Microsoft Güvenlik Danışma Belgesi: En düşük sertifika anahtarı uzunluğu için güncelleştirme

Makale çevirileri Makale çevirileri
Makale numarası: 2661254 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

GİRİŞ

Microsoft, BT uzmanlarına yönelik bir Microsoft güvenlik danışma belgesi yayımladı. Bu danışma belgesi, 1024 bit'ten az anahtarlara sahip RSA sertifikalarının kullanımının engelleneceğini duyurur. Güvenlik danışma belgesini görüntülemek için şu Microsoft Web sitesine gidin:
http://technet.microsoft.com/en-us/security/advisory/2661254
Microsoft, önemli bilgilerden yetkisiz şekilde yararlanılması riskini azaltmak için Microsoft Windows'un tüm desteklenen sürümlerine yönelik güvenlikle ilgili olmayan bir güncelleştirme (KB 2661254) yayımladı. Bu güncelleştirme 1024 bit'ten az olan şifrelenmiş anahtarları engeller. Bu güncelleştirme Windows 8 Release Preview veya Windows Server 2012 Sürüm Adayı için geçerli değildir; çünkü bu işletim sistemleri uzunluğu 1024 bit'ten az olan zayıf RSA anahtarlarının kullanımını engellemeye yönelik işlevselliği zaten içerir.

Daha fazla bilgi

Ortak anahtar tabanlı şifrelenmiş algoritmanın gücü, özel anahtarın kaba kuvvet yöntemleri kullanılarak türetilmesi sırasında geçen zamana göre belirlenir. Özel anahtarın türetilme süresi hazır bulunan işleme gücü kullanılarak yeterince engelleyici olduğunda algoritmanın yeterince güçlü olduğu düşünülür. Tehdit ortamı evrilmeye devam eder. Bu nedenle, Microsoft 1024 bit'ten az olan anahtar uzunluklarıyla RSA algoritmasına yönelik ölçütü daha da sağlamlaştırır.

Güncelleştirme uygulandıktan sonra, yalnızca CertGetCertificateChain işlevi kullanılarak oluşturulan sertifika zincirleri etkilenir. CryptoAPI, sertifika güven zinciri oluşturur ve zaman geçerliliğini, sertifika iptalini ve sertifika ilkelerini (hedeflenen amaçlar gibi) kullanarak bu zinciri doğrular. Güncelleştirme, zincirdeki hiçbir sertifikanın 1024 bit'ten daha az RSA anahtar uzunluğuna sahip olmadığından emin olmak için ek denetim uygular.

Güncelleştirme yenileme bilgileri

Bu güncelleştirme aşağıdaki güncelleştirmeyi yeniler:
2677070 Windows Vista, Windows Server 2008, Windows 7 ve Windows Server 2008 R2 için iptal edilmiş sertifikaların otomatik bir güncelleştiricisi kullanılabilir

