Upozornění
Tato aktualizace zabezpečení byla znovu vydána 12. září 2017, aby se vyřešit známé problémy v aktualizaci 3170455 pro chybu CVE-2016-3238.Společnost Microsoft má k dispozici následující aktualizace pro aktuálně podporované verze microsoftových Windows. Další informace najdete v následujícím článku znalostní báze Microsoft Knowledge Base:
-
Znovu vydaná aktualizace 3170455 pro Windows Server 2008
-
Měsíční kumulativní aktualizace 4038777 a aktualizace zabezpečení 4038779 pro Windows 7 a Windows Server 2008 R2
-
Měsíční kumulativní aktualizace 4038799 a aktualizace zabezpečení 4038786 pro Windows Server 2012
-
Měsíční kumulativní aktualizace 4038792 a aktualizace zabezpečení 4038793 pro Windows 8.1 a Windows Server 2012 R2
-
Kumulativní aktualizace 4038781 pro Windows 10
-
Kumulativní aktualizace 4038781 pro Windows 10 verze 1511
-
Kumulativní aktualizace 4038782 pro Windows 10 verze 1607 a Windows Server 2016
Společnost Microsoft doporučuje zákazníkům, kteří Windows Server 2008, přeinstalovat aktualizaci 3170455. Společnost Microsoft doporučuje zákazníkům, kteří mají jiné podporované Windows nainstalovat příslušnou aktualizaci. Další informace najdete v článku znalostní báze Microsoft Knowledge Base 3170455.
Další změny, které jsou součástí opětovné verze ms16-087
-
Přidání protokolování událostí, které pomáhá určit příčinu chyb při instalaci ovladače tiskárny
Dříve jediný způsob, jak může zákazník vědět, proč ovladač neprošel, kontroluje nové omezení, které se implementuje v rámci MS16-087, shromáždit protokoly tiskových etw a pak poslat Microsoftu k analýze.
Přidali jsme funkce pro protokolování příčin chyb do protokolování událostí, aby zákazníci mohli sami prozkoumat hlavní příčinu selhání ovladače.
Informace, které se budou protokolovat:
1. Pokud ovladač nemá informace o balíčku nebo není správně podepsaný, zaprotokoluje se následující zpráva:
MSG_CSRSPL_UNTRUSTED_DRIVER:"Zařazování tisku se nepodařilo stáhnout balíček ovladače <driverName>. Kód chyby= <errorCodeFromListBelow>. Blokování ovladače, protože by mohla být možná manipulace."
2. Pokud ovladač neprovede ověření podpisu pomocí poskytnutého katalogu, zaprotokoluje se tato zpráva:
VALIDATEDRVINFO_FAILED:"In VALIDATINGDRVINFO, Adding printer driver <driverName> failed, error code <errorCodeFromListBelow>.
Možné kódy chyb:
|
Kód |
Význam: |
|
0x800F0243L |
Publisher není důvěryhodný |
|
0x800F024BL |
Hodnota hash není v katalogu |
|
0x800F022FL |
Žádný katalog pro OEM INF |
|
0x800F023FL |
Žádný katalog authenticode |
|
0x800F0240L |
Authenticode disallowed |
|
0x800F0249L |
Generic "Driver install blocked" |
Shrnutí
Tato aktualizace zabezpečení řeší chyby zabezpečení v microsoft Windows. Závažnější z těchto chyb zabezpečení může umožnit vzdálené spuštění kódu, pokud útočník dokáže provést útok člověka uprostřed (MiTM) na pracovní stanici nebo tiskový server nebo nastavit nepoctiví tiskový server v cílové síti.Další informace o chybě zabezpečení najdete v bulletinu zabezpečení společnosti Microsoft MS16-087.
