Kumulativna ispravka za Windows 10: Avgust 9, 2016

Poznati problemi u ovoj bezbednosnoj ispravci

• Poznati problem 1 Bezbednosne ispravke koje su obezbeđene u MS16-101 i novijim ispravkama onemogućavaju mogućnost da se proces pregovora vrati na NTLM kada Kerberos potvrda identiteta ne uspe za operacije promene lozinke sa STATUS_NO_LOGON_SERVERS (0xc000005e) kôd greške. U tom slučaju, možete dobiti neki od sledećih kodova grešaka.

  Heksadecimalni	Decimalni	Simboliиno	Prijateljski
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Sistem je otkrio mogući pokušaj da se ugrozi bezbednost. Uverite se da možete da se obratite serveru koji je potvrdio vaš identitet.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistem je otkrio mogući pokušaj da se ugrozi bezbednost. Uverite se da možete da se obratite serveru koji je potvrdio vaš identitet.

  Rešenje Ako se promene lozinke koje su prethodno uspele da propadnu nakon instalacije MS16-101, verovatno su se promene lozinke prethodno oslanjale na NTLM Fallback zato što Kerberos nije uspeo. Da biste uspešno promenili lozinke pomoću Kerberos protokola, sledite ove korake:

  1. Konfigurišite otvorenu komunikaciju na TCP portu 464 između klijenata koji imaju instaliran MS16-101 i kontroler domene koji servisira Resetiranje lozinke. Kontroleri domena samo za čitanje (RODCs) mogu da se resetuju lozinka za samousluživanje ako korisniku dozvoljava smernice za replikaciju lozinke. Korisnici koji ne dozvoljavaju smernice za lozinke za RODC zahtevaju mrežnu vezu sa kontrolerom domena za čitanje/pisanje (RWDC) u domenu korisničkog naloga. Belešku Da biste proverili da li je TCP port 464 otvoren, sledite ove korake:

     1. Kreirajte odgovarajući filter za prikaz za raščlanjivač monitora na mreži. Na primer:

        ipv4.address== <ip address of client> && tcp.port==464

     2. U rezultatima potražite "TCP: [Sinreprijenos" okvir.

  2. Proverite da li su ciljni naziv za Kerberos ime važeći. (IP adrese nisu važeće za Kerberos protokol. Kerberos podržava kratka imena i potpuno kvalifikovana imena domena.)

  3. Uverite se da su glavna imena usluga (SPNs) ispravno registrovana. Više informacija potražite u članku Kerberos i Samopostavljanje lozinke za samousluživanje.

• Poznati problem 2 Znamo o problemu u kome se programske lozinke početne vrednosti korisničkih naloga ne uspevaju i vraćaju kôd greške STATUS_DOWNGRADE_DETECTED (0x800704F1) ako je očekivana greška jedna od sledećih:

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (rijetko se dobija)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  Sledeća tabela prikazuje potpuno mapiranje grešaka.

  Heksadecimalni	Decimalni	Simboliиno	Prijateljski
  0x56	86	ERROR_INVALID_PASSWORD	Navedena mrežna lozinka nije ispravna.
  0x267	615	ERROR_PWD_TOO_SHORT	Lozinka koja je obezbeđena je prekratka da bi se zadovoljila politika vašeg korisničkog naloga. Unesite dužu lozinku.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Kada pokušate da ažurirate lozinku, ovaj status vraćanja ukazuje na to da je vrednost koja je data kao trenutna lozinka netačna.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Kada pokušate da ažurirate lozinku, ovaj status vraćanja ukazuje na to da je prekršena neka pravila ažuriranja lozinke. Na primer, lozinka možda neće ispuniti kriterijume za dužinu.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Sistem ne može da kontaktira kontroler domena da bi servisiram zahtev za potvrdu identiteta. Pokušajte ponovo kasnije.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Sistem ne može da kontaktira kontroler domena da bi servisiram zahtev za potvrdu identiteta. Pokušajte ponovo kasnije.

  RezolucijaMS16-101 je ponovo izdata da bi rešila taj problem. Instalirajte najnoviju verziju ispravki za ovaj bilten da biste rešili ovaj problem.

• Poznati problem 3 Znamo o problemu u kojem programski izvraćanja promena lozinke lokalnog korisničkog naloga može otkazati i vratiti kôd greške STATUS_DOWNGRADE_DETECTED (0x800704F1) . Sledeća tabela prikazuje potpuno mapiranje grešaka.

  Heksadecimalni	Decimalni	Simboliиno	Prijateljski
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistem ne može da kontaktira kontroler domena da bi servisiram zahtev za potvrdu identiteta. Pokušajte ponovo kasnije.

  RezolucijaMS16-101 je ponovo izdata da bi rešila taj problem. Instalirajte najnoviju verziju ispravki za ovaj bilten da biste rešili ovaj problem.

• Poznati problem 4 Lozinke za onemogućene i zaključane korisničke naloge ne mogu se menjati korišćenjem paketa "dogovaranje". Promene lozinke za onemogućene i zaključane naloge će i dalje raditi kada se koriste drugi metodi, kao što je vreme korišćenja LDAP operacije menjanja direktno. Na primer, PowerShell cmdpusti Set-Adračunska lozinka koristi operaciju "LDAP izmena" da bi promenio lozinku i ostala nepogođena. Rešenje Ovi nalozi zahtevaju administratora da bi napravili početne vrednosti lozinke. Ovo ponašanje je po dizajnu kada instalirate MS16-101 i kasnije ispravke.

