MS16-101:說明 Windows 驗證方法的安全性更新:2016 年 8 月 9 日

注意事項
重要 本文提供的資訊將告訴您,如何協助降低安全性設定,或關閉電腦上的安全性功能。您可以進行這些變更,為特定的問題尋求解決方案。在進行這些變更之前,建議您先評估在特定環境中使用此解決方案的相關風險。如果您決定使用此解決方案,請採用任何其他的適當步驟,以協助保護電腦。
結論
此安全性更新可解決 Microsoft Windows 中多個弱點。如果攻擊者在已加入網域的系統上執行蓄意製作的應用程式,這些弱點可能會允許權限提高。

若要深入了解該弱點,請參閱 Microsoft 資訊安全公告 MS16-101
其他相關資訊
重要
  • Windows 8.1 和 Windows Server 2012 R2 未來所有的安全性與非安全性更新皆需要安裝更新 2919355。我們建議您在 Windows 8.1 或 Windows Server 2012 R2 電腦上安裝更新 2919355,以便收到未來的更新。
  • 如果您在安裝此更新後又安裝語言套件,您必須重新安裝此更新。因此,我們建議您在安裝此更新前,先安裝任何需要的語言套件。如需詳細資訊,請參閱將語言套件新增到 Windows

這個安全性更新所隨附的非安全性相關修正程式

這個安全性更新也會修正下列非安全性相關問題:
  • 在位於無網域的叢集、已加入網域的「向外延展檔案伺服器」(SoFS) 中,當執行 Windows 8.1 或 Windows Server 2012 R2 的 SMB 用戶端連線到關閉的節點時,驗證會失敗。發生這個情況時,您可能會收到類似下列的錯誤訊息:

    STATUS_NO_TGT_REPLY

此安全性更新的已知問題

  • 已知問題 1

    此安全性更新包含在 MS16-101 和更新的更新中。在 Kerberos 驗證出現 STATUS_NO_LOGON_SERVERS (0xc000005e) 錯誤碼,無法進行密碼變更作業時,此安全性更新會停用透過訊號交涉程序,切換回 NTLM 的能力。在此情況下,您可能會收到下列其中一個錯誤碼:

    十六進位十進位字串說明
    0xc00003881073740920STATUS_DOWNGRADE_DETECTED系統偵測到可能危害安全性的企圖,請確定您可以連線至驗證您的伺服器。
    0x4f11265ERROR_DOWNGRADE_DETECTED系統偵測到可能危害安全性的企圖,請確定您可以連線至驗證您的伺服器。


    因應措施

    如果安裝 MS16-101 後,先前成功的密碼變更作業現已無法進行,則有可能是該密碼變更作業先前因為 Kerberos 驗證失敗,改而採用 NTLM 進行。為了透過 Kerberos 通訊協定成功變更密碼,請依照下列步驟執行:

    1. 在已安裝 MS16-101 的用戶端,以及提供密碼重設服務的網域控制站之間的 TCP 連接埠 464 上,設定開放通訊。

      如果唯讀網域控制站 (RODC) 密碼複寫原則允許使用者,RODC 便可提供自助密碼重設服務。未獲 RODC 密碼原則允許的使用者,則需要透過網路連線至使用者帳戶網域內的讀取/寫入網域控制站 (RWDC)。

      注意:若要確認 TCP 連接埠 464 是否已開啟,請依照下列步驟執行:

      1. 為您的網路監視剖析器建立等位顯示篩選器。例如:
        ipv4.address== <ip address of client> && tcp.port==464
      2. 在結果中,尋找 "TCP:[SynReTransmit" 框架。

        框架
    2. 確認目標 Kerberos 名稱有效。(Kerberos 通訊協定的 IP 位址無效。Kerberos 支援簡短名稱和完整網域名稱。)
    3. 確認服務主體名稱 (SPN) 已正確登錄。

      如需詳細資訊,請參閱 Kerberos 和自助密碼重設 (英文)。
  • 已知問題 2

    發現的問題:若發生下列其中一項預期錯誤,網域使用者帳戶的程式設計密碼重設作業會失敗,並傳回錯誤碼 STATUS_DOWNGRADE_DETECTED (0x800704F1)

