MS16-101: Beskrivning av säkerhets uppdatering för Windows-autentiseringsmetoder: 9 augusti 2016

Sammanfattning

Den här säkerhets uppdateringen löser flera säkerhets problem i Microsoft Windows. Sårbarheten kan möjliggöra behörighets höjning om en angripare kör ett särskilt utformat program på ett domänanslutet system.

Mer information om problemet finns i Microsoft Security Bulletin MS16-101.

Mer information

Viktigt!

• Alla framtida säkerhets-och icke-säkerhetsuppdateringar för Windows 8,1 och Windows Server 2012 R2 kräver uppdatering 2919355 för installation. Vi rekommenderar att du installerar uppdatering 2919355 på en dator med Windows 8,1 eller windows Server 2012 R2 så att du får framtida uppdateringar.

• Om du installerar ett språk paket när du har installerat den här uppdateringen måste du installera om den här uppdateringen. Därför rekommenderar vi att du installerar eventuella språk paket som du behöver innan du installerar den här uppdateringen. Mer information finns i lägga till språk paket i Windows.
  

Kända problem i den här säkerhets uppdateringen

• Känt problem 1
  
  de säkerhets uppdateringar som finns i MS16-101 och senare uppdateringar inaktiverar möjligheten att genomföra Negotiate-processen för att gå tillbaka till NTLM när Kerberos-verifieringen Miss lyckas för åtgärder för lösen ords ändring med STATUS_NO_LOGON_SERVERS (0xC000005E). I den här situationen kan du få en av följande fel koder.
  
  

  Hexadecimalt	Mat	Symbol	Egna
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Systemet upptäckte ett möjligt försök att äventyra säkerheten. Kontrol lera att du kan kontakta servern som autentiserade dig.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Systemet upptäckte ett möjligt försök att äventyra säkerheten. Kontrol lera att du kan kontakta servern som autentiserade dig.

  
  
  Lösning
  
  om lösen ords ändringar som tidigare lyckades efter installationen av MS16-101 är troligt vis att lösen ords ändringar förlitade sig på NTLM-reserv eftersom Kerberos misslyckades. Följ de här anvisningarna om du vill ändra lösen ord med hjälp av Kerberos-protokoll:
  
  
  

  1. Konfigurera öppen kommunikation på TCP-port 464 mellan klienter med MS16-101 installerat och domänkontrollanten som återställer lösen ord.
     
     Skrivskyddade domänkontrollanter kan använda tjänstens självbetjänings lösen ord (RODC), om användaren tillåts av principer för lösenordsreplikering för RODC. Användare som inte är tillåtna i RODC-lösenordet kräver nätverks anslutning till en Läs-och skriv-domänkontrollant (RWDC) i användar konto domänen.
     
     Obs! för att kontrol lera att TCP-port 464 är öppen följer du de här stegen:
     
     
     

     1. Skapa ett ekvivalentt visnings filter för nät övervakarens tolk. Till exempel:
        

        IPv4. address = = <IP-adressen för klient> && TCP. port = = 464

     2. Leta efter bild rutan "TCP: [SynReTransmit" i resultatet.
        
        

  2. Kontrol lera att målets Kerberos-namn är giltiga. (IP-adresser är inte giltiga för Kerberos-protokollet. Kerberos stöder korta namn och fullkvalificerade domän namn.)

  3. Kontrol lera att tjänstens huvud namn (SPN) är korrekt registrerade.
     
     Mer information finns i Kerberos och Self-Service Återställ lösen ord.

• Känt problem 2
  
  ett problem som gör att det inte går att återställa användar konton med programmatiska lösen ord och returnera STATUS_DOWNGRADE_DETECTED (0x800704F1) felkod om det oväntade felet är något av följande:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (visas sällan)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  I följande tabell visas den fullständiga fel mappningen.
  
  

  Hexadecimalt	Mat	Symbol	Egna
  0x56	86	ERROR_INVALID_PASSWORD	Angivet nätverks lösen ord stämmer inte.
  0x267	615	ERROR_PWD_TOO_SHORT	Lösen ordet är för kort för att uppfylla policyn för ditt användar konto. Ange ett längre lösen ord.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	När du försöker uppdatera ett lösen ord visar den här statusen att det värde som angavs som det aktuella lösen ordet är fel.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	När du försöker uppdatera ett lösen ord visar den här statusen att vissa regler för lösen ords uppdatering har brutits. Lösen ordet kanske inte stämmer överens med längd villkoren.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Det går inte att kontakta en domänkontrollant för att betjäna autentiseringsbegäran. Försök igen senare.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Det går inte att kontakta en domänkontrollant för att betjäna autentiseringsbegäran. Försök igen senare.

  
  
  Lösning
  
  MS16-101 har frisläppts för att åtgärda det här problemet. Installera den senaste versionen av uppdateringarna för denna bulletin för att lösa det här problemet.
  
  

• Känt problem 3
  
  det här är ett problem som innebär att programmatiska omuppsättningar av lösen ords ändringar för lokala användar konton kan Miss lyckas och returnera STATUS_DOWNGRADE_DETECTED (0x800704F1).
  
  I följande tabell visas den fullständiga fel mappningen.
  
  

  Hexadecimalt	Mat	Symbol	Egna
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Det går inte att kontakta en domänkontrollant för att betjäna autentiseringsbegäran. Försök igen senare.

