Accedi con Microsoft
Accedi o crea un account.
Salve,
Seleziona un altro account.
Hai più account
Scegli l'account con cui vuoi accedere.

INTRODUZIONE

È stato rilasciato il Bollettino Microsoft sulla sicurezza MS12-006. Per visualizzare il testo completo dei Bollettini Microsoft sulla sicurezza, visitare uno dei seguenti siti Web Microsoft:

Come ottenere assistenza e supporto tecnico per questo aggiornamento della sicurezza

Guida all'installazione degli aggiornamenti: Supporto per Microsoft Update

Soluzioni per la sicurezza dei professionisti IT: Supporto e risoluzione dei problemi relativi alla sicurezza TechNet

Proteggere il computer che esegue Windows da virus e malware: Soluzione virus e Centro sicurezza

Supporto locale a seconda del paese: Supporto multilingue

Correzione automatica

Sono disponibili le due soluzioni Fix it di seguito indicate.

  • Soluzione Fix it per TLS (Transport Layer Security) 1.1 in Internet Explorer: Tale soluzione attiva TLS 1.1, che non è interessato da questa vulnerabilità, in Windows Internet Explorer. Agli utenti tipici si consiglia di installare questa soluzione Fix it.

  • Soluzione Fix it per TLS 1.1 sui server basati su Windows: Tale soluzione attiva TLS 1.1, che non è interessato da questa vulnerabilità.

Le soluzioni Fix it descritte in questa sezione non sostituiscono alcun aggiornamento della sicurezza. Si consiglia di installare sempre gli aggiornamenti della sicurezza più recenti. Queste soluzioni Fix it, tuttavia, possono essere applicate in alcuni casi come soluzione alternativa.

Per ulteriori informazioni sulle soluzioni alternative, vedere il bollettino Microsoft sulla sicurezza MS12-006:

http://technet.microsoft.com/it-it/security/bulletin/ms12-006 Il bollettino fornisce ulteriori informazioni in merito al problema e include:

  • i casi in cui è possibile applicare o disattivare la soluzione alternativa

  • i fattori attenuanti

  • Soluzioni alternative

  • Domande frequenti

In particolare, per visualizzare queste informazioni, ricercare la sezione Informazioni sulla vulnerabilità, quindi espandere Soluzioni alternative sotto il paragrafo Protocolli di vulnerabilità SSL e TLS - CVE-2011-3389.

Soluzione Fix it per TLS 1.1 in Internet Explorer

Per attivare o disattivare la soluzione Fix it, fare clic sul pulsante Fix it o sul collegamento sotto l'intestazione Attiva oppure Disattiva. Fare clic su Esegui nella finestra di dialogo Download file e seguire le istruzioni della procedura guidata Fix it.

Abilitare

Disabilitare

Note

  • Queste procedure guidate sono disponibili solo in lingua inglese. Le correzioni automatiche, tuttavia, funzionano anche per versioni di Windows in altre lingue.

  • Se non si sta utilizzando il computer che presenta il problema, è possibile salvare la correzione automatica su un'unità flash o su un CD ed eseguirla sul computer interessato dal problema.

Soluzione Fix it per TLS 1.1 in server basati su Windows

Per attivare o disattivare la soluzione Fix it, fare clic sul pulsante Fix it o sul collegamento sotto l'intestazione Attiva oppure Disattiva. Fare clic su Esegui nella finestra di dialogo Download file e seguire le istruzioni della procedura guidata Fix it.

Abilita

Disattivazione

Note 

  • Queste procedure guidate sono disponibili solo in lingua inglese. Le correzioni automatiche, tuttavia, funzionano anche per versioni di Windows in altre lingue.

  • Se non si sta utilizzando il computer che presenta il problema, è possibile salvare la correzione automatica su un'unità flash o su un CD ed eseguirla sul computer interessato dal problema.

Problemi noti con questo aggiornamento della sicurezza

Dopo aver installato l'aggiornamento della sicurezza, potrebbero verificarsi degli errori di autenticazione o perdita di connettività per alcuni server HTTPS. Il problema si verifica perché questo aggiornamento della sicurezza modifica le modalità di invio dei record ai server HTTPS. 

Per disabilitare o riabilitare temporaneamente questo aggiornamento della sicurezza, fare clic sul pulsante o sul collegamento Fix it nell'intestazione Disabilita l'aggiornamento della sicurezza oppure nell'intestazione Riabilita l'aggiornamento della sicurezza. Fare clic su Esegui nella finestra di dialogo Download file e seguire le istruzioni della correzione guidata.

