Merknad
Denne sikkerhetsoppdateringen ble utgitt på nytt 12. september 2017 for å løse kjente problemer i oppdatering 3170455 for CVE-2016-3238. Microsoft har gjort følgende oppdateringer tilgjengelige for versjoner av Microsoft Windows. Hvis du vil ha mer informasjon, kan du gå til følgende artikkel i Microsoft Knowledge Base:
-
Ny utgitt oppdatering 3170455 for Windows Server 2008
-
Månedlig samleoppdatering 4038777 og sikkerhetsoppdatering 4038779 for Windows 7 og Windows Server 2008 R2
-
Månedlig samleoppdatering 4038799 og sikkerhetsoppdatering 4038786 for Windows Server 2012
-
Månedlig beregnet verdi 4038792 og sikkerhetsoppdatering 4038793 for Windows 8.1 og Windows Server 2012 R2
-
Kumulativ oppdatering 4038781 for Windows 10
-
Kumulativ oppdatering 4038781 for Windows 10 versjon 1511
-
Kumulativ oppdatering 4038782 for Windows 10 versjon 1607 og Windows Server 2016
Microsoft anbefaler at kunder som kjører Windows Server 2008, installerer oppdateringen 3170455 på nytt. Microsoft anbefaler at kunder som kjører andre støttede versjoner av Windows installere den aktuelle oppdateringen. Hvis du vil ha mer informasjon, kan du gå til Microsoft Knowledge Base-artikkel 3170455.
Andre endringer som er inkludert i den nye versjonen av MS16-087
-
Lagt til hendelseslogging for å finne årsaken til installasjonsfeil for skriverdriveren
Tidligere var den eneste måten for en kunde å vite hvorfor en driver mislyktes den nye begrensningskontrollene som ble implementert som en del av MS16-087, å samle inn skriv ut etw-logger og deretter sende til Microsoft for analyse.
Vi har lagt til funksjonalitet for å logge årsaken til feil i hendelsesloggen, slik at kunder kan undersøke rotårsaken til driverfeil selv.
Informasjon som logges:
1. Hvis en driver ikke er pakkebevisst eller ikke er riktig signert, logges følgende melding:
MSG_CSRSPL_UNTRUSTED_DRIVER:«Utskriftskøen kan ikke laste ned pakke for driver <driverNavn>. Feilkode= <errorCodeFromListBelow>. Blokkering av driver da det kan være mulig å manipulere potensielle manipulering.»
2. Hvis en driver ikke validerer en signatur ved hjelp av den angitte katalogen, logges følgende melding:
VALIDATEDRVINFO_FAILED:«I VALIDATINGDRVINFO mislyktes legge til skriverdriver <driverNavn>, feilkode <errorCodeFromListBelow>.
Mulige feilkoder:
Kode |
Betydning |
0x800F0243L |
Publisher ikke klarert |
0x800F024BL |
Hash ikke i katalogen |
0x800F022FL |
Ingen katalog for OEM INF |
0x800F023FL |
Ingen authenticode-katalog |
0x800F0240L |
Authenticode er ikke tillatt |
0x800F0249L |
Generisk «Driverinstallasjon blokkert» |
Sammendrag
Denne sikkerhetsoppdateringen løser sikkerhetsproblemer i Microsoft Windows. Jo mer alvorlig sikkerhetsproblemene kan tillate ekstern kjøring av kode hvis en angriper kan utføre et mellommannsangrep (MiTM) på en arbeidsstasjon eller utskriftsserver, eller konfigurere en svindøle utskriftsserver på et målnettverk.Microsofts sikkerhetsbulletin MS16-087.
Hvis du vil lære mer om sikkerhetsproblemet, kan du seMer informasjon
Viktig
-
Når du har installert denne sikkerhetsoppdateringen, må du bruke følgende Windows-samleoppdatering på Windows 8.1- eller Windows Server 2012 R2-skriverserveren for å distribuere Point- og Print-drivere fra utskriftsservere til klienter:
3000850 Samleoppdatering for november 2014 for Windows RT 8.1, Windows 8.1 og Windows Server 2012 R2
-
Alle fremtidige sikkerhets- og ikke-sikkerhetsoppdateringer for Windows RT 8.1, Windows 8.1 og Windows Server 2012 R2 krever at oppdatering 2919355 installeres. Vi anbefaler at du installerer oppdatering 2919355 på den Windows RT 8.1-baserte, Windows 8.1-baserte eller Windows Server 2012 R2-baserte datamaskinen, slik at du mottar fremtidige oppdateringer.
