重要 本文提供的資訊將告訴您,如何協助降低安全性設定,或關閉電腦上的安全性功能。您可以進行這些變更,為特定的問題尋求解決方案。在進行這些變更之前,建議您先評估在特定環境中使用此解決方案的相關風險。如果您決定使用此解決方案,請採用任何其他的適當步驟,以協助保護電腦。
結論
此安全性更新可解決 Microsoft Windows 中的多個弱點。如果攻擊者在已加入網域的系統上執行蓄意製作的應用程式,這些弱點可能會允許權限提高。 若要深入了解這些弱點,請參閱 Microsoft 資訊安全公告 MS16-101。
其他相關資訊
重要
-
Windows 8.1 和 Windows Server 2012 R2 日後所有的安全性與非安全性更新皆需要安裝更新 2919355。我們建議您在 Windows 8.1 或 Windows Server 2012 R2 電腦上安裝更新 2919355,以便收到日後的更新。
-
如果您在安裝此更新之後安裝語言套件,您必須重新安裝此更新。因此,我們建議您在安裝此更新前,先安裝任何需要的語言套件。如需詳細資訊,請參閱將語言套件新增到 Windows。
這個安全性更新也會修正下列非安全性相關問題:
-
在無網域叢集的已加入網域向外延展檔案伺服器 (Scale Out File Server,SoFS) 中,如果執行 Windows 8.1 或 Windows Server 2012 R2 的 SMB 用戶端連線至失效的節點,則驗證會失敗。此問題發生時,您可能會收到類似下列的錯誤訊息:
STATUS_NO_TGT_REPLY
此安全性更新的其他相關資訊
下列文章包含此安全性更新 (與個別產品版本相關) 的其他相關資訊。這些文章可能包含已知問題的資訊。
-
3177108 MS16-101:說明 Windows 驗證方法的安全性更新:2016 年 8 月 9 日
-
3167679 MS16-101:說明 Windows 驗證方法的安全性更新:2016 年 8 月 9 日
-
3192392 用於 Windows 8.1 和 Windows Server 2012 R2 的 2016 年 10 月純安全性更新
-
3185331 用於 Windows 8.1 和 Windows Server 2012 R2 的 2016 年 10 月純安全性每月品質彙總
-
3192393 用於 Windows Server 2012 的 2016 年 10月 安全品質更新
-
3185332 用於 Windows Server 2012 的 2016 年 10月 安全每月品質彙總
-
3192391 用於 Windows 7 SP1 和 Windows Server 2008 R2 SP1 的 2016 年 10 月 安全品質更新
-
3185330 用於 Windows 7 SP1 和 Windows Server 2008 R2 SP1 的 2016 年 10月 安全每月品質彙總
-
3192440 Windows 10 的累積更新:2016 年 10 月 11 日
-
3194798 Windows 10 1607 版和 Windows Server 2016 的累積更新:2016 年 10 月 11 日
-
3192441 Windows 10 1511 版的累積更新:2016 年 10 月 11 日
被取代的安全性更新以下安全更新已經被取代:
-
3176492 Windows 10 的累積更新:2016 年 8 月 9 日
-
3176493 Windows 10 1511 版的累積更新:2016 年 8 月 9 日
-
3176495 Windows 10 1607 版的累積更新:2016 年 8 月 9 日
以下為新的安全更新,用於取代早期提及的安全更新:
-
3192440 Windows 10 的累積更新:2016 年 10 月 11 日
-
3194798 Windows 10 1607 版和 Windows Server 2016 的累積更新:2016 年 10 月 11 日
-
3192441 Windows 10 1511 版的累積更新:2016 年 10 月 11 日
此安全性更新的已知問題
-
已知問題 1此安全性更新包含在 MS16-101 和更新的更新中。在 Kerberos 驗證出現 STATUS_NO_LOGON_SERVERS (0xc000005e) 錯誤碼,無法進行密碼變更作業時,此安全性更新會停用透過訊號交涉程序,切換回 NTLM 的能力。在此情況下,您可能會收到下列其中一個錯誤碼:
