Примітка
Це оновлення системи безпеки було повторно випущено 12 вересня 2017 р., щоб вирішити відомі проблеми з оновленням 3170455 для CVE-2016-3238.Корпорація Майкрософт стала доступними оновлення для версій Microsoft, що підтримуються наразі, Windows. Докладні відомості див. в такій статті бази знань Microsoft:
-
Повторно випущене оновлення 3170455 для Windows Server 2008
-
Щомісячне оновлення 40387777 і оновлення системи безпеки 4038779 для Windows 7 і Windows Server 2008 R2
-
Щомісячне оновлення 4038799 та оновлення системи безпеки 4038786 для Windows Server 2012
-
Щомісячне зведене оновлення 4038792 та оновлення системи безпеки 4038793 для Windows 8.1 і Windows Server 2012 R2
-
Сукупний пакет оновлень 4038781 для Windows 10
-
Сукупний пакет оновлень 4038781 Windows 10 версії 1511
-
Сукупний пакет оновлень 4038782 Windows 10 версії 1607 і Windows Server 2016
Корпорація Майкрософт рекомендує клієнтам, які працюють Windows Server 2008, повторно інсталювати оновлення 3170455. Корпорація Майкрософт рекомендує клієнтам, які працюють з іншими підтримуваними версіями Windows інсталюйте відповідне оновлення. Докладні відомості див. в статті бази знань Microsoft 3170455.
Інші зміни, які включено до повторної версії MS16-087
-
Додано журналювання подій, щоб визначити причини помилок інсталяції драйвера принтера
Раніше єдиний спосіб дізнатися, чому драйвер не мав нового обмеження, перевіряти, які впроваджено в складі MS16-087, – зібрати журнали etw для друку, а потім надіслати їх до корпорації Майкрософт для аналізу.
Ми додали функції для журналювання причин помилок у журналі подій, щоб клієнти самостійно досліджували причини помилок драйвера.
Відомості, які буде записано:
1. Якщо драйвер не враховується в пакеті або його не підписано належним чином, записується таке повідомлення:
MSG_CSRSPL_UNTRUSTED_DRIVER:"Спулеру друку не вдалося завантажити пакет драйвера для <ім'я>. Код помилки= помилка <CodeFromListBelow>. Блокування драйвера, оскільки це може призвести до підламування".
2. Якщо драйвер не пройшов перевірку підпису за допомогою наданого каталогу, записується таке повідомлення:
VALIDATEDRVINFO_FAILED:"У validATINGDRVINFO, adding printer driver <Name> помилка, помилка з кодом <CodeFromListBelow>.
Можливі коди помилок:
|
Код |
Значення |
|
0x800F0243L |
Publisher ненадійних |
|
0x800F024BL |
Гешування не в каталозі |
|
0x800F022FL |
Немає каталогу для OEM INF |
|
0x800F023FL |
Немає каталогу автентифікації |
|
0x800F0240L |
Authenticode disallowed |
|
0x800F0249L |
Універсальний "Driver install blocked" (Інсталяцію драйвера заблоковано) |
Загальні відомості
Це оновлення системи безпеки усуває вразливості в Microsoft Windows. Що серйозніші вразливості можуть дозволити виконання віддаленого коду, якщо зловмисник може виконати атаку посередині (MiTM) на робочій або друкованій сервері або налаштувати неприйнятний сервер друку в цільовій мережі.Докладні відомості про вразливість див. в бюлетені безпеки Microsoft MS16-087.
Додаткові відомості
Увага!
-
Після інсталяції цього оновлення системи безпеки, щоб розгорнути драйвери Point і Print із серверів друку до клієнтів, на сервері принтера Windows 8.1 або Windows Server 2012 R2 потрібно застосувати наведене нижче зведене оновлення Windows.
3000850 Зведене оновлення за листопад 2014 р. для Windows RT 8.1, Windows 8.1 і Windows Server 2012 R2
-
Усі майбутні оновлення системи безпеки та безпеки для Windows RT 8.1, Windows 8.1 і Windows Server 2012 R2 вимагають інсталяції оновлення 2919355. Радимо інсталювати оновлення 2919355 на комп'ютері з ос Windows RT 8.1 на базі Windows 8.1 або Windows Server 2012 R2, щоб отримувати майбутні оновлення.
-
Якщо після інсталяції цього оновлення ви інсталюєте мовний пакет, потрібно повторно інсталювати це оновлення. Тому перш ніж інсталювати це оновлення, радимо інсталювати всі потрібні мовні пакети. Докладні відомості див. в Windows.
