Kennisgeving
Deze beveiligingsupdate is opnieuw uitgebracht op 12 september 2017 om bekende problemen in update 3170455 voor CVE-2016-3238 op te lossen. Microsoft heeft de volgende updates beschikbaar gesteld voor momenteel ondersteunde versies van Microsoft-Windows. Ga naar het volgende artikel in de Microsoft Knowledge Base voor meer informatie:
-
Update 3170455 opnieuw uitgebracht voor Windows Server 2008
-
Maandelijkse rollup 4038777 en beveiligingsupdate 4038779 voor Windows 7 en Windows Server 2008 R2
-
Maandelijkse rollup 4038799 en beveiligingsupdate 4038786 voor Windows Server 2012
-
Maandelijkse rollup 4038792 en beveiligingsupdate 4038793 voor Windows 8.1 en Windows Server 2012 R2
-
Cumulatieve update 4038781 voor Windows 10
-
Cumulatieve update 4038781 voor Windows 10 versie 1511
-
Cumulatieve update 4038782 voor Windows 10 versie 1607 en Windows Server 2016
Microsoft raadt klanten aan om update 3170455opnieuw te installeren Windows Server 2008. Microsoft raadt klanten aan die andere ondersteunde versies van Windows de juiste update installeren. Ga voor meer informatie naar Microsoft Knowledge Base article 3170455.
Andere wijzigingen die zijn opgenomen in de herversie van MS16-087
-
Gebeurtenisregistratie toegevoegd om de oorzaak van installatiefouten voor printerstuurprogramma's te bepalen
Voorheen was de enige manier voor een klant om te weten waarom een stuurprogramma is mislukt met de nieuwe beperkingscontroles die zijn geïmplementeerd als onderdeel van MS16-087, door afdruk-etw-logboeken te verzamelen en vervolgens naar Microsoft te verzenden voor analyse.
We hebben functionaliteit toegevoegd om de oorzaak van fouten in de gebeurtenislogboek te melden, zodat klanten zelf de hoofdoorzaak van stuurprogrammafouten kunnen onderzoeken.
Gegevens die worden vastgelegd:
1. Als een stuurprogramma niet op de hoogte is van het pakket of niet correct is ondertekend, wordt het volgende bericht geregistreerd:
MSG_CSRSPL_UNTRUSTED_DRIVER:'De afdrukspooler kan het pakket voor stuurprogramma's <driverName>. Foutcode= <foutCodeFromListBelow>. Stuurprogramma blokkeren omdat er mogelijk sprake kan zijn van mogelijk geknoei.'
2. Als een stuurprogramma de validatie van een handtekening mislukt met behulp van de opgegeven catalogus, wordt het volgende bericht geregistreerd:
VALIDATEDRVINFO_FAILED:"In VALIDATINGDRVINFO is het toevoegen van printerstuurprogramma <driverName> mislukt, foutcode <foutCodeFromListBelow>.
Mogelijke foutcodes:
Code |
Betekenis |
0x800F0243L |
Publisher niet vertrouwd |
0x800F024BL |
Hash niet in catalogus |
0x800F022FL |
Geen catalogus voor OEM INF |
0x800F023FL |
Geen authenticode-catalogus |
0x800F0240L |
Authenticode niet toegestaan |
0x800F0249L |
Generic "Driver install blocked" |
Samenvatting
Met deze beveiligingsupdate worden beveiligingsproblemen in Microsoft-Windows. Hoe ernstiger de beveiligingslekken zijn, kan het uitvoeren van externe code toestaan als een aanvaller een man-in-the-middle -aanval (MiTM) kan uitvoeren op een werkstation of afdrukserver of een malafide afdrukserver op een doelnetwerk kan instellen.MS16-087voor meer informatie over het beveiligingsprobleem.
