Vous êtes actuellement hors ligne, en attente de reconnexion à Internet.

Avis de sécurité Microsoft: Protection étendue pour l'authentification

Le support de Windows XP a pris fin

Microsoft a mis fin au support de Windows XP le 8 avril 2014. Cette modification a affecté vos mises à jour logicielles et options de sécurité. Découvrez les implications de ce changement à votre niveau et la marche à suivre pour rester protégé.

Le support de Windows Server 2003 a pris fin le 14 juillet 2015

Microsoft a mis fin au support de Windows Server 2003 le 14 juillet 2015. Cette modification a affecté vos mises à jour logicielles et options de sécurité. Découvrez les implications de ce changement à votre niveau et la marche à suivre pour rester protégé.

INTRODUCTION
Microsoft a publié l'avis de sécurité 973811. Pour afficher cet avis de sécurité, consultez le site Web de Microsoft à l'adresse suivante :

Procédure pour obtenir une assistance pour cet avis de sécurité

Pour les particuliers, une assistance gratuite est disponible en appelant 1-866-PCSAFETY aux États-Unis et au Canada ou en contactant votre filiale Microsoft locale. Pour plus d'informations sur la façon de contacter votre filiale Microsoft locale pour des questions relatives à la prise en charge des mises à jour de sécurité, reportez-vous au site Web du support international Microsoft à l'adresse suivante : Les clients d'Amérique du Nord peuvent également accéder instantanément à une assistance gratuite illimitée par messagerie électronique ou à une assistance individuelle illimitée sous la forme d'une discussion en se reportant au site Web de Microsoft à l'adresse suivante : Pour les entreprises, l'assistance relative aux mises à jour de sécurité se fait via les contacts habituels de support.
Plus d'informations

Comment puis-je configurer .NET pour utiliser la protection étendue pour l'authentification ?

Voici la procédure à suivre pour activer la protection étendue pour Microsoft .NET Framework 2.0 Service Pack 2, .NET Framework 3.0 Service Pack 2, and .NET Framework 3.5 SP1.

Pour .NET Framework 2.0 Service Pack 2 (Bibliothèque de classes réseau)

La protection étendue peut être activée en définissant les propriétés sur HttpListener. Pour plus d'informations, reportez-vous aux sites Web Microsoft MSDN à l'adresse suivante : Si NegotiateStream est utilisé, alors il est nécessaire d'utiliser les surcharges appropriées de [Begin]AuthenticateAsServer et [Begin]AuthenticateAsClient : Pour plus d'informations, reportez-vous aux sites Web Microsoft MSDN à l'adresse suivante :

En plus des recommandations indiquées dans ces sites Web de Microsoft, procédez comme suit :
  1. Du côté client, installez la mise à jour de la protection étendue pour l'authentification pour l'interface SSPI (Security Support Provider Interface). Cette mise à jour modifie l'interface SSPI pour améliorer l'authentification Windows. De plus, cette mise à jour empêche la transmission des informations d'identification. Après avoir installé cette mise à jour, vous devez appliquer les paramètres de Registre décrits dans l'article 968389 de la Base de connaissance Microsoft pour activer la protection étendue.Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    968389Protection étendue pour l'authentification
  2. Du côté serveur, installez la mise à jour de la protection étendue pour l'authentification pour la pile du protocole HTTP.

Pour .NET Framework 2.0 Service Pack 2 (ASP.NET)

Aucune action spéciale n'est requise pour utiliser la protection étendue.

Pour .NET Framework 3.0 Service Pack 2 (WCF)

Pour activer la protection étendue pour l'authentification dans WCF, procédez comme suit : Pour ce faire, procédez comme suit :
  1. Du côté client, installez la mise à jour de la protection étendue pour l'authentification pour l'interface SSPI (Security Support Provider Interface). Cette mise à jour modifie l'interface SSPI pour améliorer l'authentification Windows. De plus, cette mise à jour empêche la transmission des informations d'identification. Après avoir installé cette mise à jour, vous devez appliquer les paramètres de Registre décrits dans l'article 968389 de la Base de connaissance Microsoft pour activer la protection étendue.Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    968389Protection étendue pour l'authentification
  2. Du côté serveur, installez la mise à jour de la protection étendue pour l'authentification pour la pile du protocole HTTP.
  3. Installez la mise à jour de la protection étendue pour l'authentification pour les Services Internet (IIS) lorsqu'IIS est installé.

