สำคัญ บทความนี้ประกอบด้วยข้อมูลที่แสดงวิธีการช่วยลดการตั้งค่าความปลอดภัยหรือวิธีการปิดคุณลักษณะความปลอดภัยบนคอมพิวเตอร์ คุณสามารถทำการเปลี่ยนแปลงเหล่านี้เพื่อหลีกเลี่ยงปัญหาเฉพาะ ก่อนที่คุณจะทำการเปลี่ยนแปลงเหล่านี้เราขอแนะนำให้คุณประเมินความเสี่ยงที่เกี่ยวข้องกับการใช้วิธีแก้ปัญหานี้ในสภาพแวดล้อมเฉพาะของคุณ ถ้าคุณใช้วิธีแก้ปัญหานี้ให้ทำตามขั้นตอนเพิ่มเติมที่เหมาะสมเพื่อช่วยป้องกันคอมพิวเตอร์
สรุป
การปรับปรุงการรักษาความปลอดภัยนี้รวมถึงการปรับปรุงและการแก้ไขปัญหาในการทำงานของ Windows 10 นอกจากนี้ยังช่วยแก้ไขช่องโหว่ต่อไปนี้ใน Windows:
-
๓๑๗๗๓๕๖MS16-095: การปรับปรุงการรักษาความปลอดภัยสำหรับ Internet Explorer: 9 สิงหาคม๒๐๑๖
-
๓๑๗๗๓๕๘MS16-096: การปรับปรุงการรักษาความปลอดภัยสำหรับ Microsoft Edge: 9 สิงหาคม๒๐๑๖
-
๓๑๗๗๓๙๓MS16-097: การปรับปรุงความปลอดภัยสำหรับคอมโพเนนต์กราฟิก Microsoft: 9 สิงหาคม๒๐๑๖
-
๓๑๗๘๔๖๖MS16-098: การปรับปรุงความปลอดภัยสำหรับโปรแกรมควบคุมโหมดเคอร์เนล: 9 สิงหาคม๒๐๑๖
-
๓๑๗๘๔๖๕MS16-101: การปรับปรุงความปลอดภัยสำหรับวิธีการรับรองความถูกต้องของ Windows: 9 สิงหาคม๒๐๑๖
-
๓๑๘๒๒๔๘MS16-102: การปรับปรุงความปลอดภัยสำหรับไลบรารี PDF Windows ของ Microsoft: 9 สิงหาคม๒๐๑๖
-
๓๑๘๒๓๓๒MS16-103: การปรับปรุงความปลอดภัยสำหรับ ActiveSyncProvider: 9 สิงหาคม๒๐๑๖
การปรับปรุง Windows 10 เป็นการสะสม แพคเกจนี้ประกอบด้วยการแก้ไขที่นำออกใช้ก่อนหน้านี้ทั้งหมด ถ้าคุณได้ติดตั้งการปรับปรุงก่อนหน้านี้เฉพาะการแก้ไขใหม่ที่มีอยู่ในแพคเกจนี้จะถูกดาวน์โหลดและติดตั้งบนคอมพิวเตอร์ของคุณ ถ้าคุณกำลังติดตั้งแพคเกจการปรับปรุง Windows 10 เป็นครั้งแรกแพคเกจสำหรับ x86 รุ่นคือ๓๖๖ MB และแพคเกจสำหรับ x64 รุ่นคือ๗๗๖ MB
ข้อมูลเพิ่มเติม
ปัญหาที่ทราบในการปรับปรุงการรักษาความปลอดภัยนี้
-
ปัญหาที่ทราบ 1 การปรับปรุงความปลอดภัยที่มีอยู่ในMS16-101และการปรับปรุงใหม่กว่าปิดใช้งานความสามารถในการเจรจากระบวนการที่จะตกลงกลับไปยัง NTLM เมื่อการรับรองความถูกต้อง Kerberos ล้มเหลวสำหรับการดำเนินการเปลี่ยนแปลงรหัสผ่านกับSTATUS_NO_LOGON_SERVERS (0xc000005e) รหัสข้อผิดพลาด ในสถานการณ์นี้คุณอาจได้รับหนึ่งในรหัสข้อผิดพลาดต่อไปนี้
เลข ฐาน สิบ หก
ทศนิยม
สัญลักษณ์
เป็น มิตร
0xc0000388
๑๐๗๓๗๔๐๙๒๐
STATUS_DOWNGRADE_DETECTED
ระบบตรวจพบการพยายามที่จะประนีประนอมความปลอดภัยได้ โปรดตรวจสอบให้แน่ใจว่าคุณสามารถติดต่อเซิร์ฟเวอร์ที่รับรองความถูกต้องของคุณ
