أنت غير متصل حاليًا، وفي انتظار الإنترنت الخاص بك ليقوم بإعادة الاتصال

النصائح الإرشادية للأمان من Microsoft: التحديث الخاص بالحد الأدنى لطول مفتاح الشهادة

انتهاء دعم نظام التشغيل Windows XP

لقد أنهت شركة Microsoft دعم Windows XP في 8 أبريل، 2014. وقد أثر هذا التغيير على تحديثات البرامج لديك وخيارات الأمان الخاصة بك. تعرف على ما يعنيه ذلك فيما يتعلق بك وكيفية الحفاظ على حمايتك.

انتهي دعم Windows Server 2003 في 14 يوليو 2015!

أنهت شركة Microsoft دعم نظام التشغيل Windows Server 2003 في 14 يوليو 2015. لقد أثر هذا التغيير على تحديثات البرامج لديك وخيارات الأمان الخاصة بك. تعرف على ما يعنيه ذلك فيما يتعلق بك وكيفية الحفاظ على حمايتك.

مقدمة
أصدرت Microsoft نصائح إرشادية للأمان من Microsoft لمتخصصي تكنولوجيا المعلومات. توضح هذه النصائح الإرشادية أنه سيتم حظر استخدام شهادات RSA التي تحتوي على مفاتيح يقل طولها عن 1024 بت. لاستعراض النصائح الإرشادية للأمان، قم بزيارة موقع Microsoft التالي على الويب: لتقليل خطر التعرض غير المصرح به للمعلومات الحساسة، قامت شركة Microsoft بإصدار تحديث لا يتعلق بالأمان (KB 2661254) لكل الإصدارات المدعومة من Microsoft Windows. سوف يقوم هذا التحديث بحظر مفاتيح التشفير التي يقل طولها عن 1024 بت. لا ينطبق هذا التحديث على نظام Windows 8 Release Preview أو Windows Server 2012 Release Candidate فأنظمة التشغيل هذه تتضمن بالفعل وظيفة حظر استخدام مفاتيح RSA الضعيفة التي يقل طولها عن 1024 بت.
معلومات أخرى
يتم تحديد قوة خوارزميات التشفير المستندة على المفتاح العام بواسطة الوقت الذي تستغرقه لاشتقاق المفتاح الخاص من خلال استخدام طرق القوة الغاشمة. تعتبر الخوارزميات قوية بما فيه الكفاية عندما يكون الوقت الذي تستغرقه لاشتقاق المفتاح الخاص محبط بدرجة كافية من خلال استخدام طرق قوة الحوسبة المتاحة. تستمر طبيعية التهديدات في التطور. لذلك، فإن شركة Microsoft تعمل على زيادة معايير الحماية الخاصة بخوارزميات RSA التي تحتوي على مفاتيح يقل طولها عن 1024 بت.

بعد تطبيق التحديث، لا تتأثر سوى سلاسل الشهادات التي تم بناؤها باستخدام وظيفة CertGetCertificateChain. تقوم وظيفة CryptoAPI ببناء سلسلة شهادات موثوق بها كما تعمل على التحقق من صحة هذه السلاسل من خلال استخدام صلاحية الوقت، إبطال الشهادات، والسياسات الخاصة بالشهادات (مثل الأغراض المقصودة). يقوم التحديث بإجراء فحص إضافي للتأكد من أنه لا يوجد شهادات في السلسلة تحتوي على مفتاح RSA يقل طوله عن 1024 بت.

معلومات استبدال التحديث

يحل هذا التحديث محل التحديث التالي:
2677070 المحدث التلقائي للشهادات التي تم إبطارها متوفر لأنظمة التشغيل Windows Vista وWindows Server 2008 وWindows 7 وWindows Server 2008 R2

