Bejelentkez�s

Select the product you need help with

Biztons�gi tan�csokat tartalmaz� dokumentum (Microsoft Security Advisory): A tan�s�tv�nykulcs minim�lis hossz�nak friss�t�se

Cikk azonos�t�ja: 2661254 - A cikkben �rintett term�kek list�j�nak megtekint�se.

Az �sszes kibont�sa | Az �sszes �sszecsuk�sa

A Microsoft kiadott egy informatikai szakembereknek sz�l�, biztons�gi tan�csokat tartalmaz� dokumentumot (Microsoft Security Advisory). Ebben a tan�csad� dokumentumban teszik k�zz� az arra vonatkoz� inform�ci�t, hogy az 1024 bitesn�l r�videbb kulccsal rendelkez� RSA-tan�s�tv�nyok blokkolva lesznek. A biztons�gi tan�csok a Microsoft k�vetkez� webhely�n olvashat�k:

http://technet.microsoft.com/en-us/security/advisory/2661254

(http://technet.microsoft.com/en-us/security/advisory/2661254)

Az�rt, hogy cs�kkentse a bizalmas adatok jogosulatlan hozz�f�r�s�nek kock�zat�t, a Microsoft kiadott egy (KB 2661254 jel�) nem biztons�gi jelleg� friss�t�st a Microsoft Windows minden t�mogatott verzi�j�hoz. Ez a friss�t�s blokkolja azokat a titkos�t�shoz haszn�lt kulcsokat, amelyek 1024 bitesn�l r�videbbek. Ez a friss�t�s nem vonatkozik a Windows 8 Release Preview vagy Windows Server 2012 Release Candidate oper�ci�s rendszerre, mert ezek m�r tartalmazz�k azt a funkci�t, amely blokkolja a gyenge, 1024 bitesn�l r�videbb RSA-kulcsokat.

A lap tetej�re | Visszajelz�s k�ld�se

Tov�bbi inform�ci�

A nyilv�nos kulcsokon alapul� titkos�t�si algoritmusok hat�soss�ga att�l f�gg, hogy mennyi id�be telik meg�llap�tani tal�lgat�sos m�dszerekkel a titkos kulcsot. Az algoritmus akkor el�gg� er�s, ha a titkos kulcs visszafejt�s�hez sz�ks�ges id� mennyis�ge elriaszt�nak bizonyul a rendelkez�sre �ll� informatikai er�forr�sok mellett. A fenyegetetts�g m�rt�ke egyre n�. Ez�rt a Microsoft tov�bb szigor�tja az RSA-algoritmusokra vonatkoz� k�vetelm�nyeket, �s nem enged�lyezi az 1024 bitesn�l r�videbb kulcsok haszn�lat�t.

A friss�t�s alkalmaz�sa ut�n csak a CertGetCertificateChain
(http://msdn.microsoft.com/hu-hu/library/windows/desktop/aa376078.aspx)
f�ggv�nnyel l�trehozott tan�s�tv�nyl�ncok lesznek �rintve. A CryptoAPI ki�p�t egy tan�s�tv�nyi megb�zhat�s�gi l�ncot, �s ellen�rzi azt az �rv�nyess�g, a visszavon�s �s a tan�s�tv�nyi ir�nyelvek (p�ld�ul a megjel�lt felhaszn�l�si c�lok) ellen�rz�s�vel. A friss�t�s egy tov�bbi ellen�rz�st is alkalmaz, amellyel megbizonyosodik afel�l, hogy a l�nc egyetlen tan�s�tv�ny�ban sem r�videbb az RSA-kulcs 1024 bitesn�l.

Friss�t�sek helyettes�t�se

Ez a friss�t�s a k�vetkez� friss�t�st helyettes�ti:

2677070

(http://support.microsoft.com/kb/2677070/hu/ )

A visszavont tan�s�tv�nyokhoz automatikus friss�t� �rhet� el a Windows Vista, Windows Server 2008, Windows 7 �s Windows Server 2008 R2 rendszerhez

A biztons�gi friss�t�ssel kapcsolatos ismert probl�m�k

A friss�t�s alkalmaz�sa ut�n:

