ปรับปรุงสะสมสำหรับ 1511 รุ่น 10 Windows: 9 สิงหาคม 2016

สิ่งสำคัญ บทความนี้ประกอบด้วยข้อมูลที่แสดงให้คุณเห็นวิธีการตั้งค่าความปลอดภัยต่ำกว่าหรือวิธีปิดคุณลักษณะความปลอดภัยในคอมพิวเตอร์ คุณสามารถทำการเปลี่ยนแปลงเหล่านี้ได้ในการแก้ไขปัญหาที่เฉพาะเจาะจง ก่อนที่คุณทำการเปลี่ยนแปลงเหล่านี้ เราขอแนะนำให้ คุณประเมินความเสี่ยงที่เกี่ยวข้องกับการปฏิบัติตามวิธีการแก้ไขปัญหานี้ในสภาพแวดล้อมเฉพาะของคุณ หากคุณใช้วิธีแก้ปัญหานี้ ใช้ขั้นตอนเพิ่มเติมที่เหมาะสมเพื่อช่วยปกป้องคอมพิวเตอร์

สรุป

การปรับปรุงความปลอดภัยนี้รวมการปรับปรุงและการแก้ไขในฟังก์ชันการทำงานของ Windows 10 รุ่น 1511 นอกจากนี้แก้ไขช่องโหว่ใน Windows ต่อไปนี้:
  • 3177356 MS16-095: การปรับปรุงการรักษาความปลอดภัยสำหรับ Internet Explorer: 9 สิงหาคม 2016
  • 3177358 MS16-096: การปรับปรุงการรักษาความปลอดภัยสำหรับ Microsoft Edge: 9 สิงหาคม 2016
  • 3177393 MS16-097: การปรับปรุงการรักษาความปลอดภัยสำหรับคอมโพเนนต์กราฟิก Microsoft: 9 สิงหาคม 2016
  • 3178466 MS16-098: ปรับปรุงการรักษาความปลอดภัยสำหรับโปรแกรมควบคุมโหมดเคอร์เนล: 9 สิงหาคม 2016
  • 3178465 MS16-101: การปรับปรุงความปลอดภัยสำหรับวิธีการรับรองความถูกต้องของ Windows: 9 สิงหาคม 2016
  • 3182248 MS16-102: ปรับปรุงการรักษาความปลอดภัยสำหรับไลบรารี Microsoft Windows PDF: 9 สิงหาคม 2016
  • 3182332 MS16-103: ปรับปรุงการรักษาความปลอดภัยสำหรับ ActiveSyncProvider: 9 สิงหาคม 2016

การปรับปรุง Windows 10 เป็นแบบสะสม ดังนั้น แพคเกจนี้ประกอบด้วยการแก้ไขทั้งหมดที่ออกมาก่อนหน้านี้

ถ้าคุณได้ติดตั้งการปรับปรุงก่อนหน้านี้ เฉพาะการแก้ไขใหม่ ๆ เพิ่มเติมที่มีอยู่ในแพคเกจนี้จะสามารถดาวน์โหลด และติดตั้งบนคอมพิวเตอร์ของคุณ ถ้าคุณกำลังติดตั้งแพคเกจการปรับปรุง Windows 10 เป็นครั้งแรก แพคเกจสำหรับ x86 เวอร์ชันคือ 502 MB และแพคเกจสำหรับ x64 รุ่น 916 เมกะไบต์


ข้อมูลเพิ่มเติม

ปัญหาในการปรับปรุงการรักษาความปลอดภัยนี้

  • ปัญหาที่ทราบ 1

    โปรแกรมปรับปรุงที่ใหม่กว่าและการปรับปรุงความปลอดภัยที่กำหนดไว้ในMS16 101ปิดใช้งานความสามารถของกระบวนการ Negotiate เพื่อถอยกลับไปใช้ NTLM เมื่อมีการรับรองความถูกต้อง Kerberos ล้มเหลวสำหรับการดำเนินงานการเปลี่ยนรหัสผ่านด้วยรหัสข้อผิดพลาดSTATUS_NO_LOGON_SERVERS (0xc000005e) ในสถานการณ์นี้ คุณอาจได้รับรหัสข้อผิดพลาดต่อไปนี้อย่างใดอย่างหนึ่ง