Další informace
Důležité
-
Po instalaci této aktualizace zabezpečení je nutné k nasazení ovladačů Bod a tisk z tiskových serverů u klientů použít následující kumulativní aktualizaci Windows na tiskovém serveru Windows 8.1 nebo Windows Server 2012 R2:
3000850 Kumulativní aktualizace z listopadu 2014 pro Windows RT 8.1, Windows 8.1 a Windows Server 2012 R2
-
Všechny budoucí aktualizace zabezpečení a aktualizace zabezpečení pro Windows RT 8.1, Windows 8.1 a Windows Server 2012 R2 vyžadují instalaci aktualizace 2919355. Doporučujeme nainstalovat aktualizaci 2919355 na počítač se systémem Windows RT 8.1, Windows 8.1 nebo Windows Server 2012 R2, abyste mohli dostávat budoucí aktualizace.
-
Pokud po instalaci této aktualizace nainstalujete jazykovou sadu, musíte tuto aktualizaci přeinstalovat. Proto doporučujeme před instalací této aktualizace nainstalovat všechny jazykové sady, které potřebujete. Další informace najdete v tématu Přidání jazykových sad do Windows.
Další informace o této aktualizaci zabezpečení
Následující články obsahují další informace o této aktualizaci zabezpečení související s jednotlivými verzemi produktů. Články mohou obsahovat informace o známém problému.
-
3170455 MS16-087: Popis aktualizace zabezpečení pro Windows zařazování tisku: 12. července 2016
-
3163912 Kumulativní aktualizace pro Windows 10: 12. července 2016
-
3172985 Kumulativní aktualizace pro Windows 10 verze 1511 a Windows Server 2016 Technical Preview 4: 12. července 2016
Známé problémy
Pokud ve svém prostředí používáte síťový tisk, může docházet k některému z následujících problémů:
-
Po instalaci ms16-087 se může zobrazit výzva k instalaci ovladače tiskárny nebo se ovladač nemusí nainstalovat bez upozornění. Příznaky tady závisí na konkrétním scénáři.
Scénář 1: U ovladačů tiskáren v3, které nejsou v balíčku, se může při pokusu o připojení k tiskárnám s písmem a tiskem zobrazit následující zpráva s upozorněním:
Scénář 2 Ovladače s informací o balíčku musí být podepsány důvěryhodným certifikátem. Proces ověření zkontroluje, jestli jsou všechny soubory, které jsou součástí ovladače, zatřiďovány v katalogu. Pokud toto ověření selže, ovladač se považuje za nedůvěryhodný. V takovém případě je instalace ovladače zablokovaná a zobrazí se následující zpráva s upozorněním:
Scénář 3: Neinteraktivní scénáře (například tiskárna se instaluje pomocí automatického skriptu), pokud ovladač tiskárny odpovídá kritériím popsaným ve scénáři 1 nebo scénáři 2, instalace tiskárny se nezdaří a nezobrazí se žádná zpráva s upozorněním.V těchto situacích požádejte správce sítě o aktualizovaný ovladač od výrobce tiskárny.Pokyny pro správce sítě:
-
Aktualizujte ovlivněný ovladač tiskárny. V systému Windows Vista byly zavedeny ovladače tiskárny V3 s Windows Windows Vista. Problém vyřešíte instalací ovladače tiskárny s informací o balíčku.
-
Pokud konkrétní starší tiskárna nemá k dispozici příslušný ovladač tiskárny, vyřeší se problém předinstalací problematického ovladače tiskárny v klientském systému.
