דלג לתוכן הראשי
תמיכה
היכנס
היכנס דרך Microsoft
היכנס או צור חשבון.
שלום,
בחר חשבון אחר.
יש לך חשבונות מרובים
בחר את החשבון שברצונך להיכנס באמצעותו.

מבוא

Microsoft פרסמה את עלון אבטחה מס' MS12-006. כדי להציג את עלון האבטחה המלא, בקר באחד מאתרי האינטרנט הבאים של Microsoft:

כיצד להשיג עזרה ותמיכה עבור עדכון אבטחה זה

עבור משתמשים ביתיים, תמיכה ללא תשלום זמינה על-ידי חיוג 1-866-PCSAFETY בארה"ב ובקנדה

(בקר בדף זה למציאת מספר הטלפון המקומי) או על-ידי פנייה לנציגות Microsoft המקומית. לקבלת מידע אודות אופן הפנייה לנציגות Microsoft המקומית לתמיכה בבעיות עם עדכוני אבטחה, בקר באתר האינטרנט של התמיכה הבינלאומית של Microsoft:

http://support.microsoft.com/common/international.aspx?ln=he&rdpath=4 לקוחות מצפון אמריקה יכולים גם לקבל גישה מיידית לתמיכה בלתי מוגבלת ללא תשלום בדואר אלקטרוני או לתמיכה בלתי מוגבלת באמצעות שיחת צ'אט אישית על-ידי ביקור באתר האינטרנט הבא של Microsoft:

http://support.microsoft.com/oas/default.aspx?&prid=7552 עבור לקוחות ארגוניים, תמיכה בעדכוני אבטחה זמינה באמצעות אנשי הקשר הרגילים של התמיכה.

תקנו עבורי

זמינים שני פתרונות תיקון.

  • פתרון תיקון עבור Transport Layer Security (TLS) 1.1 ב-Internet Explorer: הפתרון מאפשר את TLS 1.1, שאינו מושפע מפגיעות זו, ב-Windows Internet Explorer. למרבית המשתמשים הטיפוסיים מומלץ להתקין פתרון תיקון זה.

  • פתרון תיקון עבור TLS 1.1 בשרתים מבוססי Windows: הפתרון מאפשר את TLS 1.1, שאינו מושפע מפגיעות זו.

פתרונות תיקון המתוארים בסעיף זה אינם מהווים תחליף לעדכוני אבטחה כלשהם. אנו ממליצים להתקין תמיד את עדכוני האבטחה העדכניים ביותר. עם זאת, אנו מציעים פתרונות תיקון אלה כאפשרויות מעקף בתרחישים מסוימים.

לקבלת מידע נוסף אודות הדרכים לעקיפת הבעיה, עיין בעלון אבטחה MS12-006:

http://technet.microsoft.com/security/bulletin/MS12-006 עלון המידע מספק מידע נוסף אודות הבעיה וכולל גם:

  • התרחישים שבהם ניתן להחיל או להשבית את הפתרון העוקף

  • גורמים מקלים

  • דרכים לעקיפת הבעיה

  • שאלות נפוצות

במפורש, להצגת מידע זה, חפש את הסעיף פרטים על פגיעות, ואז הרחב את הפסקה פתרונות לעקיפת הבעיה תחת הפסקה פגיעות פרוטוקולים מסוג SSL ו-TLS - CVE-2011-3389.

פתרון תיקון עבור TLS 1.1 ב-Internet Explorer

כדי להפעיל או להשבית פתרון תיקון זה, לחץ על הלחצן או הקישור תיקון תחת הכותרת הפעל או הכותרת השבת. לחץ על הפעלה בתיבת הדו-שיח הורדת קובץ ובצע את הצעדים באשף התיקון.

הפעל

הפוך ללא זמין

הערות

  • ייתכן שאשפים אלה מוצגים באנגלית בלבד. עם זאת, התיקונים האוטומטיים פועלים גם עבור גרסאות של Windows בשפות אחרות.

