MS16-101: обновление системы безопасности для методов проверки подлинности Windows: 9 августа 2016 г.

Аннотация

Это обновление для системы безопасности устраняет несколько уязвимостей в Microsoft Windows. Эти уязвимости могут привести к повышению привилегий, если злоумышленник запускает специально созданное приложение в системе, которая присоединяется к домену.

Дополнительные информацию о уязвимости см. в бюллетене по безопасности (Майкрософт) MS16-101.

Дополнительная информация

Важно!

• Все будущие обновления для системы безопасности и другие обновления для Windows 8.1 и Windows Server 2012 R2 требуют установки обновления 2919355. Рекомендуем установить обновление 2919355 на компьютере на базе Windows 8.1 или Windows Server 2012 R2, чтобы получать будущие обновления.

• Если после установки обновления вы установили языковой пакет, необходимо переустановить это обновление. Поэтому мы рекомендуем установить все необходимые языковые пакеты перед установкой обновления. Дополнительные сведения см. в теме "Добавление языковых пакетов в Windows".

Дополнительные сведения об этом обновлении для системы безопасности

В следующих статьях содержатся дополнительные сведения об этом обновлении для системы безопасности в связи с отдельными версиями продуктов. Эти статьи могут содержать сведения об известных проблемах.

• 3177108 MS16-101: описание обновления для системы безопасности для способов проверки подлинности Windows: 9 августа 2016 г.

• 3167679 MS16-101: описание обновления для системы безопасности для способов проверки подлинности Windows: 9 августа 2016 г.

• 3192392 Обновление качества системы безопасности для Windows 8.1 и Windows Server 2012 R2 за октябрь 2016 г.

• 3185331 Ежемесячный процесс обновления качества системы безопасности для приложений Windows 8.1 и Windows Server 2012 R2 за октябрь 2016 г.

• 3192393 Обновление качества системы безопасности для Windows Server 2012 за октябрь 2016 г.

• 3185332 Ежемесячный процесс обновления качества системы безопасности для Windows Server 2012 за октябрь 2016 г.

• 3192391 Обновление качества системы безопасности Windows 7 с sp1 и Windows Server 2008 R2 с Windows Server 2008 R2 с sp1 за октябрь 2016 г.

• 3185330 Ежемесячный обновления качества для Windows 7 с sp1 и Windows Server 2008 R2 SP1 за октябрь 2016 г.

• 3192440 Накопительный итог обновления для Windows 10: 11 октября 2016 г.

• 3194798 Накопительный итог обновления для Windows 10 версии 1607 и Windows Server 2016: 11 октября 2016 г.

• 3192441 Накопительный итог обновления для Windows 10 версии 1511: 11 октября 2016 г.

Заменены следующие обновления для системы безопасности:

• 3176492 Накопительный итог обновления для Windows 10: 9 августа 2016 г.

• 3176493 Накопительный итог обновления для Windows 10 версии 1511: 9 августа 2016 г.

• 3176495 Накопительный итог обновления для Windows 10 версии 1607: 9 августа 2016 г.

Ниже следующую информацию о новых обновлениях для системы безопасности, которые заменяют упомянутые выше обновления для системы безопасности.

• 3192440 Накопительный итог обновления для Windows 10: 11 октября 2016 г.

• 3194798 Накопительный итог обновления для Windows 10 версии 1607 и Windows Server 2016: 11 октября 2016 г.

• 3192441 Накопительный итог обновления для Windows 10 версии 1511: 11 октября 2016 г.

Известные проблемы в этом обновлении для системы безопасности

• Известная проблема 1. Обновления системы безопасности, которые предоставляются в MS16-101 и более новых обновлениях, отключать возможность процесса "Провести переговоры" в NTLM при сбое проверки подлинности Kerberos при сбое в операциях смены пароля с кодом ошибки
  
  STATUS_NO_LOGON_SERVERS (0xc000005e). В этом случае может появиться один из следующих кодов ошибок:
  
  

  Hexadecimal	Decimal	Symbolic	"Удобно"
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Система обнаружила возможную попытку скомпрометировать безопасность. Убедитесь, что вы можете связаться с сервером, на который вы подтвердили проверку подлинности.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Система обнаружила возможную попытку скомпрометировать безопасность. Убедитесь, что вы можете связаться с сервером, на который вы подтвердили подлинность.