0x4f1
๑๒๖๕
ERROR_DOWNGRADE_DETECTED
ระบบตรวจพบการพยายามที่จะประนีประนอมความปลอดภัยได้ โปรดตรวจสอบให้แน่ใจว่าคุณสามารถติดต่อเซิร์ฟเวอร์ที่รับรองความถูกต้องของคุณ
วิธีแก้ปัญหา ถ้าการเปลี่ยนแปลงรหัสผ่านที่ประสบความสำเร็จก่อนหน้านี้ล้มเหลวหลังจากการติดตั้ง MS16 101 มีแนวโน้มว่าการเปลี่ยนแปลงรหัสผ่านที่ถูกใช้ก่อนหน้านี้บน NTLM ย้อนกลับเนื่องจาก Kerberos ล้มเหลว เมื่อต้องการเปลี่ยนรหัสผ่านสำเร็จโดยใช้โพรโทคอล Kerberos ให้ทำตามขั้นตอนเหล่านี้:
-
กำหนดค่าการสื่อสารแบบเปิดบนพอร์ต TCP ๔๖๔ระหว่างไคลเอนต์ที่มี MS16 101 ติดตั้งและตัวควบคุมโดเมนที่ให้บริการรีเซ็ตรหัสผ่าน ตัวควบคุมโดเมนแบบอ่านอย่างเดียว (RODCs) สามารถบริการรีเซ็ตรหัสผ่านด้วยตนเองถ้าผู้ใช้ได้รับอนุญาตโดยนโยบายการจำลองแบบรหัสผ่าน RODCs ผู้ใช้ที่ไม่ได้รับอนุญาตโดยนโยบายรหัสผ่านใช้ต้องเชื่อมต่อเครือข่ายกับตัวควบคุมโดเมนอ่าน/เขียน (RWDC) ในโดเมนบัญชีผู้ใช้ ทราบ หากต้องการตรวจสอบว่าพอร์ต TCP ๔๖๔เปิดอยู่หรือไม่ให้ทำตามขั้นตอนเหล่านี้:
-
สร้างตัวกรองการแสดงผลที่เทียบเท่ากันสำหรับ parser ตัวตรวจสอบเครือข่ายของคุณ ตัวอย่างเช่น:
ipv4.address== <ip address of client> && tcp.port==464 -
ในผลลัพธ์ให้มองหาเฟรม "TCP: [SynReTransmit"
-
-
ตรวจสอบให้แน่ใจว่าชื่อ Kerberos เป้าหมายถูกต้อง (ที่อยู่ IP ไม่ถูกต้องสำหรับโพรโทคอล Kerberos Kerberos สนับสนุนชื่อย่อและชื่อโดเมนที่มีคุณสมบัติครบถ้วน)
-
ตรวจสอบให้แน่ใจว่าชื่อบริการหลัก (SPNs) มีการลงทะเบียนอย่างถูกต้อง สำหรับข้อมูลเพิ่มเติมโปรดดูที่การรีเซ็ตรหัสผ่าน Kerberos และบริการตนเอง
-
-
ปัญหาที่ทราบ 2 เราทราบเกี่ยวกับปัญหาที่การรีเซ็ตรหัสผ่านทางโปรแกรมของบัญชีผู้ใช้โดเมนล้มเหลวและส่งกลับรหัสข้อผิดพลาดSTATUS_DOWNGRADE_DETECTED (0x800704F1)ถ้าความล้มเหลวที่คาดไว้เป็นหนึ่งในต่อไปนี้:
-
ERROR_INVALID_PASSWORD
-
ERROR_PWD_TOO_SHORT (ไม่ค่อยส่งคืน)
-
STATUS_WRONG_PASSWORD
-
STATUS_PASSWORD_RESTRICTION
ตารางต่อไปนี้แสดงการแมปข้อผิดพลาดแบบเต็ม
เลข ฐาน สิบ หก
ทศนิยม
สัญลักษณ์
เป็น มิตร
0x56
๘๖
ERROR_INVALID_PASSWORD
รหัสผ่านเครือข่ายที่ระบุไม่ถูกต้อง
0x267
๖๑๕
ERROR_PWD_TOO_SHORT
รหัสผ่านที่ให้ไว้สั้นเกินไปที่จะเป็นไปตามนโยบายของบัญชีผู้ใช้ของคุณ กรุณาใส่รหัสผ่านอีกต่อไป
0xc000006a
-๑๐๗๓๗๔๑๗๑๘
STATUS_WRONG_PASSWORD
เมื่อคุณพยายามที่จะปรับปรุงรหัสผ่านสถานะการส่งคืนนี้บ่งชี้ว่าค่าที่ให้ไว้เป็นรหัสผ่านปัจจุบันไม่ถูกต้อง
