NetBIOS al unui server sau al unui domeniu la distanță pe care se execută funcția. Dacă acest parametru este NULL, se utilizează domeniul de conectare al apelantului. Stare
această orientare a fost înlocuită de MS16-101, cu excepția cazului în care resetarea parolei este pentru un cont local pe computerul local.
Post MS16-101, pentru ca modificările parolei de utilizator de domeniu să funcționeze, trebuie să transmiteți un nume de domeniu DNS valid la API-ul NetUserChangePassword. -
Problemă cunoscută 6
după ce instalați actualizările de securitate care sunt descrise în MS16-101, la distanță, modificările programatic ale unei parole de cont de utilizator local și modificările parolei din pădurea neîncredere nu reușesc.
Această operațiune nu reușește, deoarece operațiunea se bazează pe NTLM Fall-back, care nu mai este acceptată pentru conturile nelocale după ce este instalat MS16-101.
Este furnizată o intrare de registry pe care o puteți utiliza pentru a dezactiva această modificare.
Avertisment Această soluție poate face un computer sau o rețea mai vulnerabilă la atacuri de către utilizatori rău intenționați sau de software rău intenționat, cum ar fi virușii. Nu recomandăm această soluție, dar furnizați aceste informații, astfel încât să puteți implementa această soluție la propria discreție. Utilizați această soluție pe propriul risc.
Secțiunea ImportantAceastă, metoda sau activitatea conține pașii care vă arată cum să modificați registry. Totuși, dacă modificați incorect sistemul registry, pot apărea probleme serioase. De aceea, asiguraţi-vă că urmaţi aceşti paşi cu atenţie. Pentru o protecție mai bună, înainte de a face modificări, realizați o copie de rezervă a sistemului registry. După aceea, sistemul registry poate fi restaurat dacă apare o problemă. Pentru informații suplimentare despre copierea de rezervă și restaurarea sistemului registry, faceți clic pe următorul număr de articol din Baza de cunoștințe Microsoft:322756Cum să faceți backup și să restaurați registry în Windows
pentru a dezactiva această modificare, setați intrarea DWORD NegoAllowNtlmPwdChangeFallback pentru a utiliza o valoare de 1 (unu).
Important setarea intrării de registry NegoAllowNtlmPwdChangeFallback la valoarea 1 va dezactiva această remediere de securitate:Valoarea registry
Descriere
0
Valoare implicită. Rezervările sunt împiedicate.
1
Rezervările sunt permise întotdeauna. Remedierea securității este dezactivată. Clienții care întâmpină probleme cu conturile locale la distanță sau cu scenarii de pădure neîncredere pot seta registry la această valoare.
Pentru a adăuga aceste valori de registry, urmați acești pași:
-
Faceți clic pe Start, pe Executare, tastați regedit în caseta Deschidere, apoi faceți clic pe OK.
-
Găsiți, apoi faceți clic pe următoarea subcheie din registry:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
-
În meniul Editare , indicați spre nou, apoi faceți clic pe DWORD Value.
-
Tastați NegoAllowNtlmPwdChangeFallback pentru numele DWORD, apoi apăsați pe ENTER.
-
Faceți clic dreapta pe NegoAllowNtlmPwdChangeFallback, apoi faceți clic pe modify.
-
În caseta Value data , tastați 1 pentru a dezactiva această modificare, apoi faceți clic pe OK.
Notă pentru a restaura valoarea implicită, tastați 0 (zero), apoi faceți clic pe OK.
Stare
cauza principală a acestei probleme este înțeleasă. Acest articol va fi actualizat cu detalii suplimentare pe măsură ce devin disponibile. -
Cum se obține și se instalează actualizarea
Metoda 1: Windows Update
Această actualizare este disponibilă prin Windows Update. Atunci când activați actualizarea automată, această actualizare va fi descărcată și instalată automat. Pentru mai multe informații despre cum să activați actualizarea automată, consultați
Obținerea automată a actualizărilor de securitate.
Metoda 2: Catalog Microsoft Update
Pentru a obține pachetul independent pentru această actualizare, accesați site-ul web Catalog Microsoft Update .
Puteți obține pachetul de actualizare independentă prin centrul de descărcare Microsoft. Urmați instrucțiunile de instalare de pe pagina de descărcare pentru a instala actualizarea.
Faceți clic pe linkul de descărcare din buletinul de securitate Microsoft MS16-101 care corespunde cu versiunea de Windows pe care o utilizați.
Mai multe informații
Tabelul de referință Windows Vista (toate edițiile) tabelul
următor conține informațiile de actualizare de securitate pentru acest software.