Další informace o těchto scénářích najdete v následujících zdrojích microsoftu:
-
-
Po instalaci aktualizace zabezpečení MS16-087 (KB 3170455)a pokusu o připojení k důvěryhodné tiskárně podporující balíček, která je nainstalovaná v systému se systémem Windows 8.1 nebo Windows Server 2012 R2, se k tiskárně nemůžete připojit.Chcete-li tento problém vyřešit, použijte následující kumulativní Windows aktualizace na Windows 8.1 nebo Windows Server 2012 R2 tiskárny:
3000850 Kumulativní aktualizace z listopadu 2014 pro Windows RT 8.1, Windows 8.1 a Windows Server 2012 R2
Aktualizace z října 2016: Zmírnění známých problémů
Společnost Microsoft vydala aktualizaci z října 2016, která správcům sítě umožňuje konfigurovat zásady, které povolují instalaci ovladačů tisku, které považují za bezpečné. Tato aktualizace také umožňuje správcům sítě nasadit připojení tiskáren, která považují za bezpečná.Aktualizace jsou obsaženy v následujících srolovacích balíčcích.
|
Windows 10 RTM |
|
|
Windows 10 1511 |
|
|
Windows 10 1607 |
|
|
Windows 7 a Windows Server 2008 R2 |
|
|
Windows Server 2012 |
|
|
Windows 8.1 a Windows Server 2012 R2 |
Konfigurace Zásady skupiny pro přidání tiskových serverů do povoleného seznamu
-
Klikněte na tlačítko Start a potom na příkaz Spustit.
-
Zadejte gpedit.msc a klikněte na OK.
-
Rozbalte položku Konfigurace počítače a potom rozbalte položku Šablony pro správu.
-
Klikněte na Tiskárny.
-
Poklikejte na Omezení pro bod a tisk a pak vyberte možnost Povoleno.
-
V části Možnosti zaškrtněte políčko Uživatelé mohou na tyto servery pouze nasoudit a tisknout a potom do textového pole zadat plně kvalifikované názvy serverů oddělené středníky.
-
V části Výzvy zabezpečení je nastavte takto:
-
"Při instalaci ovladačů pro nové připojení": "Zobrazit výzvu k upozornění a zvýšení úrovně".
-
"Při aktualizaci ovladačů pro existující připojení": "Zobrazit výzvu k upozornění a zvýšení úrovně".
-
-
Klikněte na Použít a potom na OK.
-
Na stránce Zásady tiskárny poklikejte na Bod balíčku a Tisk – schválené servery.
-
Vyberte možnost Povoleno.
-
V části Možnosti klikněte na Zobrazit.
-
Do každého řádku zadejte jeden plně kvalifikovaný název serveru.
-
Klikněte na tlačítko OK.
-
Klikněte na Použít a potom na OK.
-
Pokud používáte samostatného klienta, restartujte klienta a ověřte, jestli jsou tyto zásady v platnosti.
-
Pokud používáte zásady domény, předáte zásady klientům domény a pak ověřte, jestli jsou tyto zásady v platnosti.
Poznámka: Po povolení těchto zásad skupiny je třeba přidat všechny tiskové servery do seznamu Omezení pro bod i tisk a do seznamu Package Point and Print – Approved server (Bod balíčku a Tisk – schváleno). To platí bez ohledu na informovanost o balíčku.
Časté otázky k aktualizaci z října 2016
-
Otázka: Měli bychom odinstalovat předchozí aktualizaci? A: Ne. Předchozí aktualizace tuto chybu zabezpečení opravuje. Aktualizace z října 2016 poskytuje správcům sítě možnost instalovat ovladače, které považují za bezpečné.
-
Otázka: I když je nainstalovaná aktualizace z října 2016 a nakonfigurované zásady skupiny, zobrazí se při pokusu o instalaci místní tiskárny zpráva "Důvěřujete této tiskárně". Proč? O: Toto omezení se zaměřuje na síťové tiskárny a ne na místní tiskárny, takže toto chování se očekává.Poznámka: Pokud se zobrazí zpráva Důvěřujete této tiskárně, nahraďte aktuální ovladač důvěryhodným ovladačem s informací o balíčku nebo před instalací místní tiskárny nainstalujte soubory ovladače do místního úložiště ovladačů. Další informace najdete v části Pokyny pro správce sítě.