    เลขฐานสิบหกเลขฐานสิบสัญลักษณ์จำง่าย
    0xc00003881073740920STATUS_DOWNGRADE_DETECTEDระบบตรวจพบความพยายามเพื่อทำอันตรายต่อความปลอดภัยที่เป็นไปได้ โปรดตรวจสอบให้แน่ใจว่า คุณสามารถติดต่อกับเซิร์ฟเวอร์ที่พิสูจน์ตัวจริงของคุณ
    0x4f11265ERROR_DOWNGRADE_DETECTEDระบบตรวจพบความพยายามเพื่อทำอันตรายต่อความปลอดภัยที่เป็นไปได้ โปรดตรวจสอบให้แน่ใจว่า คุณสามารถติดต่อกับเซิร์ฟเวอร์ที่พิสูจน์ตัวจริงของคุณ


    วิธีแก้ปัญหา

    ถ้ามีการเปลี่ยนแปลงรหัสผ่านที่ประสบความสำเร็จก่อนหน้านี้ ล้มเหลวหลังจากการติดตั้ง MS16 101 เป็นไปได้ว่า การเปลี่ยนแปลงรหัสผ่านได้ก่อนหน้านี้พึ่งพาย้อนกลับ NTLM เนื่องจาก Kerberos ถูกล้มเหลว เมื่อต้องการเปลี่ยนรหัสผ่านเรียบร้อยแล้ว โดยใช้โพรโทคอล Kerberos ให้ทำตามขั้นตอนเหล่านี้:


    1. ตั้งค่าคอนฟิกการสื่อสารที่เปิดบนพอร์ต TCP 464 ระหว่างไคลเอนต์ที่มีการติดตั้ง 101 MS16 และตัวควบคุมโดเมนที่กำลังให้บริการการตั้งค่าใหม่ของรหัสผ่าน

      ตัวควบคุมโดเมนแบบอ่านอย่างเดียว (RODCs) สามารถบริการการตั้งค่าใหม่ด้วยตนเองผ่านถ้าผู้ใช้ได้รับอนุญาต โดยนโยบายการจำลองแบบรหัสผ่าน RODCs ผู้ใช้ที่ไม่ได้รับอนุญาต โดยนโยบายรหัสผ่านใช้จำเป็นต้องมีการเชื่อมต่อเครือข่ายแบบอ่าน/เขียนตัวควบคุมโดเมน (RWDC) ในโดเมนบัญชีผู้ใช้

      หมายเหตุ เพื่อตรวจสอบว่า พอร์ต TCP 464 เปิด ให้ทำตามขั้นตอนเหล่านี้:


      1. สร้างตัวกรองที่มีจอแสดงผลที่เทียบเท่าสำหรับตัวแยกวิเคราะห์การตรวจสอบเครือข่ายของคุณ ตัวอย่างเช่น
        ipv4.address== <ip address of client> && tcp.port==464
      2. ในผลลัพธ์ ค้นหาแบบ " TCP: [SynReTransmit " เฟรม

        Frame
    2. ตรวจสอบให้แน่ใจว่า ชื่อ Kerberos เป้าหมายไม่ถูกต้อง (ที่อยู่ IP ไม่ถูกต้องสำหรับโพรโทคอล Kerberos ชื่อย่อของสนับสนุน Kerberos และชื่อโดเมน)
    3. ตรวจสอบให้แน่ใจว่า บริการชื่อหลัก (SPNs) จะถูกลงทะเบียนอย่างถูกต้อง

      สำหรับข้อมูลเพิ่มเติม ดูKerberos และรีเซ็ตรหัสผ่านด้วยตนเอง
  • ปัญหาที่ทราบ 2

    เรารู้เกี่ยวกับประเด็นใด resets ผ่านทางการเขียนโปรแกรมของผู้ใช้โดเมนบัญชีผู้ใช้ล้มเหลว และส่งกลับรหัสข้อผิดพลาดSTATUS_DOWNGRADE_DETECTED (0x800704F1)ถ้าความล้มเหลวที่คาดไว้คือหนึ่งในรายการต่อไปนี้:

    • ERROR_INVALID_PASSWORD
    • ERROR_PWD_TOO_SHORT (ไม่ค่อยส่งคืน)
    • STATUS_WRONG_PASSWORD
    • STATUS_PASSWORD_RESTRICTION

