Obs!
Den här säkerhetsuppdateringen släpptes den 12 september 2017 på annat sätt för att hantera kända problem i uppdatering 3170455 för CVE-2016-3238.Microsoft har gjort följande uppdateringar tillgängliga för versioner av Microsoft Windows som stöds för närvarande. Mer information finns i följande artikel i Microsoft Knowledge Base:
-
Uppdatering 3170455 för senare Windows Server 2008
-
Månatlig sammanslagning 4038777 och säkerhetsuppdatering 4038779 för Windows 7 och Windows Server 2008 R2
-
Månatlig samlad uppdatering 4038799 och säkerhetsuppdatering 4038786 för Windows Server 2012
-
Månatlig samlad uppdatering 4038792 och säkerhetsuppdatering 4038793 för Windows 8.1 och Windows Server 2012 R2
-
Kumulativ uppdatering 4038781 för Windows 10
-
Kumulativ uppdatering 4038781 för Windows 10 version 1511
-
Kumulativ uppdatering 4038782 för Windows 10 version 1607 och Windows Server 2016
Microsoft rekommenderar att kunder som kör Windows Server 2008 installerar om uppdatering 3170455. Microsoft rekommenderar att kunder som kör andra versioner som stöds Windows installera lämplig uppdatering. Mer information finns i Microsoft Knowledge Base-artikeln 3170455.
Andra ändringar som ingår i MS16-087-versionen
-
Händelseloggning tillagd för att hjälpa till att fastställa orsaken till installationsfel för skrivardrivrutinen
Tidigare var det enda sättet för en kund att ta veta varför en drivrutin misslyckades med de nya begränsningskontrollerna som implementerades som en del av MS16-087 att samla in skriv ut etw-loggar och sedan skicka till Microsoft för analys.
Vi har lagt till funktioner för att logga orsaken till fel i händelseloggaren så att kunderna själva kan undersöka orsaken till drivrutinsfel.
Information som ska loggas:
1. Om en drivrutin inte är paketmedveten eller inte är korrekt signerad loggas följande meddelande:
MSG_CSRSPL_UNTRUSTED_DRIVER:"Utskriftshanteraren kunde inte hämta paket för drivrutin <DriverName>. Felkod= <CodeFromListBelow->. Blockera drivrutinen eftersom det kan finnas en risk för manipulering."
2. Om en drivrutin inte kan validera en signatur med hjälp av den angivna katalogen loggas följande meddelande:
VALIDATEDRVINFO_FAILED: "I VALIDATINGDRVINFO, Adding printer driver <driverName> failed, error code <errorCodeFromListBelow>.
Möjliga felkoder:
|
Kod |
Betydelse |
|
0x800F0243L |
Publisher inte betrodd |
|
0x800F024BL |
Hash-kod som inte finns i katalogen |
|
0x800F022FL |
Ingen katalog för OEM INF |
|
0x800F023FL |
Ingen authenticode-katalog |
|
0x800F0240L |
Authenticode är inte tillåtet |
|
0x800F0249L |
Allmänt "Drivrutinsinstallation blockerad" |
Sammanfattning
Den här säkerhetsuppdateringen löser säkerhetsproblem i Microsoft Windows. Ju mer allvarligt säkerhetsproblemen är, kan det gå att köra fjärrkod om en attackerare kan utföra en MiTM-attack (man-in-the-middle) på en arbetsstation eller utskriftsserver, eller konfigurera en falsk utskriftsserver i ett målnätverk.Mer information om problemet finns i Microsofts säkerhetsbulletin MS16-087.
Mer information
Viktigt!
-
När du har installerat den här säkerhetsuppdateringen måste du använda följande samlad Windows Windows Server 2012 Windows 8-uppdatering för att distribuera Point- och Print-drivrutiner från utskriftsservrarna till klienterna:
3000850 Samlad uppdatering för november 2014 Windows RT 8.1, Windows 8.1 och Windows Server 2012 R2
-
Alla framtida säkerhets- och icke-säkerhetsuppdateringar för Windows RT 8.1, Windows 8.1 och Windows Server 2012 R2 kräver uppdatering 2919355 för att installeras. Vi rekommenderar att du installerar uppdatering 2919355 på en Windows RT 8.1-baserad, Windows 8.1-baserad eller Windows Server 2012 R2-baserad dator så att du får framtida uppdateringar.