Jak získat a nainstalovat aktualizaci
Metoda 1: Windows aktualizace
Tato aktualizace je dostupná prostřednictvím Windows Update. Po zapnutí automatických aktualizací se tato aktualizace automaticky stáhne a nainstaluje. Další informace o tom, jak zapnout automatické aktualizace, najdete v tématu Automatické získání aktualizací zabezpečení.Poznámka: Windows RT 8.1 je tato aktualizace dostupná jenom prostřednictvím Windows Update.
Samostatný aktualizační balíček můžete získat prostřednictvím Webu pro stahování Microsoft Download Center. Podle pokynů k instalaci na stránce pro stažení nainstalujte aktualizaci.Klikněte na odkaz stáhnout v Bulletinu zabezpečení společnosti Microsoft MS16-087, který odpovídá Windows, kterou používáte.
Další informace
Windows Referenční tabulka pro Vista (všechny edice) Následující tabulka obsahuje informace o aktualizaci zabezpečení pro tento software.
|
Názvy souborů aktualizace zabezpečení |
Pro všechny podporované 32bitové edice Windows Vista: Windows6.0-KB3170455-x86.msu |
|
Pro všechny podporované edice systému Windows Vista s Windows x64: Windows6.0-KB3170455-x64.msu |
|
|
Instalační přepínače |
|
|
Požadavky na restartování |
V některých případech tato aktualizace nevyžaduje restartování systému. Pokud se používají požadované soubory, bude tato aktualizace vyžadovat restartování systému. Pokud k tomuto chování dojde, zobrazí se zpráva s upozorněním na restartování systému. |
|
Informace o odebrání |
WUSA.exe nepodporuje odinstalaci aktualizací. Pokud chcete odinstalovat aktualizaci nainstalovanou pomocí programu WUSA, klikněte na Ovládací panelya potom klikněte na Zabezpečení. V Windows Aktualizovatklikněte na Zobrazit nainstalované aktualizacea pak vyberte ze seznamu aktualizací. |
|
Informace o souborech |
|
|
Ověření klíče registru |
Poznámka: K ověření přítomnosti této aktualizace neexistuje klíč registru. |
Windows Referenční tabulka pro Server 2008 (všechny edice) Následující tabulka obsahuje informace o aktualizaci zabezpečení pro tento software.
|
Názvy souborů aktualizace zabezpečení |
Pro všechny podporované 32bitové edice Windows Server 2008: Windows6.0-KB3170455-x86.msu |
|
Pro všechny podporované edice systému Windows Server 2008 založené na 64 verzích: Windows6.0-KB3170455-x64.msu |
|
|
Pro všechny podporované edice s procesorem Itanium Windows Server 2008: Windows6.0-KB3170455-ia64.msu |
|
|
Instalační přepínače |
|
|
Požadavky na restartování |
V některých případech tato aktualizace nevyžaduje restartování systému. Pokud se používají požadované soubory, bude tato aktualizace vyžadovat restartování systému. Pokud k tomuto chování dojde, zobrazí se zpráva s upozorněním na restartování systému. |
|
Informace o odebrání |
WUSA.exe nepodporuje odinstalaci aktualizací. Pokud chcete odinstalovat aktualizaci nainstalovanou pomocí programu WUSA, klikněte na Ovládací panelya potom klikněte na Zabezpečení. V Windows Aktualizovatklikněte na Zobrazit nainstalované aktualizacea pak vyberte ze seznamu aktualizací. |
|
Informace o souborech |
|
|
Ověření klíče registru |
Poznámka: K ověření přítomnosti této aktualizace neexistuje klíč registru. |
Windows 7 (všechny edice) Referenční tabulka Následující tabulka obsahuje informace o aktualizaci zabezpečení pro tento software.