    • ERROR_INVALID_PASSWORD
    • ERROR_PWD_TOO_SHORT (極少傳回)
    • STATUS_WRONG_PASSWORD
    • STATUS_PASSWORD_RESTRICTION

    下表顯示了完整的錯誤對應。

    十六進位十進位字串說明
    0x5686ERROR_INVALID_PASSWORD指定的網路密碼不正確。
    0x267615ERROR_PWD_TOO_SHORT提供的密碼長度太短,不符合您使用者帳戶的原則。請改用較長的密碼。
    0xc000006a-1073741718STATUS_WRONG_PASSWORD當您試圖更新密碼時,此傳回狀態表示所提供的目前密碼值不正確。
    0xc000006c-1073741716STATUS_PASSWORD_RESTRICTION當您試圖更新密碼時,此傳回狀態表示您違反了部分密碼更新規則。例如,密碼長度可能不符合長度標準。
    0x800704F11265STATUS_DOWNGRADE_DETECTED系統無法連線至網域控制站,無法服務驗證要求。請稍後再試。
    0xc0000388-1073740920STATUS_DOWNGRADE_DETECTED系統無法連線至網域控制站,無法服務驗證要求。請稍後再試。


    解決方式

    已重新發行 MS16-101 以解決此問題。安裝此公告的最新版本更新后可解決此問題。

  • 已知問題 3

    發現的問題:本機使用者帳戶密碼變更的程式設計重設作業可能會失敗,並傳回錯誤碼 STATUS_DOWNGRADE_DETECTED (0x800704F1)

    下表顯示了完整的錯誤對應。

    十六進位十進位字串說明
    0x4f11265ERROR_DOWNGRADE_DETECTED系統無法連線至網域控制站,無法服務驗證要求。請稍後再試。


    解決方式

    已重新發行 MS16-101 以解決此問題。安裝此公告的最新版本更新后可解決此問題。

  • 已知問題 4

    遭停用或鎖定的使用者帳戶密碼,無法使用交涉套件變更。

    遭停用或鎖定的使用者帳戶密碼仍可透過其他方式變更,例如直接使用 LDAP 修改作業。例如,PowerShell cmdlet Set-ADAccountPassword 就是使用「LDAP 修改」作業來變更密碼,且能保持不受影響。

    因應措施

    這些帳戶需要由管理員重設密碼。此行為預計會在您安裝 MS16-101 和後續修正程式後出現。

  • 已知問題 5

    安裝 MS16-101 和後續升級後,使用 NetUserChangePassword API 的應用程式,以及在 DomainName 參數中傳遞伺服器名稱的應用程式,將無法再運作。

    Microsoft 文件表示,在 NetUserChangePassword 函數的 domainname 參數中,可提供遠端伺服器名稱。例如,NetUserChangePassword 函數的 MSDN 主題陳述如下:

    domainname [in]
    一個常數字串的指標,可指定執行此函數之遠端伺服器或網域的 DNS 或 NetBIOS 名稱。如果此參數為 NULL,則使用呼叫端的登入網域。
    然而,除非密碼重設是用於本機電腦上的本機帳戶,否則 MS16-101 已取代此指引。文章 MS16-101,為了讓網域使用者密碼的變更生效,您必須將有效的 DNS 網域名稱傳遞至 NetUserChangePassword API。
  • 已知問題 6

    安裝此更新後,可能會發生 0xC0000022 NTLM 驗證錯誤。若要解決此問題,請參閱套用更新後,Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2 出現 0xC0000022 錯誤,導致 NTLM 驗證失敗
  • 已知問題 7

    安裝 MS16-101 所說明的安全性更新後,對本機使用者帳戶的密碼進行遠端和程式設計變更,以及不受信任的樹系間的密碼變更盡皆失敗。

    由於此作業須仰賴 NTLM 回復,但安裝 MS16-101 後已不再支援非本機帳戶,因此作業失敗。

    您可以使用提供的登錄項目來停用這項變更。

    警告 這個解決方案可能會使電腦或網路更容易遭受惡意使用者或惡意軟體 (例如病毒) 的攻擊。雖然不建議使用這個替代解決方案,但我們仍提供這項資訊,讓您可以自行選擇是否採用這個方案。請自行承擔使用這個解決方案的一切風險。

