Važno Ovaj članak sadrži informacije koje vam pokazuju kako da smanjite nivo bezbednosnih postavki ili kako da isključite bezbednosne funkcije na računaru. Ove promene možete da izvršite da biste rešili određeni problem. Pre nego što izvršite ove promene, preporučuje se da procenite rizike koji su povezani sa primenom tog rešenja u određenom okruženju. Ako primenite ovo rešenje, preduzmite sve odgovarajuće dodatne korake da biste zaštitili računar.
Rezime
Ova bezbednosna ispravka uključuje poboljšanja i ispravke u funkcionalnosti operativnog sistema Windows 10. Takođe rešava sledeće ranjivosti u operativnom sistemu Windows:
-
3177356 MS16-095: Kumulativna bezbednosna ispravka za Internet Explorer: Avgust 9, 2016
-
3177358 MS16-096: Kumulativna bezbednosna ispravka za Microsoft Edge: Avgust 9, 2016
-
3177393 MS16-097: bezbednosna ispravka za Microsoft grafičku komponentu: 9 avgust, 2016
-
3178466 MS16-098: bezbednosna ispravka za upravljačke programe u režimu jezgra: 9. avgust, 2016
-
3178465 MS16-101: bezbednosna ispravka za Windows metode potvrde identiteta: Avgust 9, 2016
-
3182248 MS16-102: bezbednosna ispravka za Microsoft Windows PDF biblioteku: 9. avgust, 2016
-
3182332 MS16-103: sigurnosna nadopuna za ActiveSyncProvider: Avgust 9, 2016
Ispravke za Windows 10 su kumulativne. Zbog toga ovaj paket sadrži sve prethodno izdate ispravke. Ako ste instalirali ranije ažuriranje, samo će nove ispravke koje se nalaze u ovom paketu biti preuzete i instalirane na vašem računaru. Ako prvi put instalirate paket Windows 10 Update, paket za x86 verziju je 366 MB, a paket za x64 verziju je 776 MB.
Više informacija
Poznati problemi u ovoj bezbednosnoj ispravci
-
Poznati problem 1 Bezbednosne ispravke koje su obezbeđene u MS16-101 i novijim ispravkama onemogućavaju mogućnost da se proces pregovora vrati na NTLM kada Kerberos potvrda identiteta ne uspe za operacije promene lozinke sa STATUS_NO_LOGON_SERVERS (0xc000005e) kôd greške. U tom slučaju, možete dobiti neki od sledećih kodova grešaka.
Heksadecimalni
Decimalni
Simboliиno
Prijateljski
0xc0000388
1073740920
STATUS_DOWNGRADE_DETECTED
Sistem je otkrio mogući pokušaj da se ugrozi bezbednost. Uverite se da možete da se obratite serveru koji je potvrdio vaš identitet.
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
Sistem je otkrio mogući pokušaj da se ugrozi bezbednost. Uverite se da možete da se obratite serveru koji je potvrdio vaš identitet.
Rešenje Ako se promene lozinke koje su prethodno uspele da propadnu nakon instalacije MS16-101, verovatno su se promene lozinke prethodno oslanjale na NTLM Fallback zato što Kerberos nije uspeo. Da biste uspešno promenili lozinke pomoću Kerberos protokola, sledite ove korake:
-
Konfigurišite otvorenu komunikaciju na TCP portu 464 između klijenata koji imaju instaliran MS16-101 i kontroler domene koji servisira Resetiranje lozinke. Kontroleri domena samo za čitanje (RODCs) mogu da se resetuju lozinka za samousluživanje ako korisniku dozvoljava smernice za replikaciju lozinke. Korisnici koji ne dozvoljavaju smernice za lozinke za RODC zahtevaju mrežnu vezu sa kontrolerom domena za čitanje/pisanje (RWDC) u domenu korisničkog naloga. Belešku Da biste proverili da li je TCP port 464 otvoren, sledite ove korake:
-
Kreirajte odgovarajući filter za prikaz za raščlanjivač monitora na mreži. Na primer:
ipv4.address== <ip address of client> && tcp.port==464 -
U rezultatima potražite "TCP: [Sinreprijenos" okvir.
-
-
Proverite da li su ciljni naziv za Kerberos ime važeći. (IP adrese nisu važeće za Kerberos protokol. Kerberos podržava kratka imena i potpuno kvalifikovana imena domena.)
-
Uverite se da su glavna imena usluga (SPNs) ispravno registrovana. Više informacija potražite u članku Kerberos i Samopostavljanje lozinke za samousluživanje.
