Microsoft MS16 – 101: Опис оновлення системи безпеки для методів автентифікації Windows: 9 серпня 2016 р.

Загальні відомості

Це оновлення системи безпеки усуває кілька вразливостей в Microsoft Windows. Вразливості можуть дозволити підвищення привілеїв, якщо зловмисник запускає спеціально створений застосунок у системі, підключеному до домену.

Докладні відомості про дефект наведено в статті бюлетень Microsoft Security Microsoft ms16-101.

Додаткові відомості

Увага!

• Усі подальші оновлення системи безпеки та системи безпеки для Windows 8,1 і Windows Server 2012 R2 вимагають оновлення 2919355 для інсталяції. Радимо інсталювати оновлення 2919355 на комп'ютері під керуванням Windows 8,1 або windows Server 2012 R2, щоб отримати майбутні оновлення.

• Якщо ви інсталюєте мовний пакет після інсталяції цього оновлення, потрібно повторно інсталювати це оновлення. Тому радимо інсталювати будь-які мовні пакети, які потрібно виконати, перш ніж інсталювати це оновлення. Докладні відомості наведено в статті додавання мовних пакетів до Windows.
  

Відомі проблеми в цьому оновленні системи безпеки

• Відома проблема 1
  
  оновлення системи безпеки, які надаються в Microsoft ms16-101 і пізніших оновлень, не дають можливості процесу узгоджувати, щоб повернутися до NTLM, коли автентифікація Kerberos не працює для операцій зі зміною пароля за допомогою коду помилки STATUS_NO_LOGON_SERVERS (0xc000005e). У цій ситуації може з'явитися один із наведених нижче кодів помилок.
  
  

  Шістнадцяткове	Десяткове	Формат символічних	Дружні
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Система виявила можливу спробу компромісу в питаннях безпеки. Переконайтеся, що ви можете звернутися до сервера, який вам автентифіковано.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Система виявила можливу спробу компромісу в питаннях безпеки. Переконайтеся, що ви можете звернутися до сервера, який вам автентифіковано.

  
  
  Тимчасове рішення
  
  Якщо під час інсталяції Microsoft ms16-101 не вдалося змінити пароль, імовірно, що зміни паролів раніше були на РЕЗЕРВНІЙ основі NTLM через помилку Kerberos. Щоб змінити паролі за допомогою протоколів Kerberos, виконайте наведені нижче дії.
  
  
  

  1. Настроювання відкритого спілкування на TCP-порт 464 між клієнтами, які встановили Microsoft MS16-101, і контролер домену, який обслуговує скидання пароля.
     
     Контролери домену, доступні лише для читання (RODCs), можуть самостійно скитувати пароль служби самообслуговування, якщо користувач дозволив політиці реплікації паролів RODCs. Користувачі, які не дозволили політики паролів РОДК, вимагають підключення до мережі для керування доменом для читання та записування (RWDC) у домені облікового запису користувача.
     
     Примітка. щоб перевірити, чи відкрито TCP-порт 464, виконайте наведені нижче дії.
     
     
     

     1. Створення еквівалентного фільтра відображення для аналізатора мережевого монітора. Наприклад:
        

        IPv4. Address = = <IP-адресу клієнта> && TCP. Port = = 464

     2. У результатах знайдіть рамку "TCP: [SynReTransmit".
        
        

  2. Переконайтеся, що імена цільових Kerberos-файлів дійсні. (IP-адреси неприпустимі для протоколу Kerberos. Kerberos підтримує коротку назву та повністю кваліфіковані доменні імена.)

  3. Переконайтеся, що імена основних служб (SPNs) реєструються належним чином.
     
     Докладні відомості наведено в статті Kerberos і Self-Service скидання пароля.

