Kumulativ uppdatering för Windows 10:9 augusti 2016

Kända problem i den här säkerhetsuppdateringen

• Känt problem 1 De säkerhetsuppdateringar som tillhandahålls i MS16-101 och nyare uppdateringar inaktivera möjligheten för Negotiate-processen att falla tillbaka till NTLM när Kerberos-autentisering misslyckas för lösenord ändra åtgärder med STATUS_NO_LOGON_SERVERS (0xC000005E) felkod. I det här fallet kan du få någon av följande felkoder.

  Hexadecimala	Decimal	Symbolisk	Vänlig
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Systemet upptäckte ett möjligt försök att äventyra säkerheten. Kontrollera att du kan kontakta den server som autentiserade dig.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Systemet upptäckte ett möjligt försök att äventyra säkerheten. Kontrollera att du kan kontakta den server som autentiserade dig.

  Workaround Om lösenordsändringar som tidigare lyckades misslyckas efter installationen av MS16-101, är det troligt att lösenordsändringar tidigare förlitades på NTLM återgång eftersom Kerberos misslyckades. Gör så här om du vill ändra lösenord med hjälp av Kerberos-protokoll:

  1. Konfigurera öppen kommunikation på TCP-port 464 mellan klienter som har installerat MS16-101 och domänkontrollanten som underhåller lösenordsåterställning. Skrivskyddade domänkontrollanter (RODC) kan självbetjäning lösenordsåterställning om användaren tillåts av lösenordsreplikeringsprincipen för RODCs. Användare som inte tillåts av lösenordsprincipen för RODC kräver nätverksanslutning till en Läs/skriv-domänkontrollant (RWDC) i användarkontots domän. Notera Så här kontrollerar du om TCP-port 464 är öppen:

     1. Skapa ett likvärdigt visningsfilter för Network Monitor-tolken. Till exempel:

        ipv4.address== <ip address of client> && tcp.port==464

     2. Leta efter "TCP: [Synresänd" ram i resultatet.

  2. Kontrollera att mål-Kerberos-namnen är giltiga. (IP-adresser är inte giltiga för Kerberos-protokollet. Kerberos stöder korta namn och fullständigt kvalificerade domännamn.)

  3. Kontrollera att tjänstens huvudnamn (SPN) är korrekt registrerade. Mer information finns i Kerberos och återställning av lösenord för självbetjäning.

• Känt problem 2 Vi vet om ett problem där programmässiga lösenordsåterställning av domänanvändarkonton misslyckas och returnera felkoden STATUS_DOWNGRADE_DETECTED (0x800704F1) om det förväntade felet är något av följande:

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (sällan tillbaka)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  I följande tabell visas den fullständiga fel mappningen.

  Hexadecimala	Decimal	Symbolisk	Vänlig
  0x56	86	ERROR_INVALID_PASSWORD	Det angivna nätverkslösenordet är inte korrekt.
  0x267	615	ERROR_PWD_TOO_SHORT	Lösenordet som tillhandahölls är för kort för att uppfylla policyn för ditt användarkonto. Ange ett längre lösenord.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	När du försöker uppdatera ett lösenord anger denna returstatus att det värde som angetts som det aktuella lösenordet är felaktigt.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	När du försöker uppdatera ett lösenord indikerar den här retur statusen att vissa lösenords uppdateringsregler har brutits. Lösenordet kanske till exempel inte uppfyller längd kriterierna.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Systemet kan inte kontakta en domänkontrollant för att tjänstgöra autentiseringsbegäran. Vänligen försök igen senare.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Systemet kan inte kontakta en domänkontrollant för att tjänstgöra autentiseringsbegäran. Vänligen försök igen senare.

  UpplösningMS16-101 har återgetts för att lösa problemet. Installera den senaste versionen av uppdateringarna för den här bulletinen för att lösa problemet.

• Känt problem 3 Vi vet om ett problem där programmässiga återställs av lokala användarkontolösenord ändringar kan misslyckas och returnera STATUS_DOWNGRADE_DETECTED (0x800704F1) felkod. I följande tabell visas den fullständiga fel mappningen.

  Hexadecimala	Decimal	Symbolisk	Vänlig
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Systemet kan inte kontakta en domänkontrollant för att tjänstgöra autentiseringsbegäran. Vänligen försök igen senare.

  UpplösningMS16-101 har återgetts för att lösa problemet. Installera den senaste versionen av uppdateringarna för den här bulletinen för att lösa problemet.

• Känt problem 4 Lösenord för inaktiverade och utelåsta användarkonton kan inte ändras med Negotiate-paketet. Lösenordsändringar för inaktiverade och utelåsta konton fungerar fortfarande när du använder andra metoder, till exempel när du använder en LDAP-modifieringsåtgärd direkt. Till exempel använder PowerShell-cmdleten set-ADAccountPassword en "LDAP-ändring"-åtgärd för att ändra lösenordet och förblir opåverkade. Workaround Dessa konton kräver en administratör för att göra lösenordsåterställning. Det här beteendet är avsiktligt när du har installerat MS16-101 och senare korrigeringar.

