Накопительное обновление для Windows 10 версии 1511: 9 августа 2016 г.

Обзор

Это обновление безопасности включает исправления и улучшения функциональности Windows 1511 версии 10. Это также устраняет следующие уязвимости в Windows:

3177356 MS16-095: Накопительное обновление безопасности для обозревателя Internet Explorer: 9 августа 2016 г.
3177358 MS16-096: Накопительное обновление системы безопасности для Microsoft Edge: 9 августа 2016 г.
3177393 MS16-097: обновление безопасности для графических компонентов Microsoft: 9 августа 2016 г.
3178466 MS16-098: обновление безопасности для драйверов режима ядра: 9 августа 2016 г.
3178465 MS16-101: обновление системы безопасности для Windows методы проверки подлинности: 9 августа 2016 г.
3182248 MS16-102: обновление безопасности для Microsoft Windows PDF библиотеки: 9 августа 2016 г.
3182332 MS16-103: обновление безопасности для ActiveSyncProvider: 9 августа 2016 г.

Обновления Windows 10 являются накопительными. Таким образом, данный пакет содержит все ранее выпущенные исправления.При установке более ранних обновлений только новые исправления, содержащиеся в этом пакете, загружаются и устанавливаются на компьютер. При установке пакета обновления Windows 10 в первый раз пакетов для x86 версии — 502 МБ и для x64 версия 916 МБ.

Дополнительные сведения

Известные проблемы этого обновления безопасности

Известная проблема 1Установку новых обновлений и обновлений безопасности, предоставляемых в MS16-101 отключить возможность вернуться к NTLM при сбое проверки подлинности Kerberos для операций изменения пароля с кодом ошибки STATUS_NO_LOGON_SERVERS (0xc000005e) в процессе согласования. В этом случае может появиться одно из следующих кодов ошибки.

Шестнадцатеричный	Десятичный	Символические	Понятное
0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Системой обнаружена попытка нарушения безопасности. Убедитесь, что удается подключиться к серверу, который был выполнен.
0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Системой обнаружена попытка нарушения безопасности. Убедитесь, что удается подключиться к серверу, который был выполнен.

Временное решениеВ случае изменения пароля, ранее успешно после установки 101 MS16 вполне вероятно, что изменения пароля ранее полагаться на резервные NTLM из-за сбоя Kerberos. Чтобы изменить пароль с помощью протоколов Kerberos успешно, выполните следующие действия.

Настройте открыть связи по TCP-порту 464 между клиентов, имеющих установленные MS16-101 и контроллер домена, который обслуживает сброс пароля.Контроллеры домена только для чтения (RODC) может обслуживать сброс пароля самообслуживания, если пользователю разрешен параметром политики репликации паролей RODC. Пользователи, которые не разрешены политикой паролей RODC требуется сетевое подключение к контроллеру домена чтения и записи (RWDC) в домен учетной записи пользователя.Примечание. Чтобы проверить, открыт ли порт TCP 464, выполните следующие действия.
1. Создайте фильтр отображения эквивалент для вашей сетевой монитор синтаксического анализатора. Например:
  ipv4.address== <ip address of client> && tcp.port==464
2. В результатах поиска «TCP: [SynReTransmit» кадр.
Убедитесь, что имена целевых объектов Kerberos действительны. (IP-адреса недопустимы для протокола Kerberos. Kerberos поддерживает короткие имена и полные доменные имена.)
Убедитесь, что правильно зарегистрированы имена участников службы (SPN).Дополнительные сведения содержатся в разделе Kerberos и самостоятельного сброса пароля.

Известная проблема 2Мы знаем о проблеме в какой сброс пароля программный сбой и возвращает код ошибки STATUS_DOWNGRADE_DETECTED (0x800704F1) , если учетные записи пользователя домена в случае ожидаемого отказа является одним из следующих:

ERROR_INVALID_PASSWORD
ERROR_PWD_TOO_SHORT (редко возвращается)
STATUS_WRONG_PASSWORD
STATUS_PASSWORD_RESTRICTION

В следующей таблице показаны сопоставления ошибки переполнения.

