คำแนะนำในการรักษาความปลอดภัยของ Microsoft: การปรับปรุงสำหรับความยาวของคีย์ต่ำสุดของใบรับรอง

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 2661254 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

คำแนะนำ

Microsoft ได้เปิดตัวบูความปลอดภัย Microsoft คำแนะนำสำหรับผู้เชี่ยวชาญ IT คำแนะนำนี้เพื่อให้ การใช้ RSA ใบรับรองที่มีคีย์ที่มีความยาวน้อยกว่า 1024 บิต จะถูกบล็อค เมื่อต้องดูคำแนะนำความปลอดภัย ไปที่เว็บไซต์ของ Microsoft ต่อไปนี้:
http://technet.microsoft.com/security/advisory/2661254
เมื่อต้องลดความเสี่ยงในการเปิดรับแสงที่ไม่ได้รับอนุญาตของข้อมูลสำคัญ Microsoft ได้เปิดตัวบูการปรับปรุง nonsecurity (2661254 กิโลไบต์) สำหรับเวอร์ชันทั้งหมดที่ได้รับการสนับสนุนของ Microsoft Windows โปรแกรมปรับปรุงนี้จะบล็อกคีย์การเข้ารหัสลับที่มีความยาวน้อยกว่า 1024 บิต โปรแกรมปรับปรุงนี้ไม่สามารถใช้เพื่อแสดงตัวอย่างการวางจำหน่าย 8 Windows หรือ Windows Server 2012 Release Candidate ได้เนื่องจากระบบปฏิบัติการเหล่านี้ได้รวมฟังก์ชันการทำงานเมื่อต้องบล็อกการใช้คีย์ RSA อ่อนที่มีความยาวน้อยกว่า 1024 บิต

ข้อมูลเพิ่มเติม

ความแรงของสาธารณะคีย์ที่ใช้เข้ารหัสลับอัลจะขึ้นอยู่กับเวลาที่ใช้ในการสืบทอดมาของคีย์ส่วนตัว โดยใช้วิธีการโจมตี อัลกอริทึมที่จะถูกพิจารณาว่ารัดกุมเพียงพอเมื่อเวลาที่ใช้ในการสืบทอดมาคีย์ส่วนตัวที่เป็น prohibitive เพียงพอ โดยการใช้พลังงานบนคอมพิวเตอร์ที่ขายทิ้ง แนวนอนคุกคามยังคงมีอยู่เมื่อต้องการเปลี่ยนแปลงไปตาม เข้มงวด ดังนั้น Microsoft จะเพิ่มเติมกว่าเงื่อนไขสำหรับอัลกอริทึม RSA ด้วยความยาวคีย์ที่มีความยาวน้อยกว่า 1024 บิต

หลังจากที่มีใช้การปรับปรุง รับรองกลุ่มที่ถูกสร้างขึ้น โดยใช้เฉพาะ CertGetCertificateChain ฟังก์ชันจะมีผลกระทบ CryptoAPI การสร้างสายความเชื่อถือของใบรับรอง และตรวจสอบลูกโซ่นั้น โดยใช้เวลาการมีผลบังคับใช้ การเพิกถอนใบรับรอง และนโยบายใบรับรอง (ตัวอย่างเช่นวัตถุประสงค์ที่วางเอาไว้) การปรับปรุงเพิ่มเติมโปรดตรวจสอบให้แน่ใจว่า ไม่มีใบรับรองเกี่ยวข้องกันมีความยาวเป็นคีย์ RSA ของน้อยกว่า 1024 บิตที่ประมวลผล

