MS16-101：Windows 驗證方法的安全性更新：2016 年 8 月 9 日

結論

此安全性更新可解決 Microsoft Windows 中的多個弱點。如果攻擊者在已加入網域的系統上執行蓄意製作的應用程式，這些弱點可能會允許權限提高。

若要深入了解這些弱點，請參閱 Microsoft 資訊安全公告 MS16-101。

其他相關資訊

重要

• Windows 8.1 和 Windows Server 2012 R2 日後所有的安全性與非安全性更新皆需要安裝更新 2919355。我們建議您在 Windows 8.1 或 Windows Server 2012 R2 電腦上安裝更新 2919355，以便收到日後的更新。

• 如果您在安裝此更新之後安裝語言套件，您必須重新安裝此更新。因此，我們建議您在安裝此更新前，先安裝任何需要的語言套件。如需詳細資訊，請參閱將語言套件新增到 Windows。

此安全性更新的其他相關資訊

下列文章包含此安全性更新 (與個別產品版本相關) 的其他相關資訊。這些文章可能包含已知問題的資訊。

• 3177108 MS16-101：說明 Windows 驗證方法的安全性更新：2016 年 8 月 9 日

• 3167679 MS16-101：說明 Windows 驗證方法的安全性更新：2016 年 8 月 9 日

• 3192392 用於 Windows 8.1 和 Windows Server 2012 R2 的 2016 年 10 月純安全性更新

• 3185331 用於 Windows 8.1 和 Windows Server 2012 R2 的 2016 年 10 月純安全性每月品質彙總

• 3192393 用於 Windows Server 2012 的 2016 年 10月 安全品質更新

• 3185332 用於 Windows Server 2012 的 2016 年 10月 安全每月品質彙總

• 3192391 用於 Windows 7 SP1 和 Windows Server 2008 R2 SP1 的 2016 年 10 月 安全品質更新

• 3185330 用於 Windows 7 SP1 和 Windows Server 2008 R2 SP1 的 2016 年 10月 安全每月品質彙總

• 3192440 Windows 10 的累積更新：2016 年 10 月 11 日

• 3194798 Windows 10 1607 版和 Windows Server 2016 的累積更新：2016 年 10 月 11 日

• 3192441 Windows 10 1511 版的累積更新：2016 年 10 月 11 日

被取代的安全性更新以下安全更新已經被取代：

• 3176492 Windows 10 的累積更新：2016 年 8 月 9 日

• 3176493 Windows 10 1511 版的累積更新：2016 年 8 月 9 日

• 3176495 Windows 10 1607 版的累積更新：2016 年 8 月 9 日

以下為新的安全更新，用於取代早期提及的安全更新：

• 3192440 Windows 10 的累積更新：2016 年 10 月 11 日

• 3194798 Windows 10 1607 版和 Windows Server 2016 的累積更新：2016 年 10 月 11 日

• 3192441 Windows 10 1511 版的累積更新：2016 年 10 月 11 日

此安全性更新的已知問題

• 已知問題 1
  
  此安全性更新包含在 MS16-101 和更新的更新中。在 Kerberos 驗證出現 STATUS_NO_LOGON_SERVERS (0xc000005e) 錯誤碼，無法進行密碼變更作業時，此安全性更新會停用透過訊號交涉程序，切換回 NTLM　的能力。在此情況下，您可能會收到下列其中一個錯誤碼：
  
  

  十六進位	十進位	字串	說明
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	系統偵測到可能危害安全性的企圖，請確定您可以連線至驗證您的伺服器。
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	系統偵測到可能危害安全性的企圖，請確定您可以連線至驗證您的伺服器。

  
  
  因應措施
  
  如果安裝　MS16-101　後，先前成功的密碼變更作業現已無法進行，則有可能是該密碼變更作業先前因為　Kerberos　驗證失敗，改而採用　NTLM 進行。為了透過 Kerberos 通訊協定成功變更密碼，請依照下列步驟執行：
  
  
  

  1. 在已安裝 MS16-101 的用戶端，以及提供密碼重設服務的網域控制站之間的 TCP 連接埠 464 上，設定開放通訊。
     
     如果唯讀網域控制站 (RODC) 密碼複寫原則允許使用者，RODC 便可提供自助密碼重設服務。未獲 RODC 密碼原則允許的使用者，則需要透過網路連線至使用者帳戶網域內的讀取/寫入網域控制站 (RWDC)。
     
     注意：若要確認 TCP 連接埠 464 是否已開啟，請依照下列步驟執行：
     
     
     

     1. 為您的網路監視剖析器建立等位顯示篩選器。例如：
        

        ipv4.address== <ip address of client> && tcp.port==464

     2. 在結果中，尋找 "TCP:[SynReTransmit" 框架。
        
        

  2. 確認目標 Kerberos 名稱有效。(Kerberos 通訊協定的 IP 位址無效。Kerberos 支援簡短名稱和完整網域名稱。)

  3. 確認服務主體名稱 (SPN) 已正確登錄。
     
     如需詳細資訊，請參閱 Kerberos 和自助密碼重設 (英文)。

• 已知問題 2
  
  發現的問題：若發生下列其中一項預期錯誤，網域使用者帳戶的程式設計密碼重設作業會失敗，並傳回錯誤碼 STATUS_DOWNGRADE_DETECTED (0x800704F1)：
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (極少傳回)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  下表顯示了完整的錯誤對應。
  
  

