Viktigt Den här artikeln innehåller information om hur du sänker säkerhetsnivån eller stänger av säkerhetsfunktioner på en dator. Du kan göra dessa ändringar för att undvika ett visst problem. Innan du gör ändringarna rekommenderar vi att du utvärderar vilka risker de medför i din miljö. Om du genomför den här lösningen bör du vidta lämpliga ytterligare åtgärder för att skydda datorn.
Sammanfattning
Den här säkerhetsuppdateringen innehåller förbättringar och korrigeringar i funktionaliteten hos Windows 10 Version 1511. Den löser även följande problem i Windows:
-
3177356 MS16-095: Kumulativ säkerhetsuppdatering för Internet Explorer: 9 augusti 2016
-
3177358 MS16-096: Kumulativ säkerhetsuppdatering för Microsoft Edge: 9 augusti 2016
-
3177393 MS16-097: säkerhetsuppdatering för Microsoft grafik komponent: 9 augusti 2016
-
3178466 MS16-098: säkerhetsuppdatering för drivrutiner i kernel-läge: 9 augusti 2016
-
3178465 MS16-101: säkerhetsuppdatering för Windows-autentiseringsmetoder: 9 augusti 2016
-
3182248 MS16-102: säkerhetsuppdatering för Microsoft Windows PDF library: 9 augusti 2016
-
3182332 MS16-103: säkerhetsuppdatering för ActiveSyncProvider: 9 augusti 2016
Windows 10 uppdateringar är kumulativa. Därför innehåller det här paketet alla tidigare utgivna korrigeringar.
Om du har installerat tidigare uppdateringar hämtas de nya korrigeringar som ingår i paketet och installerat på din dator. Om du installerar ett uppdateringspaket för Windows-10 för första gången, paket för x86 version är 502 MB och paket för x64 version är 916 MB.
Mer Information
Kända problem i den här säkerhetsuppdateringen
-
Känt problem 1
Säkerhetsuppdateringarna som ingår i MS16-101 och nyare uppdateringar kan du inaktivera Negotiate processen möjlighet att återgå till NTLM när Kerberos-autentisering misslyckas för lösenord ändra operationer med felkod STATUS_NO_LOGON_SERVERS (0xc000005e) . I detta fall får du ett av följande felkoder.Hexadecimalt värde
Decimal
Symboliska
Egna
0xc0000388
1073740920
STATUS_DOWNGRADE_DETECTED
Systemet upptäckte ett möjligt försök att äventyra säkerheten. Kontrollera att du kan kontakta den server som autentiserade dig.
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
Systemet upptäckte ett möjligt försök att äventyra säkerheten. Kontrollera att du kan kontakta den server som autentiserade dig.
Temporär lösning
Om lösenordsändringar som tidigare lyckades inte efter installation av MS16-101, är det troligt att lösenordsändringar tidigare beroende av NTLM reserv eftersom Kerberos misslyckas. För att kunna ändra lösenord med hjälp av Kerberos-protokoll, så här:-
Konfigurera öppna kommunikationen på TCP-port 464 mellan klienter som har installerat MS16-101 och den domänkontrollant som ansvarar för servicen för återställning av lösenord.
Skrivskyddade domänkontrollanter (RODC) kan tjänsten självbetjäning lösenord om användaren tillåts genom lösenordsreplikeringsprincipen för skrivskyddade domänkontrollanter. Användare som inte tillåts av lösenordsprincipen RODC kräver nätverksanslutning till en Läs-och skrivbar domänkontrollant (RWDC) i användarkontots domän.
Obs! Gör så här om du vill kontrollera om TCP-port 464 är öppen:-
Skapa en motsvarande visningsfilter för en network monitor-tolk. Till exempel:
ipv4.address== <ip address of client> && tcp.port==464
-
Leta efter i resultaten, den "TCP: [SynReTransmit" ram.
-
-
Kontrollera att Kerberos målnamn är giltiga. (IP-adresser är inte giltiga för Kerberos-protokollet. Stöd för Kerberos-korta namn och fullständigt kvalificerade domännamn.)
