MS16-101: opis bezbednosne ispravke za Windows metode potvrde identiteta: 9 Avgust, 2016

Ukupne

Ova bezbednosna ispravka rešava više ranjivosti u operativnom sistemu Microsoft Windows. Ranjivost može da omogući podizanje privilegija ako napadač pokreće posebno ispravnu aplikaciju na sistemu koji se nalazi u domenu.

Da biste saznali više o ranjivosti, pogledajte članak Microsoft Security bilten MS16-101.

Više informacija

Važno

• Sve buduće bezbednosne i nebezbednosne ispravke za Windows 8,1 i Windows Server 2012 R2 zahtevaju instaliranje ažuriranja 2919355 . Preporučujemo da instalirate ispravku 2919355 na računaru koji radi pod operativnim sistemom Windows 8,1 ili windows Server 2012 da biste dobili buduće ispravke.

• Ako instalirate jezički paket kada instalirate ovu ispravku, morate ponovo da instalirate ovu ispravku. Zbog toga preporučujemo da instalirate sve jezičke pakete koji su vam potrebni pre instaliranja ove ispravke. Više informacija potražite u članku Dodavanje jezičkih paketa u Windows.
  

Poznati problemi u ovoj bezbednosnoj ispravci

• Poznati problem 1
  
  bezbednosne ispravke koje su obezbeđene u MS16-101 i novijim ispravkama onemogućuju sposobnost pregovaranja da se vrati na NTLM kada Kerberos potvrda identiteta ne uspe za operacije promene lozinki pomoću koda STATUS_NO_LOGON_SERVERS (0xc000005e). U ovoj situaciji možete primiti jedan od sledećih kodova grešaka.
  
  

  Heksadecimalni	Nim	Kim	Prijatelja
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Sistem je otkrio mogući pokušaj da se ugrozi bezbednost. Uverite se da možete da kontaktirate server koji vam je potvrdio identitet.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistem je otkrio mogući pokušaj da se ugrozi bezbednost. Uverite se da možete da kontaktirate server koji vam je potvrdio identitet.

  
  
  Zaobilaženje problema
  
  Ako promene lozinki koje su prethodno uspele nisu uspele posle instalacije MS16-101, verovatno se promene lozinki prethodno oslanjate na NTLM otkazivanje zato što je Kerberos pao. Da biste uspešno promenili lozinku pomoću Kerberos protokola, slijedite ove korake:
  
  
  

  1. Konfigurišite otvorenu komunikaciju na TCP port 464 između klijenata koji imaju MS16-101 instaliran i kontroler domena koji servisira početne vrednosti lozinki.
     
     Kontrolori domena samo za čitanje (RODCs) mogu da se resetuje za samouslužnu lozinku ako je korisniku dozvoljena Rocs smernica za replikaciju lozinki. Korisnici kojima ne dozvoljavaju smernice za RODC lozinku zahtevaju mrežnu vezu na kontroler domena čitanja/pisanja (RWDC) u domenu korisničkog naloga.
     
     Napomena da biste provjerili da li je TCP port 464 otvoren, slijedite ove korake:
     
     
     

     1. Kreirajte ekvivalentni filter prikaza za analizator monitora za mrežu. Na primer:
        

        IPv4. Address = = <IP adresa klijenta> && TCP. port = = 464

     2. U rezultatima potražite okvir "TCP: [sinhronizacija".
        
        

  2. Uverite se da su imena ciljnog Kerberos važeća. (IP adrese nisu važeće za Kerberos protokol. Kerberos podržava kratka imena i potpuno kvalifikovana imena domena.)

  3. Uverite se da su glavna imena usluga (SPNs) ispravno registrovana.
     
     Više informacija potražite u članku Kerberos i Self-Service poništavanje lozinke.

