MS16-072:组策略安全更新:2016 年 6 月 14 日

摘要

此安全更新程序修复了 Microsoft Windows 中的一个漏洞。 如果攻击者对域控制器与目标计算机之间传递的流量启动中间人 (MiTM) 攻击,此漏洞可能允许特权提升。

若要了解此漏洞的更多信息,请参阅 Microsoft 安全公告 MS16-072

有关此安全更新程序的其他信息


下列文章包含此安全更新针对具体产品版本的其他信息。 文章可能包含已知问题信息。

  • 3159398 MS16-072: 组策略安全更新说明: 2016 年 6 月 14 日

  • 3163017 Windows 10 累积更新: 2016 年 6 月 14 日

  • 3163018 Windows 10 版本 1511 和 Windows Server 2016 Technical Preview 4 累积更新: 2016 年 6 月 14 日

已知问题

MS16-072 更改用于检索用户组策略的安全性上下文。 此特意设计的行为变更保护客户的计算机免受安全漏洞的侵害。 在安装 MS16-072 之前,通过使用用户的安全性上下文检索用户组策略。 在安装 MS16-072 之后,通过使用计算机的安全性上下文检索用户组策略。 此问题适用于以下知识库文章:

  • 3159398 MS16-072: 组策略安全更新说明: 2016 年 6 月 14 日

  • 3163017 Windows 10 累积更新: 2016 年 6 月 14 日

  • 3163018 Windows 10 版本 1511 和 Windows Server 2016 Technical Preview 4 累积更新: 2016 年 6 月 14 日

  • 3163016 Windows Server 2016 Technical Preview 5 累积更新: 2016 年 6 月 14 日

症状

所有用户组策略(包括那些在用户帐户、安全组或两者上已安全筛选的用户组策略)可能无法在加入域的计算机上应用。

原因

如果组策略对象缺少 Authenticated Users 组的读取权限,或者如果你正在使用安全筛选且缺少域计算机组的读取权限,则可能出现此问题。

解决方案

若要解决此问题,请使用组策略管理控制台 (GPMC.MSC),并执行下列步骤之一:

  • 在组策略对象 (GPO) 上添加具有读取权限的 Authenticated Users 组。

  • 如果你正在使用安全筛选,请添加具有读取权限的 Domain Computers 组。

注意: 如果在合并模式中启用了环回处理模式,则必须添加组策略所针对的特定用户特定计算机。 为此,在“组策略管理控制台”中,选择所需的“组策略”,然后单击“作用域”选项卡。 在“安全筛选”区域中,单击“添加”,然后添加特定用户和计算机。

如何获取并安装更新

方法 1: Windows 更新

可以通过 Windows 更新获取此更新。 当你开启自动更新后,系统会自动下载并安装此更新。 有关如何开启自动更新的更多信息,请参阅自动获取安全更新

注意 对于 Windows RT 8.1,此更新仅可通过 Windows 更新获得。

可以通过 Microsoft 下载中心获取独立的更新包。 若要安装此更新程序,请按照下载页上的安装说明操作。

单击 Microsoft 安全公告 MS16-072 中与你运行的 Windows 版本相对应的下载链接。

更多信息

Windows Vista(所有版本)引用表

下表包含此软件的安全更新信息。

安全更新文件名

对于所有受支持的 32 位 Windows Vista 版本:
Windows6.0-KB3159398-x86.msu

对于所有受支持的基于 x64 的 Windows Vista 版本:
Windows6.0-KB3159398-x64.msu

安装开关

请参阅 Microsoft 知识库文章 934307

重启要求

应用此安全更新程序后,必须重启系统。

删除信息

WUSA.exe 不支持卸载更新。 若要卸载由 WUSA 安装的更新,请依次单击“控制面板”和“安全”。 在“Windows 更新”下,单击“查看已安装的更新”,然后在更新列表中进行选择。

文件信息

请参阅 Microsoft 知识库文章 3159398

注册表项验证

注意 不存在可验证此更新是否存在的注册表项。

Windows Server 2008(所有版本)引用表

下表包含此软件的安全更新信息。

安全更新文件名

对于所有受支持的 32 位 Windows Server 2008 版本:
Windows6.0-KB3159398-x86.msu

对于所有受支持的基于 x64 的 Windows Server 2008 版本:
Windows6.0-KB3159398-x64.msu

对于所有受支持的基于 Itanium 的 Windows Server 2008 版本:
Windows6.0-KB3159398-ia64.msu

安装开关

请参阅 Microsoft 知识库文章 934307

重启要求

应用此安全更新程序后,必须重启系统。

删除信息

WUSA.exe 不支持卸载更新。 若要卸载由 WUSA 安装的更新,请依次单击“控制面板”和“安全”。 在“Windows 更新”下,单击“查看已安装的更新”,然后在更新列表中进行选择。

文件信息

请参阅 Microsoft 知识库文章 3159398

注册表项验证

注意 不存在可验证此更新是否存在的注册表项。

Windows 7(所有版本)引用表

下表包含此软件的安全更新信息。

安全更新文件名

对于所有受支持的 32 位 Windows 7 版本:
Windows6.1-KB3159398-x86.msu

对于所有受支持的基于 x64 的 Windows 7 版本:
Windows6.1-KB3159398-x64.msu

安装开关

请参阅 Microsoft 知识库文章 934307

重启要求

应用此安全更新程序后,必须重启系统。

删除信息

若要卸载由 WUSA 安装的更新,请使用 /Uninstall 安装开关,或者依次单击“控制面板”、“系统和安全”,然后在“Windows 更新”下,单击“查看已安装的更新”,并在更新列表中进行选择。

