Bemærk!
Denne sikkerhedsopdatering blev udgivet igen d. 12. september 2017 for at løse kendte problemer i opdatering 3170455 til CVE-2016-3238. Microsoft har gjort følgende opdateringer tilgængelige for aktuelt understøttede versioner af Microsoft Windows. Du kan finde flere oplysninger i følgende artikel i Microsoft Knowledge Base:
-
3170455-opdatering til Windows Server 2008
-
Månedlig opdatering 4038777 og sikkerhedsopdatering 4038779 til Windows 7 og Windows Server 2008 R2
-
Månedlig opdatering 4038799 og sikkerhedsopdatering 4038786 til Windows Server 2012
-
Månedlig opdatering 4038792 og sikkerhedsopdatering 4038793 til Windows 8.1 og Windows Server 2012 R2
-
Samlet opdatering 4038781 til Windows 10
-
Kumulativ opdatering 4038781 til Windows 10 version 1511
-
Kumulativ opdatering 4038782 til Windows 10 version 1607 Windows Server 2016
Microsoft anbefaler, at kunder, der Windows Server 2008, geninstallerer opdatering 3170455. Microsoft anbefaler, at kunder, der kører andre understøttede versioner af Windows installerer den relevante opdatering. Du kan få mere at vide ved at gå til Microsoft Knowledge Base-artikel 3170455.
Andre ændringer, der er inkluderet i den nye version af MS16-087
-
Hændelseslogføring er tilføjet for at hjælpe med at fastslå årsagen til installationsfejl i printerdriveren
Tidligere var den eneste måde, hvorpå en kunde kunne se, hvorfor en driver ikke kunne gennemføre den nye begrænsning, som implementerede som en del af MS16-087, at indsamle udskriftslogfiler og derefter sende den til Microsoft til analyse.
Vi har tilføjet funktionalitet til at logføre årsagen til fejl i hændelsesloggen, så kunderne selv kan undersøge den egentlige årsag til driverfejl.
Oplysninger, der logføres:
1. Hvis en driver ikke er pakkeafhængig eller ikke er signeret korrekt, logføres følgende meddelelse:
MSG_CSRSPL_UNTRUSTED_DRIVER:"Print Spooler kunne ikke hente pakke for driveren <driverName>. Fejlkode= <FejlkodeFromListBelow>. Blokering af driveren, da der kan være mulighed for manipulation".
2. Hvis en driver ikke kan validere en signatur ved hjælp af det angivne katalog, logføres følgende meddelelse:
VALIDATEDRVINFO_FAILED:"I VALIDATINGDRVINFO: Tilføjelse af printerdriver <driverNavn> mislykkedes, fejlkode <errorCodeFromListBelow>.
Mulige fejlkoder:
Kode |
Betydning |
0x800F0243L |
Publisher ikke tillid til |
0x800F024BL |
Hash er ikke i katalog |
0x800F022FL |
Intet katalog for OEM-INF |
0x800F023FL |
Intet authenticode-katalog |
0x800F0240L |
Authenticode disallowed |
0x800F0249L |
Generisk "Driverinstallation blokeret" |
Oversigt
Denne sikkerhedsopdatering løser sårbarheder i Microsoft Windows. De mere alvorlige af sårbarhederne kan tillade fjernkørsel af kode, hvis en hacker kan udføre et mellemliggende (MiTM) angreb på en arbejdsstation eller udskriftsserver, eller konfigurere en server til udskrivning på et destinationsnetværk.se Microsoft Security Bulletin MS16-087.
Du kan få mere at vide om sikkerhedsrisikoen ved atFlere oplysninger
Vigtigt!
-
Når du har installeret denne sikkerhedsopdatering, skal du anvende følgende opdateringsopdatering til Windows på printerserveren Windows 8.1 eller Windows Server 2012 R2 for at kunne installere Punkt- og udskriftsdrivere på printerserveren i Windows 8.1 eller Windows Server 2012 R2:
3000850 Opdateringsopdateringsopdatering for november 2014 til Windows RT 8.1, Windows 8.1 og Windows Server 2012 R2
-
Alle fremtidige sikkerheds- og ikke-sikkerhedsopdateringer til Windows RT 8.1, Windows 8.1 og Windows Server 2012 R2 kræver, at opdatering 2919355 er installeret. Vi anbefaler, at du installerer opdatering 2919355 på din Windows RT 8.1-baserede, Windows 8.1-baserede eller Windows Server 2012 R2-baserede computer, så du modtager fremtidige opdateringer.