  十六進位	十進位	字串	說明
  0x56	86	ERROR_INVALID_PASSWORD	指定的網路密碼不正確。
  0x267	615	ERROR_PWD_TOO_SHORT	提供的密碼長度太短，不符合您使用者帳戶的原則。請改用較長的密碼。
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	當您試圖更新密碼時，此傳回狀態表示所提供的目前密碼值不正確。
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	當您試圖更新密碼時，此傳回狀態表示您違反了部分密碼更新規則。例如，密碼長度可能不符合長度標準。
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	系統無法連線至網域控制站，無法服務驗證要求。請稍後再試。
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	系統無法連線至網域控制站，無法服務驗證要求。請稍後再試。

  
  
  解決方式
  
  已重新發行 MS16-101 以解決此問題。安裝此公告的最新版本更新后可解決此問題。
  
  

• 已知問題 3
  
  發現的問題：本機使用者帳戶密碼變更的程式設計重設作業可能會失敗，並傳回錯誤碼　STATUS_DOWNGRADE_DETECTED (0x800704F1)。
  
  下表顯示了完整的錯誤對應。
  
  

  十六進位	十進位	字串	說明
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	系統無法連線至網域控制站，無法服務驗證要求。請稍後再試。

  
  
  解決方式
  
  已重新發行 MS16-101 以解決此問題。安裝此公告的最新版本更新后可解決此問題。
  
  

• 已知問題 4
  
  遭停用或鎖定的使用者帳戶密碼，無法使用交涉套件變更。
  
  
  遭停用或鎖定的使用者帳戶密碼仍可透過其他方式變更，例如直接使用 LDAP 修改作業。例如，PowerShell cmdlet Set-ADAccountPassword 就是使用「LDAP 修改」作業來變更密碼，且能保持不受影響。
  
  因應措施
  
  這些帳戶需要由管理員重設密碼。此行為預計會在您安裝 MS16-101 和後續修正程式後出現。
  
  

• 已知問題 5
  
  安裝　MS16-101　和後續升級後，使用 NetUserChangePassword API 的應用程式，以及在 DomainName 參數中傳遞伺服器名稱的應用程式，將無法再運作。
  
  Microsoft 文件表示，在 NetUserChangePassword 函數的 domainname 參數中，可提供遠端伺服器名稱。例如，NetUserChangePassword 函數的　MSDN 主題陳述如下：
  
  domainname [in]
  

  一個常數字串的指標，可指定執行此函數之遠端伺服器或網域的 DNS 或 NetBIOS 名稱。如果此參數為 NULL，則使用呼叫端的登入網域。 狀態
  
  除非密碼重設是用於本機電腦上的本機帳戶，否則 MS16-101 已取代此指引。
  
  文章 MS16-101，為了讓網域使用者密碼的變更生效，您必須將有效的 DNS 網域名稱傳遞至 NetUserChangePassword API。

• 已知問題 6
  
  安裝 MS16-101 所說明的安全性更新後，對本機使用者帳戶的密碼進行遠端和程式設計變更，以及不受信任的樹系間的密碼變更盡皆失敗。
  
  
  由於此作業須仰賴 NTLM 回復，但安裝 MS16-101 後已不再支援非本機帳戶，因此作業失敗。
  
  
  您可以使用提供的登錄項目來停用這項變更。
  
  警告 這個解決方案可能會使電腦或網路更容易遭受惡意使用者或惡意軟體 (例如病毒) 的攻擊。雖然不建議使用這個替代解決方案，但我們仍提供這項資訊，讓您可以自行選擇是否採用這個方案。請自行承擔使用這個解決方案的一切風險。
  
  重要本章節、方法或工作說明了如何修改登錄的步驟。然而，如果登錄修改錯誤，可能會發生嚴重問題。因此，請務必謹慎地依照這些步驟執行。為加強保護，請先備份登錄再進行修改。這樣一來，如果發生問題，您就可以還原登錄。如需有關如何備份和還原登錄的詳細資訊，請按下列文件編號，檢視「Microsoft 知識庫」中的文章：

  322756如何在 Windows 中備份及還原登錄
  
  如果要停用變更內容，請將 NegoAllowNtlmPwdChangeFallback DWORD 項目設定為使用數值 1。
  
  
  重要 將 NegoAllowNtlmPwdChangeFallback 登錄項目設定為數值 1，會停用以下安全性問題修正：
  

  登錄值	說明
  0	預設值。設定防止後援。
  1	一律允許後援。安全性問題修正已關閉。客戶若在使用遠端本機帳戶或不受信任的樹系方案時遇到任何問題，可將登錄設定為此值。

  若要新增這些登錄值，請依照下列步驟執行：
  

  1. 依序按一下 [開始]、[執行]，在 [開啟] 方塊中輸入 regedit，然後按一下 [確定]。

  2. 在登錄中找出下列子機碼並按一下：
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. 在 [編輯] 功能表中，指向 [新增]，然後按一下 [DWORD 值]。

  4. 輸入 NegoAllowNtlmPwdChangeFallback 作為 DWORD 的名稱，然後按下 ENTER。

  5. 以滑鼠右鍵按一下 NegoAllowNtlmPwdChangeFallback，然後按一下 [修改]。

  6. 在 [數值] 資料方塊中輸入 1 以停用此變更，然後按一下 [確定]。
     
     
     注意 如果要停用預設值，請輸入 0 (零)，然後按一下 [確定]。

  狀態
  
  已了解此問題的根本原因。如有其他詳細資訊，本文亦會隨之更新。

如何取得並安裝更新

方法 1：Windows Update

您可以透過 Windows Update 取得此更新。開啟自動更新後，系統會自動下載並安裝此更新。如需如何開啟自動更新的詳細資訊，請參閱自動取得安全性更新 (英文)。

方法 2：Microsoft Update Catalog

若要取得此更新的獨立套件，請前往 Microsoft Update Catalog 網站。

其他相關資訊