สิ่งสำคัญ บทความนี้ประกอบด้วยข้อมูลที่แสดงให้คุณเห็นวิธีการตั้งค่าความปลอดภัยต่ำกว่าหรือวิธีปิดคุณลักษณะความปลอดภัยในคอมพิวเตอร์ คุณสามารถทำการเปลี่ยนแปลงเหล่านี้ได้ในการแก้ไขปัญหาที่เฉพาะเจาะจง ก่อนที่คุณทำการเปลี่ยนแปลงเหล่านี้ เราขอแนะนำให้ คุณประเมินความเสี่ยงที่เกี่ยวข้องกับการปฏิบัติตามวิธีการแก้ไขปัญหานี้ในสภาพแวดล้อมเฉพาะของคุณ หากคุณใช้วิธีแก้ปัญหานี้ ใช้ขั้นตอนเพิ่มเติมที่เหมาะสมเพื่อช่วยปกป้องคอมพิวเตอร์
สรุป
การปรับปรุงความปลอดภัยนี้รวมการปรับปรุงและการแก้ไขในฟังก์ชันการทำงานของ Windows 10 รุ่น 1511 นอกจากนี้แก้ไขช่องโหว่ใน Windows ต่อไปนี้:
-
3177356 MS16-095: การปรับปรุงการรักษาความปลอดภัยสำหรับ Internet Explorer: 9 สิงหาคม 2016
-
3177358 MS16-096: การปรับปรุงการรักษาความปลอดภัยสำหรับ Microsoft Edge: 9 สิงหาคม 2016
-
3177393 MS16-097: การปรับปรุงการรักษาความปลอดภัยสำหรับคอมโพเนนต์กราฟิก Microsoft: 9 สิงหาคม 2016
-
3178466 MS16-098: ปรับปรุงการรักษาความปลอดภัยสำหรับโปรแกรมควบคุมโหมดเคอร์เนล: 9 สิงหาคม 2016
-
3178465 MS16-101: การปรับปรุงความปลอดภัยสำหรับวิธีการรับรองความถูกต้องของ Windows: 9 สิงหาคม 2016
-
3182248 MS16-102: ปรับปรุงการรักษาความปลอดภัยสำหรับไลบรารี Microsoft Windows PDF: 9 สิงหาคม 2016
-
3182332 MS16-103: ปรับปรุงการรักษาความปลอดภัยสำหรับ ActiveSyncProvider: 9 สิงหาคม 2016
การปรับปรุง Windows 10 เป็นแบบสะสม ดังนั้น แพคเกจนี้ประกอบด้วยการแก้ไขทั้งหมดที่ออกมาก่อนหน้านี้
ถ้าคุณได้ติดตั้งการปรับปรุงก่อนหน้านี้ เฉพาะการแก้ไขใหม่ ๆ เพิ่มเติมที่มีอยู่ในแพคเกจนี้จะสามารถดาวน์โหลด และติดตั้งบนคอมพิวเตอร์ของคุณ ถ้าคุณกำลังติดตั้งแพคเกจการปรับปรุง Windows 10 เป็นครั้งแรก แพคเกจสำหรับ x86 เวอร์ชันคือ 502 MB และแพคเกจสำหรับ x64 รุ่น 916 เมกะไบต์
ข้อมูลเพิ่มเติม
ปัญหาในการปรับปรุงการรักษาความปลอดภัยนี้
-
ปัญหาที่ทราบ 1
โปรแกรมปรับปรุงที่ใหม่กว่าและการปรับปรุงความปลอดภัยที่กำหนดไว้ในMS16 101ปิดใช้งานความสามารถของกระบวนการ Negotiate เพื่อถอยกลับไปใช้ NTLM เมื่อมีการรับรองความถูกต้อง Kerberos ล้มเหลวสำหรับการดำเนินงานการเปลี่ยนรหัสผ่านด้วยรหัสข้อผิดพลาดSTATUS_NO_LOGON_SERVERS (0xc000005e) ในสถานการณ์นี้ คุณอาจได้รับรหัสข้อผิดพลาดต่อไปนี้อย่างใดอย่างหนึ่งเลขฐานสิบหก
เลขฐานสิบ
สัญลักษณ์
จำง่าย
0xc0000388
1073740920
STATUS_DOWNGRADE_DETECTED
