摘要
此安全更新程序修复了 Microsoft Windows 中的一个漏洞。 如果攻击者对域控制器与目标计算机之间传递的流量启动中间人 (MiTM) 攻击,此漏洞可能允许特权提升。 若要了解此漏洞的更多信息,请参阅 Microsoft 安全公告 MS16-072。
有关此安全更新程序的其他信息
下列文章包含此安全更新针对具体产品版本的其他信息。 文章可能包含已知问题信息。
已知问题
MS16-072 更改用于检索用户组策略的安全性上下文。 此特意设计的行为变更保护客户的计算机免受安全漏洞的侵害。 在安装 MS16-072 之前,通过使用用户的安全性上下文检索用户组策略。 在安装 MS16-072 之后,通过使用计算机的安全性上下文检索用户组策略。 此问题适用于以下知识库文章:
-
3159398 MS16-072: 组策略安全更新说明: 2016 年 6 月 14 日
-
3163017 Windows 10 累积更新: 2016 年 6 月 14 日
-
3163018 Windows 10 版本 1511 和 Windows Server 2016 Technical Preview 4 累积更新: 2016 年 6 月 14 日
-
3163016 Windows Server 2016 Technical Preview 5 累积更新: 2016 年 6 月 14 日
症状
所有用户组策略(包括那些在用户帐户、安全组或两者上已安全筛选的用户组策略)可能无法在加入域的计算机上应用。
原因
如果组策略对象缺少 Authenticated Users 组的读取权限,或者如果你正在使用安全筛选且缺少域计算机组的读取权限,则可能出现此问题。
解决方案
若要解决此问题,请使用组策略管理控制台 (GPMC.MSC),并执行下列步骤之一:
-
在组策略对象 (GPO) 上添加具有读取权限的 Authenticated Users 组。
-
如果你正在使用安全筛选,请添加具有读取权限的 Domain Computers 组。
注意: 如果在合并模式中启用了环回处理模式,则必须添加组策略所针对的特定用户和特定计算机。 为此,在“组策略管理控制台”中,选择所需的“组策略”,然后单击“作用域”选项卡。 在“安全筛选”区域中,单击“添加”,然后添加特定用户和计算机。
如何获取并安装更新
方法 1: Windows 更新
可以通过 Windows 更新获取此更新。 当你开启自动更新后,系统会自动下载并安装此更新。 有关如何开启自动更新的更多信息,请参阅自动获取安全更新。注意 对于 Windows RT 8.1,此更新仅可通过 Windows 更新获得。
可以通过 Microsoft 下载中心获取独立的更新包。 若要安装此更新程序,请按照下载页上的安装说明操作。单击 Microsoft 安全公告 MS16-072 中与你运行的 Windows 版本相对应的下载链接。
更多信息
Windows Vista(所有版本)引用表下表包含此软件的安全更新信息。
|
安全更新文件名 |
对于所有受支持的 32 位 Windows Vista 版本:Windows6.0-KB3159398-x86.msu |
|
对于所有受支持的基于 x64 的 Windows Vista 版本:Windows6.0-KB3159398-x64.msu |
|
|
安装开关 |
|
|
重启要求 |
应用此安全更新程序后,必须重启系统。 |
|
删除信息 |
WUSA.exe 不支持卸载更新。 若要卸载由 WUSA 安装的更新,请依次单击“控制面板”和“安全”。 在“Windows 更新”下,单击“查看已安装的更新”,然后在更新列表中进行选择。 |
|
文件信息 |
|
|
注册表项验证 |
注意 不存在可验证此更新是否存在的注册表项。 |
Windows Server 2008(所有版本)引用表下表包含此软件的安全更新信息。
|
安全更新文件名 |
对于所有受支持的 32 位 Windows Server 2008 版本:Windows6.0-KB3159398-x86.msu |
|
对于所有受支持的基于 x64 的 Windows Server 2008 版本:Windows6.0-KB3159398-x64.msu |
|
|
对于所有受支持的基于 Itanium 的 Windows Server 2008 版本:Windows6.0-KB3159398-ia64.msu |
|
|
安装开关 |
|
|
重启要求 |
应用此安全更新程序后,必须重启系统。 |
|
删除信息 |
WUSA.exe 不支持卸载更新。 若要卸载由 WUSA 安装的更新,请依次单击“控制面板”和“安全”。 在“Windows 更新”下,单击“查看已安装的更新”,然后在更新列表中进行选择。 |
|
文件信息 |
|
|
注册表项验证 |
注意 不存在可验证此更新是否存在的注册表项。 |
Windows 7(所有版本)引用表下表包含此软件的安全更新信息。
|
安全更新文件名 |
对于所有受支持的 32 位 Windows 7 版本:Windows6.1-KB3159398-x86.msu |
|
对于所有受支持的基于 x64 的 Windows 7 版本:Windows6.1-KB3159398-x64.msu |
|
|
安装开关 |
|
|
重启要求 |
应用此安全更新程序后,必须重启系统。 |
|
删除信息 |
若要卸载由 WUSA 安装的更新,请使用 /Uninstall 安装开关,或者依次单击“控制面板”、“系统和安全”,然后在“Windows 更新”下,单击“查看已安装的更新”,并在更新列表中进行选择。 |
