Windows Server 2012 .NET Frameworki 4.6.2 turvalisuse ja kvaliteedi värskenduskomplekti kirjeldus: 9. mai 2017

Kokkuvõte

See värskendus Microsoft .NET Framework turvalisuse funktsioon möödu haavatavuse, mis lahendab .NET Framework (ja .NET Core) komponentide täielikult ära kinnitada serdid. Kohta lisateabe saamiseks selle haavatavuse, vt Microsofti levinud nõrkused ja riskid CVE-2017-0248.

See värskendus sisaldab ka Windows Presentation raamistiku PackageDigitalSignatureManager komponendi võimalusi paketid SHA256 räsialgoritm parandusi turvalisuse suurendamine.

NB!

• Keelepaketi installimisel pärast selle värskenduse installimist peate selle värskenduse uuesti installima. Seetõttu soovitame teil installida mis tahes keeles see enne selle värskenduse installimist. Lisateabe saamiseks lugege Keelepakettide lisamine Windowsi.

Lisateabe saamiseks selle turvavärskenduse kohta

• Täiustatud võtme kasutamine (EKL) on kirjeldatud in RFC 5280 jaotise 4.2.1.12: selle lisamooduli näitab üks või rohkem tarvis sertifitseeritud avaliku võtme võib kasutada, lisaks või asemel huvides , mis on toodud võtme kasutamine pikendamine. Näiteks sert see server kliendi autentimiseks kasutatav peab olema konfigureeritud jaoks kliendi autentimiseks. Samuti serdi ongi kasutada autentimiseks server peab olema konfigureeritud jaoks autentimist.
  
  Sertide kasutamisel autentimiseks Autentija uurib kliendi serti ja otsib õige eesmärgi objektiidentifikaator rakenduste poliitikad laiendid. Näiteks on 1.3.6.1.5.5.7.3.2 objektiidentifikaator kliendi autentimiseks. Kliendi autentimiseks serti kasutamisel tuleb selle objekti identifikaator olemas EKL laiendamist selle serdi või autentimine nurjub. Serdid , mis on EKL laiendamata jätkuvalt õigestiautentida.
  
  Kui te ei pääse korralikult uuesti välja serdid ajutiselt, võite valida või selle turvalisuse muutmine üle kõik arvuti toiminguid vältida mis tahes Ühenduvus mõju. Selleks Määrake järgmise registrivõtme peamised sätted, olenevalt teie application on suunatud .NET Frameworki versiooni .
  
  1. meetod: Värskendamine registrivõtme (saadaval kõik versioonid)
  
  Märkus. See registrikirje tuleb DWORD-kirjes.
  

  • 32-bitine protsessi system 32-bitine ja 64-bit protsessi 64-bitise süsteemi:
    

    HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v4.0.30319@RequireCertificateEKUs=0

  • 32-bitine protsessi 64-bitise süsteemi kohta:
    

    HKEY_LOCAL_MACHINE \Software\Wow6432Node\Microsoft\.NETFramework\v4.0.30319@RequireCertificateEKUs=0

  Samuti saate ära ütlema iga rakenduselication alusel. Järgmised suvandid on saadaval selle muudatuse teha kindel, et application ühilduvuse keelamine on säilitada.
  
  2. meetod: Keelata üksikute rakenduste poliitika
  
  Märkus. Toma registri kirje peab olema DWORD-kirjes. Ainult kehtiv väärtus on 0. Mis tahes muu väärtus on ignoreerida.

  • 32-bitine protsessi system 32-bitine ja 64-bit protsessi 64-bitise süsteemi:

    HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v4.0.30319@System.Net.ServicePointManager.RequireCertificateEKUs
    S:\Prj\console_pg\console_pg45\bin\Release\console_pg45.exe=0
    C:\MyApp\MyApp.exe=0

  • 32-bitine protsessi 64-bitise süsteemi kohta:

    HKEY_LOCAL_MACHINE \Software\Wow6432Node\Microsoft\.NETFramework\v4.0.30319@System.Net.ServicePointManager.RequireCertificateEKUs
    S:\Prj\console_pg\console_pg45\bin\Release\console_pg45.exe=0
    C:\MyApp\MyApp.exe=0

  3. meetod: konfiguratsiooni API (saadaval .NET Frameworki 4.6ja uuemate versioonide) abil
  
  Alates on selle .NET Frameworki 4.6, saate muuta konfiguratsiooni rakenduse tasemel koodi, mis rakenduse konfigureerimine, või registrimuudatusi kaudu.
  
  Lüliti konfigureerimine.NET Frameworki 4.6
  
  Märkus. On järgmised näited keelata turvalisuse funktsioon.

  • Programmatically
    
    Esimene asi, mida tuleks teha rakenduse käivitamisel järgmine kood. Seda sellepärast, et punkti Teenusehalduri lähtestamines vaid üks kord.
      private const string DisableCachingName = @"TestSwitch.LocalAppContext.DisableCaching"; private const string DontCheckCertificateEKUsName= @"Switch.System.Net.DontCheckCertificateEKUs"; AppContext.SetSwitch(DisableCachingName, true); AppContext.SetSwitch(DontCheckCertificateEKUsName, true);

  • Application configuration
    
    Rakenduse konfigureerimine muutmiseks lisage järgmine kirje:
      <runtime> <AppContextSwitchOverrides value="Switch.System.Net.DontCheckCertificateEKUsName=true"/> </runtime>

  • Registrivõti (masin globaalne):
    

    Registry location: HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Microsoft\.NETFramework\AppContext\Switch.System.Net.DontCheckCertificateEKUsName

    Tüüp: String
    Väärtus: "true"

  Märkus. Vaikimisi Switch.System.Net.DontCheckCertificateEKUsName = True kõigi .NET Framework 4. x rakendusi , mis on selle .NET Frameworki 4.6 ja uuemate versioonide.

• Lisateabe saamiseks selle värskenduse, mis puudutab Windows Server 2012, lugege Microsofti teabebaasi (Knowledge Base) järgmist artiklit:

  4019113 turvalisuse ja kvaliteedi .NET Framework 3.5 hoolduspaketi 1, 4.5.2 4.6 4.6.1 ning 4.6.2 värskendusi Windows Server 2012 värskenduskomplekti: 9 mai 2017

Hankige ja installige värskendus

Failiteave

Kuidas saada abi ja tugi selle turvavärskendusele

• Abi värskenduste installimine: Windows Update KKK

• IT-spetsialistidele mõeldud turvalahendused: TechNet Security tugi ja veaotsing

• Abi Windowsi-põhiste toodete ja teenuste kaitsmine viiruste ja ründevara eest: Microsoft Secure

• Kohaliku tugiteenus vastavalt oma riik: Rahvusvahelist tugiteenuse

Kehtib

Selles artiklis käsitletakse järgmist:

• Microsoft .NET Frameworki 4.6.2 kasutamisel koos:

  • Windows Server 2012