يتوفر التحديث الذى يُمكّن المسؤولين من إجراء تحديث بقوائم الشهادات (CTL) الموثوق بها وغير المسموح بها فى البيئات غير المتصلة فى نظام Windows

ينطبق على: Windows Vista Service Pack 2Windows Vista BusinessWindows Vista Business 64-bit edition

الموجز


يوفر هذا التحديث التحسينات التالية لنظام Windows:
  • ويقوم بتمكين المسؤولين من تكوين أجهزة الكمبيوتر المرتبطة بمجال لاستخدام ميزة التحديث التلقائي مع قوائم الثقة للشهادات سواء كانت الموثوقة أو غير المسموح بها. يمكن أن تستخدم الأجهزة ميزة التحديث التلقائى دون الوصول إلى موقع Windows Update.
  • ويتمكن المسؤولين من تكوين أجهزة الكمبيوتر المتصلة بمجال لتحديد قوائم (CTL) الموثوقة وغير المسموح بها باستقلالية باستخدام ميزة التحديث التلقائى.




  • يُمكّن المسؤولين من فحص مجموعة الشهادات الجذر (CAs) فى برنامج الشهادات الجذر لـMicrosoft.
لمزيد من المعلومات حول هذه التغيرات والتحسينات، يُرجى الانتقال إلى صفحة Microsoft التالية على الويب:

المتطلبات الأساسية للمعرفة


تُوجه هذه المقالة من قاعدة المعارف لمسئولي البنية التحتية للمفتاح العام (PKI) الذين يتمتعون بمعرفة أساسية حول نهج المجموعة وتحديث الجذر التابعة لجهة أخرى والشهادات غير الموثوقة والقوائم غير المسموح بها. كما تُوجه هذه المقالة من قاعدة المعارف لمسئولي (PKI) الذين يمكنهم تحرير ملفات ADM/ADMX البسيطة لنشر النهج باستخدام الأداة المساعدة الخاصة بـ "تحديث نهج المجموعة". ولمزيد من المعلومات حول كيفية استخدام ملفات ADMX، ارجع إلى دليل خطوة بخطوة لإدارة ملفات نهج المجموعة ADMX.

الخلفية


يُمكّن برنامج Windows Root Certificate من توزيع شهادات الجذر الموثوقة تلقائياً فى نظام Windows. وللحصول على معلومات حول قائمة الأعضاء ببرنامج Windows Root Certificate، انتقل إلى موقع Microsoft التالي على الويب: يمكن توزيع شهادات الجذر الموثوقة باستخدام الطرق التالية:
  1. تلقائيًا: يمكن أن يقوم العملاء بتنزيل شهادات الجذر الموثوقة أو تحديثها باستخدام آلية التحديث التلقائى. يتم تخزين قائمة شهادات الجذر الموثوقة فى إحدى قوائم الثقة للشهادات (CTL موثوقة) على خوادم Windows Update.
  2. يدويًا: يمكن أن يقوم المستخدمين بتنزيل قائمة شهادات الجذر الموثوقة كحزمة استخراج ذاتى IEXPRESS من موقعMicrosoft Download Center وWindows Catalog وMicrosoft Windows Server Update Services (WSUS). يتم إصدار حزمة IEXPRESS في الوقت نفسه مع قائمة CTL الموثوقة.
وللحصول على المزيد من المعلومات حول كيفية توزيع شهادات الجذر، انتقل إلى صفحة Microsoft التالية على الويب: يمكن توزيع شهادات جذر غير موثوقة (شهادات معروفة علناً بأنها غير آمنة) باستخدام الطرق التالية:
  1. تلقائيًا: يمكن أن يقوم العملاء بتنزيل شهادات الجذر غير الموثوقة أو تحديثها باستخدام آلية التحديث التلقائى. ويتم تخزين شهادات الجذر غير الموثوقة في إحدى قوائم CTL (CTL غير موثوقة) على خوادم Windows Update. ولمزيد من المعلومات حول تنزيل شهادات الجذر غير الموثوقة تلقائيًا، انتقل إلى صفحة Microsoft التالية على الويب:
  2. يدويًا: يمكن أن يقوم العملاء بتنزيل قائمة شهادات غير موثوقة كحزمة استخراج ذاتى IEXPRESS من Windows Update. يتم إصدار حزمة IEXPRESS بعد إسبوعين من إصدار قائمة CTL غير الموثوقة.
ملاحظة آلية التحديث التلقائي لشهادات الجذر الموثوقة وغير الموثوقة واحدة. ويمكنك تعطيل آلية التحديث التلقائى لكلا النوعين من الشهادات باستخدام إعدادت التسجيل نفسها. وللمزيد من المعلومات، انتقل إلى التحكم فى ميزة تحديث شهادات الجزر منعاً لتدفق المعلومات من وإلى الإنترنت.

