MS16-101:Windows 身份验证方法的安全更新程序说明:2016 年 8 月 9 日

注意
重要说明:本文包含的信息向你介绍了如何在计算机上降低安全设置或关闭安全功能。您可以通过这些更改来解决特定的问题。我们建议你在进行这些更改之前,充分考虑在你的特定环境中实施这种解决方法可能带来的风险。如果实施该解决方法,请采取任何适当的附加措施来帮助保护您的计算机。
概要
此安全更新程序修复了 Microsoft Windows 中的多个漏洞。如果攻击者在已加入域的系统上运行经特殊设计的应用程序,这些漏洞可能允许特权提升。

若要详细了解此类漏洞,请参阅 Microsoft 安全公告 MS16-101
更多信息
重要提示
  • 所有适用于 Windows 8.1 和 Windows Server 2012 R2 的未来安全与非安全更新均需要安装更新 2919355。我们建议你在基于 Windows 8.1 和 Windows Server 2012 R2 的计算机上安装更新 2919355,以便今后持续接收更新程序。
  • 如果在安装此更新程序后安装语言包,则必须重新安装此更新程序。因此,我们建议先安装所需的全部语言包,然后再安装此更新程序。有关详细信息,请参阅将语言包添加到 Windows

此安全更新程序中包括的与安全无关的修补程序

此安全更新程序还修复下列与安全无关的问题:
  • 在无域群集上已加入域的横向扩展文件服务器 (SoFS) 中,当运行 Windows 8.1 或 Windows Server 2012 R2 的 SMB 客户端连接到关闭的节点时,身份验证失败。在此情形下,你可能会收到类似于以下内容的错误消息:

    STATUS_NO_TGT_REPLY

此安全更新程序中的已知问题

  • 已知问题 1

    对于 MS16-101 中提供的安全更新和较新的更新,当由于密码更改操作而导致 Kerberos 身份验证失败并显示 STATUS_NO_LOGON_SERVERS (0xc000005e) 错误代码时,这些更新使协商进程无法回退到 NTLM。在此情形下,您可能会收到下列错误代码之一:

    十六进制十进制符号友情提示
    0xc00003881073740920STATUS_DOWNGRADE_DETECTED系统检测到危害安全的尝试。请确认您能与对您进行身份验证的服务器联系。
    0x4f11265ERROR_DOWNGRADE_DETECTED系统检测到危害安全的尝试。请确认您能与对您进行身份验证的服务器联系。


    解决方法

    如果安装 MS16-101 后先前成功的密码更改操作现在无法执行,则可能是密码更改先前依赖于 NTLM 回退,因为 Kerberos 失败。要通过使用 Kerberos 协议成功更改密码,请执行以下步骤:

    1. 在已安装 MS16-101 的客户端和提供密码重置服务的域控制器之间的 TCP 端口 464 上配置开放式通信。

      如果用户经过只读域控制器 (RODC) 密码复制策略允许,则 RODC 可支持自助服务密码重置。未经 RODC 密码复制策略允许的用户需要网络连接到用户帐户域中的读/写域控制器 (RWDC)。

      注意 要检查 TCP 端口 464 是否已打开,请执行以下步骤:

      1. 为网络监视分析器创建等效的显示筛选器。例如:
        ipv4.address== <ip address of client> && tcp.port==464
      2. 在结果中,查找“TCP:[SynReTransmit”帧。

        帧:
    2. 确保目标 Kerberos 名称有效。(IP 地址对于 Kerberos 协议无效。Kerberos 支持短名称和完全限定的域名。)
    3. 确保服务主体名称 (SPN) 注册正确。

      有关详细信息,请参阅 Kerberos 和自助服务密码重置
  • 已知问题 2

    我们知道这样一个问题,即如果出现以下预期故障之一,则域用户帐户的编程密码重置将失败并返回 STATUS_DOWNGRADE_DETECTED (0x800704F1) 错误代码:

    • ERROR_INVALID_PASSWORD
    • ERROR_PWD_TOO_SHORT (rarely returned)
    • STATUS_WRONG_PASSWORD
    • STATUS_PASSWORD_RESTRICTION