• Poznati problem 2
  
  znamo o problemu u kojem se preklasifikaciju programskog dodatka lozinki korisničkih naloga ne uspeju i vraćaju STATUS_DOWNGRADE_DETECTED (0x800704F1) kôd greške ako očekivani neuspeh postoji:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (retko se vraća)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  Sledeća tabela prikazuje kompletnu mapiranje grešaka.
  
  

  Heksadecimalni	Nim	Kim	Prijatelja
  0x56	86	ERROR_INVALID_PASSWORD	Navedena mrežna lozinka nije tačna.
  0x267	615	ERROR_PWD_TOO_SHORT	Lozinka koja je dodeljena je suviše kratka da bi se ispunila polisa korisničkog naloga. Obezbedite dužu lozinku.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Kada pokušate da ažurirate lozinku, ovaj status povraćaja ukazuje na to da je vrednost koja je navedena kao trenutna lozinka neispravna.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Kada pokušate da ažurirate lozinku, ovaj status povraćaja ukazuje na to da je prekršen pravilo za ažuriranje lozinki. Na primer, lozinka možda neće ispuniti kriterijume za dužinu.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Sistem ne može da kontaktira kontroler domena da bi servisiranje zahteva za potvrdu identiteta. Pokušajte ponovo kasnije.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Sistem ne može da kontaktira kontroler domena da bi servisiranje zahteva za potvrdu identiteta. Pokušajte ponovo kasnije.

  
  
  Rezolucija
  
  MS16-101 je ponovo objavljena da bi se rešilo ovaj problem. Instalirajte najnoviju verziju ispravki za ovaj bilten da biste rešili ovaj problem.
  
  

• Poznati problem 3
  
  znamo o problemu u kojem se programske promene lozinke lokalnog korisničkog naloga mogu neuspešno i vraćaju STATUS_DOWNGRADE_DETECTED (0x800704F1) kôd greške.
  
  Sledeća tabela prikazuje kompletnu mapiranje grešaka.
  
  

  Heksadecimalni	Nim	Kim	Prijatelja
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistem ne može da kontaktira kontroler domena da bi servisiranje zahteva za potvrdu identiteta. Pokušajte ponovo kasnije.

  
  
  Rezolucija
  
  MS16-101 je ponovo objavljena da bi se rešilo ovaj problem. Instalirajte najnoviju verziju ispravki za ovaj bilten da biste rešili ovaj problem.
  
  

• Poznate problem sa 4
  
  lozinci za nedostupne korisničke naloge ne mogu se menjati pomoću pregovaranja paketa.
  
  Promene lozinki za nedostupne i zatvorene naloge će i dalje funkcionisati kada koristite druge metode, na primer, kada neposredno koristite aktivnu aktivnu operaciju. Na primer, PowerShell cmdlet Set-ADAccountPassword koristi operaciju "LDAP izmena" da bi se izmenila lozinka i ostala nepogođena.
  
  Zaobilaženje problema
  
  Ovi nalozi zahtevaju od administratora da bi se reseci lozinki. Ovo ponašanje se po dizajnu prilikom instaliranja MS16-101 i novije ispravke.
  
  

• Poznate 5
  
  aplikacije koje koriste API NetUserChangePassword i koje dodaju ime servera u parametru domenname više neće funkcionisati posle instalacije MS16-101 i novije ispravke.
  
  Podržana je podrška za Microsoft dokumentaciju koja pruža ime udaljenog servera u parametru NetUserChangePassword. Na primer, funkcija netuserchangepassword MSDN navodi sledeće:
  
  domenname [u]
  

  Pokazivač na stalnu nisku koja navodi DNS ili NetBIOS ime udaljenog servera ili domena na kojem treba da se izvrši. Ako je ovaj parametar bez vrednosti, koristi se domen prijavljivanja pozivaoca. Međutim, ovaj vodič je MS16-101, osim ako se ne poništi lozinka za lokalni nalog na lokalnom računaru. Proknjiži MS16-101, da biste promenili pristup korisničkoj lozinci za domen, morate da prosledite važeće ime DNS domena za API lozinke.