يجب أن تقوم بتعطيل آلية التحديث التلقائى لشهادات CTL الموثوقة فى حالة قيامك بإدارة مجموعة شهادات الجذر الموثوقة الخاصة بك.

المشكلات المعروفة


قد تواجه إحدى المشكلات التالية عند القيام بإدارة الشهادات قبل تثبيت هذا التحديث:
  • يجب استخدام حزم IEXPRESS الوارد ذكرها فى قسم "الخلفية" فى مقالة قاعدة المعارف لتحديث شهادات الجذر الموثوقة وغير الموثوقة فى بيئة غير متصلة. ومع ذلك يجب أن تقوم بتثبيت حزم IEXPRESS يدوياً. فضلاً عن وجود احتمال بحدوث تأخير لحزم IEXPRESS.على الرغم من إننا نعمل جاهدين لتوفير الحزم فى نفس وقت توزيع قائمة CTL. 

    ملاحظة البيئة غير المتصلة هى بيئة تتحقق فيها الظروف التالية:
    • يحظر الوصول المباشر إلى Windows Update.
    • آلية التحديث التلقائى لشهادات CTL الموثوقة وغير الموثوقة معطلة.
  • لا يمكنك تعطيل آلية التحديث التلقائى لشهادات CTL الموثوقة وغير الموثوقة بشكل فردي. أي يمكنك فقط تعطيل آلية التحديث التلقائى لشهادات CTL الموثوقة وغير الموثوقة كليهما معاً.

    ملاحظة ننصح المسؤولين الذين يقومون بإدارة قائمة شهادات الجذر الخاصة بهم بتعطيل خدمة التحديث التلقائى "Automatic Update" لقوائم CTL الموثوقة. ومع ذلك لا ننصحهم بتعطيل خدمة التحديث التلقائى مع قوائم CTL غير الموثوقة.
  • لا توجد آلية للمستخدمين الذين يقومون بإدارة قائمة شهادات الجذر الخاصة بهم لعرض شهادات الجذر بسهولة فى برنامج الجذر وتحديد أى من الشهادات يمكن الوثوق بها.

الحل


يتضمن هذا التحديث الجديد للبرنامج الإصلاحات التالية التى تساعد فى إصلاح المشكلات التى تم توضيحها فى قسم "وصف المشكلات" فى هذه المقالة من قاعدة المعارف.
  • يضيف هذا التحديث الميزات التالية لنظام Windows مما يمكنك من استخدام آلية التحديث التلقائى فى البيئات غير المتصلة:
    1. إعدادات التسجيل الجديدة: تُمكّنك إعدادات التسجيل من تغيير موقع URL لتنزيل قوائم CTL الموثوقة وغير الموثوقة من Windows Update ونقله إلى موقع مشترك فى منظمة. كلاً من مخططات FILE وHTTP مدعومة فى إعدادات التسجيل. وللمزيد من المعلومات حول إعدادات التسجيل، انتقل إلى قسم مفاتيح التسجيل فى مقالة قاعدة المعارف.