Zie Microsoft Security BulletinMeer informatie
Belangrijk
-
Nadat u deze beveiligingsupdate hebt geïnstalleerd, moet u de volgende Windows-update-rollup toepassen op de Windows 8.1- of Windows Server 2012 R2-printerserver om stuurprogramma's van afdrukservers naar clients te implementeren:
3000850 Update van november 2014 voor Windows RT 8.1, Windows 8.1 en Windows Server 2012 R2
-
Voor alle toekomstige beveiligings- en niet-beveiligingsupdates voor Windows RT 8.1, Windows 8.1 en Windows Server 2012 R2 moet update 2919355 worden geïnstalleerd. U wordt aangeraden update 2919355 te installeren op uw computer op basis van Windows RT 8.1, Windows 8.1 Windows Server 2012 R2, zodat u toekomstige updates ontvangt.
-
Als u een taalpakket installeert nadat u deze update hebt geïnstalleerd, moet u deze update opnieuw installeren. Daarom wordt u aangeraden alle taalpakketten te installeren die u nodig hebt voordat u deze update installeert. Zie Taalpakketten toevoegen aanWindows.
Aanvullende informatie over deze beveiligingsupdate
De volgende artikelen bevatten aanvullende informatie over deze beveiligingsupdate, aangezien deze betrekking heeft op afzonderlijke productversies. De artikelen kunnen bekende probleemgegevens bevatten.
-
3170455 MS16-087: Beschrijving van de beveiligingsupdate voor Windows afdrukspooleronderdelen: 12 juli 2016
-
3163912 Cumulatieve update voor Windows 10: 12 juli 2016
-
3172985 Cumulatieve update voor Windows 10 versie 1511 en Windows Server 2016 Technical Preview 4: 12 juli 2016
Bekende problemen
Als u netwerkafdrukken gebruikt in uw omgeving, kunt u een van de volgende problemen ervaren:
-
Mogelijk wordt u gevraagd om een waarschuwing over het installeren van een printerstuurprogramma of kan het stuurprogramma niet zonder melding worden geïnstalleerd nadat u MS16-087 hebt toegepast. De symptomen hier zijn afhankelijk van het specifieke scenario.
Scenario 1 Voor niet-pakketbewuste v3-printerstuurprogramma's wordt mogelijk het volgende waarschuwingsbericht weergegeven wanneer gebruikers verbinding proberen te maken met printers met aanwijzers:
Scenario 2 Pakketbewuste stuurprogramma's moeten zijn ondertekend met een vertrouwd certificaat. Tijdens het verificatieproces wordt gecontroleerd of alle bestanden die in het stuurprogramma zijn opgenomen, zijn gehasht in de catalogus. Als deze verificatie mislukt, wordt het stuurprogramma als niet-betrouwbaar beschouwd. In deze situatie wordt de installatie van het stuurprogramma geblokkeerd en wordt het volgende waarschuwingsbericht weergegeven:
Scenario 3 Voor niet-interactieve scenario's (bijvoorbeeld de printer is geïnstalleerd via een geautomatiseerd script), wanneer het printerstuurprogramma voldoet aan de criteria die worden beschreven in scenario 1 of scenario 2, mislukt de printerinstallatie en wordt er geen waarschuwingsbericht weergegeven.
Neem in deze situaties contact op met de netwerkbeheerder om een bijgewerkt stuurprogramma te verkrijgen bij de fabrikant van de printer. Richtlijnen voor netwerkbeheerders:-
Werk het betreffende printerstuurprogramma bij. Pakketbewuste V3-printerstuurprogramma's zijn geïntroduceerd in Windows Vista. Als u een pakketbewust printerstuurprogramma installeert, wordt het probleem opgelost.
-
Als een bepaalde oudere printer niet over het juiste printerstuurprogramma beschikbaar is, wordt het probleem opgelost door het stuurprogramma voor de problematische printer vooraf te installeren op het clientsysteem.
