Примечание.
Это обновление для системы безопасности было повторно выпущено 12 сентября 2017 г. для устранения известных проблем в обновлении 3170455 для CVE-2016–3238.Корпорация Майкрософт выпустила следующие обновления для поддерживаемых в настоящее время версий Microsoft Windows. Дополнительные сведения можно найти в следующей статье базы знаний Майкрософт:
-
Повторное обновление 3170455 для Windows Server 2008
-
Monthly rollup 4038777 and security update 4038779 for Windows 7 and Windows Server 2008 R2
-
Ежемесячный скат 4038799 и обновление для системы безопасности 4038786 для Windows Server 2012
-
Monthly rollup 4038792 and security update 4038793 for Windows 8.1 and Windows Server 2012 R2
-
Накопительный итог обновления 4038781 для Windows 10
-
Накопительный итог обновления 4038781 для Windows 10 версии 1511
-
Накопительный итог обновления 4038782 для Windows 10 версии 1607 и Windows Server 2016
Корпорация Майкрософт рекомендует клиентам, работающим с Windows Server 2008, переустановить обновление 3170455. Корпорация Майкрософт рекомендует пользователям, у которых есть другие поддерживаемые версии Windows установить соответствующее обновление. Дополнительные сведения можно найти в статье базы знаний Майкрософт 3170455.
Другие изменения, включенные в пере-выпуск MS16-087
-
Добавлен журнал событий для определения причин ошибок при установке драйвера принтера
Раньше клиенты знали, почему драйвер не справился с новым ограничением, которое было реализовано в составе MS16-087, — собрать журналы печати etw, а затем отправить их в корпорацию Майкрософт для анализа.
Мы добавили функции для регистрации причин сбоев в журнале событий, чтобы клиенты могли самостоятельно изучить их причину.
Сведения, которые будут регистрироваться:
1. Если драйвер не знает пакета или не подписан надлежащим образом, регистрируется следующее сообщение:
MSG_CSRSPL_UNTRUSTED_DRIVER: "Не удалось скачать пакет для spooler печати драйвера <driverName>. Код ошибки= <CodeFromListBelow>. Блокирование драйвера может привести к возможной подделысти".
2. Если драйвер не может проверки подписи с помощью предоставленного каталога, регистрируется следующее сообщение:
VALIDATEDRVINFO_FAILED:"При проверкеDRVINFO при добавлении драйвера <driverName> произошла ошибка с кодом <CodeFromListBelow>.
Возможные коды ошибок:
|
Код |
Смысл |
|
0x800F0243L |
Publisher не являются надежными |
|
0x800F024BL |
Hash not in catalog |
|
0x800F022FL |
Нет каталога для OEM INF |
|
0x800F023FL |
Каталог authenticode не является каталогом authenticode |
|
0x800F0240L |
Authenticode disallowed |
|
0x800F0249L |
Generic "Driver install blocked" |
Аннотация
Это обновление для системы безопасности устраняет уязвимости в Microsoft Windows. Более серьезное из-за уязвимостей может привести к удаленному выполнению кода, если злоумышленнику удастся выполнить атаки на рабочей станции или на печатном сервере или настроить мошеннический почтовый сервер в целевой сети.Дополнительные информацию об уязвимости см. в бюллетене по безопасности (Майкрософт) MS16-087.
Дополнительная информация
Внимание!
-
После установки этого обновления для системы безопасности для развертывания драйверов Point и Print с серверов печати на клиентах необходимо применить следующий Windows обновлений Windows 8.1 или Windows Server 2012 R2:
3000850 Накопительный пакет обновления для Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2 за ноябрь 2014 г.
-
Для установки всех будущих обновлений системы безопасности и Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2 требуется обновление 2919355. Мы рекомендуем установить обновление 2919355 на компьютере на базе Windows RT 8.1, Windows 8.1 или Windows Server 2012 R2, чтобы получать обновления в будущем.