十六進位
十進位
字串
說明
0xc0000388
1073740920
STATUS_DOWNGRADE_DETECTED
系統偵測到可能危害安全性的企圖,請確定您可以連線至驗證您的伺服器。
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
系統偵測到可能危害安全性的企圖,請確定您可以連線至驗證您的伺服器。
因應措施如果安裝 MS16-101 後,先前成功的密碼變更作業現已無法進行,則有可能是該密碼變更作業先前因為 Kerberos 驗證失敗,改而採用 NTLM 進行。為了透過 Kerberos 通訊協定成功變更密碼,請依照下列步驟執行:
-
在已安裝 MS16-101 的用戶端,以及提供密碼重設服務的網域控制站之間的 TCP 連接埠 464 上,設定開放通訊。 如果唯讀網域控制站 (RODC) 密碼複寫原則允許使用者,RODC 便可提供自助密碼重設服務。未獲 RODC 密碼原則允許的使用者,則需要透過網路連線至使用者帳戶網域內的讀取/寫入網域控制站 (RWDC)。 注意:若要確認 TCP 連接埠 464 是否已開啟,請依照下列步驟執行:
-
為您的網路監視剖析器建立等位顯示篩選器。例如:
ipv4.address== <ip address of client> && tcp.port==464
-
在結果中,尋找 "TCP:[SynReTransmit" 框架。
-
-
確認目標 Kerberos 名稱有效。(Kerberos 通訊協定的 IP 位址無效。Kerberos 支援簡短名稱和完整網域名稱。)
-
確認服務主體名稱 (SPN) 已正確登錄。 如需詳細資訊,請參閱 Kerberos 和自助密碼重設 (英文)。
-
-
已知問題 2發現的問題:若發生下列其中一項預期錯誤,網域使用者帳戶的程式設計密碼重設作業會失敗,並傳回錯誤碼 STATUS_DOWNGRADE_DETECTED (0x800704F1):
-
ERROR_INVALID_PASSWORD
-
ERROR_PWD_TOO_SHORT (極少傳回)
-
STATUS_WRONG_PASSWORD
-
STATUS_PASSWORD_RESTRICTION
下表顯示了完整的錯誤對應。
十六進位
十進位
字串
說明
0x56
86
ERROR_INVALID_PASSWORD
指定的網路密碼不正確。
0x267
615
ERROR_PWD_TOO_SHORT
提供的密碼長度太短,不符合您使用者帳戶的原則。請改用較長的密碼。
0xc000006a
-1073741718
STATUS_WRONG_PASSWORD
當您試圖更新密碼時,此傳回狀態表示所提供的目前密碼值不正確。
0xc000006c
-1073741716
STATUS_PASSWORD_RESTRICTION
當您試圖更新密碼時,此傳回狀態表示您違反了部分密碼更新規則。例如,密碼長度可能不符合長度標準。
0x800704F1
1265
STATUS_DOWNGRADE_DETECTED
系統無法連線至網域控制站,無法服務驗證要求。請稍後再試。
0xc0000388
-1073740920
STATUS_DOWNGRADE_DETECTED
系統無法連線至網域控制站,無法服務驗證要求。請稍後再試。
解決方式已重新發行 MS16-101 以解決此問題。安裝此公告的最新版本更新后可解決此問題。
-
-
已知問題 3發現的問題:本機使用者帳戶密碼變更的程式設計重設作業可能會失敗,並傳回錯誤碼 STATUS_DOWNGRADE_DETECTED (0x800704F1)。 下表顯示了完整的錯誤對應。
十六進位
十進位
字串
說明
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
系統無法連線至網域控制站,無法服務驗證要求。請稍後再試。
解決方式已重新發行 MS16-101 以解決此問題。安裝此公告的最新版本更新后可解決此問題。
-
已知問題 4遭停用或鎖定的使用者帳戶密碼,無法使用交涉套件變更。遭停用或鎖定的使用者帳戶密碼仍可透過其他方式變更,例如直接使用 LDAP 修改作業。例如,PowerShell cmdlet Set-ADAccountPassword 就是使用「LDAP 修改」作業來變更密碼,且能保持不受影響。 因應措施這些帳戶需要由管理員重設密碼。此行為預計會在您安裝 MS16-101 和後續修正程式後出現。
-