�jra kell ind�tani a sz�m�t�g�pet.
Egy hiteles�t�sszolg�ltat� (CA) sem adhat ki 1024 bitesn�l r�videbb RSA-tan�s�tv�nyt.
A CA szolg�ltat�s (certsvc) nem indul el, ha a CA 1024 bitesn�l r�videbb kulccsal rendelkez� RSA-tan�s�tv�nyt haszn�l.
Az Internet Explorer nem enged�lyezi a hozz�f�r�st egy olyan webhelyhez, amelyet 1024 bitesn�l r�videbb kulccsal rendelkez� RSA-tan�s�tv�nnyal l�ttak el.
Az Outlook 2010 haszn�lat�val nem lehet e-mailt titkos�tani, ha 1024 bitesn�l r�videbb kulccsal rendelkez� RSA-tan�s�tv�nyt haszn�l. Azoknak az e-maileknek azonban fel lehet oldani a titkos�t�s�t a friss�t�s telep�t�se ut�n is, amelyek 1024 bitesn�l r�videbb kulcsot haszn�l� RSA-tan�s�tv�nnyal lettek titkos�tva.
Az Outlook 2010 haszn�lat�val nem lehet digit�lisan e-maileket al��rni, ha 1024 bitesn�l r�videbb kulccsal rendelkez� RSA-tan�s�tv�nyt haszn�l.
Ha az Outlook 2010 olyan e-mailt fogad, amelynek digit�lis al��r�sa vagy titkos�t�sa 1024 bitesn�l r�videbb kulcsot haszn�l� RSA-tan�s�tv�nnyal k�sz�lt, akkor a felhaszn�l� hiba�zenetet kap, amely szerint a tan�s�tv�ny nem megb�zhat�. A felhaszn�l� ett�l m�g megtekintheti a titkos�tott vagy al��rt e-mailt.
Az Outlook 2010 nem tud csatlakozni egy olyan Microsoft Exchange-kiszolg�l�hoz, amely az SSL/TLS-hez 1024 bitesn�l r�videbb kulccsal rendelkez� RSA-tan�s�tv�nyt haszn�l. A k�vetkez� hiba�zenet jelenik meg: �A webhellyel v�ltott inform�ci�kat m�s nem tekintheti meg �s nem m�dos�thatja. A hely biztons�gi tan�s�tv�ny�val kapcsolatban azonban probl�ma jelentkezett. �rv�nytelen a biztons�gi tan�s�tv�ny. Ebben a webhelyben nem szabad megb�zni.�
Az �ismeretlen k�zz�tev�re� vonatkoz� biztons�gi figyelmeztet�sek megjelennek, de a telep�t�st az al�bbi elemek megl�te eset�n folytatni lehet:
- Authenticode-al��r�sok, amelyeknek az id�pecs�tje 2010. janu�r 1-i vagy k�s�bbi, �s amelyek olyan tan�s�tv�nnyal lettek al��rva, amelyek 1024 bitesn�l r�videbb kulccsal rendelkez� RSA-tan�s�tv�nyt haszn�ltak.
- Al��rt telep�t�k, amelyeknek az al��r�s�hoz 1024 bitesn�l r�videbb kulccsal rendelkez� RSA-tan�s�tv�nyt haszn�ltak.
- ActiveX-vez�rl�k, amelyeknek az al��r�s�hoz 1024 bitesn�l r�videbb kulccsal rendelkez� RSA-tan�s�tv�nyt haszn�ltak. A friss�t�s el�tt telep�tett ActiveX-vez�rl�ket a friss�t�s nem �rinti.
Azok a System Center HP-UX PA-RISC sz�m�t�g�pek, amelyek 512 bites kulccsal rendelkez� RSA-tan�s�tv�nyt haszn�lnak, sz�vver�s-riaszt�st ind�tanak el, �s a sz�m�t�g�pek minden Operations Manager-fel�gyelete le�ll. Egy �SSL-tan�s�tv�ny hib�ja� �zenet is l�trej�n, az �al��rt tan�s�tv�ny-ellen�rz�s� magyar�zattal. Az Operations Manager nem lesz k�pes �j HP-UX PA-RISC sz�m�t�g�pek �szlel�s�re az �al��rt tan�s�tv�ny-ellen�rz�s� hiba miatt. A HP-UX PA-RISC sz�m�t�g�pekkel rendelkez� System Center-�gyfeleknek tan�csos �jra kibocs�taniuk az RSA-tan�s�tv�nyokat, imm�r 1024 bitest meghalad� m�ret� kulcsokkal. Tov�bbi inform�ci�t a k�vetkez� TechNet-weblapon tal�l:
FONTOS: Az Operations Manager �ltal fel�gyelt HP-UX PA-RISC sz�m�t�g�pek sz�vver�s- �s fel�gyeleti meghib�sod�sokat fognak �szlelni a Windows-friss�t�s alkalmaz�sa ut�n
(http://blogs.technet.com/b/momteam/archive/2012/08/01/important-hp-ux-pa-risc-computers-monitored-by-operations-manager-will-experience-heartbeat-and-monitoring-failures-after-an-upcoming-windows-update.aspx)

Megjegyz�s: Az EFS-titkos�t�st ez a friss�t�s nem �rinti.