ระบบตรวจพบความพยายามเพื่อทำอันตรายต่อความปลอดภัยที่เป็นไปได้ โปรดตรวจสอบให้แน่ใจว่า คุณสามารถติดต่อกับเซิร์ฟเวอร์ที่พิสูจน์ตัวจริงของคุณ
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
ระบบตรวจพบความพยายามเพื่อทำอันตรายต่อความปลอดภัยที่เป็นไปได้ โปรดตรวจสอบให้แน่ใจว่า คุณสามารถติดต่อกับเซิร์ฟเวอร์ที่พิสูจน์ตัวจริงของคุณ
วิธีแก้ปัญหา
ถ้ามีการเปลี่ยนแปลงรหัสผ่านที่ประสบความสำเร็จก่อนหน้านี้ ล้มเหลวหลังจากการติดตั้ง MS16 101 เป็นไปได้ว่า การเปลี่ยนแปลงรหัสผ่านได้ก่อนหน้านี้พึ่งพาย้อนกลับ NTLM เนื่องจาก Kerberos ถูกล้มเหลว เมื่อต้องการเปลี่ยนรหัสผ่านเรียบร้อยแล้ว โดยใช้โพรโทคอล Kerberos ให้ทำตามขั้นตอนเหล่านี้:-
ตั้งค่าคอนฟิกการสื่อสารที่เปิดบนพอร์ต TCP 464 ระหว่างไคลเอนต์ที่มีการติดตั้ง 101 MS16 และตัวควบคุมโดเมนที่กำลังให้บริการการตั้งค่าใหม่ของรหัสผ่าน
ตัวควบคุมโดเมนแบบอ่านอย่างเดียว (RODCs) สามารถบริการการตั้งค่าใหม่ด้วยตนเองผ่านถ้าผู้ใช้ได้รับอนุญาต โดยนโยบายการจำลองแบบรหัสผ่าน RODCs ผู้ใช้ที่ไม่ได้รับอนุญาต โดยนโยบายรหัสผ่านใช้จำเป็นต้องมีการเชื่อมต่อเครือข่ายแบบอ่าน/เขียนตัวควบคุมโดเมน (RWDC) ในโดเมนบัญชีผู้ใช้
หมายเหตุ เพื่อตรวจสอบว่า พอร์ต TCP 464 เปิด ให้ทำตามขั้นตอนเหล่านี้:-
สร้างตัวกรองที่มีจอแสดงผลที่เทียบเท่าสำหรับตัวแยกวิเคราะห์การตรวจสอบเครือข่ายของคุณ ตัวอย่างเช่น
ipv4.address== <ip address of client> && tcp.port==464
-
ในผลลัพธ์ ค้นหาแบบ " TCP: [SynReTransmit " เฟรม
-
-
ตรวจสอบให้แน่ใจว่า ชื่อ Kerberos เป้าหมายไม่ถูกต้อง (ที่อยู่ IP ไม่ถูกต้องสำหรับโพรโทคอล Kerberos ชื่อย่อของสนับสนุน Kerberos และชื่อโดเมน)
-
ตรวจสอบให้แน่ใจว่า บริการชื่อหลัก (SPNs) จะถูกลงทะเบียนอย่างถูกต้อง
สำหรับข้อมูลเพิ่มเติม ดูKerberos และรีเซ็ตรหัสผ่านด้วยตนเอง
-
-
ปัญหาที่ทราบ 2
เรารู้เกี่ยวกับประเด็นใด resets ผ่านทางการเขียนโปรแกรมของผู้ใช้โดเมนบัญชีผู้ใช้ล้มเหลว และส่งกลับรหัสข้อผิดพลาดSTATUS_DOWNGRADE_DETECTED (0x800704F1)ถ้าความล้มเหลวที่คาดไว้คือหนึ่งในรายการต่อไปนี้:-
ERROR_INVALID_PASSWORD
-
ERROR_PWD_TOO_SHORT (ไม่ค่อยส่งคืน)
-
STATUS_WRONG_PASSWORD
-
STATUS_PASSWORD_RESTRICTION
ตารางต่อไปนี้แสดงการแม็ปข้อผิดพลาดทั้งหมดเลขฐานสิบหก
เลขฐานสิบ
สัญลักษณ์
จำง่าย
0x56
86
ERROR_INVALID_PASSWORD
รหัสผ่านเครือข่ายที่ระบุไม่ถูกต้อง
0x267
615
ERROR_PWD_TOO_SHORT
รหัสผ่านที่ให้ไว้ไม่สั้นเกินไปให้สอดคล้องกับนโยบายของบัญชีผู้ใช้ของคุณ กรุณาใส่รหัสผ่านยาว
