Cập Nhật tích luỹ Windows 10: ngày 9 tháng 8 năm 2016

Các vấn đề trong bản Cập Nhật bảo mật này

• Vấn đề 1 Bản Cập Nhật bảo mật được cung cấp trong MS16-101 và các bản Cập Nhật vô hiệu hoá khả năng của quá trình đàm phán để trở lại NTLM khi Kerberos xác thực không thành công cho hoạt động thay đổi mật khẩu với STATUS_NO_LOGON_SERVERS (0xc000005e) mã lỗi. Trong trường hợp này, bạn có thể nhận được một mã lỗi sau.

  Hexadecimal	Thập phân	Tượng trưng	Thân thiện
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Hệ thống phát hiện một nỗ lực có thể thỏa hiệp bảo mật. Hãy chắc chắn rằng bạn có thể liên hệ với máy chủ xác thực bạn.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Hệ thống phát hiện một nỗ lực có thể thỏa hiệp bảo mật. Hãy chắc chắn rằng bạn có thể liên hệ với máy chủ xác thực bạn.

  Workaround Nếu thay đổi mật khẩu đã thành công thất bại sau khi cài đặt MS16-101, có thể thay đổi mật khẩu đã được dựa trên NTLM dự phòng vì Kerberos đã thất bại. Để thay đổi mật khẩu thành công bằng cách sử dụng giao thức Kerberos, hãy làm theo các bước sau:

  1. Cấu hình mở giao tiếp trên cổng TCP 464 giữa các khách hàng có MS16-101 cài đặt và bộ điều khiển vùng cung cấp dịch vụ mật khẩu Reset. Bộ điều khiển miền chỉ đọc (RODCs) có thể dịch vụ tự phục vụ lại mật khẩu nếu người dùng được cho phép bởi chính sách nhân RODCs mật khẩu. Người dùng không được phép bởi chính sách mật khẩu RODC yêu cầu kết nối mạng cho bộ điều khiển miền đọc/ghi (RWDC) trong miền tài khoản người dùng. Lưu ý Để kiểm tra xem TCP cổng 464 đang mở, hãy làm theo các bước sau:

     1. Tạo một bộ lọc Hiển thị tương đương cho mạng của bạn theo dõi phân tích cú pháp. Ví dụ:

        ipv4.address== <ip address of client> && tcp.port==464

     2. Trong kết quả, tìm kiếm "TCP: [Synretruyền" khung.

  2. Đảm bảo rằng tên Kerberos đích hợp lệ. (Địa chỉ IP không hợp lệ cho giao thức Kerberos. Kerberos hỗ trợ tên ngắn và tên miền đủ điều kiện.)

  3. Đảm bảo rằng tên chính Dịch vụ (SPN) được đăng ký đúng cách. Để biết thêm thông tin, xem Kerberos và đặt lại mật khẩu tự dịch vụ.

• Vấn đề 2 Chúng tôi biết về sự cố trong đó lập trình mật khẩu của tài khoản người dùng miền không thành công và trả lại mã lỗi STATUS_DOWNGRADE_DETECTED (0x800704F1) nếu thất bại dự kiến là một trong những điều sau đây:

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (hiếm khi trả lại)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  Bảng sau hiển thị ánh xạ lỗi đầy đủ.

  Hexadecimal	Thập phân	Tượng trưng	Thân thiện
  0x56	86	ERROR_INVALID_PASSWORD	Mật khẩu mạng được chỉ định không chính xác.
  0x267	615	ERROR_PWD_TOO_SHORT	Mật khẩu được cung cấp quá ngắn để đáp các chính sách của tài khoản người dùng của bạn. Vui lòng cung cấp mật khẩu dài hơn.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Khi bạn cố gắng Cập nhật mật khẩu, trạng thái trở lại này chỉ ra rằng giá trị được cung cấp như mật khẩu hiện tại không chính xác.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Khi bạn cố gắng Cập nhật mật khẩu, trạng thái trở lại này chỉ ra rằng một số quy tắc Cập nhật mật khẩu bị vi phạm. Ví dụ: mật khẩu có thể không đáp đối các tiêu chí về độ dài.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Hệ thống không thể liên hệ với bộ điều khiển miền để dịch vụ yêu cầu xác thực. Vui lòng thử lại sau.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Hệ thống không thể liên hệ với bộ điều khiển miền để dịch vụ yêu cầu xác thực. Vui lòng thử lại sau.