0xc000006c
-๑๐๗๓๗๔๑๗๑๖
STATUS_PASSWORD_RESTRICTION
เมื่อคุณพยายามที่จะปรับปรุงรหัสผ่านสถานะการส่งคืนนี้บ่งชี้ว่ากฎการปรับปรุงรหัสผ่านบางอย่างถูกละเมิด ตัวอย่างเช่นรหัสผ่านอาจไม่ตรงตามเกณฑ์ความยาว
0x800704F1
๑๒๖๕
STATUS_DOWNGRADE_DETECTED
ระบบไม่สามารถติดต่อตัวควบคุมโดเมนเพื่อให้บริการการร้องขอการรับรองความถูกต้อง โปรดลองอีกครั้งในภายหลัง
0xc0000388
-๑๐๗๓๗๔๐๙๒๐
STATUS_DOWNGRADE_DETECTED
ระบบไม่สามารถติดต่อตัวควบคุมโดเมนเพื่อให้บริการการร้องขอการรับรองความถูกต้อง โปรดลองอีกครั้งในภายหลัง
ความละเอียดMS16-101ได้ถูกนำออกใช้ใหม่เพื่อแก้ไขปัญหานี้ ติดตั้งโปรแกรมปรับปรุงรุ่นล่าสุดสำหรับบูเลทีนรักษานี้เพื่อแก้ไขปัญหานี้
-
-
ปัญหาที่ทราบ 3 เราทราบเกี่ยวกับปัญหาที่การรีเซ็ตการเปลี่ยนรหัสผ่านของบัญชีผู้ใช้ท้องถิ่นอาจล้มเหลวและส่งกลับรหัสข้อผิดพลาดSTATUS_DOWNGRADE_DETECTED (0x800704F1) ตารางต่อไปนี้แสดงการแมปข้อผิดพลาดแบบเต็ม
เลข ฐาน สิบ หก
ทศนิยม
สัญลักษณ์
เป็น มิตร
0x4f1
๑๒๖๕
ERROR_DOWNGRADE_DETECTED
ระบบไม่สามารถติดต่อตัวควบคุมโดเมนเพื่อให้บริการการร้องขอการรับรองความถูกต้อง โปรดลองอีกครั้งในภายหลัง
ความละเอียดMS16-101ได้ถูกนำออกใช้ใหม่เพื่อแก้ไขปัญหานี้ ติดตั้งโปรแกรมปรับปรุงรุ่นล่าสุดสำหรับบูเลทีนรักษานี้เพื่อแก้ไขปัญหานี้
-
ปัญหาที่ทราบ 4 รหัสผ่านสำหรับบัญชีผู้ใช้ที่ถูกปิดใช้งานและถูกล็อกไม่สามารถเปลี่ยนแปลงได้โดยใช้แพคเกจการเจรจา การเปลี่ยนแปลงรหัสผ่านสำหรับบัญชีที่ถูกปิดและถูกล็อกจะยังคงทำงานเมื่อใช้วิธีการอื่นๆเช่นเมื่อใช้การดำเนินการปรับเปลี่ยน LDAP โดยตรง ตัวอย่างเช่น cmdlet PowerShellตั้งค่ารหัสผ่านใช้การดำเนินการ "LDAP ปรับเปลี่ยน" เพื่อเปลี่ยนรหัสผ่านและยังคงไม่ได้รับผลกระทบ วิธีแก้ปัญหา บัญชีเหล่านี้ต้องการให้ผู้ดูแลระบบทำการรีเซ็ตรหัสผ่าน ลักษณะการทำงานนี้เกิดจากการออกแบบหลังจากที่คุณติดตั้ง MS16 101 และการแก้ไขรุ่นที่ใหม่กว่า
-
ปัญหาที่ทราบ 5 โปรแกรมประยุกต์ที่ใช้เน็ต Netuserchangepasswordและที่ผ่าน servername ในพารามิเตอร์domainnameจะไม่ทำงานหลังจากที่มีการติดตั้งการปรับปรุง MS16-101 และรุ่นที่ใหม่กว่า เอกสารคู่มือ Microsoft ระบุว่าให้ชื่อเซิร์ฟเวอร์ระยะไกลในพารามิเตอร์domainnameของฟังก์ชันNetuserchangepasswordได้รับการสนับสนุน ตัวอย่างเช่นการNetuserchangepassword ฟังก์ชันMSDN หัวข้อระบุต่อไปนี้: domainname [ใน]