-
Hvis du installerer en sprogpakke, efter du har installeret denne opdatering, skal du geninstallere denne opdatering. Vi anbefaler derfor, at du installerer alle de sprogpakker, du har brug for, før du installerer denne opdatering. Få mere at vide under Føj sprogpakker til Windows.
Yderligere oplysninger om denne sikkerhedsopdatering
Følgende artikler indeholder yderligere oplysninger om denne sikkerhedsopdatering, da den relaterer til individuelle produktversioner. Artiklerne kan indeholde kendte oplysninger om problemet.
-
3170455 MS16-087: Beskrivelse af sikkerhedsopdateringen til Windows Print Spooler-komponenter: 12. juli 2016
-
3163912 Kumulativ opdatering til Windows 10: 12. juli 2016
-
3172985 Kumulativ opdatering til Windows 10 version 1511 og Windows Server 2016 Technical Preview 4: 12. juli 2016
Kendte problemer
Hvis du bruger netværksudskrivning i dit miljø, kan du opleve et af følgende problemer:
-
Du bliver muligvis bedt om en advarsel om installation af en printerdriver, eller driveren kan muligvis ikke installeres uden meddelelse, når du har installeret MS16-087. Symptomer her afhænger af det specifikke scenarie.
Scenarie 1 For ikke-pakke-bevidste v3-printerdrivere vises følgende advarselsmeddelelse muligvis, når brugere forsøger at oprette forbindelse til punkt- og udskriftsprintere:
Scenarie 2 Pakkeafhængige drivere skal være signeret med et certifikat, der er tillid til. Bekræftelsesprocessen kontrollerer, om alle de filer, der er inkluderet i driveren, er blevet gemt i kataloget. Hvis bekræftelsen mislykkes, anses driveren for værende upålidelig. I denne situation blokeres driverinstallationen, og følgende advarselsmeddelelse vises:
Scenarie 3 For ikke-interaktive scenarier (f.eks. installeres printeren via et automatiseret script), når printerdriveren opfylder de kriterier, der er beskrevet i enten Scenarie 1 eller Scenarie 2, mislykkes printerinstallationen, og der vises ingen advarselsmeddelelse.
I disse situationer skal du kontakte din netværksadministrator for at få en opdateret driver fra printerproducenten. Vejledning til netværksadministratorer:-
Opdater den påvirkede printerdriver. Pakkeafhængige V3-printerdrivere blev introduceret i Windows Vista. Hvis du installerer en pakkebaseret printerdriver, løses problemet.
-
Hvis en bestemt ældre printer ikke har den relevante printerdriver tilgængelig, kan problemet løses ved at forudinstallere den problematiske printerdriver på klientsystemet.
Du kan finde flere oplysninger om disse scenarier i følgende Microsoft-ressourcer:
-
-
Når du har installeret sikkerhedsopdateringen MS16-087 (KB 3170455)og forsøger at oprette forbindelse til en printer, der er tillid til, og som er installeret på et system, der kører Windows 8.1 eller Windows Server 2012 R2, kan du ikke oprette forbindelse til printeren. Du kan løse dette problem ved at anvende følgende Windows opdateringspakke på Windows 8.1 eller Windows Server 2012 R2-printerserver:
3000850 Opdateringsopdateringsopdatering for november 2014 til Windows RT 8.1, Windows 8.1 og Windows Server 2012 R2
Opdatering for oktober 2016: Afhjælpning ved kendte problemer
Microsoft har udgivet en opdatering fra oktober 2016, der giver netværksadministratorer mulighed for at konfigurere politikker, der tillader installation af printerdrivere, som de mener er sikre. Denne opdatering giver også netværksadministratorer mulighed for at installere printerforbindelser, som de anser som sikre.
Opdateringerne er indeholdt i følgende opsnulningspakker.
Windows 10 RTM |
|
Windows 10 1511 |
|
Windows 10 1607 |
|
Windows 7 og Windows Server 2008 R2 |
|
Windows Server 2012 |
|
Windows 8.1 og Windows Server 2012 R2 |
Konfiguration af Gruppepolitik at føje udskriftsservere til listen over tilladte
-
Klik på Start, og klik derefter på Kør.
-
Skriv gpedit.msc, og klik derefter på OK.
-
Udvid Computerkonfiguration, og udvid derefter Administrative skabeloner.
-
Klik på Printere.
-
Dobbeltklik på Punkt- og udskriftsbegrænsninger, og vælg derefter indstillingen Aktiveret.
-
Markér afkrydsningsfeltet Brugere kan kun pege på og udskrive til disse servere under Indstillinger, og skriv derefter de fuldt kvalificerede servernavne i tekstfeltet adskilt af semikolon.