-
Om du installerar ett språkpaket efter att du har installerat uppdateringen måste du installera om den här uppdateringen. Därför rekommenderar vi att du installerar de språkpaket du behöver innan du installerar den här uppdateringen. Mer information finns i Lägga till språkpaket i Windows.
Ytterligare information om den här säkerhetsuppdateringen
Följande artiklar innehåller ytterligare information om den här säkerhetsuppdateringen när den gäller enskilda produktversioner. Artiklarna kan innehålla information om ett känt problem.
-
3170455 MS16-087: Beskrivning av säkerhetsuppdateringen för Windows utskriftshanteraren- komponenter: 12 juli 2016
-
3163912 Kumulativ uppdatering för Windows 10: 12 juli 2016
-
3172985 Kumulativ uppdatering för Windows 10 version 1511 och Windows Server 2016 Technical Preview 4: 12 juli 2016
Kända problem
Om du använder nätverksutskrift i din miljö kan något av följande problem uppstå:
-
Du kanske får en varning om att installera en skrivardrivrutin, eller så kanske drivrutinen inte kan installeras utan meddelande när du har installerat MS16-087. Symptom här beror på det specifika scenariot.
Scenario 1 För icke paketerbara v3-skrivardrivrutiner kan följande varningsmeddelande visas när användare försöker ansluta till punkt- och skrivarskrivare:
Scenario 2 Paketmedveten drivrutiner måste vara signerade med ett betrott certifikat. Verifieringsprocessen kontrollerar om alla filer som ingår i drivrutinen har hashkodats i katalogen. Om verifieringen misslyckas anses drivrutinen vara opålitlig. I det här fallet är drivrutinsinstallationen blockerad och följande varningsmeddelande visas:
Scenario 3 För icke-interaktiva scenarier (skrivaren installeras till exempel via ett automatiserat skript), om skrivardrivrutinen matchar de villkor som beskrivs i antingen Scenario 1 eller Scenario 2, misslyckas skrivarinstallationen och inget varningsmeddelande visas.I sådana fall kontaktar du nätverksadministratören och skaffar en uppdaterad drivrutin från skrivartillverkaren.Vägledning för nätverksadministratörer:
-
Uppdatera den skrivardrivrutin som påverkas. Paket medvetna V3-skrivardrivrutiner introducerades i Windows Vista. Du kan lösa problemet genom att installera en paketmedveten skrivardrivrutin.
-
Om en äldre skrivare inte har rätt skrivardrivrutin tillgänglig kan du lösa problemet genom att installera om skrivardrivrutinen med problem på klientsystemet.
Mer information om de här scenarierna finns i följande Microsoft-resurser:
-
-
När du har installerat säkerhetsuppdateringen MS16-087 (KB 3170455)och försöker ansluta till en betrodd paketmedveten skrivare som är installerad på ett system med Windows 8.1 eller Windows Server 2012 R2 kan du inte ansluta till skrivaren.Lös problemet genom att använda följande Windows samlad uppdatering på Windows 8.1- Windows Server 2012 R2-skrivarservern:
3000850 Samlad uppdatering för november 2014 Windows RT 8.1, Windows 8.1 och Windows Server 2012 R2
Oktoberuppdateringen 2016: Minskning av kända problem
Microsoft har släppt en uppdatering för oktober 2016 som låter nätverksadministratörer konfigurera principer som tillåter installation av skrivardrivrutiner som de anser är säkra. Den här uppdateringen gör det också möjligt för nätverksadministratörer att distribuera skrivaranslutningar som de anser vara säkra.Uppdateringarna finns i följande återställningspaket.
|
Windows 10 RTM |
|
|
Windows 10 1511 |
|
|
Windows 10 1607 |
|
|
Windows 7 och Windows Server 2008 R2 |
|
|
Windows Server 2012 |
|
|
Windows 8.1 och Windows Server 2012 R2 |
Konfigurera grupprincip för att lägga till utskriftsservrar i listan över tillåtna
-
Klicka på Start och därefter på Kör.
-
Skriv gpedit.msc och klicka sedan på OK.
-
Expandera Datorkonfiguration och expandera sedan Administrativa mallar.
-
Klicka på Skrivare.
-
Dubbelklicka på Punkt- och utskriftsbegränsningar och välj sedan alternativet Aktiverad.