Шестнадцатеричный	Десятичный	Символические	Понятное
0x56	86	ERROR_INVALID_PASSWORD	Неверный сетевой пароль.
0x267	615	ERROR_PWD_TOO_SHORT	Пароль, который был предоставлен в соответствии с политикой вашей учетной записи пользователя слишком мал. Укажите более длинный пароль.
0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	При обновлении пароля возврат этого кода состояния указывает, что указано неверное значение, представленное в качестве текущего пароля.
0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	При обновлении пароля возврат этого кода состояния указывает, что было нарушено некоторых правил обновления паролей. Например пароль могут не соответствовать критериям длины.
0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Системе не удается связаться с контроллером домена для проверки подлинности запроса. Повторите попытку позже.
0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Системе не удается связаться с контроллером домена для проверки подлинности запроса. Повторите попытку позже.

РешениеMS16-101 выпущен повторно, чтобы устранить эту проблему. Установите последнюю версию обновления для данного бюллетеня для решения этой проблемы.

Известная проблема 3Мы знаем о проблеме, в которой программный Сброс изменения пароля учетной записи локального пользователя может давать сбой и возвращать код ошибки STATUS_DOWNGRADE_DETECTED (0x800704F1) .В следующей таблице показаны сопоставления ошибки переполнения.

Шестнадцатеричный	Десятичный	Символические	Понятное
0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Системе не удается связаться с контроллером домена для проверки подлинности запроса. Повторите попытку позже.

РешениеMS16-101 выпущен повторно, чтобы устранить эту проблему. Установите последнюю версию обновления для данного бюллетеня для решения этой проблемы.

Известная проблема 4Используя пакет negotiate нельзя изменить пароли для учетных записей пользователей отключена и заблокированной.Изменения паролей для учетных записей отключено и заблокированной по-прежнему будут работать при использовании других методов, например, при использовании LDAP операции непосредственно изменить. Например PowerShell командлет Set-ADAccountPassword использует операцию «Изменить LDAP» Изменение пароля и остается без изменений.Временное решениеЭти учетные записи необходимо произвести сброс пароля администратора. Данное поведение является особенностью после установки исправления MS16 101 и более поздних версий.
Известная проблема 5Приложения, использующие API-Интерфейс NetUserChangePassword и, передайте имя сервера в параметр имя_домена не будет работать после MS16 101 и последующие обновления будут установлены.Документация корпорации Майкрософт указано, поддерживает предоставление имени удаленного сервера в параметре domainname функции NetUserChangePassword . Например функция NetUserChangePassword раздел библиотеки MSDN приводится ниже.имя_домена [в]

Указатель на строковой константы, указывающее DNS или NetBIOS-имя удаленного сервера или домена, на которой будет выполнять функцию. Если этот параметр имеет значение NULL, используется домен вызывающего объекта.Тем не менее это руководство было заменено MS16 101, — если сброс пароля для локальной учетной записи на локальном компьютере. MS16 POST-101, в порядке для изменения паролей пользователей домена для работы, необходимо передать допустимое DNS-имя домена NetUserChangePassword API.
Известная проблема 6После установки данного обновления безопасности и печати нескольких документов подряд, печать первых двух документов может пройти успешно. Тем не менее, третий и последующие документы могут не напечататься.Для устранения этой проблемы загрузите обновление 3186988 с веб-сайта Каталога Центра обновления Майкрософт .Также эта проблема устранена в бюллетене корпорации Майкрософт по безопасности MS16-106.