-
Kontrollera att tjänsternas huvudnamn (SPN) är korrekt registrerade.
Mer information finns i Kerberos och standardsidan återställning av lösenord.
-
-
Känt problem 2
Vi vet om ett problem i vilka programmatiska lösenord återställs för domänanvändare konton misslyckas och returnerar felkoden STATUS_DOWNGRADE_DETECTED (0x800704F1) om förväntade felet är något av följande:-
ERROR_INVALID_PASSWORD
-
ERROR_PWD_TOO_SHORT (returnerade sällan)
-
STATUS_WRONG_PASSWORD
-
STATUS_PASSWORD_RESTRICTION
Följande tabell visar mappningen är full.Hexadecimalt värde
Decimal
Symboliska
Egna
0x56
86
ERROR_INVALID_PASSWORD
Det angivna lösenordet är inte korrekt.
0x267
615
ERROR_PWD_TOO_SHORT
Det lösenord som angavs är för kort för att uppfylla principen för ditt användarkonto. Ange ett längre lösenord.
0xc000006a
-1073741718
STATUS_WRONG_PASSWORD
När du försöker uppdatera ett lösenord, anger detta statusvärde att det värde som har angetts som det aktuella lösenordet är felaktigt.
0xc000006c
-1073741716
STATUS_PASSWORD_RESTRICTION
När du försöker uppdatera ett lösenord, anger detta statusvärde att någon regel för uppdatering av lösenord har brutit mot. Till exempel uppfyller lösenordet inte kriterierna för längd.
0x800704F1
1265
STATUS_DOWNGRADE_DETECTED
Systemet kan inte kontakta en domänkontrollant för att utföra autentiseringsbegäran. Försök igen senare.
0xc0000388
-1073740920
STATUS_DOWNGRADE_DETECTED
Systemet kan inte kontakta en domänkontrollant för att utföra autentiseringsbegäran. Försök igen senare.
Lösning
MS16-101 har publicerats igen för det här problemet. Installera den senaste versionen av uppdateringar för den här bulletinen att lösa problemet.
-
-
Känt problem 3
Vi vet om ett programmatiska återställningar av lösenord för lokala datorkonton kan misslyckas och returnerar felkoden STATUS_DOWNGRADE_DETECTED (0x800704F1) .
Följande tabell visar mappningen är full.Hexadecimalt värde
Decimal
Symboliska
Egna
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
Systemet kan inte kontakta en domänkontrollant för att utföra autentiseringsbegäran. Försök igen senare.
Lösning
MS16-101 har publicerats igen för det här problemet. Installera den senaste versionen av uppdateringar för den här bulletinen att lösa problemet. -
Känt problem 4
Att går inte ändra lösenord för inaktiverade och utelåst användarkonton med negotiate-paketet.
Ändring av lösenord för inaktiverade och låsta konton fungerar fortfarande när du använder andra metoder som när använder en LDAP ändringsåtgärd direkt. PowerShell-cmdlet Set-ADAccountPassword används en operation "LDAP-ändra" för att ändra lösenordet och påverkas.
Temporär lösning
Dessa konton måste en administratör för att göra återställning av lösenord. Detta är avsiktligt när du har installerat MS16-101 och senare korrigeringar. -
Känt problem 5
Program som använder NetUserChangePassword API och som klarar ett servernamn i parametern domännamn fungerar inte längre efter MS16-101 och senare uppdateringar installeras.
Microsoft-dokumentationen anger att en fjärrserver namn i parametern domännamn i NetUserChangePassword -funktionen stöds. MSDN-avsnittet NetUserChangePassword funktion står till exempel följande:
domännamn [in]En pekare till en konstant sträng som anger DNS- eller NetBIOS-namnet på en fjärrserver eller domän som funktionen är att köra. Om den här parametern är NULL används anroparens inloggningsdomänen.Den här vägledningen har ersatts av MS16-101, om återställning av lösenord är ett lokalt konto på den lokala datorn. Bokför MS16-101 för domän användaren lösenordsändringar ska fungera, du måste klara ett giltigt DNS-domännamn till NetUserChangePassword-API.