المشكلات المعروفة المتعلقة بتحديث الأمان هذا

بعد تطبيق التحديث:
  • يجب إعادة تشغيل الكمبيوتر.
  • لا يمكن لمرجع مصدّق (CA) إصدار شهادات RSA التي تحتوي على مفتاح يقل طوله عن 1024 بت.
  • لا يمكن لخدمة المرجع مصدّق (CA (certsvc البدء عندما يقوم المرجع المصدق CA باستخدام شهادة RSA تحتوي على مفتاح يقل طوله عن 1024 بت.
  • لن يسمح برنامج Internet Explorer بالوصول إلى موقع ويب محمي باستخدام شهادة RSA تحتوي على مفتاح يقل طوله عن 1024 بت.
  • لا يمكن استخدام برنامج Outlook 2010 لتشفير البريد الإلكتروني في حالة استخدامه لشهادة RSA تحتوي على مفتاح يقل طوله عن 1024 بت. بالرغم من ذلك، فإن البريد الإلكتروني الذي تم تشفيره باستخدام شهادة RSA تحتوي على مفتاح يقل طوله عن 1024 بت يمكن أن يتم إلغاء تشفيره بعد تثبيت التحديث.
  • لا يمكن استخدام برنامج Outlook 2010 للتوقيع الرقمي على البريد الإلكتروني في حالة استخدامه لشهادة RSA تحتوي على مفتاح يقل طوله عن 1024 بت.
  • عند تلقي بريد إلكتروني عبر برنامج Outlook 2010 يحتوي على توقيع رقمي أو تم تشفيره باستخدام شهادة RSA تحتوي على مفتاح يقل طوله عن 1024 بت، يتلقى المستخدم خطأ يشير إلى أن الشهادة غير موثوق بها. ما زال بإمكان المستخدم عرض البريد الإلكتروني المشفر أو الموقع.
  • لا يمكن لبرنامج Outlook 2010 أن يتصل بخادم Microsoft Exchange يستخدم شهادة RSA تحتوي على مفتاح يقل طوله عن 1024 بت لـ SSL/TLS. يتم عرض الخطأ التالي: "يتعذر على الآخرين عرض المعلومات التي تتبادلها مع هذا الموقع أو تغييرها. ومع ذلك، توجد مشكلة تتعلق بشهادة أمان الموقع. شهادة الأمان غير صالحة. يجب عدم الوثوق في هذا الموقع."
  • تحذيرات الأمان الواردة من "ناشر غير معروف" يتم الإبلاغ عنها، ولكن يمكنك متابعة التثبيت في الحالات التالية:
    • تم اكتشاف توقيعات Authenticode تحتوي على طابع زمني بتاريخ 1 يناير 2010 أو تاريخ لاحق له، وقد تم توقيعها بموجب شهادة RSA تحتوي على مفتاح لا يقل طوله عن 1024 بت.
    • أدوات التثبيت الموقعة باستخدام شهادة RSA تحتوي على مفتاح يقل طوله عن 1024 بت.
    • أدوات التحكم الموقعة ActiveX باستخدام شهادة RSA تحتوي على مفتاح يقل طوله عن 1024 بت. لن تتأثر وحدات التحكم Active X المثبتة مسبقًا بالفعل قبل قيامك بتثبيت هذا التحديث.
  • سوف تعمل أجهزة الكمبيوتر System Center HP-UX PA-RISC – التي تستخدم شهادة RSA بمفتاح يبلغ طوله 512 بت – على توليد التنبيهات النبضية وسوف تفشل كل عمليات مراقبة الأجهزة التي سيقوم بها مدير العمليات. سيتم أيضا إنشاء "خطأ شهادة SSL" مع الوصف "التحقق من الشهادة الموقعة." أيضًا، لن يتمكن مدير العمليات من اكتشاف أجهزة الكمبيوتر HP UX PA-RISC الجديدة بسبب حدوث الخطأ "التحقق من الشهادة الموقعة". كما سيتم تشجيع عملاء System Center الذين يمتلكون أجهزة كمبيوتر HP-UX PA-RISC على إعادة إصدار شهادات RSA بمفاتيح لا يقل طولها عن 1024 بت. لمزيد من المعلومات، الرجاء الرجوع إلى صفحة TechNet التالية على الويب:
ملاحظة لن يتأثر تشفير EFS بهذا التحديث.