  • אם אינך נמצא מול המחשב שבו אירעה הבעיה, תוכל לשמור את התיקון האוטומטי בכונן הבזק או בתקליטור ולאחר מכן תוכל להפעיל אותו במחשב שבו אירעה הבעיה.

פתרון תיקון עבור TLS 1.1 בשרתים מבוססי Windows

כדי להפעיל או להשבית פתרון תיקון זה, לחץ על הלחצן או הקישור תיקון תחת הכותרת הפעל או הכותרת השבת. לחץ על הפעלה בתיבת הדו-שיח הורדת קובץ ובצע את הצעדים באשף התיקון.

הפעל

הפוך ללא זמין

הערות

  • ייתכן שאשפים אלה מוצגים באנגלית בלבד. עם זאת, התיקונים האוטומטיים פועלים גם עבור גרסאות של Windows בשפות אחרות.

  • אם אינך נמצא מול המחשב שבו אירעה הבעיה, תוכל לשמור את התיקון האוטומטי בכונן הבזק או בתקליטור ולאחר מכן תוכל להפעיל אותו במחשב שבו אירעה הבעיה.

בעיות מוכרות בעדכון אבטחה זה

לאחר התקנת עדכון אבטחה זה, ייתכן שתיתקל בכשל אימות או אובדן קישוריות לשרתי HTTPS אחדים. בעיה זו מתרחשת מכיוון שעדכון אבטחה זה משנה את האופן שבו רשומות נשלחות אל שרתי HTTPS.

כדי להשבית זמנית או להפעיל מחדש עדכון זה, לחץ על הלחצן או הקישור תיקון תחת הכותרת השבת את עדכון האבטחה או הכותרת הפעל מחדש את עדכון האבטחה. לחץ על הפעלה בתיבת הדו-שיח הורדת קובץ ופעל בהתאם לשלבים באשף התיקון.

השבת את עדכון האבטחה

הפעל מחדש את עדכון האבטחה

הערות

  • ייתכן שאשפים אלה מוצגים באנגלית בלבד. עם זאת, התיקונים האוטומטיים פועלים גם עבור גרסאות של Windows בשפות אחרות.

  • אם אינך נמצא מול המחשב שבו אירעה הבעיה, תוכל לשמור את התיקון האוטומטי בכונן הבזק או בתקליטור ולאחר מכן תוכל להפעיל אותו במחשב שבו אירעה הבעיה.

הטבלה הבאה מציגה את הערכים המוחלים על-ידי פתרונות תיקון אלה לערך DWORD ברישום SendExtraRecord: 

כותרת

ערך המוחל על ערך SendExtraRecord

השבת את עדכון האבטחה

2

הפעל מחדש את עדכון האבטחה

0

בעיות ידועות ומידע נוסף אודות עדכון אבטחה זה

המאמרים הבאים מכילים מידע נוסף אודות עדכון אבטחה זה כפי שהוא מתייחס לגירסאות מוצר שונות. המאמרים עשויים להכיל מידע על בעיות מוכרות. במקרה זה, הבעיה המוכרת רשומה מתחת לכל קישור למאמר:

  • 2585542 MS12-006: תיאור של עדכון האבטחה עבור Webio, Winhttp, ו-schannel ב- Windows: 10 בינואר 2012

  • 2638806 MS12-006: תיאור של עדכון האבטחה עבור Winhttp ב-Windows Server 2003 וב-Windows XP Professional x64 Edition: 10 בינואר 2012

פרטי רישום

לא מומלץ אנו לא ממליצים להשתמש בתהליך הבא להשבתת עדכון אבטחה זה. עם זאת, אנו מספקים תהליך זה עבור תרחישים שבהם ייתכן שאתה משתמש ביישומים שאינם תואמים לעדכון אבטחה זה, המאפשר רשומות SSL מפוצלות עבור כל היישומים.