-
Если после установки этого обновления вы установили языковой пакет, необходимо переустановить это обновление. Поэтому перед установкой обновления рекомендуется установить все необходимые языковые пакеты. Дополнительные сведения см. в этойWindows.
Дополнительные сведения об этом обновлении для системы безопасности
В следующих статьях содержатся дополнительные сведения об обновлении для системы безопасности в связи с отдельными версиями продуктов. Эти статьи могут содержать сведения об известных проблемах.
-
3170455 MS16-087: описание обновления для системы безопасности для компонентов Windows печати: 12 июля 2016 г.
-
3163912 Накопительный итог обновления для Windows 10: 12 июля 2016 г.
-
3172985 Накопительный итог обновления для Windows 10 версии 1511 и Windows Server 2016 Technical Preview 4: 12 июля 2016 г.
Известные проблемы
При использовании сетевой печати в своей среде может возникнуть одна из следующих проблем:
-
Может появиться предупреждение об установке драйвера принтера или он может не установиться без уведомления после применения MS16-087. Здесь симптомы зависят от конкретного сценария.
Сценарий 1. Для драйверов принтера v3, не подключенных к пакету, при попытке подключения к принтерам с точками и печатью может появиться следующее предупреждение:
Сценарий 2. Драйверы, которые необходимо использовать для упаковки, должны быть подписаны с помощью надежного сертификата. В процессе проверки проверяется наличие в каталоге всех файлов, включенных в драйвер. В случае сбой проверки драйвер считается ненадежным. В этом случае установка драйвера блокируется, и отображается следующее предупреждение:
Сценарий 3. В неинактивных сценариях (например, принтер устанавливается с помощью автоматизированного сценария), если драйвер принтера соответствует условиям, описанным в сценариях 1 и 2, при установке принтера не отображается предупреждение.В таких ситуациях обратитесь к администратору сети, чтобы получить обновленный драйвер от изготовителя принтера.Руководство для администраторов сети:
-
Обновим затронутый драйвер принтера. В Windows Vista были представлены драйверы принтера V3 с Windows упаковкой. Установка драйвера принтера с пакетом поможет устранить проблему.
-
Если на принтере с устаревшими версиями нет подходящего драйвера, проблема будет устраичена после его предустановки в клиентской системе.
Дополнительные сведения об этих сценариях см. в следующих ресурсах Майкрософт:
-
-
После применения обновления для системы безопасности MS16-087 (KB 3170455)и подключения к надежному принтеру, который подключен к системе с Windows 8.1 или Windows Server 2012 R2, подключиться к принтеру будет невозможно.Чтобы устранить эту проблему, применим следующий Windows обновлений на сервере Windows 8.1 или Windows Server 2012 R2:
3000850 Накопительный пакет обновления для Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2 за ноябрь 2014 г.
Обновление за октябрь 2016 г.: снижения последствий известных проблем
Корпорация Майкрософт выпустила обновление за октябрь 2016 г., в которое сетевые администраторы могут настраивать политики, которые позволяют безопасной установке драйверов печати. Это обновление также позволяет администраторам сети развернуть подключения принтера, которые они считают безопасными.Обновления содержатся в следующих пакетах для скатыва.
|
Windows 10 Rtm |
|
|
Windows 10 1511 |
|
|
Windows 10 1607 г. |
|
|
Windows 7 и Windows Server 2008 R2 |
|
|
Windows Server 2012 |
|
|
Windows 8.1 и Windows Server 2012 R2 |
Настройка групповой политики для добавления почтовых серверов в список разрешенных
-
В меню Пуск выберите пункт Выполнить.
-
Введите gpedit.msc и нажмите кнопку ОК.
-
Раз развернуть конфигурацию компьютера, а затем административные шаблоны.
-
Нажмите кнопку Принтеры.
-
Дважды щелкните пункт Ограничения на печать и выберите параметр Включено.