    下表显示了完整的错误映射。

    十六进制十进制符号友情提示
    0x5686ERROR_INVALID_PASSWORD指定的网络密码不正确。
    0x267615ERROR_PWD_TOO_SHORT提供的密码太短,无法满足用户帐户的策略。请提供较长的密码。
    0xc000006a-1073741718STATUS_WRONG_PASSWORD尝试更新密码时,返回状态表示作为当前密码提供的值不正确。
    0xc000006c-1073741716STATUS_PASSWORD_RESTRICTION尝试更新密码时,返回状态表示违反了某些密码更新规则。例如,密码可能不符合长度条件。
    0x800704F11265STATUS_DOWNGRADE_DETECTED系统无法联系域控制器来为身份验证请求提供服务。请稍后重试。
    0xc0000388-1073740920STATUS_DOWNGRADE_DETECTED系统无法联系域控制器来为身份验证请求提供服务。请稍后重试。


    解决方案

    已重新发布 MS16-101 以解决此问题。请根据本公告安装最新版本的更新来解决此问题。

  • 已知问题 3

    我们知道这样一个问题,即本地用户帐户密码更改的编程重置可能会失败并返回 STATUS_DOWNGRADE_DETECTED (0x800704F1) 错误代码。

    下表显示了完整的错误映射。

    十六进制十进制符号友情提示
    0x4f11265ERROR_DOWNGRADE_DETECTED系统无法联系域控制器来为身份验证请求提供服务。请稍后重试。


    解决方案

    已重新发布 MS16-101 以解决此问题。请根据本公告安装最新版本的更新来解决此问题。

  • 已知问题 4

    使用协商包无法更改已禁用或锁定用户帐户的密码。

    使用其他方法(例如直接使用 LDAP 修改操作时),仍可更改已禁用或锁定用户帐户的密码。例如,PowerShell cmdlet Set-ADAccountPassword 使用“LDAP 修改”操作更改密码,且不受影响。

    解决方法

    这些帐户需要管理员进行密码重置。安装 MS16-101 和较新修复后,设计会导致此行为。

  • 已知问题 5

    安装 MS16-101 和较新更新后,使用 NetUserChangePassword API 并在 domainname 参数中传递 servername 的应用程序将不再运行。

    Microsoft 文档表明,支持在 NetUserChangePassword 函数的 domainname 参数中提供远程服务器名称。例如,NetUserChangePassword function MSDN 主题声明如下:

    domainname [in]
    指向常量字符串的指针,可指定 DNS 或远程服务器的 NetBIOS 名称或将在其上执行函数的域。如果此参数为 NULL,则使用调用方的登录域。
    但是,此指南已被 MS16-101 取代,除非密码重置面向本地计算机上的本地帐户。公告 MS16-101:若要使域用户密码更改生效,必须向 NetUserChangePassword API 传递有效的 DNS 域名。
  • 已知问题 6

    安装此更新后,你可能会遇到 0xC0000022 NTLM 身份验证错误。若要解决此问题,请参阅 NTLM authentication fails with 0xC0000022 error for Windows Server 2012, Windows 8.1, and Windows Server 2012 R2 after update is applied(应用更新后,由于 Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2 出现 0xC0000022 错误,而导致 NTLM 身份验证失败)。
  • 已知问题 7

    在你安装了 MS16-101 描述的安全更新程序后,以编程方式远程更改本地用户帐户密码和跨不受信任林更改密码失败。

    此操作失败的原因是本操作依赖于 NTLM 回退,而该功能在安装 MS16-101 之后不再支持外地帐户。

    提供了一个注册表项,你可以使用该项禁用更改。

    警告:此解决方法可能导致你的计算机或网络更易受到恶意用户或恶意软件(例如病毒)的攻击。我们不建议您采用这种替代方法,此信息仅供参考,您应自行决定是否实施此替代方法。使用此方法需要你自担风险。