-
Hvis du installerer en språkpakke etter at du har installert denne oppdateringen, må du installere denne oppdateringen på nytt. Vi anbefaler derfor at du installerer eventuelle språkpakker du trenger før du installerer denne oppdateringen. Hvis du vil ha mer informasjon, kan du se Legge til språkpakker i Windows.
Tilleggsinformasjon om denne sikkerhetsoppdateringen
Følgende artikler inneholder mer informasjon om denne sikkerhetsoppdateringen, slik den er relatert til individuelle produktversjoner. Artiklene kan inneholde informasjon om kjente problemer.
-
3170455 MS16-087: Beskrivelse av sikkerhetsoppdateringen for Windows utskriftskøkomponenter: 12. juli 2016
-
3163912 Kumulativ oppdatering for Windows 10: 12. juli 2016
-
3172985 Kumulativ oppdatering for Windows 10 versjon 1511 og Windows Server 2016 Technical Preview 4: 12. juli 2016
Kjente problemer
Hvis du bruker nettverksutskrift i miljøet, kan du oppleve ett av følgende problemer:
-
Du kan bli bedt om en advarsel om å installere en skriverdriver, eller driveren kan mislykkes i å installere uten varsel etter at du har brukt MS16-087. Symptomene her avhenger av det bestemte scenarioet.
Scenario 1 For ikke-pakkebevisste v3-skriverdrivere kan følgende advarsel vises når brukere prøver å koble til pek-og-skriv
ut-skrivere:Scenario 2 Pakkeklarerte drivere må være signert med et klarert sertifikat. Bekreftelsesprosessen kontrollerer om alle filene som er inkludert i driveren, er hashet i katalogen. Hvis denne bekreftelsen mislykkes, anses driveren som upålitelig. I denne situasjonen blokkeres driverinstallasjonen, og følgende advarsel vises:
Scenario 3 For ikke-interaktive scenarier (for eksempel er skriveren installert via et automatisert skript), når skriverdriveren oppfyller vilkårene som er beskrevet i scenario 1 eller scenario 2, mislykkes skriverinstallasjonen, og ingen advarsel vises.
I slike situasjoner kan du kontakte systemansvarlig for å få en oppdatert driver fra skriverprodusenten. Veiledning for nettverksadministratorer:-
Oppdater den berørte skriverdriveren. Pakkebevisste V3-skriverdrivere ble introdusert i Windows Vista. Hvis du installerer en pakkeklar skriverdriver, løses problemet.
-
Hvis en bestemt eldre skriver ikke har den riktige skriverdriveren tilgjengelig, vil forhåndsinstallering av den problematiske skriverdriveren på klientsystemet løse problemet.
Hvis du vil ha mer informasjon om disse scenariene, kan du se følgende Microsoft-ressurser:
-
-
Når du har brukt sikkerhetsoppdatering MS16-087 (KB 3170455)og prøver å koble til en klarert pakkebevisst skriver som er installert på et system som kjører Windows 8.1 eller Windows Server 2012 R2, kan du ikke koble til skriveren. Du kan løse dette problemet ved å bruke følgende Windows samleoppdatering på Windows 8.1- eller Windows Server 2012 R2-skriverserveren:
3000850 Samleoppdatering for november 2014 for Windows RT 8.1, Windows 8.1 og Windows Server 2012 R2
Oppdatering for oktober 2016: Reduksjon av kjente problemer
Microsoft har lansert en oppdatering for oktober 2016 som lar nettverksadministratorer konfigurere policyer som tillater installasjon av skriverdrivere som de anser som trygge. Denne oppdateringen gjør det også mulig for nettverksadministratorer å distribuere skrivertilkoblinger som de anser som sikre.
Oppdateringene finnes i følgende opprullingspakker.
Windows 10 RTM |
|
Windows 10 1511 |
|
Windows 10 1607 |
|
Windows 7 og Windows Server 2008 R2 |
|
Windows Server 2012 |
|
Windows 8.1 og Windows Server 2012 R2 |
Konfigurere gruppepolicy for å legge til utskriftsservere i tillatt liste
-
Klikk Start og deretter Kjør.
-
Skriv inn gpedit.msc, og klikk deretter OK.
-
Utvid Datamaskinkonfigurasjon, og utvid deretter Administrative maler.
-
Klikk Skrivere.
-
Dobbeltklikk på Begrensninger for pek og skriv ut, og velg deretter Aktivert-alternativet.
-
Merk av for Brukere kan bare peke og skrive ut til disse serverne under Alternativer, og skriv deretter inn de fullstendige servernavnene i tekstboksen, atskilt med semikolon.
