עלון יידוע של Microsoft בנושא אבטחה: עדכון עבור אורך מינימלי של מפתח אישור

תרגומי מאמרים תרגומי מאמרים
Article ID: 2661254 - View products that this article applies to.
הרחב הכל | כווץ הכל

On This Page

מבוא

Microsoft פרסמה עלון יידוע של Microsoft בנושא אבטחה המיועד לאנשי IT. עלון יידוע זה מכריז שהשימוש באישורי RSA עם מפתחות שאורכם פחות מ- 1024 סיביות ייחסם. כדי להציג את עלון היידוע בנושא אבטחה, בקר באתר האינטרנט הבא של Microsoft:
http://technet.microsoft.com/en-us/security/advisory/2661254
כדי להפחית את הסיכון של חשיפה לא מורשית של מידע רגיש, Microsoft פרסמה עדכון שאינו עדכון אבטחה (KB 2661254) עבור כל הגירסאות הנתמכות של Microsoft Windows. עדכון זה יחסום מפתחות הצפנה שאורכם פחות מ- 1024 סיביות. עדכון זה אינו חל על Windows 8 Release Preview או Windows Server 2012 Release Candidate מכיוון שמערכות הפעלה אלה כבר כוללות את הפונקציונליות לחסימה של השימוש במפתחות RSA חלשים שאורכם פחות מ- 1024 סיביות.

מידע נוסף

החוזק של אלגוריתמים של הצפנה המבוססים על מפתחות ציבוריים נקבע על-ידי הזמן הנדרש לגזור את המפתח הפרטי באמצעות שיטות של כוח גס. האלגוריתם נחשב לחזק מספיק כאשר הזמן הדרוש לגזירת מפתח פרטי הוא מגביל מספיק באמצעות שימוש בכוח המחשוב הזמין. מגוון האיומים ממשיך להתפתח. לפיכך, Microsoft מקשיחה עוד יותר את הקריטריונים של אלגוריתם RSA עם אורכי מפתחות שלא עולים על 1024 סיביות.

לאחר החלת העדכון, רק שרשראות אישורים שנבנו באמצעות הפונקציה CertGetCertificateChain מושפעות. CryptoAPI בונה שרשרת אמון של אישורים ומאמת שרשרת זו באמצעות תקיפות זמן, אישור מבוטל ומדיניות אישורים (כגון מטרות מיועדות). העדכון מטמיע בדיקה נוספת כדי להבטיח שלאף אישור בשרשרת אין אורך מפתח RSA של פחות מ- 1024 סיביות.

מידע על החלפה של עדכון

עדכון זה מחליף את העדכון שלהלן:
2677070 מעדכן אוטומטי של אישורים שנשללו זמין עבור Windows Vista, Windows Server 2008, Windows 7 ו- Windows Server 2008 R2