Disabilitare l'aggiornamento della sicurezza

Riabilitare l'aggiornamento della sicurezza

Note

  • Queste procedure guidate sono disponibili solo in lingua inglese. Le correzioni automatiche, tuttavia, funzionano anche per versioni di Windows in altre lingue.

  • Se non si sta utilizzando il computer che presenta il problema, è possibile salvare la correzione automatica su un'unità flash o su un CD ed eseguirla sul computer interessato dal problema.

Nella tabella che segue sono illustrati i valori applicati dalle soluzioni Fix it alla voce del Registro di sistema SendExtraRecord di tipo DWORD:

Intestazione

Valore applicato alla voce SendExtraRecord

Disabilitare l'aggiornamento della sicurezza

2

Riabilitare l'aggiornamento della sicurezza

0

Nota L'impostazione SendExtraRecord verrà inclusa in future versioni di Windows.

Problemi noti e informazioni aggiuntive su questo aggiornamento della sicurezza

Gli articoli seguenti contengono ulteriori informazioni su questo aggiornamento della sicurezza in relazione alle versioni del prodotto singolo. Gli articoli possono contenere informazioni sui problemi noti. In tal caso, il problema noto è elencato sotto ogni collegamento dell'articolo:

  • 2585542 MS12-006: Descrizione dell'aggiornamento della sicurezza per Webio, Winhttp e schannel in Windows: 10 gennaio 2012

  • 2638806 MS12-006: Descrizione dell'aggiornamento della sicurezza per Winhttp in Windows Server 2003 e in Windows XP Professional x64 Edition: 10 gennaio 2012

Informazioni sul Registro di sistema

Non consigliato Si consiglia di non utilizzare la seguente procedura per disabilitare questo aggiornamento della sicurezza. Tuttavia, questa procedura viene fornita per scenari in cui potrebbero essere utilizzate applicazioni non compatibili con questo aggiornamento della sicurezza, le quali consentono di suddividere i record SSL per tutte le applicazioni.

Importante In questa sezione, metodo o attività viene spiegato come modificare il Registro di sistema. Tenere presente che un'errata modifica del Registro di sistema può causare seri problemi. Attenersi scrupolosamente, quindi, alla procedura indicata. Per maggiore sicurezza, eseguire una copia di backup del Registro di sistema prima di modificarlo. In tal modo, sarà possibile ripristinarlo in caso di problemi. Per ulteriori informazioni sull'esecuzione del backup o del ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

322756Esecuzione del backup e del ripristino del Registro di sistema in Windows

Per impostazione predefinita, questo aggiornamento della sicurezza imposta la modalità consenso esplicito a livello di schannel, a causa dei possibili problemi di compatibilità dell'applicazione. Per disabilitare questo aggiornamento della sicurezza per tutte le applicazioni a livello di sistema, aggiungere un valore DWORD denominato SendExtraRecord con valore 2 alla seguente sottochiave del Registro di sistema:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL Per aggiungere questa voce del Registro di sistema schannel, attenersi alla seguente procedura:

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri, quindi scegliere OK.

  2. Individuare e selezionare la seguente sottochiave del Registro di sistema:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

  3. Scegliere Nuovo dal menu Modifica, quindi fare clic su Valore DWORD.

  4. Digitare SendExtraRecord per il nome del valore DWORD, quindi premere INVIO.

  5. Fare clic con il pulsante destro del mouse su SendExtraRecord e scegliere Modifica.

  6. Nella casella Dati valore, digitare 2 per disabilitare la divisione di record in schannel, quindi scegliere OK.

  7. Chiudere l'editor del Registro di sistema.

Questa voce del Registro di sistema può avere valori, che forniscono diverse modalità di esecuzione:

Valore Reg-key

Descrizione

0

Per impostazione predefinita, schannel è incluso nella "Modalità consenso esplicito" Ciò significa che questo aggiornamento della sicurezza funziona per tutti i chiamanti che inviano il contrassegno di sicurezza a schannel. La voce di Registro di sistema schannel "SendExtraRecord" non verrà creata dal pacchetto di sicurezza. Di conseguenza, in assenza di una voce di Registro di sistema schannel, il sistema esegue questa modalità. Se viene creata questa chiave del Registro di sistema e viene impostato il valore su 0, schannel verrà eseguito nuovamente in questa modalità.

Questa impostazione produce lo stesso effetto di quando si crea questa voce di Registro di sistema. Le applicazioni che inviano un contrassegno di sicurezza a schannel durante l'inizializzazione della sessione eserciteranno solo il percorso di codice sicuro corretto. Per altre applicazioni, non verrà apportata alcuna modifica nel comportamento di schannel.

