Накопительное обновление для Windows 10 версии 1511: 9 августа 2016 г.

Известные проблемы этого обновления безопасности

• Известная проблема 1
  
  Установку новых обновлений и обновлений безопасности, предоставляемых в MS16-101 отключить возможность вернуться к NTLM при сбое проверки подлинности Kerberos для операций изменения пароля с кодом ошибки STATUS_NO_LOGON_SERVERS (0xc000005e) в процессе согласования. В этом случае может появиться одно из следующих кодов ошибки.
  
  

  Шестнадцатеричный	Десятичный	Символические	Понятное
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Системой обнаружена попытка нарушения безопасности. Убедитесь, что удается подключиться к серверу, который был выполнен.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Системой обнаружена попытка нарушения безопасности. Убедитесь, что удается подключиться к серверу, который был выполнен.

  
  
  Временное решение
  
  В случае изменения пароля, ранее успешно после установки 101 MS16 вполне вероятно, что изменения пароля ранее полагаться на резервные NTLM из-за сбоя Kerberos. Чтобы изменить пароль с помощью протоколов Kerberos успешно, выполните следующие действия.
  
  
  

  1. Настройте открыть связи по TCP-порту 464 между клиентов, имеющих установленные MS16-101 и контроллер домена, который обслуживает сброс пароля.
     
     Контроллеры домена только для чтения (RODC) может обслуживать сброс пароля самообслуживания, если пользователю разрешен параметром политики репликации паролей RODC. Пользователи, которые не разрешены политикой паролей RODC требуется сетевое подключение к контроллеру домена чтения и записи (RWDC) в домен учетной записи пользователя.
     
     Примечание. Чтобы проверить, открыт ли порт TCP 464, выполните следующие действия.
     
     
     

     1. Создайте фильтр отображения эквивалент для вашей сетевой монитор синтаксического анализатора. Например:
        

        ipv4.address== <ip address of client> && tcp.port==464

     2. В результатах поиска «TCP: [SynReTransmit» кадр.
        
        

  2. Убедитесь, что имена целевых объектов Kerberos действительны. (IP-адреса недопустимы для протокола Kerberos. Kerberos поддерживает короткие имена и полные доменные имена.)

  3. Убедитесь, что правильно зарегистрированы имена участников службы (SPN).
     
     Дополнительные сведения содержатся в разделе Kerberos и самостоятельного сброса пароля.

• Известная проблема 2
  
  Мы знаем о проблеме в какой сброс пароля программный сбой и возвращает код ошибки STATUS_DOWNGRADE_DETECTED (0x800704F1) , если учетные записи пользователя домена в случае ожидаемого отказа является одним из следующих:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (редко возвращается)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  В следующей таблице показаны сопоставления ошибки переполнения.
  
  

  Шестнадцатеричный	Десятичный	Символические	Понятное
  0x56	86	ERROR_INVALID_PASSWORD	Неверный сетевой пароль.
  0x267	615	ERROR_PWD_TOO_SHORT	Пароль, который был предоставлен в соответствии с политикой вашей учетной записи пользователя слишком мал. Укажите более длинный пароль.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	При обновлении пароля возврат этого кода состояния указывает, что указано неверное значение, представленное в качестве текущего пароля.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	При обновлении пароля возврат этого кода состояния указывает, что было нарушено некоторых правил обновления паролей. Например пароль могут не соответствовать критериям длины.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Системе не удается связаться с контроллером домена для проверки подлинности запроса. Повторите попытку позже.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Системе не удается связаться с контроллером домена для проверки подлинности запроса. Повторите попытку позже.

  
  
  Решение
  
  MS16-101 выпущен повторно, чтобы устранить эту проблему. Установите последнюю версию обновления для данного бюллетеня для решения этой проблемы.
  
  

• Известная проблема 3
  
  Мы знаем о проблеме, в которой программный Сброс изменения пароля учетной записи локального пользователя может давать сбой и возвращать код ошибки STATUS_DOWNGRADE_DETECTED (0x800704F1) .
  
  В следующей таблице показаны сопоставления ошибки переполнения.
  
  

  Шестнадцатеричный	Десятичный	Символические	Понятное
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Системе не удается связаться с контроллером домена для проверки подлинности запроса. Повторите попытку позже.

  
  
  Решение
  
  MS16-101 выпущен повторно, чтобы устранить эту проблему. Установите последнюю версию обновления для данного бюллетеня для решения этой проблемы.
  
  

• Известная проблема 4
  
  Используя пакет negotiate нельзя изменить пароли для учетных записей пользователей отключена и заблокированной.
  
  
  Изменения паролей для учетных записей отключено и заблокированной по-прежнему будут работать при использовании других методов, например, при использовании LDAP операции непосредственно изменить. Например PowerShell командлет Set-ADAccountPassword использует операцию «Изменить LDAP» Изменение пароля и остается без изменений.
  