-
Angi dem på følgende måte under Sikkerhetsledetekster:
-
«Når du installerer drivere for en ny tilkobling»: «Vis advarsel og høydeledetekst».
-
«Når du oppdaterer drivere for en eksisterende tilkobling»: «Vis advarsel og høydeledetekst».
-
-
Klikk Bruk, og deretter OK.
-
Dobbeltklikk Pakkepunkt og skriv ut – godkjente servere på siden Skriverpolicy.
-
Velg Aktivert-alternativet.
-
Klikk Vis under Alternativer.
-
Skriv inn ett fullstendig servernavn i hver rad.
-
Klikk OK.
-
Klikk Bruk, og klikk deretter OK.
-
Hvis du bruker en frittstående klient, starter du klienten på nytt, og deretter kontrollerer du at disse policyene er i kraft.
-
Hvis du bruker domenepolicyer, skyver du policyene til domeneklientene, og deretter kontrollerer du at disse policyene er i kraft.
Obs! Når du har aktivert disse gruppepolicyene, må du legge til alle skriverservere i både punkt- og utskriftsbegrensningslisten og listen Pakkepunkt og skriv ut – godkjent server. Dette gjelder uavhengig av pakkebevissthet.
Vanlige spørsmål om oppdatering for oktober 2016
-
Spørsmål: Bør vi avinstallere den forrige oppdateringen?
A: Nei. Den forrige oppdateringen løser sikkerhetsproblemet. Oppdateringen for oktober 2016 gir begrensninger for å gi nettverksadministratorer muligheten til å installere drivere de anser for å være trygge. -
Sp.: Selv med oppdateringen for oktober 2016 installert og gruppepolicyer konfigurert, vises meldingen «Klarer du denne skriveren» fremdeles når jeg prøver å installere en lokal skriver. Hvorfor er det det? Veiledning for nettverksadministratorer.
A: Denne reduksjonen retter seg mot nettverksskrivere og ikke lokale skrivere, så denne virkemåten er forventet. Obs! Hvis du mottar meldingen «Klarer denne skriveren», må du enten erstatte den gjeldende driveren ved hjelp av en klarert pakkeklarert driver, eller installere driverfilene på det lokale driverlageret før du installerer den lokale skriveren. Hvis du vil ha mer informasjon, kan du se delen
Slik får du tak i og installerer oppdateringen
Metode 1: Windows oppdatering
Denne oppdateringen er tilgjengelig via Windows Update. Når du aktiverer automatisk oppdatering, lastes denne oppdateringen ned og installeres automatisk. Hvis du vil ha mer informasjon om hvordan du aktiverer automatisk oppdatering, kan du se Få sikkerhetsoppdateringer automatisk. Obs! For Windows RT 8.1 er denne oppdateringen bare tilgjengelig Windows Oppdatering.
Du kan få tak i den frittstående oppdateringspakken via Microsoft Download Center. Følg installasjonsinstruksjonene på nedlastingssiden for å installere oppdateringen.MS16-087 som tilsvarer versjonen av Windows du kjører.
Klikk nedlastingskoblingen i Microsofts sikkerhetsbulletinMer informasjon
Windows Referansetabell for Vista (alle versjoner)
Tabellen nedenfor inneholder informasjon om sikkerhetsoppdatering for denne programvaren.
Filnavn for sikkerhetsoppdatering |
For alle støttede 32-biters versjoner av Windows Vista: Windows6.0-KB3170455-x86.msu |
For alle støttede x64-baserte versjoner av Windows Vista: Windows6.0-KB3170455-x64.msu |
|
Installasjonsbrytere |
|
Omstartskrav |
I noen tilfeller krever ikke denne oppdateringen omstart av systemet. Hvis de nødvendige filene brukes, krever denne oppdateringen en omstart av systemet. Hvis dette skjer, får du en melding som ber deg om å starte systemet på nytt. |
Informasjon om fjerning |
WUSA.exe støtter ikke avinstallasjon av oppdateringer. Hvis du vil avinstallere en oppdatering som er installert av WUSA, klikker du Kontrollpanelog deretter Sikkerhet. Klikk Windows installerteoppdateringer under Oppdater ,og velg deretter fra listen over oppdateringer. |
Filinformasjon |
|
Bekreftelse av registernøkkel |
Obs! En registernøkkel finnes ikke for å validere tilstedeværelsen av denne oppdateringen. |
Windows Server 2008 -referansetabell (alle versjoner)
Tabellen nedenfor inneholder informasjon om sikkerhetsoppdatering for denne programvaren.