Nume de fișier actualizare de securitate |
Pentru toate edițiile pe 32 de biți acceptate de Windows Vista: |
Pentru toate versiunile pe 64 de biți de Windows Vista: |
|
Întrerupătoare de instalare |
Consultați articolul din baza de cunoștințe Microsoft 934307 |
Cerință de repornire |
Trebuie să reporniți sistemul după ce aplicați această actualizare de securitate. |
Informații despre eliminare |
WUSA.exe nu acceptă dezinstalarea actualizărilor. Pentru a dezinstala o actualizare instalată de WUSA, faceți clic pe Panou de control, apoi faceți clic pe Securitate. Sub Windows Update, faceți clic pe Vizualizare actualizări instalate, apoi selectați din lista de actualizări. |
Informații despre fișier |
Consultați articolul din baza de cunoștințe Microsoft 3167679 |
Verificarea cheii de registry |
Notă Această actualizare nu adaugă o cheie de registry pentru a valida prezența sa. |
Tabelul de referință Windows Server 2008 (toate edițiile) tabelul
următor conține informațiile de actualizare de securitate pentru acest software.
Nume de fișier actualizare de securitate |
Pentru toate edițiile pe 32 de biți acceptate de Windows Server 2008: |
Pentru toate versiunile pe 64 de biți de Windows Server 2008: |
|
Pentru toate edițiile bazate pe Itanium acceptate de Windows Server 2008: |
|
Întrerupătoare de instalare |
Consultați articolul din baza de cunoștințe Microsoft 934307 |
Cerință de repornire |
Trebuie să reporniți sistemul după ce aplicați această actualizare de securitate. |
Informații despre eliminare |
WUSA.exe nu acceptă dezinstalarea actualizărilor. Pentru a dezinstala o actualizare instalată de WUSA, faceți clic pe Panou de control, apoi faceți clic pe Securitate. Sub Windows Update, faceți clic pe Vizualizare actualizări instalate, apoi selectați din lista de actualizări. |
Informații despre fișier |
Consultați articolul din baza de cunoștințe Microsoft 3167679 |
Tabel de referință Windows 7 (toate edițiile) tabelul
următor conține informațiile de actualizare de securitate pentru acest software.
Nume fișier actualizare de securitate |
Pentru toate edițiile 32 pe biți de Windows 7: |
Pentru toate edițiile acceptate pe 32 de biți de Windows 7 |
|
Pentru toate versiunile pe 64 de biți de Windows 7: |
|
Pentru toate versiunile pe 64 de biți de Windows 7: |
|
Întrerupătoare de instalare |
Consultați articolul din baza de cunoștințe Microsoft 934307 |
Cerință de repornire |
Trebuie să reporniți sistemul după ce aplicați această actualizare de securitate. |
Informații despre eliminare |
Pentru a dezinstala o actualizare instalată de WUSA, utilizați comutatorul de configurare/Uninstall sau faceți clic pe Panou de control, faceți clic pe sistem și securitate. Sub Windows Update, faceți clic pe Vizualizare actualizări instalate, apoi selectați din lista de actualizări. |
Informații despre fișier |
Consultați articolul din baza de cunoștințe microsoft 3192391 |
Verificarea cheii de registry |
Notă Această actualizare nu adaugă o cheie de registry pentru a valida instalarea sa. |
Tabelul de referință pentru Windows Server 2008 R2 (toate edițiile) tabelul
următor conține informațiile de actualizare de securitate pentru acest software.
Nume fișier actualizare de securitate |
Pentru toate versiunile pe 64 de biți de Windows Server 2008 R2: |
Pentru toate versiunile pe 64 de biți de Windows Server 2008 R2: |
|
Pentru toate edițiile bazate pe Itanium acceptate de Windows Server 2008 R2: |
|
Pentru toate edițiile bazate pe Itanium acceptate de Windows Server 2008 R2: |
|
Întrerupătoare de instalare |
Consultați articolul din baza de cunoștințe Microsoft 934307 |
Cerință de repornire |
Este necesară o repornire a sistemului după ce aplicați această actualizare de securitate. |
Informații despre eliminare |
Pentru a dezinstala o actualizare instalată de WUSA, utilizați comutatorul de configurare/Uninstall sau faceți clic pe panou de control, faceți clic pe sistem și securitate, apoi, sub Actualizare Windows, faceți clic pe Vizualizare actualizări instalate și selectați din lista de actualizări. |
Informații despre fișier |
Consultați articolul din baza de cunoștințe microsoft 3192391 |
Verificarea cheii de registry |
Notă Nu există o cheie de registry pentru a valida prezența acestei actualizări. |
Tabel de referință Windows 8,1 (toate edițiile) tabelul
următor conține informațiile de actualizare de securitate pentru acest software.
