דלג לתוכן הראשי
תמיכה
היכנס
היכנס דרך Microsoft
היכנס או צור חשבון.
שלום,
בחר חשבון אחר.
יש לך חשבונות מרובים
בחר את החשבון שברצונך להיכנס באמצעותו.


העדכון המתואר במאמר זה הוחלף על-ידי אוסף עדכונים חדשים יותר. אנו ממליצים להתקין את העדכון העדכני ביותר. לקבלת מידע נוסף, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:

ארוז 3158609 העדכונים 10 עבור Windows תכלת הרקיע

סיכום

מאמר זה מתאר את הבעיות האבטחה המתוקנים ב- 9.1 סיכום עדכון לחבילת תכלת הרקיע (גירסת הקובץ 3.32.8196.12) של Windows. היא מכילה גם את הוראות ההתקנה עבור הסיכום.

הבעיות המתוקנות באוסף עדכונים זה

בעיה 1 - פגיעות לתקיפות scripting בין אתרים ZeroClipboard

גרסאות טרום-9.1 של WAP כוללים גירסה של ZeroClipboard (v 1.1.7) אשר פגיע ל- scripting בין אתרים (XSS). אבטחת העדכונים 9.1 עבור WAP כולל ZeroClipboard מעודכן לגירסה 1.3.5, פותר פגיעות זו. תוכל למצוא פרטים אודות אותו כאן.

השפעת ZeroClipboard נמצא פורטלים Admin ודיירים ושירות אימות דיירים. ניתן לנצל פגיעות זו על כל שירותי אלה. ספק שירות בדרך כלל ישמור בפורטל הניהול של נגיש על-ידי דיירים, אך הפורטל דיירים לבין שירות אימות דיירים בדרך כלל נעשות זמינות כדי דיירים. שים לב שירות אימות דיירים אינו תומך בפריסות ייצור. אם תקיפה מוצלחת, adversary באפשרותך להפעיל כל דבר מנהל WAP או דיירים המשתמש שיכולים לפעול ביישום. Adversary היתה גם לבנות על באג זה לתקוף את הדפדפן או תחנת עבודה של הקורבן, או וצור או לגשת למשאבים דיירים (כגון מחשבים וירטואליים או SQL Server). מכיוון ששרת האימות מאוחד פגיע, אפשרויות התקפה אחרים גם יהיו זמינות.

בעיה 2 - פגיעות בשירות ה-API הציבורי דיירים

בגירסאות טרום-9.1 של WAP, תוקף דיירים הפעיל ניתן לטעון אישור באמצעות שירות API הציבורי דיירים ולשייך אותה למזהה המנוי של הדייר יעד פעולה זו מאפשרת לתוקף לקבל גישה למשאבים דיירים של היעד. עדכון 9.1 סיכום אבני התקפה כזו.

השפעת Adversary יכולים להשתמש זה כדי לגשת דיירים WAP שירות API הציבורי. עם זאת, כדי לעשות זאת, התוקף חייב לדעת את subscriptionId הקורבן. קיימת לפחות אחד התרחישים האפשריים עבור adversary לקבל גישה subscriptionId. היישום מאפשר למנהלי ליצור co-המנהלים. כאשר מישהו נכנס למערכת כמנהל co, הם למד להכיר את subscriptionId. אם זה co-admin יוסר מאוחר יותר, באפשרותם לבצע את התקיפה.

הוראות התקנה אלה הן עבור רכיבי Windows תכלת הרקיע Pack הבאה:

  • אתר דיירים

  • API של דיירים

  • ה-API הציבורי דיירים

  • אתר ניהול

  • API של ניהול

  • אימות

  • אימות של Windows

  • שימוש

  • פיקוח

  • Microsoft SQL

  • MySQL

  • גלריית יישום אינטרנט

  • תצורת האתר

  • מנתח שיטות עבודה מומלצות

  • PowerShell API

כדי להתקין את קבצי. msi עדכון עבור כל אחד מהרכיבים Pack תכלת הרקיע של Windows (WAP), בצע את הפעולות הבאות:

  1. אם המערכת נמצאת כעת תפעולי לוח זמנים (טיפול תנועת הלקוחות), זמן ההשבתה עבור שרתי Pack תכלת הרקיע. חבילת תכלת הרקיע של Windows אינו תומך כעת שדרוגים מתגלגל.

  2. עצור או לנתב מחדש תעבורת הלקוחות על אתרי אינטרנט שאתה מחשיב משביע רצון.

  3. ליצור תמונות גיבוי של שרתי האינטרנט והן את מסדי הנתונים של שרת SQL.

    הערות

    • אם אתה משתמש מחשבים וירטואליים, לקחת תמונות של המצב הנוכחי שלהם.

    • אם אינך משתמש סוגי, לבצע גיבוי של כל MgmtSvc-* תיקיה בספריה Inetpub בכל מחשב שבו מותקן רכיב WAP.

    • אסוף מידע וקבצים הקשורים האישורים שלך, כותרות המארח ולאחר כל שינוי היציאה.

  4. אם אתה משתמש ערכת נושא משלך עבור אתר דיירים Pack תכלת הרקיע של Windows, בצע הוראות אלה כדי לשמור את השינויים בערכת נושא לפני שתפעיל את העדכון.

  5. הפעל את העדכון על-ידי הפעלת כל קובץ. msi במחשב בו פועל הרכיב התואם. לדוגמה, הפעל את MgmtSvc-AdminAPI.msi במחשב שבו פועל אתר "MgmtSvc AdminAPI" ב- Internet Information Services (IIS).