Filnavn for sikkerhetsoppdatering |
For alle støttede 32-biters versjoner av Windows Server 2008: Windows6.0-KB3170455-x86.msu |
For alle støttede x64-baserte versjoner av Windows Server 2008: Windows6.0-KB3170455-x64.msu |
|
For alle støttede Itanium-baserte versjoner av Windows Server 2008: Windows6.0-KB3170455-ia64.msu |
|
Installasjonsbrytere |
|
Omstartskrav |
I noen tilfeller krever ikke denne oppdateringen omstart av systemet. Hvis de nødvendige filene brukes, krever denne oppdateringen en omstart av systemet. Hvis dette skjer, får du en melding som ber deg om å starte systemet på nytt. |
Informasjon om fjerning |
WUSA.exe støtter ikke avinstallasjon av oppdateringer. Hvis du vil avinstallere en oppdatering som er installert av WUSA, klikker du Kontrollpanelog deretter Sikkerhet. Klikk Windows installerteoppdateringer under Oppdater ,og velg deretter fra listen over oppdateringer. |
Filinformasjon |
|
Bekreftelse av registernøkkel |
Obs! En registernøkkel finnes ikke for å validere tilstedeværelsen av denne oppdateringen. |
Windows 7 (alle versjoner) Referansetabell
Tabellen nedenfor inneholder informasjon om sikkerhetsoppdatering for denne programvaren.
Filnavn for sikkerhetsoppdatering |
For alle støttede 32-biters versjoner av Windows 7: Windows6.1-KB3170455-x86.msu |
For alle støttede x64-baserte versjoner av Windows 7: Windows6.1-KB3170455-x64.msu |
|
Installasjonsbrytere |
|
Omstartskrav |
I noen tilfeller krever ikke denne oppdateringen omstart av systemet. Hvis de nødvendige filene brukes, krever denne oppdateringen en omstart av systemet. Hvis dette skjer, får du en melding som ber deg om å starte systemet på nytt. |
Informasjon om fjerning |
Hvis du vil avinstallere en oppdatering som er installert av WUSA, kan du bruke /Uninstall setup-bryteren eller klikke Kontrollpanel ,klikke Systemog sikkerhet , klikke Windows Oppdater,klikke Vis installerte oppdateringer ogderetter velge fra listen over oppdateringer. |
Filinformasjon |
|
Bekreftelse av registernøkkel |
Obs! En registernøkkel finnes ikke for å validere tilstedeværelsen av denne oppdateringen. |
Windows Referansetabell for Server 2008 R2 (alle versjoner)
Tabellen nedenfor inneholder informasjon om sikkerhetsoppdatering for denne programvaren.
Filnavn for sikkerhetsoppdatering |
For alle støttede x64-baserte versjoner av Windows Server 2008 R2: Windows6.1-KB3170455-x64.msu |
For alle støttede Itanium-baserte versjoner av Windows Server 2008 R2: Windows6.1-KB3170455-ia64.msu |
|
Installasjonsbrytere |
|
Omstartskrav |
I noen tilfeller krever ikke denne oppdateringen omstart av systemet. Hvis de nødvendige filene brukes, krever denne oppdateringen en omstart av systemet. Hvis dette skjer, får du en melding som ber deg om å starte systemet på nytt. |
Informasjon om fjerning |
Hvis du vil avinstallere en oppdatering som er installert av WUSA, kan du bruke /Uninstall setup-bryteren eller klikke Kontrollpanel ,klikke Systemog sikkerhet , klikke Windows Oppdater,klikke Vis installerte oppdateringer ogderetter velge fra listen over oppdateringer. |
Filinformasjon |
|
Bekreftelse av registernøkkel |
Obs! En registernøkkel finnes ikke for å validere tilstedeværelsen av denne oppdateringen. |
Windows 8.1 -referansetabell (alle versjoner)
Tabellen nedenfor inneholder informasjon om sikkerhetsoppdatering for denne programvaren.