-
Känt problem 6
När den här säkerhetsuppdateringen och du skriver ut flera dokument i följd, skriva ut de två första dokument. De tredje och efterföljande dokument kanske inte ut.
Åtgärda problemet genom att hämta uppdatering 3186988 från webbplatsen Microsoft Update-katalogen .
Är också att lösa detta problem i Microsoft-säkerhetsbulletinen MS16-106. -
Känt problem 7
Efter installation av säkerhetsuppdateringarna som beskrivs i MS16-101, fjärråtkomst, misslyckas programmatiska ändringar av lösenordet för ett lokalt användarkonto och lösenordsändringar över ej betrodda skogen.
Den här åtgärden misslyckas eftersom åtgärden använder NTLM faller tillbaka som inte stöds för icke-lokala konton när du har installerat MS16-101.
En registerpost är förutsatt att du kan använda för att inaktivera den här ändringen.
Varning Lösningen kan göra datorn eller nätverket mer sårbara för angrepp från angripare eller skadliga program som virus. Vi rekommenderar inte den här lösningen, men vi lämnar informationen så att du kan implementera lösningen om du så önskar. Använd detta alternativ på egen risk.
Viktigt Avsnittet, metoden eller aktiviteten innehåller instruktioner om hur du ändrar registret. Allvarliga problem kan dock uppstå om du ändrar registret felaktigt. Se därför till att du följer instruktionerna noga. För extra skydd, säkerhetskopiera registret innan du ändrar det. Du kan sedan återställa registret om det uppstår problem. För mer information om hur du säkerhetskopierar och återställer registret klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:322756 Säkerhetskopiera och återställa registret i Windows
Ange NegoAllowNtlmPwdChangeFallback DWORD-posten att använda värdet 1 (ett) om du vill inaktivera den här ändringen.
Viktigt Ange registerposten NegoAllowNtlmPwdChangeFallback till ett värde av 1 inaktiveras denna säkerhetskorrigering:Registervärde
Beskrivning
0
Standardvärde. Reserv förhindras.
1
Reserv är alltid tillåten. Korrigeringsfil för säkerhet är avstängd. Kunder som har problem med remote lokala konton eller icke betrodd skog scenarier kan ange detta värde i registret.
Så här lägger du till dessa registervärden:
-
Klicka på Start, Kör, Skriv regedit i rutan Öppna och klicka sedan på OK.
-
Leta upp och klicka på följande undernyckel i registret:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
-
Peka på Nyttpå Redigera-menyn och klicka sedan på DWORD-värde.
-
Skriv NegoAllowNtlmPwdChangeFallback för DWORD-namn och tryck på RETUR.
-
Högerklicka på NegoAllowNtlmPwdChangeFallbackoch klicka sedan på Ändra.
-
Skriv 1 om du vill inaktivera den här ändringen i rutan data och klicka sedan på OK.
Obs! Skriv 0 (noll) om du vill återställa standardvärdet och klicka sedan på OK.
Status
Orsaken till problemet är underförstått. Den här artikeln kommer att uppdateras med mer information när de blir tillgängliga. -
Så här hämtar du uppdateringen
Viktigt Om du installerar ett språkpaket efter installation av denna uppdatering, måste du installera om uppdateringen. Därför rekommenderar vi att du installerar alla språkpaket innan du installerar uppdateringen. Mer information finns i lägga till språkpaket i Windows.
Metod 1: Windows Update
Den här uppdateringen hämtas och installeras automatiskt.
Metod 2: Microsoft Update-katalogen
Gå till webbplatsen Microsoft Update-katalogen för att få det fristående paketet för den här uppdateringen.
Förutsättningar
Det finns inga särskilda krav för att installera den här uppdateringen.
Information om omstart
Du måste starta om datorn när du har installerat den här uppdateringen.
Information om vad uppdateringen ersätter
Den här uppdateringen ersätter uppdatering 3172985.
Filinformation
Hämta information om Kumulativ uppdatering 3176493för en lista över filer som ingår i den här kumulativa uppdateringen.
Referenser
Lär dig mer om den terminologi som Microsoft använder för att beskriva programuppdateringar.