1024 bitesn�l r�videbb kulccsal rendelkez� RSA-tan�s�tv�nyok felt�r�sa

N�gy f� m�dszerrel keresheti ki az 1024 bitesn�l r�videbb kulccsal rendelkez� RSA-tan�s�tv�nyokat:

Tan�s�tv�nyok �s tan�s�tv�nyl�ncok manu�lis ellen�rz�se
CAPI2 napl�z�s haszn�lata
Tan�s�tv�nysablonok ellen�rz�se
Napl�z�s enged�lyez�se olyan sz�m�t�g�peken, amelyekre m�r telep�tette a friss�t�st

Tan�s�tv�nyok �s tan�s�tv�nyl�ncok manu�lis ellen�rz�se

Manu�lisan is ellen�rizheti a tan�s�tv�nyokat, ha megnyitja azokat, �s megn�zi a t�pusukat, kulcshosszukat �s a tan�s�tv�nyl�ncot. Ehhez tekintsen meg minden olyan tan�s�tv�nyt (kattintson r�juk dupl�n), amely bels�leg lett kibocs�tva. A Tan�s�tv�nyl�nc lapon kattintson a l�nc minden tan�s�tv�ny�nak Tan�s�tv�ny megtekint�se elem�re, �gy leellen�rizheti, hogy minden RSA-tan�s�tv�ny minimum 1024 bites kulcsot haszn�l-e.

Az al�bbi �br�n szerepl� tan�s�tv�nyt p�ld�ul egy tartom�nyvez�rl�nek (2003DC.adatum.com) bocs�tott�k ki egy AdatumRootCA nev� v�llalati legfels� szint� hiteles�t�s-szolg�ltat�t�l. Kijel�lheti az AdatumRootCA tan�s�tv�nyt a Tan�s�tv�nyl�nc lapon.

A k�p �sszecsuk�saA k�p kibont�sa

Az AdatumRootCA tan�s�tv�ny megtekint�s�hez kattintson a Tan�s�tv�ny megtekint�se gombra. A R�szletek panelen v�lassza ki a Nyilv�nos kulcs elemet a kulcs m�ret�nek megtekint�s�hez, az al�bbi �bra szerint.

A k�p �sszecsuk�saA k�p kibont�sa

Az AdatumRootCA jelen p�ld�ban bemutatott RSA-tan�s�tv�nya 2048 bites.

CAPI2 napl�z�s haszn�lata

A Windows Vista, Windows Server 2008 vagy k�s�bbi Windows oper�ci�s rendszereket futtat� sz�m�t�g�peken a CAPI2 napl�z�s seg�ts�g�vel is azonos�thatja az 1024 bitesn�l r�videbb kulcsokat. Enged�lyezheti, hogy a sz�m�t�g�p a szok�sos m�veleteit futtassa, majd k�s�bb ellen�rizheti a napl�ban, hogy mely kulcsok r�videbbek 1024 bitn�l. A kapott adatokkal lek�vetheti a k�rd�ses tan�s�tv�nyok forr�sait, �s elv�gezheti a sz�ks�ges friss�t�seket.

Ehhez el�sz�r enged�lyeznie kell a r�szletez� diagnosztikai napl�z�st. A r�szletez� napl�z�s enged�lyez�s�hez k�vesse az al�bbi l�p�seket:

1. Nyissa meg a Be�ll�t�sszerkeszt�t (Regedit.exe).

2. Keresse meg a k�vetkez� be�ll�t�skulcsot:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crypt32

3. Adjon hozz� egy DiagLevel Duplasz� (32 bites) �rt�ket 0x00000005 �rt�kkel.

4. Adjon hozz� egy DiagMatchAnyMask N�gysz� t�pus� (64 bites) �rt�ket 0x00ffffff �rt�kkel.

A k�p �sszecsuk�saA k�p kibont�sa

Ezut�n enged�lyezheti a CAPI2 m�veleti napl�z�st az Esem�nynapl�ban. A CAPI2 m�veleti napl� az Esem�nynapl� Alkalmaz�s- �s szolg�ltat�snapl�k, Microsoft, Windows, CAPI2 hely�n tal�lhat�. A napl�z�s enged�lyez�s�hez kattintson a jobb gombbal a M�veletek napl�ra, kattintson a Napl� enged�lyez�se, majd a Jelenlegi napl� sz�r�se elemre. Kattintson az XML lapra, majd kattint�ssal jel�lje be a Lek�rdez�s manu�lis m�dos�t�sa jel�l�n�gyzetet.

A k�p �sszecsuk�saA k�p kibont�sa

Miut�n begy�jt�tte a napl�t, az al�bbi sz�r�vel cs�kkentheti az �tn�zend� bejegyz�sek sz�m�t, hogy kikereshesse az 1024 bitesn�l r�videbb kulccsal rendelkez� m�veleteket. Az al�bbi sz�r� 512 bites kulcsokat keres.

