ข้อสังเกต
การปรับปรุงการรักษาความปลอดภัยนี้ถูกออกใช้อีก 12 กันยายน 2017 การปัญหาในการปรับปรุง3170455สำหรับCVE 2016 3238ที่ทราบที่อยู่
Microsoft ได้ทำให้พร้อมใช้งานต่อไปนี้ในการปรับปรุงสำหรับ Microsoft Windows รุ่นที่สนับสนุนในปัจจุบันไป สำหรับข้อมูลเพิ่มเติม ไปที่บทความในฐานความรู้ของ Microsoft ต่อไปนี้:
-
3170455การปรับปรุงซอฟต์แวร์ใหม่สำหรับ Windows Server 2008
-
ค่าสะสมรายเดือน4038777และความปลอดภัย4038779ที่ปรับปรุงสำหรับ Windows 7 และ Windows Server 2008 R2
-
ค่าสะสมรายเดือน4038799และความปลอดภัย4038786ที่ปรับปรุงสำหรับ Windows Server 2012
-
ค่าสะสมรายเดือน4038792และความปลอดภัย4038793ที่ปรับปรุงสำหรับ Windows 8.1 และ R2 Windows Server 2012
-
4038781การปรับปรุงสำหรับ Windows 10
-
การปรับปรุง4038781สำหรับ 1511 รุ่น 10 ของ Windows
-
Cumulative อัพเด4038782สำหรับ 1607 รุ่น 10 Windows และ Windows Server 2016
Microsoft ขอแนะนำที่ลูกค้าที่กำลังเรียกใช้ Windows Server 2008 ติดตั้งอัพเด3170455 Microsoft ขอแนะนำให้ ลูกค้าที่กำลังเรียกใช้ Windows รุ่นอื่นได้รับการสนับสนุนให้ติดตั้งการปรับปรุงที่เหมาะสม สำหรับข้อมูลเพิ่มเติม ไปที่บทความฐานความรู้ของ Microsoft 3170455
การเปลี่ยนแปลงอื่น ๆ ที่รวมอยู่ในการ MS16 087 ใหม่ปล่อย
-
เพิ่มเหตุการณ์การเข้าสู่ระบบเพื่อช่วยหาสาเหตุของข้อผิดพลาดการติดตั้งโปรแกรมควบคุมเครื่องพิมพ์
ก่อนหน้านี้ วิธีเดียวสำหรับลูกค้าเมื่อต้องการทราบว่าเหตุใดโปรแกรมควบคุมล้มเหลวตรวจสอบข้อจำกัดใหม่ซึ่งที่นำมาใช้เป็นส่วนหนึ่งของ MS16 087 ถูกรวบรวมแฟ้มบันทึก etw พิมพ์ แล้วส่งไปยัง Microsoft สำหรับการวิเคราะห์
เราได้เพิ่มฟังก์ชันการทำงานเข้าสู่สาเหตุของความล้มเหลวของตัวทำแฟ้มบันทึกเหตุการณ์เพื่อให้ลูกค้าสามารถตรวจสอบสาเหตุรากของความล้มเหลวของโปรแกรมควบคุมด้วยตนเอง
ข้อมูลที่จะต้องเข้าสู่ระบบ:
1. ถ้าโปรแกรมควบคุมไม่ทราบแพคเกจ หรือมีการเซ็นชื่อที่ไม่ถูกต้อง มีบันทึกข้อความต่อไปนี้:
MSG_CSRSPL_UNTRUSTED_DRIVER: "ตัวจัดคิวงานพิมพ์ที่ไม่สามารถดาวน์โหลดแพคเกจโปรแกรมควบคุม <driverName> รหัสข้อผิดพลาด = <errorCodeFromListBelow> บล็อกโปรแกรมควบคุมที่มีอาจจะเป็นไปได้ของการแทรกแซงที่เป็นไปได้"
2. ถ้าโปรแกรมควบคุมล้มเหลวการตรวจสอบลายเซ็น โดยใช้แค็ตตาล็อกที่ระบุ มีบันทึกข้อความต่อไปนี้:
