MS14-066: Chyba zabezpečení ve zprostředkovateli Schanel by mohla umožnit vzdálené spuštění kódu: 11 listopad 2014

ÚVOD

Tento článek popisuje aktualizace byla nahrazena novější aktualizací na 9 prosinci 2014. Doporučujeme nainstalovat nejnovější aktualizace zabezpečení pro systém Windows. Chcete-li nainstalovat nejnovější aktualizaci, přejděte na následující web společnosti Microsoft:Další informace o bulletinu zabezpečení MS14-066:

Jak získat pomoc a podporu pro tuto aktualizaci zabezpečení

Pomoc s instalací aktualizací:
Podpora služby Microsoft Update

Řešení zabezpečení pro odborníky v oblasti IT:
TechNet Security Troubleshooting a podpory

Chránit počítač se systémem Windows před viry a malwarem:
Centrum zabezpečení a antivirové řešení

Místní podpora pro vaši zemi:
Mezinárodní podpora

Další informace

Prosince 2014 9 Microsoft znovu vydala komplexně řeší CVE-2014-6321 k odstranění problémů s zabezpečení aktualizace 2992611 MS14-066. Systém Windows Vista nebo Windows Server 2008 zákazníci, kteří nainstalovali aktualizace 2992611 před 9 prosince opětovnému nabízení měli znovu instalovat aktualizace.

Známé problémy v této aktualizaci zabezpečení

Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru mohou nastat závažné problémy Proto se ujistěte, že budete opatrně postupovat podle těchto kroků Pro zvýšení ochrany před úpravou zálohujte registr. Pokud dojde k potížím, pak můžete registr obnovit ze zálohy. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

  • Známý problém 1

    Po instalaci této aktualizace zabezpečení (nebo aktualizaci 3000850), uživatelé domény, kteří se přihlásí do počítače klienta Windows 8.1 docházet k následujícím problémům:



    • Při pokusu o přidání nového účtu v systému Windows Live Mail 2012 není vytvořen nový účet a zobrazí se chybová zpráva podobná následující:



      Chyba 0x80090345
    • Při použití připojení RDP (Remote Desktop) nelze uložit hesla. Pokud dojde k problému, neobdržíte chybovou zprávu.
    • Zobrazí chybová zpráva podobná následující při otevření Správce pověření:



      Chyba 0x80090345
    • Aplikace Windows Explorer může přestat reagovat (zablokování) při šifrování souboru. Jakmile k problému dojde, zobrazí položky protokolu, které se podobají následující trasování Analyzátor výkonu Windows (WPA):



      Průzkumník, přičemž ~ 664 sekund pro šifrování souborů. TID #3376.
      To byl obsluhován LSASS TID č. 1488.
      Služba LSASS TID #3848 provádí volání sspCryptUnprotectData, která vede do GetMasterKey.
      GetMasterKey trvá ~ 664 sekund (TimesinceLast). SLUŽBA LSASS TID 3848. Můžeme strávit celou dobu čekání na 576 LSASS TID, který provádí příkazy ping DCLocator nalézt řadič domény.
      Šifrování souboru zpoždění/zablokování je také připadající stejnou změnu kódu, kde je požadována záloha.
    Chcete-li tento problém vyřešit, přidejte hodnotu DWORD s názvem ProtectionPolicy a hodnotou 1 do následujícího podklíče registru:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb

    Když toto provedete, povolíte místní zálohování hlavního klíče vyžadována RWDC.

    Chcete-li to provést, postupujte takto:



    1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, do pole Otevřít zadejte příkaz regedit a klepněte na tlačítko OK.
    2. Vyhledejte a klepněte na následující podklíč registru:

      HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
    3. V nabídce Úpravy přejděte na příkaz Nový a klepněte na příkaz Hodnota DWORD.
    4. Jako název hodnoty DWORD zadejte ProtectionPolicy a stiskněte klávesu Enter.
    5. Klepněte pravým tlačítkem myši ProtectionPolicya potom klepněte na příkaz změnit.
    6. V poli Údaj hodnoty zadejte 1 a potom klepněte na tlačítko OK.
    7. Ukončete Editor registru a restartujte počítač.
  • Známý problém 2

    Někteří zákazníci vykázaly, že problém, který souvisí s přidáním následující nové šifrovací sada Windows Server 2008 R2 a Windows Server 2012:
    TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_RSA_WITH_AES_256_GCM_SHA384
    TLS_RSA_WITH_AES_128_GCM_SHA256
    Zákazníkům poskytovat lépe ovládat, zda se v krátké době používají tyto šifrovací sada, můžeme je odebrat ze seznamu výchozí příkaz cipher suite priority v registru. Zákazníci, kteří vlastní seznam prioritních látek jejich cipher suite by měli zkontrolovat seznam svých po instalaci této aktualizace, ujistěte se, že sekvence splňuje jejich očekávání.