    重要本章節、方法或工作說明了如何修改登錄的步驟。然而,如果登錄修改錯誤,可能會發生嚴重問題。因此,請務必謹慎地依照這些步驟執行。為加強保護,請先備份登錄再進行修改。這樣一來,如果發生問題,您就可以還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按下列文件編號,檢視「Microsoft 知識庫」中的文章:
    322756如何在 Windows 中備份及還原登錄


    如果要停用變更內容,請將 NegoAllowNtlmPwdChangeFallback DWORD 項目設定為使用數值 1。

    重要NegoAllowNtlmPwdChangeFallback 登錄項目設定為數值 1,會停用以下安全性問題修正:
    登錄值說明
    0 預設值。設定防止後援。
    1一律允許後援。安全性問題修正已關閉。客戶若在使用遠端本機帳戶或不受信任的樹系方案時遇到任何問題,可將登錄設定為此值。
    若要新增這些登錄值,請依照下列步驟執行:
    1. 依序按一下 [開始][執行],在 [開啟] 方塊中輸入 regedit,然後按一下 [確定]
    2. 在登錄中找出並按一下下列子機碼:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
    3. [編輯] 功能表中,指向 [新增],然後按一下 [DWORD 值]
    4. 輸入 NegoAllowNtlmPwdChangeFallback 作為 DWORD 的名稱,然後按下 ENTER。
    5. 以滑鼠右鍵按一下 NegoAllowNtlmPwdChangeFallback,然後按一下 [修改]
    6. [數值] 資料方塊中輸入 1 以停用此變更,然後按一下 [確定]

      注意 如果要停用預設值,請輸入 0 (零),然後按一下 [確定]
    狀態

    已了解此問題的根本原因。如有其他詳細資訊,本文亦會隨之更新。
如何取得並安裝更新

方法 1:Windows Update

您可以透過 Windows Update 取得此更新。開啟自動更新後,就會自動下載並安裝此更新。如需如何開啟自動更新的詳細資訊,請參閱自動取得安全性更新

方法 2:Microsoft Update Catalog

若要取得此更新的獨立套件,請前往 Microsoft Update Catalog 網站。

方法 3:Microsoft 下載中心

您可以透過 Microsoft 下載中心取得獨立更新套件。請依照下載頁面的安裝指示來安裝更新。

按一下 Microsoft 資訊安全公告 MS16-101 中與所執行的 Windows 版本對應的下載連結。
其他相關資訊

如何取得此安全性更新的說明及支援

有關安裝更新的說明:Microsoft Update 的支援

適用於 IT 專業人員的資訊安全解決方案:TechNet 安全性疑難排解與支援

保護您的 Windows 電腦免於受到病毒和惡意程式碼攻擊:病毒解決方案與資訊安全中心

您所在國家/地區的當地支援:多語系支援
檔案資訊

檔案雜湊資訊

File nameSHA1 hashSHA256 hash
Windows6.0-KB3167679-v2-ia64.msuF3E96631261EEC8CC532D17116185D82B8C5EC7F97FEB0CF0AEF4E098689FD05E86E94876C4051943983458F250E114107944DAE
Windows6.0-KB3167679-v2-x86.msuAF2B19E84D0E58C9EF4243F9BCEE6AF6642737F02F97DD85E073A5A9A6F32C6CF7DA98F7CEB6F13BBBFF992E612FCD6DE828CE00
Windows6.0-KB3167679-v2-x64.msu17FAEE7E981AB717C566360F7B7FE173C201D4DB9B81F7193CE5D66B9609CA09A690F98AFC96B2A928783788BDBDBC58D41861D4