בעיות מוכרות בעדכון אבטחה זה

לאחר החלת העדכון:
  • דרושה הפעלה מחדש.
  • רשות אישורים (CA) לא יכולה להנפיק אישורי RSA שאורך המפתח שלהם הוא פחות מ- 1024 סיביות.
  • שירות CA (certsvc) לא יכול להתחיל כאשר CA משתמש באישור RSA עם אורך מפתח קצר מ- 1024 סיביות.
  • Internet Explorer לא יאפשר גישה לאתר אינטרנט המאובטח באמצעות אישור RSA עם אורך מפתח פחות מ- 1024 סיביות.
  • לא ניתן להשתמש ב- Outlook 2010 כדי להצפין דואר אם הוא משתמש באישור RSA שאורך המפתח שלו קצר מ- 1024 סיביות. עם זאת, דואר אלקטרוני שכבר הוצפן באמצעות אישור RSA עם אורך מפתח קצר מ- 1024 סיביות ניתן לפענוח לאחר התקנת העדכון.
  • לא ניתן להשתמש ב- Outlook 2010 כדי להוסיף חתימה דיגיטלית לדואר אלקטרוני אם הוא משתמש באישור RSA שאורך המפתח שלו קצר מ- 1024 סיביות.
  • כאשר דואר אלקטרוני מתקבל ב- Outlook 2010 עם חתימה דיגיטלית או שהוא מוצפן באמצעות אישור RSA עם אורך מפתח קצר מ- 1024 סיביות, המשתמש מקבל שגיאה שמצהירה שהאישור לא מהימן. המשתמש עדיין יכול להציג את הדואר האלקטרוני המוצפן או החתום.
  • Outlook 2010 לא יכול להתחבר לשרת Microsoft Exchange שמשתמש באישור RSA עם אורך מפתח קצר מ- 1024 סיביות עבור SSL/TLS. השגיאה הבאה מוצגת: "מידע שתחליף עם אתר זה לא ניתן להצגה או לשינוי על-ידי אחרים. עם זאת, יש בעיה באישור האבטחה של האתר. אישור האבטחה אינו חוקי. אין לבטוח באתר זה."
  • אזהרות אבטחה של "מפרסם לא ידוע" מדווחות, אך ניתן להמשיך בהתקנה במקרים הבאים:
    • חתימות Authenticode שכוללות חותמת זמן מ-1 בינואר, 2010 ואילך שחתומות עם אישור באמצעות אישור RSA עם אורך מפתח קצר מ- 1024 סיביות מופיעות.
    • מתקינים חתומים שנחתמו באמצעות אישור RSA עם אורך מפתח קצר מ- 1024 סיביות.
    • פקדי ActiveX שנחתמו באמצעות אישור RSA עם אורך מפתח קצר מ- 1024 סיביות. פקדי Active X שכבר הותקנו לפני התקנת עדכון זה לא יושפעו.
  • מחשבי System Center HP-UX PA-RISC העושים שימוש באישור RSA עם אורך מפתח של 512 סיביות ייצרו התראות פעימה וכל הניטורים של Operations Manager במחשבים ייכשלו. "שגיאת אישור SSL" תיווצר גם היא עם התיאור "אימות אישור חתום". כמו כן, Operations Manager לא יגלה מחשבי HP-UX PA-RISC חדשים עקב שגיאת "אימות אישור חתום". ללקוחות של System Center עם מחשבי HP-UX PA-RISC מומלץ להנפיק מחדש אישורי RSA עם אורכי מפתח של 1024 סיביות לפחות. למידע נוסף, עבור לדף האינטרנט הבא של TechNet:
    חשוב: מחשבי HP-UX PA-RISC שנוטרו על-ידי Operations Manager יתקלו בכשלי פעימה וניטור לאחר עדכון Windows מאוחר יותר
הערה הצפנת EFS לא מושפעת מעדכון זה.

גילוי אישורי RSA עם אורכי מפתח פחות מ- 1024 סיביות

יש ארבע שיטות עיקריות כדי לגלות אם אישורי RSA עם מפתחות קצרים מ- 1024 סיביות נמצאים בשימוש:
  • בדיקת אישורים ונתיבי אישור באופן ידני
  • שימוש בכניסת CAPI2
  • בדיקת תבניות אישורים
  • הפיכת כניסה למחשבים שבהם העדכון הותקן לזמינה

בדיקת אישורים ונתיבי אישור באופן ידני

ניתן לבדוק אישורים באופן ידני על-ידי פתיחתם והצגת הסוג, אורך המפתח ונתיב האישור שלהם. ניתן לעשות זאת על ידי הצגה (בדרך כלל לחיצה כפולה) של כל אישור שהונפק באופן פנימי. בכרטיסיה נתיב אישור, לחץ על הצג אישור עבור כל אישור בשרשרת כדי להבטיח שכל אישורי ה- RSA משתמשים באורכי מפתח של 1024 סיביות לפחות.

לדוגמה, האישור באיור הבא הונפק לבקר תחום (2003DC.adatum.com) מ- Enterprise Root CA בשם AdatumRootCA. ניתן לבחור את האישור AdatumRootCA בכרטיסיה נתיב אישור.