Bu güvenlik güncelleştirmesiyle ilgili bilinen sorunlar

Güncelleştirme uygulandıktan sonra:
  • Yeniden başlatılması gerekli.
  • Sertifika yetkilisi (CA) 1024 bit'ten daha az anahtar uzunluğuna sahip RSA sertifikalarını veremez.
  • CA hizmeti (certsvc), CA 1024 bit'ten daha az anahtar uzunluğuna sahip RSA sertifikasını kullanırken başlatılamaz.
  • Internet Explorer, 1024 bit'ten daha az anahtar uzunluğuna sahip RSA sertifikası kullanılarak korunan bir web sitesine erişilmesine izin vermez.
  • Outlook 2010 1024 bit'ten daha az anahtar uzunluğuna sahip RSA sertifikasını kullanıyorsa, e-posta şifrelemek için kullanılamaz. Ancak, 1024 bit'ten daha az anahtar uzunluğuna sahip RSA sertifikası kullanılarak zaten şifrelenmiş e-postanın şifresi, güncelleştirme yüklendikten sonra kaldırılabilir.
  • Outlook 2010 1024 bit'ten daha az anahtar uzunluğuna sahip RSA sertifikasını kullanıyorsa, e-postayı dijital olarak imzalamak için kullanılamaz.
  • Outlook 2010'da, dijital imzası olan veya 1024 bitten daha az anahtar uzunluğuna sahip RSA sertifikası kullanılarak şifrelenen e-posta alındığında, kullanıcı sertifikanın güvenilir olmadığını belirten bir hata alır. Kullanıcı şifrelenmiş veya imzalanmış e-postayı görüntülemeye devam edebilir.
  • Outlook 2010, SSL/TLS için 1024 bit'ten daha az anahtar uzunluğuna sahip RSA sertifikası kullanan Microsoft Exchange sunucusuna bağlanamaz. Aşağıdaki hata görüntülenir: "Bu siteye girdiğiniz bilgiler görüntülenemez veya başkaları tarafından değiştirilemez. Ancak, sitenin güvenlik sertifikasında sorun var. Güvenlik sertifikası geçerli değil. Bu siteye güvenilmemeli."
  • "Bilinmeyen Yayımcı"nın güvenlik uyarıları raporlanır, ancak yükleme aşağıdaki durumlarda devam edebilir:
    • 1 Ocak 2010'da veya daha sonraki bir tarihte zaman damgası uygulanan ve 1024 bit'ten daha az anahtar uzunluğuna sahip RSA sertifikası kullanılarak imzalanan authenticode imzalarıyla karşılaşılır.
    • 1024 bit'ten daha az anahtar uzunluğuna sahip RSA sertifikası kullanılarak imzalanmış yükleyiciler.
    • 1024 bit'ten daha az anahtar uzunluğuna sahip RSA sertifikası kullanılarak imzalanmış ActiveX denetimleri. Bu güncelleştirmeyi yüklemeden önce zaten yüklenmiş olan Active X denetimleri etkilenmez.
  • 512 bit anahtar uzunluğuna sahip RSA sertifikasını kullanan Sistem Merkezi HP-UX PA-RISC bilgisayarları denetim sinyali yayınlayan uyarılar üretir ve bilgisayarlara yönelik Operations Manager izlemelerinin tümü başarısız olur. "İmzalanmış sertifika doğrulaması" açıklamasıyla birlikte "SSL Sertifikası Hatası" da üretilir. Ayrıca, "imzalanmış sertifika doğrulaması" hatası nedeniyle, Operations Manager yeni HP-UX PA-RISC bilgisayarlarını bulmaz. HP-UX PA-RISC bilgisayarlarına sahip Sistem Merkezi müşterilerinin en az 1024 bit anahtar uzunluğuna sahip RSA sertifikalarını yeniden vermeleri önerilir. Daha fazla bilgi için aşağıdaki TechNet web sayfasına gidin:
    ÖNEMLİ: Operations Manager tarafından izlenen HP-UX PA-RISC bilgisayarları, yakında yayımlanacak olan Windows güncelleştirmesinden sonra denetim sinyali yayınlama ve izleme hatalarıyla karşılaşacaklardır
Not EFS şifrelemesi bu güncelleştirmeden etkilenmez.

1024 bit'ten daha az anahtar uzunluğuna sahip RSA sertifikalarını bulma

1024 bit'ten daha az olan anahtarlara sahip RSA sertifikaları kullanımdaysa dört ana bulma yöntemi vardır:
  • Sertifikaları ve sertifika yollarını elle denetleme
  • CAPI2 günlüğünü kullanma
  • Sertifika şablonlarını denetleme
  • Güncelleştirmenin yüklü olduğu bilgisayarlarda günlüğü etkinleştirme

Sertifikaları ve sertifika yollarını elle denetleme

Sertifikaları; açtıktan sonra türlerini, anahtar uzunluklarını ve sertifika yollarını görüntüleyerek elle denetleyebilirsiniz. Bunu, dahili olarak verilmiş herhangi bir sertifikayı görüntüleyerek (genellikle çift tıklatarak) yapabilirsiniz. Sertifika Yolu sekmesinde, tüm RSA sertifikalarının en az 1024 bit anahtar uzunluğunu kullandığından emin olmak üzere zincirdeki her bir sertifika için Sertifikayı Göster'i tıklatın.