اكتشاف شهادات RSA التي تحتوي على مفتاح يقل طوله عن 1024 بت

توجد أربع طرق رئيسية لاكتشاف شهادات RSA إذا كانت تستخدم مفاتيح يقل طولها عن 1024 بت:
  • التحقق من الشهادات ومسارات الشهادات يدويًا
  • استخدام تسجيل CAPI2
  • التحقق من قوالب الشهادات
  • تمكين التسجيل على أجهزة الكمبيوتر التي تم تثبيت التحديث بها

التحقق من الشهادات ومسارات الشهادات يدويًا

يمكنك التحقق من الشهادات يدويًا من خلال فتحها وعرض نوعها وطول المفتاح والمسارات الخاصة بها. يمكنك القيام بذلك من خلال عرض أي شهادة تم إصدارها داخليًا (عادة بواسطة النقر المزدوج فوقها). من علامة التبويب مسار الشهادة، انقر فوق عرض الشهادة لكل شهادة ضمن السلسلة للتأكد من أن كل شهادات RSA تستخدم مفاتيح لا يقل طولها عن 1024 بت.

على سبيل المثال، لقد تم إصدار الشهادة الموجودة في الشكل التالي إلى وحدة تحكم المجال (2003DC.adatum.com) من Enterprise Root CA المسماة AdatumRootCA. يمكنك تحديد شهادة AdatumRootCA الموجودة في علامة التبويب مسار الشهادة.



لعرض شهادة AdatumRootCA، انقر فوق عرض الشهادة. في جزء التفاصيل ، قم بتحديد المفتاح العام لعرض حجم المفتاح، كما هو موضح في الشكل التالي.



شهادة RSA الخاصة بشهادة AdatumRootCA في هذا المثال تساوي 2048 بت.

استخدام تسجيل CAPI2

على الأجهزة التي تعمل بنظام التشغيل Windows Vista أو Windows Server 2008 أو الإصدارات الأحدث من أنظمة Windows، يمكنك استخدام تسجيل الدخول CAPI2 للمساعدة في تحديد المفاتيح التي يقل طولها عن 1024 بت. يمكنك السماح لأجهزة الكمبيوتر بتنفيذ العمليات المعتادة التي تقوم بها والتحقق لاحقًا من السجل للمساعدة في تحديد المفاتيح التي يقل طولها عن 1024 بت. بعد ذلك، يمكنك استخدام تلك المعلومات لتعقب مصادر الشهادات وإجراء التحديثات اللازمة.

للقيام بذلك، يجب أولاً تمكين خاصية التسجيل التشخيصي المطول. لتمكين وضع التسجيل المطول، اتبع الخطوات التالية:

1. افتح محرر التسجيل (Regedit.exe).

2. انتقل إلى مفتاح التسجيل التالي:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crypt32


3. إضافة قيمة DWORD (32 بت) DiagLevel بالقيمة 0x00000005.

4. إضافة قيمة QWORD (64 بت) DiagMatchAnyMask بالقيمة 0x00ffffff.



بعد القيام بذلك، يمكنك تمكين سجل العمليات CAPI2 في عارض الأحداث. يوجد سجل العمليات CAPI2 ضمن سجلات التطبيقات والخدمات، Microsoft، Windows، و CAPI2 في عارض الأحداث. لتمكين التسجيل، انقر بزر الماوس الأيمن فوق سجل تشغيلي، ثم انقر فوق تمكين السجل، ثم انقر فوق تصفية السجل الحالي. انقر فوق علامة التبويب XML، ثم انقر لتحديد خانة الاختيار تحرير الاستعلام يدويًا.

بعد قيامك بجمع السجل، يمكنك استخدام عامل التصفية التالي لتقليل عدد الإدخالات التي ستعتمد عليها في البحث لإيجاد العمليات التي تحتوي على مفاتيح يقل طولها عن 1024 بت. يبحث عامل التصفية التالي عن مفاتيح طولها 512 بت.

<QueryList>

<Query Id="0" Path="Microsoft-Windows-CAPI2/Operational">

<Select Path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]]</Select>

</Query>

</QueryList>



يمكنك أيضًا الاستعلام عن الأطوال المتعددة للمفاتيح باستخدام استعلام واحد. على سبيل المثال، يستعلم عامل التصفية التالي عن المفاتيح التي يبلغ طولها 384 بت و512 بت.