0xc000006a
-1073741718
STATUS_WRONG_PASSWORD
เมื่อคุณพยายามปรับปรุงรหัสผ่าน สถานะการส่งคืนสินค้านี้บ่งชี้ว่า ค่าที่ให้เป็นรหัสผ่านปัจจุบันไม่ถูกต้อง
0xc000006c
-1073741716
STATUS_PASSWORD_RESTRICTION
เมื่อคุณพยายามปรับปรุงรหัสผ่าน สถานะการส่งคืนสินค้านี้บ่งชี้ว่า มีการละเมิดกฎบางโปรแกรมปรับปรุงรหัสผ่าน ตัวอย่างเช่น รหัสผ่านอาจไม่ตรงกับเงื่อนไขความยาว
0x800704F1
1265
STATUS_DOWNGRADE_DETECTED
ระบบไม่สามารถติดต่อตัวควบคุมโดเมนให้บริการการร้องขอการรับรองความถูกต้อง กรุณาลองอีกครั้ง
0xc0000388
-1073740920
STATUS_DOWNGRADE_DETECTED
ระบบไม่สามารถติดต่อตัวควบคุมโดเมนให้บริการการร้องขอการรับรองความถูกต้อง กรุณาลองอีกครั้ง
การแก้ปัญหา
MS16 101ได้ถูกนำออกใช้แล้วอีกครั้งเพื่อแก้ไขปัญหานี้ ติดตั้งโปรแกรมปรับปรุงสำหรับกระดานข่าวนี้เพื่อแก้ไขปัญหานี้รุ่นล่าสุด
-
-
ปัญหาที่ทราบ 3
เราทราบเกี่ยวกับปัญหาที่อาจล้มเหลว resets ทางการเขียนโปรแกรมของการเปลี่ยนแปลงรหัสผ่านของบัญชีผู้ใช้ภายใน และส่งกลับรหัสข้อผิดพลาดSTATUS_DOWNGRADE_DETECTED (0x800704F1)
ตารางต่อไปนี้แสดงการแม็ปข้อผิดพลาดทั้งหมดเลขฐานสิบหก
เลขฐานสิบ
สัญลักษณ์
จำง่าย
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
ระบบไม่สามารถติดต่อตัวควบคุมโดเมนให้บริการการร้องขอการรับรองความถูกต้อง กรุณาลองอีกครั้ง
การแก้ปัญหา
MS16 101ได้ถูกนำออกใช้แล้วอีกครั้งเพื่อแก้ไขปัญหานี้ ติดตั้งโปรแกรมปรับปรุงสำหรับกระดานข่าวนี้เพื่อแก้ไขปัญหานี้รุ่นล่าสุด -
ปัญหาที่ทราบ 4
ไม่สามารถเปลี่ยนแปลงรหัสผ่านสำหรับบัญชีผู้ใช้ถูกปิดใช้งาน และล็อกออกใช้แพคเกจ negotiate
การเปลี่ยนแปลงรหัสผ่านสำหรับบัญชีที่ถูกปิดใช้งาน และล็อคเอาท์จะยังคงทำงานเมื่อใช้วิธีการอื่น ๆ เช่นเมื่อใช้ LDAP ปรับเปลี่ยนการดำเนินงานได้โดยตรง ตัวอย่างเช่น cmdlet PowerShellชุด ADAccountPasswordใช้การดำเนินการ "LDAP ปรับเปลี่ยน" เมื่อต้องการเปลี่ยนรหัสผ่าน และยังคงรับผลกระทบ
วิธีแก้ปัญหา
บัญชีเหล่านี้จำเป็นต้องใช้เพื่อทำให้การตั้งค่าใหม่รหัสผ่านผู้ดูแล ลักษณะการทำงานนี้เกิดจากการออกหลังจากที่คุณติดตั้งการแก้ไข MS16-101 และรุ่นที่ใหม่กว่า -
ปัญหาที่ทราบ 5
โปรแกรมประยุกต์ที่ใช้NetUserChangePassword API และที่ส่งผ่านเป็นชื่อเซิร์ฟเวอร์ในพารามิเตอร์domainnameจะไม่ทำงานหลังจาก MS16 101 และมีการติดตั้งโปรแกรมปรับปรุงรุ่นที่ใหม่กว่า
