您目前已離線,請等候您的網際網路重新連線

MS16-101:Windows 驗證方法的安全性更新:2016 年 8 月 9 日

結論
此安全性更新可解決 Microsoft Windows 中的多個弱點。如果攻擊者在已加入網域的系統上執行蓄意製作的應用程式,這些弱點可能會允許權限提高。

若要深入了解這些弱點,請參閱 Microsoft 資訊安全公告 MS16-101
其他相關資訊
重要

  • Windows 8.1 和 Windows Server 2012 R2 日後所有的安全性與非安全性更新皆需要安裝更新 2919355。我們建議您在 Windows 8.1 或 Windows Server 2012 R2 電腦上安裝更新 2919355,以便收到日後的更新。
  • 如果您在安裝此更新之後安裝語言套件,您必須重新安裝此更新。因此,我們建議您在安裝此更新前,先安裝任何需要的語言套件。如需詳細資訊,請參閱將語言套件新增到 Windows

這個安全性更新所隨附的非安全性相關修正程式

這個安全性更新也會修正下列非安全性相關問題:

  • 在無網域叢集的已加入網域向外延展檔案伺服器 (Scale Out File Server,SoFS) 中,如果執行 Windows 8.1 或 Windows Server 2012 R2 的 SMB 用戶端連線至失效的節點,則驗證會失敗。此問題發生時,您可能會收到類似下列的錯誤訊息:

    STATUS_NO_TGT_REPLY
此安全性更新的其他相關資訊
下列文章包含此安全性更新 (與個別產品版本相關) 的其他相關資訊。這些文章可能包含已知問題的資訊。

  • 3167679 MS16-101:說明 Windows 驗證方法的安全性更新:2016 年 8 月 9 日
  • 3177108 MS16-101:說明 Windows 驗證方法的安全性更新:2016 年 8 月 9 日
  • 3176492 Windows 10 的累積更新:2016 年 8 月 9 日
  • 3176493 Windows 10 1511 版的累積更新:2016 年 8 月 9 日
  • 3176495 Windows 10 1607 版的累積更新:2016 年 8 月 9 日

此安全性更新的已知問題

  • 已知問題 1

    此安全性更新包含在 MS16-101 和更新的更新中。在 Kerberos 驗證出現 STATUS_NO_LOGON_SERVERS (0xc000005e) 錯誤碼,無法進行密碼變更作業時,此安全性更新會停用透過訊號交涉程序,切換回 NTLM 的能力。在此情況下,您可能會收到下列其中一個錯誤碼:

    十六進位十進位字串說明
    0xc00003881073740920STATUS_DOWNGRADE_DETECTED系統偵測到可能危害安全性的企圖,請確定您可以連線至驗證您的伺服器。
    0x4f11265ERROR_DOWNGRADE_DETECTED系統偵測到可能危害安全性的企圖,請確定您可以連線至驗證您的伺服器。


    因應措施

    如果安裝 MS16-101 後,先前成功的密碼變更作業現已無法進行,則有可能是該密碼變更作業先前因為 Kerberos 驗證失敗,改而採用 NTLM 進行。為了透過 Kerberos 通訊協定成功變更密碼,請依照下列步驟執行:

    1. 在已安裝 MS16-101 的用戶端,以及提供密碼重設服務的網域控制站之間的 TCP 連接埠 464 上,設定開放通訊。

      如果唯讀網域控制站 (RODC) 密碼複寫原則允許使用者,RODC 便可提供自助密碼重設服務。未獲 RODC 密碼原則允許的使用者,則需要透過網路連線至使用者帳戶網域內的讀取/寫入網域控制站 (RWDC)。

      注意:若要確認 TCP 連接埠 464 是否已開啟,請依照下列步驟執行:

      1. 為您的網路監視剖析器建立等位顯示篩選器。例如:
        ipv4.address== <ip address of client> && tcp.port==464
      2. 在結果中,尋找 "TCP:[SynReTransmit" 框架。

