Quan trọng Bài viết này cung cấp thông tin hướng dẫn bạn cách giảm các thiết đặt bảo mật hoặc tắt các tính năng bảo mật trên máy tính. Bạn có thể thực hiện những thay đổi này để giải quyết một vấn đề cụ thể. Trước khi bạn thực hiện những thay đổi này, chúng tôi khuyên bạn nên đánh giá những rủi ro liên quan đến việc áp dụng cách này trong môi trường riêng của bạn. Nếu bạn áp dụng cách này, hãy tiến hành các bước bổ sung thích hợp để giúp bảo vệ máy tính.

Tóm tắt

Bản Cập Nhật bảo mật này bao gồm các cải tiến và khắc phục chức năng của Windows 10. Nó cũng giải quyết các lỗ hổng sau đây trong Windows:

  • 3177356 MS16-095: Cập Nhật bảo mật tích luỹ cho Internet Explorer: 9 tháng 8 năm 2016

  • 3177358 MS16-096: Cập Nhật bảo mật tích luỹ cho Microsoft Edge: 9 tháng 8 năm 2016

  • 3177393 MS16-097: Cập Nhật bảo mật cho cấu phần đồ hoạ Microsoft: 9 tháng 8 năm 2016

  • 3178466 MS16-098: Cập Nhật bảo mật cho trình điều khiển chế độ lõi: tháng 9, 2016

  • 3178465 MS16-101: Cập Nhật bảo mật cho các phương pháp xác thực Windows: 9 tháng 8 năm 2016

  • 3182248 MS16-102: Cập Nhật bảo mật cho Microsoft Windows PDF thư viện: 9 tháng 8 năm 2016

  • 3182332 MS16-103: Cập Nhật bảo mật cho ActiveSyncProvider: ngày 9 tháng 8 năm 2016

Bản cập nhật Windows 10 được tích luỹ. Do đó, gói này bao gồm tất cả bản vá đã phát hành trước đó. Nếu bạn đã cài đặt bản Cập Nhật trước đó, chỉ các bản vá lỗi mới được bao gồm trong gói này sẽ được tải xuống và cài đặt trên máy tính của bạn. Nếu bạn đang cài đặt gói cập nhật Windows 10 lần đầu tiên, gói cho x86 Phiên bản là 366 MB và gói dành cho các phiên bản x64 là 776 MB.

Thông tin Bổ sung

Các vấn đề trong bản Cập Nhật bảo mật này

  • Vấn đề 1 Bản Cập Nhật bảo mật được cung cấp trong MS16-101 và các bản Cập Nhật vô hiệu hoá khả năng của quá trình đàm phán để trở lại NTLM khi Kerberos xác thực không thành công cho hoạt động thay đổi mật khẩu với STATUS_NO_LOGON_SERVERS (0xc000005e) mã lỗi. Trong trường hợp này, bạn có thể nhận được một mã lỗi sau.

    Hexadecimal

    Thập phân

    Tượng trưng

    Thân thiện

    0xc0000388

    1073740920

    STATUS_DOWNGRADE_DETECTED

    Hệ thống phát hiện một nỗ lực có thể thỏa hiệp bảo mật. Hãy chắc chắn rằng bạn có thể liên hệ với máy chủ xác thực bạn.

    0x4f1

    1265

    ERROR_DOWNGRADE_DETECTED

    Hệ thống phát hiện một nỗ lực có thể thỏa hiệp bảo mật. Hãy chắc chắn rằng bạn có thể liên hệ với máy chủ xác thực bạn.

    Workaround Nếu thay đổi mật khẩu đã thành công thất bại sau khi cài đặt MS16-101, có thể thay đổi mật khẩu đã được dựa trên NTLM dự phòng vì Kerberos đã thất bại. Để thay đổi mật khẩu thành công bằng cách sử dụng giao thức Kerberos, hãy làm theo các bước sau:

    1. Cấu hình mở giao tiếp trên cổng TCP 464 giữa các khách hàng có MS16-101 cài đặt và bộ điều khiển vùng cung cấp dịch vụ mật khẩu Reset. Bộ điều khiển miền chỉ đọc (RODCs) có thể dịch vụ tự phục vụ lại mật khẩu nếu người dùng được cho phép bởi chính sách nhân RODCs mật khẩu. Người dùng không được phép bởi chính sách mật khẩu RODC yêu cầu kết nối mạng cho bộ điều khiển miền đọc/ghi (RWDC) trong miền tài khoản người dùng. Lưu ý Để kiểm tra xem TCP cổng 464 đang mở, hãy làm theo các bước sau:

      1. Tạo một bộ lọc Hiển thị tương đương cho mạng của bạn theo dõi phân tích cú pháp. Ví dụ:

        
         
        ipv4.address== <ip address of client> && tcp.port==464
      2. Trong kết quả, tìm kiếm "TCP: [Synretruyền" khung. Tóm tắt khung

    2. Đảm bảo rằng tên Kerberos đích hợp lệ. (Địa chỉ IP không hợp lệ cho giao thức Kerberos. Kerberos hỗ trợ tên ngắn và tên miền đủ điều kiện.)

    3. Đảm bảo rằng tên chính Dịch vụ (SPN) được đăng ký đúng cách. Để biết thêm thông tin, xem Kerberos và đặt lại mật khẩu tự dịch vụ.

  • Vấn đề 2 Chúng tôi biết về sự cố trong đó lập trình mật khẩu của tài khoản người dùng miền không thành công và trả lại mã lỗi STATUS_DOWNGRADE_DETECTED (0x800704F1) nếu thất bại dự kiến là một trong những điều sau đây:

    • ERROR_INVALID_PASSWORD

    • ERROR_PWD_TOO_SHORT (hiếm khi trả lại)

    • STATUS_WRONG_PASSWORD

    • STATUS_PASSWORD_RESTRICTION

    Bảng sau hiển thị ánh xạ lỗi đầy đủ.

    Hexadecimal

    Thập phân

    Tượng trưng

    Thân thiện

    0x56

    86

    ERROR_INVALID_PASSWORD

    Mật khẩu mạng được chỉ định không chính xác.

    0x267

    615

    ERROR_PWD_TOO_SHORT

    Mật khẩu được cung cấp quá ngắn để đáp các chính sách của tài khoản người dùng của bạn. Vui lòng cung cấp mật khẩu dài hơn.

    0xc000006a

    -1073741718

    STATUS_WRONG_PASSWORD

    Khi bạn cố gắng Cập nhật mật khẩu, trạng thái trở lại này chỉ ra rằng giá trị được cung cấp như mật khẩu hiện tại không chính xác.

    0xc000006c

    -1073741716

    STATUS_PASSWORD_RESTRICTION

    Khi bạn cố gắng Cập nhật mật khẩu, trạng thái trở lại này chỉ ra rằng một số quy tắc Cập nhật mật khẩu bị vi phạm. Ví dụ: mật khẩu có thể không đáp đối các tiêu chí về độ dài.

    0x800704F1

    1265

    STATUS_DOWNGRADE_DETECTED

    Hệ thống không thể liên hệ với bộ điều khiển miền để dịch vụ yêu cầu xác thực. Vui lòng thử lại sau.

    0xc0000388

    -1073740920

    STATUS_DOWNGRADE_DETECTED

    Hệ thống không thể liên hệ với bộ điều khiển miền để dịch vụ yêu cầu xác thực. Vui lòng thử lại sau.

    Độ phân giảiMS16-101 đã được phát hành lại để khắc phục sự cố này. Cài đặt phiên bản mới nhất của các bản Cập Nhật cho tin này để giải quyết vấn đề này.

  • Vấn đề 3 Chúng tôi biết về một vấn đề mà chương trình Reset thay đổi mật khẩu tài khoản người dùng cục bộ có thể không thành công và trả lại mã lỗi STATUS_DOWNGRADE_DETECTED (0x800704f1) . Bảng sau hiển thị ánh xạ lỗi đầy đủ.

    Hexadecimal

    Thập phân

    Tượng trưng

    Thân thiện

    0x4f1

    1265

    ERROR_DOWNGRADE_DETECTED

    Hệ thống không thể liên hệ với bộ điều khiển miền để dịch vụ yêu cầu xác thực. Vui lòng thử lại sau.