<QueryList>

<Query Id="0" Path="Microsoft-Windows-CAPI2/Operational">

<Select Path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]]</Select>

</Query>

</QueryList>

A k�p �sszecsuk�saA k�p kibont�sa

Egyetlen lek�rdez�sben elt�r� hossz�s�g� kulcsokra is r�kereshet. Az al�bbi sz�r� p�ld�ul 384 �s 512 bites kulcsokra keres r�.

<QueryList>

<Query Id="0" Path="Microsoft-Windows-CAPI2/Operational">

<Select Path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='384']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]] or Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]]</Select>

</Query>

</QueryList>

Tan�s�tv�nysablonok ellen�rz�se

Futtathatja az al�bbi lek�rdez�st a hiteles�t�sszolg�ltat�kon (CA-k), hogy felder�thesse az 1024 bitesn�l r�videbb kulcsot haszn�l� tan�s�tv�nysablonokat:

certutil -dstemplate | findstr "[ msPKI-Minimal-Key-Size" | findstr /v "1024 2048 4096"

Megjegyz�s: A parancsot futtassa le a szervezet minden erd�j�ben.

Ha futtatja ezt a lek�rdez�st, megjelennek az 1024 bitesn�l kisebb kulcsokat haszn�l� sablonok, a kulcsm�rettel egy�tt. Az al�bbi �bra azt mutatja, hogy a be�p�tett sablonok k�z�l kett�, a SmartcardLogon �s a SmartcardUser, olyan alap�rtelmezett kulcshosszal rendelkezik, amelynek minim�lis m�rete 512 bites. Olyan sablonokat is felfedezhet, amelyeket megkett�ztek, �s eredeti minim�lis kulcsm�ret�k 1024 bitesn�l kevesebb volt.

Minden olyan felt�rt sablonn�l, amely 1024 bitesn�l kisebb kulcsokat is enged�lyez, meg kell hat�roznia, hogy kibocs�that�-e hozz� tan�s�tv�ny a Hiteles�t�sszolg�ltat� konzol Tan�s�tv�nysablonok r�sz�ben le�rtak szerint.

A k�p �sszecsuk�saA k�p kibont�sa

Napl�z�s enged�lyez�se olyan sz�m�t�g�peken, amelyekre m�r telep�tette a friss�t�st

A be�ll�t�sjegyz�k be�ll�t�saival enged�lyezheti a friss�t�st m�r alkalmaz� sz�m�t�g�pnek, hogy keresse meg az 1024 bitesn�l r�videbb kulccsal rendelkez� RSA-tan�s�tv�nyokat. A napl�z�s megval�s�t�s�nak lehet�s�g�t a �Megold�sok� r�szben ismertetj�k, mert szoros �sszef�gg�sben van azokkal a be�ll�t�sjegyz�k-be�ll�t�sokkal, amelyekkel enged�lyezhet�k az 1024 bitesn�l r�videbb kulcsok. A napl�z�s enged�lyez�s�re vonatkoz� tov�bbi r�szletek�rt l�sd a cikk k�s�bbi, �1024 bitesn�l r�videbb kulcsok enged�lyez�se a be�ll�t�sjegyz�k be�ll�t�saival� c�m� r�sz�t.

A lap tetej�re | Visszajelz�s k�ld�se

Megold�sok

Minden olyan probl�ma els�dleges megold�sa, amely abb�l fakad, hogy a rendszer blokkolja az 1024 bitesn�l r�videbb kulccsal rendelkez� tan�s�tv�nyt, egy nagyobb (1024 bites vagy ann�l hosszabb kulcs�) tan�s�tv�ny haszn�lata. Javasoljuk, hogy a felhaszn�l�k minimum 2048 bites kulcshossz�s�g� tan�s�tv�nyokat alkalmazzanak.

Automatikus ig�nyl�sen kereszt�l kibocs�tott tan�s�tv�ny kulcsm�ret�nek n�vel�se

Olyan sablonokn�l, ahol a kibocs�tott RSA-tan�s�tv�nyok kulcshossza nem �ri el az 1024 bitest, megfontoland� a minim�lis kulcsm�ret n�vel�se legal�bb 1024 bitesre. Ez a megold�s felt�telezi, hogy az eszk�z�k, amelyekhez a tan�s�tv�nyok ki vannak bocs�tva, t�mogatj�k a nagyobb kulcsm�retet.