    ตารางต่อไปนี้แสดงการแม็ปข้อผิดพลาดทั้งหมด

    เลขฐานสิบหกเลขฐานสิบสัญลักษณ์จำง่าย
    0x5686ERROR_INVALID_PASSWORDรหัสผ่านเครือข่ายที่ระบุไม่ถูกต้อง
    0x267615ERROR_PWD_TOO_SHORTรหัสผ่านที่ให้ไว้ไม่สั้นเกินไปให้สอดคล้องกับนโยบายของบัญชีผู้ใช้ของคุณ กรุณาใส่รหัสผ่านยาว
    0xc000006a-1073741718STATUS_WRONG_PASSWORDเมื่อคุณพยายามปรับปรุงรหัสผ่าน สถานะการส่งคืนสินค้านี้บ่งชี้ว่า ค่าที่ให้เป็นรหัสผ่านปัจจุบันไม่ถูกต้อง
    0xc000006c-1073741716STATUS_PASSWORD_RESTRICTIONเมื่อคุณพยายามปรับปรุงรหัสผ่าน สถานะการส่งคืนสินค้านี้บ่งชี้ว่า มีการละเมิดกฎบางโปรแกรมปรับปรุงรหัสผ่าน ตัวอย่างเช่น รหัสผ่านอาจไม่ตรงกับเงื่อนไขความยาว
    0x800704F11265STATUS_DOWNGRADE_DETECTEDระบบไม่สามารถติดต่อตัวควบคุมโดเมนให้บริการการร้องขอการรับรองความถูกต้อง กรุณาลองอีกครั้ง
    0xc0000388-1073740920STATUS_DOWNGRADE_DETECTEDระบบไม่สามารถติดต่อตัวควบคุมโดเมนให้บริการการร้องขอการรับรองความถูกต้อง กรุณาลองอีกครั้ง


    การแก้ปัญหา

    MS16 101ได้ถูกนำออกใช้แล้วอีกครั้งเพื่อแก้ไขปัญหานี้ ติดตั้งโปรแกรมปรับปรุงสำหรับกระดานข่าวนี้เพื่อแก้ไขปัญหานี้รุ่นล่าสุด

  • ปัญหาที่ทราบ 3

    เราทราบเกี่ยวกับปัญหาที่อาจล้มเหลว resets ทางการเขียนโปรแกรมของการเปลี่ยนแปลงรหัสผ่านของบัญชีผู้ใช้ภายใน และส่งกลับรหัสข้อผิดพลาดSTATUS_DOWNGRADE_DETECTED (0x800704F1)

    ตารางต่อไปนี้แสดงการแม็ปข้อผิดพลาดทั้งหมด

    เลขฐานสิบหกเลขฐานสิบสัญลักษณ์จำง่าย
    0x4f11265ERROR_DOWNGRADE_DETECTEDระบบไม่สามารถติดต่อตัวควบคุมโดเมนให้บริการการร้องขอการรับรองความถูกต้อง กรุณาลองอีกครั้ง


    การแก้ปัญหา

    MS16 101ได้ถูกนำออกใช้แล้วอีกครั้งเพื่อแก้ไขปัญหานี้ ติดตั้งโปรแกรมปรับปรุงสำหรับกระดานข่าวนี้เพื่อแก้ไขปัญหานี้รุ่นล่าสุด

  • ปัญหาที่ทราบ 4

    ไม่สามารถเปลี่ยนแปลงรหัสผ่านสำหรับบัญชีผู้ใช้ถูกปิดใช้งาน และล็อกออกใช้แพคเกจ negotiate


    การเปลี่ยนแปลงรหัสผ่านสำหรับบัญชีที่ถูกปิดใช้งาน และล็อคเอาท์จะยังคงทำงานเมื่อใช้วิธีการอื่น ๆ เช่นเมื่อใช้ LDAP ปรับเปลี่ยนการดำเนินงานได้โดยตรง ตัวอย่างเช่น cmdlet PowerShellชุด ADAccountPasswordใช้การดำเนินการ "LDAP ปรับเปลี่ยน" เมื่อต้องการเปลี่ยนรหัสผ่าน และยังคงรับผลกระทบ

    วิธีแก้ปัญหา

    บัญชีเหล่านี้จำเป็นต้องใช้เพื่อทำให้การตั้งค่าใหม่รหัสผ่านผู้ดูแล ลักษณะการทำงานนี้เกิดจากการออกหลังจากที่คุณติดตั้งการแก้ไข MS16-101 และรุ่นที่ใหม่กว่า

  • ปัญหาที่ทราบ 5

    โปรแกรมประยุกต์ที่ใช้NetUserChangePassword API และที่ส่งผ่านเป็นชื่อเซิร์ฟเวอร์ในพารามิเตอร์domainnameจะไม่ทำงานหลังจาก MS16 101 และมีการติดตั้งโปรแกรมปรับปรุงรุ่นที่ใหม่กว่า