  Độ phân giảiMS16-101 đã được phát hành lại để khắc phục sự cố này. Cài đặt phiên bản mới nhất của các bản Cập Nhật cho tin này để giải quyết vấn đề này.

• Vấn đề 3 Chúng tôi biết về một vấn đề mà chương trình Reset thay đổi mật khẩu tài khoản người dùng cục bộ có thể không thành công và trả lại mã lỗi STATUS_DOWNGRADE_DETECTED (0x800704f1) . Bảng sau hiển thị ánh xạ lỗi đầy đủ.

  Hexadecimal	Thập phân	Tượng trưng	Thân thiện
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	Hệ thống không thể liên hệ với bộ điều khiển miền để dịch vụ yêu cầu xác thực. Vui lòng thử lại sau.

  Độ phân giảiMS16-101 đã được phát hành lại để khắc phục sự cố này. Cài đặt phiên bản mới nhất của các bản Cập Nhật cho tin này để giải quyết vấn đề này.

• Vấn đề 4 Mật khẩu cho tài khoản người dùng bị vô hiệu hoá và khóa không thể thay đổi bằng cách sử dụng gói đàm phán. Thay đổi mật khẩu cho tài khoản bị vô hiệu hoá và khóa ra sẽ vẫn hoạt động khi sử dụng các phương pháp khác như khi sử dụng một LDAP sửa đổi hoạt động trực tiếp. Ví dụ: lệnh PowerShell thiết lập ADAccountPassword sử dụng thao tác "LDAP sửa đổi" để thay đổi mật khẩu và vẫn không bị ảnh hưởng. Workaround Các tài khoản này yêu cầu quản trị viên để thực hiện Reset mật khẩu. Hiện tượng này là do thiết kế sau khi bạn cài đặt MS16-101 và sửa chữa sau.

• Vấn đề 5 Ứng dụng sử dụng Netuserchangepassword API và thông qua một tên máy chủ trong tham số domainname sẽ không hoạt động sau khi MS16-101 và các bản Cập Nhật được cài đặt. Microsoft tài liệu trạng thái cung cấp tên máy chủ từ xa trong tham số domainname của chức năng Netuserchangepassword được hỗ trợ. Ví dụ, chủ đề MSDN Netuserchangepassword chức năng trạng thái sau: domainname [trong]

  Con trỏ đến một chuỗi liên tục chỉ định tên DNS hoặc NetBIOS của máy chủ từ xa hoặc miền có chức năng thực hiện. Nếu tham số này là NULL, miền đăng nhập của người gọi được sử dụng.Tuy nhiên, hướng dẫn này đã được thay thế bởi MS16-101, trừ khi đặt lại mật khẩu cho tài khoản cục bộ trên máy tính cục bộ. Đăng MS16-101, để thay đổi mật khẩu người dùng miền để làm việc, bạn phải vượt qua một tên miền DNS hợp lệ cho NetUserChangePassword API.

• Vấn đề 6 Sau khi bạn áp dụng bản Cập Nhật bảo mật này, và sau đó bạn in nhiều tài liệu liên tiếp, hai tài liệu đầu tiên có thể in thành công nhưng thứ ba và các tài liệu có thể không in. Để giải quyết vấn đề này, thực hiện một trong những điều sau đây:

  • Cài đặt bản Cập Nhật 3187022. Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

    3187022 chức năng in bị hỏng sau khi bất kỳ bản Cập Nhật bảo mật MS16-098 được cài đặt

  • Cài đặt bản Cập Nhật 3186987 từ trang web danh mục Microsoft Update .

  Vấn đề này cũng được giải quyết trong Microsoft Security Bulletin MS16-106.

