MS16-101: описание обновления для системы безопасности для методов проверки подлинности Windows: 9 августа 2016 г.

Аннотация

Это обновление для системы безопасности устраняет несколько уязвимостей в Microsoft Windows. Эти уязвимости могут привести к повышению привилегий, если злоумышленник запускает специально созданное приложение в системе, которая присоединяется к домену.

Дополнительные информацию о уязвимости см. в бюллетене по безопасности (Майкрософт) MS16-101.

Дополнительная информация

Внимание!

• Все будущие обновления для системы безопасности и другие обновления для Windows 8.1 и Windows Server 2012 R2 требуют установки обновления 2919355. Рекомендуем установить обновление 2919355 на компьютере на базе Windows 8.1 или Windows Server 2012 R2, чтобы получать будущие обновления.

• Если после установки обновления вы установили языковой пакет, необходимо переустановить это обновление. Поэтому мы рекомендуем установить все необходимые языковые пакеты перед установкой обновления. Дополнительные сведения см. в дополнительных сведениях о добавлении языковых пакетов в Windows.

Известные проблемы в этом обновлении для системы безопасности

• Известная проблема 1. Обновления системы безопасности, которые предоставляются в MS16-101 и более новых обновлениях, отключать возможность процесса "Провести переговоры" в NTLM при сбое проверки подлинности Kerberos при сбое в операциях смены пароля с кодом ошибки
  
  STATUS_NO_LOGON_SERVERS (0xc000005e). В этом случае может появиться один из следующих кодов ошибок:
  
  

  Hexadecimal	Decimal	Symbolic	"Удобно"
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Система обнаружила возможную попытку скомпрометировать безопасность. Убедитесь, что вы можете связаться с сервером, на который вы подтвердили подлинность.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Система обнаружила возможную попытку скомпрометировать безопасность. Убедитесь, что вы можете связаться с сервером, на который вы подтвердили проверку подлинности.

  
  
  Обходной путь в случае сбоя смены паролей после установки
  MS16-101, скорее всего, на смену паролей раньше полагалось откат NTLM из-за сбоя
  Kerberos. Чтобы успешно изменить пароль с помощью протоколов Kerberos, выполните следующие действия:
  
  
  

  1. Настройте открытую связь на порте TCP 464 между клиентами, на которые установлена система MS16-101, и контроллером домена, который сбрасывает пароль.
     
     Контроллеры доменов, доступного только для чтения (SELFCs), могут самостоятельно сбрасывать пароли, если это разрешено политикой репликации паролей . Пользователям, не разрешенным политикой паролей ИЛ, требуется сетевое подключение к контроллеру домена (RWDC) для чтения и записи в домене учетной записи пользователя.
     
     Чтобы проверить, открыт ли TCP-порт 464, выполните следующие действия:
     
     
     

     1. Создайте эквивалентный фильтр для сетевого монитора. Пример:
        

        ipv4.address== <ip-адрес клиента> && tcp.port=464

     2. В результатах найди фрейм TCP:[SynReTransmit".
        
        

  2. Убедитесь, что целевые имена Kerberos действительны. (IP-адреса не действительны для протокола Kerberos. Kerberos поддерживает короткие и полностью известные доменные имена.)

  3. Убедитесь, что имена основных служб (SPNs) зарегистрированы правильно.
     
     Дополнительные сведения см. в Self-Service и Kerberos.

• Известная проблема 2. Мы знаем о проблеме, из-за которой программный сброс пароля для учетных записей пользователей домена не удастся вернуть код ошибки
  
  STATUS_DOWNGRADE_DETECTED (0x800704F1), если ожидаемое сбой является одним из следующих:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (редко возвращается)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  В таблице ниже показано полное сопоставление ошибок.
  
  

  Hexadecimal	Decimal	Symbolic	"Удобно"
  0x56	86	ERROR_INVALID_PASSWORD	Указанный сетевой пароль указан неправильно.
  0x267	615	ERROR_PWD_TOO_SHORT	Предоставленный пароль слишком короткий для того, чтобы соответствовать политике вашей учетной записи пользователя. У вас должен быть более длительный пароль.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	При попытке обновить пароль это состояние возврата указывает на то, что указано неправильное значение текущего пароля.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	При попытке обновить пароль это состояние возврата указывает на то, что было нарушено какое-либо правило обновления пароля. Например, пароль может не соответствовать условиям длины.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Система не может обратиться к контроллеру домена для обслуживания запроса на проверку подлинности. Повторите попытку позже.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Система не может обратиться к контроллеру домена для обслуживания запроса на проверку подлинности. Повторите попытку позже.

  
  
  Решение
  
  MS16-101 было повторно выпущено для решения этой проблемы. Установите последнюю версию обновлений для этого бюллетеня, чтобы устранить эту проблему.
  
  

• Известная проблема 3. Мы знаем о проблеме, из-за которой программный сброс паролей локальных учетных записей может не сбой и возвращать код ошибки STATUS_DOWNGRADE_DETECTED
  
  (0x800704F1).
  
  В таблице ниже показано полное сопоставление ошибок.
  
  

  Hexadecimal	Decimal	Symbolic	"Удобно"
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Система не может обратиться к контроллеру домена для обслуживания запроса на проверку подлинности. Повторите попытку позже.

  
  
  Решение
  
  MS16-101 было повторно выпущено для решения этой проблемы. Установите последнюю версию обновлений для этого бюллетеня, чтобы устранить эту проблему.
  
  

• Известная проблема с 4 паролями для отключенных и заблокированных учетных записей пользователей не может быть изменена с помощью пакета
  
  переговоров.
  