-
Under Sikkerhedsprompter skal du angive dem på følgende måde:
-
"Når du installerer drivere til en ny forbindelse": "Vis advarsels- og udvidelsesprompt".
-
"Når du opdaterer drivere til en eksisterende forbindelse": "Vis advarsels- og udvidelsesprompt".
-
-
Klik på Anvend og derefter på OK.
-
På siden Printerpolitik skal du dobbeltklikke på Pakkepunkt og Udskrift – Godkendte servere.
-
Vælg indstillingen Aktiveret.
-
Klik på Vis under Indstillinger.
-
Skriv ét fuldt kvalificeret servernavn i hver række.
-
Klik på OK.
-
Klik på Anvend, og klik derefter på OK.
-
Hvis du bruger en enkeltstående klient, skal du genstarte klienten og derefter bekræfte, at disse politikker er i kraft.
-
Hvis du bruger domænepolitikker, skal du skubbe politikkerne til domæneklienterne og derefter bekræfte, at disse politikker er i kraft.
Bemærk! Når du har aktiveret disse gruppepolitikker, skal du føje alle printerservere til både listen Punkt- og Udskriftsbegrænsninger og Pakkepunkt og Udskriv – godkendt serverliste. Dette gælder uanset pakkes opmærksomhed.
Ofte stillede spørgsmål om opdateringen i oktober 2016
-
Sp: Skal vi fjerne den forrige opdatering?
A: Nej. Den tidligere opdatering retter sikkerhedsrisikoen. Opdateringen for oktober 2016 afhjælper afhjælpningen for at give netværksadministratorer mulighed for at installere drivere, de mener er sikre. -
Sp: Selv med opdateringen for oktober 2016 installeret og de gruppepolitikker, der er konfigureret, vises meddelelsen "Hav du tillid til denne printer" stadig, når jeg forsøger at installere en lokal printer. Hvorfor er det? afsnittet Vejledning for netværksadministratorer.
A: Denne afhjælpning er rettet mod netværksprintere og ikke lokale printere, så denne funktionsmåde forventes. Bemærk! Hvis du får meddelelsen "Har du tillid til denne printer", skal du enten erstatte din aktuelle driver ved hjælp af en pålidelig pakkeafhængig driver eller installere driverfilerne på det lokale driverlager, før du installerer den lokale printer. Du kan finde flere oplysninger i
Sådan henter og installerer du opdateringen
Metode 1: Windows opdatering
Denne opdatering er tilgængelig via Windows Update. Når du slår automatisk opdatering til, downloades og installeres denne opdatering automatisk. Du kan finde flere oplysninger om, hvordan du aktiverer automatisk opdatering, under Få sikkerhedsopdateringer automatisk. Bemærk! Windows RT 8.1 er denne opdatering kun tilgængelig via Windows Update.
Du kan hente den enkeltstående opdateringspakke via Microsoft Download Center. Følg installationsvejledningen på downloadsiden for at installere opdateringen.i Microsoft Security Bulletin MS16-087, der svarer til den version af Windows, du kører.
Klik på downloadlinketFlere oplysninger
Windows Vista-referencetabel (alle udgaver)
Følgende tabel indeholder oplysninger om sikkerhedsopdateringen for denne software.
Filnavne for sikkerhedsopdatering |
For alle understøttede 32-bit versioner Windows Vista: Windows6.0-KB3170455-x86.msu |
For alle understøttede x64-baserede udgaver af Windows Vista: Windows6.0-KB3170455-x64.msu |
|
Installationsparametre |
|
Krav om genstart |
I nogle tilfælde kræver denne opdatering ikke en genstart af systemet. Hvis de nødvendige filer bruges, kræver denne opdatering en genstart af systemet. Hvis denne funktionsmåde forekommer, modtager du en meddelelse, der anbefaler, at du genstarter systemet. |
Oplysninger om fjernelse |
WUSA.exe understøtter ikke fjernelse af opdateringer. Hvis du vil fjerne en opdatering, der er installeret af WUSA, skal du klikke på Kontrolpanelog derefter klikke på Sikkerhed. Under Windows skaldu klikke på Vis installeredeopdateringer og derefter vælge på listen over opdateringer. |
Filoplysninger |
|
Bekræftelse af registreringsdatabasenøgle |
Bemærk! Der findes ikke en registreringsdatabasenøgle til at validere tilstedeværelsen af denne opdatering. |
Windows Referencetabel for Server 2008 (alle udgaver)
Følgende tabel indeholder oplysninger om sikkerhedsopdateringen for denne software.
