Cập hật tích lĩu cho Windows 10 phiên bản 1511: Ngày 9 tháng 8 năm 2016

Các vấn đề trong bản Cập Nhật bảo mật này

• Vấn đề 1
  
  Các bản cập nhật bảo mật được cung cấp trong MS16-101 và bản cập nhật mới vô hiệu hóa tính năng của quá trình Thương lượng để quay lại NTLM khi Kerberos không xác thực được thao tác thay đổi mật khẩu với mã lỗi STATUS_NO_LOGON_SERVERS (0xc000005e). Trong trường hợp này, bạn có thể nhận được một trong các mã lỗi sau.
  
  

  Hệ thập lục phân	Thập phân	Biểu tượng	Thân thiện
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Hệ thống phát hiện một lần có thể ảnh hưởng đến bảo mật. Hãy chắc chắn rằng bạn có thể liên lạc với máy chủ xác thực bạn.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Hệ thống phát hiện một lần có thể ảnh hưởng đến bảo mật. Hãy chắc chắn rằng bạn có thể liên lạc với máy chủ xác thực bạn.

  
  
  Giải pháp
  
  Nếu thay đổi mật khẩu đã thành công không thành công sau khi cài đặt MS16-101, có thể là thay đổi mật khẩu đã dựa vào dự phòng NTLM do Kerberos không thành công. Để thay đổi mật khẩu thành công bằng cách sử dụng giao thức Kerberos, hãy làm theo các bước sau:
  
  
  

  1. Cấu hình mở kết nối trên TCP cổng 464 giữa máy khách có MS16-101 cài đặt và bộ điều khiển miền Dịch vụ đặt lại mật khẩu.
     
     Bộ điều khiển miền chỉ đọc (RODCs) có dịch vụ đặt lại mật khẩu tự phục vụ nếu người dùng được phép bởi chính sách nhân RODCs mật khẩu. Người dùng không được phép của chính sách mật khẩu RODC yêu cầu kết nối mạng cho bộ điều khiển miền đọc/ghi (RWDC) trong vùng trương mục người dùng.
     
     Lưu ý Để kiểm tra xem cổng TCP 464 mở, hãy làm theo các bước sau:
     
     
     

     1. Tạo một bộ lọc tương đương Hiển thị cho phân tích cú pháp giám sát mạng của bạn. Ví dụ:
        

        ipv4.address== <ip address of client> && tcp.port==464

     2. Trong kết quả tìm kiếm các "TCP: [SynReTransmit" khung.
        
        

  2. Đảm bảo rằng tên Kerberos đích hợp lệ. (Địa chỉ IP không hợp lệ cho giao thức Kerberos. Kerberos hỗ trợ ngắn tên và tên miền đủ.)

  3. Đảm bảo rằng tên chính Dịch vụ (SPN) được đăng ký đúng cách.
     
     Để biết thêm thông tin, hãy xem Kerberos và đặt lại mật khẩu tự phục vụ.

• Vấn đề 2
  
  Chúng tôi biết về sự cố trong đó đặt lại mật khẩu chương trình của miền người dùng tài khoản lỗi và trả về mã lỗi STATUS_DOWNGRADE_DETECTED (0x800704F1) nếu lỗi mong muốn như sau:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (ít trả lại)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  Bảng sau hiển thị bản đồ lỗi đầy đủ.
  
  

  Hệ thập lục phân	Thập phân	Biểu tượng	Thân thiện
  0x56	86	ERROR_INVALID_PASSWORD	Ma mật khẩu không đúng.
  0x267	615	ERROR_PWD_TOO_SHORT	Mật khẩu được cung cấp là quá ngắn để đáp ứng các chính sách tài khoản người dùng của bạn. Vui lòng cung cấp mật khẩu dài hơn.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Khi bạn cố gắng Cập nhật mật khẩu, trở về trạng thái này chỉ ra giá trị được cung cấp mật khẩu hiện tại không đúng.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Khi bạn cố gắng Cập nhật mật khẩu, trở về trạng thái này chỉ ra rằng một số quy tắc Cập nhật mật khẩu bị vi phạm. Ví dụ: mật khẩu có thể đáp ứng các tiêu chí dài.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Hệ thống không thể liên hệ với bộ điều khiển miền để phục vụ yêu cầu xác thực. Vui lòng thử lại sau.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Hệ thống không thể liên hệ với bộ điều khiển miền để phục vụ yêu cầu xác thực. Vui lòng thử lại sau.