  
  
  Обходное решение: если после установки
  MS16-101 смена паролей не удалась, вероятно, изменения паролей раньше были зависят от системы
  NTLM из-за сбоя Kerberos. Чтобы успешно изменить пароль с помощью протоколов Kerberos, выполните следующие действия:
  
  
  

  1. Настройте открытую связь на порте TCP 464 между клиентами, на которые установлена система MS16-101, и контроллером домена, который сбрасывает пароль.
     
     Контроллеры доменов, доступного только для чтения (КОТОРЫЕ), могут самостоятельно сбрасывать пароли, если для пользователя это разрешено политикой репликации паролей . Пользователям, не разрешенным политикой паролей ИЛ, требуется сетевое подключение к контроллеру домена (RWDC) для чтения и записи в домене учетной записи пользователя.
     
     Чтобы проверить, открыт ли порт TCP 464, выполните следующие действия:
     
     
     

     1. Создайте эквивалентный фильтр для сетевого монитора. Пример:
        

        ipv4.address== <ip-адрес клиента> && tcp.port=464

     2. В результатах найди фрейм TCP:[SynReTransmit".
        
        

  2. Убедитесь, что целевые имена Kerberos действительны. (IP-адреса не действительны для протокола Kerberos. Kerberos поддерживает короткие и полностью известные доменные имена.)

  3. Убедитесь, что имена основных служб (SPNs) зарегистрированы правильно.
     
     Дополнительные сведения см. в Self-Service и Kerberos.

• Известная проблема 2. Мы знаем о проблеме, из-за которой программный сброс паролей учетных записей пользователей домена не удается, и возвращает код ошибки
  
  STATUS_DOWNGRADE_DETECTED (0x800704F1), если ожидаемый сбой является одним из следующих:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (редко возвращается)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  В таблице ниже показано полное сопоставление ошибок.
  
  

  Hexadecimal	Decimal	Symbolic	"Удобно"
  0x56	86	ERROR_INVALID_PASSWORD	Указанный сетевой пароль указан неправильно.
  0x267	615	ERROR_PWD_TOO_SHORT	Предоставленный пароль слишком короткий для того, чтобы соответствовать политике вашей учетной записи пользователя. У вас должен быть более длительный пароль.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	При попытке обновить пароль это состояние возврата указывает на то, что указано неправильное значение текущего пароля.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	При попытке обновить пароль это состояние возврата указывает на то, что было нарушено какое-либо правило обновления пароля. Например, пароль может не соответствовать условиям длины.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Система не может обратиться к контроллеру домена для обслуживания запроса на проверку подлинности. Повторите попытку позже.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Система не может обратиться к контроллеру домена для обслуживания запроса на проверку подлинности. Повторите попытку позже.

  
  
  Решение
  
  MS16-101 было повторно выпущено для решения этой проблемы. Установите последнюю версию обновлений для этого бюллетеня, чтобы устранить эту проблему.
  
  

• Известная проблема 3. Мы знаем о проблеме, из-за которой программный сброс паролей локальных учетных записей может не сбой и возвращать код ошибки STATUS_DOWNGRADE_DETECTED
  
  (0x800704F1).
  
  В таблице ниже показано полное сопоставление ошибок.
  
  

  Hexadecimal	Decimal	Symbolic	"Удобно"
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Система не может обратиться к контроллеру домена для обслуживания запроса на проверку подлинности. Повторите попытку позже.

  
  
  Решение
  
  MS16-101 было повторно выпущено для решения этой проблемы. Установите последнюю версию обновлений для этого бюллетеня, чтобы устранить эту проблему.
  
  

• Известная проблема с 4 паролями для отключенных и заблокированных учетных записей пользователей не может быть изменена с помощью пакета
  
  переговоров.
  
  
  Изменения паролей отключенных и заблокированных учетных записей будут работать при использовании других методов, таких как прямо при использовании операции изменения LDAP. Например, для изменения пароля с помощью Set-ADAccountPassword PowerShell используется операция "Изменение LDAP".
  