כווץ את התמונההרחב את התמונה
2796263


כדי להציג את האישור AdatumRootCA, לחץ על הצג אישור. בחלונית פרטים, בחר באפשרות מפתח ציבורי כדי לראות את גודל המפתח, בהתאם למוצג באיור הבא.

כווץ את התמונההרחב את התמונה
2796264


אישור RSA של AdatumRootCA בדוגמה זו הוא באורך 2048 סיביות.

שימוש בכניסת CAPI2

במחשבים שבהם פועל Windows Vista או Windows Server 2008 או גירסאות חדשות יותר של Windows, ניתן להשתמש בכניסת CAPI2 כדי לסייע בזיהוי מפתחות שהאורך שלהם הוא פחות מ- 1024 סיביות. לאחר מכן ניתן לאפשר למחשבים לבצע את הפעולות הרגילות ולבדוק מאוחר יותר את היומן כדי לסייע בזיהוי מפתחות שאורכם קצר מ- 1024 סיביות. לאחר מכן תוכל להשתמש במידע זה כדי לעקוב אחר מקורות האישורים ולבצע את העדכונים הנדרשים.

לשם כך, עליך להפוך לזמין רישום יומן אבחוני verbose. כדי להפעיל רישום ביומן במצב verbose, בצע את הפעולות הבאות:

1. פתח את עורך הרישום (Regedit.exe).

2. נווט למפתח הרישום הבא:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crypt32


3. הוסף ערך DWORD (32 סיביות) DiagLevel עם ערך של 0x00000005.

4. הוסף ערך QWORD (64 סיביות) DiagMatchAnyMask עם ערך של 0x00ffffff.

כווץ את התמונההרחב את התמונה
2796265


לאחר שתבצע פעולות אלה, תוכל להפוך לזמין רישום ביומן תפעולי של CAPI2 במציג האירועים. רישום ביומן תפעולי של CAPI2 ממוקם תחת יומני יישומים ושירותים, Microsoft, Windows ו- CAPI2 במציג האירועים. כדי לאפשר רישום ביומן, לחץ באמצעות לחצן העכבר הימני על היומן תפעולי, לחץ על הפוך יומן לזמין ולאחר מכן לחץ על סנן יומן נוכחי. לחץ על הכרטיסייה XML ולאחר מכן לחץ כדי לסמן את תיבת הסימון ערוך שאילתה באופן ידני.
כווץ את התמונההרחב את התמונה
2796266


לאחר איסוף היומן, ניתן להשתמש במסנן הבא כדי להפחית את מספר הערכים שבהם עליך לחפש כדי למצוא פעולות אישורים עם מפתחות שאורכם קצר מ- 1024 סיביות. המסנן הבא מחפש מפתחות באורך 512 סיביות.

<QueryList>

<Query Id="0" Path="Microsoft-Windows-CAPI2/Operational">

<Select Path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]]</Select>

</Query>

</QueryList>

כווץ את התמונההרחב את התמונה
2796267


ניתן גם לבצע שאילתה לאורכי מפתחות מרובים באמצעות שאילתה יחידה. לדוגמה, המסנן הבא מבצע שאילתה של מפתחות באורך 384 סיביות ומפתחות באורך 512 סיביות.

<QueryList>

<Query Id="0" Path="Microsoft-Windows-CAPI2/Operational">

<Select Path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='384']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]] or Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]]</Select>

</Query>

</QueryList>

בדיקת תבניות אישורים

כעת תוכל להפעיל את השאילתה הבאה ברשויות האישורים (CA) כדי לגלות תבניות אישורים שמשתמשות במפתחות קצרים מ- 1024 סיביות:

certutil -dstemplate | findstr "[ msPKI-Minimal-Key-Size" | findstr /v "1024 2048 4096"

הערה עליך להפעיל את הפקודה בכל יער בארגון.