        框架
    2. 確認目標 Kerberos 名稱有效。(Kerberos 通訊協定的 IP 位址無效。Kerberos 支援簡短名稱和完整網域名稱。)
    3. 確認服務主體名稱 (SPN) 已正確登錄。

      如需詳細資訊,請參閱 Kerberos 和自助密碼重設 (英文)。
  • 已知問題 2

    發現的問題:若發生下列其中一項預期錯誤,網域使用者帳戶的程式設計密碼重設作業會失敗,並傳回錯誤碼 STATUS_DOWNGRADE_DETECTED (0x800704F1)

    • ERROR_INVALID_PASSWORD
    • ERROR_PWD_TOO_SHORT (極少傳回)
    • STATUS_WRONG_PASSWORD
    • STATUS_PASSWORD_RESTRICTION

    下表顯示了完整的錯誤對應。

    十六進位十進位字串說明
    0x5686ERROR_INVALID_PASSWORD指定的網路密碼不正確。
    0x267615ERROR_PWD_TOO_SHORT提供的密碼長度太短,不符合您使用者帳戶的原則。請改用較長的密碼。
    0xc000006a-1073741718STATUS_WRONG_PASSWORD當您試圖更新密碼時,此傳回狀態表示所提供的目前密碼值不正確。
    0xc000006c-1073741716STATUS_PASSWORD_RESTRICTION當您試圖更新密碼時,此傳回狀態表示您違反了部分密碼更新規則。例如,密碼長度可能不符合長度標準。
    0x800704F11265STATUS_DOWNGRADE_DETECTED系統無法連線至網域控制站,無法服務驗證要求。請稍後再試。
    0xc0000388-1073740920STATUS_DOWNGRADE_DETECTED系統無法連線至網域控制站,無法服務驗證要求。請稍後再試。


    狀態

    Microsoft 正在研究此問題,且會在找到更多資訊後,於此文件中發佈。

  • 已知問題 3

    我們發現一個問題:本機使用者帳戶密碼變更的程式設計重設可能會失敗,並傳回錯誤碼 STATUS_DOWNGRADE_DETECTED (0x800704F1)

    下表顯示了完整的錯誤對應。

    十六進位十進位字串說明
    0x4f11265ERROR_DOWNGRADE_DETECTED系統無法連線至網域控制站,無法服務驗證要求。請稍後再試。


    狀態

    Microsoft 正在研究此問題,且會在找到更多資訊後,於此文件中發佈。

  • 已知問題 4

    已停用或鎖定使用者帳戶的密碼無法變更。

    因應措施

    這些帳戶需要由管理員重設密碼。此行為預計會在您安裝 MS16-101 和後續修正程式後出現。

  • 已知問題 5

    安裝 MS16-101 和後續升級後,使用 NetUserChangePassword API 的應用程式,以及在 DomainName 參數中傳遞伺服器名稱的應用程式,將無法再運作。

    Microsoft 文件表示,在 NetUserChangePassword 函數的 domainname 參數中,可提供遠端伺服器名稱。例如,NetUserChangePassword 函數的 MSDN 主題陳述如下:

    domainname [in]
    一個常數字串的指標,可指定執行此函數之遠端伺服器或網域的 DNS 或 NetBIOS 名稱。如果此參數為 NULL,則使用呼叫端的登入網域。
    然而,除非密碼重設是用於本機電腦上的本機帳戶,否則 MS16-101 已取代此指引。後者的案例應正常運作,但卻沒有如本小節已知問題 3 中所述正常運作。
如何取得並安裝更新

方法 1:Windows Update

您可以透過 Windows Update 取得此更新。開啟自動更新後,系統會自動下載並安裝此更新。如需如何開啟自動更新的詳細資訊,請參閱自動取得安全性更新 (英文)。

方法 2:Microsoft Update Catalog

若要取得此更新的獨立套件,請前往 Microsoft Update Catalog 網站。

方法 3:Microsoft 下載中心

您可以透過 Microsoft 下載中心取得獨立更新套件。請依照下載頁面的安裝指示來安裝更新。

按一下 Microsoft 資訊安全公告 MS16-101 中與所執行 Windows 版本對應的下載連結。
其他相關資訊

安全性更新部署資訊

Windows Vista (所有版本)