|
Název souboru aktualizace zabezpečení |
Pro všechny podporované 32bitové edice Windows 7: Windows6.1-KB3170455-x86.msu |
|
U všech podporovaných edicí s platformou x64 Windows 7: Windows6.1-KB3170455-x64.msu |
|
|
Instalační přepínače |
|
|
Požadavky na restartování |
V některých případech tato aktualizace nevyžaduje restartování systému. Pokud se používají požadované soubory, bude tato aktualizace vyžadovat restartování systému. Pokud k tomuto chování dojde, zobrazí se zpráva s upozorněním na restartování systému. |
|
Informace o odebrání |
Pokud chcete odinstalovat aktualizaci nainstalovanou pomocí programu WUSA, použijte přepínač /Uninstall setup nebo klikněte na Ovládací panely ,klikněte na Systém a zabezpečení,klikněte na Windows Aktualizovat,klikněte na Zobrazit nainstalované aktualizace a pak vyberte ze seznamu aktualizací. |
|
Informace o souborech |
|
|
Ověření klíče registru |
Poznámka: K ověření přítomnosti této aktualizace neexistuje klíč registru. |
Windows Referenční tabulka pro Server 2008 R2 (všechny edice) Následující tabulka obsahuje informace o aktualizaci zabezpečení pro tento software.
|
Název souboru aktualizace zabezpečení |
Pro všechny podporované edice systému Windows Server 2008 R2 založené na x64: Windows6.1-KB3170455-x64.msu |
|
Pro všechny podporované edice s procesorem Itanium Windows Server 2008 R2: Windows6.1-KB3170455-ia64.msu |
|
|
Instalační přepínače |
|
|
Požadavky na restartování |
V některých případech tato aktualizace nevyžaduje restartování systému. Pokud se používají požadované soubory, bude tato aktualizace vyžadovat restartování systému. Pokud k tomuto chování dojde, zobrazí se zpráva s upozorněním na restartování systému. |
|
Informace o odebrání |
Pokud chcete odinstalovat aktualizaci nainstalovanou pomocí programu WUSA, použijte přepínač /Uninstall setup nebo klikněte na Ovládací panely ,klikněte na Systém a zabezpečení,klikněte na Windows Aktualizovat,klikněte na Zobrazit nainstalované aktualizace a pak vyberte ze seznamu aktualizací. |
|
Informace o souborech |
|
|
Ověření klíče registru |
Poznámka: K ověření přítomnosti této aktualizace neexistuje klíč registru. |
Windows 8.1 (všechny edice) Referenční tabulka Následující tabulka obsahuje informace o aktualizaci zabezpečení pro tento software.
|
Název souboru aktualizace zabezpečení |
Pro všechny podporované 32bitové edice Windows 8.1: Windows8.1-KB3170455-x86.msu |
|
U všech podporovaných edicí s platformou x64 Windows 8.1: Windows8.1-KB3170455-x64.msu |
|
|
Instalační přepínače |
|
|
Požadavky na restartování |
V některých případech tato aktualizace nevyžaduje restartování systému. Pokud se používají požadované soubory, bude tato aktualizace vyžadovat restartování systému. Pokud k tomuto chování dojde, zobrazí se zpráva s upozorněním na restartování systému. |
|
Informace o odebrání |
Pokud chcete odinstalovat aktualizaci nainstalovanou pomocí programu WUSA, použijte přepínač /Uninstall setup nebo klikněte na Ovládací panely ,klikněte na Systém a zabezpečení,klikněte na Windows Aktualizovat,v části Viz také klikněte na Nainstalované aktualizace a pak vyberte ze seznamu aktualizací. |
|
Informace o souborech |
|
|
Ověření klíče registru |
Poznámka: K ověření přítomnosti této aktualizace neexistuje klíč registru. |
Windows Server 2012 a Windows Server 2012 R2 (všechny edice) Referenční tabulka Následující tabulka obsahuje informace o aktualizaci zabezpečení pro tento software.