Miut�n megn�velte a minim�lis kulcsm�retet, haszn�lja a Tan�s�tv�nysablonok konzolAz �sszes tan�s�tv�ny meg�j�t�sa parancs�t, hogy az �gyf�lsz�m�t�g�pek meg�j�ts�k a kulcsokat �gy, hogy nagyobb kulcsm�retet k�rnek.

A k�p �sszecsuk�saA k�p kibont�sa

Ha a be�p�tett �Bejelentkez�s intelligens k�rty�val� �s �Intelligensk�rty�s felhaszn�l� sablonokkal bocs�tott ki tan�s�tv�nyokat, akkor nem fogja tudni k�zvetlen�l m�dos�tani a sablon minim�lis kulcsm�ret�t. Ehelyett meg kell kett�znie a sablont, meg kell n�velnie a m�solat kulcsm�ret�t, majd fel kell v�ltania az eredeti sablont a m�solattal

(http://technet.microsoft.com/hu-hu/library/cc753044.aspx)

A k�p �sszecsuk�saA k�p kibont�sa

Miut�n kicser�lt egy sablont, haszn�lja Az �sszes tan�s�tv�ny meg�j�t�sa parancsot, hogy az �gyf�lsz�m�t�g�pek meg�j�ts�k a kulcsokat �gy, hogy nagyobb kulcsm�retet k�rnek.

A k�p �sszecsuk�saA k�p kibont�sa

1024 bitesn�l r�videbb kulcsok enged�lyez�se a be�ll�t�sjegyz�k be�ll�t�saival

A Microsoft nem javasolja, hogy az �gyfelek 1024 bitesn�l r�videbb tan�s�tv�nyokat haszn�ljanak. Az �gyfeleknek azonban sz�ks�ge lehet egy ideiglenes megker�l� megold�sra, am�g ki nem dolgoznak egy hossz�t�v� megold�st az 1024 bitesn�l r�videbb kulcshossz�s�g� RSA-tan�s�tv�nyok lecser�l�sre. Ezekben az esetekben a Microsoft lehet�v� teszi, hogy az �gyfelek megv�ltoztathass�k a friss�t�s m�k�d�s�nek a m�dj�t. Az ezeket a be�ll�t�sokat alkalmaz� �gyfelek elfogadj�k annak a kock�zat�t, hogy egy t�mad� felt�rheti a tan�s�tv�nyaikat, �s vissza�lhet a tartalmakkal, adatokat hal�szhat, vagy k�zbe�kel�d�ses (man-in-the-middle) t�mad�sokat hajthat v�gre.

Fontos: Az al�bbi szakasz, m�dszer, illetve tev�kenys�g a be�ll�t�sjegyz�k m�dos�t�s�t is mag�ban foglal� l�p�seket tartalmaz. A be�ll�t�sjegyz�k helytelen m�dos�t�sa azonban komoly probl�m�kat okozhat, ez�rt �gyeljen az utas�t�sok pontos betart�s�ra. A be�ll�t�sjegyz�kr�l m�dos�t�sa el�tt k�sz�tsen biztons�gi m�solatot, hogy sz�ks�g eset�n vissza�ll�thassa azt. A be�ll�t�sjegyz�k biztons�gi ment�s�r�l �s vissza�ll�t�s�r�l a Microsoft Tud�sb�zis al�bbi cikk�ben t�j�koz�dhat:

322756

(http://support.microsoft.com/kb/322756 /hu/ )

A be�ll�t�sjegyz�k biztons�gi ment�se �s vissza�ll�t�sa Windows rendszerben

A friss�t�st alkalmaz� Windows 8 vagy Windows Server 2012 alap� sz�m�t�g�peken a be�ll�t�sjegyz�k al�bbi el�r�si �tj�val �s be�ll�t�s�val vez�relhet� az 1024 bitesn�l r�videbb kulcsot haszn�l� RSA-tan�s�tv�nyok kisz�r�se �s blokkol�sa.

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config

N�gy f� �rt�k vez�rli az 1024 bites alatti m�ret� kulcsok blokkol�s�t. Ezek a k�vetkez�k:

MinRsaPubKeyBitLength
EnableWeakSignatureFlags
WeakSignatureLogDir
WeakRsaPubKeyTime

A k�vetkez� szakaszokban olvashat� az �rt�kek le�r�sa, valamint az, hogy mit vez�relnek.

