Перейти к основному контенту
Поддержка
Войти
Войдите с помощью учетной записи Майкрософт
Войдите или создайте учетную запись.
Здравствуйте,
Выберите другую учетную запись.
У вас несколько учетных записей
Выберите учетную запись, с помощью которой нужно войти.

ВВЕДЕНИЕ

Корпорация Майкрософт выпустила бюллетень по безопасности MS12-006. Просмотреть его целиком можно на одном из указанных ниже веб-сайтов Майкрософт:

Справка и поддержка по этому обновлению для системы безопасности

Помощь в установке обновлений: поддержка для Центра обновления Майкрософт

Решения по обеспечению безопасности для ИТ-специалистов: устранение неполадок и поддержка по вопросам безопасности на сайте TechNet

Защита компьютера под управлением Windows от вирусов и вредоносных программ: центр обеспечения безопасности и защиты от вирусов

Локальная поддержка в вашей стране: международная поддержка

Помощь в решении проблемы

Для решения этой проблемы выпущено два исправления Fix it.

  • Решение Fix it для протокола TLS 1.1 в браузере Internet Explorer. Это решение включает протокол TLS 1.1, не подверженный данной уязвимости, в Windows Internet Explorer. Большинству пользователей рекомендуется использовать именно это решение Fix it.

  • Решение Fix it для протокола TLS 1.1 на серверах Windows. Это решение включает протокол TLS 1.1, который не подвержен данной уязвимости.

Решения Fix it, описанные в этом разделе, не заменяют обновлений для системы безопасности, последние версии которых всегда должны быть установлены на компьютере. Однако в некоторых ситуациях для обхода проблемы предлагается использовать данные решения.

Дополнительные сведения об обходных способах решения этой проблемы см. в бюллетене по безопасности MS12-006:

http://technet.microsoft.com/ru-ru/security/bulletin/ms12-006 В бюллетене приведены дополнительные сведения о проблеме, в том числе следующие данные:

  • условия, при которых рекомендуется применять обходное решение;

  • факторы, снижающие опасность;

  • обходные способы решения проблемы;

  • вопросы и ответы.

Для просмотра этих сведений найдите раздел Сведения об уязвимости и разверните абзац Временные решения в абзаце Уязвимость протоколов SSL и TLS (CVE-2011-3389).

Решение Fix it для протокола TLS 1.1 в Internet Explorer

Чтобы включить или отключить это решение Fix it, нажмите кнопку Fix it или щелкните ссылку под заголовком Включить или Отключить. В диалоговом окне Загрузка файла нажмите кнопку Выполнить и следуйте инструкциям мастера Fix it.

Включить

Отключить

Примечания

  • Мастера могут быть доступны только на английском языке, однако автоматические исправления можно применять в версиях Windows на любых языках.

  • Если используется не тот компьютер, на котором выявлена проблема, средство автоматического исправления можно сохранить на устройстве флэш-памяти или компакт-диске и затем запустить на нужном компьютере.

Решение Fix it для протокола TLS 1.1 на серверах Windows

Чтобы включить или отключить это решение Fix it, нажмите кнопку Fix it или щелкните ссылку под заголовком Включить или Отключить. В диалоговом окне Загрузка файла нажмите кнопку Выполнить и следуйте инструкциям мастера Fix it.

Включить

Отключить

Примечания.

  • Эти мастера могут быть доступны только на английском языке, однако автоматические исправления можно применять в версиях Windows на любых языках.

  • Если используется не тот компьютер, на котором выявлена проблема, средство автоматического исправления можно сохранить на устройстве флэш-памяти или компакт-диске и затем запустить на нужном компьютере.

Известные проблемы, возникающие после установки этого обновления безопасности

После установки этого обновления для системы безопасности на некоторых серверах HTTPS может произойти сбой при проверке подлинности или потеря подключения. Эта проблема возникает из-за того, что данное обновление для системы безопасности изменяет способ отправки записей на HTTPS-серверы.

Чтобы временно отключить или повторно включить это обновление для системы безопасности, нажмите кнопку Fix it или щелкните ссылку под заголовком Отключить обновление для системы безопасности или Повторно включить обновление для системы безопасности. В диалоговом окне Загрузка файла нажмите кнопку Выполнить и следуйте инструкциям мастера устранения проблем.

Отключить обновление для системы безопасности

Повторно включить обновление для системы безопасности

Примечания.