參考資料表

下表包含此軟體的安全性更新資訊。

安全性更新檔案名稱適用於所有支援的 32 位元版本 Windows Vista:
Windows6.0-KB3167679-x86.msu
適用於所有支援的 x64 版本 Windows Vista:
Windows6.0-KB3167679-x64.msu
安裝參數請參閱 Microsoft 知識庫文章編號 934307
重新啟動需求套用此安全性更新之後,您必須重新啟動系統。
移除資訊WUSA.exe 不支援更新的解除安裝。若要解除安裝由 WUSA 安裝的更新,請按一下 [控制台],然後按一下 [安全性]。在 [Windows Update] 下,按一下 [檢視已安裝的更新],然後從更新清單中選取更新。
檔案資訊請參閱 Microsoft 知識庫文章編號 3167679
登錄機碼驗證注意:此更新不會新增用來驗證顯示狀態的登錄機碼。


Windows Server 2008 (所有版本)

參考資料表

下表包含此軟體的安全性更新資訊。

安全性更新檔案名稱適用於所有支援的 32 位元版本 Windows Server 2008:
Windows6.0-KB3167679-x86.msu
適用於所有支援的 x64 版本 Windows Server 2008:
Windows6.0-KB3167679-x64.msu
適用於所有支援的 Itanium 版本 Windows Server 2008:
Windows6.0-KB3167679-ia64.msu
安裝參數請參閱 Microsoft 知識庫文章編號 934307
重新啟動需求套用此安全性更新之後,您必須重新啟動系統。
移除資訊WUSA.exe 不支援更新的解除安裝。若要解除安裝由 WUSA 安裝的更新,請按一下 [控制台],然後按一下 [安全性]。在 [Windows Update] 下,按一下 [檢視已安裝的更新],然後從更新清單中選取更新。
檔案資訊請參閱 Microsoft 知識庫文章編號 3167679


Windows 7 (所有版本)

參考資料表

下表包含此軟體的安全性更新資訊。

安全性更新檔案名稱適用於所有支援的 32 位元版本 Windows 7:
Windows6.1-KB3167679-x86.msu
適用於所有支援的 x64 版本 Windows 7:
Windows6.1-KB3167679-x64.msu
安裝參數請參閱 Microsoft 知識庫文章編號 934307
重新啟動需求套用此安全性更新之後,您必須重新啟動系統。
移除資訊若要解除安裝由 WUSA 安裝的更新,請使用 /Uninstall 安裝參數,或依序按一下 [控制台][系統及安全性]。在 [Windows Update] 下,按一下 [檢視已安裝的更新],然後從更新清單中選取更新。
檔案資訊請參閱 Microsoft 知識庫文章 3167679
登錄機碼驗證注意:此更新不會新增用來驗證顯示狀態的登錄機碼。


Windows Server 2008 R2 (所有版本)

參考資料表

下表包含此軟體的安全性更新資訊。

安全性更新檔案名稱適用於所有受支援之 x64 版本的 Windows Server 2008 R2:
Windows6.1-KB3167679-x64.msu
適用於所有支援的 Itanium 版本 Windows Server 2008 R2:
Windows6.1-KB3167679-ia64.msu
安裝參數請參閱 Microsoft 知識庫文章編號 934307
重新啟動需求套用此安全性更新之後,您必須重新啟動系統。
移除資訊若要解除安裝由 WUSA 安裝的更新,請使用 /Uninstall 安裝參數,或依序按一下 [控制台][系統及安全性]。在 [Windows Update] 下,按一下 [檢視已安裝的更新],然後從更新清單中選取更新。
檔案資訊請參閱 Microsoft 知識庫文章 3167679
登錄機碼驗證注意:此更新不會新增用來驗證顯示狀態的登錄機碼。


Windows 8.1 (所有版本)