-
Markera kryssrutan Användare kan endast peka och skriva ut på de här servrarna under Alternativ och skriv sedan in det fullständigt kvalificerade servernamnen i textrutan, avgränsade med semikolon.
-
Under Säkerhetsupptolken ställer du in dem på följande sätt:
-
"När du installerar drivrutiner för en ny anslutning": "Visa varning och höjd-fråga".
-
"När du uppdaterar drivrutiner för en befintlig anslutning": "Visa varnings- och höjdfråga".
-
-
Klicka på Använd och sedan på OK.
-
Dubbelklicka på Paketpunkt och utskrift – godkända servrar på sidan Printers policy.
-
Välj alternativet Aktiverad.
-
Klicka på Visa under Alternativ.
-
Skriv ett fullständigt kvalificerat servernamn på varje rad.
-
Klicka på OK.
-
Klicka på Använd och sedan på OK.
-
Om du använder en fristående klient startar du om klienten och kontrollerar att principerna är i kraft.
-
Om du använder domänprinciper push-push-principer till domänklienterna och kontrollerar sedan att dessa principer är i kraft.
Obs! När du har aktivera de här gruppprinciperna måste du lägga till alla skrivarservrar till både listan Pekare och Utskriftsbegränsningar och Paketpunkt och Skriv ut – Godkänd server. Detta gäller oavsett paketets information.
Vanliga frågor och svar om uppdateringen för oktober 2016
-
F: Ska vi avinstallera den föregående uppdateringen? S: Nej. I föregående uppdatering åtgärdas problemet. Uppdateringen från oktober 2016 ger nätverksadministratörer möjlighet att installera drivrutiner som de anser vara säkra.
-
F: Även om uppdateringen från oktober 2016 är installerad och grupprinciperna har konfigurerats visas meddelandet "Litar du på den här skrivaren" fortfarande när jag försöker installera en lokal skrivare. Varför är det? S: Den här begränsningen riktar in nätverksskrivare och inte lokala skrivare, så det här beteendet är normalt.Obs! Om du får meddelandet "Litar du på den här skrivaren" ersätter du antingen den aktuella drivrutinen med hjälp av en betrodd paketmedveten drivrutin eller så installerar du drivrutinsfilerna i den lokala drivrutinsbutiken innan du installerar den lokala skrivaren. Mer information finns i avsnittet Vägledning för nätverksadministratörer.
Hämta och installera uppdateringen
Metod 1: Windows uppdatering
Den här uppdateringen är tillgänglig via Windows Uppdatering. När du aktiverar automatisk uppdatering laddas den här uppdateringen ned och installeras automatiskt. Mer information om hur du aktiverar automatisk uppdatering finns i Hämta säkerhetsuppdateringar automatiskt.Obs! Windows RT 8.1 är den här uppdateringen endast tillgänglig Windows via uppdatering.
Du kan hämta det fristående uppdateringspaketet via Microsoft Download Center. Installera uppdateringen genom att följa installationsanvisningarna på nedladdningssidan.Klicka på nedladdningslänken i Microsoft Security Bulletin MS16-087 som motsvarar den version av Windows du använder.
Mer information
Windows Referenstabell för Vista (alla utgåvor) Följande tabell innehåller information om säkerhetsuppdateringen för den här programvaran.
|
Namn på säkerhetsuppdateringar |
För alla 32-bitars utgåvor av Windows Vista som stöds: Windows6.0-KB3170455-x86.msu |
|
För alla x64-baserade utgåvor av Windows Vista: Windows6.0-KB3170455-x64.msu |
|
|
Installationsväxlar |
|
|
Krav för omstart |
I vissa fall krävs ingen omstart av systemet för den här uppdateringen. Om de filer som krävs används måste du starta om systemet för den här uppdateringen. Om detta inträffar får du ett meddelande om att starta om systemet. |
|
Information om borttagning |
WUSA.exe har inte stöd för att avinstallera uppdateringar. Om du vill avinstallera en uppdatering som har installerats av WUSA klickar du på Kontrollpanelenoch sedan på Säkerhet. Under Windows påUppdatera klickar du på Visa installeradeuppdateringar och väljer sedan i listan med uppdateringar. |
|
Filinformation |
|
|
Verifiering av registernyckel |
Obs! Det finns ingen registernyckel för att verifiera förekomsten av den här uppdateringen. |
Windows Referenstabell för Server 2008 (alla utgåvor) Följande tabell innehåller information om säkerhetsuppdateringen för den här programvaran.