Додаткові відомості про це оновлення системи безпеки
Наведені нижче статті містять додаткові відомості про це оновлення системи безпеки під час його пов'язання з окремими версіями продуктів. У статтях можуть міститися відомі відомості про проблему.
-
3170455 MS16-087: Опис оновлення системи безпеки для компонентів спулера Windows: 12 липня 2016 р.
-
3163912 Сукупний пакет оновлень для Windows 10: 12 липня 2016 р.
-
3172985 Сукупний пакет оновлень для Windows 10 версії 1511 і Windows Server 2016 Technical Preview 4: 12 липня 2016 р.
Відомі проблеми
Якщо використовується мережевий друк у вашому середовищі, може виникнути одна з таких проблем:
-
Можливо, з'явиться попередження про інсталяцію драйвера принтера, або драйвер може не інсталюватися без сповіщення після застосування MS16-087. Ознаки тут залежать від певного сценарію.
Сценарій 1 Для драйверів принтера, які не враховуються в пакеті версії 3, коли користувачі намагаються підключитися до принтерів, які не вказуватимуться на принтерах, що друкуються, може з'явитися таке попередження:
Сценарій 2 Драйвери з програмою пакета потрібно підписати з надійним сертифікатом. Під час перевірки перевіряється, чи всі файли, які входять до складу драйвера, гешуються в каталозі. Якщо така перевірка завершиться помилком, драйвер визнано ненадійний. У цьому випадку інсталяцію драйвера заблоковано, і відображається таке попередження:
Сценарій 3. У неактивних сценаріях (наприклад, принтер інсталюється за допомогою автоматизованого сценарію), коли драйвер принтера відповідає критеріям, описаним у сценарії 1 або 2, помилка інсталяції принтера та повідомлення з попередженням не відображається.У таких випадках зверніться до адміністратора мережі, щоб отримати оновлений драйвер від виробника принтера.Указівки для адміністраторів мережі:
-
Оновіть потрібний драйвер принтера. Драйвери принтера V3 з пакетами вперше з'явилися в Windows Vista. Інсталяція драйвера принтера, що підтримує пакет, вирішить цю проблему.
-
Якщо певний застарілий принтер не підтримує відповідний драйвер принтера, проблему буде вирішено, якщо попередньо інсталювати проблемний драйвер принтера в клієнтській системі.
Докладні відомості про ці сценарії див. в таких ресурсах Microsoft:
-
-
Після застосування оновлення системи безпеки MS16-087 (KB 3170455)і спроби підключення до надійного принтера, інстальованого на комп'ютері під керуванням ос Windows 8.1 або Windows Server 2012 R2, підключитися до принтера не вдається.Щоб вирішити цю проблему, застосуйте наведене нижче зведене Windows оновлення на сервері принтера Windows 8.1 або Windows Server 2012 R2.
3000850 Зведене оновлення за листопад 2014 р. для Windows RT 8.1, Windows 8.1 і Windows Server 2012 R2
Оновлення за жовтень 2016 р. Помноження для відомих проблем
Корпорація Майкрософт випустила оновлення за жовтень 2016 р., яке дає змогу адміністраторам мережі настроювати політики, які дають змогу інсталювати драйвери друку, які вони вважають безпечними. Це оновлення також дає змогу адміністраторам мережі розгортати підключення до принтера, які вони вважають безпечними.Оновлення містяться в наведених нижче пакетах зведення.
|
Windows 10 RTM |
|
|
Windows 10 1511 |
|
|
Windows 10 1607 |
|
|
Windows 7 та Windows Server 2008 R2 |
|
|
Windows Server 2012 |
|
|
Windows 8.1 і Windows Server 2012 R2 |
Настроювання групової політики для додавання серверів друку до списку дозволених
-
Натисніть кнопку Пуск і виберіть Виконати.
-
Введіть gpedit.msc, а потім натисніть кнопку OK.
-
Розгорніть елемент Конфігурація комп'ютера, а потім розгорніть елемент Адміністративні шаблони.
-
Натисніть кнопку Принтери.
-
Двічі клацніть Пункти та Обмеження друку, а потім виберіть Увімкнуто.
-
У розділі Параметри встановіть прапорець Користувачі можуть лише вказувати та друкувати на цих серверах, а потім введіть повні імена серверів у текстове поле, розділені комами.
-
У розділі Запити системи безпеки встановіть їх таким чином:
-
"Під час інсталяції драйверів для нового підключення": "Show warning and elevation prompt" (Відображати попередження та запит на висоту).