Örneğin aşağıdaki şekilde yer alan sertifika, AdatumRootCA adlı Kuruluş Kök CA'sından etki alanı denetleyicisine (2003DC.adatum.com) verilmiştir. Sertifika Yolu sekmesinde AdatumRootCA sertifikasını seçebilirsiniz.

Bu resmi kapatBu resmi aç
2798470


AdatumRootCA sertifikasını görmek için Sertifikayı Göster'i tıklatın. Ayrıntılar bölmesinde, anahtar boyutunu aşağıdaki şekilde gösterildiği gibi görmek için Ortak anahtar'ı seçin.

Bu resmi kapatBu resmi aç
2798471


Bu örnekte AdatumRootCA için RSA sertifikası 2048 bit'tir.

CAPI2 günlüğünü kullanma

Windows Vista veya Windows Server 2008 ya da daha sonraki Windows sürümlerini çalıştıran bilgisayarlarda, uzunluğu 1024 bit'ten az olan anahtarları tanımlamaya yardımcı olmak için CAPI2 günlüğünü kullanabilirsiniz. Bilgisayarların her zamanki işlemlerini gerçekleştirmesine izin verebilir, ardından uzunluğu 1024 bit'ten az olan anahtarları tanımlamaya yardımcı olması için günlüğü denetleyebilirsiniz. Daha sonra, sertifikaların kaynaklarını izlemek için bu bilgileri kullanabilir ve gerekli güncelleştirmeleri yapabilirsiniz.

Bunu yapmak için önce ayrıntılı tanı günlüğünü etkinleştirmeniz gerekir. Ayrıntılı moddaki günlüğü etkinleştirmek için şu adımları uygulayın:

1. Kayıt Defteri Düzenleyicisi'ni (Regedit.exe) açın.

2. Aşağıdaki kayıt defteri anahtarına gidin:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crypt32


3. 0x00000005 değerine sahip DWORD (32 bit) değeri DiagLevel'ı ekleyin.

4. 0x00ffffff değerine sahip QWORD (64 bit) değeri DiagMatchAnyMask'i ekleyin.

Bu resmi kapatBu resmi aç
2798472


Bunu yaptıktan sonra, Olay Görüntüleyicisi'nde CAPI2 işlem günlüğünü etkinleştirebilirsiniz. CAPI2 İşlem günlüğü; Olay Görüntüleyicisi'nde Uygulamalar ve Hizmet Günlükleri, Microsoft, Windows ve CAPI2 altında yer alır. Günlüğü etkinleştirmek için İşlem günlüğünü sağ tıklatın, Günlüğü Etkinleştir'i tıklatın ve ardından Geçerli Günlüğe Filtre Uygula'yı tıklatın. XML sekmesini tıklatın ve ardından Sorguyu elle düzenle onay kutusunu tıklatarak seçin.
Bu resmi kapatBu resmi aç
2798473


Günlüğü topladıktan sonra, uzunluğu 1024 bit'ten az olan anahtarlara sahip sertifika işlemlerini bulmak üzere aramanız gereken girdilerin sayısını azaltmak için aşağıdaki filtreyi kullanabilirsiniz. Aşağıdaki filtre 512 bit anahtarları arar.

<QueryList>

<Query Id="0" Path="Microsoft-Windows-CAPI2/Operational">

<Select Path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]]</Select>

</Query>

</QueryList>

Bu resmi kapatBu resmi aç
2798474


Tek bir sorgu ile, birden çok anahtar uzunluğunu da sorgulayabilirsiniz. Örneğin, aşağıdaki filtre 384 bit anahtarları ve 512 bit anahtarları sorgular.