-
В списке Параметры выберите пункт Пользователи могут только навести указатель на эти серверы и распечатать их, а затем введите в текстовое поле полное имя сервера, разделенное точкой с за semi-colons.
-
В области "Запросы безопасности" зайте их следующим образом:
-
"При установке драйверов для нового подключения": "Показать запрос предупреждения и повышения высоты".
-
"При обновлении драйверов для существующего подключения": "Показать запрос предупреждения и повышения высоты".
-
-
Нажмите кнопку Применить, а затем кнопку ОК.
-
На странице политики Принтеры дважды щелкните пункт Точка упаковки и Печать — утвержденные серверы.
-
Выберите параметр Включено.
-
В области Параметры нажмите кнопку Показать.
-
В каждой строке введите одно полное имя сервера.
-
Нажмите кнопку ОК.
-
Нажмите кнопку Применить, а затем — ОК.
-
Если вы используете автономный клиент, перезапустите его и убедитесь, что эти политики действительно.
-
Если вы используете политики доменов, разодвигайте их на клиенты доменов и убедитесь, что они действительно.
Примечание. После того как вы встроили эти групповые политики, необходимо добавить все серверы принтера в список Ограничения на печать и Точка упаковки и Печать — утвержденные серверы. Это верно независимо от информирования о пакете.
Обновление за октябрь 2016 г.
-
Вопрос. Следует ли удалить предыдущее обновление? А. Нет. Предыдущее обновление исправит эту уязвимость. Обновление за октябрь 2016 г. позволяет администраторам сети устанавливать драйверы, которые они считают безопасными.
-
Вопрос. Даже после установки обновления за октябрь 2016 г. и настройки групповых политик при попытке установить локальный принтер отображается сообщение "Доверяете ли вы этому принтеру". Почему это так? А. Это можно сделать с помощью сетевых принтеров, а не локальных, поэтому ожидается такое поведение.Примечание. Если вы получили сообщение "Доверяете ли вы этому принтеру", замените текущий драйвер с помощью надежного драйвера, совместимого с пакетом, или установите файлы драйвера в локальное хранилище драйверов перед установкой локального принтера. Дополнительные сведения см. в разделе Руководство для администраторов сети.
Получение и установка обновления
Способ 1. Windows обновления
Это обновление доступно в Windows Обновления. Если вы включите автоматическое обновление, это обновление будет скачино и установлено автоматически. Дополнительные сведения о том, как включить автоматическое обновление, см. в этой теме.Примечание. Windows RT 8.1 это обновление доступно только в Windows Обновления.
Вы можете получить автономный пакет обновления через Центр загрузки Майкрософт. Следуйте инструкциям по установке на странице скачивания, чтобы установить обновление.Щелкните ссылку для скачивания в бюллетене по безопасности (Майкрософт) MS16-087, соответствующую Windows запущенной версии.
Дополнительная информация
Windows Справочная таблица для Vista (всех выпусков) В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения.
|
Имена файлов обновления для системы безопасности |
Для всех поддерживаемых 32-Windows Vista: Windows6.0-KB3170455-x86.msu |
|
Для всех поддерживаемых выпусков Windows Vista: Windows6.0-KB3170455-x64.msu |
|
|
Переключатели установки |
|
|
Требование перезагрузки |
В некоторых случаях для обновления не требуется перезапуск системы. Если используются необходимые файлы, это обновление потребует перезапуска системы. В таком случае вы получите сообщение с советом перезапустить систему. |
|
Сведения об удалении |
WUSA.exe не поддерживает обновление. Чтобы удалить обновление, установленное службой UNSA, щелкните Панельуправления и выберите безопасность. В Windows обновлениящелкните Просмотретьустановленные обновления и выберите один из списков обновлений. |
|
Сведения о файлах |
|
|
Проверка ключа реестра |
Примечание. Для проверки наличия этого обновления не существует реестра. |
Windows Справочная таблица Server 2008 (все выпуски) В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения.