אם תפעיל שאילתה זו, תבניות המשתמשות במפתחות קצרים מ- 1024 סיביות יוצגו עם גודל המפתח. האיור הבא מראה שלשתיים מהתבניות המובנות, SmartcardLogon ו- SmartcardUser, יש אורכי מפתחות המוגדרים כברירת מחדל עם גודלי מפתח מינימליים של 512 סיביות. ייתכן שתגלה תבניות אחרות ששוכלו עם גודלי מפתח מינימליים קצרים מ- 1024 סיביות.

עבור כל תבנית שתגלה שמאפשרת מפתחות באורך פחות מ- 1024 סיביות, עליך לקבוע אם אפשר להנפיק אישורים כפי שמוצג בסעיף תבניות אישורים של מסוף 'רשות אישורים'.

כווץ את התמונההרחב את התמונה
2796268


הפיכת כניסה למחשבים שבהם העדכון הותקן לזמינה

ניתן להשתמש בהגדרות הרישום כדי להפוך לזמינים מחשבים שהעדכון הוחל בהם כדי לאתר אישורי RSA עם אורכי מפתחות קצרים מ- 1024 סיביות. האפשרות ליישום רישום ביומן מתוארת בסעיף "פתרונות" מכיוון שהיא קשורה בקשר הדוק להגדרות הרישום שבהן ניתן להשתמש כדי לאפשר אורכי מפתחות קצרים מ- 1024 סיביות. עיין בסעיף "מתן אפשרות לאורכי מפתחות קצרים מ- 1024 סיביות על-ידי שימוש בהגדרות רישום" בהמשך מאמר זה לקבלת מידע נוסף על אופן הפיכת רישום ביומן לזמין.

פתרונות

הפתרון העיקרי לכל בעיה שקשורה לחסימת אישור עם אורך מפתח קצר מ- 1024 סיביות הוא יישום אישור גדול יותר (אורך מפתח של 1024 סיביות או יותר). מומלצים למשתמשים ליישם אישורים עם אורך מפתח של 2048 סיביות לפחות.

הגדלת גודל המפתח באישורים שהונפקו דרך הרשמה אוטומטית של אישורים

עבור תבניות שהנפיקו אישורי RSA עם אורכי מפתחות קצרים מ- 1024 סיביות, עליך לשקול הגדלה של גודל המפתח המינימלי להגדרה של 1024 סיביות לפחות. ההנחה היא שההתקנים שלהם אישורים אלה הונפקו תומכים בגודל מפתח גדול יותר.

לאחר הגדלת גודל המפתח המינימלי, השתמש באפשרות רשום מחדש את כל מחזיקי האישורים במסוף תבניות אישורים כדי לגרום למחשבי לקוח לרשום מחדש ולבקש גודל מפתח גדול יותר.

כווץ את התמונההרחב את התמונה
2796269


אם הנפקת אישורים באמצעות תבניות 'כניסה באמצעות כרטיס חכם' או 'משתמש כרטיס חכם', לא תוכל להתאים את גודל הכרטיס המינימלי של התבנית באופן ישיר. במקום זאת, יהיה עליך לשכפל את התבנית, להגדיל את גודל המפתח בתבנית המשוכפלת ולאחר מכן להחליף את התבנית המקורית בתבנית המשוכפלת.

כווץ את התמונההרחב את התמונה
2796270


לאחר החלפת תבנית, השתמש באפשרות רשום מחדש את כל מחזיקי האישורים כדי לגרום למחשבי לקוח לרשום מחדש ולבקש גודל מפתח גדול יותר.