  • Эти мастера могут быть доступны только на английском языке, однако автоматические исправления можно применять в версиях Windows на любых языках.

  • Если используется не тот компьютер, на котором выявлена проблема, средство автоматического исправления можно сохранить на устройстве флэш-памяти или компакт-диске и затем запустить на нужном компьютере.

В следующей таблице приведены значения, которые применяются этими решениями Fix it к записи реестра DWORD SendExtraRecord:

Заголовок

Значение, применяемое к записи SendExtraRecord

Отключить обновление для системы безопасности

2

Повторно включить обновление для системы безопасности

0

Примечание. Параметр SendExtraRecord будет входить в следующие версии Windows.

Известные проблемы и подробные сведения, связанные с этим обновлением для системы безопасности

В указанных ниже статьях содержится дополнительная информация об этом обновлении для системы безопасности, предназначенная для отдельных версий продуктов, Кроме того, в них могут быть указаны сведения об известных проблемах. Известные проблемы указаны после ссылки на статью.

  • 2585542 MS12-006: описание обновления для системы безопасности Webio, Winhttp и Schannel в Windows, от 10 января 2012 года

  • 2638806 MS12-006: описание обновления для системы безопасности Winhttp в 64-разрядном (x64) выпуске Windows XP Professional и Windows Server 2003, от 10 января 2012 года

Сведения о внесении изменений в реестр

Не рекомендуется Мы не рекомендуем использовать описанную ниже процедуру в целях отключения данного обновления для системы безопасности. Однако мы приводим эту процедуру для сценариев, в которых вы можете использовать приложения, несовместимые с этим обновлением для системы безопасности, что позволяет включить разделяемые записи SSL для всех приложений.

Внимание! В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако их неправильное изменение может привести к возникновению серьезных проблем. Поэтому при выполнении этих действий рекомендуется строго соблюдать инструкции. Чтобы обеспечить дополнительную защиту, создайте резервную копию реестра. Это позволит восстановить реестр в случае возникновения проблем. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:

322756Создание резервной копии и восстановление реестра Windows

По умолчанию это обновление для системы безопасности устанавливает режим явного согласия на уровне Schannel из-за проблемы с совместимостью приложений. Чтобы отключить это обновление для системы безопасности для всех приложений в системе, добавьте в следующий подраздел реестра параметр DWORD с именем SendExtraRecord и значением 2:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL Чтобы добавить эту запись реестра Schannel, выполните следующие действия:

  1. В меню Пуск выберите пункт Выполнить, в поле Открыть: введите команду regedit и нажмите кнопку ОК.

  2. Найдите и выделите указанный ниже подраздел реестра.

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

  3. В меню Правка выберите пункт Создать, а затем — Параметр DWORD.

  4. Введите SendExtraRecord в качестве имени параметра DWORD и нажмите клавишу ВВОД.

  5. Щелкните правой кнопкой мыши значение SendExtraRecord и выберите команду Изменить.

  6. В поле Значение введите 2, чтобы отключить разделяемую запись в Schannel, и нажмите кнопку ОК.

  7. Закройте редактор реестра.

Эта запись реестра может иметь три значения, каждое из которых соответствует отдельному режиму работы:

Значение раздела реестра:

Описание

0

По умолчанию Schannel включается в режим явного согласия. Это значит, что данное обновление для системы безопасности будет работать для всех вызывающих объектов, которые отправляют флаг Secure в Schannel. Пакет безопасности не создает запись реестра "SendExtraRecord" Schannel. Таким образом, отсутствие записи реестра Schannel означает, что система работает в этом режиме. Если кто-то создает этот раздел реестра и устанавливает его значение равным 0, Schannel опять выполняется в этом режиме. 

Влияние этого параметра аналогично отказу от создания этой записи реестра. Приложения, которые отправляют флаг Secure в Schannel во время инициализации сеанса, используют только фиксированную безопасную папку кода. Для других приложений изменения в режиме работы Schannel будут отсутствовать.

Это обновление для системы безопасности также исправляет прикладные уровни, которые вовлечены в просмотр веб-страниц с помощью Internet Explorer, для отправки флага Secure, чтобы помочь обеспечить безопасность сценариев использования браузера.