Известная проблема 7После установки обновлений безопасности, описанных в MS16-101, удаленных, сбой программного изменения пароля учетной записи локального пользователя и изменения пароля через леса без доверительных отношений.Операция завершается неудачно, так как операция использует NTLM отката больше не поддерживается для нелокальных учетных записей после установки MS16-101.Запись реестра, при условии, что можно использовать для отключения этого изменения.Предупреждение Этот способ может сделать компьютер или сеть более уязвимыми для атак злоумышленников и проникновения потенциально опасных программ, например вирусов. Корпорация Майкрософт не рекомендует использовать этот способ, но в случае необходимости, применяя данный способ, Вы очень рискуете. Используйте этот метод исключительно на свой страх и риск.Важно. Этот раздел, метод или задача содержат действия, содержащие указания по изменению реестра. Однако, при некорректных изменениях реестра могут возникнуть серьезные проблемы. Поэтому выполняйте следующие действия внимательно. Для дополнительной защиты сделайте резервную копию реестра перед внесением изменений. В таком случае при возникновении неполадок можно будет восстановить реестр. Чтобы узнать дополнительные сведения о резервном копировании и восстановлении реестра, щелкните следующий номер статьи базы знаний Майкрософт:

322756 Как сделать резервное копирование и восстановление реестра WindowsЧтобы отключить данное изменение, задайте запись DWORD NegoAllowNtlmPwdChangeFallback использовать значение 1 (один).Важно. Параметру реестра NegoAllowNtlmPwdChangeFallback значение 1 отключает данное исправление безопасности:

Значение реестра	Описание
0	Значение по умолчанию. Откат запрещен.
1	Возврат всегда разрешено. Исправление безопасности отключена. Пользователям, которые возникают проблемы, связанные с удаленным локальные учетные записи или сценарии без доверия леса можно задать это значение реестра.

Значение реестра

Описание

0

Значение по умолчанию. Откат запрещен.

1

Возврат всегда разрешено. Исправление безопасности отключена. Пользователям, которые возникают проблемы, связанные с удаленным локальные учетные записи или сценарии без доверия леса можно задать это значение реестра.

Для добавления этих параметров реестра, выполните следующие действия.

Нажмите кнопку Пуск, выберите пункт Выполнить, в поле Открыть введите команду regedit и нажмите кнопку ОК
Найдите и выделите следующий подраздел реестра:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
В меню Правка выберите пункт Создатьи затем щелкните Значение DWORD.
Введите NegoAllowNtlmPwdChangeFallback в качестве имени параметра и нажмите клавишу ВВОД.
Щелкните правой кнопкой мыши NegoAllowNtlmPwdChangeFallbackи выберите команду Изменить.
В поле значение введите 1 , чтобы отключить это изменение и нажмите кнопку ОК.Примечание. Чтобы восстановить значения по умолчанию, введите 0 (ноль) и нажмите кнопку ОК.

СтатусПричина этой проблемы будет понято. В этой статье будет обновляться с дополнительными подробностями, как только они становятся доступными.

Как получить это обновление

Важно. При установке языкового пакета после установки этого обновления, необходимо переустановить это обновление. Таким образом, рекомендуется установить все языковые пакеты, которые вам нужны, прежде чем установить данное обновление. Дополнительные сведения содержатся в статье Установка языковых пакетов для Windows.

Метод 1. Центр обновления Windows

Это обновление будет загружено и установлено автоматически.

Метод 2: Каталог Центра обновления Майкрософт

Для получения отдельного пакета для данного обновления перейдите на веб-сайт каталога Центра обновления Майкрософт.

Предварительные условия

Установка этого обновления не требует выполнения предварительных условий.

Сведения о перезагрузке компьютера

После установки обновления компьютер необходимо перезагрузить.

Сведения о замене обновлений

Это обновление заменяет ранее выпущенное обновление 3172985.

Сведения о файлах

Для просмотра списка файлов, представленных в данном накопительном обновлении, загрузите сведения о файлах для накопительного обновления 3176493.

Ссылки

Дополнительные сведения о терминологии , которую корпорация Майкрософт использует для описания обновлений программного обеспечения.