  
  Изменения паролей отключенных и заблокированных учетных записей будут работать при использовании других методов, таких как прямо при использовании операции изменения LDAP. Например, для изменения пароля с помощью Set-ADAccountPassword PowerShell используется операция "Изменение LDAP".
  
  Обходным решением для сброса пароля для этих учетных
  
  записей требуется администратор. Это поведение является разработкой после установки MS16-101 и более поздних исправлений.
  
  

• Известная проблема 5 приложений, которые используют NetUserChangePassword API и которые передают имя сервера в параметре domainname, больше не будут работать после установки
  
  обновлений MS16-101 и более поздних версий.
  
  В документации Майкрософт говорится, что поддерживается предоставление удаленного имени сервера в параметре domainname функции NetUserChangePassword. Например, функция MSDN NetUserChangePassword говорит о следующем:
  
  domainname [in]
  

  Указатель на постоянную строку, которая указывает имя DNS или NetBIOS удаленного сервера или домена, на котором выполняется функция. Если этот параметр имеет имя NULL, используется домен для регистрации вызываемого вызываемого. Однако эта рекомендация была переподстановлена ms16-101, если она не была сброшена для локальной учетной записи на локальном компьютере. Опубликовать MS16-101, чтобы изменения паролей пользователей домена работали, необходимо передать действительное доменное имя DNS в API NetUserChangePassword.

• Известная проблема 6. После установки этого обновления могут возникнуть ошибки проверки подлинности
  
  0xC0000022 в NTLM. Чтобы устранить эту проблему, см. сообщение об ошибке проверки подлинности NTLM при ошибке 0xC0000022 в Windows Server 2012, Windows 8.1 и Windows Server 2012 R2после обновления.

• Известная проблема 7 После установки обновлений для системы безопасности, описанных в
  
  MS16-101,удаленных программных изменений пароля локальной учетной записи пользователя и изменения паролей в неподтверченном лесу, не удается.
  
  
  Эта операция невозмежна, так как операция использует NTLM от системы NTLM, которая больше не поддерживается для нелокальных учетных записей после установки MS16-101.
  
  
  Для отключения этого изменения предусмотрена запись реестра.
  
  Предупреждение. Это решение может сделать компьютер или сеть более уязвимыми к атакам пользователей-злоумышленников или вредоносных программ, например вирусов. Мы не рекомендуем использовать это решение, но предоставляем эти сведения, чтобы вы могли реализовать это решение по собственному усмотрению. Применяя этот метод обхода проблемы, вы действуете на собственный риск.
  
  Раздел, метод или задача ImportantThis содержит действия, которые поймеют, как изменить реестр. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует точно выполнять приведенные инструкции. В качестве дополнительной защитной меры перед изменением реестра необходимо создать его резервную копию. Это позволит восстановить реестр в случае возникновения проблем. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:

  322756Чтобы отключить это изменение, с помощью функции back up and restore the registry in Windows установите для записи
  
  DWORD От NegoAllowNtlmPwdChangeFallback значение 1 (одно).
  
  
  Важное значение 1 для записи реестра NegoAllowNtlmPwdChangeFallback отключит это исправление для системы безопасности:
  

  Значение реестра	Описание
  0	Значение по умолчанию. Предотвращается воспроизведение.
  1	Всегда можно использовать fallback. Исправление для системы безопасности отключено. Клиенты, которые имеют проблемы с удаленными локальными учетными записями или ненастройными лесами, могут установить это значение в реестре.

  Чтобы добавить эти значения реестра, выполните следующие действия:
  

  1. Выберите в меню Пуск элемент Выполнить, введите в поле Открыть команду regedit и нажмите кнопку ОК.

  2. Найдите и щелкните следующий подкайп в реестре:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. В меню Правка выберите пункт Создать, а затем Параметр DWORD.

  4. Введите имя DWORD введите NegoAllowNtlmPwdChangeFallback и нажмите ввод.

  5. Щелкните правой кнопкой мыши NegoAllowNtlmPwdChangeFallbackи выберите "Изменить".

  6. В поле "Значение" введите 1, чтобы отключить это изменение, и нажмите кнопку "ОК".
     
     
     Чтобы восстановить значение по умолчанию, введите 0 (ноль) и нажмите кнопку "ОК".

  Состояние,
  
  в связи с чем эта проблема является основной, понятна. В этой статье будут обновляться дополнительные сведения по мере их получения.

Получение и установка обновления

Способ 1. Обновление Windows

Это обновление доступно в Обновлении Windows. Если включить автоматическое обновление, это обновление будет скачино и установлено автоматически. Дополнительные сведения о том, как включить автоматическое обновление, см. в этом
курсе.

Способ 2. Каталог обновлений Майкрософт

Чтобы получить автономный пакет для этого обновления, перейдите на веб-сайт каталога обновлений Майкрософт.

Способ 3. Центр загрузки Майкрософт

Вы можете получить автономный пакет обновления через Центр загрузки Майкрософт. Следуйте инструкциям по установке на странице скачивания, чтобы установить обновление.

В бюллетене по безопасности (Майкрософт) щелкните ссылку для скачивания MS16-101, соответствующую запущенной версии Windows.

Дополнительная информация

Получение справки и поддержки для этого обновления для системы безопасности

Справка по установке обновлений: поддержка Обновления Майкрософт

Решения для обеспечения безопасности для ИТ-специалистов: устранение неполадок с безопасностью и поддержка TechNet

Справка по защите компьютера на базе Windows от вирусов и вредоносных программ: центр безопасности и решения вирусов

Локализованная поддержка в соответствии с вашей стране: поддержка в разных странах

Сведения о файле