Kumulatívna aktualizácia pre systém Windows 10: August 9, 2016

Známe problémy v tejto aktualizácii zabezpečenia

• Známy problém 1 Aktualizácie zabezpečenia, ktoré sú uvedené v MS16-101 a novšie aktualizácie vypnúť schopnosť vyjednávať proces pád späť na NTLM, keď Kerberos overenie zlyhá pre operácie zmeny hesla s STATUS_NO_LOGON_SERVERS (0xc000005e) chybový kód. V takomto prípade môže zobraziť jeden z nasledujúcich chybových kódov.

  Hexadecimálne	Desatinné	Symbolické	Friendly
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Systém zistil možný pokus o ohrozenie bezpečnosti. Uistite sa, že môžete kontaktovať server, ktorý vás overil.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Systém zistil možný pokus o ohrozenie bezpečnosti. Uistite sa, že môžete kontaktovať server, ktorý vás overil.

  Riešenie Ak zmeny hesla, ktoré predtým uspeli po inštalácii MS16-101, je pravdepodobné, že zmeny hesla boli predtým spoliehať na NTLM záložný, pretože Kerberos zlyhal. S cieľom zmeniť heslá úspešne pomocou protokolov Kerberos, postupujte nasledovne:

  1. Konfigurovať otvorenú komunikáciu na porte TCP 464 medzi klientmi, ktorí majú MS16-101 nainštalovaný a radič domény, ktorý je servis heslo resetuje. Radiče domény iba na čítanie (RODCs) môže služba samoobslužné heslo obnoví, ak používateľ je povolené RODCs heslo replikácie politiky. Používatelia, ktorí nie sú povolené RODC heslo politiky vyžadujú sieťové pripojenie na čítanie/zápis radič domény (RWDC) v doméne používateľského konta. Poznámka: Skontrolujte, či je otvorený port TCP 464, postupujte nasledovne:

     1. Vytvorte ekvivalentný filter zobrazenia pre analyzátor sieťového monitora. Napríklad:

        ipv4.address== <ip address of client> && tcp.port==464

     2. Vo výsledkoch, pozrite sa na "TCP: [SynReTransmit" rám.

  2. Uistite sa, že cieľové Kerberos názvy sú platné. (Adresy IP nie sú platné pre protokol Kerberos. Kerberos podporuje krátke názvy a plne kvalifikovaní doménových mien.)

  3. Uistite sa, že hlavné názvy služieb (SPNs) sú registrované správne. Ďalšie informácie nájdete v téme Kerberos a samoobslužné obnovenie hesla.

• Známy problém 2 Vieme o probléme, v ktorom programové heslo resetuje doménové používateľské kontá zlyhať a vrátiť STATUS_DOWNGRADE_DETECTED (0x800704F1) kód chyby, ak očakávané zlyhanie je jedným z nasledujúcich:

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (zriedka vrátený)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  Nasledujúca tabuľka zobrazuje úplné mapovanie chýb.

  Hexadecimálne	Desatinné	Symbolické	Friendly
  0x56	86	ERROR_INVALID_PASSWORD	Zadané sieťové heslo nie je správne.
  0x267	615	ERROR_PWD_TOO_SHORT	Heslo, ktoré bolo poskytnuté, je príliš krátke na to, aby spĺňalo politiku vášho používateľského konta. Uveďte dlhšie heslo.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Pri pokuse o aktualizáciu hesla, tento stav návratu naznačuje, že hodnota, ktorá bola poskytnutá ako aktuálne heslo je nesprávna.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Pri pokuse o aktualizáciu hesla, tento stav návratu naznačuje, že niektoré pravidlo aktualizácie hesla bol porušený. Napríklad heslo nemusí spĺňať kritériá dĺžky.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Systém nemôže kontaktovať radič domény na servis žiadosť o overenie. Skúste to znova neskôr.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Systém nemôže kontaktovať radič domény na servis žiadosť o overenie. Skúste to znova neskôr.

  UznesenieMS16-101 bol znovu prepustený na vyriešenie tohto problému. Nainštalujte najnovšiu verziu aktualizácie pre tento bulletin na vyriešenie tohto problému.

• Známy problém 3 Vieme o probléme, v ktorom programový resetuje zmeny hesla lokálneho používateľského konta môže zlyhať a vráti kód chyby STATUS_DOWNGRADE_DETECTED (0x800704F1) . Nasledujúca tabuľka zobrazuje úplné mapovanie chýb.

  Hexadecimálne	Desatinné	Symbolické	Friendly
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Systém nemôže kontaktovať radič domény na servis žiadosť o overenie. Skúste to znova neskôr.

  UznesenieMS16-101 bol znovu prepustený na vyriešenie tohto problému. Nainštalujte najnovšiu verziu aktualizácie pre tento bulletin na vyriešenie tohto problému.

• Známy problém 4 Heslá pre vypnuté a zamknuté používateľské kontá nie je možné zmeniť pomocou vyjednať balík. Zmeny hesla pre vypnuté a uzamknuté účty budú stále fungovať pri použití iných metód, ako napríklad pri použití LDAP upraviť operáciu priamo. Napríklad rutiny cmdlet prostredia PowerShell set-ADAccountPassword používa "LDAP upraviť" operácia zmeniť heslo a zostáva nedotknutá. Riešenie Tieto kontá vyžadujú, aby správca resetuje heslo. Toto správanie je dizajn po nainštalovaní MS16-101 a novšie opravy.