Questo aggiornamento della sicurezza consente di risolvere i livelli dell'applicazione coinvolti nell'esplorazione del Web tramite Internet Explorer per inviare un contrassegno di sicurezza, così da proteggere gli scenari di utilizzo del browser.

Nota In Windows Server 2003, per proteggere le applicazioni client HTTP che utilizzano API WinHTTP, è necessario che sia installato l'aggiornamento della sicurezza 2638806. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

2638806 MS12-006: Descrizione dell'aggiornamento della sicurezza per Winhttp in Windows Server 2003 e in Windows XP Professional x64 Edition: 10 gennaio 2012

1

L'impostazione del valore su 1 significa "abilitato per tutti". Ciò esclude la necessità che i chiamanti inviino il contrassegno, e schannel dividerà tutti i record SSL. Quando questo valore è impostato, non è necessario effettuare modifiche alle applicazioni. Per qualsiasi dubbio in merito alla sicurezza del proprio sistema, è possibile attivare questa chiave del Registro di sistema per migliore la sicurezza.

2

L'impostazione del valore su 2 significa "disabilitato per tutti". Ciò significa che schannel non dividerà i record per le chiamate di crittografia realizzate dall'applicazione. Questa modalità non supporta il contrassegno Sicuro inviato dall'applicazione.

In base alle verifiche interne, abbiamo scoperto che non è possibile impostare il valore di Registro di sistema su 1 a causa di una possibile interruzione di troppi scenari in un'azienda. Tuttavia, se ne sconsiglia l'utilizzo agli utenti.

Problemi noti con l'abilitazione della voce di Registro di sistema SendExtraRecord

  • L'impostazione del valore di Registro di sistema SendExtraRecord su 1 aumenta la divisione di record in ogni chiamata per crittografare i dati in schannel. Questo problema si verifica indipendentemente dall'invio del contrassegno di sicurezza da parte del chiamante durante l'inizializzazione della sessione.

  • Molte applicazioni che utilizzano schannel vengono scritte in modo tale da far presupporre al ricevente che i dati dell'applicazione saranno compressi in un unico pacchetto. Ciò si verifica anche se l'applicazione chiama schannel per la decrittografia. Le applicazioni ignorano un contrassegno impostato da schannel. Il contrassegno segnala all'applicazione la presenza di più dati da decrittare e da rilevare dal ricevente. Questo metodo non si attiene alla procedura descritta in MSDN sull'utilizzo di schannel. Poiché l'aggiornamento della sicurezza aumenta la divisione di record, le applicazioni vengono interrotte.

  • Applicazioni non corrette includono prodotti Microsoft e componenti della posta in arrivo. Di seguito sono riportati alcuni esempi di scenari riguardo possibili interruzioni quando il valore di Registro di sistema SendExtraRecord è impostato su 1:

    • Tutti i prodotti SQL e le applicazioni incorporate in SQL.

    • Terminal Server con Network Level Authentication (NLA) attivata. Per impostazione predefinita, NLA è abilitata in Windows Vista e nelle versioni successive di Windows.

    • Alcuni scenari di servizio RRAS (Routing Remote Access Service).

L'impostazione del valore di Registro di sistema SendExtraRecord su 1 aumenta la divisione di record sicuri per tutte le applicazioni che utilizzano Windows TLS/SSL. Tuttavia, è probabile che questa impostazione presenti problemi di compatibilità delle applicazioni. Di conseguenza si consiglia di configurare TLS 1.1 e TLS 1.2 invece di utilizzare questa impostazione del Registro di sistema. TLS 1.1 e TLS 1.2 non sono esposti al problema.

Se un utente intende utilizzare questa impostazione del Registro di sistema, si consiglia di eseguire una verifica accurata della compatibilità delle applicazioni prima di implementarle. Tra i prodotti comuni interessati da questa impostazione sono inclusi i prodotti Microsoft SQL, Windows Terminal Server e Windows Remote Access Server.

Domande frequenti

D: Cosa può fare Microsoft per facilitare la correzione dell'applicazione sul lato server?
A: Assicurarsi che l'applicazione possa gestire la frammentazione dei record di applicazione SSL/TLS, come descritto nei seguenti RFC:

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Individua Community

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.

Chiedi alla community Microsoft

Microsoft Tech Community

Partecipanti al Programma Windows Insider

Partecipanti al Programma Insider di Microsoft 365

Queste informazioni sono risultate utili?

Come valuti la qualità della lingua?
Cosa ha influito sulla tua esperienza?
Premendo Inviare, il tuo feedback verrà usato per migliorare i prodotti e i servizi Microsoft. L'amministratore IT potrà raccogliere questi dati. Informativa sulla privacy.

Grazie per il feedback!

×