VALIDATEDRVINFO_FAILED : "ใน VALIDATINGDRVINFO ไดรเวอร์เครื่องพิมพ์เพิ่ม <driverName> ล้มเหลว รหัสข้อผิดพลาด <errorCodeFromListBelow>
รหัสข้อผิดพลาดที่เป็นไปได้:
|
รหัส |
ความหมาย |
|
0x800F0243L |
ผู้เผยแพร่ที่ไม่น่าเชื่อถือ |
|
0x800F024BL |
แฮไม่ได้อยู่ในแค็ตตาล็อก |
|
0x800F022FL |
ไม่มีแค็ตตาล็อกสำหรับ OEM INF |
|
0x800F023FL |
ไม่มีแค็ตตาล็อก authenticode |
|
0x800F0240L |
ไม่ได้รับอนุญาตของ Authenticode |
|
0x800F0249L |
ทั่วไป "ติดตั้งโปรแกรมควบคุมถูกบล็อก" |
สรุป
การปรับปรุงการรักษาความปลอดภัยนี้แก้ไขช่องโหว่ใน Microsoft Windows ความรุนแรงมากขึ้นของช่องโหว่ที่อาจทำให้โค้ดจากระยะไกลถ้าผู้จู่โจมสามารถดำเนินการโจมตี (MiTM) ผู้ชายในตัวตรงกลางบนเวิร์กสเตชัน หรือเซิร์ฟเวอร์ของเครื่องพิมพ์ หรือติดตั้งสมบูรณ์เซิร์ฟเวอร์ของเครื่องพิมพ์บนเครือข่ายเป้าหมาย
เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่ที่ ดูMicrosoft Security บูเลทีนรักษา MS16-087
ข้อมูลเพิ่มเติม
สิ่งสำคัญ
-
หลังจากที่คุณติดตั้งโปรแกรมปรับปรุงความปลอดภัยนี้ เพื่อที่จะปรับใช้จุด และโปรแกรมควบคุมการพิมพ์จากเซิร์ฟเวอร์ไปยังไคลเอ็นต์ที่มีพิมพ์ คุณต้องใช้ Windows update rollup ดังต่อไปนี้บนเซิร์ฟเวอร์เครื่องพิมพ์ Windows 8.1 หรือ R2 Windows Server 2012:
3000850 2014 พฤศจิกายนปรับปรุงสะสมสำหรับ Windows RT 8.1, Windows 8.1 และ Windows Server 2012 R2 ของ
-
การปรับปรุงที่เกี่ยวกับความปลอดภัยและที่ไม่เกี่ยวกับความปลอดภัยทั้งหมดในอนาคตสำหรับ Windows RT 8.1, Windows 8.1 และ Windows Server 2012 R2 ต้องการการติดตั้งการปรับปรุง 2919355 เราขอแนะนำให้คุณติดตั้งการปรับปรุง 2919355 บน Windows ที่ใช้งาน RT 8.1, Windows 8.1 หรือที่ใช้ Windows Server 2012 R2 เพื่อให้คุณได้รับการปรับปรุงในอนาคต
-
ถ้าคุณติดตั้งชุดภาษาหลังจากที่คุณติดตั้งโปรแกรมปรับปรุงนี้ คุณต้องติดตั้งโปรแกรมปรับปรุงนี้อีกครั้ง ดังนั้น เราขอแนะนำให้คุณติดตั้งชุดภาษาใด ๆ ที่คุณต้องการก่อนที่คุณจะติดตั้งโปรแกรมปรับปรุงนี้ สำหรับข้อมูลเพิ่มเติม ดูชุดภาษาเพิ่มลงใน Windows
ข้อมูลเพิ่มเติมเกี่ยวกับการปรับปรุงการรักษาความปลอดภัยนี้
บทความต่อไปนี้ประกอบด้วยข้อมูลเพิ่มเติมเกี่ยวกับการปรับปรุงการรักษาความปลอดภัยนี้เท่านั้นที่เกี่ยวข้องกับผลิตภัณฑ์แต่ละรุ่น บทความนี้อาจประกอบด้วยสาเหตุที่ทราบข้อมูล
-