<QueryList>

<Query Id="0" Path="Microsoft-Windows-CAPI2/Operational">

<Select Path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='384']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]] or Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]]</Select>

</Query>

</QueryList>

Sertifika şablonlarını denetleme

1024 bit'ten az olan anahtarları kullanan sertifika şablonlarını bulmak için Sertifika Yetkilileri'nde (CAs) aşağıdaki sorguyu çalıştırabilirsiniz.

certutil -dstemplate | findstr "[ msPKI-Minimal-Key-Size" | findstr /v "1024 2048 4096"

Not Komutu kuruluşunuzdaki her bir ormanda çalıştırmanız gerekir.

Bu sorguyu çalıştırırsanız, 1024 bit'ten küçük olan anahtarları kullanan şablonlar anahtar boyutlarıyla gösterilir. Aşağıdaki şekil, yerleşik şablonlardan ikisinin (SmartcardLogon ve SmartcardUser), en az 512 bit anahtar boyutundaki varsayılan anahtar uzunluklarına sahip olduklarını gösterir. Ayrıca, 1024 bit'ten az olan en küçük anahtar boyutlarıyla çoğaltılmış diğer şablonları da bulabilirsiniz.

1024 bit anahtarlardan daha azına izin veren bulduğunuz her bir şablon için, sertifikaları Sertifika Yetkilisi konsolunun Sertifika Şablonları bölümünde gösterildiği şekilde vermenin mümkün olup olmayacağını belirlemeniz gerekir.

Bu resmi kapatBu resmi aç
2798475


Güncelleştirmenin yüklü olduğu bilgisayarlarda günlüğü etkinleştirme

1024 bit'ten az anahtar uzunluklarına sahip RSA sertifikalarını bulmak üzere güncelleştirmenin uygulandığı bilgisayarları etkinleştirmek için kayıt defteri ayarlarını kullanabilirsiniz. Günlüğü uygulamaya yönelik seçenek "Çözümler" bölümünde açıklanır çünkü 1024 bit'ten az anahtar uzunluklarına izin vermek için kullanılabilen kayıt defteri ayarlarıyla sıkıca birleşmiştir. Günlüğü etkinleştirme hakkında daha fazla bilgi için, bu makalenin sonraki bölümlerinde yer alan "Kayıt defteri ayarlarını kullanarak 1024 bit'ten az anahtar uzunluklarına izin verme" bölümüne bakın.

Çözümler

1024 bit'ten az olan anahtar uzunluğuna sahip sertifikanın engellenmesi ile ilgili sorunlara yönelik birincil çözüm, daha büyük bir (1024 bit veya daha büyük anahtar uzunluğu) sertifika uygulamaktır. Kullanıcılara, en az 2048 bit anahtar uzunluğuna sahip sertifikaları uygulamalarını öneririz.

Sertifika otomatik kaydı aracılığıyla verilen sertifikaya yönelik anahtar boyutunu artırma

1024 bit'ten az anahtar uzunluğuna sahip RSA sertifikalarını veren şablonlar için, en düşük anahtar boyutunu en az 1024 bit ayarına çıkarabilirsiniz. Bu, bu sertifikaların verildiği aygıtların daha büyük anahtar boyutunu desteklediğini varsayar.

En düşük anahtar boyutunu artırdıktan sonra, istemci bilgisayarların daha büyük bir anahtar boyutunu Yeniden Kaydetmelerini ve istemelerini sağlamak için Sertifika Şablonları Konsolu'ndaki Bütün Sertifika Tutucularını Yeniden Kaydet seçeneğini kullanın.

Bu resmi kapatBu resmi aç
2798476


Sertifikaları yerleşik Akıllı Kart Oturumu Açma veya Akıllı Kart Kullanıcı şablonlarını kullanarak verirseniz, şablonun en düşük anahtar boyutunu doğrudan ayarlayamazsınız. Bunun yerine; şablonu çoğaltmanız, çoğaltılan şablondaki anahtar boyutunu artırmanız ve ardından özgün şablonun yerine çoğaltılan şablonu koymanız gerekir.