-
"Під час оновлення драйверів для наявного підключення": "Show warning and elevation prompt" (Відображати попередження та запит на висоту).
-
-
Натисніть кнопку Застосувати, а потім – OK.
-
На сторінці Політики принтерів двічі клацніть пункти Package Point and Print ( Затверджені сервери).
-
Виберіть параметр Увімкнуто.
-
У розділі Параметри клацніть елемент Показати.
-
Введіть одне повне ім'я сервера в кожному рядку.
-
Клацніть OK.
-
Натисніть кнопку Застосувати, а потім – OK.
-
Якщо ви використовуєте автономний клієнт, перезапустіть клієнт і переконайтеся, що ці політики застосовуються.
-
Якщо використовуються політики домену, передайте їх клієнтам домену, а потім переконайтеся, що ці політики застосовуються.
Примітка. Після ввімкнення цих групових політик потрібно додати всі сервери принтера до списку Point і Print Restrictions (Точка), а також до списку Package Point (Точка пакування) і Print (Затверджений сервер). Це можна зробити незалежно від усвідомлення пакета.
Оновлення за жовтень 2016 р. запитання й відповіді
-
Запитання. Чи слід видаляти попереднє оновлення? В. Ні. У попередньому оновленнях виправлено вразливість. В оновленні за жовтень 2016 р. адміністратори мережі можуть інсталювати драйвери, які вони вважають безпечними.
-
Запитання. Навіть після інсталяції оновлення за жовтень 2016 р. та настроєні групові політики під час спроби інсталювати локальний принтер відображається повідомлення "Довіряти цьому принтеру". Чому це так? В. Така дія передбачає призначення мережевих принтерів, а не локальних принтерів, тому це передбачувана поведінка.Примітка. Якщо відображається повідомлення "Довіряти цьому принтеру", замініть поточний драйвер на надійний драйвер або інсталюйте файли драйвера до локального сховища драйверів, перш ніж інсталювати локальний принтер. Докладні відомості див. в розділі "Указівки для адміністраторів мережі".
Отримання та інсталяція оновлення
Спосіб 1. Служба Windows Update
Це оновлення доступне в Windows Update. Якщо ввімкнути автоматичне оновлення, це оновлення завантажиться та інсталюється автоматично. Докладні відомості про те, як увімкнути автоматичне оновлення, див. в статті Автоматичне отримання оновлень системи безпеки.Примітка. Windows RT 8.1 це оновлення доступне лише в Windows Update.
Окремий пакет оновлень можна отримати в Центрі завантажень Microsoft. Дотримуйтеся вказівок з інсталяції на сторінці завантаження, щоб інсталювати оновлення.Клацніть посилання для завантаження на бюлетені безпеки Microsoft MS16-087, яке відповідає версії Windows ви використовуєте.
Додаткові відомості
Windows Vista (усі випуски) Довідникова таблиця У таблиці нижче наведено відомості про оновлення системи безпеки для цього програмного забезпечення.
|
Імена файлів оновлення системи безпеки |
Для всіх підтримуваних 32-розрядних випусків Windows Vista: Windows6.0-KB3170455-x86.msu |
|
Для всіх підтримуваних випусків на базі x64-процесорів Windows Vista: Windows6.0-KB3170455-x64.msu |
|
|
Перемикачі інсталяції |
|
|
Необхідність перезавантаження |
У деяких випадках для цього оновлення не потрібне перезавантаження системи. Якщо використовуються потрібні файли, це оновлення потребує перезавантаження системи. У такому разі ви отримаєте повідомлення з рекомендуємо перезапустити систему. |
|
Відомості про видалення |
WUSA.exe не підтримує видалення оновлень. Щоб видалити оновлення, інстальоване за допомогою WUSA, клацніть Панель керування, а потім – Безпека. У Windows Оновлення клацнітьпереглянути інстальованіоновлення , а потім виберіть оновлення зі списку. |
|
Відомості про файл |
|
|
Перевірка розділу реєстру |
Примітка. Розділ реєстру не існує, щоб перевірити наявність цього оновлення. |
Windows Посилання на таблицю Server 2008 (усі випуски) У таблиці нижче наведено відомості про оновлення системи безпеки для цього програмного забезпечення.