  
  
  Giải pháp
  
  MS16-101 đã được phát hành lại để giải quyết vấn đề này. Cài đặt phiên bản mới nhất của bản Cập Nhật cho bản tin này để giải quyết vấn đề này.
  
  

• Vấn đề 3
  
  Chúng tôi biết về sự cố khi đặt lại chương trình thay đổi mật khẩu tài khoản người dùng cục bộ có thể không thành công và trả về mã lỗi STATUS_DOWNGRADE_DETECTED (0x800704F1) .
  
  Bảng sau hiển thị bản đồ lỗi đầy đủ.
  
  

  Hệ thập lục phân	Thập phân	Biểu tượng	Thân thiện
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Hệ thống không thể liên hệ với bộ điều khiển miền để phục vụ yêu cầu xác thực. Vui lòng thử lại sau.

  
  
  Giải pháp
  
  MS16-101 đã được phát hành lại để giải quyết vấn đề này. Cài đặt phiên bản mới nhất của bản Cập Nhật cho bản tin này để giải quyết vấn đề này.
  
  

• Vấn đề 4
  
  Không thể thay đổi mật khẩu cho tài khoản người dùng bị vô hiệu hoá và sửa khóa sử dụng gói đàm phán.
  
  
  Thay đổi mật khẩu cho tài khoản bị vô hiệu hoá và sửa khóa vẫn sẽ hoạt động khi sử dụng các phương pháp khác như khi sử dụng LDAP một sửa đổi hoạt động trực tiếp. Ví dụ, lệnh PowerShell Set-ADAccountPassword sử dụng thao tác "Sửa đổi LDAP" để thay đổi mật khẩu và vẫn không bị ảnh hưởng.
  
  Giải pháp
  
  Các tài khoản yêu cầu quản trị viên cho đặt lại mật khẩu. Hiện tượng này là do thiết kế sau khi bạn cài đặt bản vá MS16-101 và sau đó.
  
  

• Vấn đề 5
  
  Ứng dụng sử dụng NetUserChangePassword API, mà thông qua một tên máy chủ trong tham số domainname sẽ không hoạt động sau khi MS16-101 và các bản Cập Nhật được cài đặt.
  
  Tài liệu Microsoft biết rằng cung cấp tên máy chủ từ xa, tham số domainname NetUserChangePassword chức năng được hỗ trợ. Ví dụ: chủ đề MSDN NetUserChangePassword chức năng tiểu bang sau đây:
  
  domainname [trong]
  

  Con trỏ đến một chuỗi liên tục chỉ định tên DNS hoặc NetBIOS của máy chủ từ xa hoặc miền mà chức năng là thực hiện. Nếu tham số này là NULL, miền đăng nhập của người gọi được sử dụng.Tuy nhiên, hướng dẫn này đã được thay thế bởi MS16-101, trừ khi đặt lại mật khẩu cho tài khoản cục bộ trên máy tính cục bộ. Bài MS16-101, để thay đổi mật khẩu người dùng miền để làm việc, bạn phải vượt qua giá trị tên miền DNS NetUserChangePassword API.

• Vấn đề 6
  
  
  
  Sau khi bạn áp dụng bản Cập Nhật bảo mật này và bạn in nhiều tài liệu liên tiếp hai tài liệu có thể in thành công. Tuy nhiên, thứ ba và các tài liệu có thể in.
  
  Để khắc phục sự cố này, tải xuống bản Cập Nhật 3186988 từ trang web của Microsoft Cập nhật danh mục .
  
  
  
  
  
  Sự cố này cũng giải quyết được trong Microsoft Security Bulletin MS16-106.
  
  
  
  

• Vấn đề 7
  
  Sau khi bạn cài đặt các bản Cập Nhật bảo mật được mô tả trong MS16-101, từ xa, chương trình thay đổi mật khẩu tài khoản người dùng cục bộ và thay đổi mật khẩu trên nhóm không đáng tin cậy không.
  