<QueryList>

<Query Id="0" Path="Microsoft-Windows-CAPI2/Operational">

<Select Path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='384']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]] or Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]]</Select>

</Query>

</QueryList>

التحقق من قوالب الشهادات

يمكنك إجراء الاستعلام التالي على المراجع المصدقة (CA) لاكتشاف قوالب الشهادات التي تستخدم مفاتيح يقل طولها عن 1024 بت:

certutil -dstemplate | findstr "[ msPKI-Minimal-Key-Size" | findstr /v "1024 2048 4096"

ملاحظة يجب عليك تشغيل الأمر الموجود في كل مجموعة في المؤسسة الخاصة بك.

إذا قمت بتشغيل هذه الاستعلام، فإن القوالب التي تستخدم مفايتح يقل طولها عن 1024 بت سوف يتم عرضها بحجم المفتاح الخاص بها. يوضح الشكل التالي أن اثنين من القوالب المدمجة – وهما SmartcardLogon و SmartcardUser – يحتويان على أطوال افتراضية للمفاتيح يبلغ الحد الأدنى لحجمها 512 بت. قد تكتشف أيضًا قوالب أخرى تم تكرارها والتي بها مفاتيح يقل الحد الأدنى لأحجامها عن 1024 بت.

وبالنسبة لكل قالب تكتشف أنه يسمح بالمفاتيح التي يقل طولها عن 1024 بت، يجب أن تقرر إذا ما كان من الممكن إصدار الشهادات كما هو موضح في قسم قوالب الشهادات في وحدة تحكم المراجع المصدقة.



تمكين التسجيل على أجهزة الكمبيوتر التي تم تثبيت التحديث بها

يمكنك استخدام إعدادات التسجيل لتمكين أجهزة الكمبيوتر التي تحتوي على تحديثات تم تطبيقها لتحديد مكان شهادات RSA التي تحتوي على مفاتيح يقل طولها عن 1024 بت. سوف يكون الخيار الخاص بتنفيذ التسجيل موصوفًا في قسم "الحلول" لأنه يكون مقرونًا بإعدادات التسجيل التي يمكن استخدامها للسماح للمفاتيح التي يقل طولها عن 1024 بت. راجع قسم "السماح بالمفاتيح التي يقل طولها عن 1024 بت باستخدام إعدادات التسجيل" الذي سيرد لاحقاً في هذه المقالة لمزيد من المعلومات حول كيفية تمكين التسجيل.
الحلول
تعد وظيفة الحلول الأولىة لأي مشاكل متعلقة بحظر الشهادات التي تحتوي على مفتاح يقل طوله عن 1024 بت هي تطبيق شهادات أكبر (طول المفتاح بها 1024 أو أكبر). نوصي المستخدمين بتنفيذ الشهادات التي تمتلك مفتاحًا لا يقل طوله عن 2048 بت.

زيادة حجم المفتاح في الشهادات التي تم إصدارها من خلال الانتساب التلقائي للشهادات

بالنسبة للقوالب التي أصدرت شهادات RSA تحتوي على مفتاح يقل طوله عن 1024 بت، ينبغي عليك التفكير في زيادة الحد الأدنى لحجم المفتاح بحيث لا يقل عن 1024 بت. ويعني ذلك أن الأجهزة التي تم إصدار هذه الشهادات إليها تدعم حجم أكبر للمفتاح.

بعد قيامك بزيادة الحد الأدنى لحجم المفتاح، استخدم الخيار إعادة انتساب جميع حاملي الشهادات الموجود في وحدة التحكم في قوالب الشهادات لكي تدفع أجهزة الكمبيوتر العميلة على إعادة الانتساب وطلب حجم أكبر للمفتاح.



إذا قمت بإصدار الشهادات باستخدام تسجيل البطاقات الذكية المدمجة أو القوالب الخاصة بمستخدم البطاقة الذكية، فلن تتمكن من تعديل الحد الأدنى لحجم المفتاح الخاص بالقالب مباشرةً. بدلاً من ذلك، سوف تضطر إلى تكرار القالب، وزيادة حجم المفتاح على القالب المكرر، ثم إحلال القالب المكرر محل القالب الأصلي.