• Známy problém 5 Aplikácie, ktoré používajú NetUserChangePassword API a ktoré prejdú názov_servera v parametri domainname už nebude fungovať po MS16-101 a novšie aktualizácie sú nainštalované. Dokumentácia spoločnosti Microsoft uvádza, že poskytuje názov vzdialeného servera v parametri domainname funkcie NetUserChangePassword je podporovaný. Napríklad funkcia NetUserChangePassword MSDN Téma uvádza nasledovné: domainname [in]

  Ukazovateľ na konštantné reťazec, ktorý určuje názov DNS alebo NetBIOS vzdialeného servera alebo domény, na ktorých je funkcia spustiť. Ak je tento parameter NULL, použije sa Prihlasovacia doména volajúceho.Avšak, Toto usmernenie bolo nahradené MS16-101, ak heslo reset je pre lokálne konto na lokálnom počítači. Post MS16-101, aby heslo používateľa domény zmeny v práci, musíte prejsť platný názov domény DNS na NetUserChangePassword API.

• Známy problém 6 Po použití tejto aktualizácie zabezpečenia, a potom vytlačiť viacero dokumentov po sebe, prvé dva dokumenty môžu úspešne vytlačiť, ale tretí a následné dokumenty nemusia tlačiť. Ak chcete vyriešiť tento problém, vykonajte niektorý z nasledujúcich krokov:

  • Nainštalujte aktualizáciu 3187022. Ďalšie informácie nájdete v článku databázy Microsoft Knowledge Base, ktorý sa zobrazia po kliknutí na nasledovné číslo článku:

    3187022 tlač funkčnosť je rozdelená po nainštalovaní aktualizácie zabezpečenia MS16-098

  • Nainštalujte aktualizáciu 3186987 z webovej lokality Microsoft Update Catalog .

  Tento problém je tiež vyriešený v Microsoft Security BULLETIN MS16-106.

• Známy problém 7 Po nainštalovaní aktualizácie zabezpečenia, ktoré sú opísané v MS16-101, vzdialené, programové zmeny hesla lokálneho používateľského konta a zmeny hesla cez nedôveryhodný lesa zlyhať. Táto operácia zlyhá, pretože operácia sa opiera o NTLM pád-back, ktorý už nie je podporovaný pre nelokálne kontá po nainštalovaní MS16-101. Položka databázy Registry je za predpokladu, že môžete použiť na zakázanie tejto zmeny. Upozornenie Toto riešenie môže urobiť počítač alebo sieť zraniteľnejšie voči útokom zlomyseľných používateľov alebo škodlivým softvérom, ako sú napríklad vírusy. Neodporúčame toto riešenie, ale poskytujú tieto informácie tak, že môžete implementovať Toto riešenie podľa vlastného uváženia. Použite toto riešenie na vlastné riziko. Dôležité upozornenieTáto sekcia, metóda alebo úloha obsahuje kroky, ktoré vám povie, ako upraviť databázu Registry. Však môže nastať vážne problémy, ak databázu Registry upravíte nesprávne. Preto, uistite sa, že budete postupovať podľa týchto krokov opatrne. Pre pridanú ochranu, zálohovať databázu Registry pred úpravou to. Potom môžete obnoviť databázu Registry, ak sa vyskytne problém. Ďalšie informácie o zálohovaní a obnovení databázy Registry nájdete v článku databázy Microsoft Knowledge Base, ktorý sa zobrazia po kliknutí na nasledovné číslo článku:

  322756 Zálohovanie a obnovovanie databázy Registry v systéme WindowsAk chcete túto zmenu vypnúť, nastavte položku Negoallowntlmpwdchangefallback DWORD na použitie hodnoty 1 (jedna). Dôležité Nastavenie položky databázy Registry Negoallowntlmpwdchangefallback na hodnotu 1 vypne túto opravu zabezpečenia:

  Hodnota databázy Registry	Popis
  0	Predvolenú hodnotu. Záložný je zabránené.
  1	Záložný je vždy povolená. Oprava zabezpečenia je vypnutá. Zákazníci, ktorí majú problémy s vzdialených lokálnych kont alebo nedôveryhodný lesa scenáre môžete nastaviť databázu Registry na túto hodnotu.

  Ak chcete pridať tieto hodnoty databázy Registry, postupujte nasledovne:

  1. Kliknite na tlačidlo Štart, kliknite na položku Spustiť, do poľa Otvoriť zadajte reťazec regedit a potom kliknite na tlačidlo OK.

  2. Vyhľadajte nasledovný podkľúč databázy Registry a kliknite naň:

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

  3. V ponuke Úpravy ukážte na položku Nové a potom kliknite na položku Hodnota DWORD.

  4. Typ Negoallowntlmpwdchangefallback názov DWORD, a potom stlačte kláves ENTER.

  5. Kliknite pravým tlačidlom myši Negoallowntlmpwdchangefallback, a potom kliknite na tlačidlo Upraviť.

  6. Do poľa údaj hodnoty zadajte 1 vypnúť túto zmenu a potom kliknite na tlačidlo OK. Poznámka: Ak chcete obnoviť predvolenú hodnotu, zadajte 0 (nula) a potom kliknite na tlačidlo OK.

  Stav Príčinou tohto problému je chápaná. Tento článok bude aktualizovaný ďalšie podrobnosti, ako budú k dispozícii.

Postup 1: Windows Update

Táto aktualizácia sa prevezme a nainštaluje automaticky.

Metóda 2: Katalóg služby Microsoft Update

Ak chcete získať samostatný balík pre túto aktualizáciu, prejdite na webovú lokalitu katalógu služby Microsoft Update .

Požiadavky

Neexistujú žiadne predpoklady na inštaláciu tejto aktualizácie.

Informácie o reštartovaní

Po použití tejto aktualizácie je nutné reštartovať počítač.

Informácie o nahradení aktualizácie

Táto aktualizácia nahrádza predchádzajúcu vydanú aktualizáciu 3163912.