    Độ phân giảiMS16-101 đã được phát hành lại để khắc phục sự cố này. Cài đặt phiên bản mới nhất của các bản Cập Nhật cho tin này để giải quyết vấn đề này.

  • Vấn đề 4 Mật khẩu cho tài khoản người dùng bị vô hiệu hoá và khóa không thể thay đổi bằng cách sử dụng gói đàm phán. Thay đổi mật khẩu cho tài khoản bị vô hiệu hoá và khóa ra sẽ vẫn hoạt động khi sử dụng các phương pháp khác như khi sử dụng một LDAP sửa đổi hoạt động trực tiếp. Ví dụ: lệnh PowerShell thiết lập ADAccountPassword sử dụng thao tác "LDAP sửa đổi" để thay đổi mật khẩu và vẫn không bị ảnh hưởng. Workaround Các tài khoản này yêu cầu quản trị viên để thực hiện Reset mật khẩu. Hiện tượng này là do thiết kế sau khi bạn cài đặt MS16-101 và sửa chữa sau.

  • Vấn đề 5 Ứng dụng sử dụng Netuserchangepassword API và thông qua một tên máy chủ trong tham số domainname sẽ không hoạt động sau khi MS16-101 và các bản Cập Nhật được cài đặt. Microsoft tài liệu trạng thái cung cấp tên máy chủ từ xa trong tham số domainname của chức năng Netuserchangepassword được hỗ trợ. Ví dụ, chủ đề MSDN Netuserchangepassword chức năng trạng thái sau: domainname [trong]

    Con trỏ đến một chuỗi liên tục chỉ định tên DNS hoặc NetBIOS của máy chủ từ xa hoặc miền có chức năng thực hiện. Nếu tham số này là NULL, miền đăng nhập của người gọi được sử dụng.Tuy nhiên, hướng dẫn này đã được thay thế bởi MS16-101, trừ khi đặt lại mật khẩu cho tài khoản cục bộ trên máy tính cục bộ. Đăng MS16-101, để thay đổi mật khẩu người dùng miền để làm việc, bạn phải vượt qua một tên miền DNS hợp lệ cho NetUserChangePassword API.

  • Vấn đề 6 Sau khi bạn áp dụng bản Cập Nhật bảo mật này, và sau đó bạn in nhiều tài liệu liên tiếp, hai tài liệu đầu tiên có thể in thành công nhưng thứ ba và các tài liệu có thể không in. Để giải quyết vấn đề này, thực hiện một trong những điều sau đây:

    • Cài đặt bản Cập Nhật 3187022. Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

      3187022 chức năng in bị hỏng sau khi bất kỳ bản Cập Nhật bảo mật MS16-098 được cài đặt

    • Cài đặt bản Cập Nhật 3186987 từ trang web danh mục Microsoft Update .

    Vấn đề này cũng được giải quyết trong Microsoft Security Bulletin MS16-106.

  • Vấn đề 7 Sau khi bạn cài đặt các bản Cập Nhật bảo mật được mô tả trong MS16-101, từ xa, chương trình thay đổi mật khẩu tài khoản người dùng cục bộ và thay đổi mật khẩu trên nhóm không đáng tin cậy. Thao tác này không thành công vì hoạt động dựa trên NTLM rơi trở lại không được hỗ trợ cho tài khoản nonlocal sau khi MS16-101 được cài đặt. Mục đăng ký được cung cấp mà bạn có thể sử dụng để vô hiệu hoá thay đổi này. Cảnh báo giải pháp này có thể khiến máy tính hoặc mạng dễ bị tấn công bởi người dùng nguy hiểm hoặc bởi phần mềm nguy hiểm như vi-rút. Chúng tôi không khuyên bạn nên giải pháp này nhưng cung cấp thông tin này để bạn có thể áp dụng cách này theo quyết định riêng của bạn. Sử dụng giải pháp này rủi ro của riêng bạn. Quan trọngphần này, phương pháp hoặc tác vụ chứa các bước đó cho bạn biết làm thế nào để sửa đổi sổ đăng ký. Tuy nhiên, vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi sổ đăng ký không chính xác. Do đó, hãy chắc chắn rằng bạn làm theo các bước sau cẩn thận. Để bảo vệ thêm, sao lưu sổ đăng ký trước khi bạn sửa đổi nó. Sau đó, bạn có thể khôi phục sổ đăng ký nếu sự cố xảy ra. Để biết thêm thông tin về cách sao lưu và khôi phục sổ đăng ký, hãy bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