כווץ את התמונההרחב את התמונה
2796271


מתן אפשרות לאורכי מפתחות קצרים מ- 1024 סיביות על-ידי שימוש בהגדרות רישום

Microsoft לא ממליצה ללקוחות להשתמש באישורים שאורכם קצר מ- 1024 סיביות. אולם ייתכן שלקוחות יזדקקו למעקף זמני עד לפיתוח פתרון לטווח ארוך כדי להחליף אישורי RSA עם אורך מפתח קצר מ- 1024 סיביות. במקרים אלה, Microsoft מספקת ללקוחות את היכולת לשנות את הדרך שבה העדכון מתפקד. לקוחות הקובעים את תצורת ההגדרות האלה מקבלים על עצמם את הסיכון שתוקף יוכל לפרוץ את האישורים שלהם ולהשתמש בהם כדי לזייף תוכן, לבצע מתקפות דיוג או לבצע מתקפות מסוג 'אדם בתווך'.

חשוב הסעיף, השיטה או המשימה במאמר זה מכילים פעולות המציינות כיצד לשנות את הרישום. עם זאת, אם תשנה את הרישום באופן שגוי עלולות להתרחש בעיות חמורות. לכן הקפד לבצע פעולות אלה בזהירות. לקבלת תוספת הגנה, בצע גיבוי של הרישום לפני שתבצע בו שינויים. לאחר מכן, אם תתרחש בעיה, תוכל לשחזר את הרישום. לקבלת מידע נוסף על אופן הגיבוי והשחזור של הרישום, לחץ על מספר המאמר הבא כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
322756 כיצד לגבות ולשחזר את הרישום ב- Windows
במחשבים המבוססים על Windows 8 או Windows Server 2012 שבהם הוחל העדכון, נתיב הרישום הבא וההגדרות הבאות יכולים לשמש לשליטה באיתור ובחסימה של אישורי RSA עם אורך מפתח קצר מ- 1024 סיביות.

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config

קיימים ארבעה ערכים עיקריים ששולטים באופן שבו מפתחות הקצרים מ- 1024 סיביות סיביות. ערכים אלה הם:
  • MinRsaPubKeyBitLength
  • EnableWeakSignatureFlags
  • WeakSignatureLogDir
  • WeakRsaPubKeyTime
כל אחד מערכים אלה והגדרות שבהן הם שולטים נידונים בסעיפים הבאים.

עבור מערכות הפעלה החל מ- Windows Vista ו- Windows Server 2008, ניתן להשתמש בפקודות certutil כדי לשנות הגדרות רישום אלה. ב- Windows XP, Windows Server 2003 ו- Windows Server 2003 R2, לא ניתן להשתמש בפקודות certutil כדי לשנות הגדרות רישום אלה. עם זאת, ניתן להשתמש בעורך הרישום, פקודת reg או קובץ reg.

MinRsaPubKeyBitLength

MinRsaPubKeyBitLength הוא ערך DWORD שמגדיר את אורך המפתח המינימלי המותר של RSA. כברירת מחדל, ערך זה אינו מוצג, ואורך המפתח המינימלי המותר של RSA הוא 1024. ניתן להשתמש ב- certutil כדי להגדיר ערך זה ל- 512 על-ידי הפעלת הפקודה הבאה:

certutil -setreg chain\minRSAPubKeyBitLength 512

הערהכל פקודות certutil המוצגות במאמר זה דורשות הרשאות מנהל מקומיות כיוון שהן משנות את הרישום. ניתן להתעלם מההודעה בנוסח "ייתכן שיהיה צורך להפעיל מחדש את השירות CertSvc כדי שהשינויים ייכנסו לתוקף". פעולה זו לא נדרשת עבור פקודות אלה כיוון שהן לא משפיעות על שירות האישורים (CertSvc). 