    เอกสารประกอบของ Microsoft ระบุว่า ให้ชื่อของเซิร์ฟเวอร์ระยะไกลในพารามิเตอร์ของฟังก์ชันNetUserChangePassword domainnameได้รับการสนับสนุน ตัวอย่างเช่น หัวข้อ MSDNฟังก์ชัน NetUserChangePasswordระบุต่อไปนี้:

    domainname [ใน]
    ตัวชี้ไปค่าคงสายอักขระที่ระบุชื่อ DNS หรือ NetBIOS ของเซิร์ฟเวอร์ระยะไกลหรือโดเมนที่มีฟังก์ชันที่สามารถ ดำเนินการ ถ้าพารามิเตอร์นี้เป็น NULL มีใช้การเข้าสู่ระบบโดเมนของผู้เรียก
    อย่างไรก็ตาม คำแนะนำนี้มีข้อมูลอื่นแทน โดย MS16 101 คือสำหรับบัญชีบนเครื่องคอมพิวเตอร์ท้องถิ่นเว้นแต่มีการรีเซ็ตรหัสผ่าน ประกาศ MS16-101 ในใบสั่งสำหรับการเปลี่ยนแปลงรหัสผ่านของผู้ใช้โดเมนทำงาน คุณต้องผ่านชื่อโดเมน DNS ถูกต้องกับ API แบบ NetUserChangePassword
  • ปัญหาที่ทราบ 6



    หลังจากใช้การปรับปรุงการรักษาความปลอดภัยนี้ และคุณพิมพ์เอกสารหลายต่อเนื่อง เอกสารสองอาจพิมพ์เสร็จเรียบร้อยแล้ว อย่างไรก็ตาม เอกสารที่สาม และในเวลาต่อมาไม่สามารถพิมพ์

    เมื่อต้องการแก้ไขปัญหานี้ ดาวน์โหลดการปรับปรุง 3186988 จากเว็บไซต์Microsoft Update Catalog





    นอกจากนี้ยังมีแก้ไขปัญหานี้ในMicrosoft Security บูเลทีนรักษา MS16-106



  • ปัญหาที่ทราบ 7

    หลังจากที่คุณติดตั้งโปรแกรมปรับปรุงด้านความปลอดภัยที่อธิบายไว้ในMS16 101ระยะไกล การเปลี่ยนแปลงรหัสผ่านบัญชีผู้ใช้ภายในโดยทางโปรแกรม และการเปลี่ยนแปลงรหัสผ่านข้ามฟอเรสต์ไม่น่าเชื่อถือล้มเหลว


    การดำเนินการนี้ล้มเหลวเนื่องจากการดำเนินงานใช้ NTLM ในฤดูใบไม้ร่วงกลับสู่ซึ่งจะไม่ได้รับการสนับสนุนสำหรับบัญชีแบบไม่เฉพาะหลังจากที่ติดตั้ง MS16 101


    รายการรีจิสทรีมีโดยที่คุณสามารถใช้เพื่อปิดใช้งานการเปลี่ยนแปลงนี้

    คำเตือน วิธีแก้ปัญหาวิธีนี้อาจทำให้คอมพิวเตอร์หรือเครือข่ายมีความเสี่ยงมากขึ้นที่จะถูกโจมตีโดยผู้ใช้ที่เป็นอันตรายหรือซอฟต์แวร์ที่เป็นอันตราย เช่น ไวรัส เราไม่แนะนำวิธีแก้ปัญหานี้ แต่เสนอข้อมูลนี้เพื่อให้คุณสามารถใช้วิธีแก้ปัญหานี้ภายใต้ดุลยพินิจของคุณเอง การใช้วิธีการแก้ไขนี้ถือเป็นความเสี่ยงของคุณเอง

    สิ่งสำคัญ ส่วน วิธีการ หรืองานนี้ประกอบด้วยขั้นตอนที่บอกให้คุณทราบวิธีการปรับเปลี่ยนรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง ดังนั้นจึงให้ตรวจสอบจนแน่ใจว่าคุณทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการปกป้องเพิ่มเติม ให้สำรองรีจิสทรีก่อนที่คุณทำการปรับเปลี่ยน จากนั้นคุณจะสามารถคืนค่ารีจิสทรีได้หากเกิดปัญหาขึ้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรองข้อมูลและคืนค่ารีจิสทรี ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
    322756 วิธีการสำรองข้อมูลและคืนค่ารีจิสทรีใน Windows


    เมื่อต้องการปิดใช้งานการเปลี่ยนแปลงนี้ ตั้งรายการ DWORD NegoAllowNtlmPwdChangeFallbackให้ใช้ค่าเป็น 1 (หนึ่ง)