|
文件信息 |
|
|
注册表项验证 |
注意 不存在可验证此更新是否存在的注册表项。 |
Windows Server 2008 R2(所有版本)引用表下表包含此软件的安全更新信息。
|
安全更新文件名 |
对于所有受支持的基于 x64 的 Windows Server 2008 R2 版本:Windows6.1-KB3159398-x64.msu |
|
对于所有受支持的基于 Itanium 的 Windows Server 2008 R2 版本:Windows6.1-KB3159398-ia64.msu |
|
|
安装开关 |
|
|
重启要求 |
应用此安全更新程序后,必须重启系统。 |
|
删除信息 |
若要卸载由 WUSA 安装的更新,请使用 /Uninstall 安装开关,或者依次单击“控制面板”、“系统和安全”,然后在“Windows 更新”下,单击“查看已安装的更新”,并在更新列表中进行选择。 |
|
文件信息 |
|
|
注册表项验证 |
注意 不存在可验证此更新是否存在的注册表项。 |
Windows 8.1(所有版本)引用表下表包含此软件的安全更新信息。
|
安全更新文件名 |
对于所有受支持的 32 位 Windows 8.1 版本:Windows8.1-KB3159398-x86.msu |
|
对于所有受支持的基于 x64 的 Windows 8.1 版本:Windows8.1-KB3159398-x64.msu |
|
|
安装开关 |
|
|
重启要求 |
应用此安全更新程序后,必须重启系统。 |
|
删除信息 |
若要卸载由 WUSA 安装的更新,请使用 /Uninstall 设置开关,或者依次单击“控制面板”、“系统和安全”和“Windows 更新”,然后在“另请参阅”下方,单击“已安装的更新”,并从更新列表中进行选择。 |
|
文件信息 |
|
|
注册表项验证 |
注意 不存在可验证此更新是否存在的注册表项。 |
Windows Server 2012 和 Windows Server 2012 R2(所有版本)引用表下表包含此软件的安全更新信息。
|
安全更新文件名 |
对于所有受支持的 Windows Server 2012 版本:Windows8-RT-KB3159398-x64.msu |
|
对于所有受支持的 Windows Server 2012 R2 版本:Windows8.1-KB3159398-x64.msu |
|
|
安装开关 |
|
|
重启要求 |
应用此安全更新程序后,必须重启系统。 |
|
删除信息 |
若要卸载由 WUSA 安装的更新,请使用 /Uninstall 设置开关,或者依次单击“控制面板”、“系统和安全”和“Windows 更新”,然后在“另请参阅”下方,单击“已安装的更新”,并从更新列表中进行选择。 |
|
文件信息 |
|
|
注册表项验证 |
注意 不存在可验证此更新是否存在的注册表项。 |
Windows RT 8.1(所有版本)参考表下表包含此软件的安全更新信息。
|
部署 |
只能通过 Windows 更新获取这些更新。 |
|
重启要求 |
应用此安全更新程序后,必须重启系统。 |
|
删除信息 |
依次单击“控制面板”、“系统和安全”和“Windows 更新”,然后在“另请参阅”下单击“已安装的更新”,并从更新列表中进行选择。 |
|
文件信息 |
Windows 10(所有版本)引用表下表包含此软件的安全更新信息。
|
安全更新文件名 |
对于所有受支持的 32 位 Windows 10 版本:Windows10.0-KB3163017-x86.msu |
|
对于所有受支持的基于 x64 的 Windows 10 版本:Windows10.0-KB3163017-x64.msu |
|
|
对于所有受支持的 32 位版本的 Windows 10 1511 版本:Windows10.0-KB3163018-x86.msu |
|
|
对于所有受支持的基于 x64 的版本的 Windows 10 版本 1511:Windows10.0-KB3163018-x64.msu |
|
|
安装开关 |
|
|
重启要求 |
应用此安全更新程序后,必须重启系统。 |
|
删除信息 |
若要卸载由 WUSA 安装的更新,请使用 /Uninstall 设置开关,或者依次单击“控制面板”、“系统和安全”和“Windows 更新”,然后在“另请参阅”下方,单击“已安装的更新”,并从更新列表中进行选择。 |
|
文件信息 |
|
|
注册表项验证 |
注意 不存在可验证此更新是否存在的注册表项。 |
安装更新程序的帮助: 微软更新 (Microsoft Update) 帮助和支持中心IT 专业人员安全解决方案: TechNet 安全疑难解答与支持帮助保护您基于 Windows 的计算机不受病毒和恶意软件的侵害: 病毒解决方案和安全中心基于国家/地区的本地支持: 国际支持
更多信息
重要说明
-
今后所有适用于 Windows RT 8.1、Windows 8.1 和 Windows Server 2012 R2 的安全更新和与安全无关的更新均要求安装更新 2919355。 我们建议在基于 Windows RT 8.1、Windows 8.1 或 Windows Server 2012 R2 的计算机上安装更新 2919355,以便今后持续接收更新。
-
如果在安装此更新程序后安装语言包,则必须重新安装此更新程序。 因此,我们建议先安装所需的全部语言包,然后再安装此更新程序。 有关更多信息,请参阅添加语言包至 Windows。
