MS12-006: Sikkerhetsproblem i SSL/TLS, kan tillate tilgjengeliggjøring av informasjon: 10 januar 2012

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 2643584 - Vis produkter som denne artikkelen gjelder for.
Vis alt | Skjul alt

På denne siden

INTRODUKSJON

Microsoft har gitt ut sikkerhetsbulletin MS12-006. Hvis du vil vise hele sikkerhetsbulletinen, kan du gå til ett av følgende Microsoft-webområder:

Hvordan du får hjelp og støtte for denne sikkerhetsoppdateringen

Hjelp til å installere oppdateringer: Støtte for Microsoft Update

Sikkerhetsløsninger for IT-teknikere: TechNet Security feilsøking og støtte

Beskytte datamaskinen som kjører Windows fra virus og skadelig programvare:Løsning for virus og Sikkerhetssenter

Lokal støtte i henhold til landet ditt: Internasjonal støtte

Løs problemet for meg

To Fix it løsninger er tilgjengelige.
  • Fix it-løsning for Transport Layer Security (TLS) 1.1 i Internet Explorer: denne løsningen gjør det mulig for TLS 1.1, som ikke er berørt av dette sikkerhetsproblemet i Windows Internet Explorer. De fleste vanlige brukere bør installere denne reparasjonen løsning.
  • Fix it-løsning for TLS 1.1 på Windows-baserte servere: denne løsningen gjør det mulig for TLS 1.1, som ikke er berørt av dette sikkerhetsproblemet.
Hurtigreparasjonen it-løsninger som er beskrevet i denne delen ikke er ment som erstatninger for alle sikkerhetsoppdateringer. Vi anbefaler at du alltid installere de nyeste sikkerhetsoppdateringene. Vi tilbyr disse reparasjonen løsninger som løsningen alternativer for noen scenarier.

Hvis du vil ha mer informasjon om løsningene, kan du se sikkerhetsbulletin MS12-006:
http://technet.Microsoft.com/security/bulletin/MS12-006
Denne bulletinen inneholder mer informasjon om problemet og inkluderer følgende:
  • Scenarier som du kan bruke eller deaktivere løsningen
  • Begrensende faktorer
  • Midlertidige løsninger
  • Vanlige spørsmål
Spesielt hvis du vil se denne informasjonen, se etter delen Informasjon om sikkerhetsproblemer , og utvid deretter løsninger -avsnittet under avsnittet SSL- og TLS protokoller sikkerhetsproblemet ? CVE-2011-3389 .

Løs det løsning for TLS 1.1 i Internet Explorer

Aktiver eller Deaktiver denne Fix it-løsning, klikker du knappen Løs det eller koble under aktivereeller deaktivere overskriften. Kjør i den nedlasting dialogboksen boksen, og deretter følger du trinnene i reparasjonen den veiviseren.
Skjul denne tabellenVis denne tabellen
AktiverDeaktiver
Løs dette problemet!
Microsoft Fix it 50773
Løs dette problemet!
Microsoft Fix it 50772

Notater

  • Disse veiviserne kan være på engelsk. Automatiske løser imidlertid også arbeidet for andre språkversjoner av Windows.
  • Hvis du ikke bruker datamaskinen som har problemet, kan du lagre den automatiske reparasjonen på en flash-stasjon eller en CD, og deretter kan du kjøre den på datamaskinen som har problemet.

Løs det løsning for TLS 1.1 på Windows-baserte servere

Aktiver eller Deaktiver denne Fix it-løsning, klikker du knappen Løs det eller koble under aktivereeller deaktivere overskriften. Kjør i den <b00> </b00>nedlasting dialogboksen boksen, og deretter følger du trinnene i reparasjonen den veiviseren.
Skjul denne tabellenVis denne tabellen
AktiverDeaktiver
Løs dette problemet!
Microsoft Fix it 50774
Løs dette problemet!
Microsoft Fix it 50775

Notater

  • Disse veiviserne kan være på engelsk. Automatiske løser imidlertid også arbeidet for andre språkversjoner av Windows.
  • Hvis du ikke bruker datamaskinen som har problemet, kan du lagre den automatiske reparasjonen på en flash-stasjon eller en CD, og deretter kan du kjøre den på datamaskinen som har problemet.

Kjente problemer med denne sikkerhetsoppdateringen

Når du har installert denne sikkerhetsoppdateringen, kan det oppstå godkjenningsfeil eller tap av tilkobling til noen HTTPS-servere. Dette problemet oppstår fordi denne sikkerhetsoppdateringen endrer måten som registrerer sendes til HTTPS-servere.