  
  
  Lösning
  
  MS16-101 har frisläppts för att åtgärda det här problemet. Installera den senaste versionen av uppdateringarna för denna bulletin för att lösa det här problemet.
  
  

• Känt problem 4
  
  lösen ord för inaktiverade och utelåsta användar konton kan inte ändras med Negotiate-paketet.
  
  Lösen ords ändringar för inaktiverade och utelåsta konton fungerar fortfarande när du använder andra metoder som att använda en LDAP-ändring. PowerShell-cmdleten Set-ADAccountPassword till exempel använda en "LDAP Modify"-åtgärd för att ändra lösen ordet och förbli opåverkade.
  
  Lösning
  
  de här kontona kräver att en administratör återställer lösen ord. Det här är en avsiktlig funktion efter installation av MS16-101 och senare korrigeringar.
  
  

• Kända problem 5
  
  program som använder NetUserChangePassword API och som skickar ett servername i parametern domän namn fungerar inte efter MS16-101 och senare uppdateringar installeras.
  
  Microsoft-dokumentation visar att det finns ett fjärrservernamn i parametern NetUserChangePassword för funktionen. NetUserChangePassword-funktionen för MSDN visar till exempel följande:
  
  domän namn [in]
  

  En pekare till en konstant sträng som anger DNS-eller NetBIOS-namnet på en fjärrserver eller domän som funktionen ska utföras på. Om den här parametern är NULL används den som ringer upp. Den här vägledningen har emellertid ersatts av MS16-101, såvida inte återställning av lösen ord är för ett lokalt konto på den lokala datorn. Publicera MS16-101 för att domän användarnas lösen ords ändringar ska fungera måste du skicka ett giltigt DNS-domännamn till NetUserChangePassword API.

• Känt problem 6
  
  när du har installerat säkerhets uppdateringarna som beskrivs i MS16-101, fjärr, program mässiga ändringar i ett lokalt konto lösen ord och lösen ords ändringar mellan icke-betrodda skogar Miss lyckas.
  
  
  Det går inte att utföra den här åtgärden eftersom åtgärden är beroende av NTLM som inte längre stöds för icke-lokala konton efter att MS16-101 är installerat.
  
  
  Det finns en register post som du kan använda för att inaktivera den här ändringen.
  
  Varning om den här lösningen kan göra en dator eller ett nätverk mer sårbart mot illvillig användare eller skadlig program vara som virus. Vi rekommenderar inte den här lösningen men tillhandahåller den här informationen så att du kan implementera den här lösningen efter eget gottfinnande. Använd alternativet på egen risk.
  
  ImportantThis avsnitt, metod eller uppgift innehåller instruktioner för hur du ändrar registret. Men allvarliga problem kan uppstå om du ändrar registret felaktigt. Se därför till att du följer de här anvisningarna noggrant. Säkerhetskopiera registret innan du ändrar det för att skydda det. Sedan kan du återställa registret om det uppstår ett problem. Om du vill veta mer om hur du säkerhetskopierar och återställer registret klickar du på följande artikel nummer och läser artikeln i Microsoft Knowledge Base:

  322756Så här säkerhetskopierar och återställer du registret i Windows
  
  för att inaktivera den här ändringen: Ange DWORD-posten NegoAllowNtlmPwdChangeFallback för att använda värdet 1 (ett).
  
  
  Viktigt om register posten NegoAllowNtlmPwdChangeFallback för värdet 1 kommer att inaktivera den här säkerhets korrigeringen:
  

  Register värde	Beskrivning
  siffrorna	Standardvärde. Reserven är förhindrad.
  1	Fallback är alltid tillåtet. Säkerhets korrigeringen är avstängd. Kunder som har problem med lokala fjär konton eller icke betrodda skogar kan ange det här värdet för registret.

  Följ de här stegen om du vill lägga till dessa register värden:
  

  1. Klicka på Start, klicka på Kör, skriv regedit i rutan Öppna och klicka sedan på OK.

  2. Leta upp och klicka på följande under nyckel i registret:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. Peka på Nytt på Redigera-menyn och klicka sedan på DWORD-värde.

  4. Skriv NegoAllowNtlmPwdChangeFallback som namn på DWORD och tryck sedan på RETUR.

  5. Högerklicka på NegoAllowNtlmPwdChangeFallbackoch klicka sedan på ändra.

  6. I rutan Värde data skriver du 1 för att inaktivera ändringen och klickar sedan på OK.
     
     
     Obs! Återställ standardvärdet, Skriv 0 (noll) och klicka sedan på OK.

  Status orsaken
  
  till att det här problemet tolkas. Den här artikeln kommer att uppdateras med ytterligare information när den blir tillgänglig.

Så hämtar och installerar du uppdateringen

Metod 1: Windows Update

Den här uppdateringen är tillgänglig via Windows Update. När du aktiverar automatisk uppdatering laddas och installeras den här uppdateringen automatiskt. Mer information om hur du aktiverar automatisk uppdatering finns i
Hämta säkerhets uppdateringar automatiskt.

Metod 2: Microsoft Update-katalogen

För att få det fristående paketet för den här uppdateringen går du till webbplatsen Microsoft Update-katalogen .

Mer information

Fil information