已知問題 5安裝 MS16-101 和後續升級後,使用 NetUserChangePassword API 的應用程式,以及在 DomainName 參數中傳遞伺服器名稱的應用程式,將無法再運作。 Microsoft 文件表示,在 NetUserChangePassword 函數的 domainname 參數中,可提供遠端伺服器名稱。例如,NetUserChangePassword 函數的 MSDN 主題陳述如下:domainname [in]
一個常數字串的指標,可指定執行此函數之遠端伺服器或網域的 DNS 或 NetBIOS 名稱。如果此參數為 NULL,則使用呼叫端的登入網域。 狀態除非密碼重設是用於本機電腦上的本機帳戶,否則 MS16-101 已取代此指引。 文章 MS16-101,為了讓網域使用者密碼的變更生效,您必須將有效的 DNS 網域名稱傳遞至 NetUserChangePassword API。
-
已知問題 6安裝 MS16-101 所說明的安全性更新後,對本機使用者帳戶的密碼進行遠端和程式設計變更,以及不受信任的樹系間的密碼變更盡皆失敗。由於此作業須仰賴 NTLM 回復,但安裝 MS16-101 後已不再支援非本機帳戶,因此作業失敗。您可以使用提供的登錄項目來停用這項變更。 警告 這個解決方案可能會使電腦或網路更容易遭受惡意使用者或惡意軟體 (例如病毒) 的攻擊。雖然不建議使用這個替代解決方案,但我們仍提供這項資訊,讓您可以自行選擇是否採用這個方案。請自行承擔使用這個解決方案的一切風險。 重要本章節、方法或工作說明了如何修改登錄的步驟。然而,如果登錄修改錯誤,可能會發生嚴重問題。因此,請務必謹慎地依照這些步驟執行。為加強保護,請先備份登錄再進行修改。這樣一來,如果發生問題,您就可以還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按下列文件編號,檢視「Microsoft 知識庫」中的文章:
322756如何在 Windows 中備份及還原登錄 如果要停用變更內容,請將 NegoAllowNtlmPwdChangeFallback DWORD 項目設定為使用數值 1。重要 將 NegoAllowNtlmPwdChangeFallback 登錄項目設定為數值 1,會停用以下安全性問題修正:
登錄值
說明
0
預設值。設定防止後援。
1
一律允許後援。安全性問題修正已關閉。客戶若在使用遠端本機帳戶或不受信任的樹系方案時遇到任何問題,可將登錄設定為此值。
若要新增這些登錄值,請依照下列步驟執行:
-
依序按一下 [開始]、[執行],在 [開啟] 方塊中輸入 regedit,然後按一下 [確定]。
-
在登錄中找出下列子機碼並按一下:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
-
在 [編輯] 功能表中,指向 [新增],然後按一下 [DWORD 值]。
-
輸入 NegoAllowNtlmPwdChangeFallback 作為 DWORD 的名稱,然後按下 ENTER。
-
以滑鼠右鍵按一下 NegoAllowNtlmPwdChangeFallback,然後按一下 [修改]。
-
在 [數值] 資料方塊中輸入 1 以停用此變更,然後按一下 [確定]。注意 如果要停用預設值,請輸入 0 (零),然後按一下 [確定]。
狀態已了解此問題的根本原因。如有其他詳細資訊,本文亦會隨之更新。
-
如何取得並安裝更新
方法 1:Windows Update
您可以透過 Windows Update 取得此更新。開啟自動更新後,系統會自動下載並安裝此更新。如需如何開啟自動更新的詳細資訊,請參閱自動取得安全性更新 (英文)。
方法 2:Microsoft Update Catalog
若要取得此更新的獨立套件,請前往 Microsoft Update Catalog 網站。
您可以透過 Microsoft 下載中心取得獨立更新套件。請依照下載頁面的安裝指示來安裝更新。 按一下 Microsoft 資訊安全公告 MS16-101 中與所執行 Windows 版本對應的下載連結。
其他相關資訊
Windows Vista (所有版本)參考資料表下表包含此軟體的安全性更新資訊。
|
安全性更新檔案名稱 |
適用於所有支援的 32 位元版本 Windows Vista:Windows6.0-KB3167679-x86.msu |
|
適用於所有支援的 x64 版本 Windows Vista:Windows6.0-KB3167679-x64.msu |