Filnavn for sikkerhetsoppdatering |
For alle støttede 32-biters versjoner av Windows 8.1: Windows8.1-KB3170455-x86.msu |
For alle støttede x64-baserte versjoner av Windows 8.1: Windows8.1-KB3170455-x64.msu |
|
Installasjonsbrytere |
|
Omstartskrav |
I noen tilfeller krever ikke denne oppdateringen omstart av systemet. Hvis de nødvendige filene brukes, krever denne oppdateringen en omstart av systemet. Hvis dette skjer, får du en melding som ber deg om å starte systemet på nytt. |
Informasjon om fjerning |
Hvis du vil avinstallere en oppdatering som er installert av WUSA, kan du bruke /Uninstall setup-bryteren eller klikke Kontrollpanel ,klikke Systemog sikkerhet , klikke Windows Oppdater,klikke Installerte oppdateringer under Se også, og deretter velge fra listen over oppdateringer. |
Filinformasjon |
|
Bekreftelse av registernøkkel |
Obs! En registernøkkel finnes ikke for å validere tilstedeværelsen av denne oppdateringen. |
Windows Referansetabell for Server 2012 og Windows Server 2012 R2 (alle versjoner)
Tabellen nedenfor inneholder informasjon om sikkerhetsoppdatering for denne programvaren.
Filnavn for sikkerhetsoppdatering |
For alle støttede versjoner av Windows Server 2012: Windows8-RT-KB3170455-x64.msu |
For alle støttede versjoner av Windows Server 2012 R2: Windows8.1-KB3170455-x64.msu |
|
Installasjonsbrytere |
|
Omstartskrav |
I noen tilfeller krever ikke denne oppdateringen omstart av systemet. Hvis de nødvendige filene brukes, krever denne oppdateringen en omstart av systemet. Hvis dette skjer, får du en melding som ber deg om å starte systemet på nytt. |
Informasjon om fjerning |
Hvis du vil avinstallere en oppdatering som er installert av WUSA, kan du bruke /Uninstall setup-bryteren eller klikke Kontrollpanel ,klikke Systemog sikkerhet , klikke Windows Oppdater,klikke Installerte oppdateringer under Se også, og deretter velge fra listen over oppdateringer. |
Filinformasjon |
|
Bekreftelse av registernøkkel |
Obs! En registernøkkel finnes ikke for å validere tilstedeværelsen av denne oppdateringen. |
Windows RT 8.1 -referansetabell (alle versjoner)
Tabellen nedenfor inneholder informasjon om sikkerhetsoppdatering for denne programvaren.
Distribusjon |
Denne oppdateringen er bare tilgjengelig via Windows Update. |
Omstartskrav |
I noen tilfeller krever ikke denne oppdateringen omstart av systemet. Hvis de nødvendige filene brukes, krever denne oppdateringen en omstart av systemet. Hvis dette skjer, får du en melding som ber deg om å starte systemet på nytt. |
Informasjon om fjerning |
Klikk Kontrollpanel, klikk System og sikkerhet, klikk Windows Oppdater, og klikk deretter Installerte oppdateringer under Se også, og velg fra listen over oppdateringer. |
Filinformasjon |
Windows 10 (alle versjoner) Referansetabell
Tabellen nedenfor inneholder informasjon om sikkerhetsoppdatering for denne programvaren.
Filnavn for sikkerhetsoppdatering |
For alle støttede 32-biters versjoner av Windows 10: Windows10.0-KB3163912-x86.msu |
For alle støttede x64-baserte versjoner av Windows 10: Windows10.0-KB3163912-x64.msu |
|
For alle støttede 32-biters versjoner av Windows 10 versjon 1511: Windows10.0-KB3172985-x86.msu |
|
For alle støttede x64-baserte versjoner av Windows 10 versjon 1511: Windows10.0-KB3172985-x64.msu |
|
Installasjonsbrytere |
|
Omstartskrav |
I noen tilfeller krever ikke denne oppdateringen omstart av systemet. Hvis de nødvendige filene brukes, krever denne oppdateringen en omstart av systemet. Hvis dette skjer, får du en melding som ber deg om å starte systemet på nytt. |
Informasjon om fjerning |
Hvis du vil avinstallere en oppdatering som er installert av WUSA, kan du bruke /Uninstall setup-bryteren eller klikke Kontrollpanel ,klikke Systemog sikkerhet , klikke Windows Oppdater,klikke Installerte oppdateringer under Se også, og deretter velge fra listen over oppdateringer. |
Filinformasjon |
Se Microsoft Knowledge Base-artikkel 3163912 Se Microsoft Knowledge Base-artikkel 3172985 |
Bekreftelse av registernøkkel |
Obs! En registernøkkel finnes ikke for å validere tilstedeværelsen av denne oppdateringen. |
Hjelp for å installere oppdateringer: Støtte for Microsoft Update Sikkerhetsløsninger for IT-teknikere: Feilsøking og støtte for TechNet-sikkerhet Hjelp til å beskytte Windows datamaskinen mot virus og skadelig programvare: Virusløsning og Sikkerhetssenter Lokal støtte i henhold til landet ditt: Internasjonal støtte