|
Имена файлов обновления для системы безопасности |
Для всех поддерживаемых 32-Windows Server 2008: Windows6.0-KB3170455-x86.msu |
|
Для всех поддерживаемых выпусков Windows Server 2008 на базе 64-Windows: Windows6.0-KB3170455-x64.msu |
|
|
Для всех поддерживаемых выпусков Windows Server 2008 на основе Itanium: Windows6.0-KB3170455-ia64.msu |
|
|
Переключатели установки |
|
|
Требование перезагрузки |
В некоторых случаях для обновления не требуется перезапуск системы. Если используются необходимые файлы, это обновление потребует перезапуска системы. В таком случае вы получите сообщение с советом перезапустить систему. |
|
Сведения об удалении |
WUSA.exe не поддерживает обновление. Чтобы удалить обновление, установленное службой UNSA, щелкните Панельуправления и выберите безопасность. В Windows обновлениящелкните Просмотретьустановленные обновления и выберите один из списков обновлений. |
|
Сведения о файлах |
|
|
Проверка ключа реестра |
Примечание. Для проверки наличия этого обновления не существует реестра. |
Windows 7 (все выпуски) Справочная таблица В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения.
|
Имя файла обновления для системы безопасности |
Для всех поддерживаемых 32-Windows 7: Windows6.1-KB3170455-x86.msu |
|
Для всех поддерживаемых выпусков версии 64 на базе Windows 7: Windows6.1-KB3170455-x64.msu |
|
|
Переключатели установки |
|
|
Требование перезагрузки |
В некоторых случаях для обновления не требуется перезапуск системы. Если используются необходимые файлы, это обновление потребует перезапуска системы. В таком случае вы получите сообщение с советом перезапустить систему. |
|
Сведения об удалении |
Чтобы удалить обновление, установленное службой UNSA, используйте переключатель установки /Удалить или щелкните Панель управления ,щелкните Система и безопасность ,выберите Windows Обновить, щелкните Просмотреть установленные обновления ивыберите один из списков обновлений. |
|
Сведения о файлах |
|
|
Проверка ключа реестра |
Примечание. Для проверки наличия этого обновления не существует реестра. |
Windows Справочная таблица Server 2008 R2 (все выпуски) В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения.
|
Имя файла обновления для системы безопасности |
Для всех поддерживаемых выпусков Windows Server 2008 R2: Windows6.1-KB3170455-x64.msu |
|
Для всех поддерживаемых выпусков Windows Server 2008 R2 на основе Itanium: Windows6.1-KB3170455-ia64.msu |
|
|
Переключатели установки |
|
|
Требование перезагрузки |
В некоторых случаях для обновления не требуется перезапуск системы. Если используются необходимые файлы, это обновление потребует перезапуска системы. В таком случае вы получите сообщение с советом перезапустить систему. |
|
Сведения об удалении |
Чтобы удалить обновление, установленное службой UNSA, используйте переключатель установки /Удалить или щелкните Панель управления ,щелкните Система и безопасность ,выберите Windows Обновить, щелкните Просмотреть установленные обновления ивыберите один из списков обновлений. |
|
Сведения о файлах |
|
|
Проверка ключа реестра |
Примечание. Для проверки наличия этого обновления не существует реестра. |
Windows 8.1 (все выпуски) Справочная таблица В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения.