    322756 Làm thế nào để sao lưu và khôi phục sổ đăng ký trong WindowsĐể vô hiệu hoá thay đổi này, đặt mục Negoallowntlmpwdchangefallback DWORD sử dụng giá trị 1 (một). Quan trọng Thiết lập mục đăng ký Negoallowntlmpwdchangefallback giá trị 1 sẽ vô hiệu hoá sửa chữa bảo mật:

    Giá trị đăng ký

    Mô tả

    0

    Giá trị mặc định. Dự bị ngăn chặn.

    1

    Dự bị luôn được cho phép. Sửa chữa bảo mật bị tắt. Khách hàng đang gặp sự cố với tài khoản cục bộ từ xa hoặc tình huống nhóm không đáng tin cậy có thể đặt sổ đăng ký giá trị này.

    Để thêm các giá trị đăng ký, hãy làm theo các bước sau:

    1. Bấm bắt đầu, bấm chạy, gõ regedit trong ô mở , và sau đó bấm OK.

    2. Định vị và sau đó bấm vào khoá sau trong sổ đăng ký:

      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

    3. Trên menu Chỉnh sửa, trỏ chuột vào Mới, sau đó bấm Giá trị DWORD.

    4. Loại Negoallowntlmpwdchangefallback cho tên DWORD, và sau đó nhấn Enter.

    5. Bấm chuột phải vào Negoallowntlmpwdchangefallback, và sau đó bấm sửa đổi.

    6. Trong ô dữ liệu giá trị , nhập 1 để vô hiệu hoá thay đổi này, và sau đó bấm OK. Lưu ý Để khôi phục giá trị mặc định, gõ 0 (không), và sau đó bấm OK.

    Status Nguyên nhân gốc rễ của vấn đề này được hiểu. Bài viết này sẽ được Cập Nhật với các chi tiết bổ sung khi chúng trở nên có sẵn.

Cách tải bản cập nhật này

Quan trọng Nếu bạn cài đặt gói ngôn ngữ sau khi bạn cài đặt bản cập nhật này, bạn phải cài đặt bản cập nhật này. Do đó, chúng tôi khuyến nghị bạn cài đặt bất kỳ ngôn ngữ gói mà bạn cần trước khi bạn cài đặt bản cập nhật này. Để biết thêm thông tin, xem thêm gói ngôn ngữ Windows.

Phương pháp 1: Windows Update

Bản cập nhật này sẽ được tải xuống và cài đặt tự động.

Phương pháp 2: danh mục Microsoft Update

Để có được gói độc lập cho bản cập nhật này, hãy truy cập trang web danh mục Microsoft Update .

Điều kiện tiên quyết

Không có không có điều kiện tiên quyết để cài đặt bản cập nhật này.

Thông tin về khởi động lại

Bạn phải khởi động lại máy tính sau khi áp dụng bản cập nhật này.

Thông tin về thay thế bản cập nhật

Bản cập nhật này thay thế bản Cập Nhật đã phát hành 3163912.

Thông tin tệp

Để có danh sách các tệp được cung cấp trong bản Cập Nhật tích luỹ này, tải xuống tệp thông tin Cập Nhật tích luỹ 3176492.

Tham khảo

Tìm hiểu về thuật ngữ Microsoft sử dụng để miêu tả các bản cập nhật phần mềm.

Bạn cần thêm trợ giúp?

Phát triển các kỹ năng của bạn
Khám phá nội dung đào tạo
Sở hữu tính năng mới đầu tiên
Tham gia Microsoft dùng nội bộ

Thông tin này có hữu ích không?

Bạn hài lòng đến đâu với chất lượng dịch thuật?
Điều gì ảnh hưởng đến trải nghiệm của bạn?

Cảm ơn phản hồi của bạn!

×