באפשרותך לחזור לחסימת מפתחות עם אורך קצר מ- 1024 סיביות על ידי הסרת הערך. לשם כך, הפעל את פקודת certutil הבאה:

certutil -delreg chain\MinRsaPubKeyBitLength

EnableWeakSignatureFlags

לערך DWORD EnableWeakSignatureFlags יש שלושה ערכים פוטנציאליים: 2, 4, 6 ו- 8. הגדרות אלה משנות את אופן הפעולה של איתור וחסימה של מפתחות הקצרים מ- 1024 סיביות. ההגדרות מתוארות בטבלה הבאה:
כווץ את הטבלההרחב את הטבלה
ערך עשרוניתיאור
2כאשר הוא זמין, אישור הבסיס (במהלך בניית שרשרת) רשאי לכלול אישור RSA עם אורך מפתח קצר מ- 1024 סיביות. חסימת אישורי RSA נמוכים יותר בשרשרת (אם אורך המפתח שלהם קצר מ- 1024 סיבות) עדיין בתוקף. הדגל הופך לזמין כאשר ערך זה מוגדר בתור CERT_CHAIN_ENABLE_WEAK_RSA_ROOT_FLAG.
4פעולה זו הופכת רישום ביומן לזמין, אך עדיין אוכפת חסימה של אישורי RSA עם אורכי מפתחות קצרים מ- 1024 סיביות. כאשר הוא זמין, WeakSignatureLogDir נדרש. כל המפתחות שאורכם קצר מ- 1024 סיביות שמופיעים מועתקים לתיקיה הפיזית WeakSignatureLogDir. הדגל הופך לזמין כאשר ערך זה מוגדר בתור CERT_CHAIN_ENABLE_WEAK_LOGGING_FLAG.
6כאשר הוא זמין, אישור הבסיס רשאי לכלול אישור RSA עם אורך מפתח קצר מ- 1024 סיביות ו- WeakSignatureLogDir נדרש. כל המפתחות מתחת לאיור הבסיס שאורך המפתח שלהם קצר מ- 1024 סיביות נחסמים ונרשמים בתיקיה שצוינה כ- WeakSignatureLogDir.
8מאפשר רישום ביומן ולא אוכף חסימת מפתחות שאורכם קצר מ- 1024 סיביות. כאשר הוא זמין, WeakSignatureLogDir נדרש. כל המפתחות שמופיעים שאורכם קצר מ- 1024 סיביות מועתקים לתיקיה הפיזית WeakSignatureLogDir. הדגל הופך לזמין כאשר ערך זה מוגדר בתור CERT_CHAIN_ENABLE_ONLY_WEAK_LOGGING_FLAG.

דוגמאות

כדי להפוך לזמין אישור בסיס RSA עם אורך מפתח קצר מ- 1024 סיביות, השתמש בפקודת certutil הבאה:

certutil -setreg chain\EnableWeakSignatureFlags 2

כדי להפוך לזמין רישום ביומן ועדיין לחסום אישורים שמשתמשים באורך מפתח קצר מ- 1024 סיביות, השתמש בפקודת certutil הבאה:

certutil -setreg chain\EnableWeakSignatureFlags 4

כדי להפוך לזמין רישום ביומן רק של אישורי RSA מתחת לאישור הבסיס עם אורך מפתח קצר מ- 1024 סיביות, השתמש בפקודת certutil הבאה:

certutil -setreg chain\EnableWeakSignatureFlags 6

כדי להפוך לזמין רישום ביומן ולא לחסום אורכי מפתח קצרים מ- 1024 סיביות, השתמש בפקודת certutil הבאה:

certutil -setreg chain\EnableWeakSignatureFlags 8

הערה בעת הפיכת רישום ביומן לזמין (הגדרה עשרונית 4, 6 או 8), עליך לקבוע גם את התצורה של ספריית יומנים כמתואר בסעיף הבא.

WeakSignatureLogDir

בעת הגדרתו, אישורים עם אורך מפתח קצר מ- 1024 סיביות נכתבים לתיקיה שצוינה. לדוגמה, C:\Under1024KeyLog יכול להיות הנתונים עבור ערך זה. אפשרות זו נדרשת כאשר EnableWeakSignatureFlags מגודר ל- 4 או 8. ודא שתקבע תצורת האבטחה בתיקיה שצוינה כדי שגם למשתמשים מאומתים וגם לקבוצה המקומית כל חבילות היישומים יש גישת שינוי. כדי להגדיר ערך זה עבור C:\Under1024KeyLog, ניתן להשתמש בפקודת certutil הבאה:

Certutil -setreg chain\WeakSignatureLogDir "c:\Under1024KeyLog"

ניתן גם לקבוע את תצורת WeakSignatureLogDir לכתוב לתיקיה משותפת ברשת. ודא שהוגדרו עבורך ההשראות המתאימות למיקום הרשת כדי שכל המשתמשים המוגדרים יוכלו לכתובת לתיקיה המשותפת. הפקודה הבאה היא דוגמה לקביעת התצורה של WeakSignatureLogDir לכתוב לתיקיה בשם Keys שהיא תיקיה משותפת ברשת בשם RSA ב- Server1:

Certutil -setreg chain\WeakSignatureLogDir "\\server1\rsa\keys"

WeakRsaPubKeyTime

WeakRsaPubKeyTime הוא ערך REG_BINARY של 8 סיביות שמכיל סוג נתוני Windows FILETIME המאוחסן כ- UTC/GMT. ערך זה זמין בעיקר להפחתת בעיות פוטנציאליות על-ידי חסימת מפתחות עם אורך קצר מ- 1024 עבור חתימות Authenticode. באישורים המשמשים לחתימת קודים לפני התאריך והשעה שהוגדרו לא נבדק אם יש מפתחות באורך קצר מ- 1024 סיביות. כברירת מחדל, ערך רישום זה לא מוצג והמערכת מתייחסת אליו כשעת בוקר מוקדמת ב- 1 בינואר, 2010 בחצות UTC/GMT.

הערההגדרה זו ישימה רק כאשר אישור משמש להוספת חתימת Authenticode לקובץ עם חותמת זמן. אם הקוד לא כולל חותמת זמן, השעה הנוכחית משמשת וההגדרה WeakRsaPubKeyTime לא נמצאת בשימוש.

ההגדרה WeakRsaPubKeyTime מאפשרת קביעת תצורה של התאריך שבו יש לשקול אם חתימות ישנות הן חוקיות. אם יש לך סיבה להגדיר תאריך ושעה אחרים עבור WeakRsaPubKeyTime, תוכל להשתמש ב- certutil כדי להגדיר תאריך שונה. לדוגמה, אם רצית להגדיר את התאריך ל- 29 באוגוסט, 2010, יכולת להשתמש בפקודה הבאה:

certutil -setreg chain\WeakRsaPubKeyTime @08/29/2010

אם עליך להגדיר שעה ספציפית, כגון 18:00 ב- 4 ביולי, 2011, הוסף את מספר הימים והשעות בתבנית +[dd:hh] לפקודה. מכיוון ש- 18:00 היא 18 שעות אחרי חצות ב- 4 ביולי, 2011, עליך להפעיל את הפקודה הבאה:

certutil -setreg chain\WeakRsaPubKeyTime @01/15/2011+00:18

קביעת תצורה של אישורים ב- Internet Information Services (IIS)

אם אתה לקוח IIS שעליו להנפיק אישורים חדשים שאורכם 1024 סיביות או יותר, עיין במאמרים הבאים:
כיצד להגדיר SSL ב- IIS 7
SSL ואישורים ב- IIS 6

פתרון הבעיה

הקבצים הבאים זמינים להורדה ממרכז ההורדות של Microsoft:


עבור כל הגירסאות הנתמכות של Windows XP המבוססות על x86

כווץ את התמונההרחב את התמונה
הורדה
הורד את החבילה כעת.

עבור כל המהדורות הנתמכות המבוססות על x64 של מהדורת Windows XP Professional x64

כווץ את התמונההרחב את התמונה
הורדה
הורד את החבילה כעת.

לכל הגירסאות הנתמכות המבוססות על x86 של Windows Server 2003

כווץ את התמונההרחב את התמונה
הורדה
הורד את החבילה כעת.

לכל הגירסאות הנתמכות המבוססות על x64 של Windows Server 2003

כווץ את התמונההרחב את התמונה
הורדה
הורד את החבילה כעת.