|
Název souboru aktualizace zabezpečení |
Pro všechny podporované edice Windows Server 2012: Windows8-RT-KB3170455-x64.msu |
|
Pro všechny podporované edice Windows Server 2012 R2: Windows8.1-KB3170455-x64.msu |
|
|
Instalační přepínače |
|
|
Požadavky na restartování |
V některých případech tato aktualizace nevyžaduje restartování systému. Pokud se používají požadované soubory, bude tato aktualizace vyžadovat restartování systému. Pokud k tomuto chování dojde, zobrazí se zpráva s upozorněním na restartování systému. |
|
Informace o odebrání |
Pokud chcete odinstalovat aktualizaci nainstalovanou pomocí programu WUSA, použijte přepínač /Uninstall setup nebo klikněte na Ovládací panely ,klikněte na Systém a zabezpečení,klikněte na Windows Aktualizovat,v části Viz také klikněte na Nainstalované aktualizace a pak vyberte ze seznamu aktualizací. |
|
Informace o souborech |
|
|
Ověření klíče registru |
Poznámka: K ověření přítomnosti této aktualizace neexistuje klíč registru. |
Windows RT 8.1 (všechny edice) Referenční tabulka Následující tabulka obsahuje informace o aktualizaci zabezpečení pro tento software.
|
Nasazení |
Tato aktualizace je dostupná jenom Windows aktualizace. |
|
Požadavek na restartování |
V některých případech tato aktualizace nevyžaduje restartování systému. Pokud se používají požadované soubory, bude tato aktualizace vyžadovat restartování systému. Pokud k tomuto chování dojde, zobrazí se zpráva s upozorněním na restartování systému. |
|
Informace o odebrání |
Klikněte na Ovládací panely, klikněte na Systém a zabezpečení, klikněte na Windows Aktualizovat a potom v části Viz také klikněte na Nainstalované aktualizace a vyberte je ze seznamu aktualizací. |
|
Informace o souboru |
Windows 10 (všechny edice) Referenční tabulka Následující tabulka obsahuje informace o aktualizaci zabezpečení pro tento software.
|
Název souboru aktualizace zabezpečení |
Pro všechny podporované 32bitové edice Windows 10: Windows10.0-KB3163912-x86.msu |
|
U všech podporovaných edicí s platformou x64 Windows 10: Windows10.0-KB3163912-x64.msu |
|
|
Pro všechny podporované 32bitové edice Windows 10 verze 1511: Windows10.0-KB3172985-x86.msu |
|
|
U všech podporovaných edicí x64 Windows 10 verze 1511: Windows10.0-KB3172985-x64.msu |
|
|
Instalační přepínače |
|
|
Požadavky na restartování |
V některých případech tato aktualizace nevyžaduje restartování systému. Pokud se používají požadované soubory, bude tato aktualizace vyžadovat restartování systému. Pokud k tomuto chování dojde, zobrazí se zpráva s upozorněním na restartování systému. |
|
Informace o odebrání |
Pokud chcete odinstalovat aktualizaci nainstalovanou pomocí programu WUSA, použijte přepínač /Uninstall setup nebo klikněte na Ovládací panely ,klikněte na Systém a zabezpečení,klikněte na Windows Aktualizovat,v části Viz také klikněte na Nainstalované aktualizace a pak vyberte ze seznamu aktualizací. |
|
Informace o souborech |
Viz článek znalostní báze Microsoft Knowledge Base 3163912 Viz článek znalostní báze Microsoft Knowledge Base 3172985 |
|
Ověření klíče registru |
Poznámka: K ověření přítomnosti této aktualizace neexistuje klíč registru. |
Nápověda k instalaci aktualizací: Podpora pro Microsoft Update Řešení zabezpečení pro IT specialisty: Řešení potíží se zabezpečením na TechNetu a podpora Nápověda k ochraně počítače Windows počítače před viry a malwarem: Centrum antivirového řešení a zabezpečení Místní podpora podle vaší země: Mezinárodní podpora