3170455 MS16-087: คำอธิบายของการปรับปรุงความปลอดภัยสำหรับคอมโพเนนต์ตัวจัดคิวงานพิมพ์ของ Windows: 12 กรกฎาคม 2559
-
3163912การปรับปรุงสะสมสำหรับ Windows 10:12 กรกฎาคม 2016
-
3172985การปรับปรุงสะสมสำหรับ 1511 รุ่น 10 Windows และ Windows Server 2016 ทางเทคนิคอย่าง 4:12 กรกฎาคม 2016
ปัญหาที่ทราบ
ถ้าคุณกำลังใช้การพิมพ์บนเครือข่ายในสภาพแวดล้อมของคุณ คุณอาจพบปัญหาต่อไปนี้อย่างใดอย่างหนึ่ง:
-
คุณอาจได้รับพร้อมท์ ด้วยคำเตือนเกี่ยวกับการติดตั้งไดรเวอร์เครื่องพิมพ์ หรือโปรแกรมควบคุมอาจล้มเหลวในการติดตั้งได้โดยไม่ต้องแจ้งให้ทราบหลังจากที่คุณใช้ MS16 087 อาการที่นี่ขึ้นอยู่กับสถานการณ์สมมติเฉพาะเจาะจง
สถานการณ์สมมติที่ 1สำหรับโปรแกรมควบคุมเครื่องพิมพ์ที่ไม่ใช่แพคเกจทราบ v3 ข้อความเตือนต่อไปนี้อาจปรากฏเมื่อผู้ใช้พยายามเชื่อมต่อกับเครื่องพิมพ์จุด และพิมพ์:
สถานการณ์สมมติ 2โปรแกรมควบคุมแพคเกจทราบต้องถูกเซ็นชื่อ ด้วยใบรับรองที่เชื่อถือได้ กระบวนการตรวจสอบตรวจสอบว่า แฟ้มทั้งหมดที่รวมอยู่ในโปรแกรมควบคุมกำลัง hashed ในแค็ตตาล็อก ถ้าการตรวจสอบที่ล้มเหลว ไดรเวอร์เป็นตัวเลขที่เห็นไม่เชื่อถือ ในสถานการณ์นี้ ติดตั้งโปรแกรมควบคุมนี้ถูกบล็อค และมีแสดงข้อความเตือนต่อไปนี้:
สถานการณ์สมมติ 3สำหรับสถานการณ์สมมติที่ไม่ใช่แบบโต้ตอบ (ตัวอย่างเช่น เครื่องพิมพ์ถูกติดตั้งโดยใช้สคริปต์การอัตโนมัติ), เมื่อโปรแกรมควบคุมเครื่องพิมพ์ที่ตรงกับเงื่อนไขที่ได้อธิบายไว้ในสถานการณ์สมมติ 1 หรือ 2 สถานการณ์จำลอง ติดตั้งเครื่องพิมพ์ล้มเหลว และไม่มีข้อความแจ้งเตือนจะแสดงขึ้น
ในสถานการณ์เหล่านี้ ให้ติดต่อผู้ดูแลระบบเครือข่ายของคุณเพื่อขอรับโปรแกรมควบคุมที่ปรับปรุงแล้วจากผู้ผลิตเครื่องพิมพ์
คำแนะนำสำหรับผู้ดูแลระบบเครือข่าย:-
ปรับปรุงโปรแกรมควบคุมเครื่องพิมพ์ที่ได้รับผลกระทบ โปรแกรมควบคุมเครื่องพิมพ์ V3 แพคเกจทราบถูกนำมาใช้ใน Windows Vista การติดตั้งไดรเวอร์เครื่องพิมพ์แพคเกจทราบจะสามารถแก้ปัญหานี้
-
ถ้าไม่มีโปรแกรมควบคุมเครื่องพิมพ์ที่เหมาะสมพร้อมใช้งานเครื่องพิมพ์เฉพาะที่สืบทอดมา preinstalling โปรแกรมควบคุมเครื่องพิมพ์ที่ส่วนบนระบบไคลเอ็นต์จะสามารถแก้ปัญหานี้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับสถานการณ์เหล่านี้ ดูทรัพยากรดังต่อไปนี้ของ Microsoft:
-
-