Filnavne for sikkerhedsopdatering |
For alle understøttede 32-bit versioner Windows Server 2008: Windows6.0-KB3170455-x86.msu |
For alle understøttede x64-baserede versioner af Windows Server 2008: Windows6.0-KB3170455-x64.msu |
|
For alle understøttede Itanium-baserede udgaver af Windows Server 2008: Windows6.0-KB3170455-ia64.msu |
|
Installationsparametre |
|
Krav om genstart |
I nogle tilfælde kræver denne opdatering ikke en genstart af systemet. Hvis de nødvendige filer bruges, kræver denne opdatering en genstart af systemet. Hvis denne funktionsmåde forekommer, modtager du en meddelelse, der anbefaler, at du genstarter systemet. |
Oplysninger om fjernelse |
WUSA.exe understøtter ikke fjernelse af opdateringer. Hvis du vil fjerne en opdatering, der er installeret af WUSA, skal du klikke på Kontrolpanelog derefter klikke på Sikkerhed. Under Windows skaldu klikke på Vis installeredeopdateringer og derefter vælge på listen over opdateringer. |
Filoplysninger |
|
Bekræftelse af registreringsdatabasenøgle |
Bemærk! Der findes ikke en registreringsdatabasenøgle til at validere tilstedeværelsen af denne opdatering. |
Windows 7 (alle udgaver) Referencetabel
Følgende tabel indeholder oplysninger om sikkerhedsopdateringen for denne software.
Filnavn for sikkerhedsopdatering |
For alle understøttede 32-bit versioner af Windows 7: Windows6.1-KB3170455-x86.msu |
For alle understøttede x64-baserede udgaver af Windows 7: Windows6.1-KB3170455-x64.msu |
|
Installationsparametre |
|
Krav om genstart |
I nogle tilfælde kræver denne opdatering ikke en genstart af systemet. Hvis de nødvendige filer bruges, kræver denne opdatering en genstart af systemet. Hvis denne funktionsmåde forekommer, modtager du en meddelelse, der anbefaler, at du genstarter systemet. |
Oplysninger om fjernelse |
Hvis du vil fjerne en opdatering, der er installeret af WUSA, skal du bruge installationsskiftet /Fjern eller klikke på Kontrolpanel,klikke på Systemog sikkerhed, klikke på Windows Opdater,klikke på Vis installerede opdateringer og derefter vælge på listen over opdateringer. |
Filoplysninger |
|
Bekræftelse af registreringsdatabasenøgle |
Bemærk! Der findes ikke en registreringsdatabasenøgle til at validere tilstedeværelsen af denne opdatering. |
Windows Referencetabel for Server 2008 R2 (alle udgaver)
Følgende tabel indeholder oplysninger om sikkerhedsopdateringen for denne software.
Filnavn for sikkerhedsopdatering |
For alle understøttede x64-baserede versioner af Windows Server 2008 R2: Windows6.1-KB3170455-x64.msu |
For alle understøttede Itanium-baserede udgaver af Windows Server 2008 R2: Windows6.1-KB3170455-ia64.msu |
|
Installationsparametre |
|
Krav om genstart |
I nogle tilfælde kræver denne opdatering ikke en genstart af systemet. Hvis de nødvendige filer bruges, kræver denne opdatering en genstart af systemet. Hvis denne funktionsmåde forekommer, modtager du en meddelelse, der anbefaler, at du genstarter systemet. |
Oplysninger om fjernelse |
Hvis du vil fjerne en opdatering, der er installeret af WUSA, skal du bruge installationsskiftet /Fjern eller klikke på Kontrolpanel,klikke på Systemog sikkerhed, klikke på Windows Opdater,klikke på Vis installerede opdateringer og derefter vælge på listen over opdateringer. |
Filoplysninger |
|
Bekræftelse af registreringsdatabasenøgle |
Bemærk! Der findes ikke en registreringsdatabasenøgle til at validere tilstedeværelsen af denne opdatering. |
Windows 8.1 (alle udgaver) Referencetabel
Følgende tabel indeholder oplysninger om sikkerhedsopdateringen for denne software.