|
Namn på säkerhetsuppdateringar |
För alla 32-bitars utgåvor av Windows Server 2008 som stöds: Windows6.0-KB3170455-x86.msu |
|
För alla x64-baserade utgåvor av Windows Server 2008 som stöds: Windows6.0-KB3170455-x64.msu |
|
|
För alla Itanium-baserade utgåvor av Windows Server 2008: Windows6.0-KB3170455-ia64.msu |
|
|
Installationsväxlar |
|
|
Krav för omstart |
I vissa fall krävs ingen omstart av systemet för den här uppdateringen. Om de filer som krävs används måste du starta om systemet för den här uppdateringen. Om detta inträffar får du ett meddelande om att starta om systemet. |
|
Information om borttagning |
WUSA.exe har inte stöd för att avinstallera uppdateringar. Om du vill avinstallera en uppdatering som har installerats av WUSA klickar du på Kontrollpanelenoch sedan på Säkerhet. Under Windows påUppdatera klickar du på Visa installeradeuppdateringar och väljer sedan i listan med uppdateringar. |
|
Filinformation |
|
|
Verifiering av registernyckel |
Obs! Det finns ingen registernyckel för att verifiera förekomsten av den här uppdateringen. |
Windows 7 (alla utgåvor) Referenstabell Följande tabell innehåller information om säkerhetsuppdateringen för den här programvaran.
|
Namn på säkerhetsuppdateringsfil |
För alla 32-bitarsversionerna av Windows 7 som stöds: Windows6.1-KB3170455-x86.msu |
|
För alla x64-baserade utgåvor av Windows 7: Windows6.1-KB3170455-x64.msu |
|
|
Installationsväxlar |
|
|
Krav för omstart |
I vissa fall krävs ingen omstart av systemet för den här uppdateringen. Om de filer som krävs används måste du starta om systemet för den här uppdateringen. Om detta inträffar får du ett meddelande om att starta om systemet. |
|
Information om borttagning |
Om du vill avinstallera en uppdatering som har installerats av WUSA använder du växeln /Uninstall setup eller klickar på Kontrollpanelen,klickar på Systemoch säkerhet, klickar på Windows Update, klickar påVisa installerade uppdateringar och väljer sedan i listan med uppdateringar. |
|
Filinformation |
|
|
Verifiering av registernyckel |
Obs! Det finns ingen registernyckel för att verifiera förekomsten av den här uppdateringen. |
Windows Referenstabell för Server 2008 R2 (alla utgåvor) Följande tabell innehåller information om säkerhetsuppdateringen för den här programvaran.
|
Namn på säkerhetsuppdateringsfil |
För alla x64-baserade utgåvor av Windows Server 2008 R2 som stöds: Windows6.1-KB3170455-x64.msu |
|
För alla Itanium-baserade utgåvor av Windows Server 2008 R2: Windows6.1-KB3170455-ia64.msu |
|
|
Installationsväxlar |
|
|
Krav för omstart |
I vissa fall krävs ingen omstart av systemet för den här uppdateringen. Om de filer som krävs används måste du starta om systemet för den här uppdateringen. Om detta inträffar får du ett meddelande om att starta om systemet. |
|
Information om borttagning |
Om du vill avinstallera en uppdatering som har installerats av WUSA använder du växeln /Uninstall setup eller klickar på Kontrollpanelen,klickar på Systemoch säkerhet, klickar på Windows Update, klickar påVisa installerade uppdateringar och väljer sedan i listan med uppdateringar. |
|
Filinformation |
|
|
Verifiering av registernyckel |
Obs! Det finns ingen registernyckel för att verifiera förekomsten av den här uppdateringen. |
Windows 8.1 (alla utgåvor) Referenstabell Följande tabell innehåller information om säkerhetsuppdateringen för den här programvaran.