-
-
Poznati problem 2 Znamo o problemu u kome se programske lozinke početne vrednosti korisničkih naloga ne uspevaju i vraćaju kôd greške STATUS_DOWNGRADE_DETECTED (0x800704F1) ako je očekivana greška jedna od sledećih:
-
ERROR_INVALID_PASSWORD
-
ERROR_PWD_TOO_SHORT (rijetko se dobija)
-
STATUS_WRONG_PASSWORD
-
STATUS_PASSWORD_RESTRICTION
Sledeća tabela prikazuje potpuno mapiranje grešaka.
Heksadecimalni
Decimalni
Simboliиno
Prijateljski
0x56
86
ERROR_INVALID_PASSWORD
Navedena mrežna lozinka nije ispravna.
0x267
615
ERROR_PWD_TOO_SHORT
Lozinka koja je obezbeđena je prekratka da bi se zadovoljila politika vašeg korisničkog naloga. Unesite dužu lozinku.
0xc000006a
-1073741718
STATUS_WRONG_PASSWORD
Kada pokušate da ažurirate lozinku, ovaj status vraćanja ukazuje na to da je vrednost koja je data kao trenutna lozinka netačna.
0xc000006c
-1073741716
STATUS_PASSWORD_RESTRICTION
Kada pokušate da ažurirate lozinku, ovaj status vraćanja ukazuje na to da je prekršena neka pravila ažuriranja lozinke. Na primer, lozinka možda neće ispuniti kriterijume za dužinu.
0x800704F1
1265
STATUS_DOWNGRADE_DETECTED
Sistem ne može da kontaktira kontroler domena da bi servisiram zahtev za potvrdu identiteta. Pokušajte ponovo kasnije.
0xc0000388
-1073740920
STATUS_DOWNGRADE_DETECTED
Sistem ne može da kontaktira kontroler domena da bi servisiram zahtev za potvrdu identiteta. Pokušajte ponovo kasnije.
RezolucijaMS16-101 je ponovo izdata da bi rešila taj problem. Instalirajte najnoviju verziju ispravki za ovaj bilten da biste rešili ovaj problem.
-
-
Poznati problem 3 Znamo o problemu u kojem programski izvraćanja promena lozinke lokalnog korisničkog naloga može otkazati i vratiti kôd greške STATUS_DOWNGRADE_DETECTED (0x800704F1) . Sledeća tabela prikazuje potpuno mapiranje grešaka.
Heksadecimalni
Decimalni
Simboliиno
Prijateljski
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
Sistem ne može da kontaktira kontroler domena da bi servisiram zahtev za potvrdu identiteta. Pokušajte ponovo kasnije.
RezolucijaMS16-101 je ponovo izdata da bi rešila taj problem. Instalirajte najnoviju verziju ispravki za ovaj bilten da biste rešili ovaj problem.
-
Poznati problem 4 Lozinke za onemogućene i zaključane korisničke naloge ne mogu se menjati korišćenjem paketa "dogovaranje". Promene lozinke za onemogućene i zaključane naloge će i dalje raditi kada se koriste drugi metodi, kao što je vreme korišćenja LDAP operacije menjanja direktno. Na primer, PowerShell cmdpusti Set-Adračunska lozinka koristi operaciju "LDAP izmena" da bi promenio lozinku i ostala nepogođena. Rešenje Ovi nalozi zahtevaju administratora da bi napravili početne vrednosti lozinke. Ovo ponašanje je po dizajnu kada instalirate MS16-101 i kasnije ispravke.
-
Poznati problem 5 Aplikacije koje koriste Netuserchangepassword API i koji prenose ime servera u parametru domainname neće više funkcionisati nakon instalacije MS16-101 i novijim ispravkama. Microsoft dokumentacija navodi da je obezbeđivanje imena udaljenog servera u parametru domainname funkcije Netuserchangepassword podržana. Na primer, Netuserchangepassword funkcija MSDN tema navodi sledeće: domainname [u]
Pokazivač na konstantu nisku koja navodi DNS ili NetBIOS ime udaljenog servera ili domena na kojem funkcija treba da se izvrši. Ako je ovaj parametar NULL, koristi se domen za prijavljivanje pozivaoca.Međutim, ovaj vodič je promenjen sa MS16-101, osim ako je poništavanje lozinke za lokalni nalog na lokalnom računaru. Post MS16-101, u cilju promene lozinke domena na poslu, morate da prosledite važeće ime DNS domena u NetUserChangePassword API.
-
Poznati problem 6 Kada primenite ovu bezbednosnu ispravku, a zatim odštampate više dokumenata u nizu, prva dva dokumenta mogu biti uspešno odštampana, ali treći i naredni dokumenti možda neće biti odštampani. Da biste rešili ovaj problem, postupite na neki od sledećih načina:
-
Instalirajte ispravku 3187022. Za više informacija kliknite na sledeći broj članka da biste videli članak u Microsoft bazi znanja:
3187022 funkcionalnost štampe je prekinuta nakon što se instalira bilo koja od MS16-098 bezbednosnih ispravki
-
Instalirajte ispravku 3186987 sa Veb lokacije Microsoft Update Catalog .
