MS12-006: Az SSL/TLS biztonsági rése az adatok kiszivárgását teheti lehetővé: 2012. január 10.

Támogatás és segítségnyújtás a biztonsági frissítéshez

Az otthoni felhasználók az Amerikai Egyesült Államokban és Kanadában díjmentes telefonos támogatást kaphatnak az 1-866-PCSAFETY telefonszámon:

(a helyi telefonszámokról itt tájékozódhat) Más országokban élő ügyfeleinket arra kérjük, lépjenek kapcsolatba a Microsoft helyi képviseletével. A biztonsági frissítésekhez támogatást nyújtó helyi Microsoft-képviseletek elérhetőségéről az alábbi nemzetközi támogatási webhelyen tájékozódhat:

http://support.microsoft.com/common/international.aspx?ln=hu&rdpath=4 Az észak-amerikai ügyfelek továbbá ingyenes és korlátlan e-mailes, illetve csevegőprogramon keresztüli egyedi támogatást is kaphatnak a Microsoft alábbi webhelyén:

https://support.microsoft.com/oas/default.aspx?ln=hu&prid=7552&st=1&wfxredirect=1&sd=gn A vállalati ügyfelek a szokásos támogatási csatornáikon keresztül kaphatnak támogatást a biztonsági frissítésekhez.

Automatikus javítás a TLS 1.1 protokollhoz az Internet Explorer böngészőben

Az automatikus javítás engedélyezéséhez vagy letiltásához kattintson A probléma javítása gombra vagy hivatkozásra az Engedélyezés vagy a Letiltás szakaszcím alatt. Ezután kattintson a Futtatás gombra a Fájl letöltése párbeszédpanelen, és kövesse az automatikus javítási varázsló lépéseit.

Automatikus javítás a TLS 1.1 protokollhoz a Windows-alapú kiszolgálókon

Az automatikus javítás engedélyezéséhez vagy letiltásához kattintson A probléma javítása gombra vagy hivatkozásra az Engedélyezés vagy a Letiltás szakaszcím alatt. Ezután kattintson a Futtatás gombra a Fájl letöltése párbeszédpanelen, és kövesse az automatikus javítási varázsló lépéseit.

A biztonsági frissítéssel kapcsolatos ismert problémák

A biztonsági frissítés telepítését követően néhány HTTP-kiszolgálóval kapcsolatban sikertelen hitelesítést, illetve a kapcsolat megszakadását tapasztalhatja. Ennek a problémának az oka, hogy a biztonsági frissítés módosítja a rekordok küldésének módját a HTTPS-kiszolgálók felé. 

A biztonsági frissítés ideiglenes letiltásához vagy ismételt engedélyezéséhez kattintson a Probléma javítása gombra, illetve a A biztonsági frissítés letiltása vagy a A biztonsági frissítés ismételt engedélyezése alcím alatti hivatkozásra. Ezután kattintson a Futtatás gombra a Fájl letöltése párbeszédpanelen, és kövesse az automatikus javítási varázsló lépéseit.

Megjegyzések

• Előfordulhat, hogy a varázslók csak angol nyelven érhetők el. Az automatikus javítások ugyanakkor a Windows többi nyelvi verziójával is működnek.

• Ha a jelen cikket nem azon a számítógépen tekinti meg, amelyen a problémát tapasztalja, mentse az automatikus javítást egy flash meghajtóra vagy CD lemezre, majd futtassa azon a számítógépen, amelyen a hiba jelentkezik.

A következő táblázat az automatikus javítási megoldások által a beállításjegyzék SendExtraRecord duplaszó-bejegyzésén alkalmazott értékeket mutatja:

A beállításjegyzékkel kapcsolatos információk

Nem ajánlott A biztonsági frissítések letiltása nem ajánlott a következő eljárás használatával. Ennek ellenére elérhetővé tesszük ezt az eljárást azokra a lehetséges esetekre, ha olyan alkalmazásokat használna, amelyek nem kompatibilisek a biztonsági frissítéssel, ami lehetővé teszi osztott SSL-rekordok elérését az összes alkalmazás számára.

