Zbirno posodobitev za Windows 10: avgust 9, 2016

Znane težave v tej varnostni posodobitvi

• Znana težava 1 Varnost modernizirati to ste preskrbljen v MS16-101 ter glavni steber modernizirati onesposobiti zmožnost od pogajanja proces pasti PRISLON v NTLM čas Kerberos Authentication ne zadostovati zakaj parola sprememba špekulacija s STATUS_NO_LOGON_SERVERS (0xc000005e) koda napake. V tem primeru lahko prejmete eno od teh kod napak.

  Šestnajstiško	Decimalnih	Simbolično	Prijazen
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Sistem je zaznal možen poskus ogrožati varnost. Prepričajte se, da se lahko obrnete na strežnik, ki ste ga potrdili.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistem je zaznal možen poskus ogrožati varnost. Prepričajte se, da se lahko obrnete na strežnik, ki ste ga potrdili.

  Workaround Če parola sprememba to prej uspešen ne zadostovati čez umestitev od MS16-101, svoj ' najbrže to parola sprememba were prej zanašati se naprej NTLM nadomestni zato ker Kerberos was nezadosten. Če želite uspešno spremeniti gesla z uporabo protokolov Kerberos, sledite tem korakom:

  1. Konfigurirajte odprto komunikacijo na TCP vratih 464 med odjemalci, ki imajo nameščen MS16-101 in krmilnik domene, ki servisira Ponastavi gesla. Krmilniki domene samo za branje (Rodc) lahko storitve samostoritev Password ponastavi, če je uporabnik dovoli pravilnik replikacije gesla RODCs. Uporabniki, ki jih pravilnik o geslih RODC ne dovoli, zahtevajo omrežno povezljivost s krmilnikom domene za branje/pisanje (RWDC) v domeni uporabniškega računa. Opomba Če želite preveriti, ali je vrata TCP 464 odprta, sledite tem korakom:

     1. Ustvarite enakovreden prikazni filter za razčlenjevalnik omrežnega monitorja. Na primer:

        ipv4.address== <ip address of client> && tcp.port==464

     2. V rezultatih poiščite okvir» TCP: [Synreprenašati «.

  2. Prepričajte se, da so ciljna imena Kerberos veljavna. (Naslovi IP niso veljavni za protokol Kerberos. Kerberos podpira kratka imena in popolnoma kvalificirana imena domen.)

  3. Preverite, ali so glavna imena storitev (SPNs) pravilno registrirana. Če želite več informacij, glejte Kerberos in samopostrežno ponastavitev gesla.

• Znana težava 2 Mi znanje približno izdaja v kateri programatičen parola Ponastavi od področje uporabnik račun ne zadostovati ter odziv STATUS_DOWNGRADE_DETECTED (0x800704f1) zmota zbornik če slutiti kant je nedoločni zaimek od sledeč:

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (redko vrnjeno)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  V spodnji tabeli je prikazana popolna preslikava napak.

  Šestnajstiško	Decimalnih	Simbolično	Prijazen
  0x56	86	ERROR_INVALID_PASSWORD	Navedeno omrežno geslo ni pravilno.
  0x267	615	ERROR_PWD_TOO_SHORT	Zagotovljeno geslo je prekratko za izpolnjevanje pravilnika vašega uporabniškega računa. Prosimo, navedite daljše geslo.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Ko poskušate posodobiti geslo, to stanje vračanja pomeni, da je vrednost, ki je bila navedena kot trenutno geslo, napačna.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Ko poskušate posodobiti geslo, stanje vračanja pomeni, da je bilo kršeno pravilo o posodobitvi gesla. Geslo na primer morda ne bo izpolnila meril za dolžino.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Sistem se ne more obrniti na krmilnik domene, da bi storitev zahteval preverjanje pristnosti. Prosimo, poskusite znova kasneje.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Sistem se ne more obrniti na krmilnik domene, da bi storitev zahteval preverjanje pristnosti. Prosimo, poskusite znova kasneje.

  ResolucijaMS16-101 je bila ponovno sproščena za reševanje tega vprašanja. Če želite odpraviti to težavo, namestite najnovejšo različico posodobitev za ta bilten.

• Znana težava 3 Mi znanje približno izdaja v kateri programatičen ponovitev od tukajšnji uporabnik račun parola sprememba maj ne zadostovati ter odziv STATUS_DOWNGRADE_DETECTED (0x800704F1) zmota zbornik. V spodnji tabeli je prikazana popolna preslikava napak.

  Šestnajstiško	Decimalnih	Simbolično	Prijazen
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistem se ne more obrniti na krmilnik domene, da bi storitev zahteval preverjanje pristnosti. Prosimo, poskusite znova kasneje.

  ResolucijaMS16-101 je bila ponovno sproščena za reševanje tega vprašanja. Če želite odpraviti to težavo, namestite najnovejšo različico posodobitev za ta bilten.

• Znana težava 4 Gesel za invalide in zaklenjene uporabniške račune ni mogoče spreminjati s paketom za pogajanje. Spremembe gesla za onemogočene in zaklenjene račune bodo še vedno delovale pri uporabi drugih metod, kot je na primer pri uporabi LDAP spreminjanja operacije neposredno. Na primer, PowerShell cmdlet set-ADAccountPassword uporablja "LDAP Modify" operacija za spremembo gesla in ostane nespremenjena. Workaround Ti računi zahtevajo, da skrbnik naredi Ponastavi gesla. To vedenje je po zasnovi po namestitvi MS16-101 in novejše popravke.