ปัญหาที่ทราบ ด้วยการปรับปรุงการรักษาความปลอดภัยนี้

หลังการปรับปรุงถูกนำไปใช้:
  • เริ่มการทำงานที่ถูกต้อง
  • การออกใบรับรอง (CA) ไม่สามารถออกใบรับรองของ RSA ที่มีความยาวน้อยกว่า 1024 บิตคีย์
  • ไม่สามารถเริ่มบริการของ CA (certsvc) เมื่อ CA ใช้ RSA ใบรับรองที่มีความยาวน้อยกว่า 1024 บิตคีย์
  • Internet Explorer จะไม่อนุญาตการเข้าถึงเว็บไซต์ที่ได้รับการป้องกัน โดยการใช้ RSA ใบรับรองที่มีความยาวของกุญแจของน้อยกว่า 1024 บิต
  • Outlook 2010 ไม่สามารถใช้การเข้ารหัสลับอีเมลถ้าใช้ RSA ใบรับรองที่มีความยาวน้อยกว่า 1024 บิตคีย์ อย่างไรก็ตาม อีเมลที่มีการเข้ารหัสลับไว้ โดยใช้ใบรับรอง RSA ด้วยคีย์ที่ความยาวน้อยกว่า 1024 บิตสามารถสามารถถอดรหัสลับหลังจากที่มีการติดตั้งการปรับปรุง
  • ไม่สามารถใช้ outlook 2010 ใช้ลงลายเซ็นอีเมลถ้าใช้ RSA ใบรับรองที่มีความยาวของกุญแจที่น้อยกว่า 1024 บิต
  • เมื่อได้รับอีเมลใน Outlook 2010 ที่มีลายเซ็นดิจิทัล หรือเข้ารหัสลับไว้ โดยใช้ RSA ใบรับรองที่มีความยาวน้อยกว่า 1024 บิตคีย์ ผู้ใช้ได้รับข้อผิดพลาดที่แจ้งว่า ใบรับรองไม่น่าเชื่อถือ ผู้ใช้ยังคงสามารถดูอีเมลที่เข้ารหัส หรือเซ็นชื่อ
  • Outlook 2010 ไม่สามารถเชื่อมต่อกับเซิร์ฟเวอร์ Microsoft Exchange ที่ใช้ RSA ใบรับรองที่มีความยาวของกุญแจของน้อยกว่า 1024 บิตสำหรับ SSL/TLS มีแสดงข้อผิดพลาดต่อไปนี้: "รายละเอียดที่คุณแลกเปลี่ยนกับไซต์นี้ไม่สามารถดู หรือเปลี่ยนแปลง โดยผู้อื่นได้ อย่างไรก็ตาม มีปัญหากับใบรับรองความปลอดภัยของไซต์ ใบรับรองความปลอดภัยไม่ถูกต้อง ไซต์ไม่ควรเชื่อถือ
  • มีรายงานการเตือนเกี่ยวกับความปลอดภัยของ "ผู้เผยแพร่ที่ไม่รู้จัก" แต่การติดตั้งสามารถดำเนินการต่อไปในกรณีต่อไปนี้:
    • มีพบลายเซ็น Authenticode เคยเวลาร้าง 1 มกราคม 2010 หรือวันที่ในภายหลัง และที่ถูกเซ็นชื่อ ด้วยใบรับรอง โดยใช้ RSA ใบรับรองที่มีความยาวของกุญแจของน้อยกว่า 1024 บิต
    • ตัวติดตั้งที่ถูกเซ็นชื่อ โดยใช้ RSA ใบรับรองที่มีความยาวน้อยกว่า 1024 บิตคีย์ ที่เซ็นชื่อ
    • ตัวควบคุม ActiveX ที่เซ็นชื่อ โดยใช้ RSA ใบรับรองที่มีความยาวของกุญแจของน้อยกว่า 1024 บิต ตัวควบคุม active X ที่ติดตั้งไว้แล้วก่อนที่คุณติดตั้งโปรแกรมปรับปรุงนี้จะไม่ได้รับผลกระทบ
  • ระบบศูนย์ HP-UX PA-RISC คอมพิวเตอร์ที่ใช้ใบรับรอง RSA ด้วยความยาวของกุญแจ 512 บิต จะสร้างข้อความแจ้งเตือนการเต้นหัวใจ และทุกตัวจัดการการดำเนินการติดตามของคอมพิวเตอร์จะล้มเหลว มี "SSL ใบรับรอง"ข้อผิดพลาดจะถูกสร้างขึ้นนอกจากนี้ มีคำอธิบาย "ใบรับรองการตรวจสอบลายเซ็น" นอกจากนี้ ตัวจัดการการดำเนินงานจะพบคอมพิวเตอร์ HP-UX PA-RISC ใหม่เนื่องจากมีข้อผิดพลาด "การตรวจสอบใบรับรองการเซ็นชื่อ" ลูกค้าของศูนย์ควบคุมระบบที่มีคอมพิวเตอร์ที่ใช้ RISC-HP-UX PA ออกใหม่ RSA ใบรับรองที่ มีความยาวคีย์ของ 1024 บิตน้อยขอแนะนำให้ได้ สำหรับข้อมูลเพิ่มเติม ไปที่เว็บเพจที่ TechNet ต่อไปนี้:
หมายเหตุ การเข้ารหัส EFS ไม่ได้รับผลกระทบ โดยการปรับปรุงนี้

ค้นหาใบรับรองที่ มีความยาวคีย์ของน้อยกว่า 1024 บิต RSA

มีวิธีการหลักที่สี่สำหรับการค้นหาถ้าคีย์ RSA ใบรับรองที่มีน้อยกว่า 1024 บิตถูกใช้:
  • ตรวจสอบใบรับรองและเส้นทางใบรับรองด้วยตนเอง
  • ใช้บันทึกข้อมูล CAPI2
  • แม่แบบใบรับรองการตรวจสอบ
  • การเปิดใช้งานการเข้าสู่ระบบในคอมพิวเตอร์ที่มีการติดตั้งการปรับปรุง

ตรวจสอบใบรับรองและเส้นทางใบรับรองด้วยตนเอง

คุณสามารถตรวจสอบใบรับรองด้วยตนเอง โดยการเปิด และการแสดงของพวกเขาชนิด ความยาวของคีย์ และเส้นทางใบรับรอง คุณสามารถทำได้ โดยการดู (โดยทั่วไป โดยการคลิกสองครั้ง) ใบรับรองใด ๆ ที่ถูกนำออกใช้เป็นการภายในได้ บนแท็บเส้นทางใบรับรองคลิกView Certificateสำหรับแต่ละใบรับรองเกี่ยวข้องกันเพื่อให้แน่ใจว่า ใบรับรองทั้งหมดของ RSA ใช้ความยาวคีย์บิตน้อย 1024

ตัวอย่างเช่น ในภาพต่อไปนี้ได้ออกใบรับรองไปยังตัวควบคุมโดเมน (2003DC.adatum.com) จากการ Enterprise Root CA ที่มีชื่อว่า AdatumRootCA คุณสามารถเลือกใบรับรอง AdatumRootCA ในแท็บเส้นทางใบรับรอง

