MS16-101: Popis metód overovania aktualizácií zabezpečenia systému Windows: 9. august 2016

Súhrn

Táto aktualizácia rieši viaceré chyby zabezpečenia v systéme Microsoft Windows. Zraniteľnosť môže umožniť eleváciu privilégií, ak útočník spustí špeciálne vytvorenú aplikáciu v systéme pripojenom k doméne.

Ďalšie informácie o zraniteľnosti nájdete v téme Microsoft Security BULLETIN MS16-101.

Ďalšie informácie

Dôležité upozornenie

• Všetky budúce aktualizácie zabezpečenia a aktualizácie netýkajúce sa zabezpečenia pre Windows 8,1 a Windows Server 2012 R2 vyžadujú inštaláciu aktualizácie 2919355 . Odporúčame nainštalovať aktualizáciu 2919355 v počítači so systémom Windows 8,1 alebo windows Server 2012 R2, aby ste mohli dostávať budúce aktualizácie.

• Ak po inštalácii tejto aktualizácie nainštalujete jazykový balík, musíte preinštalovať túto aktualizáciu. Preto odporúčame nainštalovať všetky jazykové balíky, ktoré potrebujete pred inštaláciou tejto aktualizácie. Ďalšie informácie nájdete v téme Pridanie jazykových balíkov do Windowsu.
  

Známe problémy v tejto aktualizácii zabezpečenia

• Známy problém 1
  
  aktualizácie zabezpečenia, ktoré sú k dispozícii v službách MS16-101 a novšie aktualizácie, znemožnia možnosť rokovacieho procesu vrátiť sa do štandardu NTLM, keď overenie protokolom Kerberos zlyhá pri operáciách na zmenu hesla s kódom chyby STATUS_NO_LOGON_SERVERS (0xc000005e). V tejto situácii sa môže zobraziť jeden z nasledujúcich kódov chýb.
  
  

  Šestnástkové	Desatinné	Symbolické	Popisný
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Systém zistil možný pokus o kompromis zabezpečenia. Skontrolujte, či sa môžete obrátiť na server, ktorý vás overil.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Systém zistil možný pokus o kompromis zabezpečenia. Skontrolujte, či sa môžete obrátiť na server, ktorý vás overil.

  
  
  Alternatívne riešenie
  
  Ak sa zmeny hesla, ktoré sa v minulosti podarilo zlyhať po inštalácii MS16-101, pravdepodobne nevykonali zmeny hesla, pretože protokol Kerberos zlyhal. Ak chcete úspešne zmeniť heslá pomocou protokolov Kerberos, postupujte podľa týchto krokov:
  
  
  

  1. Konfigurácia otvorenej komunikácie v TCP porte 464 medzi klientmi s nainštalovaným MS16-101 a radičom domény, ktorý slúži na obnovenie hesla.
     
     Radiče domén iba na čítanie (RODCs) môžu automaticky vynulovať heslo samoobslužné v prípade, že používateľ povolí politiku replikácie hesiel RODCs. Používatelia, ktorí nepovoľujú politiku hesiel RODC, vyžadujú sieťové pripojenie k radiču domény na čítanie a zápis (RWDC) v doméne používateľského konta.
     
     Poznámka Ak chcete skontrolovať, či je port TCP 464 otvorený, postupujte podľa týchto krokov:
     
     
     

     1. Vytvorte ekvivalentný filter zobrazenia pre parsera monitora siete. Príklad:
        

        IPv4. Address = = <IP adresa klienta> && TCP. port = = 464

     2. Vo výsledkoch vyhľadajte rám TCP: [SynReTransmit ".
        
        

  2. Skontrolujte, či sú cieľové názvy protokolov Kerberos platné. (IP adresy nie sú platné pre protokol Kerberos. Protokol Kerberos podporuje krátke názvy a plne kvalifikovaní názvy domén.)

  3. Skontrolujte, či sú hlavné názvy služieb (SPNs) správne zaregistrované.
     
     Ďalšie informácie nájdete v téme protokol Kerberos a Self-Service vytvorenie nového hesla.

