MS16-101: actualizare de securitate pentru metodele de autentificare Windows: 9 august 2016

Rezumat

Această actualizare de securitate rezolvă mai multe vulnerabilități în Microsoft Windows. Vulnerabilitățile pot permite sporirea privilegiilor dacă un atacator rulează o aplicație special creată într-un sistem asociat domeniului.

Pentru a afla mai multe despre vulnerabilitate, consultați buletin de securitate Microsoft MS16-101.

Mai multe informații

Importante

• Toate actualizările viitoare de securitate și non-securitate pentru Windows 8,1 și Windows Server 2012 R2 necesită actualizarea 2919355 pentru a fi instalată. Vă recomandăm să instalați actualizarea 2919355 pe computerul bazat pe Windows 8,1 sau windows Server 2012 R2, astfel încât să primiți actualizări viitoare.

• Dacă instalați un pachet lingvistic după ce instalați această actualizare, trebuie să reinstalați această actualizare. Prin urmare, vă recomandăm să instalați pachetele lingvistice de care aveți nevoie înainte să instalați această actualizare. Pentru mai multe informații, consultați adăugarea pachetelor lingvistice la Windows.

Informații suplimentare despre această actualizare de securitate

Articolele următoare conțin informații suplimentare despre această actualizare de securitate, deoarece se referă la versiunile de produs individuale. Articolele pot conține informații despre probleme cunoscute.

• 3177108 MS16-101: Descrierea actualizării de securitate pentru metodele de autentificare Windows: 9 august 2016

• 3167679 MS16-101: Descrierea actualizării de securitate pentru metodele de autentificare Windows: 9 august 2016

• 3192392 Actualizarea numai a calității din octombrie 2016 pentru Windows 8,1 și Windows Server 2012 R2

• 3185331 Pachetul de calitate lunară din octombrie 2016 pentru Windows 8,1 și Windows Server 2012 R2

• 3192393 Actualizare de calitate doar în octombrie 2016 pentru Windows Server 2012

• 3185332 Pachetul de calitate lunară din octombrie 2016 pentru Windows Server 2012

• 3192391 Actualizare de calitate doar în octombrie 2016 pentru Windows 7 SP1 și Windows Server 2008 R2 SP1

• 3185330 Pachetul de calitate lunară din octombrie 2016 pentru Windows 7 SP1 și Windows Server 2008 R2 SP1

• 3192440 Actualizare cumulativă pentru Windows 10:11 octombrie 2016

• 3194798 Actualizare cumulativă pentru Windows 10 versiunea 1607 și Windows Server 2016:11 octombrie 2016

• 3192441 Actualizare cumulativă pentru Windows 10 versiunea 1511:11 octombrie 2016

Actualizările de securitate care sunt replacedThe următoarele actualizări de securitate au fost înlocuite:

• 3176492 Actualizare cumulativă pentru Windows 10:9 august 2016

• 3176493 Actualizare cumulativă pentru Windows 10 versiunea 1511:9 august 2016

• 3176495 Actualizare cumulativă pentru Windows 10 versiunea 1607:9 august 2016

Următoarele sunt noile actualizări de securitate care înlocuiesc actualizările de securitate menționate anterior:

• 3192440 Actualizare cumulativă pentru Windows 10:11 octombrie 2016

• 3194798 Actualizare cumulativă pentru Windows 10 versiunea 1607 și Windows Server 2016:11 octombrie 2016

• 3192441 Actualizare cumulativă pentru Windows 10 versiunea 1511:11 octombrie 2016

Probleme cunoscute în această actualizare de securitate

• Problemă cunoscută 1
  
  actualizările de securitate furnizate în actualizările MS16-101 și mai noi dezactivează capacitatea procesului de negociere de revenire la NTLM atunci când autentificarea Kerberos nu reușește pentru operațiunile de modificare a parolei cu codul de eroare STATUS_NO_LOGON_SERVERS (0xC000005E). În această situație, este posibil să primiți unul dintre următoarele coduri de eroare.
  
  

  Hexazecimal	Zecimale	Symbolic	Friendly
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Sistemul a detectat o posibilă încercare de a compromite securitatea. Asigurați-vă că aveți posibilitatea să contactați serverul care v-a autentificat.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistemul a detectat o posibilă încercare de a compromite securitatea. Asigurați-vă că aveți posibilitatea să contactați serverul care v-a autentificat.

  
  
  Soluție
  
  dacă modificările parolei care au reușit anterior nu reușesc după instalarea de MS16-101, probabil că modificările parolei s-au bazat anterior pe rezervă NTLM, deoarece Kerberos nu a reușit. Pentru a modifica cu succes parolele utilizând protocoale Kerberos, urmați acești pași:
  
  
  

  1. Configurați comunicațiile deschise în portul TCP 464 între clienții care au instalat MS16-101 și controlerul de domeniu care face resetări pentru parole.
     