ยุบรูปภาพนี้ขยายรูปภาพนี้
แท็บเส้นทางใบรับรอง


เมื่อต้องดูใบรับรอง AdatumRootCA คลิกView Certificate ในบานหน้าต่างรายละเอียดเลือกคีย์สาธารณะเพื่อดูขนาดของคีย์ ดังที่แสดงในภาพต่อไปนี้

ยุบรูปภาพนี้ขยายรูปภาพนี้
ดูใบรับรอง


ใบรับรอง RSA สำหรับ AdatumRootCA ในตัวอย่างนี้คือ 2048 บิต

ใช้บันทึกข้อมูล CAPI2

บนคอมพิวเตอร์ที่กำลังเรียกใช้ Windows Vista หรือ Windows Server 2008 หรือรุ่นที่ใหม่กว่าของ Windows คุณสามารถใช้ CAPI2 เข้าสู่ระบบเพื่อช่วยในการระบุคีย์ที่มีความยาวน้อยกว่า 1024 บิต คุณสามารถอนุญาตให้คอมพิวเตอร์เพื่อทำการดำเนินงานปกติ และตรวจสอบการล็อกเพื่อช่วยในการระบุคีย์ที่มีความยาวน้อยกว่า 1024 บิตในภายหลัง จากนั้น คุณนั้นสามารถใช้ข้อมูลดังกล่าวเพื่อติดตามลงแหล่งมาของใบรับรอง และทำการปรับปรุงจำเป็น

เมื่อต้องการทำเช่นนี้ คุณต้องเปิดใช้การสร้างการบันทึกการวินิจฉัย เมื่อต้องการเปิดใช้งานการเข้าสู่ระบบในโหมดการสร้าง ทำตามขั้นตอนเหล่านี้:

1. เปิดตัวแก้ไขรีจิสทรี (Regedit.exe)

2. ที่นำทางไปยังรีจิสทรีคีย์ต่อไปนี้:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crypt32


3. เพิ่มแบบ DWORD (32 บิต) ค่าDiagLevelด้วยค่าของ 0x00000005

4. เพิ่ม QWORD (64-บิต) ค่าDiagMatchAnyMaskด้วยค่าของ 0x00ffffff

ยุบรูปภาพนี้ขยายรูปภาพนี้
รายการรีจิสทรี DiagMatchAnyMask


หลังจากที่คุณทำเช่นนี้ คุณสามารถช่วย CAPI2 ปฏิบัติการบันทึกในเหตุการณ์ Viewer ล็อกการปฏิบัติ CAPI2 จะอยู่ภายใต้โปรแกรมประยุกต์และบริการ Logs, Microsoft, WindowsและCAPI2ใน Event Viewer เมื่อต้องการเปิดใช้งานการบันทึกข้อมูล การคลิกขวาแฟ้มบันทึกOperationalคลิก การเปิดใช้งานการบันทึกแล้ว คลิก กรองแฟ้มบันทึกปัจจุบัน. คลิก XML แท็บ และจากนั้น คลิกเพื่อเลือกนั้น แก้ไขแบบสอบถามด้วยตนเอง กล่องกาเครื่องหมาย
ยุบรูปภาพนี้ขยายรูปภาพนี้
การเปิดใช้งานการบันทึก


หลังจากที่คุณเก็บแฟ้มบันทึกแล้ว คุณสามารถใช้ตัวกรองต่อไปนี้เพื่อลดจำนวนของรายการที่คุณต้องการค้นหาการดำเนินการใบรับรอง throughto ค้นหา ด้วยคีย์ที่มีความยาวน้อยกว่า 1024 บิต ตัวกรองต่อไปนี้มีลักษณะสำหรับคีย์ของ 512 บิต

<QueryList>

<Query id="0" path="Microsoft-Windows-CAPI2/Operational">

<Select path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512 ']]]]] และ UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA ']]]]]]</Select>

</Query>

</QueryList>

ยุบรูปภาพนี้ขยายรูปภาพนี้
กรองแฟ้มบันทึกปัจจุบัน


คุณสามารถสอบถามสำหรับความยาวคีย์หลายยัง มีแบบสอบถามเดียว สำหรับตัวอย่าง แบบสอบถามตัวกรองต่อไปนี้สำหรับคีย์ 384 บิตและคีย์ 512 บิต

<QueryList>

<Query id="0" path="Microsoft-Windows-CAPI2/Operational">

<Select path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='384 ']]]]] และ UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA ']]]]]] หรือ Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512 ']]]]] และ UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA ']]]]]]</Select>

</Query>

</QueryList>

แม่แบบใบรับรองการตรวจสอบ

คุณสามารถรันการสอบถามต่อไปนี้บนเว็บไซต์ของคุณรับรอง (CAs) เพื่อค้นหาแม่แบบใบรับรองที่ใช้คีย์ของน้อยกว่า 1024 บิต:

certutil - dstemplate | findstr "[msPKI-น้อยที่สุด--ขนาดคีย์" | /v findstr "1024 2048 4096"

หมายเหตุ คุณควรเรียกใช้คำสั่งในแต่ละฟอเรสต์ในองค์กรของคุณ

ถ้าคุณเรียกใช้แบบสอบถามนี้ แม่แบบที่ใช้แป้นพิมพ์ที่มีขนาดเล็กกว่า 1024 บิตจะถูกแสดง ด้วยขนาดของคีย์ของพวกเขา ตัวเลขต่อไปนี้แสดงว่า สองของแม่แบบภายใน SmartcardLogon และ SmartcardUser มีความยาวคีย์เริ่มต้นที่มีขนาดของคีย์ต่ำสุดของ 512 บิต นอกจากนี้คุณยังอาจค้นหาแม่แบบอื่นที่ถูกทำซ้ำกับขนาดของคีย์ต่ำสุดของน้อยกว่า 1024 บิต