  
  Thao tác này không thành công vì hoạt động dựa trên NTLM thu lại không hỗ trợ cho tài khoản nonlocal sau MS16-101 được cài đặt.
  
  
  Mục đăng ký là miễn là bạn có thể sử dụng để vô hiệu hoá các thay đổi này.
  
  Cảnh báo Giải pháp này có thể khiến máy tính hoặc mạng dễ bị tấn công hơn bởi những người dùng nguy hiểm hoặc bởi phần mềm độc hại như vi-rút. Chúng tôi không khuyến nghị cách này nhưng cung cấp thông tin này để bạn có thể áp dụng cách này theo lựa chọn của mình. Sử dụng cách này bạn sẽ phải tự chịu rủi ro.
  
  Quan trọng Phần, phương pháp hoặc tác vụ này chứa các bước chỉ dẫn bạn cách sửa đổi sổ đăng ký. Tuy nhiên, sự cố nghiêm trọng có thể xảy ra nếu bạn sửa đổi sổ đăng ký không đúng. Vì vậy, hãy đảm bảo bạn làm theo các bước sau đây một cách cẩn thận. Để bảo vệ tốt hơn, sao lưu sổ đăng ký trước khi bạn sửa đổi. Sau đó, bạn có thể khôi phục sổ đăng ký nếu xảy ra sự cố. Để biết thêm thông tin về cách sao lưu và khôi phục sổ đăng ký, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:

  322756 Cách sao lưu và khôi phục sổ đăng ký trong Windows
  
  Để vô hiệu hoá các thay đổi này, đặt mục NegoAllowNtlmPwdChangeFallback giá sử dụng giá trị là 1 (một).
  
  
  Quan trọng Đặt mục đăng ký NegoAllowNtlmPwdChangeFallback giá trị 1 sẽ vô hiệu hoá các sửa chữa bảo mật:
  

  Giá trị đăng ký	Mô tả
  0	Giá trị mặc định. Ngăn không cho dự phòng.
  1	Dự phòng luôn được. Khắc phục sự cố bảo mật bị tắt. Khách hàng đang gặp phải vấn đề với tài khoản địa phương từ xa hoặc không đáng tin cậy nhóm kịch bản có thể đặt sổ đăng ký giá trị này.

  Để thêm các giá trị đăng ký, hãy làm theo các bước sau:
  

  1. Bấm Bắt đầu, bấm Chạy, nhập regedit trong ô Mở , và sau đó bấm OK.

  2. Định vị và sau đó bấm vào khoá sau trong sổ đăng ký:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. Trên menu Chỉnh sửa, trỏ chuột vào Mới, sau đó bấm Giá trị DWORD.

  4. Gõ NegoAllowNtlmPwdChangeFallback cho tên DWORD vào và sau đó nhấn ENTER.

  5. Bấm chuột phải vào NegoAllowNtlmPwdChangeFallback, và sau đó bấm sửa đổi.

  6. Trong ô dữ liệu giá trị , nhập 1 để vô hiệu hoá các thay đổi này, và sau đó bấm OK.
     
     
     Lưu ý Để khôi phục lại giá trị mặc định, gõ 0 (không), và sau đó bấm OK.

  Trạng thái
  
  Nguyên nhân gốc của vấn đề này được hiểu. Bài viết này sẽ được cập nhật thêm chi tiết khi chúng trở nên có sẵn.

Phương pháp 1: Windows Update

Bản cập nhật này sẽ được tải xuống và cài đặt tự động.

Phương pháp 2: Danh mục Microsoft Update

Để tải gói độc lập cho bản cập nhật này, hay truy cập trang web Danh mục Cập nhật Microsoft .

Điều kiện tiên quyết

Không có điều kiện tiên quyết nào để cài đặt bản cập nhật này.

Thông tin khởi động lại

Bạn phải khởi động lại máy tính sau khi áp dụng bản cập nhật này.

Thông tin thay thế bản cập nhật

Bản cập nhật này thay thế bản Cập Nhật đã được phát hành 3172985.