  Временное решение
  
  Эти учетные записи необходимо произвести сброс пароля администратора. Данное поведение является особенностью после установки исправления MS16 101 и более поздних версий.
  
  

• Известная проблема 5
  
  Приложения, использующие API-Интерфейс NetUserChangePassword и, передайте имя сервера в параметр имя_домена не будет работать после MS16 101 и последующие обновления будут установлены.
  
  Документация корпорации Майкрософт указано, поддерживает предоставление имени удаленного сервера в параметре domainname функции NetUserChangePassword . Например функция NetUserChangePassword раздел библиотеки MSDN приводится ниже.
  
  имя_домена [в]
  

  Указатель на строковой константы, указывающее DNS или NetBIOS-имя удаленного сервера или домена, на которой будет выполнять функцию. Если этот параметр имеет значение NULL, используется домен вызывающего объекта.Тем не менее это руководство было заменено MS16 101, — если сброс пароля для локальной учетной записи на локальном компьютере. MS16 POST-101, в порядке для изменения паролей пользователей домена для работы, необходимо передать допустимое DNS-имя домена NetUserChangePassword API.

• Известная проблема 6
  
  
  
  После установки данного обновления безопасности и печати нескольких документов подряд, печать первых двух документов может пройти успешно. Тем не менее, третий и последующие документы могут не напечататься.
  
  Для устранения этой проблемы загрузите обновление 3186988 с веб-сайта Каталога Центра обновления Майкрософт .
  
  
  
  
  
  Также эта проблема устранена в бюллетене корпорации Майкрософт по безопасности MS16-106.
  
  
  
  

• Известная проблема 7
  
  После установки обновлений безопасности, описанных в MS16-101, удаленных, сбой программного изменения пароля учетной записи локального пользователя и изменения пароля через леса без доверительных отношений.
  
  
  Операция завершается неудачно, так как операция использует NTLM отката больше не поддерживается для нелокальных учетных записей после установки MS16-101.
  
  
  Запись реестра, при условии, что можно использовать для отключения этого изменения.
  
  Предупреждение Этот способ может сделать компьютер или сеть более уязвимыми для атак злоумышленников и проникновения потенциально опасных программ, например вирусов. Корпорация Майкрософт не рекомендует использовать этот способ, но в случае необходимости, применяя данный способ, Вы очень рискуете. Используйте этот метод исключительно на свой страх и риск.
  
  Важно. Этот раздел, метод или задача содержат действия, содержащие указания по изменению реестра. Однако, при некорректных изменениях реестра могут возникнуть серьезные проблемы. Поэтому выполняйте следующие действия внимательно. Для дополнительной защиты сделайте резервную копию реестра перед внесением изменений. В таком случае при возникновении неполадок можно будет восстановить реестр. Чтобы узнать дополнительные сведения о резервном копировании и восстановлении реестра, щелкните следующий номер статьи базы знаний Майкрософт:

  322756 Как сделать резервное копирование и восстановление реестра Windows
  
  Чтобы отключить данное изменение, задайте запись DWORD NegoAllowNtlmPwdChangeFallback использовать значение 1 (один).
  
  
  Важно. Параметру реестра NegoAllowNtlmPwdChangeFallback значение 1 отключает данное исправление безопасности:
  

  Значение реестра	Описание
  0	Значение по умолчанию. Откат запрещен.
  1	Возврат всегда разрешено. Исправление безопасности отключена. Пользователям, которые возникают проблемы, связанные с удаленным локальные учетные записи или сценарии без доверия леса можно задать это значение реестра.

  Для добавления этих параметров реестра, выполните следующие действия.
  

  1. Нажмите кнопку Пуск, выберите пункт Выполнить, в поле Открыть введите команду regedit и нажмите кнопку ОК

  2. Найдите и выделите следующий подраздел реестра:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. В меню Правка выберите пункт Создатьи затем щелкните Значение DWORD.

  4. Введите NegoAllowNtlmPwdChangeFallback в качестве имени параметра и нажмите клавишу ВВОД.

  5. Щелкните правой кнопкой мыши NegoAllowNtlmPwdChangeFallbackи выберите команду Изменить.

  6. В поле значение введите 1 , чтобы отключить это изменение и нажмите кнопку ОК.
     
     
     Примечание. Чтобы восстановить значения по умолчанию, введите 0 (ноль) и нажмите кнопку ОК.

  Статус
  
  Причина этой проблемы будет понято. В этой статье будет обновляться с дополнительными подробностями, как только они становятся доступными.

Метод 1. Центр обновления Windows

Это обновление будет загружено и установлено автоматически.

Метод 2: Каталог Центра обновления Майкрософт

Для получения отдельного пакета для данного обновления перейдите на веб-сайт каталога Центра обновления Майкрософт.

Предварительные условия

Установка этого обновления не требует выполнения предварительных условий.

Сведения о перезагрузке компьютера

После установки обновления компьютер необходимо перезагрузить.

Сведения о замене обновлений

Это обновление заменяет ранее выпущенное обновление 3172985.