เอกสารประกอบของ Microsoft ระบุว่า ให้ชื่อของเซิร์ฟเวอร์ระยะไกลในพารามิเตอร์ของฟังก์ชันNetUserChangePassword domainnameได้รับการสนับสนุน ตัวอย่างเช่น หัวข้อ MSDNฟังก์ชัน NetUserChangePasswordระบุต่อไปนี้:
domainname [ใน]ตัวชี้ไปค่าคงสายอักขระที่ระบุชื่อ DNS หรือ NetBIOS ของเซิร์ฟเวอร์ระยะไกลหรือโดเมนที่มีฟังก์ชันที่สามารถ ดำเนินการ ถ้าพารามิเตอร์นี้เป็น NULL มีใช้การเข้าสู่ระบบโดเมนของผู้เรียกอย่างไรก็ตาม คำแนะนำนี้มีข้อมูลอื่นแทน โดย MS16 101 คือสำหรับบัญชีบนเครื่องคอมพิวเตอร์ท้องถิ่นเว้นแต่มีการรีเซ็ตรหัสผ่าน ประกาศ MS16-101 ในใบสั่งสำหรับการเปลี่ยนแปลงรหัสผ่านของผู้ใช้โดเมนทำงาน คุณต้องผ่านชื่อโดเมน DNS ถูกต้องกับ API แบบ NetUserChangePassword
-
ปัญหาที่ทราบ 6
หลังจากใช้การปรับปรุงการรักษาความปลอดภัยนี้ และคุณพิมพ์เอกสารหลายต่อเนื่อง เอกสารสองอาจพิมพ์เสร็จเรียบร้อยแล้ว อย่างไรก็ตาม เอกสารที่สาม และในเวลาต่อมาไม่สามารถพิมพ์
เมื่อต้องการแก้ไขปัญหานี้ ดาวน์โหลดการปรับปรุง 3186988 จากเว็บไซต์Microsoft Update Catalog
นอกจากนี้ยังมีแก้ไขปัญหานี้ในMicrosoft Security บูเลทีนรักษา MS16-106 -
ปัญหาที่ทราบ 7
หลังจากที่คุณติดตั้งโปรแกรมปรับปรุงด้านความปลอดภัยที่อธิบายไว้ในMS16 101ระยะไกล การเปลี่ยนแปลงรหัสผ่านบัญชีผู้ใช้ภายในโดยทางโปรแกรม และการเปลี่ยนแปลงรหัสผ่านข้ามฟอเรสต์ไม่น่าเชื่อถือล้มเหลว
การดำเนินการนี้ล้มเหลวเนื่องจากการดำเนินงานใช้ NTLM ในฤดูใบไม้ร่วงกลับสู่ซึ่งจะไม่ได้รับการสนับสนุนสำหรับบัญชีแบบไม่เฉพาะหลังจากที่ติดตั้ง MS16 101
รายการรีจิสทรีมีโดยที่คุณสามารถใช้เพื่อปิดใช้งานการเปลี่ยนแปลงนี้
คำเตือน วิธีแก้ปัญหาวิธีนี้อาจทำให้คอมพิวเตอร์หรือเครือข่ายมีความเสี่ยงมากขึ้นที่จะถูกโจมตีโดยผู้ใช้ที่เป็นอันตรายหรือซอฟต์แวร์ที่เป็นอันตราย เช่น ไวรัส เราไม่แนะนำวิธีแก้ปัญหานี้ แต่เสนอข้อมูลนี้เพื่อให้คุณสามารถใช้วิธีแก้ปัญหานี้ภายใต้ดุลยพินิจของคุณเอง การใช้วิธีการแก้ไขนี้ถือเป็นความเสี่ยงของคุณเอง
สิ่งสำคัญ ส่วน วิธีการ หรืองานนี้ประกอบด้วยขั้นตอนที่บอกให้คุณทราบวิธีการปรับเปลี่ยนรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง ดังนั้นจึงให้ตรวจสอบจนแน่ใจว่าคุณทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการปกป้องเพิ่มเติม ให้สำรองรีจิสทรีก่อนที่คุณทำการปรับเปลี่ยน จากนั้นคุณจะสามารถคืนค่ารีจิสทรีได้หากเกิดปัญหาขึ้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรองข้อมูลและคืนค่ารีจิสทรี ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:322756 วิธีการสำรองข้อมูลและคืนค่ารีจิสทรีใน Windows