Zie de volgende Microsoft-bronnen voor meer informatie over deze scenario's:
-
-
Nadat u beveiligingsupdate MS16-087 (KB 3170455)hebt toegepast en probeert verbinding te maken met een vertrouwde printer met een pakket die is geïnstalleerd op een systeem dat Windows 8.1 of Windows Server 2012 R2 wordt uitgevoerd, kunt u geen verbinding maken met de printer. U kunt dit probleem oplossen door de volgende Windows update-rollup toe te passen op de Windows 8.1 of Windows Server 2012 R2-printerserver:
3000850 Update van november 2014 voor Windows RT 8.1, Windows 8.1 en Windows Server 2012 R2
Update van oktober 2016: beperking voor bekende problemen
Microsoft heeft een update uitgebracht voor oktober 2016 waarmee netwerkbeheerders beleidsregels kunnen configureren waarmee afdruktysterijs kunnen worden geïnstalleerd die volgens hen veilig zijn. Met deze update kunnen netwerkbeheerders ook printerverbindingen implementeren die ze veilig achten.
De updates zijn opgenomen in de volgende oprolpakketten.
Windows 10 RTM |
|
Windows 10 1511 |
|
Windows 10 1607 |
|
Windows 7 en Windows Server 2008 R2 |
|
Windows Server 2012 |
|
Windows 8.1 en Windows Server 2012 R2 |
Groepsbeleid configureren om afdrukservers toe te voegen aan toegestane lijst
-
Klik op Start en vervolgens op Uitvoeren.
-
Typ gpedit.msc en klik vervolgens op OK.
-
Vouw Computerconfiguratie uit en vouw beheersjablonen uit.
-
Klik op Printers.
-
Dubbelklik op Punt- en afdrukbeperkingen en selecteer vervolgens de optie Ingeschakeld.
-
Schakel onder Opties het selectievakje Gebruikers kunnen alleen deze servers aan wijzen en afdrukken in en typ vervolgens de volledig gekwalificeerde servernamen in het tekstvak, gescheiden door dubbele punt.
-
Stel deze onder Beveiligingsprompts als volgt in:
-
"When installing drivers for a new connection": "Show warning and elevation prompt".
-
'Bij het bijwerken van stuurprogramma's voor een bestaande verbinding': 'Waarschuwings- en hoogteprompt tonen'.
-
-
Klik op Toepassen en vervolgens op OK.
-
Dubbelklik op de pagina Printersbeleid op Pakketpunt en Afdrukken - Goedgekeurde servers.
-
Selecteer de optie Ingeschakeld.
-
Klik onder Opties op Tonen.
-
Typ één volledig gekwalificeerde servernaam in elke rij.
-
Klik op OK.
-
Klik op Toepassenen vervolgens op OK.
-
Als u een op zichzelf staande client gebruikt, start u de client opnieuw op en controleert u of dit beleid van kracht is.
-
Als u domeinbeleid gebruikt, drukt u het beleid op de domein clients en controleert u of dit beleid van kracht is.
Opmerking Nadat u dit groepsbeleid hebt ingeschakeld, moet u alle printerservers toevoegen aan zowel de lijst Punt- als Afdrukbeperkingen en de lijst Pakketpunt en Afdrukken - Goedgekeurde server. Dit geldt ongeacht de bewustheid van pakketten.
Update van oktober 2016 veelgestelde vragen
-
V: Moeten we de vorige update verwijderen?
A: Nee. De vorige update lost het beveiligingsprobleem op. De update van oktober 2016 biedt beperking om netwerkbeheerders de mogelijkheid te bieden stuurprogramma's te installeren die ze veilig achten. -
V: Zelfs wanneer de update van oktober 2016 is geïnstalleerd en het groepsbeleid is geconfigureerd, wordt het bericht 'Vertrouwt u deze printer' nog steeds weergegeven wanneer ik een lokale printer probeer te installeren. Waarom is dat? netwerkbeheerders voor meer informatie.
