תיאור של אבטחה רק העדכון עבור .NET Framework 4.6.2 עבור Windows 8.1 ו- Windows Server 2012 R2: 9 במאי, 2017

סיכום

עדכון האבטחה עבור Microsoft .NET Framework פותר פגיעות עקיפת תכונת אבטחה שבה .NET Framework (ו- .NET Core) אל רכיבי לגמרי לאמת אישורים. לקבלת מידע נוסף על הפגיעות, עיין פגיעויות נפוצות של Microsoft ואחת מהן חשיפה CVE-2017-0248.

עדכון זה כולל גם תיקונים שיפור אבטחה על יכולתו של הרכיב Windows מצגת Framework PackageDigitalSignatureManager לחתום על חבילות באמצעות אלגוריתם ה-hash של SHA256.

חשוב

• כל אבטחה עתידיים ועדכונים בנושא אבטחה עבור Windows RT 8.1, Windows 8.1 ו- Windows Server 2012 R2 דורשים עדכון 2919355 . אנו ממליצים להתקין עדכון 2919355 במחשב מבוסס Windows RT 8.1, מבוססי Windows 8.1 או מבוססי Windows Server 2012 R2, כך שתקבל עדכונים עתידיים.

• אם התקנת ערכת שפה לאחר שתתקין עדכון זה, עליך להתקין מחדש עדכון זה. לכן, אנו ממליצים לך להתקין בכל שפה ערכות הדרוש לך לפני התקנת עדכון זה. לקבלת מידע נוסף, ראה הוספת ערכות שפה ל- Windows.

מידע נוסף אודות עדכון אבטחה זה

• שימוש במפתח משופר (EKU) הוא כמתואר ב- RFC 5280 במקטע 4.2.1.12: הרחבה זו מציינת אחת או יותר למטרות עבור שבו המפתח מוסמך ציבורית עשוי לשמש, בנוסף או במקום למטרות בסיסיים שאינם נמצאים שצוינו הרחבת שימוש במפתח. לדוגמה, אישור that's המשמש לאימות של לקוח לשרת להיות שתצורתה נקבעה עבור אימות לקוח. באופן דומה, אישור that's המשמש לאימות של שרת להיות שתצורתה נקבעה עבור אימות שרת.
  
  כאשר נעשה שימוש באישורים לאימות, ה-authenticator בוחן את הלקוח האישור ואת בחיפושים מזהה האובייקט הנכון מטרה בהרחבות מדיניות יישומים. לדוגמה, מזהה האובייקט עבור אימות לקוח הוא 1.3.6.1.5.5.7.3.2. כאשר נעשה שימוש באישור עבור אימות לקוח, מזהה אובייקט זה חייב להימצא בהרחבות EKU של האישור או האימות נכשל. אישורים בעלי סיומת EKU לא להמשיך בביצוע אימות תקין.
  
  אם אין לך גישה כראוי reissued אישורים באופן זמני, באפשרותך לבחור להסכמת או להקטין האבטחה שינוי על-פני וכל פעולות המחשב כדי למנוע השפעות קישוריות. כדי לעשות זאת, ציין מפתח הרישום הבא מפתח הגדרות, בהתאם לגירסה של .NET Framework כיעד עבוריישום של היישום שלך .
  
  שיטה 1: עדכון מפתח הרישום (זמין עבור כל הגירסאות)
  
  הערה ערך רישום זה חייב להיות ערך DWORD.
  

  • עבור תהליך של 32 סיביות, מערכת של 32 סיביות והן תהליך 64 סיביות במערכת של 64 סיביות:
    

    HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v4.0.30319@RequireCertificateEKUs=0

  • עבור תהליך 32 סיביות במערכת של 64 סיביות:
    

    HKEY_LOCAL_MACHINE \Software\Wow6432Node\Microsoft\.NETFramework\v4.0.30319@RequireCertificateEKUs=0

  באפשרותך גם הצטרפות על בסיס לפי-יישוםיישום . האפשרויות הבאות זמינות עבור ביטול שינוי זה כדי להפוך בטוח כי יישוםיישום תאימות נשמרת.
  
