MS16-101: Windows kimlik doğrulama yöntemleri güvenlik güncelleştirmesinin açıklaması: 9 Ağustos 2016

Özet

Bu güvenlik güncelleştirmesi Microsoft Windows 'ta birden çok güvenlik açığını giderir. Bir saldırgan, etki alanına bağlı bir sistemde özel hazırlanmış bir uygulamayı çalıştırırsa güvenlik açıkları ayrıcalık yükselmesine izin verebilir.

Güvenlik açığı hakkında daha fazla bilgi edinmek için bkz: Microsoft Güvenlik BÜLTENI MS16-101.

Ek Bilgi

Önemli

• Windows 8,1 ve Windows Server 2012 R2'nin tüm gelecekteki güvenlik ve güvenlik dışı güncelleştirmeleri güncelleştirme 2919355 'in yüklenmesini gerektirir. Gelecekteki güncellemeleri alabilmek için Windows 8,1 tabanlı veya Windows Server 2012 R2 tabanlı bilgisayarınıza 2919355 güncelleştirmesini yüklemenizi öneririz.

• Bu güncelleştirmeyi yükledikten sonra bir dil paketi yüklerseniz, bu güncelleştirmeyi yeniden yüklemelisiniz. Bu nedenle, bu güncelleştirmeyi yüklemeden önce ihtiyacınız olan dil paketlerini yüklemenizi öneririz. Daha fazla bilgi için bkz .
  

Bu güvenlik güncelleştirmesinde bilinen sorunlar

• Bilinen sorun 1
  
  MS16-101 ve daha yeni güncelleştirmelerde sağlanan güvenlik güncelleştirmeleri, STATUS_NO_LOGON_SERVERS (0xC000005E) hata kodlu parola değiştirme işlemlerinde Kerberos kimlik doğrulaması başarısız olduğunda, Negotiate işleminin NTLM 'ye dönmesine olanak tanır. Bu durumda, aşağıdaki hata kodlarından birini alabilirsiniz.
  
  

  Onaltılı	Ondalık	Simgesel	Ça
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Sistem olası güvenliği tehlikeye atabilir. Size kimlik doğrulaması yapan sunucuya erişebildiğinizden emin olun.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistem olası güvenliği tehlikeye atabilir. Size kimlik doğrulaması yapan sunucuya erişebildiğinizden emin olun.

  
  
  Geçici çözüm
  
  MS16-101 yüklemesinden sonra başarısız olan parola değişiklikleri durumunda, Kerberos başarısız olduğundan parola değişiklikleri daha önce NTLM geri yüklemesine bağlı olabilir. Kerberos protokollerini kullanarak parolaları başarıyla değiştirmek için şu adımları izleyin:
  
  
  

  1. MS16-101 yüklü ve parola sıfırlamaları olan etki alanı denetleyicisi olan istemciler arasındaki TCP bağlantı noktası 464 açık iletişimini yapılandırın.
     
     Salt okunur etki alanı denetleyicileri (RODC), Kullanıcı RODC Parola Çoğaltma İlkesi tarafından izin verildiğinde Self Servis Parola sıfırlamalarında hizmet verebilir. RODC Parola ilkesi tarafından izin verilmeyen kullanıcılar, Kullanıcı hesabı etki alanındaki bir okuma/yazma etki alanı denetleyicisine (RWDC) ağ bağlantısı gerektirir.
     
     Not TCP bağlantı noktası 464 'in açık olup olmadığını denetlemek Için şu adımları izleyin:
     
     
     

     1. Ağ İzleyicisi ayrıştırıcısı için eşdeğer bir görüntü filtresi oluşturun. Örneğin:
        

        IPv4. Address = = <istemci> && TCP. BağlantıNoktası = =

     2. Sonuçlarda, "TCP: [Synyeniden aktarım" çerçevesini arayın.
        
        

  2. Hedef Kerberos adlarının geçerli olduğundan emin olun. (IP adresleri Kerberos protokolü için geçerli değildir. Kerberos, kısa adları ve tam etki alanı adlarını destekler.)

  3. Hizmet sorumlusu adlarının (SPN) doğru kaydedildiğinden emin olun.
     
     Daha fazla bilgi için bkz: Kerberos ve Self-Service parola sıfırlama.

