ÚVOD
Společnost Microsoft vydala bulletin zabezpečení MS12-006. Chcete-li zobrazit celý bulletin zabezpečení, navštivte jeden z následujících webů společnosti Microsoft:
-
Domácí uživatelé:
http://www.microsoft.com/security/pc-security/bulletins/201201.aspxPřeskočit podrobnosti: Stažení aktualizací pro domácí počítač nebo přenosný počítač z webu Microsoft Update:
-
Odborníci v oblasti IT:
Pomoc a podpora pro tuto aktualizaci zabezpečení
Pro domácí uživatele je k dispozici bezplatná podpora na čísle 1-866-PCSAFETY ve Spojených státech a v Kanadě
(místní čísla podpory naleznete na této stránce), nebo se mohou obrátit na místní pobočku společnosti Microsoft. Informace o tom, jak kontaktovat místní pobočku společnosti Microsoft ohledně podpory aktualizace zabezpečení, naleznete na následujícím webu mezinárodní podpory:
http://support.microsoft.com/common/international.aspx?ln=cs&rdpath=4 Zákazníci v Severní Americe mohou také na následujícím webu společnosti Microsoft získat neomezenou bezplatnou podporu e-mailem nebo neomezenou individuální podporu formou chatu:
https://support.microsoft.com/oas/default.aspx?ln=cs&prid=7552&st=1&wfxredirect=1&sd=gn Pro podnikové zákazníky je podpora pro aktualizace zabezpečení k dispozici prostřednictvím standardních kontaktů podpory.
Automatická oprava
Jsou k dispozici dvě opravy.
-
Oprava pro protokol TLS (Transport Layer Security) 1.1 v aplikaci Internet Explorer: Toto řešení povoluje protokol TLS 1.1, který není touto chybou zabezpečení ovlivněn, v aplikaci Windows Internet Explorer. Tuto opravu by si měla nainstalovat většina běžných uživatelů.
-
Oprava pro protokol TLS 1.1 na serverech se systémem Windows: Toto řešení povoluje protokol TLS 1.1, který není touto chybou zabezpečení ovlivněn.
Opravy popsané v této části nemají nahrazovat žádné aktualizace zabezpečení. Doporučujeme vždy nainstalovat nejnovější aktualizace zabezpečení. Tyto opravy však nabízíme jako alternativní řešení pro některé situace.
Další informace o těchto alternativních řešeních naleznete v bulletinu zabezpečení MS12-006:
http://technet.microsoft.com/security/bulletin/MS12-006 Tento bulletin obsahuje další informace o tomto problému a obsahuje následující témata:
-
Situace, v nichž lze toto řešení použít nebo zakázat
-
Zklidňující fakta
-
Řešení
-
Nejčastější dotazy
Chcete-li zobrazit konkrétně tyto informace, vyhledejte nadpis Vulnerability Information (Informace o chybě zabezpečení) a poté rozbalte odstavec Workarounds (Alternativní řešení) v části SSL and TLS Protocols Vulnerability - CVE-2011-3389 (Chyba zabezpečení protokolů SSL a TLS – CVE-2011-3389).
Oprava pro protokol TLS 1.1 v aplikaci Internet Explorer
Chcete-li povolit nebo zakázat tuto opravu, klikněte na tlačítko Opravit, na odkaz pod nadpisem Povolit nebo na odkaz pod nadpisem Zakázat. V dialogovém okně Stažení souboru klikněte na položku Spustit a postupujte podle kroků v průvodci opravou.
Povolit |
Zakázat / Vypnout |
---|---|
Poznámky
-
Tito průvodci mohou být k dispozici pouze v angličtině. Tyto automatické opravy však fungují i pro ostatní jazykové verze systému Windows.
-
Pokud právě nejste u počítače, který má tyto potíže, můžete automatickou opravu uložit na jednotku USB Flash nebo na disk CD a spustit ji v příslušném počítači později.
Oprava pro protokol TLS 1.1 na serverech se systémem Windows
Chcete-li povolit nebo zakázat tuto opravu, klikněte na tlačítko Opravit, na odkaz pod nadpisem Povolit nebo na odkaz pod nadpisem Zakázat. V dialogovém okně Stažení souboru klikněte na položku Spustit a postupujte podle kroků v průvodci opravou.
Povolit |
Zakázat / Vypnout |
---|---|
Poznámky
-
Tito průvodci mohou být k dispozici pouze v angličtině. Tyto automatické opravy však fungují i pro ostatní jazykové verze systému Windows.