แต่ละแม่แบบที่คุณค้นพบที่อนุญาตให้มีค่าน้อยกว่า 1024 บิตคีย์ คุณควรพิจารณาว่า จะสามารถออกใบรับรองดังที่แสดงไว้ในส่วนแม่แบบใบรับรองของคอนโซลการออกใบรับรอง

ยุบรูปภาพนี้ขยายรูปภาพนี้
ส่วนของแม่แบบใบรับรอง


การเปิดใช้งานการเข้าสู่ระบบในคอมพิวเตอร์ที่มีการติดตั้งการปรับปรุง

คุณสามารถใช้การตั้งค่ารีจิสทรีเพื่อเปิดใช้งานคอมพิวเตอร์ที่มีการปรับปรุงที่นำไปใช้กับการค้นหาใบรับรองที่ มีความยาวคีย์ของน้อยกว่า 1024 บิต RSA ตัวเลือกสำหรับการใช้บันทึกข้อมูลได้อธิบายไว้ในส่วน "วิธีแก้ปัญหา" ได้เนื่องจากจะใกล้เคียงที่ชัดเจน ด้วยการตั้งค่ารีจิสทรีที่คุณสามารถใช้เพื่ออนุญาตให้มีความยาวของคีย์ของน้อยกว่า 1024 บิต ดูส่วน "อนุญาตให้มีความยาวของคีย์ของน้อยกว่า 1024 บิต โดยใช้การตั้งค่ารีจิสทรี" ในบทความนี้สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการเปิดใช้งานการเข้าสู่ระบบ

วิธีแก้ปัญหา

ความละเอียดสำหรับปัญหาใด ๆ ที่เกี่ยวข้องกับบล็อกของใบรับรองที่มีความยาวน้อยกว่า 1024 บิตคีย์ หลักคือมาตรฐานมีขนาดใหญ่ขึ้น (ความยาวของคีย์ 1024 บิต หรือใหญ่กว่า) ใบรับรอง เราขอแนะนำว่า ผู้ใช้สามารถใช้ใบรับรองที่มีความยาวของกุญแจของน้อย 2048 บิต

เพิ่มขนาดของคีย์สำหรับใบรับรองที่ออก โดยใช้ใบรับรองการลงทะเบียนโดยอัตโนมัติ

สำหรับแม่แบบที่ได้ออกใบรับรองของ RSA ด้วยความยาวคีย์ของน้อยกว่า 1024 บิต คุณควรพิจารณาการเพิ่มขนาดต่ำสุดของคีย์การตั้งค่าของ 1024 บิตน้อย ถือว่า อุปกรณ์ที่จะออกใบรับรองเหล่านี้ที่สนับสนุนที่มีขนาดใหญ่กว่าขนาดของคีย์

หลังจากที่คุณเพิ่มขนาดของคีย์ต่ำสุด ใช้ตัวเลือกReenroll ผู้ถือใบรับรองทั้งหมดในการ คอนโซลของแม่แบบใบรับรอง เมื่อต้องการทำให้ไคลเอ็นต์คอมพิวเตอร์ไปยัง Reenroll และร้องขอมีขนาดใหญ่กว่าขนาดของคีย์

ยุบรูปภาพนี้ขยายรูปภาพนี้
เข้าสู่ระบบด้วยสมาร์ทการ์ด


ถ้าคุณได้ออกใบรับรอง โดยใช้แม่แบบการเข้าสู่ระบบโดยใช้สมาร์ทการ์ดหรือผู้ใช้สมาร์ทการ์ดที่มีอยู่ภายใน คุณจะไม่สามารถปรับขนาดของคีย์ต่ำสุดของต้นแบบโดยตรง แทน คุณจะต้องทำสำเนาต้นแบบ เพิ่มขนาดของคีย์ในแม่แบบซ้ำกัน แล้ว แม่แบบซ้ำกันในแม่แบบต้นฉบับที่ความสำคัญเหนือกว่า.

ยุบรูปภาพนี้ขยายรูปภาพนี้
คุณสมบัติการเข้าสู่ระบบด้วยสมาร์ทการ์ดที่มีการปรับปรุง


หลังจากที่คุณความสำคัญเหนือกว่าแบบ ใช้ตัวเลือกReenroll ผู้ถือใบรับรองทั้งหมดเพื่อทำให้ไคลเอ็นต์คอมพิวเตอร์ไปยัง Reenroll และการร้องขอมีขนาดใหญ่กว่าขนาดของคีย์

