重要 本文提供的資訊將告訴您,如何協助降低安全性設定,或關閉電腦上的安全性功能。您可以進行這些變更,為特定的問題尋求解決方案。在進行這些變更之前,建議您先評估在特定環境中使用此解決方案的相關風險。如果您決定使用此解決方案,請採用任何其他的適當步驟,以協助保護電腦。
結論
此安全性更新包括 Windows 10 1511 版功能的改良與修正。其還可解決下列 Windows 中的弱點:
-
3177356 MS16-095:Internet Explorer 的累積安全性更新:2016 年 8 月 9 日
-
3177358 MS16-096:Microsoft Edge 的累積安全性更新:2016 年 8 月 9 日
-
3177393 MS16-097:Microsoft 圖形元件的安全性更新:2016 年 8 月 9 日
-
3178466 MS16-098:核心模式驅動程式的安全性更新:2016 年 8 月 9 日
-
3178465 MS16-101:Windows 驗證方法的安全性更新:2016 年 8 月 9 日
-
3182248 MS16-102:Microsoft Windows PDF 文件庫的安全性更新:2016 年 8 月 9 日
-
3182332 MS16-103:ActiveSyncProvider 的安全性更新:2016 年 8 月 9 日
Windows 10 更新是累積性的。因此,此套件包含所有先前發行的修正程式。如果您已安裝先前的更新,則此套件中只有新的修正程式會被下載,並安裝於您的電腦上。如果您第一次安裝 Windows 10 更新套件,則 x86 版本的套件為 502 MB,而 x64 版本的套件為 916 MB。
其他相關資訊
此安全性更新的已知問題
-
已知問題 1此安全性更新包含在 MS16-101 和更新的更新中。在 Kerberos 驗證出現 STATUS_NO_LOGON_SERVERS (0xc000005e) 錯誤碼,無法進行密碼變更作業時,此安全性更新會停用透過訊號交涉程序,切換回 NTLM 的能力。在此情況下,您可能會收到下列其中一個錯誤碼:
十六進位
十進位
字串
說明
0xc0000388
1073740920
STATUS_DOWNGRADE_DETECTED
系統偵測到可能危害安全性的企圖,請確定您可以連線至驗證您的伺服器。
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
系統偵測到可能危害安全性的企圖,請確定您可以連線至驗證您的伺服器。
因應措施如果安裝 MS16-101 後,先前成功的密碼變更作業現已無法進行,則有可能是該密碼變更作業先前因為 Kerberos 驗證失敗,改而採用 NTLM 進行。為了透過 Kerberos 通訊協定成功變更密碼,請依照下列步驟執行:
-
在已安裝 MS16-101 的用戶端,以及提供密碼重設服務的網域控制站之間的 TCP 連接埠 464 上,設定開放通訊。 如果唯讀網域控制站 (RODC) 密碼複寫原則允許使用者,RODC 便可提供自助密碼重設服務。未獲 RODC 密碼原則允許的使用者,則需要透過網路連線至使用者帳戶網域內的讀取/寫入網域控制站 (RWDC)。 注意:若要確認 TCP 連接埠 464 是否已開啟,請依照下列步驟執行:
-
為您的網路監視剖析器建立等位顯示篩選器。例如:
ipv4.address== <ip address of client> && tcp.port==464
-
在結果中,尋找 "TCP:[SynReTransmit" 框架。
-
-
確認目標 Kerberos 名稱有效。(Kerberos 通訊協定的 IP 位址無效。Kerberos 支援簡短名稱和完整網域名稱。)
-
確認服務主體名稱 (SPN) 已正確登錄。 如需詳細資訊,請參閱 Kerberos 和自助密碼重設 (英文)。
-
-
已知問題 2發現的問題:若發生下列其中一項預期錯誤,網域使用者帳戶的程式設計密碼重設作業會失敗,並傳回錯誤碼 STATUS_DOWNGRADE_DETECTED (0x800704F1):
-
ERROR_INVALID_PASSWORD
-
ERROR_PWD_TOO_SHORT (極少傳回)
-
STATUS_WRONG_PASSWORD
-
STATUS_PASSWORD_RESTRICTION
下表顯示了完整的錯誤對應。
十六進位
十進位
字串
說明
0x56
86
ERROR_INVALID_PASSWORD
指定的網路密碼不正確。
0x267
615
ERROR_PWD_TOO_SHORT
提供的密碼長度太短,不符合您使用者帳戶的原則。請改用較長的密碼。
0xc000006a
-1073741718
STATUS_WRONG_PASSWORD
當您試圖更新密碼時,此傳回狀態表示所提供的目前密碼值不正確。
0xc000006c
-1073741716
STATUS_PASSWORD_RESTRICTION
當您試圖更新密碼時,此傳回狀態表示您違反了部分密碼更新規則。例如,密碼長度可能不符合長度標準。
0x800704F1
1265
STATUS_DOWNGRADE_DETECTED
系統無法連線至網域控制站,無法服務驗證要求。請稍後再試。
0xc0000388
-1073740920
STATUS_DOWNGRADE_DETECTED
系統無法連線至網域控制站,無法服務驗證要求。請稍後再試。
解決方式已重新發行 MS16-101 以解決此問題。安裝此公告的最新版本更新后可解決此問題。
-
-