بعد قيامك بإحلال القالب، استخدم الخيار إعادة انتساب جميع حاملي الشهادات لكي تدفع أجهزة الكمبيوتر العملية إلى إعادة الانتساب وطلب حجم أكبر للمفتاح.



السماح بالمفاتيح التي يقل طولها عن 1024 بت باستخدام إعدادات التسجيل

لا توصي Microsoft العملاء باستخدام الشهادات التي يقل طولها عن 1024 بت. قد يحتاج العملاء بالرغم من ذلك إلى الحلول البديلة المؤقتة أثناء تطوير حل طويل المدى لاستبدال شهادات RSA ذات مفاتيح يقل طولها عن 1024 بت. في هذه الحالات، تمنح شركة Microsoft للعملاء القدرة على تغيير الطريقة التي تعمل بها مهام التحديث. وبذلك فإن العملاء الذين يقومون بتهيئة هذه الإعدادات يقبلون المخاطرة حيث يمكن لمهاجم اختراق الشهادات الخاصة بهم واستخدامها للتحايل على المحتويات أو تنفيذ هجمات التصيد أو القيام بهجمات المهاجمين المتلاعبين.

هام يحتوي هذا القسم أو هذه الطريقة أو المهمة على خطوات توضح كيفية تعديل السجل. وقد يحدث رغم ما سبق مشاكل خطيرة في حالة تعديل السجل بطريقة غير صحيحة. ولذلك، يجب التأكد من اتباع هذه الخطوات بعناية. قم بعمل نسخة احتياطية من السجل قبل تعديله كوسيلة من وسائل الحماية الإضافية. بعد ذلك، يمكنك استعادة السجل في حالة حدوث أية مشكلة. لمزيد من المعلومات حول كيفية عمل نسخة احتياطية من السجل واستعادته، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
322756 كيفية عمل نسخة احتياطية من السجل واستعادته في نظام التشغيل Windows XP
ومع أجهزة الكمبيوتر التي تعمل بنظام Windows 8 أو Windows Server 2012 والتي تحتوي على تحديثات مطبقة بها، يمكن استخدام مسارات وإعدادات التسجيل التالية للتحكم في اكتشاف وحظر شهادات RSA التي يكون طول المفتاح بها أقل من 1024 بت.

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config

يوجد أربعة قيم رئيسية للتحكم في كيفية حظر المفاتيح التي يقل طولها عن 1024 بت. وهي كالتالي:
  • MinRsaPubKeyBitLength
  • EnableWeakSignatureFlags
  • WeakSignatureLogDir
  • WeakRsaPubKeyTime
ستتم مناقشة كل من هذه القيم والأشياء التي تتحكم بها في الأقسام التالية.

وبالنسبة لأنظمة التشغيل بداية من Windows Vista و Windows Server 2008، يمكنك استخدام أوامر certutil لتغيير إعدادات التسجيل. بالنسبة لأنظمة التشغيل Windows XP و Windows Server 2003 و Windows Server 2003 R2، لا يمكنك استخدام أوامر certutil لتغيير إعدادات التسجيل. ومع ذلك، يمكنك استخدام محرر التسجيل، أو الأمر reg أو ملف reg.

MinRsaPubKeyBitLength

MinRsaPubKeyBitLength هي قيمة DWORD التي تعرّف الحد الأدنى المسموح به لأطوال مفاتيح شهادات RSA. افتراضياً، هذه القيمة غير موجودة، والحد الأدنى المسموح به لطول مفتاح شهادات RSA هو 1024. يمكنك استخدام الأمر certutil لتعيين هذه القيمة لتصبح 512 عن طريق تشغيل الأمر التالي:

certutil -setreg chain\minRSAPubKeyBitLength 512

ملاحظةتتطلب كل أوامر certutil الواردة في هذا المقال امتيازات المسؤول المحلي لأنها تقوم بتغيير التسجيل. يمكنك تجاهل الرسالة "قد تحتاج الخدمة CertSvc لإعادة تشغيل لتكون الإجراءات نافذة المفعول." لا يعد هذا مطلوباً مع هذه الأوامر لأنها لا تؤثر على خدمة الشهادات (CertSvc).