A: Deze beperking is gericht op netwerkprinters en niet op lokale printers, dus dit gedrag wordt verwacht. Opmerking Als u het bericht 'Vertrouwt u deze printer' ontvangt, vervangt u het huidige stuurprogramma door een vertrouwd stuurprogramma met een pakket te gebruiken of installeert u de stuurprogrammabestanden naar de lokale stuurprogrammaopslag voordat u de lokale printer installeert. Zie de sectie Richtlijnen voor
De update verkrijgen en installeren
Methode 1: Windows Bijwerken
Deze update is beschikbaar via Windows Update. Wanneer u automatisch bijwerken in schakelt, wordt deze update automatisch gedownload en geïnstalleerd. Zie Beveiligingsupdatesautomatisch downloaden voor meer informatie over het automatisch bijwerken. Opmerking Voor Windows RT 8.1 is deze update alleen beschikbaar via Windows Update.
U kunt het op zichzelf staand updatepakket verkrijgen via het Microsoft Downloadcentrum. Volg de installatie-instructies op de downloadpagina om de update te installeren.Microsoft Security Bulletin MS16-087 die overeenkomt met de versie van Windows die u gebruikt.
Klik op de downloadkoppeling inMeer informatie
Windows Vista (alle edities) Referentietabel
De volgende tabel bevat de beveiligingsupdategegevens voor deze software.
Bestandsnamen voor beveiligingsupdate |
Voor alle ondersteunde 32-bits versies van Windows Vista: Windows6.0-KB3170455-x86.msu |
Voor alle ondersteunde x64-versies van Windows Vista: Windows6.0-KB3170455-x64.msu |
|
Installatieswitches |
|
Vereiste opnieuw starten |
In sommige gevallen is voor deze update geen systeem opnieuw opstarten vereist. Als de vereiste bestanden worden gebruikt, is voor deze update een systeem opnieuw opstarten vereist. Als dit gedrag optreedt, ontvangt u een bericht waarin u wordt geadviseerd uw systeem opnieuw te starten. |
Verwijderingsgegevens |
WUSA.exe biedt geen ondersteuning voor het verwijderen van updates. Als u een update wilt verwijderen die door WUSA is geïnstalleerd, klikt u op Configuratieschermen klikt u vervolgens op Beveiliging. Klik Windows Bijwerkenop Geïnstalleerde updates weergevenen selecteer vervolgens in de lijst met updates. |
Bestandsgegevens |
|
Verificatie van registersleutels |
Opmerking Er bestaat geen registersleutel om de aanwezigheid van deze update te valideren. |
Windows Referentietabel server 2008 (alle edities)
De volgende tabel bevat de beveiligingsupdategegevens voor deze software.
Bestandsnamen voor beveiligingsupdate |
Voor alle ondersteunde 32-bits versies van Windows Server 2008: Windows6.0-KB3170455-x86.msu |
Voor alle ondersteunde x64-versies van Windows Server 2008: Windows6.0-KB3170455-x64.msu |
|
Voor alle ondersteunde Itanium-gebaseerde editie van Windows Server 2008: Windows6.0-KB3170455-ia64.msu |
|
Installatieswitches |
|
Vereiste opnieuw starten |
In sommige gevallen is voor deze update geen systeem opnieuw opstarten vereist. Als de vereiste bestanden worden gebruikt, is voor deze update een systeem opnieuw opstarten vereist. Als dit gedrag optreedt, ontvangt u een bericht waarin u wordt geadviseerd uw systeem opnieuw te starten. |
Verwijderingsgegevens |
WUSA.exe biedt geen ondersteuning voor het verwijderen van updates. Als u een update wilt verwijderen die door WUSA is geïnstalleerd, klikt u op Configuratieschermen klikt u vervolgens op Beveiliging. Klik Windows Bijwerkenop Geïnstalleerde updates weergevenen selecteer vervolgens in de lijst met updates. |
Bestandsgegevens |
|
Verificatie van registersleutels |
Opmerking Er bestaat geen registersleutel om de aanwezigheid van deze update te valideren. |
Windows 7 (alle edities) Referentietabel
De volgende tabel bevat de beveiligingsupdategegevens voor deze software.