Примечание. В Windows Server 2003 должно быть установлено обновление для системы безопасности 2638806, чтобы обеспечить безопасность клиентских HTTP-приложений, использующих API WinHTTP. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

2638806 MS12-006: описание обновления для системы безопасности Winhttp в 64-разрядном (x64) выпуске Windows XP Professional и Windows Server 2003, от 10 января 2012 года

1

Установка значения 1 соответствует режиму "включено для всех". Это значит, что вызывающим объектам не требуется отправлять флаг, а Schannel разделяет все записи SSL. При таком значении приложениям не требуется вносить никаких изменений. Клиент, сильно обеспокоенный безопасностью системы, может повысить ее уровень, разрешив этот раздел реестра.

2

Установка значения 2 соответствует режиму "отключено для всех". Это означает, что Schannel не разделяет записи для любых выполняемых приложением вызовов шифрования. В этом режиме отправляемый приложением флаг Secure не обрабатывается.

Результаты нашего внутреннего тестирования показали, что вам нецелесообразно устанавливать значение реестра равным 1, так как это может нарушить работу слишком большого числа сценариев на предприятии. Поэтому мы не рекомендуем пользователям так поступать.

Известные проблемы, связанные с разрешением записи реестра SendExtraRecord

  • Установка значения реестра SendExtraRecord равным 1 включает принудительное разделение записей в каждом вызове для шифрования данных в Schannel. Это происходит независимо от того, отправляет ли вызывающий объект флаг Secure во время инициализации сеанса.

  • Многие приложения, использующие Schannel, написаны таким образом, что на стороне приемника действует предположение об упаковке данных приложения в один пакет. Это происходит даже несмотря на то, что приложение вызывает Schannel для расшифровки. Приложения игнорируют флаг который устанавливает Schannel. Этот флаг указывает приложению, что имеются дополнительные данные для расшифровки и извлечения приемником. Этот метод не соответствует предписаниям MSDN по использованию Schannel. Поскольку данное обновление для системы безопасности включает принудительное разделение записей, оно нарушает работу таких приложений.

  • К таким приложениям относятся продукты корпорации Майкрософт и стандартные компоненты. Ниже приведены примеры сценариев, работа которых может быть нарушена при установке значения реестра SendExtraRecord равным 1:

    • Все продукты SQL, а также приложения, которые построены на базе SQL.

    • Серверы терминалов, для которых включена проверка подлинности на уровне сети (Network Level Authentication, NLA). По умолчанию проверка подлинности на уровне сети включена в Windows Vista и более поздних версиях операционной системы Windows.

    • Некоторые сценарии службы маршрутизации и удаленного доступа (Routing Remote Access Service, RRAS).

Установка значения реестра SendExtraRecord равным 1 включает принудительное безопасное разделение записей для всех приложений, которые используют TLS/SSL в Windows. Однако этот параметр с высокой вероятностью вызывает проблемы совместимости приложений. Поэтому мы рекомендуем клиентам вместо использования этого параметра реестра настроить TLS 1.1 и TLS 1.2. TLS 1.1 и TLS 1.2 не вызывают проявление такой проблемы.

Если пользователь намеревается использовать этот параметр реестра, мы рекомендуем предварительно провести тщательный тест совместимости приложений. К распространенным продуктам, которые подвержены влиянию этого параметра, относятся продукты Microsoft SQL, Windows Terminal Server и сервер удаленного доступа Windows.

Часто задаваемые вопросы

Вопрос. Как Майкрософт помогает защищать серверные приложения?
Ответ. Убедитесь, что ваше приложение может работать с фрагментацией записей приложений SSL/TLS согласно описанию в следующих RFC:

Facebook LinkedIn Электронная почта
ПОДПИСКА НА RSS-КАНАЛЫ

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Обнаружение Сообщества

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Преимущества подписки на Microsoft 365

Обучение работе с Microsoft 365

Microsoft Security

Центр специальных возможностей

В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.

Вопросы сообществу Microsoft

Сообщество Microsoft Tech Community

Участники программы предварительной оценки Windows

Участники программы предварительной оценки Microsoft 365

Были ли сведения полезными?

Насколько вы удовлетворены качеством перевода?
Что повлияло на вашу оценку?
После нажатия кнопки "Отправить" ваш отзыв будет использован для улучшения продуктов и служб Майкрософт. Эти данные будут доступны для сбора ИТ-администратору. Заявление о конфиденциальности.

Спасибо за ваш отзыв!

×