ตัวชี้ไปยังสายอักขระคงที่ที่ระบุชื่อ DNS หรือ NetBIOS ของเซิร์ฟเวอร์ระยะไกลหรือโดเมนที่ฟังก์ชันจะดำเนินการ ถ้าพารามิเตอร์นี้เป็น NULL โดเมนการเข้าสู่ระบบของผู้เรียกถูกใช้อย่างไรก็ตามคำแนะนำนี้ได้ถูกแทนที่ด้วย MS16 101 ยกเว้นการรีเซ็ตรหัสผ่านสำหรับบัญชีภายในเครื่องบนคอมพิวเตอร์เฉพาะที่ โพสต์ MS16 101 เพื่อให้มีการเปลี่ยนแปลงรหัสผ่านของผู้ใช้โดเมนในการทำงานคุณต้องผ่านชื่อโดเมน DNS ที่ถูกต้องไปยัง Netassword API
-
ปัญหาที่ทราบ 6 หลังจากที่คุณใช้การปรับปรุงการรักษาความปลอดภัยนี้และจากนั้นคุณพิมพ์เอกสารหลายในแบบติดๆกันสองเอกสารแรกอาจพิมพ์ได้สำเร็จแต่เอกสารที่สามและที่ตามมาอาจจะไม่พิมพ์ หากต้องการแก้ไขปัญหานี้ให้เลือกทำอย่างหนึ่งต่อไปนี้:
-
ติดตั้งการปรับปรุง๓๑๘๗๐๒๒ สำหรับข้อมูลเพิ่มเติมให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
๓๑๘๗๐๒๒การทำงานของการพิมพ์จะเสียหลังจากที่มีการติดตั้งโปรแกรมปรับปรุงความปลอดภัย MS16 098 ใดๆ
-
ติดตั้งการปรับปรุง๓๑๘๖๙๘๗จากเว็บไซต์ของแค็ตตาล็อกปรับปรุงของ Microsoft
ปัญหานี้ยังได้รับการแก้ไขในกระดานข่าวความปลอดภัยของ MICROSOFT MS16-106
-
-
ปัญหาที่ทราบ 7 หลังจากที่คุณติดตั้งโปรแกรมปรับปรุงด้านความปลอดภัยที่อธิบายไว้ในMS16-101, ระยะไกล, การเปลี่ยนแปลงทางโปรแกรมของรหัสผ่านบัญชีผู้ใช้ท้องถิ่นและการเปลี่ยนแปลงรหัสผ่านในฟอเรสต์ไม่น่าเชื่อถือล้มเหลว การดำเนินการนี้ล้มเหลวเนื่องจากการดำเนินการอยู่บน NTLM ล้ม-กลับซึ่งไม่ได้รับการสนับสนุนสำหรับบัญชีไม่ได้หลังจาก MS16 101 มีการติดตั้ง รายการรีจิสทรีมีไว้ซึ่งคุณสามารถใช้เพื่อปิดใช้งานการเปลี่ยนแปลงนี้ได้ คำเตือนวิธีแก้ปัญหานี้อาจทำให้คอมพิวเตอร์หรือเครือข่ายเสี่ยงต่อการโจมตีโดยผู้ใช้ที่ไม่ประสงค์ร้ายหรือซอฟต์แวร์ที่เป็นอันตรายเช่นไวรัส เราไม่แนะนำให้แก้ปัญหานี้แต่จะให้ข้อมูลนี้เพื่อให้คุณสามารถใช้วิธีแก้ปัญหานี้ตามดุลยพินิจของคุณเอง ใช้วิธีแก้ปัญหานี้ด้วยความเสี่ยงของคุณเอง สิ่งสำคัญส่วนวิธีการหรืองานนี้ประกอบด้วยขั้นตอนที่บอกให้คุณทราบวิธีการปรับเปลี่ยนรีจิสทรี อย่างไรก็ตามปัญหาร้ายแรงอาจเกิดขึ้นถ้าคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง ดังนั้นโปรดตรวจสอบให้แน่ใจว่าคุณทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการป้องกันเพิ่มเติมให้สำรองรีจิสทรีก่อนที่จะปรับเปลี่ยน จากนั้นคุณสามารถคืนค่ารีจิสทรีถ้าเกิดปัญหา สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรองและคืนค่ารีจิสทรีให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