Bestandsnaam beveiligingsupdate |
Voor alle ondersteunde 32-bits versies van Windows 7: Windows6.1-KB3170455-x86.msu |
Voor alle ondersteunde x64-versies van Windows 7: Windows6.1-KB3170455-x64.msu |
|
Installatieswitches |
|
Vereiste opnieuw starten |
In sommige gevallen is voor deze update geen systeem opnieuw opstarten vereist. Als de vereiste bestanden worden gebruikt, is voor deze update een systeem opnieuw opstarten vereist. Als dit gedrag optreedt, ontvangt u een bericht waarin u wordt geadviseerd uw systeem opnieuw te starten. |
Verwijderingsgegevens |
Als u een update wilt verwijderen die door WUSA is geïnstalleerd, gebruikt u de installatieknop /Verwijderen of klikt u op Configuratiescherm, klikt u op Systeem en beveiliging,klikt u op Windows Bijwerken,klikt u op Geïnstalleerde updatesweergeven en selecteert u vervolgens in de lijst met updates. |
Bestandsgegevens |
|
Verificatie van registersleutels |
Opmerking Er bestaat geen registersleutel om de aanwezigheid van deze update te valideren. |
Windows Server 2008 R2 (alle edities) Referentietabel
De volgende tabel bevat de beveiligingsupdategegevens voor deze software.
Bestandsnaam beveiligingsupdate |
Voor alle ondersteunde x64-versies van Windows Server 2008 R2: Windows6.1-KB3170455-x64.msu |
Voor alle ondersteunde Itanium-gebaseerde editie van Windows Server 2008 R2: Windows6.1-KB3170455-ia64.msu |
|
Installatieswitches |
|
Vereiste opnieuw starten |
In sommige gevallen is voor deze update geen systeem opnieuw opstarten vereist. Als de vereiste bestanden worden gebruikt, is voor deze update een systeem opnieuw opstarten vereist. Als dit gedrag optreedt, ontvangt u een bericht waarin u wordt geadviseerd uw systeem opnieuw te starten. |
Verwijderingsgegevens |
Als u een update wilt verwijderen die door WUSA is geïnstalleerd, gebruikt u de installatieknop /Verwijderen of klikt u op Configuratiescherm, klikt u op Systeem en beveiliging,klikt u op Windows Bijwerken,klikt u op Geïnstalleerde updatesweergeven en selecteert u vervolgens in de lijst met updates. |
Bestandsgegevens |
|
Verificatie van registersleutels |
Opmerking Er bestaat geen registersleutel om de aanwezigheid van deze update te valideren. |
Windows 8.1 (alle edities) Referentietabel
De volgende tabel bevat de beveiligingsupdategegevens voor deze software.
Bestandsnaam beveiligingsupdate |
Voor alle ondersteunde 32-bits versies van Windows 8.1: Windows8.1-KB3170455-x86.msu |
Voor alle ondersteunde x64-versies van Windows 8.1: Windows8.1-KB3170455-x64.msu |
|
Installatieswitches |
|
Vereiste opnieuw starten |
In sommige gevallen is voor deze update geen systeem opnieuw opstarten vereist. Als de vereiste bestanden worden gebruikt, is voor deze update een systeem opnieuw opstarten vereist. Als dit gedrag optreedt, ontvangt u een bericht waarin u wordt geadviseerd uw systeem opnieuw te starten. |
Verwijderingsgegevens |
Als u een update wilt verwijderen die door WUSA is geïnstalleerd, gebruikt u de installatieknop /Installatie verwijderen of klikt u op Configuratiescherm, klikt u op Systeem en beveiliging,klikt u op Windows Bijwerken,klikt u op Geïnstalleerde updates onder Zie ooken selecteert u vervolgens in de lijst met updates. |
Bestandsgegevens |
|
Verificatie van registersleutels |
Opmerking Er bestaat geen registersleutel om de aanwezigheid van deze update te valideren. |
Windows Server 2012 en Windows Server 2012 R2 (alle edities) Referentietabel
De volgende tabel bevat de beveiligingsupdategegevens voor deze software.