หลังจากคุณใช้ปรับปรุงการรักษาความปลอดภัย MS16-087 (KB 3170455) และลองเชื่อมต่อกับเครื่องพิมพ์ตระหนักถึงแพคเกจที่ติดตั้งบนระบบที่กำลังเรียกใช้ Windows 8.1 หรือ R2 Windows Server 2012 เชื่อถือได้ คุณไม่สามารถเชื่อมต่อไปยังเครื่องพิมพ์
เมื่อต้องการแก้ไขปัญหานี้ ใช้ Windows update rollup ดังต่อไปนี้บนเซิร์ฟเวอร์เครื่องพิมพ์ Windows 8.1 หรือ R2 Windows Server 2012:3000850 2014 พฤศจิกายนปรับปรุงสะสมสำหรับ Windows RT 8.1, Windows 8.1 และ Windows Server 2012 R2 ของ
ปรับปรุง 2016 oct: การลดปัญหาสำหรับปัญหาที่ทราบ
Microsoft ได้ออกการปรับปรุงสำหรับ 2016 ตุลาคมที่ปลอดภัยช่วยให้ผู้ดูแลระบบเครือข่ายกำหนดนโยบายที่อนุญาตให้มีการติดตั้งโปรแกรมควบคุมการพิมพ์ที่จะพิจารณา โปรแกรมปรับปรุงนี้ยังอนุญาตให้สำหรับผู้ดูแลระบบเครือข่ายเพื่อปรับใช้การเชื่อมต่อเครื่องพิมพ์ว่า จะพิจารณาเซฟ
โปรแกรมปรับปรุงมีอยู่ในแพคเกจสะสมต่อไปนี้
|
Windows 10 rtm |
|
|
Windows 10 1511 |
|
|
Windows 10 1607 |
|
|
Windows 7 และ Windows Server 2008 R2 |
|
|
Windows Server 2012 |
|
|
Windows 8.1 และ Windows Server 2012 R2 |
ตั้งค่า Group Policy เพื่อเพิ่มเซิร์ฟเวอร์ของเครื่องพิมพ์เมื่อต้องการอนุญาตให้ใช้รายการ
-
คลิก เริ่ม แล้วคลิก เรียกใช้
-
พิมพ์gpedit.mscและจากนั้น คลิกตกลง
-
ขยายการกำหนดค่าคอมพิวเตอร์และจากนั้น ขยายแม่แบบการดูแล
-
คลิกเครื่องพิมพ์
-
คลิกสองครั้งจุดและข้อจำกัดในการพิมพ์และจากนั้น เลือกตัวเลือกการเปิดใช้งาน
-
ภายใต้ตัวเลือกเลือกเฉพาะจุดของผู้ใช้สามารถพิมพ์ไปยังเซิร์ฟเวอร์เหล่านี้กล่องกาเครื่องหมาย และจากนั้น พิมพ์ชื่อเซิร์ฟเวอร์ที่ครบถ้วนในกล่องข้อความ คั่น ด้วยอัฒภาค
-
ภายใต้เตือนความปลอดภัยเลือกไม่ต้องแสดงหน้าจอพร้อมรับคำเตือนหรือการยกระดับสิทธิ์ในรายการทั้งเมื่อติดตั้งโปรแกรมควบคุมสำหรับการเชื่อมต่อใหม่และเมื่อมีการปรับปรุงโปรแกรมควบคุมสำหรับการเชื่อมต่อที่มีอยู่
-
คลิกใช้และตกลง
-
ในหน้านโยบายเครื่องพิมพ์คลิกสองครั้งที่แพคเกจจุดและพิมพ์ – อนุมัติเซิร์ฟเวอร์
-
เลือกตัวเลือกการเปิดใช้งาน
-
ภายใต้ตัวเลือกคลิกแสดง
-
พิมพ์ชื่อเต็มของเซิร์ฟเวอร์หนึ่งในแต่ละแถว
-
คลิก ตกลง
-
คลิก นำไปใช้ แล้วคลิก ตกลง
-
ถ้าคุณกำลังใช้ไคลเอนต์แบบสแตนด์อโลน รีสตาร์ทไคลเอนต์ และจากนั้น ตรวจสอบว่า นโยบายเหล่านี้มีผล
-
ถ้าคุณใช้นโยบายโดเมน ดันนโยบายไปยังไคลเอนต์ในโดเมน และจากนั้น ตรวจสอบว่า นโยบายเหล่านี้มีผล