• Poznati problem 5 Aplikacije koje koriste Netuserchangepassword API i koji prenose ime servera u parametru domainname neće više funkcionisati nakon instalacije MS16-101 i novijim ispravkama. Microsoft dokumentacija navodi da je obezbeđivanje imena udaljenog servera u parametru domainname funkcije Netuserchangepassword podržana. Na primer, Netuserchangepassword funkcija MSDN tema navodi sledeće: domainname [u]

  Pokazivač na konstantu nisku koja navodi DNS ili NetBIOS ime udaljenog servera ili domena na kojem funkcija treba da se izvrši. Ako je ovaj parametar NULL, koristi se domen za prijavljivanje pozivaoca.Međutim, ovaj vodič je promenjen sa MS16-101, osim ako je poništavanje lozinke za lokalni nalog na lokalnom računaru. Post MS16-101, u cilju promene lozinke domena na poslu, morate da prosledite važeće ime DNS domena u NetUserChangePassword API.

• Poznati problem 6 Kada primenite ovu bezbednosnu ispravku, a zatim odštampate više dokumenata u nizu, prva dva dokumenta mogu biti uspešno odštampana, ali treći i naredni dokumenti možda neće biti odštampani. Da biste rešili ovaj problem, postupite na neki od sledećih načina:

  • Instalirajte ispravku 3187022. Za više informacija kliknite na sledeći broj članka da biste videli članak u Microsoft bazi znanja:

    3187022 funkcionalnost štampe je prekinuta nakon što se instalira bilo koja od MS16-098 bezbednosnih ispravki

  • Instalirajte ispravku 3186987 sa Veb lokacije Microsoft Update Catalog .

  Ovaj problem je rešen i u Microsoft bezbednosnom biltenu MS16-106.

• Poznati problem 7 Kada instalirate bezbednosne ispravke opisane u MS16-101, daljinskom, programskim promenama lozinke lokalnog korisničkog naloga i promene lozinke u nepouzdane šume koji nisu nepouzdani. Ova operacija neće uspeti zato što se operacija oslanja na NTLM pad, što više nije podržano za nelokalne naloge nakon instalacije MS16-101. Stavka registratora je obezbeđena da možete da koristite da biste onemogućili ovu promenu. Upozoravajući na ovo zaobilaženje može učiniti da računar ili mreža bude podložniji napadima zlonamernih korisnika ili zlonamernog softvera kao što su virusi. Ovo zaobilaženje ne preporučujemo, ali vam pružamo ove informacije da biste mogli da primenite ovo zaobilaženje na sopstvenu diskreciju. Koristite ovo zaobilaženje na vlastitu odgovornost. Važanovaj odeljak, metod ili zadatak sadrži korake koji vam govore kako da izmenite registrator. Međutim, može doći do ozbiljnih problema ako nepravilno izmenite registrator. Zato se uverite da ste pažljivo sledili ove korake. Za dodatnu zaštitu, napravite rezervnu kopiju registratora pre nego što ga izmenite. U tom slučaju možete da vratite registrator u prethodno stanje ako dođe do problema. Za više informacija o pravljenju rezervne kopije i vraćanju registratora u prethodno stanje kliknite na sledeći broj članka da biste videli članak u Microsoft bazi znanja:

  322756 Pravljenje rezervne kopije i Vraćanje registratora u prethodno stanje u operativnom sistemu WindowsDa biste onemogućili ovu promenu, podesite NegoAllowNtlmPwdChangeFallback DWORD stavku da biste koristili vrednost 1 (jedna). Važnim Podešavanje stavke registratora NegoAllowNtlmPwdChangeFallback na vrednost 1 onemogućiće ovu bezbednosnu ispravku:

  Vrednost registratora	Opis
  0	Podrazumevanu vrednost. Fallback je sprečen.
  1	Fallback je uvek dozvoljen. Bezbednosna ispravka je isključena. Korisnici koji imaju problema sa udaljenim lokalnim nalozima ili nepouzdane šumske scenarije mogu postaviti registrator na ovu vrednost.

  Da biste dodali ove vrednosti registratora, sledite ove korake:

  1. Kliknite na dugme Start, izaberite stavku Pokreni, otkucajte Regedit u otvorenom polju, a zatim kliknite na dugme u redu.

  2. Pronađite sledeći potključ u registratoru i kliknite na njega:

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

  3. U meniju Uređivanje postavite pokazivač na stavku Novo, a zatim izaberite stavku DWORD vrednost.

  4. Otkucajte NegoAllowNtlmPwdChangeFallback za ime DWORD, a zatim pritisnite taster ENTER.

  5. Kliknite desnim tasterom miša na NegoAllowNtlmPwdChangeFallback, a zatim izaberite stavku Izmeni.

  6. U okviru za podatke vrednosti otkucajte 1 da biste onemogućili ovu promenu, a zatim kliknite na dugme u redu. Belešku Da biste vratili podrazumevanu vrednost, otkucajte 0 (nula), a zatim kliknite na dugme u redu.

  Statusnim Osnovni uzrok ovog problema je shvaćen. Ovaj članak će biti ažuriran dodatnim detaljima čim postanu dostupni.

1. metod: Windows Update

Ova ispravka će biti preuzeta i instalirana automatski.

2. metod: Microsoft Update Catalog

Da biste dobili samostalni paket za ovu ispravku, posetite Veb lokaciju Microsoft Update Catalog .

Preduslovi

Ne postoje preduslovi za instaliranje ove ispravke.

Informacije o ponovnom pokretanju

Morate ponovo pokrenuti računar kada primenite ovu ispravku.

Informacije o zameni ispravke

Ova ispravka zamenjuje prethodno objavljenu ispravku 3163912.