يمكنك العودة إلى مفاتيح الحظرالتي يقل طولها عن 1024 بت عن طريق إزالة القيمة. للقيام بذلك، قم بتشغيل الأمر certutil التالي:

certutil -delreg chain\MinRsaPubKeyBitLength

EnableWeakSignatureFlags

تحتوي القيمة EnableWeakSignatureFlags لـ DWORD على ثلاثة قيم محتملة: 2 و 4 و 6 و 8. تعمل هذه الإعدادات على تغيير سلوك كيفية عمل الاكتشاف والحظر في المفاتيح التي يقل طولها عن 1024 بت. الإعدادات موصوفة في الجدول التالي:
القيمة العشريةالوصف
2عند تمكينها، فإن الشهادة الجذر (أثناء بناء السلسلة) يسمح لها بامتلاك شهادة RSA تحتوي على مفتاح يقل طوله عن 1024 بت. حظر شهادات RSA الأقل في السلسلة (إذا كانت تحتوي على مفتاح يقل طوله عن 1024 بت) مازال مفعلاً. يتم تمكين العلامة عندما يتم تعيين هذه القيمة على CERT_CHAIN_ENABLE_WEAK_RSA_ROOT_FLAG.
4يعمل على تمكين التسجيل، ولكن لا يزال يفرض حظر شهادات RSA التي تحتوي على مفاتيح يقل طولها عن 1024 بت. عند تمكينه، يكون WeakSignatureLogDir مطلوبًا. يتم نسخ جميع المفاتيح التي يقل طولها عن 1024 بت إلى المجلد الفعلى WeakSignatureLogDir. يتم تمكين العلامة عندما يتم تعيين هذه القيمة على CERT_CHAIN_ENABLE_WEAK_LOGGING_FLAG.
6عند تمكينها، فإن الشهادة الجذر يسمح لها بامتلاك شهادة RSA تحتوي على مفتاح يقل طوله عن 1024 بت ويكون WeakSignatureLogDir مطلوبًا. يتم حظر كل المفاتيح الأقل من الشهادات التي تحتوي على مفاتيح يقل طولها عن 1024 بت ويتم إدخالها إلى المجلد المعين على أنه WeakSignatureLogDir.
8يقوم بتمكين تسجيل الدخول ولا يفرض حظر المفاتيح التي يقل طولها عن 1024 بت. عند تمكينه، يكون WeakSignatureLogDir مطلوبًا. يتم نسخ جميع المفاتيح التي يقل طولها عن 1024 بت إلى المجلد الفعلى WeakSignatureLogDir. يتم تمكين العلامة عندما يتم تعيين هذه القيمة على CERT_CHAIN_ENABLE_ONLY_WEAK_LOGGING_FLAG.

أمثلة

لتمكين شهادة جذر RSA تحتوي على مفتاح يقل طوله عن 1024 بت، استخدم أمر certutil التالي:

certutil -setreg chain\EnableWeakSignatureFlags 2

لتمكين التسجيل أثناء حظر الشهادات التي تستخدم مفتاح يقل طوله عن 1024 بت، استخدم أمر certutil التالي:

certutil -setreg chain\EnableWeakSignatureFlags 4

لتمكين التسجيل الذي يقتصر على شهادات RSA الأدنى من شهادات الجذر والتي تستخدم مفتاحًا يقل طوله عن 1024 بت، استخدم أمر certutil التالي:

certutil -setreg chain\EnableWeakSignatureFlags 6

لتمكين التسجيل فقط وعدم حظر المفاتيح التي يقل طولها عن 1024 بت، استخدم أمر certutil التالي:

certutil -setreg chain\EnableWeakSignatureFlags 8

ملاحظة عند قيامك بتمكين التسجيل (الإعدادات العشرية 4 أو 6 أو 8)، لابد من تهيئة دليل السجل كما هو موصوف في القسم التالي.

