Quan trọng Bài viết này chứa thông tin cho bạn biết cách giúp giảm các thiết đặt bảo mật hoặc tắt tính năng bảo mật trên máy tính. Bạn có thể thực hiện những thay đổi này để khắc phục sự cố cụ thể. Trước khi thực hiện những thay đổi này, bạn nên đánh giá những rủi ro liên quan đến việc thực hiện giải pháp này trong môi trường cụ thể của mình. Nếu bạn áp dụng giải pháp này, thực hiện mọi bước bổ sung thích hợp để giúp bảo vệ máy tính.
Tóm tắt
Bản Cập Nhật bảo mật này bao gồm các cải tiến và sửa chữa chức năng của Windows 10 phiên bản 1511. Nó cũng giải quyết sau lỗ hổng trong Windows:
-
3177356 MS16-095: Cập Nhật bảo mật tích luỹ cho Internet Explorer: 9 tháng 8 năm 2016
-
3177358 MS16-096: Cập Nhật bảo mật tích luỹ cho Microsoft Edge: 9 tháng 8 năm 2016
-
3177393 MS16-097: Cập Nhật bảo mật cho Microsoft cấu phần đồ hoạ: 9 tháng 8 năm 2016
-
3178466 MS16-098: Cập Nhật bảo mật cho trình điều khiển chế độ lõi: tháng 9, 2016
-
3178465 MS16-101: Cập Nhật bảo mật cho các phương pháp xác thực Windows: 9 tháng 8 năm 2016
-
3182248 MS16-102: Cập Nhật bảo mật cho Microsoft Windows PDF thư viện: 9 tháng 8 năm 2016
-
3182332 MS16-103: Cập Nhật bảo mật cho ActiveSyncProvider: 9 tháng 8 năm 2016
Bản cập nhật Windows 10 được tích luỹ. Do đó, gói này bao gồm tất cả bản vá được phát hành trước đó.
Nếu bạn đã cài đặt bản Cập Nhật trước đó, chỉ các bản vá lỗi mới được bao gồm trong gói này sẽ được tải xuống và cài đặt trên máy tính của bạn. Nếu bạn đang cài đặt gói cập nhật Windows 10 lần đầu tiên, gói cho x64 Phiên bản và gói dành cho x86 Phiên bản là 502 MB 916 MB.
Thông tin
Các vấn đề trong bản Cập Nhật bảo mật này
-
Vấn đề 1
Các bản cập nhật bảo mật được cung cấp trong MS16-101 và bản cập nhật mới vô hiệu hóa tính năng của quá trình Thương lượng để quay lại NTLM khi Kerberos không xác thực được thao tác thay đổi mật khẩu với mã lỗi STATUS_NO_LOGON_SERVERS (0xc000005e). Trong trường hợp này, bạn có thể nhận được một trong các mã lỗi sau.Hệ thập lục phân
Thập phân
Biểu tượng
Thân thiện
0xc0000388
1073740920
STATUS_DOWNGRADE_DETECTED
Hệ thống phát hiện một lần có thể ảnh hưởng đến bảo mật. Hãy chắc chắn rằng bạn có thể liên lạc với máy chủ xác thực bạn.
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
Hệ thống phát hiện một lần có thể ảnh hưởng đến bảo mật. Hãy chắc chắn rằng bạn có thể liên lạc với máy chủ xác thực bạn.
Giải pháp
Nếu thay đổi mật khẩu đã thành công không thành công sau khi cài đặt MS16-101, có thể là thay đổi mật khẩu đã dựa vào dự phòng NTLM do Kerberos không thành công. Để thay đổi mật khẩu thành công bằng cách sử dụng giao thức Kerberos, hãy làm theo các bước sau:-
Cấu hình mở kết nối trên TCP cổng 464 giữa máy khách có MS16-101 cài đặt và bộ điều khiển miền Dịch vụ đặt lại mật khẩu.