• Відома проблема 2
  
  ми знаємо про проблему, через яку програмний пароль не може повертати облікові записи користувачів домену, а STATUS_DOWNGRADE_DETECTED (0x800704F1) код помилки, якщо очікувана помилка є однією з наведених нижче дій.
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (рідко повертаються)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  У наведеній нижче таблиці показано повну зіставлення помилок.
  
  

  Шістнадцяткове	Десяткове	Формат символічних	Дружні
  0x56	86	ERROR_INVALID_PASSWORD	Указаний мережний пароль неправильний.
  0x267	615	ERROR_PWD_TOO_SHORT	Наданий пароль – це занадто коротке, щоб відповідно до політики вашого облікового запису користувача. Укажіть довший пароль.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Під час спроби оновити пароль, цей стан повернення вказує на те, що значення, надане як поточний пароль, неправильний.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Під час спроби оновити пароль, цей стан повернення вказує на те, що Порушено правило для певного правила оновлення пароля. Наприклад, пароль може не відповідно до умов довжини.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Системі не вдалося зв'язатися з контролером домену, щоб обслуговувати запит автентифікації. Спробуйте знову пізніше.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Системі не вдалося зв'язатися з контролером домену, щоб обслуговувати запит автентифікації. Спробуйте знову пізніше.

  
  
  Роздільну здатність
  
  Microsoft ms16-101 було повторно випущено для вирішення цієї проблеми. Інсталюйте найновішу версію оновлень для цього бюлетеня, щоб вирішити цю проблему.
  
  

• Відома проблема 3
  
  ми знаємо про проблему, у якій програмний скидання пароля локального облікового запису користувача може не вдатися, і повернути код помилки STATUS_DOWNGRADE_DETECTED (0x800704F1).
  
  У наведеній нижче таблиці показано повну зіставлення помилок.
  
  

  Шістнадцяткове	Десяткове	Формат символічних	Дружні
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Системі не вдалося зв'язатися з контролером домену, щоб обслуговувати запит автентифікації. Спробуйте знову пізніше.

  
  
  Роздільну здатність
  
  Microsoft ms16-101 було повторно випущено для вирішення цієї проблеми. Інсталюйте найновішу версію оновлень для цього бюлетеня, щоб вирішити цю проблему.
  
  

• Відома проблема 4
  
  паролі для вимкнутих і заблокованих облікових записів користувачів не можна змінити за допомогою пакета "узгоджувати".
  
  Зміни пароля для вимкнутих і заблокованих облікових записів все одно працюватимуть під час використання інших методів, наприклад під час використання операції змінення LDAP безпосередньо. Наприклад, командлет PowerShell Set-ADAccountPassword використовує операцію "змінити LDAP", щоб змінити пароль і залишиться незмінним.
  
  Спосіб вирішення
  
  цих облікових записів вимагає, щоб адміністратор скинув пароль. Ця поведінка виконується за допомогою оформлення після інсталяції Microsoft MS16-101 і подальших виправлень.
  
  

• Відомі проблеми 5
  
  програм, які використовують API Netuserchangeword, і які передають ім'я _ сервера в параметрі domainname більше не працюватимуть після того, як інстальовано Microsoft ms16-101 і новіші оновлення.
  
  Корпорація Майкрософт підтримує стани, які забезпечують ім'я віддаленого сервера в параметрі " домен " функції Netuserchangeword. Наприклад, за допомогою функції netuserchangepassword у розділі MSDN говориться наступне:
  
  ім'я _ домену [в]
  

  Вказівник на константу, у якому вказано ім'я DNS або NetBIOS віддаленого сервера або домену, для якого функція має виконати. Якщо цей параметр має значення NULL, використовується домен входу в абонента. Проте це керівництво було замінено на Microsoft MS16-101, за винятком того, що скидання пароля для локального облікового запису на локальному комп'ютері. Опублікувати Microsoft MS16-101, щоб змінити пароль користувача для домену, потрібно передати дійсне ім'я домену DNS до API NetUserChangePassword.

