MS12-006: Chyba zabezpečení protokolu SSL/TLS by mohla umožnit přístup k informacím: 10. ledna 2012

Pomoc a podpora pro tuto aktualizaci zabezpečení

Pro domácí uživatele je k dispozici bezplatná podpora na čísle 1-866-PCSAFETY ve Spojených státech a v Kanadě

(místní čísla podpory naleznete na této stránce), nebo se mohou obrátit na místní pobočku společnosti Microsoft. Informace o tom, jak kontaktovat místní pobočku společnosti Microsoft ohledně podpory aktualizace zabezpečení, naleznete na následujícím webu mezinárodní podpory:

http://support.microsoft.com/common/international.aspx?ln=cs&rdpath=4 Zákazníci v Severní Americe mohou také na následujícím webu společnosti Microsoft získat neomezenou bezplatnou podporu e-mailem nebo neomezenou individuální podporu formou chatu:

https://support.microsoft.com/oas/default.aspx?ln=cs&prid=7552&st=1&wfxredirect=1&sd=gn Pro podnikové zákazníky je podpora pro aktualizace zabezpečení k dispozici prostřednictvím standardních kontaktů podpory.

Oprava pro protokol TLS 1.1 v aplikaci Internet Explorer

Chcete-li povolit nebo zakázat tuto opravu, klikněte na tlačítko Opravit, na odkaz pod nadpisem Povolit nebo na odkaz pod nadpisem Zakázat. V dialogovém okně Stažení souboru klikněte na položku Spustit a postupujte podle kroků v průvodci opravou.

Oprava pro protokol TLS 1.1 na serverech se systémem Windows

Chcete-li povolit nebo zakázat tuto opravu, klikněte na tlačítko Opravit, na odkaz pod nadpisem Povolit nebo na odkaz pod nadpisem Zakázat. V dialogovém okně Stažení souboru klikněte na položku Spustit a postupujte podle kroků v průvodci opravou.

Známé problémy s touto aktualizací zabezpečení

Po dokončení instalace této aktualizace zabezpečení může docházet k selhání ověření nebo ztrátě připojení k některým serverům HTTPS. Tento problém je způsoben tím, že tato aktualizace zabezpečení mění způsob, jakým jsou odesílány záznamy na servery HTTPS. 

Chcete-li dočasně povolit nebo zakázat tuto aktualizaci zabezpečení, klikněte na tlačítko Opravit, na odkaz pod nadpisem Zákaz aktualizace zabezpečení nebo na odkaz pod nadpisem Znovupovolení aktualizace zabezpečení. V dialogovém okně Stažení souboru klikněte na položku Spustit a postupujte podle kroků v průvodci opravou.

Poznámky

• Tito průvodci mohou být k dispozici pouze v angličtině. Tyto automatické opravy však fungují i pro ostatní jazykové verze systému Windows.

• Pokud právě nejste u počítače, který má tyto potíže, můžete automatickou opravu uložit na jednotku USB Flash nebo na disk CD a spustit ji v příslušném počítači později.

V následující tabulce jsou uvedeny hodnoty, které tyto opravy používají pro položku registru SendExtraRecord typu DWORD: 

Informace o registru

Nedoporučeno Nedoporučujeme používat následující postup k zákazu této aktualizace zabezpečení. Poskytujeme jej však pro případy, v nichž můžete používat aplikace, které jsou nekompatibilní s touto aktualizací zabezpečení, a je třeba povolit pro všechny aplikace rozdělené záznamy SSL.