Bộ điều khiển miền chỉ đọc (RODCs) có dịch vụ đặt lại mật khẩu tự phục vụ nếu người dùng được phép bởi chính sách nhân RODCs mật khẩu. Người dùng không được phép của chính sách mật khẩu RODC yêu cầu kết nối mạng cho bộ điều khiển miền đọc/ghi (RWDC) trong vùng trương mục người dùng.
Lưu ý Để kiểm tra xem cổng TCP 464 mở, hãy làm theo các bước sau:-
Tạo một bộ lọc tương đương Hiển thị cho phân tích cú pháp giám sát mạng của bạn. Ví dụ:
ipv4.address== <ip address of client> && tcp.port==464
-
Trong kết quả tìm kiếm các "TCP: [SynReTransmit" khung.
-
-
Đảm bảo rằng tên Kerberos đích hợp lệ. (Địa chỉ IP không hợp lệ cho giao thức Kerberos. Kerberos hỗ trợ ngắn tên và tên miền đủ.)
-
Đảm bảo rằng tên chính Dịch vụ (SPN) được đăng ký đúng cách.
Để biết thêm thông tin, hãy xem Kerberos và đặt lại mật khẩu tự phục vụ.
-
-
Vấn đề 2
Chúng tôi biết về sự cố trong đó đặt lại mật khẩu chương trình của miền người dùng tài khoản lỗi và trả về mã lỗi STATUS_DOWNGRADE_DETECTED (0x800704F1) nếu lỗi mong muốn như sau:-
ERROR_INVALID_PASSWORD
-
ERROR_PWD_TOO_SHORT (ít trả lại)
-
STATUS_WRONG_PASSWORD
-
STATUS_PASSWORD_RESTRICTION
Bảng sau hiển thị bản đồ lỗi đầy đủ.Hệ thập lục phân
Thập phân
Biểu tượng
Thân thiện
0x56
86
ERROR_INVALID_PASSWORD
Ma mật khẩu không đúng.
0x267
615
ERROR_PWD_TOO_SHORT
Mật khẩu được cung cấp là quá ngắn để đáp ứng các chính sách tài khoản người dùng của bạn. Vui lòng cung cấp mật khẩu dài hơn.
0xc000006a
-1073741718
STATUS_WRONG_PASSWORD
Khi bạn cố gắng Cập nhật mật khẩu, trở về trạng thái này chỉ ra giá trị được cung cấp mật khẩu hiện tại không đúng.
0xc000006c
-1073741716
STATUS_PASSWORD_RESTRICTION
Khi bạn cố gắng Cập nhật mật khẩu, trở về trạng thái này chỉ ra rằng một số quy tắc Cập nhật mật khẩu bị vi phạm. Ví dụ: mật khẩu có thể đáp ứng các tiêu chí dài.
0x800704F1
1265
STATUS_DOWNGRADE_DETECTED
Hệ thống không thể liên hệ với bộ điều khiển miền để phục vụ yêu cầu xác thực. Vui lòng thử lại sau.
0xc0000388
-1073740920
STATUS_DOWNGRADE_DETECTED
Hệ thống không thể liên hệ với bộ điều khiển miền để phục vụ yêu cầu xác thực. Vui lòng thử lại sau.
Giải pháp
MS16-101 đã được phát hành lại để giải quyết vấn đề này. Cài đặt phiên bản mới nhất của bản Cập Nhật cho bản tin này để giải quyết vấn đề này.
-
-
Vấn đề 3
Chúng tôi biết về sự cố khi đặt lại chương trình thay đổi mật khẩu tài khoản người dùng cục bộ có thể không thành công và trả về mã lỗi STATUS_DOWNGRADE_DETECTED (0x800704F1) .
Bảng sau hiển thị bản đồ lỗi đầy đủ.Hệ thập lục phân
Thập phân
Biểu tượng
Thân thiện
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
Hệ thống không thể liên hệ với bộ điều khiển miền để phục vụ yêu cầu xác thực. Vui lòng thử lại sau.
