SharePoint Server 2016 安全更新说明：2017 年 6 月 13 日

摘要

此安全更新修复了 Microsoft Office 中用户打开经特殊设计的 Office 文件时可能允许远程执行代码的漏洞。 若要了解有关这些漏洞的更多信息，请参阅 Microsoft 常见漏洞和披露 ADV170008、Microsoft 常见漏洞和披露 CVE-2017-8509、Microsoft 常见漏洞和披露 CVE-2017-8511、Microsoft 常见漏洞和披露 CVE-2017-8512 以及 Microsoft 常见漏洞和披露 CVE-2017-8514。

注意 若要应用此安全更新，必须在计算机上安装 SharePoint Server 2016 发行版。

此公开更新提供了 SharePoint Server 2016 的第一个功能包（功能包 1），其中包含以下功能：

• 管理操作记录

• MinRole 增强功能

• SharePoint 自定义磁贴

• 混合审计（预览）

• 混合分类

• 适用于 SharePoint 内部部署的 OneDrive API

• OneDrive for Business 现代体验（适用于软件保障客户）

OneDrive for Business 现代用户体验在通过安装公开更新或手动启用进行启用时需要有效的软件保障合同。 如果你在启用时没有有效的软件保障合同，则必须关闭 OneDrive for Business 现代用户体验。 有关更多信息，请参阅 。

更多信息

Microsoft Office 2016 客户端默认使用新式验证。 在某些配置中，新式验证不受安装有 SharePoint Server 2016 的 Office 2016 客户端的支持，例如，当将新式验证用于 Active Directory 联合身份验证服务 (AD FS) 3.0 安装时。 现在，SharePoint 管理员可以将 SharePoint Server 2016 配置为取消 Office 2016 客户端中的新式验证。

若要将 SharePoint Server 2016 配置为取消 Office 2016 客户端中的新式验证，请按照以下步骤在 SharePoint 2016 命令行管理程序中运行 Microsoft PowerShell 命令：

1. 安装 SharePoint Server 2016 时，会授予运行安装的用户帐户运行 Microsoft PowerShell cmdlet 的适当权限。 如果没有添加任何可以运行 Microsoft PowerShell cmdlet 的用户，可以使用 Add-SPShellAdmin cmdlet 添加用户。 使用 Add-SPShellAdmin cmdlet 授予权限之前，请验证自己是否满足以下所有要求：
   

   • 必须在 SQL Server 实例的 securityadmin 固定服务器角色中拥有成员身份。

   • 必须在要更新的所有数据库的 db_owner 固定数据库角色中拥有成员身份。

   • 必须是要运行 Microsoft PowerShell cmdlet 的服务器的管理员组成员。

2. 在 SharePoint 2016 命令行管理程序命令提示符处，键入下列命令：
   
   $sts = Get-SPSecurityTokenServiceConfig
   $sts.SuppressModernAuthForOfficeClients = $true
   $sts.Update()

3. 重启 Internet Information Services (IIS)。 为此，请运行以下命令：
   
   iisreset /restart

4. 重启 SharePoint 定时服务 (SPTimerV4)。 为此，请运行以下命令：
   
   Net Stop SPTimerV4
   Net Start SPTimerV4

5. 运行以下命令，以验证是否进行了更改：
   
   $sts = Get-SPSecurityTokenServiceConfig
   $sts.SuppressModernAuthForOfficeClients
   
   最后一个命令应返回 True。

注意 Microsoft Office 2013 客户端也受到了影响。 我们正在调查此行为。

改进和修补程序

此安全更新包含用于 Project Server 2016 中以下非安全问题的改进和修补程序：

• 提高“报告(项目发布)”队列作业的性能。

  Microsoft 内部支持信息

  3355152

• 请修复以下问题：
  

  • 请考虑以下情况：
    

    • 项目经理将任务发布给团队成员。

    • Project Web App 内时间表或任务中的团队成员报告早于计划任务的工作。 例如，计划周三工作 8 小时，但报告并提交实际是周一工作 8 小时。

    • 状态经理批准该更新。

    • 团队成员将实际工作归零并移至稍后的日期。

    • 状态经理批准该更新。

    • 在 Microsoft Project Server 中打开项目。

    在这种情况下，任务的实际开始日期仍体现之前的更新，而不是实际开始日期为稍后日期的新更新。

    Microsoft 内部支持信息

    3353421

  • “报告(项目发布)”作业在 Project Server 2016 中花费的时间比预期的要长。

    Microsoft 内部支持信息

    3314279

  • 假设您转到 Project Web 应用的“项目中心”页并选择许多项目。 单击“在 Microsoft Project 中打开”选项时，似乎没有发生任何事情，并且 Project Professional 中未创建预期的主项目。 现在，如果你选择的项目超过了可用来通过该方法创建主项目的项目，你将会看到类似以下内容的消息：

    您选择的项目超过了我们可以一次从 Project Web App 中打开的项目数限制。 我们创建了包含受支持数量的项目的主项目。 然后您可以通过“插入子项目”添加更多项目。