• Känt problem 5 Program som använder netuserchangepassword API och som skickar ett servernamn i parametern domännamn fungerar inte längre efter att uppdateringar för MS16-101 och senare har installerats. Microsoft-dokumentation anger att ett fjärrservernamn i parametern domännamn i funktionen netuserchangepassword stöds. Till exempel den Netuserchangepassword funktionen MSDN-avsnittet anges följande: domännamn [in]

  En pekare till en konstant sträng som anger DNS-eller NetBIOS-namnet på en fjärrserver eller domän som funktionen ska köras på. Om den här parametern är NULL används anroparens inloggningsdomän.Denna vägledning har dock ersatts av MS16-101, om inte lösenordsåterställningen är för ett lokalt konto på den lokala datorn. Post MS16-101, för att domänanvändare lösenord ändringar ska fungera, måste du skicka ett giltigt DNS-domännamn till NetUserChangePassword API.

• Känt problem 6 När du har installerat den här säkerhetsuppdateringen och sedan skriver ut flera dokument i följd, kan de två första dokumenten skrivas ut, men de tredje och efterföljande dokumenten kanske inte skrivs ut. Lös problemet genom att göra något av följande:

  • Installera uppdatering 3187022. Om du vill veta mer klickar du på följande artikelnummer och visar artikeln i Microsoft Knowledge Base:

    3187022 utskriftsfunktionen bryts när någon av MS16-098 säkerhetsuppdateringar installeras

  • Installera uppdatering 3186987 från webbplatsen Microsoft Update Catalog .

  Det här problemet åtgärdas också i Microsoft Security Bulletin MS16-106.

• Känt problem 7 När du har installerat säkerhetsuppdateringarna som beskrivs i MS16-101, fjärr, programmatiska ändringar av ett lokalt användarkontolösenord och lösenordsändringar över ej betrodd skog misslyckas. Den här åtgärden misslyckas eftersom åtgärden förlitar sig på NTLM fall-back som inte längre stöds för icke-lokala konton när MS16-101 har installerats. En registerpost som du kan använda för att inaktivera den här ändringen. Varning den här lösningen kan göra en dator eller ett nätverk mer sårbara för angrepp från obehöriga användare eller skadliga program som virus. Vi rekommenderar inte den här lösningen, men tillhandahåller den här informationen så att du kan implementera den här lösningen efter eget gottfinnande. Använd den här lösningen på egen risk. Viktigtdet här avsnittet, metoden eller aktiviteten innehåller steg som talar om hur du ändrar registret. Allvarliga problem kan dock uppstå om du ändrar registret felaktigt. Se därför till att du följer dessa steg noggrant. För extra skydd säkerhetskopierar du registret innan du ändrar det. Sedan kan du återställa registret om det uppstår problem. Mer information om hur du säkerhetskopierar och återställer registret klickar du på följande artikelnummer och visar artikeln i Microsoft Knowledge Base:

  322756 Säkerhetskopiera och återställa registret i WindowsOm du vill inaktivera den här ändringen anger du DWORD-posten Negoallowntlmpwdchangefallback så att värdet 1 (ett) används. Viktiga Om du anger registerposten Negoallowntlmpwdchangefallback till värdet 1 inaktiveras den här säkerhetskorrigeringen:

  Registervärdet	Beskrivning
  0	Standardvärdet. Återgång förhindras.
  1	Reserv är alltid tillåten. Säkerhetskorrigeringen är avstängd. Kunder som har problem med fjärranslutna lokala konton eller scenarier med ej betrodda skogar kan ange det här värdet för registret.

  Så här lägger du till dessa registervärden:

  1. Klicka på Start, klicka på Kör, Skriv regedit i rutan Öppna och klicka sedan på OK.

  2. Leta upp och klicka på följande undernyckel i registret:

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

  3. Peka på Nytt på Redigera-menyn och klicka sedan på DWORD-värde.

  4. Skriv Negoallowntlmpwdchangefallback som DWORD-namn och tryck på RETUR.

  5. Högerklicka på Negoallowntlmpwdchangefallbackoch klicka sedan på ändra.

  6. I rutan data skriver du 1 för att inaktivera ändringen och klickar sedan på OK. Notera Om du vill återställa standardvärdet skriver du 0 (noll) och klickar sedan på OK.

  Status Orsaken till problemet är förstås. Den här artikeln kommer att uppdateras med ytterligare information när de blir tillgängliga.

Metod 1: Windows Update

Den här uppdateringen kommer att hämtas och installeras automatiskt.

Metod 2: Microsoft Update-katalogen

Om du vill hämta det fristående paketet för den här uppdateringen går du till webbplatsen Microsoft Update Catalog .

Förutsättningar

Det finns inga förutsättningar för att installera den här uppdateringen.

Information om omstart

Du måste starta om datorn när du har installerat den här uppdateringen.

Uppdatera Ersättningsinformation

Den här uppdateringen ersätter uppdatering 3163912.