     Controlerele de domeniu doar în citire (RODCs) pot Resetează parola cu autoservire dacă utilizatorul este permis de Politica de replicare a parolei RODCs. Utilizatorii care nu sunt permiși de politica pentru parole RODC necesită conectivitate în rețea la un controler de domeniu citire/scriere (RWDC) în domeniul contului de utilizator.
     
     Notă pentru a verifica dacă portul TCP 464 este deschis, urmați acești pași:
     
     
     

     1. Creați un filtru de afișare echivalent pentru parser-ul monitorului de rețea. De exemplu:
        

        IPv4. Address = = <adresa IP a clientului> && TCP. port = = 464

     2. În rezultate, căutați cadrul "TCP: [SynReTransmit".
        
        

  2. Asigurați-vă că numele Kerberos țintă sunt valide. (Adresele IP nu sunt valide pentru protocolul Kerberos. Kerberos acceptă nume scurte și nume de domenii complet calificate.)

  3. Asigurați-vă că numele principale de serviciu (SPN) sunt înregistrate corect.
     
     Pentru mai multe informații, consultați Kerberos și Self-Service resetare parolă.

• Problemă cunoscută 2 știm
  
  despre o problemă în care Resetează parola programatic a conturilor de utilizator de domeniu nu reușește și returnează codul de eroare STATUS_DOWNGRADE_DETECTED (0x800704F1) Dacă eroarea așteptat este una dintre următoarele:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (rareori returnat)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  Următorul tabel afișează maparea completă a erorilor.
  
  

  Hexazecimal	Zecimale	Symbolic	Friendly
  0x56	86	ERROR_INVALID_PASSWORD	Parola de rețea specificată nu este corectă.
  0x267	615	ERROR_PWD_TOO_SHORT	Parola furnizată este prea scurtă pentru a îndeplini politica contului dumneavoastră de utilizator. Vă rugăm să furnizați o parolă mai lungă.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Atunci când încercați să actualizați o parolă, această stare de returnare indică faptul că valoarea care a fost furnizată ca parolă curentă este incorectă.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Atunci când încercați să actualizați o parolă, această stare de returnare indică faptul că o regulă de actualizare a parolei a fost încălcată. De exemplu, este posibil ca parola să nu îndeplinească criteriile de lungime.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Sistemul nu poate contacta un controler de domeniu pentru a deservi solicitarea de autentificare. Încercați din nou mai târziu.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Sistemul nu poate contacta un controler de domeniu pentru a deservi solicitarea de autentificare. Încercați din nou mai târziu.

  
  
  Rezoluția
  
  MS16-101 a fost relansată pentru a rezolva această problemă. Instalați cea mai recentă versiune a actualizărilor pentru acest buletin pentru a rezolva această problemă.
  
  

• Problemă cunoscută 3 știm
  
  despre o problemă în care resetarea programatic a parolelor contului de utilizator local poate să nu reușească și să returneze codul de eroare STATUS_DOWNGRADE_DETECTED (0x800704F1).
  
  Următorul tabel afișează maparea completă a erorilor.
  
  

  Hexazecimal	Zecimale	Symbolic	Friendly
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistemul nu poate contacta un controler de domeniu pentru a deservi solicitarea de autentificare. Încercați din nou mai târziu.

  
  
  Rezoluția
  
  MS16-101 a fost relansată pentru a rezolva această problemă. Instalați cea mai recentă versiune a actualizărilor pentru acest buletin pentru a rezolva această problemă.
  
  

• Probleme cunoscute 4
  
  parolele pentru conturile de utilizator dezactivate și blocate nu pot fi modificate utilizând pachetul negociere.
  
  
  Modificările parolei pentru conturile dezactivate și blocate vor funcționa în continuare atunci când utilizați alte metode, cum ar fi atunci când utilizați o operațiune de modificare LDAP direct. De exemplu, cmdletul PowerShell Set-ADAccountPassword utilizează o operațiune "LDAP Modify" pentru a schimba parola și rămâne neafectată.
  
  Soluție
  
  aceste conturi necesită un administrator pentru a face resetări prin parolă. Acest comportament este proiectat după ce instalați MS16-101 și remedieri mai recente.
  
  

• Probleme cunoscute 5
  
  aplicațiile care utilizează API-ul NetUserChangePassword și care trec un nume de bază în parametrul numedomeniu nu vor mai funcționa după ce sunt instalate actualizări MS16-101 și versiuni mai recente.
  