เมื่อต้องการปิดใช้งานการเปลี่ยนแปลงนี้ ตั้งรายการ DWORD NegoAllowNtlmPwdChangeFallbackให้ใช้ค่าเป็น 1 (หนึ่ง)
สิ่งสำคัญ การตั้งค่ารายการรีจิสทรีNegoAllowNtlmPwdChangeFallbackเป็นค่า 1 จะปิดใช้งานการแก้ไขการรักษาความปลอดภัยนี้:ค่ารีจิสทรี
คำอธิบาย
0
ค่าเริ่มต้น จะไม่สามารถย้อนกลับ
1
ย้อนกลับไม่ได้รับอนุญาตเสมอ การแก้ไขการรักษาความปลอดภัยจะปิดใช้งาน ลูกค้าที่มีปัญหากับบัญชีภายในระยะไกลหรือไม่น่าเชื่อถือฟอเรสต์สถานการณ์ สามารถตั้งค่ารีจิสทรีเป็นค่านี้
เมื่อต้องการเพิ่มค่ารีจิสทรีเหล่านี้ ให้ทำตามขั้นตอนเหล่านี้:
-
คลิก เริ่ม คลิก เรียกใช้ พิมพ์ regedit ในกล่อง เปิด แล้วคลิ ก ตกลง
-
ค้นหา และคลิกคีย์ย่อยที่ต่อไปนี้ในรีจิสทรี:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
-
บนเมนูแก้ไขชี้ไปที่สร้างแล้ว คลิ กDWORD Value
-
พิมพ์NegoAllowNtlmPwdChangeFallbackสำหรับชื่อของ DWORD และจากนั้น กด ENTER
-
คลิกขวาที่NegoAllowNtlmPwdChangeFallbackและจากนั้น คลิกปรับเปลี่ยน
-
ในกล่องValue dataพิมพ์1เมื่อต้องการปิดใช้งานการเปลี่ยนแปลงนี้ และจากนั้น คลิกตกลง
หมายเหตุ การเรียกคืนค่าเริ่มต้น พิมพ์ 0 (ศูนย์), แล้ว คลิ กตกลง
สถานะ
สาเหตุรากของปัญหานี้คือการทำความเข้าใจ บทความนี้จะถูกปรับปรุง ด้วยรายละเอียดเพิ่มเติมที่มีอยู่ -
วิธีการรับการปรับปรุงนี้
สิ่งสำคัญ ถ้าคุณติดตั้งชุดภาษาหลังจากที่คุณติดตั้งโปรแกรมปรับปรุงนี้ คุณต้องติดตั้งโปรแกรมปรับปรุงนี้อีกครั้ง ดังนั้น เราขอแนะนำให้คุณติดตั้งชุดภาษาใด ๆ ที่คุณต้องการก่อนที่คุณจะติดตั้งโปรแกรมปรับปรุงนี้ สำหรับข้อมูลเพิ่มเติม ดูชุดภาษาเพิ่มลงใน Windows
วิธีที่ 1: การปรับปรุง Windows
โปรแกรมปรับปรุงนี้จะดาวน์โหลด และติดตั้งโดยอัตโนมัติ
วิธีที่ 2: แค็ตตาล็อก Microsoft Update
เมื่อต้องการรับแพคเกจแบบสแตนด์อโลนสำหรับการปรับปรุงนี้ ไปที่เว็บไซต์Microsoft Update Catalog
ข้อกำหนดเบื้องต้น
ไม่มีข้อกำหนดเบื้องต้นสำหรับการติดตั้งโปรแกรมปรับปรุงนี้ได้
ข้อมูลการเริ่มระบบใหม่
คุณต้องรีสตาร์ทคอมพิวเตอร์หลังจากนำการปรับปรุงนี้ไปใช้แล้ว
ข้อมูลการแทนที่การปรับปรุง
โปรแกรมปรับปรุงนี้แทนการปรับปรุงที่ออกมาก่อนหน้านี้3172985
แฟ้มข้อมูล
สำหรับรายการของแฟ้มที่มีอยู่ในโปรแกรมปรับปรุงนี้สะสม ดาวน์โหลดแฟ้มข้อมูลสำหรับการปรับปรุงสะสม 3176493
ข้อมูลอ้างอิง
เรียนรู้เกี่ยวกับ คำศัพท์เฉพาะทาง ที่ Microsoft ใช้เพื่ออธิบายการปรับปรุงซอฟต์แวร์