עבור כל הגירסאות הנתמכות המבוססות על IA-64 של Windows Server 2003

כווץ את התמונההרחב את התמונה
הורדה
הורד את החבילה כעת.

עבור כל הגירסאות הנתמכות של Windows Vista המבוססות על x86

כווץ את התמונההרחב את התמונה
הורדה
הורד את החבילה כעת.

עבור כל הגירסאות הנתמכות של Windows Vista המבוססות על x64

כווץ את התמונההרחב את התמונה
הורדה
הורד את החבילה כעת.

עבור כל הגירסאות הנתמכות המבוססות x86 של Windows Server 2008

כווץ את התמונההרחב את התמונה
הורדה
הורד את החבילה כעת.

לכל הגירסאות הנתמכות המבוססות על x64 של Windows Server 2008

כווץ את התמונההרחב את התמונה
הורדה
הורד את החבילה כעת.

עבור כל הגירסאות הנתמכות המבוססות על IA-64 של Windows Server 2008

כווץ את התמונההרחב את התמונה
הורדה
הורד את החבילה כעת.

עבור כל הגירסאות הנתמכות של Windows 7 המבוססות על x86

כווץ את התמונההרחב את התמונה
הורדה
הורד את החבילה כעת.

עבור כל הגירסאות הנתמכות של Windows 7 המבוססות על x64

כווץ את התמונההרחב את התמונה
הורדה
הורד את החבילה כעת.

לכל הגירסאות הנתמכות המבוססות על x64 של Windows Server 2008 R2

כווץ את התמונההרחב את התמונה
הורדה
הורד את החבילה כעת.

עבור כל הגירסאות הנתמכות המבוססות על IA-64 של Windows Server 2008 R2

כווץ את התמונההרחב את התמונה
הורדה
הורד את החבילה כעת.

עבור כל הגירסאות הנתמכות המבוססות על x86 של Windows Embedded Standard 7

כווץ את התמונההרחב את התמונה
הורדה
הורד את החבילה כעת.

עבור כל הגירסאות הנתמכות המבוססות על x64 של Windows Embedded Standard 7

כווץ את התמונההרחב את התמונה
הורדה
הורד את החבילה כעת.

תאריך פרסום: 14.08.12

לקבלת מידע נוסף על הורדת קבצי תמיכה של Microsoft, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
119591 כיצד לקבל קבצי תמיכה של Microsoft משירותים מקוונים
Microsoft סרקה קובץ זה לאיתור וירוסים. Microsoft השתמשה בתוכנת איתור הווירוסים העדכנית ביותר שהייתה זמינה בתאריך פרסום הקובץ. הקובץ מאוחסן בשרתים מאובטחים המסייעים למנוע ביצוע שינויים בלתי מורשים בקובץ.

פרטי קבצים

לרשימת קבצים המסופקים עם חבילות אלו, לחץ על הקישור הבא:
טבלאות תכונות קובץ עבור עדכון אבטחה 2661254.csv
הערה זהו מאמר "פרסום מהיר" שנוצר ישירות מתוך ארגון התמיכה של Microsoft. המידע הכלול במסמך זה מסופק כפי שהוא בתגובה לבעיות שצצות. לאור הקצב המהיר של פרסום החומרים, ייתכן שהחומרים יכללו שגיאות הקלדה ואנו עשויים לתקן אותם בכל עת, ללא הודעה מוקדמת. למידע על שיקולים אחרים, עיין בתנאי השימוש.

מאפיינים

Article ID: 2661254 - Last Review: יום רביעי 26 דצמבר 2012 - Revision: 5.0
המידע במאמר זה חל על:
  • Microsoft Windows Server 2003 Service Pack 2, הפועל עם:
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 3, הפועל עם:
    • Microsoft Windows XP Professional
מילות מפתח 
kbsecadvisory atdownload kbbug kbexpertiseinter kbfix kbsecurity kbsecvulnerability KB2661254

ספק משוב

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com