    重要说明本部分、方法或任务包含有关如何修改注册表的步骤。但是,注册表修改不当可能会出现严重问题。因此,请务必严格按照这些步骤操作。为了获得进一步的保护,请在修改注册表之前对其进行备份。这样就可以在出现问题时还原注册表。有关如何备份和还原注册表的更多信息,请单击下面的文章编号查看 Microsoft 知识库中相应的文章:
    322756如何在 Windows 中备份和还原注册表


    若要禁用此更改,请将 NegoAllowNtlmPwdChangeFallback DWORD 项设置为使用值 1(一)。

    重要说明:将 NegoAllowNtlmPwdChangeFallback 注册表项设置为值 1 将禁用此安全修补程序:
    注册表值说明
    0 默认值。禁止回退。
    1始终允许回退。安全修补程序已关闭。远程本地帐户或不受信任林场景有问题的客户可将注册表设置为此值。
    若要添加这些注册表值,请按照下列步骤操作:
    1. 依次单击“开始”、“运行”,在“打开”框中键入 regedit,然后单击“确定”
    2. 找到注册表中的以下子项,然后单击:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
    3. 在“编辑”菜单上,指向“新建”,然后单击“DWORD 值”
    4. 键入 NegoAllowNtlmPwdChangeFallback 作为 DWORD 的名称,然后按 ENTER。
    5. 右键单击 NegoAllowNtlmPwdChangeFallback,然后单击“修改”
    6. 在“数值数据”框中,键入 1,然后单击“确定”

      注意:若要还原默认值,请键入 0(零),然后单击“确定”
    状态

    已了解此问题的根本原因。当出现其他额外详细信息时,会在本文中更新相应的内容。
如何获取和安装此更新程序

方法 1:Windows 更新

可以通过 Windows Update 获取此更新。在你开启自动更新后,系统会自动下载并安装此更新程序。有关如何开启自动更新的详细信息,请参阅自动获取安全更新

方法 2:Microsoft 更新目录

若要获取此更新的独立程序包,请访问 Microsoft Update 目录网站。

方法 3:Microsoft 下载中心

可以通过 Microsoft 下载中心获取独立的更新程序包。若要安装此更新程序,请按照下载页上的安装说明操作。

单击 Microsoft 安全公告 MS16-101 中与你当前运行的 Windows 版本相对应的下载链接。
更多信息

如何获取此安全更新程序的帮助和支持

帮助安装更新程序:Microsoft 更新支持

IT 专业人员安全解决方案:TechNet 安全疑难解答与支持

帮助保护基于 Windows 的计算机不受病毒和恶意软件的侵害:病毒解决方案和安全中心

基于国家/地区的本地支持:国际支持
文件信息

文件哈希信息

File nameSHA1 hashSHA256 hash
Windows6.0-KB3167679-v2-ia64.msuF3E96631261EEC8CC532D17116185D82B8C5EC7F97FEB0CF0AEF4E098689FD05E86E94876C4051943983458F250E114107944DAE
Windows6.0-KB3167679-v2-x86.msuAF2B19E84D0E58C9EF4243F9BCEE6AF6642737F02F97DD85E073A5A9A6F32C6CF7DA98F7CEB6F13BBBFF992E612FCD6DE828CE00
Windows6.0-KB3167679-v2-x64.msu17FAEE7E981AB717C566360F7B7FE173C201D4DB9B81F7193CE5D66B9609CA09A690F98AFC96B2A928783788BDBDBC58D41861D4