    สิ่งสำคัญ การตั้งค่ารายการรีจิสทรีNegoAllowNtlmPwdChangeFallbackเป็นค่า 1 จะปิดใช้งานการแก้ไขการรักษาความปลอดภัยนี้:
    ค่ารีจิสทรีคำอธิบาย
    0ค่าเริ่มต้น จะไม่สามารถย้อนกลับ
    1ย้อนกลับไม่ได้รับอนุญาตเสมอ การแก้ไขการรักษาความปลอดภัยจะปิดใช้งาน ลูกค้าที่มีปัญหากับบัญชีภายในระยะไกลหรือไม่น่าเชื่อถือฟอเรสต์สถานการณ์ สามารถตั้งค่ารีจิสทรีเป็นค่านี้
    เมื่อต้องการเพิ่มค่ารีจิสทรีเหล่านี้ ให้ทำตามขั้นตอนเหล่านี้:
    1. คลิก เริ่ม คลิก เรียกใช้ พิมพ์ regedit ในกล่อง เปิด แล้วคลิ ก ตกลง
    2. ค้นหา และคลิกคีย์ย่อยที่ต่อไปนี้ในรีจิสทรี:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
    3. บนเมนูแก้ไขชี้ไปที่สร้างแล้ว คลิ กDWORD Value
    4. พิมพ์NegoAllowNtlmPwdChangeFallbackสำหรับชื่อของ DWORD และจากนั้น กด ENTER
    5. คลิกขวาที่NegoAllowNtlmPwdChangeFallbackและจากนั้น คลิกปรับเปลี่ยน
    6. ในกล่องValue dataพิมพ์1เมื่อต้องการปิดใช้งานการเปลี่ยนแปลงนี้ และจากนั้น คลิกตกลง


      หมายเหตุ การเรียกคืนค่าเริ่มต้น พิมพ์ 0 (ศูนย์), แล้ว คลิ กตกลง
    สถานะ

    สาเหตุรากของปัญหานี้คือการทำความเข้าใจ บทความนี้จะถูกปรับปรุง ด้วยรายละเอียดเพิ่มเติมที่มีอยู่

วิธีการรับการปรับปรุงนี้

สิ่งสำคัญ ถ้าคุณติดตั้งชุดภาษาหลังจากที่คุณติดตั้งโปรแกรมปรับปรุงนี้ คุณต้องติดตั้งโปรแกรมปรับปรุงนี้อีกครั้ง ดังนั้น เราขอแนะนำให้คุณติดตั้งชุดภาษาใด ๆ ที่คุณต้องการก่อนที่คุณจะติดตั้งโปรแกรมปรับปรุงนี้ สำหรับข้อมูลเพิ่มเติม ดูชุดภาษาเพิ่มลงใน Windows

วิธีที่ 1: การปรับปรุง Windows

โปรแกรมปรับปรุงนี้จะดาวน์โหลด และติดตั้งโดยอัตโนมัติ

วิธีที่ 2: แค็ตตาล็อก Microsoft Update

เมื่อต้องการรับแพคเกจแบบสแตนด์อโลนสำหรับการปรับปรุงนี้ ไปที่เว็บไซต์Microsoft Update Catalog

ข้อกำหนดเบื้องต้น

ไม่มีข้อกำหนดเบื้องต้นสำหรับการติดตั้งโปรแกรมปรับปรุงนี้ได้

ข้อมูลการเริ่มระบบใหม่

คุณต้องรีสตาร์ทคอมพิวเตอร์หลังจากนำการปรับปรุงนี้ไปใช้แล้ว

ข้อมูลการแทนที่การปรับปรุง

โปรแกรมปรับปรุงนี้แทนการปรับปรุงที่ออกมาก่อนหน้านี้3172985

แฟ้มข้อมูล

สำหรับรายการของแฟ้มที่มีอยู่ในโปรแกรมปรับปรุงนี้สะสม ดาวน์โหลดแฟ้มข้อมูลสำหรับการปรับปรุงสะสม 3176493

ข้อมูลอ้างอิง

เรียนรู้เกี่ยวกับ คำศัพท์เฉพาะทาง ที่ Microsoft ใช้เพื่ออธิบายการปรับปรุงซอฟต์แวร์
คุณสมบัติ

รหัสบทความ: 3176493 - การตรวจสอบครั้งสุดท้าย: 8 ม.ค. 2017 - ฉบับแก้ไข: 1

คำติชม