  Documentația Microsoft afirmă că furnizarea unui nume de server la distanță în parametrul numedomeniu al funcției NetUserChangePassword este acceptată. De exemplu, subiectul NetUserChangePassword din funcția MSDN spune următoarele:
  
  numedomeniu [in]
  

  Un indicator către un șir constant care specifică numele DNS sau NetBIOS al unui server sau al unui domeniu la distanță pe care se execută funcția. Dacă acest parametru este NULL, se utilizează domeniul de conectare al apelantului. Stare
  
  această orientare a fost înlocuită de MS16-101, cu excepția cazului în care resetarea parolei este pentru un cont local pe computerul local.
  
  Post MS16-101, pentru ca modificările parolei de utilizator de domeniu să funcționeze, trebuie să transmiteți un nume de domeniu DNS valid la API-ul NetUserChangePassword.

• Problemă cunoscută 6
  
  după ce instalați actualizările de securitate care sunt descrise în MS16-101, la distanță, modificările programatic ale unei parole de cont de utilizator local și modificările parolei din pădurea neîncredere nu reușesc.
  
  
  Această operațiune nu reușește, deoarece operațiunea se bazează pe NTLM Fall-back, care nu mai este acceptată pentru conturile nelocale după ce este instalat MS16-101.
  
  
  Este furnizată o intrare de registry pe care o puteți utiliza pentru a dezactiva această modificare.
  
  Avertisment Această soluție poate face un computer sau o rețea mai vulnerabilă la atacuri de către utilizatori rău intenționați sau de software rău intenționat, cum ar fi virușii. Nu recomandăm această soluție, dar furnizați aceste informații, astfel încât să puteți implementa această soluție la propria discreție. Utilizați această soluție pe propriul risc.
  
  Secțiunea ImportantAceastă, metoda sau activitatea conține pașii care vă arată cum să modificați registry. Totuși, dacă modificați incorect sistemul registry, pot apărea probleme serioase. De aceea, asiguraţi-vă că urmaţi aceşti paşi cu atenţie. Pentru o protecție mai bună, înainte de a face modificări, realizați o copie de rezervă a sistemului registry. După aceea, sistemul registry poate fi restaurat dacă apare o problemă. Pentru informații suplimentare despre copierea de rezervă și restaurarea sistemului registry, faceți clic pe următorul număr de articol din Baza de cunoștințe Microsoft:

  322756Cum să faceți backup și să restaurați registry în Windows
  
  pentru a dezactiva această modificare, setați intrarea DWORD NegoAllowNtlmPwdChangeFallback pentru a utiliza o valoare de 1 (unu).
  
  
  Important setarea intrării de registry NegoAllowNtlmPwdChangeFallback la valoarea 1 va dezactiva această remediere de securitate:
  

  Valoarea registry	Descriere
  0	Valoare implicită. Rezervările sunt împiedicate.
  1	Rezervările sunt permise întotdeauna. Remedierea securității este dezactivată. Clienții care întâmpină probleme cu conturile locale la distanță sau cu scenarii de pădure neîncredere pot seta registry la această valoare.

  Pentru a adăuga aceste valori de registry, urmați acești pași:
  

  1. Faceți clic pe Start, pe Executare, tastați regedit în caseta Deschidere, apoi faceți clic pe OK.

  2. Găsiți, apoi faceți clic pe următoarea subcheie din registry:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. În meniul Editare , indicați spre nou, apoi faceți clic pe DWORD Value.

  4. Tastați NegoAllowNtlmPwdChangeFallback pentru numele DWORD, apoi apăsați pe ENTER.

  5. Faceți clic dreapta pe NegoAllowNtlmPwdChangeFallback, apoi faceți clic pe modify.

  6. În caseta Value data , tastați 1 pentru a dezactiva această modificare, apoi faceți clic pe OK.
     
     
     Notă pentru a restaura valoarea implicită, tastați 0 (zero), apoi faceți clic pe OK.

  Stare
  
  cauza principală a acestei probleme este înțeleasă. Acest articol va fi actualizat cu detalii suplimentare pe măsură ce devin disponibile.

Cum se obține și se instalează actualizarea

Metoda 1: Windows Update

Această actualizare este disponibilă prin Windows Update. Atunci când activați actualizarea automată, această actualizare va fi descărcată și instalată automat. Pentru mai multe informații despre cum să activați actualizarea automată, consultați
Obținerea automată a actualizărilor de securitate.

Metoda 2: Catalog Microsoft Update

Pentru a obține pachetul independent pentru această actualizare, accesați site-ul web Catalog Microsoft Update .

Mai multe informații