Bu resmi kapatBu resmi aç
2798477


Şablonu değiştirdikten sonra, istemci bilgisayarların daha büyük bir anahtar boyutunu Yeniden Kaydetmelerini ve istemelerini sağlamak için Bütün Sertifika Tutucularını Yeniden Kaydet seçeneğini kullanın.

Bu resmi kapatBu resmi aç
2798478


Kayıt defteri ayarlarını kullanarak 1024 bit'ten az anahtar uzunluklarına izin verme

Microsoft, müşterilerin 1024 bit'ten az olan sertifikaları kullanmalarını önermez. Ancak müşteriler, 1024 bit'ten az anahtar uzunluğuna sahip RSA sertifikalarını değiştirmek için daha uzun vadeli bir çözüm geliştirilirken geçici bir çözüme ihtiyaç duyabilir. Bu durumda Microsoft, müşterilerine güncelleştirmenin çalışma şeklini değiştirme imkanı sunar. Bu ayarları yapılandıran müşteriler, saldırganın sertifikalarını kırabilmesi ve bunları içeriğe sızmak ya da kimlik avı veya Ortadaki Adam saldırıları gerçekleştirmek için kullanabilmesi riskini kabul eder.

Önemli Bu bölüm, yöntem veya görev kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatlice uyguladığınızdan emin olun. Ek koruma için, kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
322756 Windows XP'de kayıt defterini yedekleme ve geri yükleme
Güncelleştirmenin uygulandığı Windows 8 veya Windows Server 2012 tabanlı bilgisayarlarda, aşağıdaki kayıt defteri yolu ve ayarlar 1024 bit anahtar uzunluğundan daha azına sahip olan RSA sertifikalarının algılanmasını ve engellenmesini denetlemek için kullanılabilir.

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config

1024 bit altındaki anahtar engellemesinin nasıl çalıştığını denetleyen dört ana değer bulunur. Bu değerler şunlardır:
  • MinRsaPubKeyBitLength
  • EnableWeakSignatureFlags
  • WeakSignatureLogDir
  • WeakRsaPubKeyTime
Bu değerlerin her biri ve bu değerlerin denetledikleri aşağıdaki bölümlerde anlatılmaktadır.

Windows Vista ve Windows Server 2008 ile başlayan işletim sistemleri için, bu kayıt defteri ayarlarını değiştirmek üzere certutil komutlarını kullanabilirsiniz. Windows XP, Windows Server 2003 ve Windows Server 2003 R2'de, bu kayıt defteri ayarlarını değiştirmek için certutil komutlarını kullanamazsınız. Ancak Kayıt Defteri Düzenleyicisi'ni, reg komutunu veya reg dosyasını kullanabilirsiniz.

MinRsaPubKeyBitLength

MinRsaPubKeyBitLength, izin verilen en düşük RSA anahtar uzunluğunu tanımlayan bir DWORD değeridir. Varsayılan olarak bu değer yoktur ve izin verilen en düşük RSA anahtar uzunluğu 1024'tür. Bu değeri 512 olarak ayarlamak için aşağıdaki komutu çalıştırarak certutil'i kullanabilirsiniz.

certutil -setreg chain\minRSAPubKeyBitLength 512

NotBu makalede gösterilen tüm certutil komutları, yerel Yönetici ayrıcalıklarını gerektirir çünkü kayıt defterini değiştirirler. "Değişikliklerin etkili olması için CertSvc hizmetinin yeniden başlatılması gerekebilir" iletisini yok sayabilirsiniz. Bu komutlar için buna gerek yoktur; çünkü sertifika hizmetini (CertSvc) etkilemezler.