文件信息

此软件更新程序的英文(美国)版将安装具有下表所列属性的文件。

Windows Vista 和 Windows Server 2008 文件信息

注意
  • 通过检查在下表中显示的文件版本号,可以识别应用于特定产品、里程碑(RTM、SPn)和服务分支(LDR、GDR)的文件:
    版本 产品 里程碑 服务分支
    6.0.600 2.19xxxWindows Vista 或 Windows Server 2008SP2GDR
    6.0.600 2.23xxxWindows Vista 或 Windows Server 2008SP2LDR
  • GDR 服务分支仅包含那些广泛发布以解决广泛分布的关键问题的修补程序。除了广泛发布的修补程序外,LDR 服务分支还包含其他修补程序。
  • 已安装的 MANIFEST 文件 (.manifest) 和 MUM 文件 (.mum) 没有列出。
对于所有受支持的基于 ia64 版本
File nameFile versionFile sizeDateTimePlatform
Adsmsext.dll6.0.6002.19693218,62410-Sep-201616:21IA-64
Adsmsext.dll6.0.6002.24017218,62409-Sep-201615:10IA-64
Advapi32.dll6.0.6002.195981,964,54406-Feb-201601:39IA-64
Advapi32.dll6.0.6002.240171,963,52009-Sep-201615:10IA-64
Bcrypt.dll6.0.6002.19677583,68010-Aug-201613:07IA-64
Bcrypt.dll6.0.6002.24004584,19210-Aug-201613:07IA-64
Ksecdd.sys6.0.6002.196551,030,37611-May-201613:10IA-64
Lsasrv.dll6.0.6002.196933,263,48810-Sep-201616:22IA-64
Lsasrv.mofNot applicable13,78003-Apr-200921:34Not applicable
Lsass.exe6.0.6002.1854117,92016-Nov-201114:10IA-64
Secur32.dll6.0.6002.19623202,75218-Mar-201616:34IA-64
Ksecdd.sys6.0.6002.239701,030,88811-May-201613:08IA-64
Lsasrv.dll6.0.6002.240173,268,09609-Sep-201615:11IA-64
Lsasrv.mofNot applicable13,78007-Mar-201623:37Not applicable
Lsass.exe6.0.6002.2401717,92009-Sep-201614:28IA-64
Secur32.dll6.0.6002.24017202,75209-Sep-201615:12IA-64
Ncrypt.dll6.0.6002.19678524,80010-Aug-201616:08IA-64
Ncrypt.dll6.0.6002.24017524,80009-Sep-201615:11IA-64
Rpcrt4.dll6.0.6002.195983,298,81606-Feb-201601:41IA-64
Rpcrt4.dll6.0.6002.240173,289,08809-Sep-201615:12IA-64
Wdigest.dll6.0.6002.19659482,81614-May-201615:31IA-64
Wdigest.dll6.0.6002.24017483,32809-Sep-201615:12IA-64
Msv1_0.dll6.0.6002.19431570,88027-Jun-201515:22IA-64
Msv1_0.dll6.0.6002.24017570,36809-Sep-201615:11IA-64
Schannel.dll6.0.6002.19678819,20010-Aug-201616:09IA-64
Schannel.dll6.0.6002.24017821,24809-Sep-201615:12IA-64
Mrxsmb10.sys6.0.6002.19431669,18427-Jun-201514:19IA-64
Mrxsmb10.sys6.0.6002.24017670,20809-Sep-201614:18IA-64
Mrxsmb20.sys6.0.6002.19431270,33627-Jun-201514:19IA-64
Mrxsmb20.sys6.0.6002.24017272,38409-Sep-201614:17IA-64
Mrxsmb.sys6.0.6002.19279323,07209-Jan-201500:12IA-64
Mrxsmb.sys6.0.6002.24017325,63209-Sep-201614:17IA-64
Bcrypt.dll6.0.6002.19677275,96810-Aug-201613:14x86
Bcrypt.dll6.0.6002.24004275,96809-Sep-201613:14x86
Lsasrv.mofNot applicable13,78008-Mar-201600:42Not applicable
Secur32.dll6.0.6002.1969377,31210-Sep-201616:30x86
Lsasrv.mofNot applicable13,78007-Mar-201623:37Not applicable
Secur32.dll6.0.6002.2401777,31209-Sep-201615:17x86
Rpcrt4.dll6.0.6002.19598679,42406-Feb-201602:12x86
Rpcrt4.dll6.0.6002.24017678,91209-Sep-201615:17x86
Wdigest.dll6.0.6002.19659175,61614-May-201615:41x86
