Microsoft MS16-101: mô tả về bản Cập Nhật bảo mật cho các phương pháp xác thực Windows: ngày 9 tháng 8, 2016

Tóm tắt

Bản Cập Nhật bảo mật này giải quyết nhiều lỗ hổng trong Microsoft Windows. Các lỗ hổng có thể cho phép độ cao của đặc quyền nếu kẻ tấn công chạy một ứng dụng đặc biệt crafted trên hệ thống gia nhập tên miền.

Để tìm hiểu thêm về các lỗ hổng, hãy xem thông báo bảo mật của Microsoft Microsoft ms16-101.

Thông tin Bổ sung

Quan trọng

• Tất cả các bản Cập Nhật bảo mật và không bảo mật trong tương lai cho Windows 8,1 và Windows Server 2012 R2 sẽ yêu cầu Cập Nhật 2919355 sẽ được cài đặt. Chúng tôi khuyên bạn nên cài đặt bản Cập Nhật 2919355 trên máy tính chạy Windows 8,1 dựa trên Windows hoặc windows server 2012 R2 để bạn nhận được các bản Cập Nhật trong tương lai.

• Nếu bạn cài đặt gói ngôn ngữ sau khi cài đặt bản cập nhật này, bạn phải cài đặt lại bản cập nhật này. Do đó, chúng tôi khuyên bạn nên cài đặt bất kỳ gói ngôn ngữ nào bạn cần trước khi cài đặt bản cập nhật này. Để biết thêm thông tin, hãy xem Thêm các gói ngôn ngữ vào Windows.

Các vấn đề đã biết trong bản Cập Nhật bảo mật này

• Sự cố đã biết 1
  
  các bản Cập Nhật bảo mật được cung cấp trong Microsoft ms16-101 và các bản cập nhật mới tắt khả năng xử lý thương lượng để thu lại NTLM khi Kerberos xác thực không thành công với các hoạt động thay đổi mật khẩu với mã lỗi STATUS_NO_LOGON_SERVERS (0xc000005e). Trong tình huống này, bạn có thể nhận được một trong các mã lỗi sau đây.
  
  

  Chữ	Ám	/	Friendly
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	Hệ thống phát hiện một nỗ lực có thể xảy ra để bảo mật thỏa hiệp. Vui lòng đảm bảo rằng bạn có thể liên hệ với máy chủ mà bạn đã xác thực.
  0x5f1	1265	ERROR_DOWNGRADE_DETECTED	Hệ thống phát hiện một nỗ lực có thể xảy ra để bảo mật thỏa hiệp. Vui lòng đảm bảo rằng bạn có thể liên hệ với máy chủ mà bạn đã xác thực.

  
  
  Giải pháp
  
  thay thế nếu mật khẩu thay đổi mà trước đó đã thành công sau khi cài đặt Microsoft ms16-101, có thể thay đổi mật khẩu trước đây sẽ phụ thuộc vào NTLM dự phòng vì Kerberos không thành công. Để thay đổi mật khẩu thành công bằng cách sử dụng giao thức Kerberos, hãy làm theo các bước sau đây:
  
  
  

  1. Cấu hình liên lạc đang mở trên TCP cổng 464 giữa các máy khách đã cài đặt Microsoft MS16-101 và bộ điều khiển tên miền đang phục vụ resets mật khẩu.
     
     Bộ điều khiển tên miền chỉ đọc (RODCs) có thể đặt lại mật khẩu dịch vụ tự phục vụ nếu người dùng được cho phép bởi chính sách nhân rộng mật khẩu RODCs. Người dùng không được chính sách mật khẩu RODC cho phép yêu cầu kết nối mạng với bộ điều khiển tên miền đọc/viết (RWDC) trong tên miền tài khoản người dùng.
     
     Lưu ý để kiểm tra xem TCP cổng 464 đang mở, hãy làm theo các bước sau đây:
     
     
     

     1. Tạo bộ lọc Hiển thị tương đương cho phân tích cú pháp màn hình mạng của bạn. Ví dụ:
        

        IPv4. Address = = <địa chỉ IP của máy khách> && TCP. Port = = 464

     2. Trong kết quả, hãy tìm kiếm "TCP: [SynReTransmit" frame.
        
        

  2. Hãy đảm bảo rằng tên Kerberos đích có hiệu lực. (Địa chỉ IP không hợp lệ cho giao thức Kerberos. Kerberos hỗ trợ tên ngắn và tên miền đủ điều kiện.)

  3. Hãy đảm bảo rằng tên chính của dịch vụ (SPNs) được đăng ký chính xác.
     
     Để biết thêm thông tin, hãy xem mục lập lại Kerberos và Self-Service mật khẩu.

• Vấn đề đã biết 2
  
  chúng tôi biết về sự cố khi trình đặt lại mật khẩu trình đặt lại tài khoản người dùng tên miền không thành công và trả về mã lỗi STATUS_DOWNGRADE_DETECTED (0x800704F1) nếu lỗi dự kiến là một trong những thao tác sau đây:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (hiếm khi trả về)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  Bảng sau đây Hiển thị ánh xạ lỗi đầy đủ.
  