-
Pokud právě nejste u počítače, který má tyto potíže, můžete automatickou opravu uložit na jednotku USB Flash nebo na disk CD a spustit ji v příslušném počítači později.
Známé problémy s touto aktualizací zabezpečení
Po dokončení instalace této aktualizace zabezpečení může docházet k selhání ověření nebo ztrátě připojení k některým serverům HTTPS. Tento problém je způsoben tím, že tato aktualizace zabezpečení mění způsob, jakým jsou odesílány záznamy na servery HTTPS.
Chcete-li dočasně povolit nebo zakázat tuto aktualizaci zabezpečení, klikněte na tlačítko Opravit, na odkaz pod nadpisem Zákaz aktualizace zabezpečení nebo na odkaz pod nadpisem Znovupovolení aktualizace zabezpečení. V dialogovém okně Stažení souboru klikněte na položku Spustit a postupujte podle kroků v průvodci opravou.
Zákaz aktualizace zabezpečení |
Znovupovolení aktualizace zabezpečení |
---|---|
Poznámky
-
Tito průvodci mohou být k dispozici pouze v angličtině. Tyto automatické opravy však fungují i pro ostatní jazykové verze systému Windows.
-
Pokud právě nejste u počítače, který má tyto potíže, můžete automatickou opravu uložit na jednotku USB Flash nebo na disk CD a spustit ji v příslušném počítači později.
V následující tabulce jsou uvedeny hodnoty, které tyto opravy používají pro položku registru SendExtraRecord typu DWORD:
Nadpis |
Hodnota použitá pro položku SendExtraRecord |
---|---|
Zákaz aktualizace zabezpečení |
2 |
Znovupovolení aktualizace zabezpečení |
0 |
Známé problémy a další informace o této aktualizaci zabezpečení
Následující články obsahují další informace o této aktualizaci zabezpečení týkající se jednotlivých verzí produktů. Články mohou obsahovat informace o známých problémech. Pokud tomu tak je, je pod daným odkazem na článek uveden příslušný známý problém:
Informace o registru
Nedoporučeno Nedoporučujeme používat následující postup k zákazu této aktualizace zabezpečení. Poskytujeme jej však pro případy, v nichž můžete používat aplikace, které jsou nekompatibilní s touto aktualizací zabezpečení, a je třeba povolit pro všechny aplikace rozdělené záznamy SSL.
Důležité: Tato část, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. V případě úpravy registru nesprávným způsobem však mohou nastat závažné problémy. Proto vždy pečlivě kontrolujte, zda postupujete přesně podle těchto kroků. Jako dodatečnou ochranu registr před úpravami zazálohujte. Potom můžete v případě problému registr obnovit. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
322756Postup zálohování a obnovení registru v systému Windows
Ve výchozím nastavení tato aktualizace zabezpečení nastavuje režim možnosti přihlášení na úrovni kanálu Schannel, a to z důvodů potíží s kompatibilitou aplikací. Chcete-li zakázat tuto aktualizaci zabezpečení pro všechny aplikace v rámci systému, přidejte hodnotu DWORD s názvem SendExtraRecord a hodnotou 2 do následujícího podklíče registru:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL Chcete-li přidat tuto položku registru zprostředkovatele Schannel, postupujte takto:
-
V nabídce Start klikněte na příkaz Spustit, do pole Otevřít zadejte příkaz regedit a klikněte na tlačítko OK.
-
Vyhledejte následující podklíč registru a klikněte na něj:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
-
V nabídce Úpravy přejděte na příkaz Nový a potom klikněte na příkaz Hodnota DWORD.
-
Jako název hodnoty DWORD zadejte SendExtraRecord a potom stiskněte klávesu ENTER.
-
Klikněte pravým tlačítkem na položku SendExtraRecord a potom klikněte na příkaz Změnit.
-
Do pole Údaj hodnoty zadejte hodnotu 2, čímž zakážete rozdělení záznamů ve zprostředkovateli Schannel, a pak klikněte na tlačítko OK.
-
Ukončete program Editor registru.