|
|
安裝參數 |
|
|
重新啟動需求 |
套用此安全性更新之後,您必須重新啟動系統。 |
|
移除資訊 |
WUSA.exe 不支援更新的解除安裝。若要解除安裝由 WUSA 安裝的更新,請按一下 [控制台],然後按一下 [安全性]。在 [Windows Update] 下,按一下 [檢視已安裝的更新],然後從更新清單中選取更新。 |
|
檔案資訊 |
|
|
登錄機碼驗證 |
注意:此更新不會新增用來驗證顯示狀態的登錄機碼。 |
Windows Server 2008 (所有版本)參考資料表下表包含此軟體的安全性更新資訊。
|
安全性更新檔案名稱 |
適用於所有支援的 32 位元版本 Windows Server 2008:Windows6.0-KB3167679-x86.msu |
|
適用於所有支援的 x64 版本 Windows Server 2008:Windows6.0-KB3167679-x64.msu |
|
|
適用於所有支援的 Itanium 版本 Windows Server 2008:Windows6.0-KB3167679-ia64.msu |
|
|
安裝參數 |
|
|
重新啟動需求 |
套用此安全性更新之後,您必須重新啟動系統。 |
|
移除資訊 |
WUSA.exe 不支援更新的解除安裝。若要解除安裝由 WUSA 安裝的更新,請按一下 [控制台],然後按一下 [安全性]。在 [Windows Update] 下,按一下 [檢視已安裝的更新],然後從更新清單中選取更新。 |
|
檔案資訊 |
Windows 7 (所有版本)參考資料表下表包含此軟體的安全性更新資訊。
|
安全性更新檔案名稱 |
適用於所有支援的 32 位元版本 Windows 7:Windows6.1-KB3192391-x86.msu僅安全性 |
|
適用於所有受支援 32 位元版本的 Windows 7Windows6.1-KB3185330-x86.msu每月彙總 |
|
|
適用於所有受支援的 Windows 7 x64 型版本:Windows6.1-KB3192391-x64.msu僅安全性 |
|
|
適用於所有受支援的 Windows 7 x64 型版本:Windows6.1-KB3185330-x64.msu每月彙總 |
|
|
安裝參數 |
|
|
重新啟動需求 |
套用此安全性更新之後,您必須重新啟動系統。 |
|
移除資訊 |
若要解除安裝由 WUSA 安裝的更新,請使用 /Uninstall 安裝參數,或依序按一下 [控制台] 和 [系統及安全性]。在 [Windows Update] 下,按一下 [檢視已安裝的更新],然後從更新清單中選取更新。 |
|
檔案資訊 |
|
|
登錄機碼驗證 |
注意:此更新不會新增用來驗證安裝的登錄機碼。 |
Windows Server 2008 R2 (所有版本)參考資料表下表包含此軟體的安全性更新資訊。
|
安全性更新檔案名稱 |
適用於所有受支援之 x64 版本的 Windows Server 2008 R2:Windows6.1-KB3192391-x64.msu僅安全性 |
|
適用於所有支援的 x64 版本 Windows Server 2008 R2:Windows6.1-KB3185330-x64.msu每月彙總 |
|
|
適用於所有支援的 Itanium 版本 Windows Server 2008 R2:Windows6.1-KB3192391-ia64.msu僅安全性 |
|
|
適用於所有支援的 Itanium 版本 Windows Server 2008 R2:Windows6.1-KB3185330-ia64.msu每月彙總 |
|
|
安裝參數 |
|
|
重新啟動需求 |
在您套用此安全性更新之後需要重新啟動系統。 |
|
移除資訊 |
如果要解除安裝由 WUSA 所安裝的更新,請使用 /Uninstall 安裝參數,或依序按一下 [控制台]、[系統及安全性],然後在 [Windows Update] 下方,按一下 [檢視已安裝的更新] 並從更新的清單中選取。 |
|
檔案資訊 |
|
|
登錄機碼驗證 |
注意 沒有可驗證此更新是否存在的登錄機碼。 |
Windows 8.1 (所有版本)參考資料表下表包含此軟體的安全性更新資訊。
|
安全性更新檔案名稱 |
適用於所有支援的 32 位元版本 Windows 8.1:Windows8.1-KB3192392-x86.msu僅安全性 |