參考資料表

下表包含此軟體的安全性更新資訊。

安全性更新檔案名稱適用於所有支援的 32 位元版本 Windows 8.1:
Windows8.1-KB3167679-x86.msu
Windows8.1-KB3177108-x86.msu
適用於所有支援的 x64 版本 Windows 8.1:
Windows8.1-KB3167679-x64.msu
Windows8.1-KB3177108-x64.msu
安裝參數請參閱 Microsoft 知識庫文章編號 934307
重新啟動需求套用此安全性更新之後,您必須重新啟動系統。
移除資訊若要解除安裝由 WUSA 安裝的更新,請使用 /Uninstall 安裝參數,或依序按一下 [控制台][系統及安全性] 以及 [Windows Update]。在 [另請參閱] 下,按一下 [已安裝的更新],然後從更新清單中選取更新。
檔案資訊請參閱 Microsoft 知識庫文章編號 3167679
請參閱 Microsoft 知識庫文章 3177108
登錄機碼驗證注意:此更新不會新增用來驗證顯示狀態的登錄機碼。


Windows Server 2012 和 Windows Server 2012 R2 (所有版本)

參考資料表

下表包含此軟體的安全性更新資訊。

安全性更新檔案名稱適用於所有支援的 Windows Server 2012 版本:
Windows8-RT-KB3177108-x64.msu
適用於所有支援的 Windows Server 2012 R2 版本:
Windows8.1-KB-3177108-x64.msu
安裝參數請參閱 Microsoft 知識庫文章編號 934307
重新啟動需求套用此安全性更新之後,您必須重新啟動系統。
移除資訊若要解除安裝由 WUSA 安裝的更新,請使用 /Uninstall 安裝參數,或依序按一下 [控制台][系統及安全性] 以及 [Windows Update]。在 [另請參閱] 下,按一下 [已安裝的更新],然後從更新清單中選取更新。
檔案資訊請參閱 Microsoft 知識庫文章編號 3177108
登錄機碼驗證注意:此更新不會新增用來驗證顯示狀態的登錄機碼。


Windows 10 (所有版本)

參考資料表

下表包含此軟體的安全性更新資訊。

安全性更新檔案名稱適用於所有支援的 32 位元版本 Windows 10:
Windows10.0-KB3176492-x86.msu
適用於所有支援的 x64 版本 Windows 10:
Windows10.0-KB3176492-x64.msu
適用於所有受支援 32 位元版本的 Windows 10 版本 1511:
Windows10.0-KB3176493-x86.msu
適用於所有受支援的 Windows 10 1511 版 64 位元版本:
Windows10.0-KB3176493-x64.msu
適用於所有支援的 32 位元版本 Windows 10 1607 版:
Windows10.0-KB3176495-x86.msu
適用於所有支援的 x64 版本 Windows 10 1607 版:
Windows10.0-KB3176495-x86.msu
安裝參數請參閱 Microsoft 知識庫文章編號 934307
重新啟動需求套用此安全性更新之後,您必須重新啟動系統。
移除資訊若要解除安裝由 WUSA 安裝的更新,請使用 /Uninstall 安裝參數,或依序按一下 [控制台][系統及安全性] 以及 [Windows Update]。在 [另請參閱] 下,按一下 [已安裝的更新],然後從更新清單中選取更新。
檔案資訊請參閱 Microsoft 知識庫文章編號 3176492
請參閱 Microsoft 知識庫文章 3176493
請參閱 Microsoft 知識庫文章 3176495
登錄機碼驗證注意:此更新不會新增用來驗證顯示狀態的登錄機碼。

如何取得此安全性更新的說明及支援

有關安裝更新的說明:Microsoft Update 支援

適用於 IT 專業人員的安全性解決方案:TechNet 安全性疑難排解與支援

保護您的 Windows 電腦免於受到病毒和惡意程式碼攻擊:病毒解決方案與資訊安全中心

您所在國家/地區的當地支援:國際支援
惡意攻擊者入侵程式
內容

文章識別碼:3178465 - 最後檢閱時間:09/11/2016 14:18:00 - 修訂: 6.0

Windows 10, Windows 10 Version 1511, Windows 10 Version 1607, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2008 R2 Service Pack 1, Windows 7 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Vista Service Pack 2

  • atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability KB3178465
意見反應