Tato položka registru může mít tři hodnoty, které představují různé režimy provozu:
Hodnota klíče registru |
Popis |
---|---|
0 |
Ve výchozím nastavení je zprostředkoval Schannel zahrnut v režimu Optin. To znamená, že tato aktualizace zabezpečení bude fungovat pro všechny volající, kteří zprostředkovateli Schannel odešlou příznak zabezpečení. Položka registru SendExtraRecord zprostředkovatele Schannel nebude balíčkem zabezpečení vytvořena. Proto absence položky registru zprostředkovatele Schannel znamená, že systém je spuštěn v tomto režimu. Pokud někdo vytvoří tento klíč registru a nastaví pro něj hodnotu 0, zprostředkovatel Schannel bude znovu spuštěn v tomto režimu. 2638806 MS12-006: Popis aktualizace zabezpečení pro službu Winhttp v systému Windows Server 2003 a Windows XP Professional x64 Edition: 10. ledna 2012 |
1 |
Nastavení hodnoty 1 znamená „povoleno pro všechny“. To znamená, že volající nemusí odesílat příznak a zprostředkovatel Schannel rozdělí všechny záznamy SSL. Je-li nastavena tato hodnota, aplikace nemusejí provádět žádné změny. Zákazníci, kteří kladou velký důraz na zabezpečení systému, mohou napomoci zvýšení zabezpečení systému povolením tohoto klíče registru. |
2 |
Nastavení hodnoty 2 znamená „zakázáno pro všechny“. To znamená, že zprostředkovatel Schannel nerozdělí záznamy pro žádná volání šifrování provedená aplikacemi. Tento režim nerespektuje příznak zabezpečení, který aplikace odešle. |
Na základě interního testování jsme zjistili, že není vhodné nastavit tuto položku registru na hodnotu 1, protože může v rámci podniku dojít k porušení příliš mnoha scénářů. Proto uživatele zrazujeme od jejího použití.
Známé potíže s povolením položky registru SendExtraRecord
-
Nastavení položky registru SendExtraRecord na hodnotu 1 vynutí rozdělení záznamů v rámci každého volání šifrování dat u zprostředkovatele Schannel. K tomu dojde bez ohledu na to, zda volající v průběhu inicializace relace odeslal příznak zabezpečení.
-
Řada aplikací využívajících zprostředkovatele Schannel je napsána tak, že se na straně příjemce předpokládá, že data aplikace budou zabalena do jednoho balíčku. K tomu dojde i v případě, že aplikace volá zprostředkovatele Schannel kvůli dešifrování. Aplikace ignorují příznak, který je nastaven zprostředkovatelem Schannel. Tento příznak aplikaci signalizuje, že na dešifrování a převzetí příjemcem čekají další data. Tato metoda nevyužívá postup použití zprostředkovatele Schannel předepsaný službou MSDN. Protože tato aktualizace zabezpečení vynucuje rozdělení záznamů, dochází k chybám takových aplikací.
-
Mezi poškozené aplikace patří produkty společnosti Microsoft i komponenty obsažené v balení. Dále jsou uvedeny příklady scénářů, které mohou být při nastavení položky registru SendExtraRecord na hodnotu 1 poškozeny:
-
-
Všechny produkty SQL a aplikace založené na systému SQL.
-
Terminálové servery se zapnutým ověřováním na úrovni sítě (NLA). Ve výchozím nastavení je ověřování NLA povoleno v systému Windows Vista a novějších verzích systému Windows.
-
Některé scénáře služby RRAS (Routing Remote Access Service).
-
Nastavení položky registru SendExtraRecord na hodnotu 1 vynutí zabezpečené rozdělení záznamů pro všechny aplikace využívající protokol Windows TLS/SSL. Toto nastavení však pravděpodobně způsobí potíže s kompatibilitou aplikací. Proto zákazníkům doporučujeme, aby místo použití tohoto nastavení registru nakonfigurovali protokoly TLS 1.1 a TLS 1.2. Protokoly TLS 1.1 a TLS 1.2 nejsou těmito potížemi ohroženy.
Pokud uživatel zamýšlí použít toto nastavení registru, doporučujeme před zahájením implementace důkladně otestovat kompatibilitu aplikací. Mezi běžné produkty, které jsou tímto nastavením ovlivněny, patří produkty Microsoft SQL, Windows Terminal Server a Windows Remote Access Server.
Nejčastější dotazy
Otázka: Jak může společnost Microsoft pomoci opravit aplikaci na straně serveru?
Odpověď: Zkontrolujte, zda dokáže aplikace zpracovat fragmentaci aplikačních záznamů protokolu SSL/TLS, jak je popsáno v následujících dokumentech RFC: