MS16-072:组策略安全更新程序:2016 年 6 月 14 日

概要
此安全更新程序修复了 Microsoft Windows 中的一个漏洞。如果攻击者对域控制器与目标计算机之间的流量启动中间人 (MiTM) 攻击,此漏洞可能允许特权提升。

若要详细了解此漏洞,请参阅 Microsoft 安全公告 MS16-072
更多信息
重要提示
  • 今后所有适用于 Windows RT 8.1、Windows 8.1 和 Windows Server 2012 R2 的安全更新程序和与安全无关的更新程序均要求安装更新程序 2919355。我们建议在基于 Windows RT 8.1、Windows 8.1 或 Windows Server 2012 R2 的计算机上安装更新程序 2919355,以便今后持续接收更新程序。
  • 如果在安装此更新程序后安装语言包,则必须重新安装此更新程序。因此,我们建议先安装所需的全部语言包,然后再安装此更新程序。有关详细信息,请参阅将语言包添加到 Windows
有关此安全更新的其他信息
下列文章包含此安全更新程序针对具体产品版本的其他信息。文章可能包含已知问题的信息。
  • 3159398 MS16-072:组策略安全更新程序说明:2016 年 6 月 14 日
  • 3163017 Windows 10 累积更新:2016 年 6 月 14 日
  • 3163018 Windows 10 版本 1511 和 Windows Server 2016 Technical Preview 4 累积更新:2016 年 6 月 14 日
已知问题
MS16-072 更改了检索用户组策略所用的安全上下文。该特意设计的行为更改保护客户的计算机免受安全漏洞的攻击。在安装 MS16-072 之前,通过使用用户的安全上下文检索用户组策略。在安装 MS16-072 之后,通过使用计算机的安全上下文检索用户组策略。该问题适用于以下知识库文章:
  • 3159398 MS16-072:组策略安全更新程序说明:2016 年 6 月 14 日
  • 3163017 Windows 10 累积更新:2016 年 6 月 14 日
  • 3163018 Windows 10 版本 1511 和 Windows Server 2016 Technical Preview 4 累积更新:2016 年 6 月 14 日
  • 3163016 Windows Server 2016 Technical Preview 5 累积更新:2016 年 6 月 14 日

症状

所有用户组策略(包括那些在用户帐户、安全组或两者上已安全筛选的用户组策略)可能无法在加入域的计算机上应用。

原因

如果组策略对象缺少已通过身份验证的用户组的读取权限或者你正在使用安全筛选且缺少域计算机组的读取权限,则可能出现此问题。

解决方案

若要解决此问题,请使用组策略管理控制台 (GPMC.MSC),并执行下列步骤之一:
  • 在组策略对象 (GPO) 上添加具有读取权限的已通过身份验证的用户组。
  • 如果你正在使用安全筛选,请添加具有读取权限的域计算机组。

如何获取和安装此更新程序

方法 1:Windows 更新

可以通过 Windows 更新获取此更新程序。当您开启自动更新后,系统会自动下载并安装此更新程序。若要详细了解如何开启自动更新,请参阅自动获取安全更新程序

注意 对于 Windows RT 8.1,此更新程序只能通过 Windows 更新获得。

方法 2:Microsoft 下载中心

可以通过 Microsoft 下载中心获取独立的更新程序包。若要安装此更新程序,请按照下载页上的安装说明操作。

单击 Microsoft 安全公告 MS16-072 中与您运行的 Windows 版本相对应的下载链接。
更多信息

安全更新程序部署信息

Windows Vista(所有版本)

参考表

下表包含此软件的安全更新程序信息。
安全更新程序文件名对于所有受支持的 32 位版本 Windows Vista:
Windows6.0-KB3159398-x86.msu
对于所有受支持的基于 x64 的 Windows Vista 版本:
Windows6.0-KB3159398-x64.msu
安装开关请参阅 Microsoft 知识库文章 934307
重启要求应用此安全更新程序后,必须重启系统。
删除信息WUSA.exe 不支持卸载更新程序。若要卸载由 WUSA 安装的更新程序,请依次单击“控制面板”和“安全”。在“Windows 更新”下,单击“查看安装的更新”并从更新列表中进行选择。
文件信息请参阅 Microsoft 知识库文章 3159398
注册表项验证注意 不存在用于验证此更新程序是否存在的注册表项。

Windows Server 2008(所有版本)

引用表

下表包含此软件的安全更新程序信息。
安全更新程序文件名对于所有受支持的 32 位版本的 Windows Server 2008:
Windows6.0-KB3159398-x86.msu
对于所有受支持的基于 x64 的 Windows Server 2008 版本:
Windows6.0-KB3159398-x64.msu
对于所有受支持的基于 Itanium 的 Windows Server 2008 版本:
Windows6.0-KB3159398-ia64.msu
安装开关请参阅 Microsoft 知识库文章 934307
重启要求应用此安全更新程序后,必须重启系统。
删除信息WUSA.exe 不支持卸载更新程序。若要卸载由 WUSA 安装的更新程序,请依次单击“控制面板”和“安全”。在“Windows 更新”下,单击“查看安装的更新”并从更新列表中进行选择。
文件信息请参阅 Microsoft 知识库文章 3159398
注册表项验证注意 不存在用于验证此更新程序是否存在的注册表项。

Windows 7(所有版本)