|
Имя файла обновления для системы безопасности |
Для всех поддерживаемых 32-Windows 8.1: Windows8.1-KB3170455-x86.msu |
|
Для всех поддерживаемых выпусков Windows 8.1 x64: Windows8.1-KB3170455-x64.msu |
|
|
Переключатели установки |
|
|
Требование перезагрузки |
В некоторых случаях для обновления не требуется перезапуск системы. Если используются необходимые файлы, это обновление потребует перезапуска системы. В таком случае вы получите сообщение с советом перезапустить систему. |
|
Сведения об удалении |
Чтобы удалить обновление, установленное службой UNSA, используйте переключатель установки /Удалить или щелкните Панель управления ,щелкните Система и безопасность ,выберите Windows Обновить, щелкните Установленные обновления в группе См. также ,а затем выберите один из списков обновлений. |
|
Сведения о файлах |
|
|
Проверка ключа реестра |
Примечание. Для проверки наличия этого обновления не существует реестра. |
Windows Server 2012 и Windows Server 2012 R2 (все выпуски) Справочная таблица В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения.
|
Имя файла обновления для системы безопасности |
Для всех поддерживаемых выпусков Windows Server 2012: Windows8-RT-KB3170455-x64.msu |
|
Для всех поддерживаемых выпусков Windows Server 2012 R2: Windows8.1-KB3170455-x64.msu |
|
|
Переключатели установки |
|
|
Требование перезагрузки |
В некоторых случаях для обновления не требуется перезапуск системы. Если используются необходимые файлы, это обновление потребует перезапуска системы. В таком случае вы получите сообщение с советом перезапустить систему. |
|
Сведения об удалении |
Чтобы удалить обновление, установленное службой UNSA, используйте переключатель установки /Удалить или щелкните Панель управления ,щелкните Система и безопасность ,выберите Windows Обновить, щелкните Установленные обновления в группе См. также ,а затем выберите один из списков обновлений. |
|
Сведения о файлах |
|
|
Проверка ключа реестра |
Примечание. Для проверки наличия этого обновления не существует реестра. |
Windows RT 8.1 (все выпуски) Справочная таблица В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения.
|
Развертывания |
Это обновление доступно только в Windows Update. |
|
Требования к перезапуску |
В некоторых случаях для обновления не требуется перезапуск системы. Если используются необходимые файлы, это обновление потребует перезапуска системы. В таком случае вы получите сообщение с советом перезапустить систему. |
|
Сведения об удалении |
Щелкните Панель управления, выберите Система и безопасность, Windows обновить, а затем в группе См. также щелкните Установленные обновления и выберите один из списков обновлений. |
|
Сведения о файле |
Windows 10 (все выпуски) Справочная таблица В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения.
|
Имя файла обновления для системы безопасности |
Для всех поддерживаемых 32-Windows 10: Windows10.0-KB3163912-x86.msu |
|
Для всех поддерживаемых выпусков Windows 10: Windows10.0-KB3163912-x64.msu |
|
|
Для всех поддерживаемых 32-Windows 10 версии 1511: Windows10.0-KB3172985-x86.msu |
|
|
Для всех поддерживаемых версий версии 1511 на базе Windows 10 x64: Windows10.0-KB3172985-x64.msu |
|
|
Переключатели установки |
|
|
Требование перезагрузки |
В некоторых случаях для обновления не требуется перезапуск системы. Если используются необходимые файлы, это обновление потребует перезапуска системы. В таком случае вы получите сообщение с советом перезапустить систему. |
|
Сведения об удалении |
Чтобы удалить обновление, установленное службой UNSA, используйте переключатель установки /Удалить или щелкните Панель управления ,щелкните Система и безопасность ,выберите Windows Обновить, щелкните Установленные обновления в группе См. также ,а затем выберите один из списков обновлений. |
|
Сведения о файлах |
См. статью базы знаний Майкрософт 3163912 См. статью базы знаний Майкрософт 3172985 |
|
Проверка ключа реестра |
Примечание. Для проверки наличия этого обновления не существует реестра. |
Справка по установке обновлений: поддержка Обновления Майкрософт Решения для ИТ-специалистов: устранение неполадок безопасности и поддержка techNet Справка по защите компьютера Windows от вирусов и вредоносных программ: Антивирусное решение и Центр безопасности Локализованная поддержка в соответствии со своей стране: международная поддержка
