Совокупное обновление для Windows 10: 9 августа 2016 г.

Известные проблемы в этом обновлении безопасности

• Известный вопрос 1 Обновления безопасности, предоставляемые в MS16-101, и новые обновления отключают способность процесса переговоров вернуться к NTLM, когда проверка подлинности Kerberos не удается для операций по изменению паролей с STATUS-NO-LOGON-SERVERS (0xcc000005e) код ошибки. В этой ситуации вы можете получить один из следующих кодов ошибок.

  Шестнадцатеричное	Десятичных	Символические	Дружелюбный
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Система обнаружила возможную попытку поставить под угрозу безопасность. Пожалуйста, убедитесь, что вы можете связаться с сервером, который подтвердил вас подлинность.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Система обнаружила возможную попытку поставить под угрозу безопасность. Пожалуйста, убедитесь, что вы можете связаться с сервером, который подтвердил вас подлинность.

  Обходной путь Если изменения пароля, которые ранее удалось сбой после установки MS16-101, вполне вероятно, что изменения пароля ранее полагаться на NTLM резервного копирования, потому что Kerberos не удалось. Для успешной смены паролей с помощью протоколов Kerberos выполните следующие действия:

  1. Назначайте открытую связь на порте TCP 464 между клиентами, у которых установлен MS16-101, и контроллером домена, который обслуживает сброс пароля. Контроллеры доменов только для чтения (RODCs) могут обслуживать сброс паролей самообслуживания, если пользователю разрешена политика репликации паролей RODCs. Пользователи, которые не допускаются по политике паролей RODC, требуют подключения к сетевому контроллеру домена чтения/записи (RWDC) в домене учетной записи пользователя. Заметка Чтобы проверить, открыт ли порт TCP 464, выполните следующие действия:

     1. Создайте эквивалентный фильтр отображения для парора сетевого монитора. Например:

        ipv4.address== <ip address of client> && tcp.port==464

     2. В результатах ищите кадр «TCP: SynReTransmit».

  2. Убедитесь, что имена целей Kerberos действительны. (IP-адреса не действительны для протокола Kerberos. Kerberos поддерживает короткие имена и полностью квалифицированные доменные имена.)

  3. Убедитесь, что основные имена служб (SPNs) зарегистрированы правильно. Для получения дополнительной информации, см Kerberos и самообслуживания сбросить пароль.

• Известный вопрос 2 Мы знаем о проблеме, в которой программные сбросы паролей учетных записей пользователей домена терпят неудачу и возвращают код ошибки STATUS-DOWNGRADE-DETECTED (0x800704F1), если ожидаемый сбой является одним из следующих:

  • ERROR_INVALID_PASSWORD

  • ERROR-PWD-TOO-SHORT (редко возвращается)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  В следующей таблице отображается полное отображение ошибок.

  Шестнадцатеричное	Десятичных	Символические	Дружелюбный
  0x56	86	ERROR_INVALID_PASSWORD	Указанный сетевой пароль не является правильным.
  0x267	615	ERROR_PWD_TOO_SHORT	Пароль, который был предоставлен, слишком короткий, чтобы соответствовать политике вашей учетной записи пользователя. Пожалуйста, предоставьте более длинный пароль.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	При попытке обновить пароль этот статус возврата указывает на то, что значение, которое было предоставлено в качестве текущего пароля, неверно.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	При попытке обновить пароль этот статус возврата указывает на то, что было нарушено некоторое правило обновления пароля. Например, пароль может не соответствовать критериям длины.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Система не может связаться с контроллером домена для обслуживания запроса на аутентификацию. Пожалуйста, повторите попытку позже.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Система не может связаться с контроллером домена для обслуживания запроса на аутентификацию. Пожалуйста, повторите попытку позже.

  РазрешениеMS16-101 было переиздано для решения этой проблемы. Установите последнюю версию обновлений для этого бюллетеня, чтобы решить эту проблему.

• Известный вопрос 3 Мы знаем о проблеме, при которой программные сбросы локальных изменений пароля учетной записи пользователя могут вывести из строя и вернуть код ошибки STATUS-DOWNGRADE-DETECTED (0x800704F1). В следующей таблице отображается полное отображение ошибок.

  Шестнадцатеричное	Десятичных	Символические	Дружелюбный
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Система не может связаться с контроллером домена для обслуживания запроса на аутентификацию. Пожалуйста, повторите попытку позже.

  РазрешениеMS16-101 было переиздано для решения этой проблемы. Установите последнюю версию обновлений для этого бюллетеня, чтобы решить эту проблему.

• Известный вопрос 4 Пароли для отключенных и заблокированных учетных записей пользователей не могут быть изменены с помощью пакета переговоров. Изменения паролей для отключенных и заблокированных учетных записей будут по-прежнему работать при использовании других методов, таких как при непосредственном использовании операции модификации LDAP. Например, Смдлет PowerShell Set-ADAccountPassword использует операцию "LDAP Modify" для изменения пароля и остается без изменений. Обходной путь Эти учетные записи требуют от администратора сброс аролей. Такое поведение по замыслу после установки MS16-101 и более поздних исправлений.