Fontos: Az alábbi szakasz, módszer vagy feladat a beállításjegyzék módosítását is magában foglaló lépéseket tartalmaz. A beállításjegyzék helytelen módosítása azonban komoly problémákat okozhat. Ezért ügyeljen az utasítások pontos betartására. A beállításjegyzékről a módosítása előtt célszerű biztonsági másolatot készíteni, hogy szükség esetén visszaállíthassa azt. A beállításjegyzék biztonsági mentéséről és visszaállításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:

322756A beállításjegyzék biztonsági mentése és visszaállítása Windows rendszerben

A frissítés az alkalmazáskompatibilitási problémák miatt az schannel szintjén az engedélyezési módot állítja be alapértelmezés szerint. Ha a rendszer minden alkalmazása számára tiltani szeretné a biztonsági frissítést, adja hozzá a 2 értékű, SendExtraRecord elnevezésű duplaszót a beállításjegyzékbeli következő kulcshoz:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL Az schannel beállításjegyzékbeli bejegyzésének hozzáadásához kövesse az alábbi lépéseket:

1. Kattintson a Start menü Futtatás parancsára, írja be a regedit parancsot a Megnyitás mezőbe, majd kattintson az OK gombra.

2. Keresse meg a következő beállításkulcsot, majd kattintson rá:

   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

3. Mutasson a Szerkesztés menü Új elemére, majd kattintson a Duplaszó parancsra.

4. Adja meg a SendExtraRecord értéket a duplaszó neveként, majd nyomja le az ENTER billentyűt.

5. Kattintson jobb gombbal a SendExtraRecord bejegyzésre, majd kattintson a Módosítás parancsra.

6. Az Érték mezőbe írja be a 2 értéket az schannel osztott rekordjának letiltásához, majd kattintson az OK gombra.

7. Zárja be a beállításszerkesztőt.

Ez a beállításjegyzékbeli bejegyzés három értéket vehet fel, amelyek mindegyike különböző működési módokat tesz elérhetővé:

A belső tesztelés alapján úgy találtuk, hogy a beállításjegyzékbeli érték 1 értékűre állítása nem kivitelezhető, mivel túl sok esetben okoz hibát a vállalati környezetekben. Ezért nem ajánljuk a felhasználók számára a használatát.

A SendExtraRecord beállításjegyzékbeli bejegyzés engedélyezésével kapcsolatos, ismert problémák

• A SendExtraRecord beállításjegyzékbeli bejegyzés 1 értékűre állítása minden adattitkosítási hívásra érvényesíti a rekordok felosztását az schannel esetében. Ez mindenképp megtörténik, akár elküldte a hívó a Biztonságos jelzőt a munkamenet inicializálásakor, akár nem.

• Számos olyan alkalmazás, amely az schannelt használja úgy van megírva, hogy a fogadó oldal feltételezi azt, hogy az alkalmazásadatok egyetlen csomagba lettek csomagolva. Ez annak ellenére is így van, hogy az alkalmazás meghívja az schannelt a visszafejtés érdekében. Az alkalmazások nem veszik figyelembe az schannel által beállított jelzést. A jelző jelzi az alkalmazásnak, hogy további adatok várnak visszafejtésre, illetve fogadó általi fogadásra. Ez a módszer nem követi az schannel használatának az MSDN által előírt módját. Mivel a biztonsági frissítés kényszeríti a rekordok felosztását, ezért ez az ilyen alkalmazások működési hibáját okozza.

• A hibás működésű alkalmazások közé tartoznak a Microsoft termékek és a beépített összetevők. A következő példák olyan helyzeteket mutatnak be, amelyek hibás működést okozhatnak abban az esetben, ha a SendExtraRecord beállításkulcs értéke 1:

• • Minden SQL-termék, illetve olyan alkalmazások, amelyek az SQL-re épülnek.

  • Azok a terminálkiszolgálók, amelyek esetében a hálózati szintű hitelesítés (NLA) be van kapcsolva. Windows Vista és későbbi Windows verziók esetében az NLA alapértelmezés szerint engedélyezve van.

  • Egyes Routing Remote Access Service (RRAS) szolgáltatások folyamatai.

A SendExtraRecord beállításkulcs 1 értékűre állítása kikényszeríti a biztonsági rekordok felosztását minden Windows TLS/SSL protokollt használó alkalmazás esetén. De ez a beállítás okozhat alkalmazáskompatibilitási problémákat. Ezért azt javasoljuk, hogy az ügyfelek konfigurálják a TLS 1.1 és TLS 1.2 protokollokat ennek a beállításjegyzékbeli beállításnak a használata helyett. A TLS 1.1 és a TLS 1.2 a biztonsági rés által nem érintett.

Amennyiben egy felhasználó használni kívánja ezt a beállításjegyzékbeli beállítást, azt javasoljuk, hogy mélyrehatóan vizsgálja meg az alkalmazások kompatibilitását a használata előtt. Néhány azon gyakori termékek közül, amelyekre ez a beállítás hatással lehet: a Microsoft SQL termékek, a Windows Terminálkiszolgáló, valamint a Windows Távelérési kiszolgáló.