WeakSignatureLogDir

عند تعريفه، فإن كل الشهادات التي تحتوي على مفاتيح يقل طولها عن 1024 بت تتم كتابتها إلى المجلد المحدد. على سبيل المثال، يمكن أن تكون C:\Under1024KeyLog هي البيانات الخاصة بهذه القيمة. يكون هذا الخيار مطلوبًا عندما يتم ضبط EnableWeakSignatureFlags إلى 4 أو 8. تأكد من القيام بتهيئة الحماية على المجلد المحدد حتى يتمكن كل من المستخدمين المصدقين والمجموعة المحلية من وصول التعديل إلى جميع حزم التطبيقات. لتعيين هذه القيمة لـ C:\Under1024KeyLog، يمكنك استخدام أمر certutil التالي:

Certutil -setreg chain\WeakSignatureLogDir "c:\Under1024KeyLog"

يمكنك أيضًا تكوين WeakSignatureLogDir للكتابة إلى مجلد شبكة مشترك. تأكد من تهيئة التصريحات الملائمة كي تناسب موقع الشبكة وبذلك يتسنى لجميع المستخدمين المهيئين الكتابة إلى المجلد المشترك. ويعد الأمر التالي مثالاً على تكوين WeakSignatureLogDir للكتابة إلى مجلد يسمى Keys والموجود في مجلد الشبكة المشترك المسمى RSA على Server1:

Certutil -setreg chain\WeakSignatureLogDir "\\server1\rsa\keys"

WeakRsaPubKeyTime

تبلغ قيمة WeakRsaPubKeyTime 8 بايت REG_BINARY وهي قيمة تحتوي على نوع بيانات Windows FILETIME مخزن على هيئة UTC/GMT. تكون هذه القيمة متاحة أوليًا لتقليل المشاكل المحتملة من خلال حظر المفاتيح التي يقل طولها عن 1024 بت مع توقيعات رمز المصادقة Authenticode. أما بالنسبة للشهادات المستخدمة لتوقيع الرمز قبل التاريخ والوقت المكوّنين فلا يتم التحقق منها للكشف عن المفاتيح التي يقل طولها عن 1024 بت. ووفقًا للإعدادات الافتراضية فإن قيمة هذا التسجيل لا تكون موجودة ويتم معالجتها كما في صباح الأول من يناير 2010 عند منتصف الليل بتوقيت UTC/GMT.

ملاحظةيسري هذه الإعداد فقط عند استخدام شهادة لتوقيع رمز المصادقة Authenticode مع ملف يحتوي على طابع زمني. إذا كان الرمز غير موّقع زمنيًا، يتم استخدام الوقت الحالي ولا يتم استخدام إعداد WeakRsaPubKeyTime.

يسمح الإعداد WeakRsaPubKeyTime بتكوين التاريخ الذي يجب الاعتماد عليه لاعتبار التوقيعات القديمة صالحة. إذا كان لديك سبب لتعيين وقت وتاريخ مختلفين لإعداد WeakRsaPubKeyTime، فيمكنك استخدام الأمر certutil لتعيين تاريخ مختلف. على سبيل المثال، إذا أردت تعيين تاريخ 29 أغسطس 2010، فيمكنك استخدم الأمر التالي:

certutil -setreg chain\WeakRsaPubKeyTime @08/29/2010

إذا كان لابد من تعيين وقت محدد، على سبيل المثال 6:00 م يوم 4 يوليو 2011، فعليك بإضافة أرقام الأيام والساعات بالتنسيق +[dd:hh] إلى الأمر. ونظرًا لأن 6:00 م تحين بعد مرور 18 ساعة من منتصف ليلة 4 يوليو 2011، فسوف تحتاج إلى تشغيل الأمر التالي:

certutil -setreg chain\WeakRsaPubKeyTime @01/15/2011+00:18

تكوين شهادات عن خدمات معلومات الإنترنت (IIS)

إذا كنت أحد عملاء خدمات معلومات الإنترنت ويتوجب عليك إصدار شهادات جديدة يبلغ طولها 1024 بت أو أكثر، راجع المقالات التالية:
الحل
تتوفر الملفات التالية للتنزيل من "مركز التنزيل لـ Microsoft":


بالنسبة لجميع الإصدارات المدعومة المستندة إلى x86 من نظام التشغيل Windows XP

تنزيلقم بتنزيل الحزمة الآن.