檔案資訊

此軟體更新的英文 (美國) 版會安裝具有下表中所列屬性的檔案。

Windows Vista 和 Windows Server 2008 檔案資訊

注意
  • 套用至特定產品、里程碑 (RTM、SPn) 及服務分支 (LDR、GDR) 的檔案可透過檢視下列表格中所顯示的檔案版本號碼來確認:
    版本 產品 里程碑 服務分支
    6.0.600 2.19xxxWindows Vista 或 Windows Server 2008SP2GDR
    6.0.600 2.23xxxWindows Vista 或 Windows Server 2008SP2LDR
  • GDR 服務分支只包含針對普遍的嚴重問題所發行的通用修正程式。LDR 服務分支除了通用修正程式之外,還包含 Hotfix。
  • 不會列出已安裝的 MANIFEST 檔案 (.manifest) 及 MUM 檔案 (.mum)。
關於所有支援的 ia64 版本
File nameFile versionFile sizeDateTimePlatform
Adsmsext.dll6.0.6002.19693218,62410-Sep-201616:21IA-64
Adsmsext.dll6.0.6002.24017218,62409-Sep-201615:10IA-64
Advapi32.dll6.0.6002.195981,964,54406-Feb-201601:39IA-64
Advapi32.dll6.0.6002.240171,963,52009-Sep-201615:10IA-64
Bcrypt.dll6.0.6002.19677583,68010-Aug-201613:07IA-64
Bcrypt.dll6.0.6002.24004584,19210-Aug-201613:07IA-64
Ksecdd.sys6.0.6002.196551,030,37611-May-201613:10IA-64
Lsasrv.dll6.0.6002.196933,263,48810-Sep-201616:22IA-64
Lsasrv.mofNot applicable13,78003-Apr-200921:34Not applicable
Lsass.exe6.0.6002.1854117,92016-Nov-201114:10IA-64
Secur32.dll6.0.6002.19623202,75218-Mar-201616:34IA-64
Ksecdd.sys6.0.6002.239701,030,88811-May-201613:08IA-64
Lsasrv.dll6.0.6002.240173,268,09609-Sep-201615:11IA-64
Lsasrv.mofNot applicable13,78007-Mar-201623:37Not applicable
Lsass.exe6.0.6002.2401717,92009-Sep-201614:28IA-64
Secur32.dll6.0.6002.24017202,75209-Sep-201615:12IA-64
Ncrypt.dll6.0.6002.19678524,80010-Aug-201616:08IA-64
Ncrypt.dll6.0.6002.24017524,80009-Sep-201615:11IA-64
Rpcrt4.dll6.0.6002.195983,298,81606-Feb-201601:41IA-64
Rpcrt4.dll6.0.6002.240173,289,08809-Sep-201615:12IA-64
Wdigest.dll6.0.6002.19659482,81614-May-201615:31IA-64
Wdigest.dll6.0.6002.24017483,32809-Sep-201615:12IA-64
Msv1_0.dll6.0.6002.19431570,88027-Jun-201515:22IA-64
Msv1_0.dll6.0.6002.24017570,36809-Sep-201615:11IA-64
Schannel.dll6.0.6002.19678819,20010-Aug-201616:09IA-64
Schannel.dll6.0.6002.24017821,24809-Sep-201615:12IA-64
Mrxsmb10.sys6.0.6002.19431669,18427-Jun-201514:19IA-64
Mrxsmb10.sys6.0.6002.24017670,20809-Sep-201614:18IA-64
Mrxsmb20.sys6.0.6002.19431270,33627-Jun-201514:19IA-64
Mrxsmb20.sys6.0.6002.24017272,38409-Sep-201614:17IA-64
Mrxsmb.sys6.0.6002.19279323,07209-Jan-201500:12IA-64
Mrxsmb.sys6.0.6002.24017325,63209-Sep-201614:17IA-64
Bcrypt.dll6.0.6002.19677275,96810-Aug-201613:14x86
Bcrypt.dll6.0.6002.24004275,96809-Sep-201613:14x86
Lsasrv.mofNot applicable13,78008-Mar-201600:42Not applicable
Secur32.dll6.0.6002.1969377,31210-Sep-201616:30x86
Lsasrv.mofNot applicable13,78007-Mar-201623:37Not applicable
Secur32.dll6.0.6002.2401777,31209-Sep-201615:17x86
Rpcrt4.dll6.0.6002.19598679,42406-Feb-201602:12x86
Rpcrt4.dll6.0.6002.24017678,91209-Sep-201615:17x86