|
Імена файлів оновлення системи безпеки |
Для всіх підтримуваних 32-розрядних випусків Windows Server 2008: Windows6.0-KB3170455-x86.msu |
|
Для всіх підтримуваних випусків на базі x64-процесорів Windows Server 2008: Windows6.0-KB3170455-x64.msu |
|
|
Для всіх підтримуваних випусків на базі Itanium Windows Server 2008: Windows6.0-KB3170455-ia64.msu |
|
|
Перемикачі інсталяції |
|
|
Необхідність перезавантаження |
У деяких випадках для цього оновлення не потрібне перезавантаження системи. Якщо використовуються потрібні файли, це оновлення потребує перезавантаження системи. У такому разі ви отримаєте повідомлення з рекомендуємо перезапустити систему. |
|
Відомості про видалення |
WUSA.exe не підтримує видалення оновлень. Щоб видалити оновлення, інстальоване за допомогою WUSA, клацніть Панель керування, а потім – Безпека. У Windows Оновлення клацнітьпереглянути інстальованіоновлення , а потім виберіть оновлення зі списку. |
|
Відомості про файл |
|
|
Перевірка розділу реєстру |
Примітка. Розділ реєстру не існує, щоб перевірити наявність цього оновлення. |
Windows 7 (усі випуски) Довідникова таблиця У таблиці нижче наведено відомості про оновлення системи безпеки для цього програмного забезпечення.
|
Ім'я файлу оновлення системи безпеки |
Для всіх підтримуваних 32-розрядних випусків Windows 7: Windows6.1-KB3170455-x86.msu |
|
Для всіх підтримуваних випусків x64-процесорів Windows 7: Windows6.1-KB3170455-x64.msu |
|
|
Перемикачі інсталяції |
|
|
Необхідність перезавантаження |
У деяких випадках для цього оновлення не потрібне перезавантаження системи. Якщо використовуються потрібні файли, це оновлення потребує перезавантаження системи. У такому разі ви отримаєте повідомлення з рекомендуємо перезапустити систему. |
|
Відомості про видалення |
Щоб видалити оновлення, інстальоване за допомогою WUSA, скористайтеся перемикачем /Uninstall setup або виберіть Панель керування ,система та безпека ,клацніть Windows Оновлення, клацніть Переглянутиінстальовані оновлення , а потім виберіть зі списку оновлень. |
|
Відомості про файл |
|
|
Перевірка розділу реєстру |
Примітка. Розділ реєстру не існує, щоб перевірити наявність цього оновлення. |
Windows Server 2008 R2 (усі випуски) Довідник У таблиці нижче наведено відомості про оновлення системи безпеки для цього програмного забезпечення.
|
Ім'я файлу оновлення системи безпеки |
Для всіх підтримуваних випусків на базі x64-процесорів Windows Server 2008 R2: Windows6.1-KB3170455-x64.msu |
|
Для всіх підтримуваних випусків на базі Itanium Windows Server 2008 R2: Windows6.1-KB3170455-ia64.msu |
|
|
Перемикачі інсталяції |
|
|
Необхідність перезавантаження |
У деяких випадках для цього оновлення не потрібне перезавантаження системи. Якщо використовуються потрібні файли, це оновлення потребує перезавантаження системи. У такому разі ви отримаєте повідомлення з рекомендуємо перезапустити систему. |
|
Відомості про видалення |
Щоб видалити оновлення, інстальоване за допомогою WUSA, скористайтеся перемикачем /Uninstall setup або виберіть Панель керування ,система та безпека ,клацніть Windows Оновлення, клацніть Переглянутиінстальовані оновлення , а потім виберіть зі списку оновлень. |
|
Відомості про файл |
|
|
Перевірка розділу реєстру |
Примітка. Розділ реєстру не існує, щоб перевірити наявність цього оновлення. |
Windows 8.1 (усі випуски) Посилання на таблицю У таблиці нижче наведено відомості про оновлення системи безпеки для цього програмного забезпечення.
|
Ім'я файлу оновлення системи безпеки |
Для всіх підтримуваних 32-розрядних випусків Windows 8.1: Windows8.1-KB3170455-x86.msu |
|
Для всіх підтримуваних випусків x64-процесорів Windows 8.1: Windows8.1-KB3170455-x64.msu |
|
|
Перемикачі інсталяції |
|
|
Необхідність перезавантаження |
У деяких випадках для цього оновлення не потрібне перезавантаження системи. Якщо використовуються потрібні файли, це оновлення потребує перезавантаження системи. У такому разі ви отримаєте повідомлення з рекомендуємо перезапустити систему. |
|
Відомості про видалення |
Щоб видалити оновлення, інстальоване за допомогою WUSA, скористайтеся перемикачем /Uninstall setup або виберіть Панель керування ,система та безпека ,клацніть Windows Оновлення, клацніть Інстальовані оновлення в розділі Див. також ,а потім виберіть у списку оновлень. |
|
Відомості про файл |
|
|
Перевірка розділу реєстру |
Примітка. Розділ реєстру не існує, щоб перевірити наявність цього оновлення. |
Windows Посилання на таблицю Server 2012 Windows Server 2012 R2 (усі випуски) У таблиці нижче наведено відомості про оновлення системи безпеки для цього програмного забезпечення.