חשוב הסעיף, השיטה או המשימה במאמר זה מכילים פעולות המציינות כיצד לשנות את הרישום. עם זאת, אם תשנה את הרישום באופן שגוי עלולות להתרחש בעיות חמורות. לכן הקפד לבצע פעולות אלה בזהירות. לקבלת תוספת הגנה, בצע גיבוי של הרישום לפני שתבצע בו שינויים. לאחר מכן, אם תתרחש בעיה, תוכל לשחזר את הרישום. לקבלת מידע נוסף על אופן הגיבוי והשחזור של הרישום, לחץ על מספר המאמר הבא כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:

322756כיצד לגבות ולשחזר את הרישום ב- Windows

כברירת מחדל, עדכון אבטחה זה מגדיר מצב Opt-in ברמת schannel, עקב בעיות של תאימות יישומים. כדי להשבית עדכון אבטחה זה עבור כל היישומים ברמת המערכת, עליך להוסיף ערך DWORD בשם SendExtraRecord בעל ערך של 2 למפתח המשנה הבא של הרישום:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL כדי להוסיף ערך רישום schannel זה, בצע את הפעולות הבאות:

  1. לחץ על התחל, לחץ על הפעלה, הקלד regedit בתיבה פתח את, ולאחר מכן לחץ על אישור.

  2. אתר את מפתח המשנה הבא ברישום ולחץ עליו:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

  3. בתפריט עריכה, הצבע על חדש ולאחר מכן לחץ על ערך DWORD.

  4. הקלד SendExtraRecord כשמו של DWORD ולאחר מכן הקש ENTER.

  5. לחץ באמצעות לחצן העכבר הימני על SendExtraRecord ולאחר מכן לחץ על שנה.

  6. בתיבה נתוני ערך, הקלד 2 כדי להשבית את הרשומה המפוצלת ב-schannel ולאחר מכן לחץ על אישור.

  7. צא מעורך הרישום.

ערך רישום זה יכול לכלול שלושה ערכים, המספקים מצבי פעולה שונים:

ערך מפתח Reg

תיאור

0

כברירת מחדל, schannel נכלל ב-""Optin Mode". פירוש הדבר הוא שעדכון אבטחה זה יפעל עבור כל המתקשרים השולחים את הדגל Secure אל schannel. ערך הרישום "SendExtraRecord" של schannel לא ייווצר על-ידי חבילת האבטחה. לכן, העדר ערך רישום של schannel משמעו שהמערכת פועלת במצב זה. אם מישהו יוצר מפתח רישום זה ומגדיר את הערך ל-0, schannel יפעל שוב במצב זה.

להגדרה זו יש השפעה זהה למצב שבו ערך רישום זה לא נוצר כלל. יישומים השולחים דגל Secure אל schannel במהלך אתחול התקשרות ישתמשו רק בנתיב הקוד הבטוח הקבוע. עבור יישומים אחרים, לא יהיה שינוי בהתנהגות schannel.

עדכון אבטחה זה גם מתקן את שכבות היישום המעורבות בגלישה באינטרנט על-ידי שימוש ב-Internet Explorer לשליחת דגל Secure כדי לסייע לאבטח את תרחישי השימוש בדפדפן.

שים לב ב-Windows Server 2003, עדכון אבטחה 2638806 חייב להיות מותקן כדי לסייע באבטחה של יישומי לקוח HTTP המשתמשים בממשקי תכנות יישומים (API) של WinHTTP. לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:

2638806 MS12-006: תיאור של עדכון האבטחה עבור Winhttp ב-Windows Server 2003 וב-Windows XP Professional x64 Edition: 10 בינואר 2012

1

קביעת ערך של 1 פירושה "מופעל עבור הכול". משמעות הדבר היא שמתקשרים לא צריכים לשלוח את הדגל, schannel יפצל את כל הרשומות ב-SSL. עם הגדרת ערך זה, יישומים אינם צריכים לבצע כל שינוי. לקוח שמודאג מאוד מאבטחת המערכת יכול לסייע באבטחת המערכת שלו על-ידי הפעלת מפתח רישום זה.