• Známy problém 2
  
  vieme o probléme, v ktorom sa v programe obnovia používateľské kontá domény zlyhanie a vráti sa kód chyby STATUS_DOWNGRADE_DETECTED (0x800704F1) v prípade, že očakávané zlyhanie je jedna z týchto možností:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (zriedka vrátené)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  V nasledujúcej tabuľke sú uvedené úplné priradenia chýb.
  
  

  Šestnástkové	Desatinné	Symbolické	Popisný
  0x56	86	ERROR_INVALID_PASSWORD	Zadané sieťové heslo nie je správne.
  0x267	615	ERROR_PWD_TOO_SHORT	Zadané heslo je príliš krátke na to, aby vyhovovalo politike vášho používateľského konta. Zadajte dlhšie heslo.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Pri pokuse o aktualizáciu hesla tento stav návratu označuje, že hodnota, ktorá bola poskytnutá ako aktuálne heslo, je nesprávna.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Pri pokuse o aktualizáciu hesla tento stav návratu označuje, že niektoré pravidlo aktualizácie hesla bolo porušené. Heslo môže napríklad nespĺňať kritériá dĺžky.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Systém nemôže kontaktovať radič domény na doručenie žiadosti o overenie. Skúste to znova neskôr.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Systém nemôže kontaktovať radič domény na doručenie žiadosti o overenie. Skúste to znova neskôr.

  
  
  Riešenie
  
  tohto problému bolo opätovne vydané v rozlíšeníMS16-101 . Ak chcete tento problém vyriešiť, nainštalujte si najnovšiu verziu aktualizácií tohto bulletinu.
  
  

• Známy problém 3
  
  vieme o probléme, v ktorom program obnoví zmeny hesla lokálneho používateľského konta, môže zlyhať a vrátiť kód chyby STATUS_DOWNGRADE_DETECTED (0x800704F1).
  
  V nasledujúcej tabuľke sú uvedené úplné priradenia chýb.
  
  

  Šestnástkové	Desatinné	Symbolické	Popisný
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Systém nemôže kontaktovať radič domény na doručenie žiadosti o overenie. Skúste to znova neskôr.

  
  
  Riešenie
  
  tohto problému bolo opätovne vydané v rozlíšeníMS16-101 . Ak chcete tento problém vyriešiť, nainštalujte si najnovšiu verziu aktualizácií tohto bulletinu.
  
  

• Známy problém 4
  
  heslá pre vypnuté a uzamknuté používateľské kontá sa nedajú zmeniť pomocou rokovacieho balíka.
  
  Zmeny hesla pre vypnuté a uzamknuté kontá budú fungovať aj pri používaní iných metód, ako napríklad pri použití operácie úprav LDAP priamo. Rutina cmdlet prostredia PowerShell napríklad Set-ADAccountPassword používa operáciu LDAP Modify na zmenu hesla a zostane nedotknutá.
  
  Alternatívne riešenie
  
  tieto kontá vyžadujú, aby správca vyžiadal obnovenie hesla. Toto správanie je zámerné, keď nainštalujete MS16-101 a novšie opravy.
  
  

• Známy problém 5
  
  aplikácie, ktoré používajú NetUserChangePassword API a ktoré prejdú na názov_servera v parametri domainname , už nebudú fungovať po inštalácii MS16-101 a novších aktualizácií.
  
  V dokumentácii spoločnosti Microsoft sa uvádza, že poskytuje názov vzdialeného servera v domainname parametri funkcie NetUserChangePassword je podporovaný. Napríklad funkcia NetUserChangePassword v téme MSDN uvádza nasledovné:
  
  domainname [v]
  

  Ukazovateľ na konštantný reťazec, ktorý určuje názov DNS alebo NetBIOS vzdialeného servera alebo domény, v ktorej sa má funkcia spustiť. Ak je tento parameter NULL, použije sa Prihlasovacia doména. Toto usmernenie však nahradilo MS16-101, pokiaľ nie je vytvorenie nového hesla pre lokálne konto v lokálnom počítači. Post MS16-101, aby sa zmenilo heslo používateľa domény na prácu, musíte prejsť platný názov domény DNS na NetUserChangePassword API.

• Známy problém 6
  
  po inštalácii aktualizácií zabezpečenia, ktoré sú popísané v MS16-101, vzdialenej, programové zmeny hesla lokálneho používateľského konta a zmeny hesla v rámci nedôveryhodného lesa zlyhajú.
  