Wdigest.dll6.0.6002.24017175,61609-Sep-201615:16x86
Msv1_0.dll6.0.6002.19431218,11227-Jun-201516:02x86
Msv1_0.dll6.0.6002.24017218,11209-Sep-201615:16x86
Schannel.dll6.0.6002.19678284,16010-Aug-201615:44x86
Schannel.dll6.0.6002.24017284,67209-Sep-201615:16x86
Adsmsext.dll6.0.6002.1969375,26410-Sep-201616:27x86
Adsmsext.dll6.0.6002.2401775,26409-Sep-201615:14x86
Advapi32.dll6.0.6002.19598802,30406-Feb-201602:11x86
Advapi32.dll6.0.6002.24017802,81609-Sep-201615:14x86
Ncrypt.dll6.0.6002.19678206,33610-Aug-201615:43x86
Ncrypt.dll6.0.6002.24017205,31209-Sep-201615:16x86
对于所有受支持的基于 x86 的版本
File nameFile versionFile sizeDateTimePlatform
Adsmsext.dll6.0.6002.1969375,26410-Sep-201616:27x86
Adsmsext.dll6.0.6002.2401775,26409-Sep-201615:14x86
Advapi32.dll6.0.6002.19598802,30406-Feb-201602:11x86
Advapi32.dll6.0.6002.24017802,81609-Sep-201615:14x86
Bcrypt.dll6.0.6002.19677274,94410-Aug-201613:13x86
Bcrypt.dll6.0.6002.24004274,94409-Sep-201613:14x86
Ksecdd.sys6.0.6002.19655440,55211-May-201613:09x86
Lsasrv.dll6.0.6002.196931,261,05610-Sep-201616:28x86
Lsasrv.mofNot applicable13,78003-Apr-200921:30Not applicable
Lsass.exe6.0.6002.185419,72816-Nov-201114:12x86
Secur32.dll6.0.6002.1962372,70418-Mar-201617:10x86
Ksecdd.sys6.0.6002.23970440,55211-May-201613:07x86
Lsasrv.dll6.0.6002.240171,263,61609-Sep-201615:16x86
Lsasrv.mofNot applicable13,78007-Mar-201623:37Not applicable
Lsass.exe6.0.6002.240179,72809-Sep-201614:23x86
Secur32.dll6.0.6002.2401772,70409-Sep-201615:16x86
Ncrypt.dll6.0.6002.19678206,33610-Aug-201615:43x86
Ncrypt.dll6.0.6002.24017205,31209-Sep-201615:16x86
Rpcrt4.dll6.0.6002.19598783,87206-Feb-201602:12x86
Rpcrt4.dll6.0.6002.24017783,87209-Sep-201615:16x86
Wdigest.dll6.0.6002.19659175,61614-May-201615:41x86
Wdigest.dll6.0.6002.24017175,61609-Sep-201615:16x86
Msv1_0.dll6.0.6002.19431218,11227-Jun-201516:02x86
Msv1_0.dll6.0.6002.24017218,11209-Sep-201615:16x86
Schannel.dll6.0.6002.19678284,16010-Aug-201615:44x86
Schannel.dll6.0.6002.24017284,67209-Sep-201615:16x86
Mrxsmb10.sys6.0.6002.19431217,08827-Jun-201514:21x86
Mrxsmb10.sys6.0.6002.24017217,08809-Sep-201614:17x86
Mrxsmb20.sys6.0.6002.1943181,40827-Jun-201514:21x86
Mrxsmb20.sys6.0.6002.2401782,43209-Sep-201614:17x86
Mrxsmb.sys6.0.6002.19279107,00809-Jan-201500:17x86
Mrxsmb.sys6.0.6002.24017107,52009-Sep-201614:17x86
对于所有受支持的基于 x64 的版本
File nameFile versionFile sizeDateTimePlatform
Adsmsext.dll6.0.6002.19693105,47210-Sep-201616:44x64
Adsmsext.dll6.0.6002.24017105,47209-Sep-201615:33x64
Advapi32.dll6.0.6002.195981,067,00806-Feb-201601:59x64
Advapi32.dll6.0.6002.240171,067,52009-Sep-201615:33x64
Bcrypt.dll6.0.6002.19677306,68810-Aug-201613:07x64