ยุบรูปภาพนี้ขยายรูปภาพนี้
Reenroll ผู้ถือใบรับรองทั้งหมด


อนุญาตให้มีความยาวของคีย์ของน้อยกว่า 1024 บิต โดยใช้การตั้งค่ารีจิสทรี

Microsoft ไม่แนะนำให้ลูกค้าใช้ใบรับรองความยาวน้อยกว่า 1024 บิต ลูกค้าอย่างไรก็ตามอาจจำเป็นวิธีการแก้ปัญหาชั่วคราวในขณะที่การแก้ไขปัญหาคำที่ยาวจะได้รับการพัฒนาเพื่อแทนใบรับรอง RSA มีความยาวน้อยกว่าความยาว 1024 บิตคีย์ ในกรณีเหล่านี้ Microsoft ให้ลูกค้าความสามารถในการเปลี่ยนวิธีการปรับปรุงฟังก์ชัน ลูกค้าที่ตั้งค่าคอนฟิกการตั้งค่าเหล่านี้จะยอมรับความเสี่ยงที่ผู้โจมตีอาจจะสามารถแบ่งใบรับรองของตนเอง และใช้เพื่อแก้ไขเนื้อหา ดำเนินการโจมตีฟิชชิ่ง หรือทำการโจมตีผู้ชายในตัวกลาง

สิ่งสำคัญ นี้ส่วน วิธีการ หรืองานประกอบด้วยขั้นตอนที่บอกให้คุณทราบวิธีการปรับเปลี่ยนรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง ดังนั้น ตรวจสอบให้แน่ใจว่า คุณทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการป้องกันเพิ่มเติม สำรองรีจิสทรีก่อนที่คุณปรับเปลี่ยน จากนั้น คุณสามารถคืนค่ารีจิสทรีหากเกิดปัญหา สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรอง และคืนค่ารีจิสทรี ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
322756 วิธีการสำรอง และคืนค่ารีจิสทรีใน Windows
บน Windows 8 หรือคอมพิวเตอร์ที่ใช้ Windows Server 2012 ที่มีการปรับปรุงที่ใช้ เส้นทางรีจิสทรีและการตั้งค่าต่อไปนี้สามารถใช้ในการควบคุมการตรวจหาและการบล็อกของประกาศนียบัตรที่มีค่าน้อยกว่าความยาวคีย์ที่ 1024 บิต RSA

เหตุสำหรับ 0\CertDLLCreateCertificateChainEngine\Config

ไม่มีค่าหลักสี่ที่ควบคุมวิธีที่คีย์ภายใต้ 1024 bits การบล็อคการทำงาน สิ่งเหล่านี้มีดังนี้:
  • MinRsaPubKeyBitLength
  • EnableWeakSignatureFlags
  • WeakSignatureLogDir
  • WeakRsaPubKeyTime
ค่าเหล่านี้แต่ละและควบคุมอะไรจะถูกกล่าวถึงในส่วนต่อไปนี้

สำหรับระบบปฏิบัติการเริ่มการทำงานกับ Windows Vista และ Windows Server 2008 คุณสามารถใช้คำสั่งcertutilเพื่อเปลี่ยนแปลงการตั้งค่ารีจิสทรีเหล่านี้ ใน Windows XP, Windows Server 2003 และ Windows Server 2003 R2 คุณไม่สามารถใช้คำสั่งcertutilเพื่อเปลี่ยนแปลงการตั้งค่ารีจิสทรีเหล่านี้ อย่างไรก็ตาม คุณสามารถใช้ตัว แก้ไขรีจิสทรี คำสั่ง reg หรือ reg แฟ้ม

MinRsaPubKeyBitLength

MinRsaPubKeyBitLengthเป็นค่า DWORD ที่กำหนดขั้นต่ำอนุญาต RSA คีย์ยาว โดยค่าเริ่มต้น ค่านี้ไม่มีอยู่ และต่ำสุดที่อนุญาตให้ความยาวของคีย์ RSA คือ 1024 คุณสามารถใช้ certutil เพื่อตั้งค่านี้กับ 512 โดยการเรียกใช้คำสั่งต่อไปนี้:

chain\minRSAPubKeyBitLength - setreg certutil 512

หมายเหตุคำสั่ง certutil ทั้งหมดที่แสดงอยู่ในบทความนี้จำเป็นต้องมีสิทธิ์ของผู้ดูแลระบบภายในเครื่องได้เนื่องจากมีการเปลี่ยนแปลงรีจิสทรี คุณสามารถละเว้นข้อความที่อ่าน "บริการ CertSvc อาจจะมีผลสำหรับการเปลี่ยนแปลงมีผลบังคับใช้ ที่ไม่จำเป็นสำหรับคำสั่งเหล่านี้ได้เนื่องจากพวกเขาไม่มีผลต่อการบริการออกใบรับรอง (CertSvc)

คุณสามารถแปลงกลับเป็นคีย์การบล็อคที่มีความยาวน้อยกว่าบิต than1024 โดยการเอาค่า เมื่อต้องการทำเช่นนี้ เรียกใช้คำสั่งcertutilดังต่อไปนี้:

certutil - delreg chain\MinRsaPubKeyBitLength

EnableWeakSignatureFlags

ค่า dword EnableWeakSignatureFlagsมีสามค่าที่เป็นไปได้: 2, 4, 6 และ 8 การตั้งค่าเหล่านี้เปลี่ยนลักษณะการทำงานของวิธีการคีย์ภายใต้ 1024 bits ตรวจหาและการบล็อกการทำงาน การตั้งค่าที่อธิบายไว้ในตารางต่อไปนี้:
ยุบตารางนี้ขยายตารางนี้
ค่าทศนิยมคำอธิบาย
2เมื่อเปิดใช้งาน ใบรับรองหลัก (ในระหว่างการสร้างห่วงโซ่) ได้เมื่อต้องให้ใบรับรอง RSA มีความยาวน้อยกว่า 1024 บิตคีย์ บล็อกของ RSA ประกาศนียบัตรที่ต่ำกว่าในการเชื่อมโยงกันอยู่ (ถ้าพวกเขามีน้อยกว่า 1024 บิต) จะยังคงอยู่ในลักษณะพิเศษ ค่าสถานะการเปิดใช้งานเมื่อมีตั้งค่านี้ก็จะเป็นCERT_CHAIN_ENABLE_WEAK_RSA_ROOT_FLAG
4การเปิดใช้งานการบันทึกข้อมูล แต่ยังคง บังคับใช้บล็อกของ RSA รับรองกับคีย์น้อยกว่า 1024 บิต เมื่อเปิดใช้ WeakSignatureLogDir ที่จำเป็นต้องมี คีย์ทั้งหมดที่ มีค่าน้อยกว่าความยาว 1024 บิตที่พบจะถูกคัดลอกไปยังโฟลเดอร์ WeakSignatureLogDir ที่มีอยู่จริง ค่าสถานะการเปิดใช้งานเมื่อค่านี้ถูกกำหนดเป็นCERT_CHAIN_ENABLE_WEAK_LOGGING_FLAG
6เมื่อเปิดใช้ ใบรับรองหลักที่ได้รับอนุญาตให้มีใบรับรอง RSA มีคีย์น้อย กว่า 1024 บิต และ WeakSignatureLogDir ที่จำเป็นต้องมี คีย์ทั้งหมดด้านล่างของใบรับรองหลักที่มีคีย์ของน้อยกว่า 1024 บิตจะถูกบล็อค และเข้าสู่ระบบไปยังโฟลเดอร์ที่ระบุไว้เป็นการ WeakSignatureLogDir
8การเปิดใช้งานการเข้าสู่ระบบ และบังคับการบล็อกของคีย์ที่มีความยาวน้อยกว่า 1024 บิต เมื่อเปิดใช้ WeakSignatureLogDir ที่จำเป็นต้องมี คีย์ทั้งหมดที่พบที่มีความยาวน้อยกว่า 1024 บิตจะถูกคัดลอกไปยังโฟลเดอร์ WeakSignatureLogDir ที่มีอยู่จริง ค่าสถานะการเปิดใช้งานเมื่อมีตั้งค่านี้ก็จะเป็นCERT_CHAIN_ENABLE_ONLY_WEAK_LOGGING_FLAG

ตัวอย่าง

เมื่อต้องการเปิดใช้งานใบรับรองหลัก RSA ที่มีความยาวน้อยกว่า 1024 บิตคีย์ ใช้คำสั่งcertutilดังต่อไปนี้:

chain\EnableWeakSignatureFlags - setreg certutil 2

เมื่อต้องการเปิดใช้งานการเข้าสู่ระบบในขณะที่ยังคง บล็อกใบรับรองที่ใช้ความยาวของกุญแจของน้อยกว่า 1024 บิต ใช้คำสั่งcertutilดังต่อไปนี้:

chain\EnableWeakSignatureFlags - setreg certutil 4

เมื่อต้องการเปิดใช้การบันทึกเฉพาะ RSA รับรองด้านล่างของใบรับรองหลักที่มีความยาวน้อยกว่า 1024 บิตคีย์ ใช้คำสั่งcertutilดังต่อไปนี้:

chain\EnableWeakSignatureFlags - setreg certutil 6

เมื่อต้องการเปิดใช้งานการเข้าสู่ระบบเท่านั้น และไม่บล็อกความยาวคีย์ของน้อยกว่า 1024 บิต ใช้คำสั่งcertutilดังต่อไปนี้:

chain\EnableWeakSignatureFlags - setreg certutil 8

หมายเหตุ เมื่อคุณเปิดใช้การบันทึก (4, 6 หรือ 8 ในการตั้งค่าฐานสิบ), คุณต้องยังกำหนดค่าไดเรกทอรีล็อกตามที่อธิบายไว้ในส่วนถัดไป

WeakSignatureLogDir

เมื่อกำหนด ใบรับรองที่มีความยาวน้อยกว่า 1024 บิตคีย์ จะถูกเขียนไปยังโฟลเดอร์ที่ระบุ ตัวอย่างเช่น C:\Under1024KeyLog อาจเป็นข้อมูลสำหรับค่านี้ ตัวเลือกนี้จำเป็นเมื่อ EnableWeakSignatureFlags เป็น 4 หรือ 8 ตรวจสอบให้แน่ใจว่า คุณกำหนดค่าความปลอดภัยบนโฟลเดอร์ที่ระบุเพื่อให้ทั้งผู้ใช้การพิสูจน์ตัวจริงและกลุ่มภายในแพคเกจโปรแกรมประยุกต์ทั้งหมดที่ได้ปรับเปลี่ยนการเข้าถึง เมื่อต้องตั้งค่านี้สำหรับ C:\Under1024KeyLog คุณสามารถใช้คำสั่ง certutil ดังต่อไปนี้:

Chain\WeakSignatureLogDir - setreg Certutil "c:\Under1024KeyLog"