已知問題 3發現的問題:本機使用者帳戶密碼變更的程式設計重設作業可能會失敗,並傳回錯誤碼 STATUS_DOWNGRADE_DETECTED (0x800704F1)。 下表顯示了完整的錯誤對應。
十六進位
十進位
字串
說明
0x4f1
1265
ERROR_DOWNGRADE_DETECTED
系統無法連線至網域控制站,無法服務驗證要求。請稍後再試。
解決方式已重新發行 MS16-101 以解決此問題。安裝此公告的最新版本更新后可解決此問題。
-
已知問題 4遭停用或鎖定的使用者帳戶密碼,無法使用交涉套件變更。遭停用或鎖定的使用者帳戶密碼仍可透過其他方式變更,例如直接使用 LDAP 修改作業。例如,PowerShell cmdlet Set-ADAccountPassword 就是使用「LDAP 修改」作業來變更密碼,且能保持不受影響。 因應措施這些帳戶需要由管理員重設密碼。此行為預計會在您安裝 MS16-101 和後續修正程式後出現。
-
已知問題 5安裝 MS16-101 和後續升級後,使用 NetUserChangePassword API 的應用程式,以及在 DomainName 參數中傳遞伺服器名稱的應用程式,將無法再運作。 Microsoft 文件表示,在 NetUserChangePassword 函數的 domainname 參數中,可提供遠端伺服器名稱。例如,NetUserChangePassword 函數的 MSDN 主題陳述如下:domainname [in]
一個常數字串的指標,可指定執行此函數之遠端伺服器或網域的 DNS 或 NetBIOS 名稱。如果此參數為 NULL,則使用呼叫端的登入網域。 然而,除非密碼重設是用於本機電腦上的本機帳戶,否則 MS16-101 已取代此指引。文章 MS16-101,為了讓網域使用者密碼的變更生效,您必須將有效的 DNS 網域名稱傳遞至 NetUserChangePassword API。
-
已知問題 6 在您套用此安全性更新後,並且連續列印多份文件時,系統會成功列印前兩份文件。但可能不會列印第三份及之後的文件。若要修正此問題,請從 Microsoft Update Catalog 網站下載更新 3186988。此問題亦已於 Microsoft 資訊安全公告 MS16-106 中解決。
-
已知問題 7安裝 MS16-101 所說明的安全性更新後,對本機使用者帳戶的密碼進行遠端和程式設計變更,以及不受信任的樹系間的密碼變更盡皆失敗。由於此作業須仰賴 NTLM 回復,但安裝 MS16-101 後已不再支援非本機帳戶,因此作業失敗。您可以使用提供的登錄項目來停用這項變更。 警告 這個解決方案可能會使電腦或網路更容易遭受惡意使用者或惡意軟體 (例如病毒) 的攻擊。雖然不建議使用這個替代解決方案,但我們仍提供這項資訊,讓您可以自行選擇是否採用這個方案。請自行承擔使用這個解決方案的一切風險。 重要本章節、方法或工作說明了如何修改登錄的步驟。然而,如果登錄修改錯誤,可能會發生嚴重問題。因此,請務必謹慎地依照這些步驟執行。為加強保護,請先備份登錄再進行修改。這樣一來,如果發生問題,您就可以還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按下列文件編號,檢視「Microsoft 知識庫」中的文章:
322756如何在 Windows 中備份及還原登錄 如果要停用變更內容,請將 NegoAllowNtlmPwdChangeFallback DWORD 項目設定為使用數值 1。重要 將 NegoAllowNtlmPwdChangeFallback 登錄項目設定為數值 1,會停用以下安全性問題修正:
登錄值
說明
0
預設值。設定防止後援。
1
一律允許後援。安全性問題修正已關閉。客戶若在使用遠端本機帳戶或不受信任的樹系方案時遇到任何問題,可將登錄設定為此值。
若要新增這些登錄值,請依照下列步驟執行:
-
依序按一下 [開始]、[執行],在 [開啟] 方塊中輸入 regedit,然後按一下 [確定]。
-
在登錄中找出並按一下下列子機碼:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
-
在 [編輯] 功能表中,指向 [新增],然後按一下 [DWORD 值]。
-
輸入 NegoAllowNtlmPwdChangeFallback 作為 DWORD 的名稱,然後按下 ENTER。
-
以滑鼠右鍵按一下 NegoAllowNtlmPwdChangeFallback,然後按一下 [修改]。
-
在 [數值] 資料方塊中輸入 1 以停用此變更,然後按一下 [確定]。注意 如果要停用預設值,請輸入 0 (零),然後按一下 [確定]。
狀態已了解此問題的根本原因。如有其他詳細資訊,本文亦會隨之更新。
-
如何取得此更新
重要 如果您在安裝此更新後又安裝語言套件,您必須重新安裝此更新。因此,我們建議您在安裝此更新前,先安裝任何需要的語言套件。如需詳細資訊,請參閱將語言套件新增到 Windows。
方法 1:Windows Update
此更新會自動下載並安裝。
方法 2:Microsoft Update Catalog
若要取得此更新的獨立套件,請前往 Microsoft Update Catalog 網站。
先決條件
安裝這個更新沒有先決條件。
重新啟動資訊
套用此更新之後,您必須重新啟動電腦。
更新取代資訊
此更新會取代先前發行的更新 3172985。
檔案資訊
如需此累積更新中提供的檔案清單,請下載累積更新 3176493 的檔案資訊。
参考
了解 Microsoft 用來說明軟體更新的術語。