Å midlertidig deaktivere eller aktivere denne sikkerhetsoppdateringen, klikker du knappen løsning eller koble den <b00> </b00>deaktivere sikkerhetsoppdateringeneller aktivere sikkerhetsoppdateringen overskrift. Klikk Kjør i den nedlasting dialogboksen boksen, og deretter følger du trinnene i reparasjonen denne veiviseren.
Skjul denne tabellenVis denne tabellen
Deaktivere sikkerhetsoppdateringen Aktivere sikkerhetsoppdateringen på nytt
Løs dette problemet!
Microsoft Fix it 50824
Løs dette problemet!
Microsoft Fix it 50825
Notater
  • Disse veiviserne kan være på engelsk. Automatiske løser imidlertid også arbeidet for andre språkversjoner av Windows.
  • Hvis du ikke bruker datamaskinen som har problemet, kan du lagre den automatiske reparasjonen på en flash-stasjon eller en CD, og deretter kan du kjøre den på datamaskinen som har problemet.
Den følgende tabellen viser verdiene som brukes av disse reparasjonen løsninger i SendExtraRecord -registeret DWORD-oppføringen:
Skjul denne tabellenVis denne tabellen
Overskrift Verdien som brukes til posten for SendExtraRecord
Deaktivere sikkerhetsoppdateringen 2
Aktivere sikkerhetsoppdateringen på nytt 0
Merk SendExtraRecord -innstillingen vil bli inkludert i fremtidige versjoner av Windows.

Kjente problemer og vil ha mer informasjon om denne sikkerhetsoppdateringen

Følgende artikler inneholder mer informasjon om denne sikkerhetsoppdateringen i forhold til individuelle produktversjoner. Artiklene kan inneholde informasjon om kjente problemer. Hvis dette er tilfellet, er det kjente problemet oppført under hver artikkel-kobling:
  • 2585542 MS12-006: Beskrivelse av sikkerhetsoppdateringen for Webio Winhttp og schannel i Windows: 10 januar 2012
  • 2638806 MS12-006: Beskrivelse av sikkerhetsoppdateringen for Winhttp i Windows Server 2003 og Windows XP Professional x 64 Edition: 10 januar 2012

Registerinformasjon

Ikke anbefalt Vi anbefaler ikke at du bruker følgende fremgangsmåte for å deaktivere denne sikkerhetsoppdateringen. Vi tilbyr imidlertid denne prosedyren for scenarier der du bruker programmer som ikke er kompatible med denne sikkerhetsoppdateringen, som gjør at del SSL poster for alle programmer.

Viktig Denne delen, metoden eller oppgaven inneholder fremgangsmåter for hvordan du endrer registret. Det kan imidlertid oppstå alvorlige problemer hvis du endrer registeret feilaktig. Sørg derfor for at du følger disse trinnene nøye. For ekstra beskyttelse kan du ta sikkerhetskopi av registret før du endrer det. Deretter kan du gjenopprette registret hvis det oppstår et problem. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registret, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
322756Slik sikkerhetskopierer og gjenoppretter registret i Windows


Som standard angir denne sikkerhetsoppdateringen Opt-modus på schannel-nivå på grunn av problemer med programkompatibilitet. Hvis du vil deaktivere denne sikkerhetsoppdateringen for alle programmer hele systemet, må du legge til en DWORD-verdi som har navnetSendExtraRecordog som har en verdi på 2 til følgende registerundernøkkel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Hvis du vil legge til denne registeroppføringen schannel registret posten, gjør du følgende:
  1. Klikk Start, klikk Kjør, Skriv inn regedit i Åpne -boksen, og klikk deretter OK.
  2. Finn og klikk følgende undernøkkel i registret:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. Velg NyRediger -menyen, og klikk deretter DWORD-verdi.
  4. Type SendExtraRecordnavnet på DWORD-verdien, og trykk deretter Enter.
  5. Høyreklikk SendExtraRecord, og klikk deretter Endre.
  6. I Verdidata -boksen skriver du inn 2 å deaktivere del-oppføringen i schannel, og klikk deretter OK.
  7. Avslutt Registerredigering.
Denne registeroppføringen kan ha tre verdier, og hver verdi gir forskjellige driftsmodi:
Skjul denne tabellenVis denne tabellen
Registernøkkelen for verdi Beskrivelse
0Schannel er som standard inkludert i "Optin-modus. Dette betyr at denne sikkerhetsoppdateringen vil fungere for alle brukere som sender sikre flagg til schannel. "SendExtraRecord" schannel registeroppføringen opprettes ikke av sikkerhetspakken. Derfor betyr ingen schannel-registeroppføringen systemet kjører denne modusen. Hvis noen oppretter denne registernøkkelen og angi verdien til 0, kjøres schannel på nytt i denne modusen.

Denne innstillingen virker på samme måte som å ikke lage denne registeroppføringen i det hele tatt. Programmer som sender en sikker flagg til schannel under session-initialisering vil bare trene fast sikker kodebanen. For andre programmer, vil det være noen endring i virkemåten for schannel.

Denne sikkerhetsoppdateringen løser også programmet lagene som er involvert i weblesing ved hjelp av Internet Explorer til å sende sikre flagget for å beskytte leseren bruksscenarier.