Giải pháp
MS16-101 đã được phát hành lại để giải quyết vấn đề này. Cài đặt phiên bản mới nhất của bản Cập Nhật cho bản tin này để giải quyết vấn đề này. -
Vấn đề 4
Không thể thay đổi mật khẩu cho tài khoản người dùng bị vô hiệu hoá và sửa khóa sử dụng gói đàm phán.
Thay đổi mật khẩu cho tài khoản bị vô hiệu hoá và sửa khóa vẫn sẽ hoạt động khi sử dụng các phương pháp khác như khi sử dụng LDAP một sửa đổi hoạt động trực tiếp. Ví dụ, lệnh PowerShell Set-ADAccountPassword sử dụng thao tác "Sửa đổi LDAP" để thay đổi mật khẩu và vẫn không bị ảnh hưởng.
Giải pháp
Các tài khoản yêu cầu quản trị viên cho đặt lại mật khẩu. Hiện tượng này là do thiết kế sau khi bạn cài đặt bản vá MS16-101 và sau đó. -
Vấn đề 5
Ứng dụng sử dụng NetUserChangePassword API, mà thông qua một tên máy chủ trong tham số domainname sẽ không hoạt động sau khi MS16-101 và các bản Cập Nhật được cài đặt.
Tài liệu Microsoft biết rằng cung cấp tên máy chủ từ xa, tham số domainname NetUserChangePassword chức năng được hỗ trợ. Ví dụ: chủ đề MSDN NetUserChangePassword chức năng tiểu bang sau đây:
domainname [trong]Con trỏ đến một chuỗi liên tục chỉ định tên DNS hoặc NetBIOS của máy chủ từ xa hoặc miền mà chức năng là thực hiện. Nếu tham số này là NULL, miền đăng nhập của người gọi được sử dụng.Tuy nhiên, hướng dẫn này đã được thay thế bởi MS16-101, trừ khi đặt lại mật khẩu cho tài khoản cục bộ trên máy tính cục bộ. Bài MS16-101, để thay đổi mật khẩu người dùng miền để làm việc, bạn phải vượt qua giá trị tên miền DNS NetUserChangePassword API.
-
Vấn đề 6
Sau khi bạn áp dụng bản Cập Nhật bảo mật này và bạn in nhiều tài liệu liên tiếp hai tài liệu có thể in thành công. Tuy nhiên, thứ ba và các tài liệu có thể in.
Để khắc phục sự cố này, tải xuống bản Cập Nhật 3186988 từ trang web của Microsoft Cập nhật danh mục .
Sự cố này cũng giải quyết được trong Microsoft Security Bulletin MS16-106. -
Vấn đề 7
Sau khi bạn cài đặt các bản Cập Nhật bảo mật được mô tả trong MS16-101, từ xa, chương trình thay đổi mật khẩu tài khoản người dùng cục bộ và thay đổi mật khẩu trên nhóm không đáng tin cậy không.
Thao tác này không thành công vì hoạt động dựa trên NTLM thu lại không hỗ trợ cho tài khoản nonlocal sau MS16-101 được cài đặt.
Mục đăng ký là miễn là bạn có thể sử dụng để vô hiệu hoá các thay đổi này.
Cảnh báo Giải pháp này có thể khiến máy tính hoặc mạng dễ bị tấn công hơn bởi những người dùng nguy hiểm hoặc bởi phần mềm độc hại như vi-rút. Chúng tôi không khuyến nghị cách này nhưng cung cấp thông tin này để bạn có thể áp dụng cách này theo lựa chọn của mình. Sử dụng cách này bạn sẽ phải tự chịu rủi ro.