    Odebrání tyto šifrovací sada nemá vliv na aktualizace zabezpečení, které jsou součástí této verze. Na 18 listopadu 2014 byl přidán nový balíček sekundární k vydání systému Windows Server 2008 R2 a Windows Server 2012 k dosažení tohoto cíle. Tento nový balíček je aktualizace 3018238.


    Poznámka: aktualizace systému Windows, Windows Server Update Services (WSUS) a katalogu společnosti Microsoft

    Aktualizace 3018238, je nainstalována společně s aktualizací zabezpečení 2992611 automaticky a transparentně. 3018238 aktualizace zobrazí samostatně v seznamu nainstalovaných aktualizací se zobrazí v položce Přidat odebrat programy v Ovládacích panelech. Pokud již máte 2992611 nainstalována aktualizace zabezpečení, zjistíte, že aktualizace zabezpečení 2992611 bude nabídnuta znovu (pro systém Windows Server 2008 R2 nebo Windows Server 2012 pouze) pomocí systému Windows Update nebo služby WSUS a ujistěte se, že aktualizace je nainstalována také 3018238. Instalace oba balíčky současně, bude vyžadovat pouze jedním restartováním počítače.

    Poznámka pro zákazníky Download Center

    Pokud jste stáhli a pak instalaci této aktualizace zabezpečení z Microsoft Download Center pro systém Windows Server 2008 R2 nebo Windows Server 2012, doporučujeme, abyste znovu nainstalujte aktualizaci zabezpečení z webu služby Stažení softwaru. Klepnutím na tlačítko Stáhnout budete vyzváni k výběru aktualizací 2992611 a 3018238. Možnosti výběru bude vypadat například takto:selection options
    Založených na Windows 2008 R2 nebo Windows Server 2012-počítače, které mají nainstalován 2992611 políčko pouze 3018238 a potom klepněte na tlačítko Další nainstalujte aktualizaci 3018238. Tato aktualizace bude vyžadovat restartování počítače.


    U počítačů systému Windows 2008 R2 nebo Windows Server 2012, že nemají 2992611 nainstalován, zaškrtněte obě políčka, pokud stahování 2992611 a 3018238. Chcete-li nainstalovat obě aktualizace do jednoho restartování, instalace 3018238, Ignorovat požadavek na restartování počítače a potom nainstalujte 2992611.

    Poznámka: Šifrovací sada, která byla odstraněna 3018238 může po Společenství má příležitost zajistit správné provádění ve všech scénářích zákazníka opět přidána do seznamu priority výchozí v budoucí verzi.


    Poznámky o aktualizaci zabezpečení 3011780 pro protokol Kerberos

    Aktualizace zabezpečení 3011780 (zabezpečení aktualizace oprava protokolu Kerberos, která byla vydána 18. listopadu 2014 a je popsána v bulletinu MS14-068) instalováno společně s aktualizacemi, 3018238 a 2992611 současně pomocí kterékoli z metod distribuce popsané výše. Při použití této metody pouze jednoho restartování je vyžadováno.
  • Známý problém 3

    Připojeno k doméně počítače Windows 8.1 vyžadují přístup RWDC při jejich zálohování hlavního klíče rozhraní DPAPI.

    Příznak

    Připojeno k doméně počítače Windows 8.1 vyžadují přístup k řadiči domény pro čtení i zápis (RWDC) mohou zálohovat hlavní klíč Windows Data Protection API (DPAPI) po instalaci zabezpečení 2992611 aktualizace nebo aktualizace 3000850. Počítače se systémem Windows 8.1, který je umístěn v řadiči domény jen pro čtení (RODC)-uvedené servery zkušenosti chyby při zálohování klíče rozhraní DPAPI masker po instalaci těchto aktualizací.