• Bilinen sorun 2
  
  etki alanı kullanıcı hesaplarının programlı parola sıfırlamalarıyla ilgili sorun hakkında bilgi, beklenen başarısızlık aşağıdakilerden biri nedeniyle STATUS_DOWNGRADE_DETECTED (0x800704F1) hata kodunu verir:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (nadiren)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  Aşağıdaki tabloda tam hata eşleştirmesi gösterilmektedir.
  
  

  Onaltılı	Ondalık	Simgesel	Ça
  0x56	86	ERROR_INVALID_PASSWORD	Belirtilen ağ parolası doğru değil.
  0x267	615	ERROR_PWD_TOO_SHORT	Sağlanan parola, Kullanıcı hesabınızın ilkesine uymayacak kadar kısa. Lütfen daha uzun bir parola sağlayın.
  0xC000006A	-1073741718	STATUS_WRONG_PASSWORD	Bir parolayı güncelleştirmeye çalıştığınızda, bu dönüş durumu geçerli parola olarak sağlanan değerin yanlış olduğunu gösterir.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Bir parolayı güncelleştirmeye çalıştığınızda, bu dönüş durumu, parola güncelleştirme kuralının ihlal edildiğini gösterir. Örneğin, parola uzunluk ölçütüne uymayabilir.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Sistem, kimlik doğrulama isteğine hizmet vermek için bir etki alanı denetleyicisiyle iletişim kuramıyor. Lütfen daha sonra yeniden deneyin.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Sistem, kimlik doğrulama isteğine hizmet vermek için bir etki alanı denetleyicisiyle iletişim kuramıyor. Lütfen daha sonra yeniden deneyin.

  
  
  Çözüm
  
  MS16-101 bu sorunu gidermek için yeniden yayımlanmıştır. Bu sorunu çözmek için bu bültende güncelleştirmelerin en son sürümünü yükleyin.
  
  

• Bilinen sorun 3
  
  Yerel Kullanıcı hesabı parolasının başarısız olabileceği ve STATUS_DOWNGRADE_DETECTED (0x800704F1) hata kodu döndüren bir sorun hakkında bilgi verdik.
  
  Aşağıdaki tabloda tam hata eşleştirmesi gösterilmektedir.
  
  

  Onaltılı	Ondalık	Simgesel	Ça
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Sistem, kimlik doğrulama isteğine hizmet vermek için bir etki alanı denetleyicisiyle iletişim kuramıyor. Lütfen daha sonra yeniden deneyin.

  
  
  Çözüm
  
  MS16-101 bu sorunu gidermek için yeniden yayımlanmıştır. Bu sorunu çözmek için bu bültende güncelleştirmelerin en son sürümünü yükleyin.
  
  

• Bilinen sorun
  
  devre dışı ve kilitlenmiş Kullanıcı hesapları için 4 parola anlaşma paketi kullanılarak değiştirilemez.
  
  Devre dışı bırakılmış ve kilitli hesapların parola değişiklikleri, LDAP değiştirme işlemi doğrudan kullanırken olduğu gibi diğer yöntemleri kullanırken yine de çalışır. Örneğin, PowerShell cmdlet Set-ADAccountPassword parolayı değiştirmek için "LDAP değiştirme" işlemini kullanır ve etkilenmemiştir.
  
  Geçici çözüm
  
  Bu hesaplar parola sıfırlamaları için yönetici gerektirir. Bu davranış MS16-101 ve sonraki düzeltmeler yüklendikten sonra tasarım ile yapılır.
  
  

• 
  
  NetUserChangePassword API 'sini kullanan ve EtkiAlanıAdı parametresinde bir ServerName kullanan bilinen sorun 5 uygulamaları, MS16-101 ve sonraki güncelleştirmeler yüklendikten sonra artık çalışmaz.
  
  Microsoft belgeleri NetUserChangePassword işlevinin EtkiAlanıAdı parametresinde bir uzak sunucu adı sağlamanın desteklendiği durumlarıdır. Örneğin, NetUserChangePassword işlevi MSDN konusu aşağıdakileri belirtmektedir:
  
  EtkiAlanıAdı [ın]
  

  İşlevin yürütüleceği uzaktaki sunucunun veya etki alanının DNS veya NetBIOS adını belirten sabit bir dize işaretçisi. Bu parametre NULL ise çağıranın oturum açma etki alanı kullanılır. Ancak, bu kılavuzun, parola sıfırlanma yerel bilgisayarda yerel bir hesap için yapılmadığı sürece, MS16-101 ile değiştirilmiştir. Post MS16-101, etki alanı kullanıcı parolasının çalışması için, NetUserChangePassword API 'sine geçerli bir DNS etki alanı adı geçirmeniz gerekir.