Wdigest.dll6.0.6002.19659175,61614-May-201615:41x86
Wdigest.dll6.0.6002.24017175,61609-Sep-201615:16x86
Msv1_0.dll6.0.6002.19431218,11227-Jun-201516:02x86
Msv1_0.dll6.0.6002.24017218,11209-Sep-201615:16x86
Schannel.dll6.0.6002.19678284,16010-Aug-201615:44x86
Schannel.dll6.0.6002.24017284,67209-Sep-201615:16x86
Adsmsext.dll6.0.6002.1969375,26410-Sep-201616:27x86
Adsmsext.dll6.0.6002.2401775,26409-Sep-201615:14x86
Advapi32.dll6.0.6002.19598802,30406-Feb-201602:11x86
Advapi32.dll6.0.6002.24017802,81609-Sep-201615:14x86
Ncrypt.dll6.0.6002.19678206,33610-Aug-201615:43x86
Ncrypt.dll6.0.6002.24017205,31209-Sep-201615:16x86
適用於所有支援的 x86 版本
File nameFile versionFile sizeDateTimePlatform
Adsmsext.dll6.0.6002.1969375,26410-Sep-201616:27x86
Adsmsext.dll6.0.6002.2401775,26409-Sep-201615:14x86
Advapi32.dll6.0.6002.19598802,30406-Feb-201602:11x86
Advapi32.dll6.0.6002.24017802,81609-Sep-201615:14x86
Bcrypt.dll6.0.6002.19677274,94410-Aug-201613:13x86
Bcrypt.dll6.0.6002.24004274,94409-Sep-201613:14x86
Ksecdd.sys6.0.6002.19655440,55211-May-201613:09x86
Lsasrv.dll6.0.6002.196931,261,05610-Sep-201616:28x86
Lsasrv.mofNot applicable13,78003-Apr-200921:30Not applicable
Lsass.exe6.0.6002.185419,72816-Nov-201114:12x86
Secur32.dll6.0.6002.1962372,70418-Mar-201617:10x86
Ksecdd.sys6.0.6002.23970440,55211-May-201613:07x86
Lsasrv.dll6.0.6002.240171,263,61609-Sep-201615:16x86
Lsasrv.mofNot applicable13,78007-Mar-201623:37Not applicable
Lsass.exe6.0.6002.240179,72809-Sep-201614:23x86
Secur32.dll6.0.6002.2401772,70409-Sep-201615:16x86
Ncrypt.dll6.0.6002.19678206,33610-Aug-201615:43x86
Ncrypt.dll6.0.6002.24017205,31209-Sep-201615:16x86
Rpcrt4.dll6.0.6002.19598783,87206-Feb-201602:12x86
Rpcrt4.dll6.0.6002.24017783,87209-Sep-201615:16x86
Wdigest.dll6.0.6002.19659175,61614-May-201615:41x86
Wdigest.dll6.0.6002.24017175,61609-Sep-201615:16x86
Msv1_0.dll6.0.6002.19431218,11227-Jun-201516:02x86
Msv1_0.dll6.0.6002.24017218,11209-Sep-201615:16x86
Schannel.dll6.0.6002.19678284,16010-Aug-201615:44x86
Schannel.dll6.0.6002.24017284,67209-Sep-201615:16x86
Mrxsmb10.sys6.0.6002.19431217,08827-Jun-201514:21x86
Mrxsmb10.sys6.0.6002.24017217,08809-Sep-201614:17x86
Mrxsmb20.sys6.0.6002.1943181,40827-Jun-201514:21x86
Mrxsmb20.sys6.0.6002.2401782,43209-Sep-201614:17x86
Mrxsmb.sys6.0.6002.19279107,00809-Jan-201500:17x86
Mrxsmb.sys6.0.6002.24017107,52009-Sep-201614:17x86
適用於所有支援的 x64 版本
File nameFile versionFile sizeDateTimePlatform
Adsmsext.dll6.0.6002.19693105,47210-Sep-201616:44x64
Adsmsext.dll6.0.6002.24017105,47209-Sep-201615:33x64
Advapi32.dll6.0.6002.195981,067,00806-Feb-201601:59x64
Advapi32.dll6.0.6002.240171,067,52009-Sep-201615:33x64
Bcrypt.dll6.0.6002.19677306,68810-Aug-201613:07x64