Bu değeri kaldırarak, 1024 bit'ten daha az uzunluğa sahip anahtarları engellemeye dönebilirsiniz. Bunu yapmak için, aşağıdaki certutil komutunu çalıştırın:

certutil -delreg chain\MinRsaPubKeyBitLength

EnableWeakSignatureFlags

EnableWeakSignatureFlags DWORD değeri üç olası değere sahiptir: 2, 4, 6 ve 8. Bu ayarlar, 1024 bit altındaki anahtar algılaması ve engellemesinin çalışma şeklini değiştirir. Ayarlar aşağıdaki tabloda açıklanmaktadır:
Bu tabloyu kapaBu tabloyu aç
Ondalık değerAçıklama
2Etkinleştirildiğinde, kök sertifikanın (zincir oluşturma sırasında) 1024 bit'ten az anahtar uzunluğuna sahip RSA sertifikasını almasına izin verilir. Zincirde daha alt sıralarda olan RSA sertifikalarının engellenmesi (1024 bit anahtarlardan daha azına sahiplerse), etkisini korur. Bu değer CERT_CHAIN_ENABLE_WEAK_RSA_ROOT_FLAG olarak ayarlandığında etkinleştirilen bayrak.
4Günlüğü etkinleştirir, ancak 1024 bit'ten az olan anahtarlara sahip RSA sertifikalarının engellenmesini zorlamaya devam eder. Etkinleştirildiğinde, WeakSignatureLogDir gerekir. 1024 bit'ten daha az uzunluğu olan karşılaşılan anahtarların tümü fiziksel WeakSignatureLogDir klasörüne kopyalanır. Bu değer CERT_CHAIN_ENABLE_WEAK_LOGGING_FLAG olarak ayarlandığında etkinleştirilen bayrak.
6Etkinleştirildiğinde, kök sertifikasının 1024 bit'ten az olan anahtara sahip RSA sertifikasını almasına izin verilir ve WeakSignatureLogDir gerekir. 1024 bit'ten az olan anahtarlara sahip kök sertifikalarının altındaki tüm anahtarlar engellenir ve WeakSignatureLogDir olarak belirtilen klasöre kaydedilir.
8Günlüğü etkinleştirir ve 1024 bit'ten az uzunluğa sahip anahtarların engellenmesini zorlamaz. Etkinleştirildiğinde, WeakSignatureLogDir gerekir. 1024 bit'ten daha az uzunluğa sahip karşılaşılan anahtarların tümü fiziksel WeakSignatureLogDir klasörüne kopyalanır. Bu değer CERT_CHAIN_ENABLE_ONLY_WEAK_LOGGING_FLAG olarak ayarlandığında etkinleştirilen bayrak.

Örnekler

1024 bit'ten daha az anahtar uzunluğuna sahip olan RSA kök sertifikasını etkinleştirmek için, aşağıdaki certutil komutunu kullanın:

certutil -setreg chain\EnableWeakSignatureFlags 2

1024 bit'ten az olan anahtar uzunluğunu kullanan sertifikalar engellenmeye devam ederken günlüğü etkinleştirmek için, aşağıdaki certutil komutunu kullanın:

certutil -setreg chain\EnableWeakSignatureFlags 4

Yalnızca 1024 bit'ten daha az anahtar uzunluğuna sahip olan kök sertifikasının altındaki RSA sertifikalarının günlüğünü etkinleştirmek için, aşağıdaki certutil komutunu kullanın:

certutil -setreg chain\EnableWeakSignatureFlags 6

1024 bit'ten az olan anahtar uzunluklarını engellemeden yalnızca günlüğü etkinleştirmek için aşağıdaki certutil komutunu kullanın:

certutil -setreg chain\EnableWeakSignatureFlags 8

Not Günlüğü (ondalık ayar 4, 6 veya 8) etkinleştirdiğinizde, günlük dizinini bir sonraki bölümde açıklandığı şekilde yapılandırmanız da gerekir.