    Après avoir installé la mise à jour, suivez les instructions de l'article 973917 de la Base de connaissance Microsoft pour configurer la protection étendue dans IIS.Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    973917Description de la mise à jour qui implémente la protection étendue pour l'authentification dans les Services IIS
    970430 Description de la mise à jour qui implémente la protection étendue pour l'authentification dans la pile de protocole HTTP (http.sys)
  4. Utilisez la classe ExtendedProtectionPolicy dans WCF pour représenter la stratégie de protection étendue que le serveur utilise pour valider les connexions client entrantes. La classe peut être appliquée uniquement lorsque le mode de sécurité est défini sur mode de transport ou sur mode TransportWithMessageCredential. L'exemple suivant est un exemple de code qui montre la configuration dans un élément de liaison d'un fichier de configuration du service :
    <binding>……………   <security mode="Transport">           <transport ……………>                                  <extendedProtectionPolicy policyEnforcement ="WhenSupported"/>           </transport >          </security></binding>
    Pour plus d'informations sur la fonctionnalité de protection étendue pour l'authentification, reportez-vous au site Web de Microsoft TechNet à l'adresse suivante :
Pour plus d'informations sur la configuration, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
Numéro d'articleTitre de l'article
982532Description de la mise à jour cumulative pour .NET Framework 3.5 Service Pack 1 sur Windows Vista Service Pack 1 et Windows Server 2008 Service Pack 1 (976767 et 980843) datée du : mardi 8 juin 2010
982533Description de la mise à jour cumulative pour .NET Framework 3.5 Service Pack 1 sur Windows Vista Service Pack 2 et Windows Server 2008 Service Pack 2 (976768 et 980842) datée du mardi 8 juin 2010
982535Description de la mise à jour cumulative pour .NET Framework 3.5 Service Pack 1 sur Windows Vista Service Pack 1 et Windows Server 2008 Service Pack 1 (976767 et 980843 et 976771) datée du mardi 8 juin 2010
982536Description de la mise à jour cumulative pour .NET Framework 3.5 Service Pack 1 sur Windows Vista Service Pack 2 et Windows Server 2008 Service Pack 2 (976768 et 980842 et 976772) datée du mardi 8 juin 2010
982167Description de la mise à jour cumulative pour .NET Framework 3.5 Service Pack 1 et .NET Framework 2.0 Service Pack 2 sur Windows XP et Windows Server 2003 (976765 et 980773) datée du mardi 8 juin 2010
982168Description de la mise à jour cumulative pour .NET Framework 3.5 Service Pack 1 sur Windows XP et sur Windows Server 2003 (976765, 980773 et 976769) datée du 8 juin,
2262911L'erreur d'exception « Impossible de charger le type "System.Security.Authentication.ExtendedProtection.ExtendedProtectionPolicy" » après avoir installé la mise à jour 982167 ou 982168
Problèmes connus
Pour plus d'informations sur les problèmes connus liés à ce logiciel, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
Numéro d'articleTitre de l'article
2197146Les mises à jour pour .NET Framework 3.5 Service Pack 1 et .NET Framework 2.0 Service Pack 2 peuvent faire apparaître le numéro de l'article de la Base de connaissance au lieu du titre complet de la mise à jour dans l'élément Ajout/Suppression de programmes dans le Panneau de configuration
mise à jour sécurité_correctif sécurité_mise à jour sécurité bogue défaut vulnérabilité utilisateur malveillant exploiter Registre non authentifié saturation de la mémoire tampon étendue spécialement formée refus de service spécialement prévu DoS TSE WinNT Win2000
Propriétés

ID d'article : 973811 - Dernière mise à jour : 09/17/2010 16:50:00 - Révision : 5.0

Microsoft .NET Framework 3.5 Service Pack 1, Microsoft .NET Framework 3.0 Service Pack 2, Microsoft .NET Framework 2.0 Service Pack 2, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Windows Vista Service Pack 2, Windows Vista Service Pack 1, Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows XP Service Pack 2, Microsoft Windows XP Service Pack 3

  • kbsecadvisory atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbsurveynew KB973811
Commentaires
ElementsByTagName("head")[0].appendChild(m);