  
  Táto operácia zlyhá, pretože operácia sa opiera o nelokálne kontá, ktoré už nie sú podporované pre nelokálne kontá po inštalácii MS16-101.
  
  
  Zobrazí sa položka databázy Registry, ktorú môžete použiť na zakázanie tejto zmeny.
  
  Upozornenie toto alternatívne riešenie môže oslabiť zabezpečenie počítača alebo siete voči útokom zlomyseľných používateľov alebo škodlivému softvéru, ako sú napríklad vírusy. Toto alternatívne riešenie neodporúčame, ale poskytujeme tieto informácie, aby ste mohli implementovať toto alternatívne riešenie podľa vlastného uváženia. Toto riešenie používate na vlastné riziko.
  
  Informujú o úpravách časť, metóda alebo úloha obsahuje kroky, ktoré vám informujú o tom, ako upraviť databázu Registry. Ak však databázu Registry upravíte nesprávne, môžu nastať vážne problémy. Preto dávajte pozor a postupujte presne podľa týchto krokov. Na dosiahnutie lepšej ochrany je vhodné pred úpravou databázu Registry zálohovať. To vám umožní obnoviť databázu Registry, ak sa vyskytnú problémy. Ďalšie informácie o zálohovaní a obnovení databázy Registry sa nachádzajú v nasledujúcom článku databázy Microsoft Knowledge Base:

  322756Ako zálohovať a obnovovať databázu Registry vo Windowse
  
  , ak chcete túto zmenu vypnúť, nastavte položku NegoAllowNtlmPwdChangeFallback DWORD na použitie hodnoty 1 (jeden).
  
  
  Dôležité nastavenie položky databázy Registry NegoAllowNtlmPwdChangeFallback na hodnotu 1 vypne túto opravu zabezpečenia:
  

  Hodnota databázy Registry	Popis
  0	Predvolená hodnota. Núdzové zabránenia.
  1	Možnosť záložného je vždy povolená. Oprava zabezpečenia je vypnutá. Zákazníci, ktorí majú problémy so vzdialenými lokálnymi kontami alebo nedôveryhodnými scenármi lesov, môžu nastaviť databázu Registry na túto hodnotu.

  Ak chcete pridať tieto hodnoty databázy Registry, postupujte podľa týchto krokov:
  

  1. Kliknite na tlačidlo Štart, kliknite na položku Spustiť, do poľa Otvoriť zadajte príkaz regedit a potom kliknite na tlačidlo OK.

  2. Vyhľadajte v databáze Registry nasledujúci podkľúč a kliknite naň:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. V ponuke Úpravy ukážte na položku Nové a potom kliknite na položku Hodnota DWORD.

  4. Do poľa Názov hodnoty DWORD zadajte NegoAllowNtlmPwdChangeFallback a potom stlačte kláves ENTER.

  5. Kliknite pravým tlačidlom myši na položku NegoAllowNtlmPwdChangeFallbacka potom kliknite na položku Upraviť.

  6. Do poľa údaj hodnoty zadajte hodnotu 1, ak chcete túto zmenu vypnúť, a potom kliknite na tlačidlo OK.
     
     
     Poznámka Ak chcete obnoviť predvolenú hodnotu, zadajte hodnotu 0 (nula) a potom kliknite na tlačidlo OK.

  Stav
  
  koreňová príčina tohto problému sa chápe. Tento článok sa aktualizuje dodatočnými detailmi, ktoré budú k dispozícii.

Získanie a Inštalácia aktualizácie

Postup 1: Windows Update

Táto aktualizácia je k dispozícii prostredníctvom Windows Update. Pri zapnutí automatických aktualizácií sa táto aktualizácia stiahne a nainštaluje automaticky. Ďalšie informácie o zapnutí automatických aktualizácií nájdete v téme
Automatické aktualizácie zabezpečenia.

Metóda 2: Katalóg aktualizácie spoločnosti Microsoft

Ak chcete získať samostatný balík pre túto aktualizáciu, prejdite na webovú lokalitu katalógu služby Microsoft Update .

Ďalšie informácie

Informácie o súbore