WeakSignatureLogDir

Tanımlandığında, 1024'ten az olan anahtar uzunluğuna sahip sertifikalar belirtilen klasöre yazılır. Örneğin, C:\Under1024KeyLog bu değere yönelik veri olabilir. Bu seçenek EnableWeakSignatureFlags 4 veya 8 olarak ayarlandığında gereklidir. Kimliği Doğrulanmış Kullanıcıların ve Tüm Uygulama Paketleri yerel grubunun değiştirme erişimine sahip olmaları için belirtilen klasördeki güvenliği yapılandırdığınızdan emin olun. Bu değeri C:\Under1024KeyLog için ayarlamak üzere aşağıdaki certutil komutunu kullanabilirsiniz:

Certutil -setreg chain\WeakSignatureLogDir "c:\Under1024KeyLog"

Ağ paylaşım klasörüne yazmak için WeakSignatureLogDir'i de yapılandırabilirsiniz. Yapılandırılan tüm kullanıcıların paylaşılan klasöre yazabilmesi için, ağ konumuna yönelik yapılandırılmış uygun izinlere sahip olduğunuzdan emin olun. Aşağıdaki komut, WeakSignatureLogDir'i, Sunucu1'deki RSA adlı ağ paylaşım klasöründe yer alan Anahtarlar adındaki klasöre yazmak üzere yapılandırma örneğidir.

Certutil -setreg chain\WeakSignatureLogDir "\\server1\rsa\keys"

WeakRsaPubKeyTime

WeakRsaPubKeyTime, UTC/GMT olarak depolanan Windows FILETIME veri türünü içeren 8 baytlık REG_BINARY değeridir. Bu değer, Authenticode imzaları için 1024 bit'ten daha az uzunluğa sahip anahtarların engellenerek olası sorunların azaltılması amacıyla birincil olarak kullanılabilir. Yapılandırılan tarih ve zaman 1024 bit'ten daha az uzunluğa sahip anahtarlar için denetlenmeden önce kod imzalamak için kullanılan sertifikalar. Varsayılan olarak bu kayıt defteri değeri yoktur ve UTC/GMT gece yarısında 1 Ocak 2010 sabahı olarak değerlendirilir.

NotBu ayar, yalnızca, bir sertifika zaman damgası uygulanan dosyayı Authenticode ile imzalamak için kullanıldığında uygulanabilir. Koda zaman damgası uygulanmamışsa, geçerli zaman kullanılır ve WeakRsaPubKeyTime ayarı kullanılmaz.

WeakRsaPubKeyTime ayarı, eski imzaların geçerli olarak değerlendirildiği tarihin yapılandırılmasına izin verir. WeakRsaPubKeyTime için farklı bir tarih ve zaman ayarlamanız gerekirse, certutil komutunu farklı bir tarih ayarlamak üzere kullanabilirsiniz. Örneğin tarihi 29 Ağustos 2010'a ayarlamak isterseniz, aşağıdaki komutu kullanabilirsiniz:

certutil -setreg chain\WeakRsaPubKeyTime @08/29/2010

4 Temmuz 2011, 18:00 gibi belirli bir zaman ayarlamanız gerekirse, günlerin ve saatlerin rakamlarını +[gg:ss] biçiminde komuta ekleyin. 18:00 saati, 4 Temmuz 2011 gece yarısından 18 saat sonra olduğu için aşağıdaki komutu çalıştırırsınız:

certutil -setreg chain\WeakRsaPubKeyTime @01/15/2011+00:18

Internet Bilgi Hizmetleri'nde (IIS) Sertifikaları Yapılandırma

1024 bit veya daha uzun yeni sertifikalar yayınlaması gereken bir IIS müşterisi iseniz, aşağıdaki makalelere bakın:
IIS 7'de SSL kurulumu
IIS 6'da SSL ve Sertifikalar

Çözüm

Aşağıdaki dosyalar Microsoft Yükleme Merkezi'nden indirilebilir:


Windows XP'nin tüm desteklenen x86 tabanlı sürümleri

Bu resmi kapatBu resmi aç
İndir
Paketi şimdi indirin.

Windows XP Professional x64 Edition'ın tüm desteklenen x64 tabanlı sürümleri

Bu resmi kapatBu resmi aç
İndir
Paketi şimdi indirin.

Windows Server 2003'ün tüm desteklenen x86 tabanlı sürümleri

Bu resmi kapatBu resmi aç
İndir
Paketi şimdi indirin.

Windows Server 2003'ün tüm desteklenen x64 tabanlı sürümleri

Bu resmi kapatBu resmi aç
İndir
Paketi şimdi indirin.