Merk Sikkerhetsoppdatering 2638806 i Windows Server 2003 må være installert for å sikre HTTP-klient programmer thatuse WinHTTP-APIs. Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
2638806 MS12-006: Beskrivelse av sikkerhetsoppdateringen for Winhttp i Windows Server 2003 og Windows XP Professional x 64 Edition: 10 januar 2012
1 Angi verdien til 1 betyr "aktivert for alle." Dette betyr at oppringere trenger ikke å sende flagget, og schannel vil dele alle SSL-poster. Med denne verdien er angitt har ikke programmer til å gjøre endringer. En kunde som er svært bekymret for systemsikkerheten kan gjøre systemet sikrere ved å aktivere denne registernøkkelen.
2 Hvis du setter verdien til 2 betyr deaktivert for alle." Dette betyr at schannel ikke dele oppføringene for kryptering-kall som applikasjonen foretar. Denne modusen ikke overholde sikker flagget som et program sender.
Basert på intern testing, fant vi at du ikke kan praktisk mulig setter registerverdien til 1 fordi den kan ødelegge så mange scenarier i en virksomhet. Derfor forhindre vi brukere fra å bruke den.

Kjente problemer med å aktivere registeroppføringen SendExtraRecord

  • Hvis du setter registerverdien SendExtraRecord til 1 håndhever post deling i hvert kall til å kryptere data i schannel. Dette skjer uansett om oppkalleren sendte sikre flagg under Øktinitialisering.
  • Mange programmer som bruker schannel er skrevet slik at mottakeren siden forutsetter programdata, blir pakket inn i en enkelt pakke. Dette skjer selv om programmet kaller schannel for dekryptering. Programmene ignorere et flagg som er angitt av schannel. Flagget angir programmet at det er mer data som skal dekrypteres og plukket av mottakeren. Denne metoden følger ikke MSDN-Foreskrevet metoden ved hjelp av schannel. Fordi sikkerhetsoppdateringen gir deling av oppføringen, bryter dette slike programmer.
  • Brutt programmer inkluderer Microsoft-produkter og komponenter i boksen. Følgende er eksempler på scenarier som kan være brutt når registerverdien SendExtraRecord er satt til 1:
    • Alle SQL-produkter og programmer som er bygget på SQL.
    • Terminalservere som har aktivert nettverket nivå Authentication (NLA). NLA er som standard aktivert i Windows Vista og senere versjoner av Windows.
    • Noen scenarier distribuere ekstern pålogging (RRAS).

Hvis du setter registerverdien SendExtraRecord til 1 håndhever den sikre post-delingen for alle programmer som bruker Windows TLS/SSL. Denne innstillingen er sannsynlig å ha problemer med programkompatibilitet. Derfor anbefaler vi at kundene konfigurerer TLS 1.1 og 1.2 TLS i stedet for å bruke denne registerinnstillingen. TLS 1.1 og 1.2 TLS, er ikke sårbare overfor dette problemet.

Hvis en bruker har til hensikt å bruke denne registerinnstillingen, anbefaler vi at de omfattende tester testingen av programkompatibiliteten før de implementerer den. Noen vanlige produkter som kan påvirkes av denne innstillingen, inkluderer Microsoft SQL-produkter, Windows Terminal Server og Windows Server for ekstern pålogging.

VANLIGE SPØRSMÅL

Q: Hva kan Microsoft gjøre for å hjelpe meg løse serversiden programmet?
A: Kontroller at programmet kan håndtere fragmentering av SSL/TLS programmet poster, som beskrevet i følgende RFCer:

Egenskaper

Artikkel-ID: 2643584 - Forrige gjennomgang: 17. april 2014 - Gjennomgang: 1.0
Informasjonen i denne artikkelen gjelder:
  • Windows 7 Service Pack 1 på følgende plattformer
    • Windows 7 Enterprise
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Home Basic
  • Windows 7 Enterprise
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Home Basic
  • Windows Server 2008 R2 Service Pack 1 på følgende plattformer
    • Windows Server 2008 R2 Datacenter
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Service Pack 2 på følgende plattformer
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003 Service Pack 2 på følgende plattformer
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
Nøkkelord: 
atdownload kbfix kbbug kbexpertiseinter kbsecurity kbsecbulletin kbsecvulnerability kbsurveynew kbmt KB2643584 KbMtno
Maskinoversatt
VIKTIG: Denne artikkelen ble oversatt med maskinoversettelsesprogramvare fra Microsoft og muligens redigert av Microsoft Community via CTF-teknologi i stedet for av en oversetter. Microsoft tilbyr både menneskelig oversatte og maskinoversatte/Community-redigerte artikler, slik at du får tilgang til alle artiklene i vår Knowledge Base på ditt eget språk. En maskinoversatt eller Community-redigert artikkel er imidlertid ikke alltid perfekt. Den kan inneholde feil i vokabular, syntaks eller grammatikk, mye likt en fremmedspråklig som forsøker å snakke språket ditt. Microsoft har ikke ansvar for unøyaktige opplysninger, feil eller skade forårsaket av feilaktig oversettelse av innholdet eller kundenes bruk av informasjonen. Microsoft oppdaterer jevnlig maskinoversettelsesprogramvaren og -verktøyene for å forbedre redigering av maskinoversatte tekster.
Den engelske versjonen av denne artikkelen er den følgende: 2643584

Gi tilbakemelding

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com