Bcrypt.dll6.0.6002.24004306,68810-Aug-201613:08x64
Ksecdd.sys6.0.6002.19655516,32811-May-201613:10x64
Lsasrv.dll6.0.6002.196931,690,62410-Sep-201616:45x64
Lsasrv.mofNot applicable13,78003-Apr-200921:33Not applicable
Lsass.exe6.0.6002.1854111,26416-Nov-201114:34x64
Secur32.dll6.0.6002.1962394,72018-Mar-201618:15x64
Ksecdd.sys6.0.6002.23970517,35211-May-201613:08x64
Lsasrv.dll6.0.6002.240171,694,20809-Sep-201615:34x64
Lsasrv.mofNot applicable13,78007-Mar-201623:37Not applicable
Lsass.exe6.0.6002.2401711,26409-Sep-201614:46x64
Secur32.dll6.0.6002.2401794,72009-Sep-201615:35x64
Ncrypt.dll6.0.6002.19678258,04810-Aug-201616:12x64
Ncrypt.dll6.0.6002.24017258,04809-Sep-201615:35x64
Rpcrt4.dll6.0.6002.195981,304,57606-Feb-201602:01x64
Rpcrt4.dll6.0.6002.240171,308,16009-Sep-201615:35x64
Wdigest.dll6.0.6002.19659205,82414-May-201615:54x64
Wdigest.dll6.0.6002.24017205,82409-Sep-201615:35x64
Msv1_0.dll6.0.6002.19431269,82427-Jun-201515:40x64
Msv1_0.dll6.0.6002.24017269,31209-Sep-201615:35x64
Schannel.dll6.0.6002.19678353,28010-Aug-201616:12x64
Schannel.dll6.0.6002.24017354,30409-Sep-201615:35x64
Mrxsmb10.sys6.0.6002.19431278,01627-Jun-201514:30x64
Mrxsmb10.sys6.0.6002.24017278,52809-Sep-201614:37x64
Mrxsmb20.sys6.0.6002.19431109,05627-Jun-201514:30x64
Mrxsmb20.sys6.0.6002.24017110,08009-Sep-201614:37x64
Mrxsmb.sys6.0.6002.19279136,19209-Jan-201500:28x64
Mrxsmb.sys6.0.6002.24017137,21609-Sep-201614:37x64
Bcrypt.dll6.0.6002.19677275,96810-Aug-201613:14x86
Bcrypt.dll6.0.6002.24004275,96809-Sep-201613:14x86
Lsasrv.mofNot applicable13,78008-Mar-201600:42Not applicable
Secur32.dll6.0.6002.1969377,31210-Sep-201616:30x86
Lsasrv.mofNot applicable13,78007-Mar-201623:37Not applicable
Secur32.dll6.0.6002.2401777,31209-Sep-201615:17x86
Rpcrt4.dll6.0.6002.19598679,42406-Feb-201602:12x86
Rpcrt4.dll6.0.6002.24017678,91209-Sep-201615:17x86
Wdigest.dll6.0.6002.19659175,61614-May-201615:41x86
Wdigest.dll6.0.6002.24017175,61609-Sep-201615:16x86
Msv1_0.dll6.0.6002.19431218,11227-Jun-201516:02x86
Msv1_0.dll6.0.6002.24017218,11209-Sep-201615:16x86
Schannel.dll6.0.6002.19678284,16010-Aug-201615:44x86
Schannel.dll6.0.6002.24017284,67209-Sep-201615:16x86
Adsmsext.dll6.0.6002.1969375,26410-Sep-201616:27x86
Adsmsext.dll6.0.6002.2401775,26409-Sep-201615:14x86
Advapi32.dll6.0.6002.19598802,30406-Feb-201602:11x86
Advapi32.dll6.0.6002.24017802,81609-Sep-201615:14x86
Ncrypt.dll6.0.6002.19678206,33610-Aug-201615:43x86
Ncrypt.dll6.0.6002.24017205,31209-Sep-201615:16x86
惡意攻擊者入侵程式
內容

文章識別碼:3167679 - 最後檢閱時間:10/18/2016 17:17:00 - 修訂: 10.0

Windows Server 2008 Service Pack 2, Windows Vista Service Pack 2

  • atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbsurveynew KB3167679
意見反應