• Відома проблема 6
  
  після інсталяції оновлень системи безпеки, описаних у Microsoft ms16-101, віддалених і програмних змін локального пароля облікового запису користувача, а також змінення пароля в ненадійному лісі не вдасться.
  
  
  Ця операція не вдалася, тому що операція покладається на службу зворотного зв'язку NTLM, яка більше не підтримується для нелокальних облікових записів після інсталяції Microsoft MS16-101.
  
  
  У записі реєстру вказано, що цю зміну можна використовувати для вимкнення цієї зміни.
  
  Попередження про це може зробити комп'ютер або мережу вразливішим для атак зловмисних користувачів або шкідливого програмного забезпечення, як-от віруси. Ми не рекомендуємо цей спосіб вирішення, але надаємо цю інформацію, щоб ви могли реалізувати цю проблему на власному розсуд. Використовуйте цей спосіб вирішення на власному ризику.
  
  Розділ ImportantThis, метод або завдання містить кроки, які вказують, як змінити реєстр. Проте неправильне внесення змін до реєстру може призвести до виникнення серйозних проблем. Тому будьте уважні, виконуючи ці кроки. Для додаткового захисту, перш ніж вносити зміни, обов’язково створіть резервну копію реєстру. Якщо виникне проблема, реєстр можна буде відновити. Щоб отримати докладніші відомості про створення резервної копії та відновлення реєстру, клацніть номер статті, щоб переглянути її в базі знань Microsoft.

  322756Щоб створити резервну копію та відновити реєстр у Windows
  
  , щоб вимкнути цю зміну, установіть параметр Negoallowtpmwdchanback DWORD, щоб використовувати значення 1 (один).
  
  
  Важливе значення параметра "NegoAllowNtlmPwdChangeFallback реєстру" у значенні 1 буде вимкнуто цю проблему з безпекою:
  

  Значення реєстру	Опис
  0	Значення за замовчуванням. Не можна буде запобігти резервуванню резервної.
  1	Запасний варіант завжди дозволений. Виправлення системи безпеки вимкнуто. У клієнтів, які виникли проблеми з віддаленим локальним обліковим записом або недовіреним лісовими сценаріями, можна налаштувати реєстр до цього значення.

  Щоб додати ці значення реєстру, виконайте наведені нижче дії.
  

  1. Натисніть кнопку Пуск, виберіть команду виконати, введіть regedit у полі Відкрити , а потім натисніть кнопку OK.

  2. Знайдіть і клацніть такий підрозділ в реєстрі:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. У меню Редагування наведіть вказівник миші на пункт Створити і виберіть пункт Значення DWORD.

  4. Введіть NegoAllowNtlmPwdChangeFallback для імені DWORD, а потім натисніть клавішу ВВІД.

  5. Клацніть правою кнопкою миші елемент Неgoallowtmwdchanteback, а потім натисніть кнопку змінити.

  6. У полі Value Data (значення ) введіть 1, щоб вимкнути цю зміну, а потім натисніть кнопку OK.
     
     
     Примітка. щоб відновити значення за замовчуванням, введіть 0 (нуль), а потім натисніть кнопку OK.

  Стан
  
  , у якому розуміється причина цієї проблеми. Цю статтю буде оновлено з додатковими відомостями, які вони стануть доступними.

Отримання та інсталяція оновлення

Спосіб 1. Служба Windows Update

Це оновлення можна отримати за допомогою служби Windows Update. Після ввімкнення автоматичного оновлення це оновлення буде завантажено та інстальовано автоматично. Щоб отримати докладні відомості про те, як увімкнути автоматичне оновлення, перегляньте статтю
Автоматичне оновлення системи безпеки.

Метод 2: Каталог Microsoft Update

Щоб отримати пакет окремо для цього оновлення, перейдіть на веб-сайт каталогу служби каталогів Microsoft Update .

Додаткові відомості

Відомості про файл