Bestandsnaam beveiligingsupdate |
Voor alle ondersteunde versies van Windows Server 2012: Windows8-RT-KB3170455-x64.msu |
Voor alle ondersteunde versies van Windows Server 2012 R2: Windows8.1-KB3170455-x64.msu |
|
Installatieswitches |
|
Vereiste opnieuw starten |
In sommige gevallen is voor deze update geen systeem opnieuw opstarten vereist. Als de vereiste bestanden worden gebruikt, is voor deze update een systeem opnieuw opstarten vereist. Als dit gedrag optreedt, ontvangt u een bericht waarin u wordt geadviseerd uw systeem opnieuw te starten. |
Verwijderingsgegevens |
Als u een update wilt verwijderen die door WUSA is geïnstalleerd, gebruikt u de installatieknop /Installatie verwijderen of klikt u op Configuratiescherm, klikt u op Systeem en beveiliging,klikt u op Windows Bijwerken,klikt u op Geïnstalleerde updates onder Zie ooken selecteert u vervolgens in de lijst met updates. |
Bestandsgegevens |
|
Verificatie van registersleutels |
Opmerking Er bestaat geen registersleutel om de aanwezigheid van deze update te valideren. |
Windows RT 8.1 (alle edities) Referentietabel
De volgende tabel bevat de beveiligingsupdategegevens voor deze software.
Implementatie |
Deze update is alleen beschikbaar via Windows Update. |
Vereiste opnieuw starten |
In sommige gevallen is voor deze update geen systeem opnieuw opstarten vereist. Als de vereiste bestanden worden gebruikt, is voor deze update een systeem opnieuw opstarten vereist. Als dit gedrag optreedt, ontvangt u een bericht waarin u wordt geadviseerd uw systeem opnieuw te starten. |
Verwijderingsgegevens |
Klik op Configuratiescherm, klik op Systeem en beveiliging, klik Windows Bijwerken en klik vervolgens onder Zie ook op Geïnstalleerde updates en selecteer in de lijst met updates. |
Bestandsgegevens |
Windows 10 (alle edities) Referentietabel
De volgende tabel bevat de beveiligingsupdategegevens voor deze software.
Bestandsnaam beveiligingsupdate |
Voor alle ondersteunde 32-bits versies van Windows 10: Windows10.0-KB3163912-x86.msu |
Voor alle ondersteunde x64-versies van Windows 10: Windows10.0-KB3163912-x64.msu |
|
Voor alle ondersteunde 32-bits versies van Windows 10 versie 1511: Windows10.0-KB3172985-x86.msu |
|
Voor alle ondersteunde x64-versies van Windows 10 versie 1511: Windows10.0-KB3172985-x64.msu |
|
Installatieswitches |
|
Vereiste opnieuw starten |
In sommige gevallen is voor deze update geen systeem opnieuw opstarten vereist. Als de vereiste bestanden worden gebruikt, is voor deze update een systeem opnieuw opstarten vereist. Als dit gedrag optreedt, ontvangt u een bericht waarin u wordt geadviseerd uw systeem opnieuw te starten. |
Verwijderingsgegevens |
Als u een update wilt verwijderen die door WUSA is geïnstalleerd, gebruikt u de installatieknop /Installatie verwijderen of klikt u op Configuratiescherm, klikt u op Systeem en beveiliging,klikt u op Windows Bijwerken,klikt u op Geïnstalleerde updates onder Zie ooken selecteert u vervolgens in de lijst met updates. |
Bestandsgegevens |
Zie Microsoft Knowledge Base Article 3163912 Zie Microsoft Knowledge Base Article 3172985 |
Verificatie van registersleutels |
Opmerking Er bestaat geen registersleutel om de aanwezigheid van deze update te valideren. |
Help bij het installeren van updates: Ondersteuning voor Microsoft Update Beveiligingsoplossingen voor IT-professionals: TechNet-beveiligingsproblemen en ondersteuning Help bij het beschermen Windows computer op basis van virussen en malware: Virusoplossing en Beveiligingscentrum Lokale ondersteuning volgens uw land: Internationale ondersteuning