• Vấn đề 7 Sau khi bạn cài đặt các bản Cập Nhật bảo mật được mô tả trong MS16-101, từ xa, chương trình thay đổi mật khẩu tài khoản người dùng cục bộ và thay đổi mật khẩu trên nhóm không đáng tin cậy. Thao tác này không thành công vì hoạt động dựa trên NTLM rơi trở lại không được hỗ trợ cho tài khoản nonlocal sau khi MS16-101 được cài đặt. Mục đăng ký được cung cấp mà bạn có thể sử dụng để vô hiệu hoá thay đổi này. Cảnh báo giải pháp này có thể khiến máy tính hoặc mạng dễ bị tấn công bởi người dùng nguy hiểm hoặc bởi phần mềm nguy hiểm như vi-rút. Chúng tôi không khuyên bạn nên giải pháp này nhưng cung cấp thông tin này để bạn có thể áp dụng cách này theo quyết định riêng của bạn. Sử dụng giải pháp này rủi ro của riêng bạn. Quan trọngphần này, phương pháp hoặc tác vụ chứa các bước đó cho bạn biết làm thế nào để sửa đổi sổ đăng ký. Tuy nhiên, vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi sổ đăng ký không chính xác. Do đó, hãy chắc chắn rằng bạn làm theo các bước sau cẩn thận. Để bảo vệ thêm, sao lưu sổ đăng ký trước khi bạn sửa đổi nó. Sau đó, bạn có thể khôi phục sổ đăng ký nếu sự cố xảy ra. Để biết thêm thông tin về cách sao lưu và khôi phục sổ đăng ký, hãy bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

  322756 Làm thế nào để sao lưu và khôi phục sổ đăng ký trong WindowsĐể vô hiệu hoá thay đổi này, đặt mục Negoallowntlmpwdchangefallback DWORD sử dụng giá trị 1 (một). Quan trọng Thiết lập mục đăng ký Negoallowntlmpwdchangefallback giá trị 1 sẽ vô hiệu hoá sửa chữa bảo mật:

  Giá trị đăng ký	Mô tả
  0	Giá trị mặc định. Dự bị ngăn chặn.
  1	Dự bị luôn được cho phép. Sửa chữa bảo mật bị tắt. Khách hàng đang gặp sự cố với tài khoản cục bộ từ xa hoặc tình huống nhóm không đáng tin cậy có thể đặt sổ đăng ký giá trị này.

  Để thêm các giá trị đăng ký, hãy làm theo các bước sau:

  1. Bấm bắt đầu, bấm chạy, gõ regedit trong ô mở , và sau đó bấm OK.

  2. Định vị và sau đó bấm vào khoá sau trong sổ đăng ký:

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

  3. Trên menu Chỉnh sửa, trỏ chuột vào Mới, sau đó bấm Giá trị DWORD.

  4. Loại Negoallowntlmpwdchangefallback cho tên DWORD, và sau đó nhấn Enter.

  5. Bấm chuột phải vào Negoallowntlmpwdchangefallback, và sau đó bấm sửa đổi.

  6. Trong ô dữ liệu giá trị , nhập 1 để vô hiệu hoá thay đổi này, và sau đó bấm OK. Lưu ý Để khôi phục giá trị mặc định, gõ 0 (không), và sau đó bấm OK.

  Status Nguyên nhân gốc rễ của vấn đề này được hiểu. Bài viết này sẽ được Cập Nhật với các chi tiết bổ sung khi chúng trở nên có sẵn.

Phương pháp 1: Windows Update

Bản cập nhật này sẽ được tải xuống và cài đặt tự động.

Phương pháp 2: danh mục Microsoft Update

Để có được gói độc lập cho bản cập nhật này, hãy truy cập trang web danh mục Microsoft Update .

Điều kiện tiên quyết

Không có không có điều kiện tiên quyết để cài đặt bản cập nhật này.

Thông tin về khởi động lại

Bạn phải khởi động lại máy tính sau khi áp dụng bản cập nhật này.

Thông tin về thay thế bản cập nhật

Bản cập nhật này thay thế bản Cập Nhật đã phát hành 3163912.