นอกจากนี้คุณยังสามารถกำหนดค่า WeakSignatureLogDir ในการเขียนไปยังโฟลเดอร์ที่ใช้ร่วมกันบนเครือข่าย ตรวจสอบให้แน่ใจว่า คุณมีสิทธิ์ที่เหมาะสมสำหรับการกำหนดค่าสำหรับตำแหน่งที่ตั้งเครือข่ายเพื่อให้ผู้ใช้ทั้งหมดที่จัดโครงแบบที่สามารถเขียนไปยังโฟลเดอร์ที่ใช้ร่วมกัน คำสั่งต่อไปนี้คือ ตัวอย่างของการตั้งค่าคอนฟิก WeakSignatureLogDir การเขียนไปยังโฟลเดอร์ที่ชื่อว่าคีย์ที่อยู่ในโฟลเดอร์ที่ใช้ร่วมกันบนเครือข่ายชื่อRSAบนServer1:

Chain\WeakSignatureLogDir - setreg Certutil "\\server1\rsa\keys"

WeakRsaPubKeyTime

WeakRsaPubKeyTime มีค่า REG_BINARY 8 ไบต์ที่ประกอบด้วยชนิดข้อมูล Windows FILETIME ถูกเก็บไว้เป็นเวลา UTC/GMT ค่านี้จะพร้อมใช้งานเพื่อลดปัญหาที่อาจเกิดขึ้นได้ โดยคีย์การบล็อคที่มีความยาวน้อยกว่า 1024 บิตสำหรับลายเซ็น Authenticode เป็นหลัก ใบรับรองที่ใช้เพื่อเข้าสู่ระบบรหัสก่อนกำหนดวันและเวลาจะไม่มีเลือกสำหรับคีย์ที่มีความยาวน้อยกว่า 1024 บิต โดยค่าเริ่มต้น ค่ารีจิสทรีนี้ไม่มีอยู่ และถือว่าเป็นเช้า 1 มกราคม 2010 ล่วงหน้าในเวลาเที่ยงคืนเวลา UTC/GMT

หมายเหตุตั้งค่านี้จะสามารถใช้ได้กับเมื่อมีใช้ใบรับรองเพื่อ Authenticode เวลาร้างแฟ้มที่เข้าสู่ระบบ ถ้ารหัสไม่ ครั้งร้าง แล้วใช้เวลาปัจจุบัน และไม่มีใช้การตั้งค่า WeakRsaPubKeyTime

การตั้งค่า WeakRsaPubKeyTime สำหรับการกำหนดค่าของวันที่ที่จะพิจารณาลายเซ็นเก่าให้ถูกต้องได้ ถ้าคุณมีเหตุผลในการตั้งค่าวันที่แตกต่างกันและเวลาสำหรับการ WeakRsaPubKeyTime คุณจะสามารถใช้ certutil เพื่อตั้งค่าวันแบบอื่น ตัวอย่างเช่น ถ้าคุณต้องการตั้งค่าวัน 29 สิงหาคม 2010 คุณสามารถใช้คำสั่งต่อไปนี้:

chain\WeakRsaPubKeyTime - setreg certutil @ 08/29/2010

ถ้าคุณต้องกำหนดเวลาระบุ เช่น 6:00 PM บน 4 กรกฎาคม 2011 แล้วเพิ่มจำนวนวันและชั่วโมงที่อยู่ในรูปแบบ + [dd:hh] คำสั่ง เนื่องจาก 6:00 PM คือ หลังเที่ยงคืนของวันที่ 4 กรกฎาคม 2011, 18 ชั่วโมงคุณจะต้องเรียกใช้คำสั่งต่อไปนี้:

chain\WeakRsaPubKeyTime - setreg certutil @ 01/15/2011 + 00:18

การตั้งค่าคอนฟิกใบรับรองใน Internet Information Services (IIS)

ถ้าคุณเป็นลูกค้าที่ IIS ที่มีการออกใบรับรองใหม่ที่ 1024 บิต หรืออีกต่อไป ให้ดูบทความต่อไปนี้:
วิธีการตั้งค่า SSL ใน IIS 7
SSL และใบรับรองใน IIS 6

การแก้ไข

แฟ้มต่อไปนี้พร้อมใช้งานสำหรับการดาวน์โหลดจากศูนย์ดาวน์โหลดของไมโครซอฟท์:


สำหรับทั้งหมดที่ได้รับการสนับสนุน x ที่ใช้ x86 รุ่นของ Windows XP

ยุบรูปภาพนี้ขยายรูปภาพนี้
ดาวน์โหลด
ดาวน์โหลดแพคเกจนี้

สำหรับทั้งหมดที่ได้รับการสนับสนุน x รุ่นที่ใช้ x64 ของ Windows XP Professional x64 edition