      ملاحظةفى حالة تغيير موقع URL إلى مجلد مشترك محلي، يجب مزامنة المجلد المشترك المحلي مع مجلد Windows Update.
    2. مجموعة جديدة من الخيارات في الأداة Certutil: ستتيح لك هذه الخيارات المزيد من الأساليب لمزامنة المجدات. وللحصول على مزيد من المعلومات حول هذه الخيارات، راجع قسم الأفعال الجديدة فى Certutil فى هذه المقالة من قاعدة المعارف.
  • يفك تحديث البرنامج ارتباط آلية التحديث التلقائى لشهادات CTL الموثوقة وغير الموثوقة. على سبيل المثال، بعد تطبيق التحديث يمكنك استخدام مفتاح التسجيل فقط لتعطيل آلية التحديث التلقائى لشهادات الجذر الموثوقة. وللمزيد من المعلومات حول مفاتيح التسجيل، راجع قسم مفاتيح التسجيل فى هذه المقالة من قاعدة المعارف.
  • يقدم هذا التحديث أداة جديدة للمسؤولين تمكنهم من استخدام خاصية عرض مجموعة شهادات الجذر الموثوقة فى برنامج "الشهادات الجذر لـ Microsoft". نقدم هذه الأداة للمسؤولين الذين يقومون بإدارة مجموعة شهادات الجذر الموثوقة لمؤسسة. يمكن للمسؤول أن يستخدم هذه الأداة لاختيار مجموعة شهادات الجذر الموثوقة وتصديرها إلى مخزن شهادات متسلسلة وتوزيعها من خلال نهج المجموعة. وللحصول على مزيد من المعلومات، راجع قسم الأفعال الجديدة فى Certutil فى هذه المقالة من قاعدة المعارف.

معلومات التحديث

تتوفر الملفات التالية للتنزيل من "مركز التنزيل لـ Microsoft":


بالنسبة لجميع الإصدارات المعتمدة المستندة إلى x86 من نظام التشغيل Windows Vista

تنزيل قم بتنزيل الحزمة الآن.

بالنسبة لجميع الإصدارات المعتمدة المستندة إلى x64 من Windows Vista

تنزيل قم بتنزيل الحزمة الآن.

بالنسبة لجميع إصدارات نظام التشغيل Windows Server 2008 المعتمدة والمستندة إلى x86

تنزيل قم بتنزيل الحزمة الآن.

بالنسبة لجميع الإصدارات x64 المعتمدة من نظام التشغيل Windows Server 2008

تنزيل قم بتنزيل الحزمة الآن.

بالنسبة لجميع الإصدارات المعتمدة والمستندة إلى IA-64 من نظام التشغيل Windows Server 2008

تنزيل قم بتنزيل الحزمة الآن.

بالنسبة لكافة إصدارات Windows 7 المعتمدة والمستندة إلى x86

تنزيل قم بتنزيل الحزمة الآن.

بالنسبة لجميع الإصدارات المعتمدة المستندة إلى x64 من نظام التشغيل Windows 7

تنزيل قم بتنزيل الحزمة الآن.

بالنسبة لجميع إصدارات نظام التشغيل Windows Embedded Standard 7 المستندة إلى x86

تنزيل قم بتنزيل الحزمة الآن.

بالنسبة لجميع إصدارات نظام التشغيل Windows Embedded Standard 7 المستندة إلى x64 للأنظمة المستندة إلى x64

تنزيل قم بتنزيل الحزمة الآن.

بالنسبة لجميع الإصدارات المعتمدة المستندة إلى x64 من نظام التشغيل Windows Server 2008 R2

تنزيل قم بتنزيل الحزمة الآن.

بالنسبة لجميع الإصدارات المعتمدة التي تستند إلى IA-64 من نظام التشغيل Windows Server 2008 R2

تنزيل قم بتنزيل الحزمة الآن.

بالنسبة لكافة إصدارات Windows 8 المعتمدة والمستندة إلى x86

تنزيل قم بتنزيل الحزمة الآن.

بالنسبة لجميع الإصدارات المعتمدة المستندة إلى x64 من نظام التشغيل Windows 8

تنزيل قم بتنزيل الحزمة الآن.