引用表

下表包含此软件的安全更新程序信息。
安全更新程序文件名对于所有受支持的 32 位 Windows 7 版本:
Windows6.1-KB3159398-x86.msu
对于所有受支持的基于 x64 的 Windows 7 版本:
Windows6.1-KB3159398-x64.msu
安装开关请参阅 Microsoft 知识库文章 934307
重启要求应用此安全更新程序后,必须重启系统。
删除信息若要卸载由 WUSA 安装的更新,使用 /Uninstall 设置开关,或依次单击“控制面板”和“系统和安全”,然后在“Windows 更新”下,单击“查看已安装的更新”并从更新列表中进行选择。
文件信息请参阅 Microsoft 知识库文章 3159398
注册表项验证注意 不存在用于验证此更新程序是否存在的注册表项。

Windows Server 2008 R2(所有版本)

引用表

下表包含此软件的安全更新程序信息。
安全更新程序文件名对于所有受支持的基于 x64 的 Windows Server 2008 R2 版本:
Windows6.1-KB3159398-x64.msu
对于所有受支持的基于 Itanium 的 Windows Server 2008 R2 版本:
Windows6.1-KB3159398-ia64.msu
安装开关请参阅 Microsoft 知识库文章 934307
重启要求应用此安全更新程序后,必须重启系统。
删除信息若要卸载由 WUSA 安装的更新,使用 /Uninstall 设置开关,或依次单击“控制面板”和“系统和安全”,然后在“Windows 更新”下,单击“查看已安装的更新”并从更新列表中进行选择。
文件信息请参阅 Microsoft 知识库文章 3159398
注册表项验证注意 不存在用于验证此更新程序是否存在的注册表项。

Windows 8.1(所有版本)

引用表

下表包含此软件的安全更新程序信息。
安全更新程序文件名对于所有受支持的 32 位 Windows 8.1 版本:
Windows8.1-KB3159398-x86.msu
对于所有受支持的基于 x64 的 Windows 8.1 版本:
Windows8.1-KB3159398-x64.msu
安装开关请参阅 Microsoft 知识库文章 934307
重启要求应用此安全更新程序后,必须重启系统。
删除信息若要卸载由 WUSA 安装的更新,请使用 /Uninstall 设置开关,或依次单击“控制面板”,“系统和安全”和“Windows 更新”,然后在“另请参阅”下单击“已安装的更新”并从更新列表中进行选择。
文件信息请参阅 Microsoft 知识库文章 3159398
注册表项验证注意 不存在用于验证此更新程序是否存在的注册表项。

Windows Server 2012 和 Windows Server 2012 R2(所有版本)

引用表

下表包含此软件的安全更新程序信息。
安全更新程序文件名对于所有受支持的 Windows Server 2012 版本:
Windows8-RT-KB3159398-x64.msu
对于所有受支持的 Windows Server 2012 R2 版本:
Windows8.1-KB3159398-x64.msu
安装开关请参阅 Microsoft 知识库文章 934307
重启要求应用此安全更新程序后,必须重启系统。
删除信息若要卸载由 WUSA 安装的更新,请使用 /Uninstall 设置开关,或依次单击“控制面板”,“系统和安全”和“Windows 更新”,然后在“另请参阅”下单击“已安装的更新”并从更新列表中进行选择。
文件信息请参阅 Microsoft 知识库文章 3159398
注册表项验证注意 不存在用于验证此更新程序是否存在的注册表项。

Windows RT 8.1(所有版本)

引用表

下表包含此软件的安全更新程序信息。
部署只能通过 Windows 更新获取这些更新程序。
重启要求应用此安全更新程序后,必须重启系统。
删除信息依次单击“控制面板”,“系统和安全”和“Windows 更新”,然后在“另请参阅”下方单击“已安装的更新”并从更新列表中进行选择。
文件信息请参阅 Microsoft 知识库文章 3159398

Windows 10(所有版本)

引用表

下表包含此软件的安全更新程序信息。
安全更新程序文件名对于所有受支持的 32 位 Windows 10 版本:
Windows10.0-KB3163017-x86.msu
对于所有受支持的基于 x64 的 Windows 10 版本:
Windows10.0-KB3163017-x64.msu
对于所有受支持的 32 位版本的 Windows 10 1511 版本:
Windows10.0-KB3163018-x86.msu
对于所有受支持的基于 x64 的版本的 Windows 10 1511 版本:
Windows10.0-KB3163018-x64.msu
安装开关请参阅 Microsoft 知识库文章 934307
重启要求应用此安全更新程序后,必须重启系统。
删除信息若要卸载由 WUSA 安装的更新,请使用 /Uninstall 设置开关,或依次单击“控制面板”,“系统和安全”和“Windows 更新”,然后在“另请参阅”下单击“已安装的更新”并从更新列表中进行选择。
文件信息请参阅 Microsoft 知识库文章 3163017
请参阅 Microsoft 知识库文章 3163018
注册表项验证注意 不存在用于验证此更新程序是否存在的注册表项。

如何获取此安全更新程序的相关帮助和支持

帮助安装更新程序:Microsoft 更新支持

面向 IT 专业人员的安全解决方案:TechNet 安全故障排除和支持

帮助保护基于 Windows 的计算机不受病毒和恶意软件的侵害:病毒解决方案和安全中心

基于国家/地区的本地支持:国际支持
malicious attacker exploit
属性

文章 ID:3163622 - 上次审阅时间:06/21/2016 16:41:00 - 修订版本: 3.0

Windows 10, Windows 10 Version 1511, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1, Windows RT 8.1, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2008 R2 Service Pack 1, Windows 7 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Vista Service Pack 2

  • atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability KB3163622
反馈