Quan trọng Phần, phương pháp hoặc tác vụ này chứa các bước chỉ dẫn bạn cách sửa đổi sổ đăng ký. Tuy nhiên, sự cố nghiêm trọng có thể xảy ra nếu bạn sửa đổi sổ đăng ký không đúng. Vì vậy, hãy đảm bảo bạn làm theo các bước sau đây một cách cẩn thận. Để bảo vệ tốt hơn, sao lưu sổ đăng ký trước khi bạn sửa đổi. Sau đó, bạn có thể khôi phục sổ đăng ký nếu xảy ra sự cố. Để biết thêm thông tin về cách sao lưu và khôi phục sổ đăng ký, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:322756 Cách sao lưu và khôi phục sổ đăng ký trong Windows
Để vô hiệu hoá các thay đổi này, đặt mục NegoAllowNtlmPwdChangeFallback giá sử dụng giá trị là 1 (một).
Quan trọng Đặt mục đăng ký NegoAllowNtlmPwdChangeFallback giá trị 1 sẽ vô hiệu hoá các sửa chữa bảo mật:Giá trị đăng ký
Mô tả
0
Giá trị mặc định. Ngăn không cho dự phòng.
1
Dự phòng luôn được. Khắc phục sự cố bảo mật bị tắt. Khách hàng đang gặp phải vấn đề với tài khoản địa phương từ xa hoặc không đáng tin cậy nhóm kịch bản có thể đặt sổ đăng ký giá trị này.
Để thêm các giá trị đăng ký, hãy làm theo các bước sau:
-
Bấm Bắt đầu, bấm Chạy, nhập regedit trong ô Mở , và sau đó bấm OK.
-
Định vị và sau đó bấm vào khoá sau trong sổ đăng ký:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
-
Trên menu Chỉnh sửa, trỏ chuột vào Mới, sau đó bấm Giá trị DWORD.
-
Gõ NegoAllowNtlmPwdChangeFallback cho tên DWORD vào và sau đó nhấn ENTER.
-
Bấm chuột phải vào NegoAllowNtlmPwdChangeFallback, và sau đó bấm sửa đổi.
-
Trong ô dữ liệu giá trị , nhập 1 để vô hiệu hoá các thay đổi này, và sau đó bấm OK.
Lưu ý Để khôi phục lại giá trị mặc định, gõ 0 (không), và sau đó bấm OK.
Trạng thái
Nguyên nhân gốc của vấn đề này được hiểu. Bài viết này sẽ được cập nhật thêm chi tiết khi chúng trở nên có sẵn. -
Cách nhận bản cập nhật này
Quan trọng Nếu bạn cài đặt gói ngôn ngữ sau khi cài đặt bản cập nhật này, bạn phải cài đặt lại bản cập nhật này. Do đó, chúng tôi khuyến nghị bạn cài đặt bất kỳ ngôn ngữ gói mà bạn cần trước khi bạn cài đặt bản cập nhật này. Để biết thêm thông tin, hãy xem Thêm gói ngôn ngữ vào Windows
Phương pháp 1: Windows Update
Bản cập nhật này sẽ được tải xuống và cài đặt tự động.
Phương pháp 2: Danh mục Microsoft Update
Để tải gói độc lập cho bản cập nhật này, hay truy cập trang web Danh mục Cập nhật Microsoft .
Điều kiện tiên quyết
Không có điều kiện tiên quyết nào để cài đặt bản cập nhật này.
Thông tin khởi động lại
Bạn phải khởi động lại máy tính sau khi áp dụng bản cập nhật này.
Thông tin thay thế bản cập nhật
Bản cập nhật này thay thế bản Cập Nhật đã được phát hành 3172985.
Thông tin về tệp
Để có danh sách các tệp được cung cấp trong bản Cập Nhật tích luỹ này, tải xuống tệp thông tin Cập Nhật tích luỹ 3176493.
Tham khảo
Tìm hiểu thêm về thuật ngữ Microsoft sử dụng để mô tả các bản cập nhật phần mềm.