  שיטה 2: השבת את המדיניות עבור יישומים נפרדים
  
  הערה הערך Tהרישום שלו חייב להיות ערך DWORD. הערך החוקי היחיד הוא 0. כל האחרים ערך הוא התייחסות.

  • עבור תהליך של 32 סיביות, מערכת של 32 סיביות והן תהליך 64 סיביות במערכת של 64 סיביות:

    HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v4.0.30319@System.Net.ServicePointManager.RequireCertificateEKUs
    S:\Prj\console_pg\console_pg45\bin\Release\console_pg45.exe=0
    C:\MyApp\MyApp.exe=0

  • עבור תהליך 32 סיביות במערכת של 64 סיביות:

    HKEY_LOCAL_MACHINE \Software\Wow6432Node\Microsoft\.NETFramework\v4.0.30319@System.Net.ServicePointManager.RequireCertificateEKUs
    S:\Prj\console_pg\console_pg45\bin\Release\console_pg45.exe=0
    C:\MyApp\MyApp.exe=0

  שיטה 3: שימוש ב- API של תצורה (זמין עבור .NET Framework 4.6 וגירסאות מאוחרות יותר)
  
  החל ב .NET Framework 4.6, באפשרותך לשנות את תצורת ברמת היישום באמצעות קוד, תצורת יישום, או שינויים ברישום.
  
  קביעת התצורה של הבורר ב.NET Framework 4.6
  
  הערה הבא דוגמאות להשבית תכונת האבטחה.

  • Programmatically
    
    הדבר הראשון היישום עליך לעשות הוא להפעיל את הקוד הבא. הסיבה לכך היא מנהל נקודת שירות לאתחלs פעם אחת בלבד.
      private const string DisableCachingName = @"TestSwitch.LocalAppContext.DisableCaching"; private const string DontCheckCertificateEKUsName= @"Switch.System.Net.DontCheckCertificateEKUs"; AppContext.SetSwitch(DisableCachingName, true); AppContext.SetSwitch(DontCheckCertificateEKUsName, true);

  • Application configuration
    
    כדי לשנות את תצורת היישום, הוסף את הערך הבא:
      <runtime> <AppContextSwitchOverrides value="Switch.System.Net.DontCheckCertificateEKUsName=true"/> </runtime>

  • מפתח הרישום (מחשב הכללית):
    

    Registry location: HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Microsoft\.NETFramework\AppContext\Switch.System.Net.DontCheckCertificateEKUsName

    סוג: מחרוזת
    ערך: "true"

  הערה כברירת מחדל, Switch.System.Net.DontCheckCertificateEKUsName = True עבור כל .NET Framework 4. x יישומים שאינם נמצאים פועל .NET Framework 4.6 וגירסאות מתקדמות יותר.

• לקבלת מידע נוסף אודות אבטחה זה עדכון בכל הקשור ל- Windows 8.1 ו- Windows Server 2012 R2, עיין במאמר הבא מתוך מאגר הידע Microsoft Knowledge Base:

  4019111 אבטחה רק עדכון עבור .NET Framework 3.5 Service Pack 1, עדכונים 4.5.2, 4.6, 4.6.1 ו- 4.6.2 עבור Windows 8.1 ו- Windows Server 2012 R2: 9 במאי, 2017

כיצד להשיג ולהתקין את העדכון

פרטי קובץ

כיצד להשיג עזרה ותמיכה עבור עדכון אבטחה זה

• עזרה עבור התקנת עדכונים: שאלות נפוצות של Windows Update

• פתרונות אבטחה עבור מומחי IT: תמיכה האבטחה TechNet ופתרון בעיות

• עזרה עבור הגנה על מבוססת Windows המוצרים והשירותים שלך מפני וירוסים ותוכנות זדוניות: Microsoft מאובטח

• תמיכה מקומית בהתאם למדינה שלך: תמיכה בינלאומית

חל על

מאמר זה חל על הבאות:
 

• Microsoft .NET Framework 4.6.2 בעת שימוש עם:

  • Windows Server 2012 R2

  • Windows 8.1