• Известный вопрос 5 Приложения, которые используют NetUserChangePassword API и которые передают имя сервера в параметре доменного имени, больше не будут работать после установки MS16-101 и последующих обновлений. В документации корпорации Майкрософт говорится, что поддержка предоставления имени удаленного сервера в параметре доменного имени функции NetUserChangePassword. Например, в теме функции NETUserChangePassword MSDN говорится следующее: доменное имя (в)

  Указатель на постоянную строку, которая определяет имя DNS или NetBIOS удаленного сервера или домена, на котором выполняется функция. Если этот параметр NULL, используется область входа вызываемого абонента.Однако это руководство было заменено MS16-101, если только сбросить пароль не для локальной учетной записи на локальном компьютере. Опубликовать MS16-101, для того, чтобы изменить пароль пользователя домена на работу, вы должны передать действительное DNS доменное имя NetUserChangePassword API.

• Известный вопрос 6 После применения этого обновления безопасности, а затем вы печатаете несколько документов подряд, первые два документа могут успешно печататься, но третий и последующие документы не могут печататься. Чтобы решить эту проблему, сделайте любой из следующих вопросов:

  • Установите обновление 3187022. Для получения дополнительной информации, нажмите на следующий номер статьи, чтобы просмотреть статью в базе знаний Microsoft:

    3187022 Функция печати нарушается после того, как любой из обновлений безопасности MS16-098 установлены

  • Установите обновление 3186987 с веб-сайта каталога обновлений Майкрософт.

  Эта проблема также решена в Microsoft Security Bulletin MS16-106.

• Известный выпуск 7 После установки обновлений безопасности, описанных в MS16-101,удаленные, программные изменения локального пароля учетной записи пользователя и изменения паролей через ненадежный лес сбой. Эта операция завершается неудачей, поскольку операция опирается на откат NTLM, который больше не поддерживается для нелокальных учетных записей после установки MS16-101. Запись реестра предусмотрена, что вы можете использовать для отключить это изменение. Предупреждение Это обходное дело может сделать компьютер или сеть более уязвимыми для атак вредоносных пользователей или вредоносных программ, таких как вирусы. Мы не рекомендуем этот обходной путь, но предоставляем эту информацию, так что вы можете реализовать этот обходной путь по своему усмотрению. Используйте этот обходной путь на свой страх и риск. Важныйэтот раздел, метод или задача содержит шаги, которые подскажут, как изменить реестр. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы внимательно следуете этим шагам. Для дополнительной защиты, резервное копирование реестра, прежде чем изменить его. Затем можно восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную базу и восстановить реестр, нажмите следующий номер статьи, чтобы просмотреть статью в базе знаний Microsoft:

  322756 Как создать резервную и восстановитерегистратор в WindowsЧтобы отключить это изменение, установите запись NegoAllowNtlmPwdChangeFallback DWORD, чтобы использовать значение 1 (один). Важно Установка входа в реестр NegoAllowNtlmPwdFallback на значение 1 отсванет это исправление безопасности:

  Значение реестра	Описание
  0	Значение по умолчанию. Откат предотвращается.
  1	Запас всегда разрешен. Исправление безопасности отключено. Клиенты, у которых возникают проблемы с удаленными локальными учетными записями или ненадежными сценариями лесных отношений, могут настроить реестр к этому значению.

  Чтобы добавить эти значения реестра, выполните следующие действия:

  1. Выберите в меню Пуск элемент Выполнить, введите в поле Открыть команду regedit и нажмите кнопку ОК.

  2. Найдите, а затем нажмите на следующий подключьку в реестре:

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

  3. В меню Правка выберите пункт Создать, а затем Параметр DWORD.

  4. Введите NegoAllowNtlmPwdChangeFallback для названия DWORD, а затем нажмите ENTER.

  5. Право нажмите NegoAllowNtlmPwdChangeback, а затем нажмите Изменить.

  6. В поле данных Значение введите 1, чтобы отключить это изменение, а затем нажмите OK.Заметка Чтобы восстановить значение по умолчанию, введите 0 (ноль), а затем нажмите OK.

  Статус Изяна причина этой проблемы. Эта статья будет обновлена с дополнительными деталями, как они становятся доступными.

Метод 1: Обновление Windows

Это обновление будет загружено и установлено автоматически.

Метод 2: Каталог обновлений Майкрософт

Чтобы получить автономный пакет для этого обновления, перейдите на веб-сайт каталога обновлений Майкрософт.

Предварительные условия

Нет никаких предпосылок для установки этого обновления.

Необходимость перезагрузки

После установки обновления компьютер необходимо перезагрузить.

Сведения о замене обновлений

Это обновление заменяет ранее выпущенное обновление 3163912.