2

קביעת ערך של 2 פירושה "מושבת עבור הכול". משמעות הדבר היא ש- schannel לא יפצל את הרשומות עבור קריאת הצפנה כלשהי שהיישום מבצע. מצב זה לא מכבד את הדגל Secure אשר יישום שולח.

על סמך בדיקות פנימיות, גילינו שלא ניתן לקבוע בפועל את ערך הרישום ל- 1 מכיוון שהדבר עלול להפר תרחישים רבים מדי בארגון. לכן, אנו מרתיעים משתמשים מלהשתמש בו.

בעיות מוכרות עם הפעלת את ערך הרישום SendExtraRecord

  • הגדרת ערך הרישום SendExtraRecord ל- 1 אוכפת פיצול רשומות בכל קריאה להצפנת נתונים ב-schannel. דבר זה מתרחש ללא קשר אם הגורם הקורא שלח את דגל Secure במהלך אתחול התקשרות.

  • יישומים רבים המשתמשים ב-schannel נכתבים כך שהצד המקבל מניח שנתוני יישום יהיו ארוזים בחבילה בודדת. מצב זה מתרחש למרות שהיישום מתקשר אל schannel לצורך פענוח. היישומים מתעלמים מדגל שמוגדר על-ידי schannel. הדגל מציין ליישום שקיימים נתונים נוספים לפענוח ולאיסוף על-ידי המקבל. שיטה זו אינה פועלת לפי השיטה המומלצת על-ידי MSDN לשימוש ב-schannel. מאחר שעדכון האבטחה אוכף פיצול רשומה, הדבר פוגע ביישומים כאלה.

  • יישומים שנפגעים כוללים מוצרי Microsoft ורכיבים "בקופסה". להלן דוגמאות לתרחישים שעלולים להיפגע כאשר ערך הרישום SendExtraRecord נקבע ל-1:

    • כל מוצרי SQL, ויישומים בנויים על SQL.

    • שרתי מסוף בהם מופעל אימות ברמת הרשת (NLA). כברירת מחדל, NLA מופעל ב-Windows Vista ובגירסאות מתקדמות יותר של Windows.

    • מספר תרחישי Routing Remote Access Service (RRAS).

הגדרת ערך הרישום SendExtraRecord ל- 1 אוכפת את פיצול הרשומות המאובטח עבור כל היישומים המשתמשים ב- TLS/SSL של Windows. עם זאת, סביר שהגדרה זו תגרום לבעיות של תאימות יישומים. לכן, אנו ממליצים ללקוחות להגדיר TLS 1.1 ו- TLS 1.2 במקום להשתמש בהגדרת רישום זו. TLS 1.1 ו- TLS 1.2 אינם חשופים לבעיה זו.

אם משתמש מתכוון להשתמש בהגדרת רישום זו, מומלץ לבצע בדיקות נרחבות של תאימות יישומים לפני מימוש פתרון זה. חלק מהמוצרים הנפוצים הידועים כמושפעים מהגדרה זו כוללים מוצרי Microsoft SQL, Windows Terminal Server, ו-Windows Remote Access Server.

תשובות לשאלות נפוצות

ש: מה יכולה Microsoft לעשות כדי לסייע לי לתקן את היישום שלי בצד השרת?
ת: ודא שהיישום שלך יכול לטפל בפיצול של רשומות יישום SSL/TLS, כמתואר באתרים הבאים:

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

לגלות קהילה

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.

שאל את Microsoft Community

Microsoft Tech Community

משתתפי Windows Insider

משתתפי Insider של Microsoft 365

האם מידע זה היה שימושי?

עד כמה אתם מרוצים מאיכות השפה?
מה השפיע על החוויה שלך?
בלחיצה על 'שלח', אתה מאפשר למשוב שלך לשפר מוצרים ושירותים של Microsoft. מנהל ה-IT שלך יוכל לאסוף נתונים אלה. הצהרת הפרטיות.

תודה על המשוב!

×