    Microsoft 内部支持信息

    3347252

  • 如果项目经理没有该资源的足够权限，已批准任务中的资源在 Project Professional 中成为本地资源。

    Microsoft 内部支持信息

    3349328

  • 如果在 PWA 中编辑项目时将新任务添加到项目，使用 Now() 或 CurrentDate() 函数的公式的计算结果错误。

    Microsoft 内部支持信息

    3345244

  • 团队成员在 PWA 任务或时间表视图中输入材料单位时，分配的结束日期、工作和剩余工时值错误。

    Microsoft 内部支持信息

    3339793

  • 对 PWA 视图应用的用户生成（临时）的自定义筛选器没有显示数据值。 例如，您在项目中心打开一个自定义筛选器对话框，以便在日期列添加筛选器。 保存、关闭然后重新打开该对话框后，不会显示您设置的日期。

    Microsoft 内部支持信息

    3352274

  • 提交状态更新时，特定任务分配的“任务”视图中不会出现任务级基线数据。

    Microsoft 内部支持信息

    3353059

此安全更新包含用于 SharePoint Server 2016 中以下非安全问题的改进和修补程序：

• 以多种语言翻译一些字词，以确保含义准确。

  Microsoft 内部支持信息

  3353303 3356784 3356785

• 请修复以下问题：
  

  • 包含无效超链接的 Word 文档和 PowerPoint 演示文稿不可搜索。

    Microsoft 内部支持信息

    3182852

  • Content Enrichment Web Service (CEWS) 中删除了大文件的正文属性。 此更新在将文档发送到 CEWS 之前删除其最大正文大小阈值。

    Microsoft 内部支持信息

    3285731

  • SuppressModernAuthForOfficeClients 属性设置为 $false 时，希望取消对 Office 2016 应用程序进行新式验证的管理员现在可以配置 SPSecurityTokenServiceConfig 对象。
    

    • Office 2016 客户端无法使用 ADFS 对 SharePoint Server 2016 进行身份验证。
      
      目前，Office 2016 客户端和 SharePoint Server 2016 使用新式验证协议进行通信。 在某些情况下，安装有 ADFS 的 Office 2016 客户端不支持新式验证。 我们已在 2017 年 6 月公开更新（即最终版本）中进行了改进，以便 SharePoint 管理员现在可以将 SharePoint 配置为取消 Office 2016 客户端中的新式验证。
      
      若要将 SharePoint Server 2016 配置为取消 Office 2016 客户端中的新式验证，请在 SharePoint 2016 命令行管理程序中运行以下 Windows PowerShell 语法：
      

      1. 使用 Add-SPShellAdmin cmdlet 授予用户权限运行 SharePoint Server 2016 cmdlet 之前，请验证自己是否满足以下最低要求：

         • 必须在 SQL Server 实例的 securityadmin 固定服务器角色中拥有成员身份。

         • 必须在要更新的所有数据库的 db_owner 固定数据库角色中拥有成员身份。

         • 必须是要运行 Windows PowerShell cmdlet 的服务器的管理员组成员。

      2. 在 Windows PowerShell 命令提示符处，键入下列命令：
         
         Add-pssnapin Microsoft.sharepoint.powershell.dll
         $sts = get-SPSecurityTokenServiceConfig
         $sts.SuppressModernAuthForOfficeClients = $true
         $sts.Update()

      3. 键入 iisreset /restart 以重启 IIS。

      4. 键入 Net stop sptimerv4，然后键入 Net start sptimerv4 以重启 SPTimerService。

      5. 在 Windows PowerShell 中运行以下命令，以验证更改是否持续存在：
         
         注意 如果已关闭上一个 Windows PowerShell 会话，则必须运行以下命令，如下所示。 如果在同一个对话中，则不必再次运行“Add-pssnapin Microsoft.sharepoint.powershell.dll”命令。
         
         Add-pssnapin Microsoft.sharepoint.powershell.dll
         $sts = get-SPSecurityTokenServiceConfig
         $sts.SuppressModernAuthForOfficeClients

      注意 Office 2013 客户端也受到了影响。 Microsoft 正在研究此问题，并且将在获得更多信息之后在本文中添加这些信息。

    Microsoft 内部支持信息

    3299565

  • SPFile.Author 属性从经典模式验证迁移到基于声明的模式验证之后，现在具有一个用于安装的值。

    Microsoft 内部支持信息

    3317534

  • SPWebApplication FileNotFoundPage 在一些 Web 浏览器中未正确显示。

    Microsoft 内部支持信息

    3337148

  • 服务器端定义的时间表视图组不使用自定义字段。

    Microsoft 内部支持信息

    3342958

  • 删除搜索中心子网站后，将无法从网站设置中下载搜索报告。

    Microsoft 内部支持信息

    3341038

  • 超过 100 个网站集时，您可以看到“租户管理”页中的分页 (TA_SiteCollections.aspx)。

    Microsoft 内部支持信息

    3341425

  • 元数据导航不适用于任务列表。

    Microsoft 内部支持信息

    3354593

Microsoft 内部支持信息

此更新还可修复以下内部 Bug：3352136、3346850、3354340、3354313、3354359、3352969、3355062、3324064、3327485、3332421、3332437、3337400、3345328、3335132、3346828、3324068、3350361、3344150、3330720、3345051、3345065、3345069、3339537、3332364、3346749、3326365、3333276、3352734、3351253、3352735、

如何获取和安装更新

更多信息

如何获取此安全更新的相关帮助和支持

帮助安装更新程序： Windows 更新常见问题解答

IT 专业人员安全解决方案： TechNet 安全支持和疑难解答

帮助保护基于 Windows 的计算机不受病毒和恶意软件的侵害： Microsoft 安全

基于国家/地区的本地支持： 国际支持

提出功能建议或提供 SharePoint 的反馈： SharePoint User Voice 门户