Filnavn for sikkerhedsopdatering |
For alle understøttede 32-bit versioner af Windows 8.1: Windows8.1-KB3170455-x86.msu |
For alle understøttede x64-baserede udgaver af Windows 8.1: Windows8.1-KB3170455-x64.msu |
|
Installationsparametre |
|
Krav om genstart |
I nogle tilfælde kræver denne opdatering ikke en genstart af systemet. Hvis de nødvendige filer bruges, kræver denne opdatering en genstart af systemet. Hvis denne funktionsmåde forekommer, modtager du en meddelelse, der anbefaler, at du genstarter systemet. |
Oplysninger om fjernelse |
Hvis du vil fjerne en opdatering, der er installeret af WUSA, skal du bruge installationsskiftet /Fjern eller klikke på Kontrolpanel,klikke på Systemog sikkerhed, klikke på Windows-opdatering, klikke på Installerede opdateringer under Se også og derefter vælge på listen over opdateringer. |
Filoplysninger |
|
Bekræftelse af registreringsdatabasenøgle |
Bemærk! Der findes ikke en registreringsdatabasenøgle til at validere tilstedeværelsen af denne opdatering. |
Windows Referencetabel for Server 2012 Windows Server 2012 R2 (alle udgaver)
Følgende tabel indeholder oplysninger om sikkerhedsopdateringen for denne software.
Filnavn for sikkerhedsopdatering |
For alle understøttede udgaver af Windows Server 2012: Windows8-RT-KB3170455-x64.msu |
For alle understøttede udgaver af Windows Server 2012 R2: Windows8.1-KB3170455-x64.msu |
|
Installationsparametre |
|
Krav om genstart |
I nogle tilfælde kræver denne opdatering ikke en genstart af systemet. Hvis de nødvendige filer bruges, kræver denne opdatering en genstart af systemet. Hvis denne funktionsmåde forekommer, modtager du en meddelelse, der anbefaler, at du genstarter systemet. |
Oplysninger om fjernelse |
Hvis du vil fjerne en opdatering, der er installeret af WUSA, skal du bruge installationsskiftet /Fjern eller klikke på Kontrolpanel,klikke på Systemog sikkerhed, klikke på Windows-opdatering, klikke på Installerede opdateringer under Se også og derefter vælge på listen over opdateringer. |
Filoplysninger |
|
Bekræftelse af registreringsdatabasenøgle |
Bemærk! Der findes ikke en registreringsdatabasenøgle til at validere tilstedeværelsen af denne opdatering. |
Windows RT 8.1 (alle udgaver) Referencetabel
Følgende tabel indeholder oplysninger om sikkerhedsopdateringen for denne software.
Udrulning |
Denne opdatering er kun tilgængelig via Windows Update. |
Krav om genstart |
I nogle tilfælde kræver denne opdatering ikke en genstart af systemet. Hvis de nødvendige filer bruges, kræver denne opdatering en genstart af systemet. Hvis denne funktionsmåde forekommer, modtager du en meddelelse, der anbefaler, at du genstarter systemet. |
Oplysninger om fjernelse |
Klik på Kontrolpanel, klik på System og sikkerhed, klik Windows Opdater, og klik derefter på Installerede opdateringer under Se også, og vælg fra listen over opdateringer. |
Filoplysninger |
Windows 10 (alle udgaver) Referencetabel
Følgende tabel indeholder oplysninger om sikkerhedsopdateringen for denne software.
Filnavn for sikkerhedsopdatering |
For alle understøttede 32-bit versioner af Windows 10: Windows10.0-KB3163912-x86.msu |
For alle understøttede x64-baserede udgaver af Windows 10: Windows10.0-KB3163912-x64.msu |
|
For alle understøttede 32-bit versioner af Windows 10 version 1511: Windows10.0-KB3172985-x86.msu |
|
For alle understøttede x64-baserede udgaver af Windows 10 version 1511: Windows10.0-KB3172985-x64.msu |
|
Installationsparametre |
|
Krav om genstart |
I nogle tilfælde kræver denne opdatering ikke en genstart af systemet. Hvis de nødvendige filer bruges, kræver denne opdatering en genstart af systemet. Hvis denne funktionsmåde forekommer, modtager du en meddelelse, der anbefaler, at du genstarter systemet. |
Oplysninger om fjernelse |
Hvis du vil fjerne en opdatering, der er installeret af WUSA, skal du bruge installationsskiftet /Fjern eller klikke på Kontrolpanel,klikke på Systemog sikkerhed, klikke på Windows-opdatering, klikke på Installerede opdateringer under Se også og derefter vælge på listen over opdateringer. |
Filoplysninger |
Se Microsoft Knowledge Base-artikel 3163912 Se Microsoft Knowledge Base-artikel 3172985 |
Bekræftelse af registreringsdatabasenøgle |
Bemærk! Der findes ikke en registreringsdatabasenøgle til at validere tilstedeværelsen af denne opdatering. |
Hjælp til installation af opdateringer: Support til Microsoft Update Sikkerhedsløsninger til it-fagfolk: Fejlfinding af technetsikkerhed og support Hjælp til at beskytte Windows-baseret computer mod virus og malware: Virusløsning og Sikkerhedscenter Lokal support i henhold til dit land: International support