๓๒๒๗๕๖ วิธีการสำรองข้อมูลและคืนค่ารีจิสทรีใน Windowsหากต้องการปิดใช้งานการเปลี่ยนแปลงนี้ให้ตั้งค่ารายการNegoAllowNtlmPwdChangeFallback DWORD เพื่อใช้ค่า 1 (หนึ่ง) สำคัญ การตั้งค่ารายการรีจิสทรีNegoAllowNtlmPwdChangeFallbackเป็นค่า1จะปิดใช้งานการแก้ไขความปลอดภัยนี้:
ค่ารีจิสทรี
คำอธิบาย
0
ค่าเริ่มต้น ไม่สามารถทำการย้อนกลับได้
1
การย้อนกลับได้รับอนุญาตเสมอ การแก้ไขความปลอดภัยถูกปิดใช้งาน ลูกค้าที่มีปัญหาเกี่ยวกับบัญชีภายในเครื่องระยะไกลหรือสถานการณ์ป่าไม่น่าเชื่อถือสามารถตั้งค่ารีจิสทรีเป็นค่านี้
การเพิ่มค่ารีจิสทรีเหล่านี้ให้ทำตามขั้นตอนเหล่านี้:
-
คลิก เริ่ม คลิก เรียกใช้ พิมพ์ regedit ในกล่อง เปิด จากนั้นคลิก ตกลง
-
ค้นหาและคลิกคีย์ย่อยต่อไปนี้ในรีจิสทรี:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
-
บนเมนูแก้ไขชี้ไปที่สร้างแล้วคลิกค่า DWORD
-
พิมพ์NegoAllowNtlmPwdChangeFallbackสำหรับชื่อของ DWORD และจากนั้นกด ENTER
-
คลิกขวาที่NegoAllowNtlmPwdChangeFallbackและจากนั้นคลิกปรับเปลี่ยน
-
ในกล่องvalue dataพิมพ์1เพื่อปิดใช้งานการเปลี่ยนแปลงนี้และจากนั้นคลิกตกลงทราบ ถ้าต้องการคืนค่าเริ่มต้นให้พิมพ์ 0 (ศูนย์) แล้วคลิกตกลง
สถานะ สาเหตุรากของปัญหานี้เป็นที่เข้าใจ บทความนี้จะถูกปรับปรุงด้วยรายละเอียดเพิ่มเติมเมื่อพร้อมใช้งาน
-
วิธีการรับการปรับปรุงนี้
สำคัญ ถ้าคุณติดตั้งชุดภาษาหลังจากที่คุณติดตั้งโปรแกรมปรับปรุงนี้คุณต้องติดตั้งโปรแกรมปรับปรุงนี้ ดังนั้นเราขอแนะนำให้คุณติดตั้งชุดภาษาใดๆที่คุณต้องการก่อนที่คุณติดตั้งโปรแกรมปรับปรุงนี้ สำหรับข้อมูลเพิ่มเติมให้ดูเพิ่มชุดภาษาลงใน Windows
วิธีที่ 1: Windows Update
โปรแกรมปรับปรุงนี้จะถูกดาวน์โหลดและติดตั้งโดยอัตโนมัติ
วิธีที่ 2: แค็ตตาล็อกปรับปรุงของ Microsoft
เพื่อให้ได้แพคเกจแบบสแตนด์อโลนสำหรับการปรับปรุงนี้ไปที่เว็บไซต์ของMicrosoft Update แค็ตตาล็อก
ข้อกำหนดเบื้องต้น
ไม่มีข้อกำหนดเบื้องต้นสำหรับการติดตั้งโปรแกรมปรับปรุงนี้ได้
เริ่มข้อมูลใหม่
คุณต้องรีสตาร์ทคอมพิวเตอร์หลังจากใช้การปรับปรุงนี้
ข้อมูลการทดแทนโปรแกรมอัปเดต
โปรแกรมปรับปรุงนี้แทนการปรับปรุงที่ออกมาก่อนหน้านี้๓๑๖๓๙๑๒
ข้อมูลแฟ้ม
สำหรับรายการของแฟ้มที่มีอยู่ในการปรับปรุงนี้สะสมดาวน์โหลดแฟ้มข้อมูลสำหรับการปรับปรุงสะสม๓๑๗๖๔๙๒
อ้างอิง
เรียนรู้เกี่ยวกับคำศัพท์เฉพาะทางที่ Microsoft ใช้เพื่ออธิบายปรับปรุงซอฟต์แวร์