ยุบรูปภาพนี้ขยายรูปภาพนี้
ดาวน์โหลด
ดาวน์โหลดแพคเกจนี้

สำหรับทั้งหมดที่ได้รับการสนับสนุน Windows Server 2003 รุ่นที่ใช้ x86

ยุบรูปภาพนี้ขยายรูปภาพนี้
ดาวน์โหลด
ดาวน์โหลดแพคเกจนี้

สำหรับทั้งหมดที่ได้รับการสนับสนุน x รุ่นที่ใช้ x64 ของ Windows Server 2003

ยุบรูปภาพนี้ขยายรูปภาพนี้
ดาวน์โหลด
ดาวน์โหลดแพคเกจนี้

สำหรับทั้งหมดได้รับการสนับสนุน IA-รุ่นที่ใช้ x64 ของ Windows Server 2003

ยุบรูปภาพนี้ขยายรูปภาพนี้
ดาวน์โหลด
ดาวน์โหลดแพคเกจนี้

สำหรับทั้งหมดที่ได้รับการสนับสนุน x ที่ใช้ x86 รุ่นของ Windows Vista

ยุบรูปภาพนี้ขยายรูปภาพนี้
ดาวน์โหลด
ดาวน์โหลดแพคเกจนี้

สำหรับทั้งหมดที่ได้รับการสนับสนุน x รุ่นที่ใช้ x64 ของ Windows Vista

ยุบรูปภาพนี้ขยายรูปภาพนี้
ดาวน์โหลด
ดาวน์โหลดแพคเกจนี้

สำหรับทั้งหมดที่ได้รับการสนับสนุน x รุ่นที่ใช้ x86 Windows Server 2008

ยุบรูปภาพนี้ขยายรูปภาพนี้
ดาวน์โหลด
ดาวน์โหลดแพคเกจนี้

สำหรับทั้งหมดที่ได้รับการสนับสนุน x รุ่นที่ใช้ x64 ของ Windows Server 2008

ยุบรูปภาพนี้ขยายรูปภาพนี้
ดาวน์โหลด
ดาวน์โหลดแพคเกจนี้

สำหรับทั้งหมดได้รับการสนับสนุน IA-รุ่นที่ใช้ x64 ของ Windows Server 2008

ยุบรูปภาพนี้ขยายรูปภาพนี้
ดาวน์โหลด
ดาวน์โหลดแพคเกจนี้

สำหรับทั้งหมดที่ได้รับการสนับสนุน x ที่ใช้ x86 รุ่นของ Windows 7

ยุบรูปภาพนี้ขยายรูปภาพนี้
ดาวน์โหลด
ดาวน์โหลดแพคเกจนี้

สำหรับทั้งหมดที่ได้รับการสนับสนุน x รุ่นที่ใช้ x64 ของ Windows 7

ยุบรูปภาพนี้ขยายรูปภาพนี้
ดาวน์โหลด
ดาวน์โหลดแพคเกจนี้

สำหรับทั้งหมดที่ได้รับการสนับสนุน x รุ่นที่ใช้ x64 ของ Windows Server 2008 R2

ยุบรูปภาพนี้ขยายรูปภาพนี้
ดาวน์โหลด
ดาวน์โหลดแพคเกจนี้

สำหรับทั้งหมดได้รับการสนับสนุน IA-รุ่นที่ใช้ x64 ของ Windows Server 2008 R2

ยุบรูปภาพนี้ขยายรูปภาพนี้
ดาวน์โหลด
ดาวน์โหลดแพคเกจนี้

สำหรับทั้งหมดที่ได้รับการสนับสนุน x ที่ใช้ x86 รุ่นของ Windows ในการฝังตัว 7 มาตรฐาน

ยุบรูปภาพนี้ขยายรูปภาพนี้
ดาวน์โหลด
ดาวน์โหลดแพคเกจนี้

สำหรับทั้งหมดที่ได้รับการสนับสนุน x รุ่นที่ใช้ x64 ของ Windows ในการฝังตัว 7 มาตรฐาน

ยุบรูปภาพนี้ขยายรูปภาพนี้
ดาวน์โหลด
ดาวน์โหลดแพคเกจนี้

วันวางจำหน่าย: 14 สิงหาคม 2012

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการดาวน์โหลดแฟ้มสนับสนุนของ Microsoft คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
119591 วิธีการขอรับแฟ้มสนับสนุนของ Microsoft จากบริการออนไลน์
Microsoft สแกนแฟ้มนี้เพื่อหาไวรัส Microsoft ใช้ซอฟต์แวร์ตรวจสอบไวรัสล่าสุดณวันที่แฟ้มถูกลงรายการบัญชี แฟ้มถูกจัดเก็บในเซิร์ฟเวอร์เพิ่มการรักษาความปลอดภัยซึ่งช่วยป้องกันการเปลี่ยนแปลงใด ๆ ที่ไม่ได้รับอนุญาตไปยังแฟ้มโปรแกรม

แฟ้มข้อมูล

สำหรับรายการของแฟ้มที่มีอยู่ภายในแพคเกจต่าง ๆ เหล่านี้ คลิกการเชื่อมโยงต่อไปนี้:
คุณลักษณะตารางสำหรับ 2661254.csv การปรับปรุงการรักษาความปลอดภัยของแฟ้ม

คุณสมบัติ

หมายเลขบทความ (Article ID): 2661254 - รีวิวครั้งสุดท้าย: 21 สิงหาคม 2555 - Revision: 1.0
ใช้กับ
  • Windows 7 Service Pack 1 เมื่อใช้กับ:
    • Windows 7 Enterprise
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Home Premium
    • Windows 7 Home Basic
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Home Premium
  • Windows 7 Home Basic
  • Windows Server 2008 R2 Service Pack 1 เมื่อใช้กับ:
    • Windows Server 2008 R2 Standard
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2 เมื่อใช้กับ:
    • Windows Server 2008 for Itanium-Based Systems
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 2 เมื่อใช้กับ:
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Service Pack 1 เมื่อใช้กับ:
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 2 เมื่อใช้กับ:
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 3 เมื่อใช้กับ:
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional Edition
Keywords: 
kbsecadvisory atdownload kbbug kbexpertiseinter kbfix kbsecurity kbsecvulnerability kbmt KB2661254 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:2661254

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com