• Bilinen sorun 6,
  
  MS16-101, uzaktan, yerel kullanıcı hesabı parolasının programlı değişiklikleri ve güvenilmeyen ormandaki parola değişiklikleri yüklendikten sonra başarısız olur.
  
  
  Bu işlem başarısız oldu çünkü işlem, MS16-101 yüklendikten sonra, artık yerel olmayan hesaplar için desteklenmeyen NTLM geri dönmesine bağımlıdır.
  
  
  Bu değişikliği devre dışı bırakmak için kullanabileceğiniz bir kayıt defteri girişi sağlanır.
  
  Uyarı Bu geçici çözüm, bir bilgisayar veya ağın kötü niyetli kullanıcılar veya virüsler gibi kötü niyetli yazılımlar tarafından saldırmasını daha savunmasız kılabilir. Bu geçici çözümü, bu geçici çözümü kendi başınıza uygulayabilmenizi sağlayacak şekilde sağlayacağız. Bu çözümü kullanmak kendi sorumluluğunuzdadır.
  
  Bu bölümün, yöntemin veya görevin, kayıt defterini nasıl değiştirebileceğimizi açıklayan adımları içerdiğini unutmayın. Ancak kayıt defterini hatalı biçimde değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle bu adımları dikkatle uyguladığınızdan emin olun. Ek koruma için kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Böylece, bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:

  322756Windows 'da kayıt defterini yedekleme ve geri yükleme
  
  Bu değişikliği devre dışı bırakmak Için NegoAllowNtlmPwdChangeFallback DWORD girişini 1 değerini (bir) kullanacak şekilde ayarlayın.
  
  
  Önemli NegoAllowNtlmPwdChangeFallback kayıt defteri girdisinin 1 değerine ayarlanması bu güvenlik düzeltmesini devre dışı bırakır:
  

  Kayıt defteri değeri	Açıklama
  0	Varsayılan değer. Geri dönüş engellenir.
  2	Geri dönüş her zaman izin verilir. Güvenlik düzeltmesi kapalıdır. Uzak yerel hesaplarla veya güvenilmeyen ormanlarla ilgili sorun olan müşteriler, kayıt defterini bu değere ayarlayabilir.

  Bu kayıt defteri değerlerini eklemek için şu adımları izleyin:
  

  1. Başlat 'a tıklayın,ardından Başlat'a tıklayın, Aç kutusuna regedit yazın ve Tamam 'atıklayın.

  2. Kayıt defterinde aşağıdaki alt anahtarı bulup tıklatın:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. Düzen menüsünde Yeni'nin üzerine gelin ve DWORD Değeri'ni tıklatın.

  4. DWORD adına NegoAllowNtlmPwdChangeFallback yazın ve ENTER tuşuna basın.

  5. Negoallowntlmpwdchangefallbacköğesine sağ tıklayın ve ardından Değiştir'e tıklayın.

  6. Değer verisi kutusuna 1 yazın ve sonra Tamam'ı tıklatın.
     
     
     Not varsayılan değeri geri yüklemek Için 0 (sıfır) yazıp Tamam 'atıklayın.

  Durum
  
  Bu sorunun kök nedeni anlaşılmıştır. Bu makale, kullanılabilir olduklarında ek ayrıntılarla güncelleştirilecektir.

Güncelleştirmeyi edinme ve yükleme

Yöntem 1: Windows Update

Bu güncelleştirme Windows Update aracılığıyla sağlanır. Otomatik güncelleştirmeyi açtığınızda, bu güncelleştirme otomatik olarak indirilir ve yüklenir. Otomatik güncelleştirmeyi açma hakkında daha fazla bilgi için bkz:
güvenlik güncelleştirmelerini otomatik olarak alma.

Yöntem 2: Microsoft Update Kataloğu

Bu güncelleştirmenin tek başına paketini edinmek için, Microsoft Update Catalog Web sitesine gidin.

Ek Bilgi

Dosya bilgileri