Ovaj problem je rešen i u Microsoft bezbednosnom biltenu MS16-106.
-
-
Poznati problem 7 Kada instalirate bezbednosne ispravke opisane u MS16-101, daljinskom, programskim promenama lozinke lokalnog korisničkog naloga i promene lozinke u nepouzdane šume koji nisu nepouzdani. Ova operacija neće uspeti zato što se operacija oslanja na NTLM pad, što više nije podržano za nelokalne naloge nakon instalacije MS16-101. Stavka registratora je obezbeđena da možete da koristite da biste onemogućili ovu promenu. Upozoravajući na ovo zaobilaženje može učiniti da računar ili mreža bude podložniji napadima zlonamernih korisnika ili zlonamernog softvera kao što su virusi. Ovo zaobilaženje ne preporučujemo, ali vam pružamo ove informacije da biste mogli da primenite ovo zaobilaženje na sopstvenu diskreciju. Koristite ovo zaobilaženje na vlastitu odgovornost. Važanovaj odeljak, metod ili zadatak sadrži korake koji vam govore kako da izmenite registrator. Međutim, može doći do ozbiljnih problema ako nepravilno izmenite registrator. Zato se uverite da ste pažljivo sledili ove korake. Za dodatnu zaštitu, napravite rezervnu kopiju registratora pre nego što ga izmenite. U tom slučaju možete da vratite registrator u prethodno stanje ako dođe do problema. Za više informacija o pravljenju rezervne kopije i vraćanju registratora u prethodno stanje kliknite na sledeći broj članka da biste videli članak u Microsoft bazi znanja:
322756 Pravljenje rezervne kopije i Vraćanje registratora u prethodno stanje u operativnom sistemu WindowsDa biste onemogućili ovu promenu, podesite NegoAllowNtlmPwdChangeFallback DWORD stavku da biste koristili vrednost 1 (jedna). Važnim Podešavanje stavke registratora NegoAllowNtlmPwdChangeFallback na vrednost 1 onemogućiće ovu bezbednosnu ispravku:
Vrednost registratora
Opis
0
Podrazumevanu vrednost. Fallback je sprečen.
1
Fallback je uvek dozvoljen. Bezbednosna ispravka je isključena. Korisnici koji imaju problema sa udaljenim lokalnim nalozima ili nepouzdane šumske scenarije mogu postaviti registrator na ovu vrednost.
Da biste dodali ove vrednosti registratora, sledite ove korake:
-
Kliknite na dugme Start, izaberite stavku Pokreni, otkucajte Regedit u otvorenom polju, a zatim kliknite na dugme u redu.
-
Pronađite sledeći potključ u registratoru i kliknite na njega:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
-
U meniju Uređivanje postavite pokazivač na stavku Novo, a zatim izaberite stavku DWORD vrednost.
-
Otkucajte NegoAllowNtlmPwdChangeFallback za ime DWORD, a zatim pritisnite taster ENTER.
-
Kliknite desnim tasterom miša na NegoAllowNtlmPwdChangeFallback, a zatim izaberite stavku Izmeni.
-
U okviru za podatke vrednosti otkucajte 1 da biste onemogućili ovu promenu, a zatim kliknite na dugme u redu. Belešku Da biste vratili podrazumevanu vrednost, otkucajte 0 (nula), a zatim kliknite na dugme u redu.
Statusnim Osnovni uzrok ovog problema je shvaćen. Ovaj članak će biti ažuriran dodatnim detaljima čim postanu dostupni.
-
Kako da dobijem ovu dopunu
Važnim Ako instalirate jezički paket nakon instalacije ove ispravke, morate ponovo instalirati ovu ispravku. Zbog toga preporučujemo da instalirate sve jezičke pakete koji su vam potrebni pre nego što instalirate ovu ispravku. Više informacija potražite u članku Dodavanje jezičkih paketa operativnom sistemu Windows.
1. metod: Windows Update
Ova ispravka će biti preuzeta i instalirana automatski.
2. metod: Microsoft Update Catalog
Da biste dobili samostalni paket za ovu ispravku, posetite Veb lokaciju Microsoft Update Catalog .
Preduslovi
Ne postoje preduslovi za instaliranje ove ispravke.
Informacije o ponovnom pokretanju
Morate ponovo pokrenuti računar kada primenite ovu ispravku.
Informacije o zameni ispravke
Ova ispravka zamenjuje prethodno objavljenu ispravku 3163912.
Informacije o datoteci
Za listu datoteka koje su obezbeđene u ovoj kumulativnoj ispravci, preuzmite informacije o datoteci za kumulativnu ispravku 3176492.
Reference
Saznajte više o terminologiji koju Microsoft koristi za opisivanje softverskih ispravki.