|
Namn på säkerhetsuppdateringsfil |
För alla 32-bitarsversionerna av Windows 8.1 som stöds: Windows8.1-KB3170455-x86.msu |
|
För alla x64-baserade utgåvor av Windows 8.1 som stöds: Windows8.1-KB3170455-x64.msu |
|
|
Installationsväxlar |
|
|
Krav för omstart |
I vissa fall krävs ingen omstart av systemet för den här uppdateringen. Om de filer som krävs används måste du starta om systemet för den här uppdateringen. Om detta inträffar får du ett meddelande om att starta om systemet. |
|
Information om borttagning |
Om du vill avinstallera en uppdatering som har installerats av WUSA använder du växeln /Uninstall setup eller klickar på Kontrollpanelen,klickar på Systemoch säkerhet, klickar på Windows Update, klickar på Installerade uppdateringar underSe även och väljer sedan i listan med uppdateringar. |
|
Filinformation |
|
|
Verifiering av registernyckel |
Obs! Det finns ingen registernyckel för att verifiera förekomsten av den här uppdateringen. |
Windows Server 2012 och Windows Server 2012 R2 (alla utgåvor) Referenstabell Följande tabell innehåller information om säkerhetsuppdateringen för den här programvaran.
|
Namn på säkerhetsuppdateringsfil |
För alla versioner av Windows Server 2012: Windows8-RT-KB3170455-x64.msu |
|
För alla versioner av Windows Server 2012 R2 som stöds: Windows8.1-KB3170455-x64.msu |
|
|
Installationsväxlar |
|
|
Krav för omstart |
I vissa fall krävs ingen omstart av systemet för den här uppdateringen. Om de filer som krävs används måste du starta om systemet för den här uppdateringen. Om detta inträffar får du ett meddelande om att starta om systemet. |
|
Information om borttagning |
Om du vill avinstallera en uppdatering som har installerats av WUSA använder du växeln /Uninstall setup eller klickar på Kontrollpanelen,klickar på Systemoch säkerhet, klickar på Windows Update, klickar på Installerade uppdateringar underSe även och väljer sedan i listan med uppdateringar. |
|
Filinformation |
|
|
Verifiering av registernyckel |
Obs! Det finns ingen registernyckel för att verifiera förekomsten av den här uppdateringen. |
Windows RT 8.1 (alla utgåvor) Referenstabell Följande tabell innehåller information om säkerhetsuppdateringen för den här programvaran.
|
Distribution |
Den här uppdateringen är endast Windows via uppdatering. |
|
Krav för omstart |
I vissa fall krävs ingen omstart av systemet för den här uppdateringen. Om de filer som krävs används måste du starta om systemet för den här uppdateringen. Om detta inträffar får du ett meddelande om att starta om systemet. |
|
Information om borttagning |
Klicka på Kontrollpanelen, klicka på System och säkerhet, klicka Windows Uppdatera och klicka sedan på Installerade uppdateringar under Se även och välj i listan med uppdateringar. |
|
Filinformation |
Windows 10 (alla utgåvor) Referenstabell Följande tabell innehåller information om säkerhetsuppdateringen för den här programvaran.
|
Namn på säkerhetsuppdateringsfil |
För alla 32-bitars utgåvor av Windows 10: Windows10.0-KB3163912-x86.msu |
|
För alla x64-baserade utgåvor av Windows 10: Windows10.0-KB3163912-x64.msu |
|
|
För alla 32-bitarsversionerna av Windows 10 version 1511 som stöds: Windows10.0-KB3172985-x86.msu |
|
|
För alla x64-baserade utgåvor av Windows 10 version 1511 som stöds: Windows10.0-KB3172985-x64.msu |
|
|
Installationsväxlar |
|
|
Krav för omstart |
I vissa fall krävs ingen omstart av systemet för den här uppdateringen. Om de filer som krävs används måste du starta om systemet för den här uppdateringen. Om detta inträffar får du ett meddelande om att starta om systemet. |
|
Information om borttagning |
Om du vill avinstallera en uppdatering som har installerats av WUSA använder du växeln /Uninstall setup eller klickar på Kontrollpanelen,klickar på Systemoch säkerhet, klickar på Windows Update, klickar på Installerade uppdateringar underSe även och väljer sedan i listan med uppdateringar. |
|
Filinformation |
Se Microsoft Knowledge Base-artikeln 3163912 Se Microsoft Knowledge Base-artikeln 3172985 |
|
Verifiering av registernyckel |
Obs! Det finns ingen registernyckel för att verifiera förekomsten av den här uppdateringen. |
Hjälp för installation av uppdateringar: Support för Microsoft Update Säkerhetslösningar för IT-tekniker: TechNet säkerhetsfelsökning och support Hjälp för att skydda Windows dator från virus och skadlig programvara: Viruslösning och Säkerhetscenter Lokal support enligt ditt land: internationell support