  6. עבור כל צומת תחת עומסים, הפעל את העדכונים עבור הרכיבים בסדר הבא:

    1. אם אתה משתמש באישורים בחתימה עצמית המקורי המותקנים על-ידי WAP, פעולת העדכון מחליף אותם. יש לך לייצא את האישור החדש ולייבא לצמתים אחרים תחת עומסים. אישורים אלה יש CN = MgmtSvc-* תבנית מתן שמות (בחתימה עצמית).

    2. עדכן שירותי ספק משאבים (RP) (שרת SQL, SQL שלי, SPF/VMM, אתרי אינטרנט) לפי הצורך. ודא כי האתרים RP פועלים.

    3. עדכן את אתר דיירים API, API הציבורי של דיירים, צמתים API מנהל ואתרי מנהל ודיירים אימות.

    4. עדכן את מנהל ואתרים דיירים.

  7. קבצי script כדי לקבל גירסאות מסד נתונים ולעדכן שהותקנו על-ידי MgmtSvc-PowerShellAPI.msi של מסדי נתונים מאוחסנים במיקום הבא:

    C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database

  8. אם כל הרכיבים המעודכנים ופועלים כצפוי, באפשרותך לפתוח את התעבורה לצמתים שלך מעודכן. אחרת, עיין בסעיף "הוראות חזרה למצב קודם".

הערה אם אתה מעדכן מתוך אוסף עדכונים שהוא שווה לאו שגילם עולה על אוסף העדכונים 5 עבור ערכת תכלת הרקיע של Windows, בצע הוראות אלה כדי לעדכן את מסד הנתונים של WAP.

אם מתרחשת בעיה ולוודא חזרה למצב קודם חיוני, בצע את הפעולות הבאות:

  1. אם תמונות זמינות מההערה השני בשלב 3 בסעיף "הוראות התקנה", החל את התמונות. אם קיימות תמונות לא, לשלב הבא.

  2. השתמש בגיבוי שבוצעה בפתק הראשון והשלישי בשלב 3 בסעיף "הוראות התקנה" כדי לשחזר את מסדי הנתונים שלך ומחשבים.

    הערה לא להשאיר את המערכת במצב מעודכן באופן חלקי. לבצע פעולות החזרה למצב קודם כל המחשבים בו הותקן Pack תכלת הרקיע של Windows, גם אם העדכון נכשל בצומת אחד.

    מומלץ להפעיל את Windows תכלת הרקיע Pack הטובה ביותר לתרגול מנתח בכל צומת Pack תכלת הרקיע של Windows כדי לוודא כי פריטי קביעת תצורה נכונים.

  3. פתח את התעבורה לצמתים המשוחזרים שלך.


הוראות הורדהחבילות העדכון עבור ערכת תכלת הרקיע של Windows הזמינים מ- Microsoft Update או על-ידי הורדה ידנית.

Microsoft Updateכדי לקבל ולהתקין את חבילת עדכונים מ- Microsoft Update, בצע את הפעולות הבאות במחשב שבו מותקן רכיב ישים:

  1. לחץ על התחל ולאחר מכן לחץ על לוח הבקרה.

  2. בלוח הבקרה, לחץ פעמיים על Windows Update.

  3. בחלון Windows Update, לחץ על בדוק מקוון עבור עדכונים מ- Microsoft Update.

  4. לחץ על שעדכונים חשובים זמינים.

  5. בחר את חבילות העדכונים שברצונך להתקין ולאחר מכן לחץ על אישור.

  6. בחר להתקין עדכונים להתקין חבילות העדכון הנבחר.

הורדה ידנית של חבילות עדכוןעבור לאתר האינטרנט הבא כדי להוריד באופן ידני את חבילות עדכון מקטלוג Microsoft Update:

Download הורד כעת את חבילת העדכון

הקבצים שישתנו

גירסה

MgmtSvc-SQLServer.msi

3.32.8196.12

MgmtSvc-TenantAPI.msi

3.32.8196.12

MgmtSvc-TenantPublicAPI.msi

3.32.8196.12

MgmtSvc-TenantSite.msi

3.32.8196.12

MgmtSvc-Usage.msi

3.32.8196.12

MgmtSvc-WebAppGallery.msi

3.32.8196.12

MgmtSvc-WindowsAuthSite.msi

3.32.8196.12

MgmtSvc-AdminAPI.msi

3.32.8196.12

MgmtSvc-AdminSite.msi

3.32.8196.12

MgmtSvc-AuthSite.msi

3.32.8196.12

MgmtSvc-Bpa.msi

3.32.8196.12

MgmtSvc-ConfigSite.msi

3.32.8196.12

MgmtSvc-Monitoring.msi

3.32.8196.12

MgmtSvc-MySQL.msi

3.32.8196.12

MgmtSvc-PowerShellAPI.msi

3.32.8196.12


Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

לגלות קהילה

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.

שאל את Microsoft Community

Microsoft Tech Community

משתתפי Windows Insider

משתתפי Insider של Microsoft 365

האם מידע זה היה שימושי?

עד כמה אתם מרוצים מאיכות השפה?
מה השפיע על החוויה שלך?
בלחיצה על 'שלח', אתה מאפשר למשוב שלך לשפר מוצרים ושירותים של Microsoft. מנהל ה-IT שלך יוכל לאסוף נתונים אלה. הצהרת הפרטיות.

תודה על המשוב!

×