Nume fișier actualizare de securitate |
Pentru toate edițiile 32 pe biți de Windows 8,1: |
Pentru toate edițiile 32-bit acceptate de Windows 8,1: |
|
Pentru toate versiunile pe 64 de biți de Windows 8,1: |
|
Pentru toate versiunile pe 64 de biți de Windows 8,1: |
|
Întrerupătoare de instalare |
Consultați articolul din baza de cunoștințe Microsoft 934307 |
Cerință de repornire |
Trebuie să reporniți sistemul după ce aplicați această actualizare de securitate. |
Informații despre eliminare |
Pentru a dezinstala o actualizare instalată de WUSA, utilizați comutatorul de configurare/Uninstall sau faceți clic pe Panou de control, faceți clic pe sistem și securitate, apoi faceți clic pe Windows Update. Sub consultați și, faceți clic pe actualizări instalate, apoi selectați din lista de actualizări. |
Informații despre fișier |
Consultați articolul din baza de cunoștințe microsoft 3192392 |
Verificarea cheii de registry |
Notă Această actualizare nu adaugă o cheie de registry pentru a valida instalarea sa. |
Tabel de referință Windows Server 2012 și Windows Server 2012 R2 (toate edițiile) tabelul
următor conține informațiile de actualizare de securitate pentru acest software.
Nume fișier actualizare de securitate |
Pentru toate edițiile acceptate de Windows Server 2012: |
Pentru toate edițiile acceptate de Windows Server 2012: |
|
Pentru toate edițiile acceptate de Windows Server 2012 R2: |
|
Pentru toate edițiile acceptate de Windows Server 2012 R2: |
|
Întrerupătoare de instalare |
Consultați articolul din baza de cunoștințe Microsoft 934307 |
Cerință de repornire |
Este necesară o repornire a sistemului după ce aplicați această actualizare de securitate. |
Informații despre eliminare |
Pentru a dezinstala o actualizare instalată de WUSA, utilizați comutatorul de configurare/Uninstall sau faceți clic pe panou de control, faceți clic pe sistem și securitate, faceți clic pe Windows Update, apoi, sub consultați și, faceți clic pe actualizări instalate și selectați din lista de actualizări. |
Informații despre fișier |
Consultați articolul din baza de cunoștințe microsoft 3192393 |
Verificarea cheii de registry |
Notă Nu există o cheie de registry pentru a valida prezența acestei actualizări. |
Tabelul de referință Windows 10 (toate edițiile) tabelul
următor conține informațiile de actualizare de securitate pentru acest software.
Nume fișier actualizare de securitate |
Pentru toate edițiile 32-bit acceptate de Windows 10: |
Pentru toate versiunile pe 64 de biți de Windows 10: |
|
Pentru toate edițiile 32-bit acceptate de Windows 10, versiunea 1511: |
|
Pentru toate versiunile pe 64 de biți de Windows 10, versiunea 1511: |
|
Pentru toate edițiile 32-bit acceptate de Windows 10, versiunea 1607: |
|
Pentru toate versiunile pe 64 de biți de Windows 10, versiunea 1607: |
|
Întrerupătoare de instalare |
Consultați articolul din baza de cunoștințe Microsoft 934307 |
Cerință de repornire |
Trebuie să reporniți sistemul după ce aplicați această actualizare de securitate. |
Informații despre eliminare |
Pentru a dezinstala o actualizare instalată de WUSA, utilizați comutatorul de configurare/Uninstall sau faceți clic pe Panou de control, faceți clic pe sistem și securitate, apoi faceți clic pe Windows Update. Sub consultați și, faceți clic pe actualizări instalate, apoi selectați din lista de actualizări. |
Informații despre fișier |
Consultați articolul din baza de cunoștințe microsoft 3192440 |
Verificarea cheii de registry |
Notă Această actualizare nu adaugă o cheie de registry pentru a valida instalarea sa. |
Ajutor pentru instalarea actualizărilor: asistență pentru
soluțiile de securitate Microsoft Update pentru profesioniștii IT: depanare TechNet Security și asistență
pentru protejarea computerului bazat pe Windows împotriva virușilor și malware-ului: soluție de viruși și asistență locală pentru Centrul de securitate
în funcție de țara dumneavoastră: Asistență internațională