A Windows Vista, a Windows Server 2008 �s az ezekn�l �jabb verzi�k eset�ben a certutil parancsokkal m�dos�thatja e be�ll�t�sjegyz�k-be�ll�t�sokat. Windows XP, Windows Server 2003 �s Windows Server 2003 R2 rendszer eset�ben a certutil parancsokkal nem m�dos�thatja e be�ll�t�sjegyz�k-be�ll�t�sokat. Haszn�lhatja azonban a Be�ll�t�sszerkeszt�t, a reg parancsot vagy egy reg f�jlt. A

MinRsaPubKeyBitLength

MinRsaPubKeyBitLength�olyan duplasz�, amely az RSA-kulcs enged�lyezett minim�lis hossz�t hat�rozza meg. Ha az �rt�k nem tal�lhat�, alap�rtelmez�s szerint az RSA-kulcs enged�lyezett minim�lis hossza 1024. A certutil haszn�lat�val a k�vetkez� parancs futtat�s�val �ll�thatja 512-re az �rt�ket:

certutil -setreg chain\minRSAPubKeyBitLength 512

Megjegyz�s:A cikkben bemutatott �sszes certutil parancs haszn�lat�hoz helyi rendszergazdai jogosults�gok sz�ks�gesek, mert m�dos�tj�k a be�ll�t�sjegyz�ket. Figyelmen k�v�l hagyhatja �A v�ltoz�sok �rv�nybe l�p�s�hez sz�ks�g lehet a CertSvc szolg�ltat�s �jraind�t�s�ra� �zenetet. E parancsok eset�n ez nem sz�ks�ges, mert nincsenek hat�ssal a tan�s�tv�nyszolg�ltat�sra (CertSvc).

Az �rt�k elt�vol�t�s�val visszav�lthat az 1024 bitesn�l r�videbb kulcsok blokkol�s�ra. Ezt a k�vetkez� certutil paranccsal teheti meg:

certutil -delreg chain\MinRsaPubKeyBitLength

EnableWeakSignatureFlags

Az EnableWeakSignatureFlags duplasz� a k�vetkez� h�rom lehets�ges �rt�kkel rendelkezhet: 2, 4, 6 �s 8. Ezek a be�ll�t�sok m�dos�tj�k az 1024 bitesn�l r�videbb kulcsok �szlel�s�t �s blokkol�s�t. A be�ll�t�sok le�r�sa a k�vetkez� t�bl�zatban tal�lhat�:

A t�bl�zat �sszecsuk�saA t�bl�zat kibont�sa

Decim�lis �rt�k	Le�r�s
2	Ha enged�lyezett, a gy�k�rtan�s�tv�nynak (a l�nc l�trehoz�sa sor�n) 1024 bitesn�l r�videbb kulccsal rendelkez� RSA-tan�s�tv�nya is lehet. A l�ncban lejjebb tal�lhat� (1024 bitesn�l r�videbb kulcs�) RSA-tan�s�tv�nyok blokkol�sa tov�bbra is �rv�nyben van. A jelz� enged�lyezett, ha az �rt�k a k�vetkez�k�pp van megadva: CERT_CHAIN_ENABLE_WEAK_RSA_ROOT_FLAG.
4	Enged�lyezi a napl�z�st, de megk�veteli az 1024 bitesn�l r�videbb kulccsal rendelkez� RSA-tan�s�tv�nyok blokkol�s�t. Ha enged�lyezett, a WeakSignatureLogDir sz�ks�ges. A megtal�lt �sszes, 1024 bitesn�l r�videbb kulcs a fizikai WeakSignatureLogDir mapp�ba lesz m�solva. A jelz� enged�lyezett, ha az �rt�k a k�vetkez�k�pp van megadva: CERT_CHAIN_ENABLE_WEAK_LOGGING_FLAG.
6	Ha enged�lyezett, a gy�k�rtan�s�tv�nynak 1024 bitesn�l r�videbb kulccsal rendelkez� RSA-tan�s�tv�nya is lehet, a WeakSignatureLogDir pedig sz�ks�ges. Az 1024 bitesn�l r�videbb kulccsal rendelkez� gy�k�rtan�s�tv�ny alatt az �sszes kulcs blokkolva lesz, �s a megadott WeakSignatureLogDir mapp�ba lesz napl�zva.
8	Enged�lyezi a napl�z�st, �s nem k�veteli meg az 1024 bitesn�l r�videbb kulcsok blokkol�s�t. Ha enged�lyezett, a WeakSignatureLogDir sz�ks�ges. A megtal�lt �sszes, 1024 bitesn�l r�videbb kulcs a fizikai WeakSignatureLogDir mapp�ba lesz m�solva. A jelz� enged�lyezett, ha az �rt�k a k�vetkez�k�pp van megadva: CERT_CHAIN_ENABLE_ONLY_WEAK_LOGGING_FLAG.

P�ld�k:

Az 1024 bitesn�l r�videbb kulccsal rendelkez� RSA-gy�k�rtan�s�tv�nyok enged�lyez�s�hez haszn�lja a k�vetkez� certutil parancsot:

certutil -setreg chain\EnableWeakSignatureFlags 2

Az 1024 bitesn�l r�videbb kulccsal rendelkez� tan�s�tv�nyok blokkol�sa mellett a napl�z�s enged�lyez�s�hez haszn�lja a k�vetkez� certutil parancsot:

certutil -setreg chain\EnableWeakSignatureFlags 4

Ha csak a gy�k�rtan�s�tv�ny alatti, 1024 bitesn�l r�videbb kulccsal rendelkez� RSA-tan�s�tv�nyokat k�v�nja blokkolni, haszn�lja a k�vetkez� certutil parancsot:

certutil -setreg chain\EnableWeakSignatureFlags 6

Ha csak a napl�z�st k�v�nja enged�lyezni, de nem k�v�nja blokkolni az 1024 bitesn�l r�videbb kulccsal rendelkez� tan�s�tv�nyokat, haszn�lja a k�vetkez� certutil parancsot:

certutil -setreg chain\EnableWeakSignatureFlags 8

Megjegyz�s: Amikor enged�lyezi a napl�z�st (4, 6 vagy 8 decim�lis be�ll�t�s), a k�vetkez� szakaszban le�rt m�don a napl�k�nyvt�rat is konfigur�lni kell.

WeakSignatureLogDir

Ha meg van adva, az 1024 bitesn�l r�videbb tan�s�tv�nyok a megadott mapp�ba lesznek �rva. Az �rt�k tartalma lehet p�ld�ul C:\Under1024KeyLog. A be�ll�t�s sz�ks�ges, ha az EnableWeakSignatureFlags be�ll�t�sa 4 vagy 8. Gy�z�dj�n meg arr�l, hogy �gy konfigur�lta a megadott mappa biztons�gi be�ll�t�sait, hogy a Hiteles�tett felhaszn�l�k �s a helyi csoport Minden alkalmaz�scsomagj�nak �r�si hozz�f�r�se legyen. A k�vetkez� certutil paranccsal �ll�thatja be ezt az �rt�ket a C:\Under1024KeyLog mapp�ra:

Certutil -setreg chain\WeakSignatureLogDir "c:\Under1024KeyLog"

Lehet�s�ge van tov�bb� be�ll�tani, hogy a WeakSignatureLogDir egy h�l�zati megosztott mapp�ba �rjon. Gy�z�dj�n meg arr�l, hogy rendelkezik a h�l�zati helyhez be�ll�tott megfelel� enged�lyekkel, hogy az �sszes be�ll�tott felhaszn�l� �rhasson a megosztott mapp�ba. A k�vetkez� parancs egy p�lda arra, amikor a WeakSignatureLogDir a Server1 kiszolg�l�n tal�lhat� RSA h�l�zati megosztott mapp�ban l�v� Keys mapp�ba t�rt�n� �r�sra van konfigur�lva.

Certutil -setreg chain\WeakSignatureLogDir "\\server1\rsa\keys"

WeakRsaPubKeyTime

A WeakRsaPubKeyTime egy olyan 8 b�jtos REG_BINARY �rt�k, amely UTC/GMT-k�nt t�rolt Windows FILETIME adatt�pust tartalmaz. Ez az �rt�k els�sorban a lehets�ges probl�m�k cs�kkent�se �rdek�ben �rhet� el. Blokkolja az 1024 bitesn�l r�videbb kulcsokat az Authenticode-al��r�sok eset�ben. Nem ellen�rzi a rendszer, hogy a k�doknak a konfigur�lt d�tum �s id� el�tti al��r�s�hoz haszn�lt tan�s�tv�nyok 1024 bitesn�l r�videbb kulcsokkal rendelkeznek-e. Alap�rtelmez�s szerint nincs ilyen be�ll�t�s�rt�k, �s azt 2010. janu�r 1. �jf�l (UTC/GMT) id�pontk�nt kezeli a rendszer.

Megjegyz�s:Ez a be�ll�t�s csak akkor alkalmazhat�, ha egy id�b�lyegz�vel rendelkez� f�jl Authenticode-al��r�ssal val� ell�t�sa egy tan�s�tv�ny haszn�lat�val t�rt�nt. Ha a k�d nem rendelkezik id�b�lyegz�vel, az aktu�lis id� lesz haszn�latban, a WeakRsaPubKeyTime be�ll�t�s viszont nem lesz haszn�latban.

A WeakRsaPubKeyTime be�ll�t�s lehet�v� teszi annak a d�tumnak a konfigur�l�s�t, amelyhez k�pest a r�gebbi al��r�sok �rv�nyesek lesznek. Ha valamely okb�l a WeakRsaPubKeyTime sz�m�ra ett�l elt�r� d�tumot �s id�t adna meg, a certutil haszn�lat�val ezt megteheti. Ha p�ld�ul a d�tumot 2010. augusztus 29-re szeretn� �ll�tani, a k�vetkez� parancsot kellene haszn�lnia:

certutil -setreg chain\WeakRsaPubKeyTime @08/29/2010

Ha adott id�pontot kell megadnia, p�ld�ul 2011. j�lius 4., 18:00, akkor adja a parancshoz a napok �s �r�k sz�m�t a +[dd:hh] form�tumban. Mivel a 18:00 18 �r�val van �jf�l ut�n 2011. j�lius 4-�n, a k�vetkez� parancsot kellene futtatnia:

certutil -setreg chain\WeakRsaPubKeyTime @01/15/2011+00:18

Tan�s�tv�nyok konfigur�l�sa az Internet Information Services (IIS) seg�ts�g�vel

Ha IIS-felhaszn�l� �s 1024 bites, vagy hosszabb �j tan�s�tv�nyokat kell ki�ll�tania, tekintse meg a k�vetkez� cikkeket:

Az SSL be�ll�t�sa az IIS 7 haszn�lat�val

(http://learn.iis.net/page.aspx/144/how-to-set-up-ssl-on-iis/)

SSL �s tan�s�tv�nyok az IIS 6 szolg�ltat�sokban

(http://technet.microsoft.com/hu-hu/library/cc785150(v=ws.10))

A lap tetej�re | Visszajelz�s k�ld�se

A megold�s

A k�vetkez� f�jlok let�lthet�k a Microsoft let�lt�k�zpontj�b�l:

A Windows XP �sszes t�mogatott x86-alap� verzi�ja eset�n

A k�p �sszecsuk�saA k�p kibont�sa

Select the product you need help with

Biztons�gi tan�csokat tartalmaz� dokumentum (Microsoft Security Advisory): A tan�s�tv�nykulcs minim�lis hossz�nak friss�t�se

Friss�t�sek helyettes�t�se

A biztons�gi friss�t�ssel kapcsolatos ismert probl�m�k

1024 bitesn�l r�videbb kulccsal rendelkez� RSA-tan�s�tv�nyok felt�r�sa

Tan�s�tv�nyok �s tan�s�tv�nyl�ncok manu�lis ellen�rz�se

CAPI2 napl�z�s haszn�lata

Tan�s�tv�nysablonok ellen�rz�se

Napl�z�s enged�lyez�se olyan sz�m�t�g�peken, amelyekre m�r telep�tette a friss�t�st

Automatikus ig�nyl�sen kereszt�l kibocs�tott tan�s�tv�ny kulcsm�ret�nek n�vel�se

1024 bitesn�l r�videbb kulcsok enged�lyez�se a be�ll�t�sjegyz�k be�ll�t�saival

MinRsaPubKeyBitLength

EnableWeakSignatureFlags

P�ld�k:

WeakSignatureLogDir

WeakRsaPubKeyTime

Tan�s�tv�nyok konfigur�l�sa az Internet Information Services (IIS) seg�ts�g�vel

A Windows XP �sszes t�mogatott x86-alap� verzi�ja eset�n

A Windows XP Professional rendszer �sszes t�mogatott x64-alap� verzi�ja eset�n

A Windows Server 2003 �sszes t�mogatott x86-alap� verzi�ja eset�n

A Windows Server 2003 �sszes t�mogatott x64-alap� verzi�ja eset�n

A Windows Server 2003 rendszer �sszes t�mogatott IA-64-alap� verzi�ja eset�n

A Windows Vista �sszes t�mogatott x86-alap� verzi�ja eset�n

A Windows Vista �sszes t�mogatott x64-alap� verzi�ja eset�n

A Windows Server 2008 �sszes t�mogatott x86-alap� verzi�ja eset�n

A Windows Server 2008 �sszes t�mogatott x64-alap� verzi�ja eset�n

A Windows Server 2008 rendszer �sszes t�mogatott IA-64-alap� verzi�ja eset�n

A Windows 7 rendszer �sszes t�mogatott x86-alap� verzi�ja eset�n

A Windows 7 �sszes t�mogatott x64-alap� verzi�ja eset�n

A Windows Server 2008 R2 �sszes t�mogatott x64-alap� verzi�ja eset�n

A Windows Server 2008 R2 rendszer �sszes t�mogatott IA-64-alap� verzi�ja eset�n

A Windows Embedded Standard 7 rendszer �sszes t�mogatott x86-alap� verzi�ja eset�n

A Windows Embedded Standard 7 rendszer �sszes t�mogatott x64-alap� verzi�ja eset�n

A cikkben tal�lhat� inform�ci� a k�vetkez�(k)re vonatkozik:

Kulcsszavak:�

A cikk ford�t�sa