بالنسبة لجميع الإصدارات المعتمدة التي تستند إلى x64 من نظام التشغيل Windows XP Professional، الإصدار x64

تنزيلقم بتنزيل الحزمة الآن.

بالنسبة لجميع الإصدارات المدعومة المستندة إلى x86 من نظام التشغيل Windows Server 2003

تنزيلقم بتنزيل الحزمة الآن.

بالنسبة لجميع الإصدارات x64 المعتمدة من نظام التشغيل Windows Server 2003

تنزيلقم بتنزيل الحزمة الآن.

بالنسبة لجميع الإصدارات المدعومة المستندة إلى IA-64 من نظام التشغيل Windows Server 2003

تنزيلقم بتنزيل الحزمة الآن.

بالنسبة لجميع الإصدارات المستندة إلى x86 المعتمدة من نظام التشغيل Windows Vista

تنزيلقم بتنزيل الحزمة الآن.

بالنسبة لجميع الإصدارات المستندة إلى x64 المعتمدة من Windows Vista

تنزيلقم بتنزيل الحزمة الآن.

بالنسبة لجميع إصدارات نظام التشغيل Windows Server 2008 المعتمدة والمستندة إلى x86

تنزيلقم بتنزيل الحزمة الآن.

بالنسبة لجميع الإصدارات x64 المعتمدة من نظام التشغيل Windows Server 2008

تنزيلقم بتنزيل الحزمة الآن.

بالنسبة لجميع الإصدارات المدعومة المستندة إلى IA-64 من نظام التشغيل Windows Server 2008

تنزيلقم بتنزيل الحزمة الآن.

بالنسبة لجميع إصدارات Windows 7 المدعومة والمستندة إلى x86

تنزيلقم بتنزيل الحزمة الآن.

بالنسبة لجميع الإصدارات المدعومة والمستندة إلى x64 من نظام التشغيل Windows 7

تنزيلقم بتنزيل الحزمة الآن.

بالنسبة لجميع الإصدارات المعتمدة والمستندة إلى x64 من نظام التشغيل Windows Server 2008 R2

تنزيلقم بتنزيل الحزمة الآن.

بالنسبة إلى جميع الإصدارات المدعومة التي تستند إلى IA-64 من نظام التشغيل Windows Server 2008 R2

تنزيلقم بتنزيل الحزمة الآن.

بالنسبة لجميع إصدارات نظام التشغيل Windows Embedded Standard 7 المستندة إلى x86

تنزيلقم بتنزيل الحزمة الآن.

بالنسبة لجميع إصدارات نظام التشغيل Windows Embedded Standard 7 المستندة إلى x64

تنزيلقم بتنزيل الحزمة الآن.

تاريخ الإصدار: 14 أغسطس 2012

لمزيد من المعلومات حول كيفية تنزيل ملفات دعم Microsoft، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
119591 كيفية الحصول على ملفات دعم Microsoft من الخدمات عبر الإنترنت
قامت شركة Microsoft بفحص هذا الملف للتحقق من عدم وجود فيروسات. واستخدمت شركة Microsoft أحدث برامج الكشف عن الفيروسات التي كانت متوفرة وقت نشر الملف. وقد تم تخزين الملف على خوادم مزودة بإجراءات أمان متقدمة تساعد على منع إجراء أية تغييرات غير مصرح بها على الملف. 
معلومات الملف
للحصول على قائمة بالملفات الإضافية التي يتم توفيرها ضمن هذه الحزم، انقر فوق الارتباط التالي:
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE
خصائص

رقم الموضوع: 2661254 - آخر مراجعة: 12/26/2012 23:35:00 - المراجعة: 8.0

Windows 7 Service Pack 1, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Ultimate, Windows 7 Home Premium, Windows 7 Home Basic, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Service Pack 2, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Windows Vista Service Pack 2, Windows Vista Service Pack 1, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows XP Service Pack 3

  • kbsecadvisory atdownload kbbug kbexpertiseinter kbfix kbsecurity kbsecvulnerability KB2661254
تعليقات
t> ttps://c1.microsoft.com/c.gif?DI=4050&did=1&t=">html>/html>tml>