بالنسبة لجميع الإصدارات المعتمدة من نظام التشغيل Windows Server 2012

تنزيل قم بتنزيل الحزمة الآن.
تاريخ الإصدار: 11 يونيو 2011

لمزيد من المعلومات حول كيفية تنزيل ملفات دعم Microsoft، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
119591 كيفية الحصول على ملفات دعم Microsoft من الخدمات عبر الإنترنت
قامت شركة Microsoft بفحص هذا الملف للتحقق من عدم وجود فيروسات. واستخدمت شركة Microsoft أحدث برامج الكشف عن الفيروسات التي كانت متوفرة وقت نشر الملف. وقد تم تخزين الملف على خوادم مزودة بإجراءات أمان متقدمة تساعد على منع إجراء أية تغييرات غير مصرح بها على الملف. 

متطلب إعادة التشغيل

يجب إعادة تشغيل جهاز الكمبيوتر بعد تطبيق هذا الإصلاح العاجل.

معلومات استبدال الإصلاح العاجل

هذا الإصلاح العاجل يحل محل الإصلاح العاجل 2661254.






معلومات الملف

يقوم الإصدار العام من هذا الإصلاح العاجل بتثبيت الملفات التي لها سمات مسردة في الجداول التالية. يتم سرد التواريخ والأوقات الخاصة بهذه الملفات بـ "التوقيت العالمي المتفق عليه" (UTC). يتم عرض التواريخ والأوقات الخاصة بهذه الملفات على الكمبيوتر المحلي بالتوقيت المحلي ومع وجود إزاحة التوقيت الصيفي الحالي (DST). بالإضافة إلى ذلك، قد يتم تغيير التواريخ والأوقات عند إجراء عمليات معينة على الملفات.

مراجع تقنية للتغييرات


أفعال جديدة فى Certutil

SyncWithWU
يستخدم هذا الفعل لمزامنة دليل الوجهة مع موقع Windows Update. التالى هو بناء الفعل:
[خيارات] CertUtil syncWithWU  دليل الوجهة 

ملاحظة دليل الوجهة هو المجلد الذى يتم فيه نسخ الملفات. يتم تنزيل الملفات التالية من Windows Update عند تشغيل هذا الأمر:
  • Authrootstl.cab: يحتوى على قائمة CTL لشهادات الجزر التابعة لجهة أخرى.
  • Disallowedcertstl.cab: يحتوى على قائمة CTL للشهادات غير المسموح بها.
  • Disallowedcert.sst: يحتوى على الشهادات غير المسموح بها.
  • Thumbprint.crt: شهادات الجذرالتابعة لجهة أخرى.
على سبيل المثال، يمكن مزامنة دليل الوجهة مع موقع Windows Update عن طريق تشغيل الأمر التالى
CertUtil -syncWithWU \\computername\sharename\DestinationDir 
GenerateSSTFromWU
يستخدم هذا الفعل لإنشاء ملفات .sst من موقع Windows Update. التالى هو بناء الفعل:
CertUtil [Options] -generateSSTFromWU SSTFile 
ملاحظة SSTFile هو اسم الملف sst الذى تم إنشاؤه. يحتوى ملف .sst الذى تم إنشاؤه على شهادات الجذر التابعة لجهة أخرى والتي يتم تنزيلها من Windows Update.

على سبيل المثال، يمكن إنشاء ملفات .sst من موقع Windows Update عن طريق تشغيل الأمر التالى:
CertUtil –generateSSTFromWU Rootstore.sst 

مفاتيح التسجيل

يتم تقديم مفاتيح التسجيل التالية في هذا التحديث:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate تعيين مفتاح التسجيل على 1 لتعطيل التحديثات التلقائية لقوائم CTL الموثوقة.
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\EnableDisallowedCertAutoUpdateتعيين مفتاح التسجيل على 1 لتمكين التحديثات التلقائية لقوائم CTL غير المسموح بها.
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrl تكوين مفتاح التسجيل لمسارات المشاركة لاسترداد قوائم CTL.