• Znana težava 5 Aplikacije, ki uporabljajo Netuserchangepassword API in da prenese servername v parameter domainname ne bo več delovala po MS16-101 in novejše posodobitve so nameščeni. Microsoftova dokumentacija navaja, da je podpora za oddaljeno ime strežnika v parametru domenaname funkcije Netuserchangepassword podprta. Na primer, Netuserchangepassword funkcija MSDN tema navaja naslednje: domainname [v]

  Kazalec na konstanten niz, ki določa DNS ali NetBIOS ime oddaljenega strežnika ali domene, na kateri je funkcija za izvršitev. Če je parameter NULL, se uporabi Prijavna domena klicatelja.Vendar pa je bila ta navodila nadomeščen z MS16-101, razen če je ponastavitev gesla za lokalni račun na lokalnem računalniku. Prepovedati vstop z napisno tablo MS16-101, v redu zakaj področje uporabnik parola sprememba obdelovati, vi morati prelaz a veljaven DNS področje ime v NetUserChangePassword API.

• Znana težava 6 Ko uporabite to varnostno posodobitev in nato natisnete več dokumentov zaporedoma, se lahko prva dva dokumenta uspešno natisnejo, vendar tretji in poznejši dokumenti morda ne bodo natisnili. Če želite odpraviti to težavo, naredite nekaj od tega:

  • Namestite posodobitev 3187022. Če želite več informacij, kliknite naslednjo številko članka iz Microsoftove zbirke znanja:

    3187022 Print funkcionalnost je razdeljena po katerem koli od MS16-098 varnostne posodobitve so nameščeni

  • Napeljati modernizirati 3186987 s mikroskop modernizirati katalog tkalec.

  Ta problem je rešen tudi v Microsoft Security BULLETIN MS16-106.

• Znana težava 7 Ko namestite varnostne posodobitve, ki so opisane v MS16-101, oddaljene, programske spremembe lokalnega uporabniškega računa geslo in spremembe gesla v nezaupanja vreden gozd ne. Ta operacija ne uspe, ker operacija temelji na padcu NTLM, ki ni več podprta za Nelokalne račune po namestitvi MS16-101. Vnos v registru je predviden, da lahko to spremembo onemogočite. Svarilen to workaround maj izdelovanje a računalo ali a omrežje več ranljiv v napad z zlorad uporabnik ali z zlorad software kot na primer kačji strup. Mi ne priporočiti to workaround šele ste priskrbeti se to sporočilo tako da vi moči uveljaviti to workaround v vaš lasten diskretnost. Uporabite to rešitev na lastno odgovornost. Pomembnoto poglavje, metoda ali opravilo vsebuje korake, ki vam povedo, kako spremeniti register. Vendar pa lahko pride do resnih težav, če nepravilno spremenite register. Zato poskrbite, da boste skrbno sledili tem korakom. Če želite dodatno zaščito, varnostno vrnite register, preden ga spremenite. Nato lahko register obnovite, če pride do težave. Če želite več informacij o varnostno in obnovitvi registra, kliknite to številko članka iz Microsoftove zbirke znanja:

  322756 Kako varnostno in obnoviti register v operacijskem sistemu WindowsČe želite onemogočiti to spremembo, nastavite vnos DWORD Negoallowntlmpwdchangefallback za uporabo vrednosti 1 (ena). Pomembno Če nastavite vnos v register Negoallowntlmpwdchangefallback na vrednost 1, bo ta varnostni popravek onemogočil:

  Vrednost registra	Opis
  0	Privzeta vrednost. Fallback je preprečen.
  1	Fallback je vedno dovoljen. Varnostni popravek je izklopljen. Stranke, ki imajo težave z oddaljenimi lokalnimi računi ali nezanesljivimi gozdnimi scenariji, lahko nastavite register na to vrednost.

  Če želite dodati te registrske vrednosti, sledite tem korakom:

  1. Kliknite Start, Zaženi, v polje Odpri vnesite regedit in kliknite v redu.

  2. Poiskati ter torej udarjanje z nogo ob nogo sledeč subkey v registracija:

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

  3. V meniju Urejanje pokažite na Novo in kliknite Vrednost DWORD.

  4. Stavek Negoallowntlmpwdchangefallback zakaj ime od DWORD, ter torej časnikarstvo nastopiti.

  5. Z desno tipko miške kliknite Negoallowntlmpwdchangefallbackin nato kliknite Spremeni.

  6. V polje podatki o vrednosti vnesite 1 , da onemogočite to spremembo, in nato kliknite v redu. Opomba Če želite obnoviti privzeto vrednost, vnesite 0 (nič) in kliknite v redu.

  Stanje Glavni vzrok tega vprašanja je razumljen. Ta članek bo posodobljen z dodatnimi podrobnostmi, ko bodo na voljo.

1. način: Windows Update

Ta posodobitev bo prenesena in nameščena samodejno.

2. način: katalog Microsoft Update

Če želite dobiti samostojni paket za to posodobitev, obiščite spletno mesto katalog Microsoft Update .

Predpogoji

Ni pogojev za nameščanje te posodobitve.

Vnovični zagon informacij

Po uporabi te posodobitve morate znova zagnati računalnik.

Posodabljanje informacij o zamenjavi

Ta posodobitev nadomešča predhodno izdano posodobitev 3163912.