文件信息

请参阅 Microsoft 知识库文章 3159398

注册表项验证

注意 不存在可验证此更新是否存在的注册表项。

Windows Server 2008 R2(所有版本)引用表

下表包含此软件的安全更新信息。

安全更新文件名

对于所有受支持的基于 x64 的 Windows Server 2008 R2 版本:
Windows6.1-KB3159398-x64.msu

对于所有受支持的基于 Itanium 的 Windows Server 2008 R2 版本:
Windows6.1-KB3159398-ia64.msu

安装开关

请参阅 Microsoft 知识库文章 934307

重启要求

应用此安全更新程序后,必须重启系统。

删除信息

若要卸载由 WUSA 安装的更新,请使用 /Uninstall 安装开关,或者依次单击“控制面板”、“系统和安全”,然后在“Windows 更新”下,单击“查看已安装的更新”,并在更新列表中进行选择。

文件信息

请参阅 Microsoft 知识库文章 3159398

注册表项验证

注意 不存在可验证此更新是否存在的注册表项。

Windows 8.1(所有版本)引用表

下表包含此软件的安全更新信息。

安全更新文件名

对于所有受支持的 32 位 Windows 8.1 版本:
Windows8.1-KB3159398-x86.msu

对于所有受支持的基于 x64 的 Windows 8.1 版本:
Windows8.1-KB3159398-x64.msu

安装开关

请参阅 Microsoft 知识库文章 934307

重启要求

应用此安全更新程序后,必须重启系统。

删除信息

若要卸载由 WUSA 安装的更新,请使用 /Uninstall 设置开关,或者依次单击“控制面板”、“系统和安全”和“Windows 更新”,然后在“另请参阅”下方,单击“已安装的更新”,并从更新列表中进行选择。

文件信息

请参阅 Microsoft 知识库文章 3159398

注册表项验证

注意 不存在可验证此更新是否存在的注册表项。

Windows Server 2012 和 Windows Server 2012 R2(所有版本)引用表

下表包含此软件的安全更新信息。

安全更新文件名

对于所有受支持的 Windows Server 2012 版本:
Windows8-RT-KB3159398-x64.msu

对于所有受支持的 Windows Server 2012 R2 版本:
Windows8.1-KB3159398-x64.msu

安装开关

请参阅 Microsoft 知识库文章 934307

重启要求

应用此安全更新程序后,必须重启系统。

删除信息

若要卸载由 WUSA 安装的更新,请使用 /Uninstall 设置开关,或者依次单击“控制面板”、“系统和安全”和“Windows 更新”,然后在“另请参阅”下方,单击“已安装的更新”,并从更新列表中进行选择。

文件信息

请参阅 Microsoft 知识库文章 3159398

注册表项验证

注意 不存在可验证此更新是否存在的注册表项。

Windows RT 8.1(所有版本)参考表

下表包含此软件的安全更新信息。

部署

只能通过 Windows 更新获取这些更新。

重启要求

应用此安全更新程序后,必须重启系统。

删除信息

依次单击“控制面板”、“系统和安全”和“Windows 更新”,然后在“另请参阅”下单击“已安装的更新”,并从更新列表中进行选择。

文件信息

请参阅 Microsoft 知识库文章 3159398

Windows 10(所有版本)引用表

下表包含此软件的安全更新信息。

安全更新文件名

对于所有受支持的 32 位 Windows 10 版本:
Windows10.0-KB3163017-x86.msu

对于所有受支持的基于 x64 的 Windows 10 版本:
Windows10.0-KB3163017-x64.msu

对于所有受支持的 32 位版本的 Windows 10 1511 版本:
Windows10.0-KB3163018-x86.msu

对于所有受支持的基于 x64 的版本的 Windows 10 版本 1511:
Windows10.0-KB3163018-x64.msu

安装开关

请参阅 Microsoft 知识库文章 934307

重启要求

应用此安全更新程序后,必须重启系统。

删除信息

若要卸载由 WUSA 安装的更新,请使用 /Uninstall 设置开关,或者依次单击“控制面板”、“系统和安全”和“Windows 更新”,然后在“另请参阅”下方,单击“已安装的更新”,并从更新列表中进行选择。

文件信息

请参阅 Microsoft 知识库文章 3163017
请参阅 Microsoft 知识库文章 3163018

注册表项验证

注意 不存在可验证此更新是否存在的注册表项。


安装更新程序的帮助: 微软更新 (Microsoft Update) 帮助和支持中心

IT 专业人员安全解决方案: TechNet 安全疑难解答与支持

帮助保护您基于 Windows 的计算机不受病毒和恶意软件的侵害: 病毒解决方案和安全中心

基于国家/地区的本地支持: 国际支持

更多信息

重要说明

  • 今后所有适用于 Windows RT 8.1、Windows 8.1 和 Windows Server 2012 R2 的安全更新和与安全无关的更新均要求安装更新 2919355。 我们建议在基于 Windows RT 8.1、Windows 8.1 或 Windows Server 2012 R2 的计算机上安装更新 2919355,以便今后持续接收更新。

  • 如果在安装此更新程序后安装语言包,则必须重新安装此更新程序。 因此,我们建议先安装所需的全部语言包,然后再安装此更新程序。 有关更多信息,请参阅添加语言包至 Windows

需要更多帮助?

扩展你的技能
了解培训
抢先获得新功能
加入 Microsoft 内部人员

此信息是否有帮助?

谢谢您的反馈意见!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×