Windows Server 2003'ün tüm desteklenen IA-64 tabanlı sürümleri

Bu resmi kapatBu resmi aç
İndir
Paketi şimdi indirin.

Windows Vista'nın tüm desteklenen x86 tabanlı sürümleri

Bu resmi kapatBu resmi aç
İndir
Paketi şimdi indirin.

Windows Vista'nın tüm desteklenen x64 tabanlı sürümleri

Bu resmi kapatBu resmi aç
İndir
Paketi şimdi indirin.

Windows Server 2008'in tüm desteklenen x86 tabanlı sürümleri

Bu resmi kapatBu resmi aç
İndir
Paketi şimdi indirin.

Windows Server 2008'in tüm desteklenen x64 tabanlı sürümleri

Bu resmi kapatBu resmi aç
İndir
Paketi şimdi indirin.

Windows Server 2008'in tüm desteklenen IA-64 tabanlı sürümleri

Bu resmi kapatBu resmi aç
İndir
Paketi şimdi indirin.

Windows 7'nin tüm desteklenen x86 tabanlı sürümleri için

Bu resmi kapatBu resmi aç
İndir
Paketi şimdi indirin.

Windows 7'nin tüm desteklenen x64 tabanlı sürümleri

Bu resmi kapatBu resmi aç
İndir
Paketi şimdi indirin.

Windows Server 2008 R2'nin tüm desteklenen x64 tabanlı sürümleri

Bu resmi kapatBu resmi aç
İndir
Paketi şimdi indirin.

Windows Server 2008 R2'nin tüm desteklenen IA-64 tabanlı sürümleri

Bu resmi kapatBu resmi aç
İndir
Paketi şimdi indirin.

Windows Embedded Standard 7'nin tüm desteklenen x86 tabanlı sürümleri

Bu resmi kapatBu resmi aç
İndir
Paketi şimdi indirin.

Windows Embedded Standard 7'nin tüm desteklenen x64 tabanlı sürümleri

Bu resmi kapatBu resmi aç
İndir
Paketi şimdi indirin.

Yayın Tarihi: 14 Ağustos 2012

Microsoft Destek dosyalarını indirme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
119591 Microsoft destek dosyaları çevrimiçi hizmetlerden nasıl alınır
Microsoft bu dosyada virüs taraması yapmıştır. Microsoft, dosyanın kullanıma sunulduğu tarihteki en güncel virüs tarama yazılımını kullanmıştır. Dosya, üzerinde herhangi bir yetkisiz değişiklik yapılmasını engellemeye yardım eden geliştirilmiş güvenliğe sahip sunucularda depolanır. 

DOSYA BİLGİLERİ

Bu paketler içinde sağlanan dosyaların listesi için aşağıdaki bağlantıyı tıklatın:
Güvenlik güncelleştirmesi 2661254.csv için dosya öznitelikleri tabloları

Özellikler

Makale numarası: 2661254 - Last Review: 26 Aralık 2012 Çarşamba - Gözden geçirme: 6.0
Bu makaledeki bilginin uygulandığı durum:
  • Windows 7 Service Pack 1, Ne zaman ne ile kullanilir:
    • Windows 7 Enterprise
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Home Premium
    • Windows 7 Home Basic
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Home Premium
  • Windows 7 Home Basic
  • Windows Server 2008 R2 Service Pack 1, Ne zaman ne ile kullanilir:
    • Windows Server 2008 R2 Standard
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2, Ne zaman ne ile kullanilir:
    • Windows Server 2008 for Itanium-Based Systems
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 2, Ne zaman ne ile kullanilir:
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Service Pack 1, Ne zaman ne ile kullanilir:
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 2, Ne zaman ne ile kullanilir:
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 3, Ne zaman ne ile kullanilir:
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional Edition
Anahtar Kelimeler: 
kbsecadvisory atdownload kbbug kbexpertiseinter kbfix kbsecurity kbsecvulnerability KB2661254

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com