    Po instalaci aktualizace zabezpečení 2992611 nebo aktualizace 3000850, chyb a operace, které mohou nastat patří, ale nejsou omezeny na následující:

    • Při pokusu o přidání nového účtu v systému Windows Live Mail 2012 není vytvořen nový účet a zobrazí se chybová zpráva podobná následující:

      Chyba 0x80090345
    • Při použití vzdáleného připojení ke vzdálené ploše nelze hesla uložit. Když nastane tento problém, neobdržíte chybovou zprávu.
    • Zobrazí chybová zpráva podobná následující při otevření Správce pověření:

      Chyba 0x80090345
    • Windows Explorer zablokuje při šifrování souboru. Když nastane tento problém, zobrazí položky protokolu, které se podobají následující trasování Analyzátor výkonu Windows (WPA):

      Explorer taking ~664 seconds to Encrypt a file. TID #3376. This is being serviced by LSASS TID #1488.
      LSASS TID#3848 is executing the sspCryptUnprotectData call which leads into GetMasterKey.
      GetMasterKey is taking ~664 seconds (TimesinceLast). LSASS TID 3848. We spend the whole
      time waiting on LSASS TID 576 which is performing DCLocator pings to find a DC.
      File Encryption delay/hang is also accounted by the same code change where the backup is required.

    Obvykle RODC jsou nasazeny v lokalitách, které nejsou jako ty, které obsahují RWDCs, jako jsou ty, ve kterých je vyžadováno oddělení rolí správce jako důvěryhodné. Proto má smysl, aby řadiče není držitelem veřejný nebo soukromý klíč místně.

    Jak potíže obejít

    Důležité: Pečlivě postupujte podle pokynů v této části. Při nesprávné úpravě registru může dojít k vážným problémům. Před tím, než jej změníte, zálohujte registr pro případ obnovení pro případ, že dojde k problémům.

    Ujistěte se, že Windows 8.1 doméně počítače nainstalujte aktualizace dotyčné jsou umístěny v RODC uvedené servery mají přístup k síti na řadič domény s možností zápisu. Jako dočasné řešení ohrožených počítačů Windows 8.1 můžete nastavit následující klíč registru Chcete-li povolit místní zálohování hlavního klíče:

    Cesta v registru: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11 d 1-8c7a-00c04fc297eb
    Nastavení: ProtectionPolicy
    Typ: Hodnota DWORD
    Hodnoty: 1
Instalace aktualizace zabezpečení

INFORMACE O SOUBORU

Anglická (Spojené státy) verze této aktualizace softwaru instaluje soubory, které mají atributy, které jsou uvedeny v následujících tabulkách. Kalendářní data a časy jednotlivých souborů jsou uvedeny v koordinovaném světovém čase (UTC). Kalendářní data a časy těchto souborů v místním počítači jsou zobrazeny podle místního času a dle vašeho aktuálního letního času (DST). Navíc data a časy se mohou změnit při provádění některých operací se soubory.

Informace o souborech systému Windows Server 2003
Informace o souborech pro systémy Windows Vista a Windows Server 2008
Informace o souborech pro systém Windows 7 a Windows Server 2008 R2
Informace o souborech systému Windows 8 a Windows Server 2012
Informace o souborech pro systémy Windows 8.1 a Windows Server 2012 R2
Informace o souboru hash
Vlastnosti

ID článku: 2992611 - Poslední kontrola: 19. 1. 2017 - Revize: 1

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1, Windows RT 8.1, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows 8 Enterprise, Windows 8 Pro, Windows 8, Windows RT, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Web Server 2008 R2, Windows Server 2008 R2 Foundation, Windows 7 Service Pack 1, Windows 7 Ultimate, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Home Premium, Windows 7 Home Basic, Windows 7 Starter, Windows Server 2008 Service Pack 2, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Windows Server 2008 Foundation, Windows Server 2008 for Itanium-Based Systems, Aktualizace SP2 pro Windows Vista, Windows Vista Ultimate, Windows Vista Enterprise, Windows Vista Business, Windows Vista Home Premium, Windows Vista Home Basic, Windows Vista Starter, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems

Váš názor