  

  Chữ	Ám	/	Friendly
  0x56	86	ERROR_INVALID_PASSWORD	Mật khẩu mạng đã xác định không chính xác.
  0x267	615	ERROR_PWD_TOO_SHORT	Mật khẩu đã được cung cấp quá ngắn để đáp ứng chính sách tài khoản người dùng của bạn. Vui lòng cung cấp mật khẩu dài hơn.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Khi bạn tìm cách cập nhật mật khẩu, trạng thái trả về này cho biết giá trị đã được cung cấp dưới dạng mật khẩu hiện tại không chính xác.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Khi bạn tìm cách cập nhật mật khẩu, trạng thái trả về này cho biết rằng một số quy tắc Cập nhật mật khẩu bị xâm phạm. Ví dụ, mật khẩu có thể không đáp ứng được tiêu chí độ dài.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	Hệ thống không thể liên hệ với bộ điều khiển tên miền để dịch vụ yêu cầu xác thực. Vui lòng thử lại sau.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	Hệ thống không thể liên hệ với bộ điều khiển tên miền để dịch vụ yêu cầu xác thực. Vui lòng thử lại sau.

  
  
  Giải pháp
  
  Microsoft ms16-101 đã được phát hành lại để giải quyết vấn đề này. Cài đặt phiên bản mới nhất của các bản Cập Nhật cho bản tin này để giải quyết sự cố này.
  
  

• Vấn đề đã biết 3
  
  chúng tôi biết về sự cố trong đó việc đặt lại các thay đổi của tài khoản người dùng cục bộ có thể không thành công và trả về mã lỗi STATUS_DOWNGRADE_DETECTED (0x800704F1).
  
  Bảng sau đây Hiển thị ánh xạ lỗi đầy đủ.
  
  

  Chữ	Ám	/	Friendly
  0x5f1	1265	ERROR_DOWNGRADE_DETECTED	Hệ thống không thể liên hệ với bộ điều khiển tên miền để dịch vụ yêu cầu xác thực. Vui lòng thử lại sau.

  
  
  Giải pháp
  
  Microsoft ms16-101 đã được phát hành lại để giải quyết vấn đề này. Cài đặt phiên bản mới nhất của các bản Cập Nhật cho bản tin này để giải quyết sự cố này.
  
  

• Sự cố đã biết 4
  
  mật khẩu cho tài khoản người dùng bị vô hiệu hóa và không thể thay đổi bằng cách dùng gói thương lượng.
  
  
  Thay đổi mật khẩu cho các tài khoản đã tắt và đã bị khóa sẽ vẫn hoạt động khi sử dụng các phương pháp khác chẳng hạn như khi sử dụng LDAP để sửa đổi thao tác trực tiếp. Ví dụ, lệnh ghép ngắn PowerShell Set-ADAccountPassword sử dụng thao tác "LDAP Modify" để thay đổi mật khẩu và vẫn không bị ảnh hưởng.
  
  Giải pháp thay thế
  
  các tài khoản này cần người quản trị để đặt lại mật khẩu. Hành vi này là do thiết kế sau khi bạn cài đặt Microsoft MS16-101 và các bản sửa lỗi sau này.
  
  

• Sự cố đã biết 5
  
  ứng dụng sử dụng API NetUserChangePassword và thông qua tên ServerName trong tham số domainname sẽ không còn hoạt động sau khi cài đặt các bản cập nhật Microsoft ms16 và sau này.
  
  Các trạng thái tài liệu Microsoft cung cấp tên máy chủ từ xa trong tham số domainname của hàm NetUserChangePassword được hỗ trợ. Ví dụ: chủ đề của hàm netuserchangepassword là các tiểu bang như sau:
  
  domainname [trong]
  

  Một con trỏ đến một chuỗi hằng số xác định DNS hoặc NetBIOS tên của một máy chủ hoặc tên miền từ xa mà hàm is thực thi. Nếu tham số này là NULL, tên miền đăng nhập của người gọi được sử dụng. Tuy nhiên, hướng dẫn này đã bị thay thế bởi Microsoft MS16-101, trừ khi đặt lại mật khẩu dành cho tài khoản cục bộ trên máy tính cục bộ. Đăng Microsoft MS16-101, để thay đổi mật khẩu người dùng tên miền để làm việc, bạn phải chuyển một tên miền DNS hợp lệ vào API NetUserChangePassword.

• Sự cố đã biết 6
  
  sau khi bạn cài đặt bản cập nhật này, bạn có thể gặp phải lỗi xác thực của NTLM 022. Để giải quyết vấn đề này, hãy xem mục xác thực NTLM không thành công với lỗi 0xC0000022 cho Windows Server 2012, windows 8,1 và Windows Server 2012 R2 sau khi Cập Nhật được áp dụng.

• Sự cố đã biết 7
  
  sau khi bạn cài đặt các bản Cập Nhật bảo mật được mô tả trong Microsoft ms16-101, Remote, tính lập trình sẽ thay đổi thành mật khẩu tài khoản người dùng cục bộ và thay đổi mật khẩu trong rừng không đáng tin cậy.
  