Důležité: Tato část, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. V případě úpravy registru nesprávným způsobem však mohou nastat závažné problémy. Proto vždy pečlivě kontrolujte, zda postupujete přesně podle těchto kroků. Jako dodatečnou ochranu registr před úpravami zazálohujte. Potom můžete v případě problému registr obnovit. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

322756Postup zálohování a obnovení registru v systému Windows

Ve výchozím nastavení tato aktualizace zabezpečení nastavuje režim možnosti přihlášení na úrovni kanálu Schannel, a to z důvodů potíží s kompatibilitou aplikací. Chcete-li zakázat tuto aktualizaci zabezpečení pro všechny aplikace v rámci systému, přidejte hodnotu DWORD s názvem SendExtraRecord a hodnotou 2 do následujícího podklíče registru:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL Chcete-li přidat tuto položku registru zprostředkovatele Schannel, postupujte takto:

1. V nabídce Start klikněte na příkaz Spustit, do pole Otevřít zadejte příkaz regedit a klikněte na tlačítko OK.

2. Vyhledejte následující podklíč registru a klikněte na něj:

   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

3. V nabídce Úpravy přejděte na příkaz Nový a potom klikněte na příkaz Hodnota DWORD.

4. Jako název hodnoty DWORD zadejte SendExtraRecord a potom stiskněte klávesu ENTER.

5. Klikněte pravým tlačítkem na položku SendExtraRecord a potom klikněte na příkaz Změnit.

6. Do pole Údaj hodnoty zadejte hodnotu 2, čímž zakážete rozdělení záznamů ve zprostředkovateli Schannel, a pak klikněte na tlačítko OK.

7. Ukončete program Editor registru.

Tato položka registru může mít tři hodnoty, které představují různé režimy provozu:

Na základě interního testování jsme zjistili, že není vhodné nastavit tuto položku registru na hodnotu 1, protože může v rámci podniku dojít k porušení příliš mnoha scénářů. Proto uživatele zrazujeme od jejího použití.

Známé potíže s povolením položky registru SendExtraRecord

• Nastavení položky registru SendExtraRecord na hodnotu 1 vynutí rozdělení záznamů v rámci každého volání šifrování dat u zprostředkovatele Schannel. K tomu dojde bez ohledu na to, zda volající v průběhu inicializace relace odeslal příznak zabezpečení.

• Řada aplikací využívajících zprostředkovatele Schannel je napsána tak, že se na straně příjemce předpokládá, že data aplikace budou zabalena do jednoho balíčku. K tomu dojde i v případě, že aplikace volá zprostředkovatele Schannel kvůli dešifrování. Aplikace ignorují příznak, který je nastaven zprostředkovatelem Schannel. Tento příznak aplikaci signalizuje, že na dešifrování a převzetí příjemcem čekají další data. Tato metoda nevyužívá postup použití zprostředkovatele Schannel předepsaný službou MSDN. Protože tato aktualizace zabezpečení vynucuje rozdělení záznamů, dochází k chybám takových aplikací.

• Mezi poškozené aplikace patří produkty společnosti Microsoft i komponenty obsažené v balení. Dále jsou uvedeny příklady scénářů, které mohou být při nastavení položky registru SendExtraRecord na hodnotu 1 poškozeny:

• • Všechny produkty SQL a aplikace založené na systému SQL.

  • Terminálové servery se zapnutým ověřováním na úrovni sítě (NLA). Ve výchozím nastavení je ověřování NLA povoleno v systému Windows Vista a novějších verzích systému Windows.

  • Některé scénáře služby RRAS (Routing Remote Access Service).

Nastavení položky registru SendExtraRecord na hodnotu 1 vynutí zabezpečené rozdělení záznamů pro všechny aplikace využívající protokol Windows TLS/SSL. Toto nastavení však pravděpodobně způsobí potíže s kompatibilitou aplikací. Proto zákazníkům doporučujeme, aby místo použití tohoto nastavení registru nakonfigurovali protokoly TLS 1.1 a TLS 1.2. Protokoly TLS 1.1 a TLS 1.2 nejsou těmito potížemi ohroženy.

Pokud uživatel zamýšlí použít toto nastavení registru, doporučujeme před zahájením implementace důkladně otestovat kompatibilitu aplikací. Mezi běžné produkty, které jsou tímto nastavením ovlivněny, patří produkty Microsoft SQL, Windows Terminal Server a Windows Remote Access Server.