Kumulativ uppdatering för Windows 10 Version 1511: 9 augusti 2016

Kända problem i den här säkerhetsuppdateringen

• Känt problem 1
  
  Säkerhetsuppdateringarna som ingår i MS16-101 och nyare uppdateringar kan du inaktivera Negotiate processen möjlighet att återgå till NTLM när Kerberos-autentisering misslyckas för lösenord ändra operationer med felkod STATUS_NO_LOGON_SERVERS (0xc000005e) . I detta fall får du ett av följande felkoder.
  
  

  Hexadecimalt värde	Decimal	Symboliska	Egna
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Systemet upptäckte ett möjligt försök att äventyra säkerheten. Kontrollera att du kan kontakta den server som autentiserade dig.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Systemet upptäckte ett möjligt försök att äventyra säkerheten. Kontrollera att du kan kontakta den server som autentiserade dig.

  
  
  Temporär lösning
  
  Om lösenordsändringar som tidigare lyckades inte efter installation av MS16-101, är det troligt att lösenordsändringar tidigare beroende av NTLM reserv eftersom Kerberos misslyckas. För att kunna ändra lösenord med hjälp av Kerberos-protokoll, så här:
  
  
  

  1. Konfigurera öppna kommunikationen på TCP-port 464 mellan klienter som har installerat MS16-101 och den domänkontrollant som ansvarar för servicen för återställning av lösenord.
     
     Skrivskyddade domänkontrollanter (RODC) kan tjänsten självbetjäning lösenord om användaren tillåts genom lösenordsreplikeringsprincipen för skrivskyddade domänkontrollanter. Användare som inte tillåts av lösenordsprincipen RODC kräver nätverksanslutning till en Läs-och skrivbar domänkontrollant (RWDC) i användarkontots domän.
     
     Obs! Gör så här om du vill kontrollera om TCP-port 464 är öppen:
     
     
     

     1. Skapa en motsvarande visningsfilter för en network monitor-tolk. Till exempel:
        

        ipv4.address== <ip address of client> && tcp.port==464

     2. Leta efter i resultaten, den "TCP: [SynReTransmit" ram.
        
        

  2. Kontrollera att Kerberos målnamn är giltiga. (IP-adresser är inte giltiga för Kerberos-protokollet. Stöd för Kerberos-korta namn och fullständigt kvalificerade domännamn.)

  3. Kontrollera att tjänsternas huvudnamn (SPN) är korrekt registrerade.
     
     Mer information finns i Kerberos och standardsidan återställning av lösenord.

• Känt problem 2
  
  Vi vet om ett problem i vilka programmatiska lösenord återställs för domänanvändare konton misslyckas och returnerar felkoden STATUS_DOWNGRADE_DETECTED (0x800704F1) om förväntade felet är något av följande:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (returnerade sällan)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  Följande tabell visar mappningen är full.
  
  

  Hexadecimalt värde	Decimal	Symboliska	Egna
  0x56	86	ERROR_INVALID_PASSWORD	Det angivna lösenordet är inte korrekt.
  0x267	615	ERROR_PWD_TOO_SHORT	Det lösenord som angavs är för kort för att uppfylla principen för ditt användarkonto. Ange ett längre lösenord.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	När du försöker uppdatera ett lösenord, anger detta statusvärde att det värde som har angetts som det aktuella lösenordet är felaktigt.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	När du försöker uppdatera ett lösenord, anger detta statusvärde att någon regel för uppdatering av lösenord har brutit mot. Till exempel uppfyller lösenordet inte kriterierna för längd.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Systemet kan inte kontakta en domänkontrollant för att utföra autentiseringsbegäran. Försök igen senare.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Systemet kan inte kontakta en domänkontrollant för att utföra autentiseringsbegäran. Försök igen senare.

  
  
  Lösning
  
  MS16-101 har publicerats igen för det här problemet. Installera den senaste versionen av uppdateringar för den här bulletinen att lösa problemet.
  
  

• Känt problem 3
  
  Vi vet om ett programmatiska återställningar av lösenord för lokala datorkonton kan misslyckas och returnerar felkoden STATUS_DOWNGRADE_DETECTED (0x800704F1) .
  
  Följande tabell visar mappningen är full.
  
  

  Hexadecimalt värde	Decimal	Symboliska	Egna
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Systemet kan inte kontakta en domänkontrollant för att utföra autentiseringsbegäran. Försök igen senare.

  
  
  Lösning
  
  MS16-101 har publicerats igen för det här problemet. Installera den senaste versionen av uppdateringar för den här bulletinen att lösa problemet.
  
  

• Känt problem 4
  
  Att går inte ändra lösenord för inaktiverade och utelåst användarkonton med negotiate-paketet.
  
  
  Ändring av lösenord för inaktiverade och låsta konton fungerar fortfarande när du använder andra metoder som när använder en LDAP ändringsåtgärd direkt. PowerShell-cmdlet Set-ADAccountPassword används en operation "LDAP-ändra" för att ändra lösenordet och påverkas.
  
  Temporär lösning
  
  Dessa konton måste en administratör för att göra återställning av lösenord. Detta är avsiktligt när du har installerat MS16-101 och senare korrigeringar.
  
  

• Känt problem 5
  
  Program som använder NetUserChangePassword API och som klarar ett servernamn i parametern domännamn fungerar inte längre efter MS16-101 och senare uppdateringar installeras.
  
  Microsoft-dokumentationen anger att en fjärrserver namn i parametern domännamn i NetUserChangePassword -funktionen stöds. MSDN-avsnittet NetUserChangePassword funktion står till exempel följande:
  
  domännamn [in]
  

  En pekare till en konstant sträng som anger DNS- eller NetBIOS-namnet på en fjärrserver eller domän som funktionen är att köra. Om den här parametern är NULL används anroparens inloggningsdomänen.Den här vägledningen har ersatts av MS16-101, om återställning av lösenord är ett lokalt konto på den lokala datorn. Bokför MS16-101 för domän användaren lösenordsändringar ska fungera, du måste klara ett giltigt DNS-domännamn till NetUserChangePassword-API.

• Känt problem 6
  
  
  
  När den här säkerhetsuppdateringen och du skriver ut flera dokument i följd, skriva ut de två första dokument. De tredje och efterföljande dokument kanske inte ut.
  
  Åtgärda problemet genom att hämta uppdatering 3186988 från webbplatsen Microsoft Update-katalogen .
  
  
  
  
  
  Är också att lösa detta problem i Microsoft-säkerhetsbulletinen MS16-106.
  
  
  
  

• Känt problem 7
  
  Efter installation av säkerhetsuppdateringarna som beskrivs i MS16-101, fjärråtkomst, misslyckas programmatiska ändringar av lösenordet för ett lokalt användarkonto och lösenordsändringar över ej betrodda skogen.
  
  
  Den här åtgärden misslyckas eftersom åtgärden använder NTLM faller tillbaka som inte stöds för icke-lokala konton när du har installerat MS16-101.
  
  
  En registerpost är förutsatt att du kan använda för att inaktivera den här ändringen.
  
  Varning Lösningen kan göra datorn eller nätverket mer sårbara för angrepp från angripare eller skadliga program som virus. Vi rekommenderar inte den här lösningen, men vi lämnar informationen så att du kan implementera lösningen om du så önskar. Använd detta alternativ på egen risk.
  
  Viktigt Avsnittet, metoden eller aktiviteten innehåller instruktioner om hur du ändrar registret. Allvarliga problem kan dock uppstå om du ändrar registret felaktigt. Se därför till att du följer instruktionerna noga. För extra skydd, säkerhetskopiera registret innan du ändrar det. Du kan sedan återställa registret om det uppstår problem. För mer information om hur du säkerhetskopierar och återställer registret klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:

  322756 Säkerhetskopiera och återställa registret i Windows
  
  Ange NegoAllowNtlmPwdChangeFallback DWORD-posten att använda värdet 1 (ett) om du vill inaktivera den här ändringen.
  
  
  Viktigt Ange registerposten NegoAllowNtlmPwdChangeFallback till ett värde av 1 inaktiveras denna säkerhetskorrigering:
  

  Registervärde	Beskrivning
  0	Standardvärde. Reserv förhindras.
  1	Reserv är alltid tillåten. Korrigeringsfil för säkerhet är avstängd. Kunder som har problem med remote lokala konton eller icke betrodd skog scenarier kan ange detta värde i registret.

  Så här lägger du till dessa registervärden:
  

  1. Klicka på Start, Kör, Skriv regedit i rutan Öppna och klicka sedan på OK.

  2. Leta upp och klicka på följande undernyckel i registret:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. Peka på Nyttpå Redigera-menyn och klicka sedan på DWORD-värde.

  4. Skriv NegoAllowNtlmPwdChangeFallback för DWORD-namn och tryck på RETUR.

  5. Högerklicka på NegoAllowNtlmPwdChangeFallbackoch klicka sedan på Ändra.

  6. Skriv 1 om du vill inaktivera den här ändringen i rutan data och klicka sedan på OK.
     
     
     Obs! Skriv 0 (noll) om du vill återställa standardvärdet och klicka sedan på OK.

  Status
  
  Orsaken till problemet är underförstått. Den här artikeln kommer att uppdateras med mer information när de blir tillgängliga.

Metod 1: Windows Update

Den här uppdateringen hämtas och installeras automatiskt.

Metod 2: Microsoft Update-katalogen

Gå till webbplatsen Microsoft Update-katalogen för att få det fristående paketet för den här uppdateringen.

Förutsättningar

Det finns inga särskilda krav för att installera den här uppdateringen.

Information om omstart

Du måste starta om datorn när du har installerat den här uppdateringen.

Information om vad uppdateringen ersätter

Den här uppdateringen ersätter uppdatering 3172985.