Bcrypt.dll6.0.6002.24004306,68810-Aug-201613:08x64
Ksecdd.sys6.0.6002.19655516,32811-May-201613:10x64
Lsasrv.dll6.0.6002.196931,690,62410-Sep-201616:45x64
Lsasrv.mofNot applicable13,78003-Apr-200921:33Not applicable
Lsass.exe6.0.6002.1854111,26416-Nov-201114:34x64
Secur32.dll6.0.6002.1962394,72018-Mar-201618:15x64
Ksecdd.sys6.0.6002.23970517,35211-May-201613:08x64
Lsasrv.dll6.0.6002.240171,694,20809-Sep-201615:34x64
Lsasrv.mofNot applicable13,78007-Mar-201623:37Not applicable
Lsass.exe6.0.6002.2401711,26409-Sep-201614:46x64
Secur32.dll6.0.6002.2401794,72009-Sep-201615:35x64
Ncrypt.dll6.0.6002.19678258,04810-Aug-201616:12x64
Ncrypt.dll6.0.6002.24017258,04809-Sep-201615:35x64
Rpcrt4.dll6.0.6002.195981,304,57606-Feb-201602:01x64
Rpcrt4.dll6.0.6002.240171,308,16009-Sep-201615:35x64
Wdigest.dll6.0.6002.19659205,82414-May-201615:54x64
Wdigest.dll6.0.6002.24017205,82409-Sep-201615:35x64
Msv1_0.dll6.0.6002.19431269,82427-Jun-201515:40x64
Msv1_0.dll6.0.6002.24017269,31209-Sep-201615:35x64
Schannel.dll6.0.6002.19678353,28010-Aug-201616:12x64
Schannel.dll6.0.6002.24017354,30409-Sep-201615:35x64
Mrxsmb10.sys6.0.6002.19431278,01627-Jun-201514:30x64
Mrxsmb10.sys6.0.6002.24017278,52809-Sep-201614:37x64
Mrxsmb20.sys6.0.6002.19431109,05627-Jun-201514:30x64
Mrxsmb20.sys6.0.6002.24017110,08009-Sep-201614:37x64
Mrxsmb.sys6.0.6002.19279136,19209-Jan-201500:28x64
Mrxsmb.sys6.0.6002.24017137,21609-Sep-201614:37x64
Bcrypt.dll6.0.6002.19677275,96810-Aug-201613:14x86
Bcrypt.dll6.0.6002.24004275,96809-Sep-201613:14x86
Lsasrv.mofNot applicable13,78008-Mar-201600:42Not applicable
Secur32.dll6.0.6002.1969377,31210-Sep-201616:30x86
Lsasrv.mofNot applicable13,78007-Mar-201623:37Not applicable
Secur32.dll6.0.6002.2401777,31209-Sep-201615:17x86
Rpcrt4.dll6.0.6002.19598679,42406-Feb-201602:12x86
Rpcrt4.dll6.0.6002.24017678,91209-Sep-201615:17x86
Wdigest.dll6.0.6002.19659175,61614-May-201615:41x86
Wdigest.dll6.0.6002.24017175,61609-Sep-201615:16x86
Msv1_0.dll6.0.6002.19431218,11227-Jun-201516:02x86
Msv1_0.dll6.0.6002.24017218,11209-Sep-201615:16x86
Schannel.dll6.0.6002.19678284,16010-Aug-201615:44x86
Schannel.dll6.0.6002.24017284,67209-Sep-201615:16x86
Adsmsext.dll6.0.6002.1969375,26410-Sep-201616:27x86
Adsmsext.dll6.0.6002.2401775,26409-Sep-201615:14x86
Advapi32.dll6.0.6002.19598802,30406-Feb-201602:11x86
Advapi32.dll6.0.6002.24017802,81609-Sep-201615:14x86
Ncrypt.dll6.0.6002.19678206,33610-Aug-201615:43x86
Ncrypt.dll6.0.6002.24017205,31209-Sep-201615:16x86
malicious attacker exploit
属性

文章 ID:3167679 - 上次审阅时间:10/18/2016 17:02:00 - 修订版本: 10.0

Windows Server 2008 Service Pack 2, Windows Vista Service Pack 2

  • atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability KB3167679
反馈