  
  Thao tác này không thành công vì thao tác dựa vào NTLM Fall-Back mà không còn được hỗ trợ cho các tài khoản không thuộc địa phương sau khi cài đặt Microsoft MS16-101.
  
  
  Mục nhập sổ đăng ký được cung cấp mà bạn có thể sử dụng để tắt thay đổi này.
  
  Cảnh báo giải pháp thay thế này có thể làm cho máy tính hoặc mạng dễ bị tấn công bởi những người dùng có hại hoặc bằng phần mềm độc hại chẳng hạn như vi-rút. Chúng tôi không đề xuất giải pháp thay thế này nhưng đang cung cấp thông tin này để bạn có thể thực hiện giải pháp thay thế này theo quyết định của riêng mình. Bạn tự chịu rủi ro khi sử dụng cách này.
  
  Phần, phương pháp hoặc tác vụ của ImportantThis chứa các bước cho bạn biết cách sửa đổi sổ đăng ký. Tuy nhiên, có thể xảy ra sự cố nghiêm trọng nếu bạn sửa đổi sổ đăng ký không đúng cách. Do đó, hãy đảm bảo rằng bạn làm theo các bước này cẩn thận. Để bảo vệ tốt hơn, hãy sao lưu sổ đăng ký trước khi bạn sửa đổi. Sau đó, bạn có thể khôi phục sổ đăng ký nếu xảy ra sự cố. Để biết thêm thông tin về cách sao lưu và khôi phục sổ đăng kư, hăy bấm số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:

  322756Làm thế nào để sao lưu và khôi phục sổ đăng ký trong Windows
  
  để tắt tính năng thay đổi này, hãy thiết lập mục nhập bày_ngàihướng dẫn trong một giá trị của 1 (một).
  
  
  Thiết đặt quan trọng trong mục nhập vào một giá trị của 1 sẽ vô hiệu hóa bản sửa lỗi bảo mật này:
  

  Giá trị sổ đăng ký	Mô tả
  4-0	Giá trị mặc định. Trả trước bị ngăn chặn.
  1	Trả trước luôn được phép. Bản sửa lỗi bảo mật bị tắt. Khách hàng đang gặp sự cố với các tài khoản cục bộ từ xa hoặc các kịch bản không tin cậy có thể đặt sổ đăng ký vào giá trị này.

  Để thêm các giá trị sổ đăng ký này, hãy làm theo các bước sau đây:
  

  1. Bấm vào bắt đầu, bấm vào chạy, nhập regedit vào hộp mở , rồi bấm OK.

  2. Định vị rồi bấm vào khóa phụ sau đây trong sổ đăng ký:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. Trên menu Chỉnh sửa, trỏ chuột vào Mới, sau đó bấm Giá trị DWORD.

  4. Nhập Negoallowntlmpwaquay lại cho tên của DWORD, rồi nhấn ENTER.

  5. Bấm chuột phải vào Negoallowntlmpwchichangefallback, rồi bấm vào sửa đổi.

  6. Trong hộp dữ liệu giá trị , nhập 1 để tắt thay đổi này, sau đó bấm OK.
     
     
     Lưu ý để khôi phục giá trị mặc định, nhập 0 (không), rồi bấm OK.

  Trạng thái
  
  nguyên nhân gốc của vấn đề này được hiểu. Bài viết này sẽ được Cập Nhật với các chi tiết bổ sung khi chúng trở nên sẵn dùng.

Cách tải và cài đặt bản Cập Nhật

Phương pháp 1: Windows Update

Bản cập nhật này sẵn dùng thông qua Windows Update. Khi bạn bật tính năng Cập nhật tự động, bản cập nhật này sẽ được tải xuống và cài đặt tự động. Để biết thêm thông tin về cách bật Cập nhật tự động, hãy xem
nhận các bản Cập Nhật bảo mật tự động.

Phương pháp 2: danh mục Microsoft Update

Để lấy gói độc lập cho bản cập nhật này, hãy đi đến trang web Microsoft Update Catalog .

Phương pháp 3: Trung tâm tải xuống của Microsoft

Bạn có thể nhận được gói Cập Nhật độc lập thông qua Trung tâm tải xuống của Microsoft. Làm theo hướng dẫn cài đặt trên trang tải xuống để cài đặt bản Cập Nhật.

Bấm vào nối kết tải xuống trong Microsoft Security Bulletin Microsoft ms16-101 tương ứng với phiên bản Windows mà bạn đang chạy.

Thông tin Bổ sung

Cách nhận trợ giúp và hỗ trợ cho bản Cập Nhật bảo mật này

Trợ giúp cài đặt bản Cập Nhật: hỗ trợ cho Microsoft Update

Giải pháp bảo mật cho chuyên gia CNTT: hỗ trợ khắc phục sự

cố và bảo mật TechNet Trợ giúp bảo vệ máy tính chạy Windows của bạn khỏi vi-rút và Malware: giải pháp vi-rút và Trung tâm

bảo mật Hỗ trợ cục bộ theo quốc gia của bạn: hỗ trợ quốc tế

Thông tin tệp