  Обходным решением для сброса пароля для этих учетных
  
  записей требуется администратор. Это поведение является разработкой после установки MS16-101 и более поздних исправлений.
  
  

• Известная проблема 5 приложений, которые используют NetUserChangePassword API и которые передают имя сервера в параметре domainname, больше не будут работать после установки
  
  обновлений MS16-101 и более поздних версий.
  
  В документации Майкрософт говорится, что поддерживается предоставление имени удаленного сервера в параметре domainname функции NetUserChangePassword. Например, функция MSDN NetUserChangePassword говорит о следующем:
  
  domainname [in]
  

  Указатель на постоянную строку, которая указывает имя DNS или NetBIOS удаленного сервера или домена, на котором выполняется функция. Если этот параметр имеет имя NULL, используется домен для регистрации вызываемого вызываемого. Эта инструкция была переподстановлена
  ms16-101, если сброс пароля не был сброшен для локальной учетной записи на
  локальном компьютере.
  
  Опубликовать MS16-101, чтобы изменения паролей пользователей домена работали, необходимо передать действительное доменное имя DNS в API NetUserChangePassword.

• Известная проблема 6. После установки обновлений для системы безопасности, описанных в
  
  MS16-101,удаленных программных изменений пароля локальной учетной записи пользователя и изменения паролей в неподтверченном лесу, происходят сбой.
  
  
  Эта операция невозмежна, так как операция использует NTLM от системы NTLM, которая больше не поддерживается для нелокальных учетных записей после установки MS16-101.
  
  
  Для отключения этого изменения предусмотрена запись реестра.
  
  Предупреждение. Это решение может сделать компьютер или сеть более уязвимыми к атакам пользователей-злоумышленников или вредоносных программ, например вирусов. Мы не рекомендуем использовать это решение, но предоставляем эти сведения, чтобы вы могли использовать это решение по собственному усмотрению. Применяя этот метод обхода проблемы, вы действуете на собственный риск.
  
  Раздел, метод или задача ImportantThis содержит действия, которые поймируют, как изменить реестр. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует точно выполнять приведенные инструкции. В качестве дополнительной защитной меры перед изменением реестра необходимо создать его резервную копию. Это позволит восстановить реестр в случае возникновения проблем. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:

  322756Чтобы отключить это изменение, используйте для записи DWORD от
  
  NegoAllowNtlmPwdChangeFallback DWORD значение 1 (одно).
  
  
  Важное значение 1 для записи реестра NegoAllowNtlmPwdChangeFallback отключит это исправление для системы безопасности:
  

  Значение реестра	Описание
  0	Значение по умолчанию. Предотвращается воспроизведение.
  1	Всегда можно использовать fallback. Исправление для системы безопасности отключено. Клиенты, которые имеют проблемы с удаленной локальной учетной записью или неподотверщенными лесами, могут установить это значение в реестре.

  Чтобы добавить эти значения реестра, выполните следующие действия:
  

  1. Выберите в меню Пуск элемент Выполнить, введите в поле Открыть команду regedit и нажмите кнопку ОК.

  2. Найдите и щелкните следующий подкайп в реестре:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. В меню Правка выберите пункт Создать, а затем Параметр DWORD.

  4. Введите имя DWORD введите NegoAllowNtlmPwdChangeFallback и нажмите ввод.

  5. Щелкните правой кнопкой мыши NegoAllowNtlmPwdChangeFallbackи выберите "Изменить".

  6. В поле "Значение" введите 1, чтобы отключить это изменение, и нажмите кнопку "ОК".
     
     
     Чтобы восстановить значение по умолчанию, введите 0 (ноль) и нажмите кнопку "ОК".

  Состояние,
  
  в связи с чем эта проблема является основной, понятна. В этой статье будут обновляться дополнительные сведения по мере их получения.

Получение и установка обновления

Способ 1. Обновление Windows

Это обновление доступно в Обновлении Windows. Если включить автоматическое обновление, это обновление будет скачино и установлено автоматически. Дополнительные сведения о том, как включить автоматическое обновление, см. в этом
курсе.

Способ 2. Каталог обновлений Майкрософт

Чтобы получить автономный пакет для этого обновления, перейдите на веб-сайт каталога обновлений Майкрософт.

Дополнительная информация