|
適用於所有支援的 32 位元版本 Windows 8.1:Windows8.1-KB3185331-x86.msu每月彙總 |
|
|
適用於所有受支援的 Windows 8.1 x64 型版本:Windows8.1-KB3192392-x64.msu僅安全性 |
|
|
適用於所有受支援的 Windows 8.1 x64 型版本:Windows8.1-KB3185331-x64.msu每月彙總 |
|
|
安裝參數 |
|
|
重新啟動需求 |
套用此安全性更新之後,您必須重新啟動系統。 |
|
移除資訊 |
若要解除安裝由 WUSA 安裝的更新,請使用 /Uninstall 安裝參數,或依序按一下 [控制台]、[系統及安全性] 以及 [Windows Update]。在 [另請參閱] 下,按一下 [已安裝的更新],然後從更新清單中選取更新。 |
|
檔案資訊 |
|
|
登錄機碼驗證 |
注意:此更新不會新增用來驗證安裝的登錄機碼。 |
Windows Server 2012 和 Windows Server 2012 R2 (所有版本)參考資料表下表包含此軟體的安全性更新資訊。
|
安全性更新檔案名稱 |
適用於所有支援的 Windows Server 2012 版本:Windows8-RT-KB3192393-x64.msu僅安全性 |
|
適用於所有支援的 Windows Server 2012 版本:Windows8-RT-KB3185332-x64.msu每月彙總 |
|
|
適用於所有支援的 Windows Server 2012 R2 版本:Windows8.1-KB3192392-x64.msu僅安全性 |
|
|
適用於所有支援的 Windows Server 2012 R2 版本:Windows8.1-KB3185331-x64.msu每月彙總 |
|
|
安裝參數 |
|
|
重新啟動需求 |
在您套用此安全性更新之後需要重新啟動系統。 |
|
移除資訊 |
若要解除安裝由 WUSA 安裝的更新,請使用 /Uninstall 安裝參數,或依序按一下 [控制台]、[系統及安全性]、[Windows Update],然後在 [另請參閱] 下,按一下 [已安裝的更新],並從更新清單中選取更新。 |
|
檔案資訊 |
|
|
登錄機碼驗證 |
注意 沒有可驗證此更新是否存在的登錄機碼。 |
Windows 10 (所有版本)參考資料表下表包含此軟體的安全性更新資訊。
|
安全性更新檔案名稱 |
適用於所有支援的 32 位元版本 Windows 10:Windows10.0-KB3192440-x86.msu |
|
適用於所有支援的 x64 版本 Windows 10:Windows10.0-KB3192440-x64.msu |
|
|
適用於所有受支援 32 位元版本的 Windows 10 版本 1511:Windows10.0-Kb3192441-x86.msu |
|
|
適用於所有受支援的 Windows 10 1511 版 64 位元版本:Windows10.0-Kb3192441-x64.msu |
|
|
適用於所有支援的 32 位元版本 Windows 10 1607 版:Windows10.0-KB3194798-x86.msu |
|
|
適用於所有支援的 x64 版本 Windows 10 版本 1607:Windows10.0-KB3194798-x64.msu |
|
|
安裝參數 |
|
|
重新啟動需求 |
套用此安全性更新之後,您必須重新啟動系統。 |
|
移除資訊 |
若要解除安裝由 WUSA 安裝的更新,請使用 /Uninstall 安裝參數,或依序按一下 [控制台]、[系統及安全性] 以及 [Windows Update]。在 [另請參閱] 下,按一下 [已安裝的更新],然後從更新清單中選取更新。 |
|
檔案資訊 |
請參閱 Microsoft 知識庫文章編號 3192440請參閱 Microsoft 知識庫文章編號 3192441請參閱 Microsoft 知識庫文章編號 3194798 |
|
登錄機碼驗證 |
注意:此更新不會新增用來驗證安裝的登錄機碼。 |
有關安裝更新的說明:Microsoft Update 支援適用於 IT 專業人員的安全性解決方案:TechNet 安全性疑難排解與支援保護您的 Windows 電腦免於受到病毒和惡意程式碼攻擊:病毒解決方案與資訊安全中心您所在國家/地區的當地支援:國際支援