หมายเหตุ หลังจากที่คุณเปิดใช้งานนโยบายกลุ่มเหล่านี้ คุณจำเป็นต้องเพิ่มเซิร์ฟเวอร์ของเครื่องพิมพ์ทั้งหมดทั้งรายการจุดและข้อจำกัดในการพิมพ์และรายการแพคเกจจุดและพิมพ์ – เซิร์ฟเวอร์อนุมัติแล้ว นี้เป็นจริงโดยไม่คำนึงถึงการรับรู้ของแพคเกจ
คำถามที่ถามบ่อยเกี่ยวกับการปรับปรุง 2016 oct
-
ถาม:ควรเราถอนการติดตั้งการปรับปรุงก่อนหน้านี้หรือไม่
A:หมายเลข การปรับปรุงก่อนหน้านี้แก้ไขช่องโหว่ที่ การปรับปรุงเดือน 2016 ตุลาคมให้ลดเพื่อให้ผู้ดูแลระบบเครือข่ายสามารถติดตั้งโปรแกรมควบคุมที่จะพิจารณาให้ปลอดภัย -
ถาม:คู่กับการปรับปรุงเดือน 2016 ตุลาคมติดตั้ง และกำหนดค่านโยบายกลุ่ม ข้อความ "คุณเชื่อถือเครื่องพิมพ์นี้" จะยังคงแสดงเมื่อฉันพยายามที่จะติดตั้งเครื่องพิมพ์ท้องถิ่น เหตุใดจึงเป็นเช่นนั้น
A:นี้ลดเป้าหมายเครื่องพิมพ์เครือข่ายและเครื่องพิมพ์ท้องถิ่นไม่ เพื่อคาดว่าลักษณะการทำงานนี้
หมายเหตุ ถ้าคุณได้รับข้อความ "คุณเชื่อถือเครื่องพิมพ์นี้" การแทนโปรแกรมควบคุมปัจจุบันของคุณ โดยใช้โปรแกรมควบคุมแพคเกจทราบที่เชื่อถือได้ หรือติดตั้งแฟ้มโปรแกรมควบคุมเก็บโปรแกรมควบคุมบนเครื่องก่อนที่คุณติดตั้งเครื่องพิมพ์ท้องถิ่น สำหรับข้อมูลเพิ่มเติม ให้ดูคำแนะนำสำหรับผู้ดูแลระบบเครือข่ายส่วนตัว
วิธีการขอรับและติดตั้งการปรับปรุง
วิธีที่ 1: การปรับปรุง Windows
โปรแกรมปรับปรุงนี้จะพร้อมใช้งานผ่านทาง Windows Update เมื่อคุณเปิดการปรับปรุงอัตโนมัติ การปรับปรุงนี้จะสามารถดาวน์โหลด และติดตั้งโดยอัตโนมัติ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการเปิดการปรับปรุงอัตโนมัติ ได้รับการปรับปรุงการรักษาความปลอดภัยโดยอัตโนมัติ
หมายเหตุ สำหรับ Windows RT 8.1 โปรแกรมปรับปรุงนี้จะพร้อมใช้งานผ่านทาง Windows Update เท่านั้น
วิธีที่ 2: ศูนย์ดาวน์โหลดของ Microsoft
คุณสามารถขอรับแพคเกจโปรแกรมปรับปรุงแบบสแตนด์อโลนผ่านทางศูนย์ดาวน์โหลด Microsoft ทำตามคำแนะนำการติดตั้งบนเพจการดาวน์โหลดเพื่อติดตั้งการปรับปรุง
คลิกดาวน์โหลดการเชื่อมโยงในMicrosoft Security บูเลทีนรักษา MS16-087ที่สอดคล้องกับรุ่นของ Windows ที่คุณกำลังทำงานอยู่
ข้อมูลเพิ่มเติม
ข้อมูลการปรับใช้การปรับปรุงความปลอดภัย
Windows Vista (ทุกรุ่น)
Reference table
ตารางต่อไปนี้ประกอบด้วยข้อมูลการปรับปรุงความปลอดภัยสำหรับซอฟต์แวร์นี้
|
ชื่อแฟ้มของโปรแกรมปรับปรุงด้านความปลอดภัย |
สำหรับทั้งหมดได้รับการสนับสนุน Windows Vista รุ่น 32 บิต: |