• Poznati problem 6
  
  nakon instaliranja bezbednosnih ispravki koje su opisane u MS16-101, daljinska, programska promena lozinke lokalnog korisničkog naloga i promene lozinki u nevjernoj šumi.
  
  
  Ova operacija ne uspeva zato što se operacija oslanja na NTLM vraćanje koji više nije podržan za nelokalne naloge posle MS16-101.
  
  
  Navedena je stavka registratora koju možete da koristite da biste onemogućili ovu promenu.
  
  Upozorenje na ovo zaobilaženje problema može da učini računar ili mrežu ranjivijim na napad zlonamernog korisnika ili zlonamernog softvera kao što su virusi. Ovo zaobilaženje problema ne preporučujemo, ali pružate ove informacije tako da možete da primenite ovo zaobilaženje u sopstvenoj diskreciji. Koristite ovo zaobilaženje problema na sopstveni rizik.
  
  Importantovo odeljak, metod ili zadatak sadrži korake koji vam govore kako da izmenite registrator. Međutim, može doći do ozbiljnih problema ako pogrešno izmenite registrator. Stoga se uverite da pažljivo pratite ove korake. Napravite rezervnu kopije pre nego što ga izmenite radi dodatne zaštite. Zatim možete da vratite registrator u prethodno stanje ako dođe do problema. Dodatne informacije o pravljenju rezervne kopije i oporavku registratora u prethodno stanje potražite u članku sledeći broj članka da biste videli članak u Microsoft bazi znanja:

  322756Kako da napravite rezervnu kopiju i vratite u prethodno stanje registrator u operativnom sistemu Windows
  
  da biste onemogućili ovu promenu, postavili Negoallowntmpwdchangeback DWORD stavku da biste koristili vrednost 1 (jedan).
  
  
  Važno podešavanje Negoallowntmpwdchangebek stavke registratora u vrednost 1 će onemogućiti ovu bezbednosnu ispravku:
  

  Vrednost registratora	Njegov
  60	Podrazumevana vrednost. Sprečena je rezervna opcija.
  120	Rezervna opcija je uvek dozvoljena. Sigurnosna ispravka je isključena. Klijenti koji imaju problema sa udaljenim lokalnim nalozima ili nepouzdanim scenarijima šuma mogu da postave registrator u ovu vrednost.

  Da biste dodali ove vrednosti registratora, slijedite ove korake:
  

  1. Kliknite na dugme Start, izaberite stavku Pokreni, otkucajte Rigedit u polju otvoreno , a zatim kliknite na dugme u redu.

  2. Pronađite i kliknite na sledeći potključ u registratoru:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. U meniju Uređivanje kliknite na dugme novo, a zatim izaberite stavku DWORD vrednost.

  4. Otkucajte Negoallownwechangevd za ime DWORD, a zatim pritisnite taster ENTER.

  5. Kliknite desnim tasterom miša na nepotrošenukarticu, a zatim izaberite stavku Izmeni.

  6. U polju Podaci o vrednosti otkucajte 1 da biste onemogućili ovu promenu, a zatim kliknite na dugme u redu.
     
     
     Napomena da biste vratili podrazumevanu vrednost, otkucajte 0 (nula), a zatim kliknite na dugme u redu.

  Status
  
  osnovnog uzroka ovog problema je razumio. Ovaj članak će se ažurirati sa dodatnim detaljima kada postanu dostupni.

Kako da nabavite i instalirate ispravku

Metod 1: Windows Update

Ova ispravka je dostupna putem usluge Windows Update. Kada uključite automatsko ažuriranje, ove ispravke se automatski preuzimaju i instaliraju. Više informacija o tome kako da uključite automatsko ažuriranje potražite u članku
Automatsko preuzimanja bezbednosnih ispravki.

2. metod: Microsoft Update Catalog

Da biste dobili samostalni paket za ovu ispravku, idite na Veb lokaciju Microsoft Update Catalog .

Više informacija

Informacije o datoteci