|
Ім'я файлу оновлення системи безпеки |
Для всіх підтримуваних випусків Windows Server 2012: Windows8-RT-KB3170455-x64.msu |
|
Для всіх підтримуваних випусків Windows Server 2012 R2: Windows8.1-KB3170455-x64.msu |
|
|
Перемикачі інсталяції |
|
|
Необхідність перезавантаження |
У деяких випадках для цього оновлення не потрібне перезавантаження системи. Якщо використовуються потрібні файли, це оновлення потребує перезавантаження системи. У такому разі ви отримаєте повідомлення з рекомендуємо перезапустити систему. |
|
Відомості про видалення |
Щоб видалити оновлення, інстальоване за допомогою WUSA, скористайтеся перемикачем /Uninstall setup або виберіть Панель керування ,система та безпека ,клацніть Windows Оновлення, клацніть Інстальовані оновлення в розділі Див. також ,а потім виберіть у списку оновлень. |
|
Відомості про файл |
|
|
Перевірка розділу реєстру |
Примітка. Розділ реєстру не існує, щоб перевірити наявність цього оновлення. |
Windows RT 8.1 (усі випуски) Довідник У таблиці нижче наведено відомості про оновлення системи безпеки для цього програмного забезпечення.
|
Розгортання |
Це оновлення доступне лише в Windows Update. |
|
Вимоги до перезавантаження |
У деяких випадках для цього оновлення не потрібне перезавантаження системи. Якщо використовуються потрібні файли, це оновлення потребує перезавантаження системи. У такому разі ви отримаєте повідомлення з рекомендуємо перезапустити систему. |
|
Відомості про видалення |
Клацніть Панель керування, послідовно виберіть елементи Система та безпека Windows Оновлення, а потім у розділі Див. також клацніть Інстальовані оновлення та виберіть зі списку оновлень. |
|
Відомості про файл |
Windows 10 (усі випуски) Довідникова таблиця У таблиці нижче наведено відомості про оновлення системи безпеки для цього програмного забезпечення.
|
Ім'я файлу оновлення системи безпеки |
Для всіх підтримуваних 32-розрядних випусків Windows 10: Windows10.0-KB3163912-x86.msu |
|
Для всіх підтримуваних випусків на базі x64-процесорів Windows 10: Windows10.0-KB3163912-x64.msu |
|
|
Для всіх підтримуваних 32-розрядних випусків Windows 10 версії 1511: Windows10.0-KB3172985-x86.msu |
|
|
Для всіх підтримуваних випусків x64-процесорів Windows 10 версії 1511: Windows10.0-KB3172985-x64.msu |
|
|
Перемикачі інсталяції |
|
|
Необхідність перезавантаження |
У деяких випадках для цього оновлення не потрібне перезавантаження системи. Якщо використовуються потрібні файли, це оновлення потребує перезавантаження системи. У такому разі ви отримаєте повідомлення з рекомендуємо перезапустити систему. |
|
Відомості про видалення |
Щоб видалити оновлення, інстальоване за допомогою WUSA, скористайтеся перемикачем /Uninstall setup або виберіть Панель керування ,система та безпека ,клацніть Windows Оновлення, клацніть Інстальовані оновлення в розділі Див. також ,а потім виберіть у списку оновлень. |
|
Відомості про файл |
Див. статтю бази знань Microsoft 3163912 Див. статтю бази знань Microsoft 3172985 |
|
Перевірка розділу реєстру |
Примітка. Розділ реєстру не існує, щоб перевірити наявність цього оновлення. |
Довідка з інсталяції оновлень: підтримка служби Microsoft Update Рішення для IT-фахівців: Виправлення неполадок безпеки та підтримка techNet Довідка із захисту комп'Windows від вірусів і зловмисних програм: "Антивірусне рішення та Центр безпеки" Місцева підтримка відповідно до вашої країни: міжнародна підтримка
