Instructions de déploiement pour la mise à jour de sécurité 2638420, comme décrit dans le bulletin MS11-100

Instructions de déploiement

En raison du changement de comportement des tickets, les administrateurs dont les applications utilisent l'authentification par formulaires doivent respecter une procédure spécifique lorsqu'ils déploient la mise à jour de sécurité 2638420 pour s'assurer que tous les serveurs adoptent simultanément le nouveau comportement.

Pour déterminer si votre application utilise l'authentification par formulaires, examinez le fichier System.web. Les applications qui utilisent l'authentification par formulaires utilisent l'entrée suivante dans le fichier System.web :

<authentication mode="Forms">Remarques

• Le mode d'authentification par défaut est « Windows ».

• ASP.NET utilise uniquement l'authentification par formulaires s'il est explicitement configuré à cet effet.

Si vous utilisez des applications ayant recours à l'authentification par formulaires, vous devez déployer la mise à jour de sécurité 2638420 à l'aide de l'une des méthodes suivantes pour vous assurer que vos sites Web continuent à fonctionner correctement.

Méthode 1
Déploiement simultané de la mise à jour de sécurité 2638420 sur tous les serveurs actifs de votre batterie de serveurs Web ASP.NET. Pour ce faire, procédez comme suit :

1. Supprimez la moitié des serveurs de la batterie de serveurs Web à partir de la rotation de l'équilibrage de charge.

2. Installez la mise à jour sur ces serveurs.

3. Rajoutez les serveurs à la rotation tout en maintenant simultanément les autres serveurs en mode hors connexion pour être mis à jour.

Méthode 2
Si vous ne pouvez pas déployer la mise à jour de sécurité 2638420 simultanément sur tous les serveurs de votre batterie de serveurs Web, utilisez plutôt cette méthode.

Remarque Nous déconseillons cette méthode. Lorsque vous définissez ce commutateur, vous pouvez installer la mise à jour de sécurité sur certains serveurs de la batterie de serveurs Web et continuer à utiliser l'ancien comportement. En revanche, les serveurs qui utilisent ce commutateur de configuration se trouvent dans un état non sécurisé et ne bénéficient pas de tous les correctifs de la mise à jour de sécurité. Vous devez par conséquent supprimer le commutateur de configuration pour activer le nouveau comportement sécurisé dès que la mise à jour de sécurité 2638420 est déployée sur l'ensemble des serveurs de la batterie de serveurs Web.

Définissez un commutateur de compatibilité dans le fichier Web.config ou Machine.config avant d'installer la mise à jour de sécurité 2638420 afin de forcer l'ancien comportement lors de l'installation de la mise à jour. Pour ce faire, procédez comme suit :

1. À l'aide d'un éditeur de texte tel que le Bloc-notes, ouvrez le fichier Web.config ou Machine.config.

2. Ajoutez le texte suivant au fichier et enregistrez ce dernier :

   <appSettings>
   <add key="aspnet:UseLegacyFormsAuthenticationTicketCompatibility" value="true" />
   </appSettings>Il n'est pas nécessaire de redémarrer l'ordinateur ni tout autre service après la mise à jour et l'enregistrement des fichiers Web.config ou Machine.config. La notification de modification de la configuration passe automatiquement le pool d'applications.

Les fichiers Web.config se trouvent aux emplacements suivants :

Versions .NET Framework 4.0 à 4.5

C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\Web.config
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\Web.config Versions .NET Framework 2.0 à 3.5 SP1

C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\Web.config
C:\Windows\Microsoft.NET\Framework64\v2.0.50727\CONFIG\Web.config Sur un ordinateur 32 bits, vous ne trouverez que le dossier Framework. Sur un ordinateur 64 bits, vous trouverez à la fois les dossiers Framework et Framework64. Par conséquent, si des pools d'application 32 bits et 64 bits exécutent CLR 2 + CLR 4, vous devez ajouter l'entrée à ces quatre fichiers.

Si vous ajoutez aussi l'entrée <appSettings> à ces fichiers de configuration, la modification est appliquée sur tout le système.

Problèmes connus

• Le déchiffrement du ticket échoue après l'installation de la mise à jour de sécurité 2638420
  
  Une fois que le nouveau comportement de ticket est activé, tous les tickets d'authentification par formulaires qui sont générés en utilisant l'ancien comportement sont invalidés. Lorsque ce problème survient, les utilisateurs finaux sont déconnectés et les administrateurs de serveur peuvent rencontrer des échecs de déchiffrement de ticket.
  
  Le message d'erreur suivant est également consigné dans le journal des événements :
  
  

  Nom du journal : Application
  ID d'événement : 1315
  Code de l'événement : 4005
  Message d'événement : L'authentification par formulaires a échoué pour la demande. Raison : Le ticket fourni n'était pas valide.

  
  Ces défaillances peuvent provoquer un comportement inattendu. Par exemple, les erreurs « HTTP 401 » ou « HTTP 302 » peuvent se produire si les pages Web sont protégées par un élément d'<autorisation>.
  
  Une fois la mise à jour de sécurité 2638420 installée, les administrateurs peuvent s'attendre à rencontrer plusieurs échecs de déchiffrement de ticket car les tickets précédemment générés ont expiré. Le nombre et la fréquence des échecs devraient diminuer au fur et à mesure que de nouveaux tickets sont générés. Si vous rencontrez toujours des échecs de déchiffrement assez longtemps après l'installation de la mise à jour de sécurité, cela peut indiquer que certains serveurs de la batterie de serveurs Web utilisent encore l'ancien comportement de ticket. Par exemple, ce problème peut se produire lorsque l'une des conditions suivantes est remplie :
  

  • Un ou plusieurs serveurs ne sont pas mis à jour avec la mise à jour de sécurité 2638420.

  • Le commutateur de compatibilité mentionné est défini sur un ou plusieurs d'entre eux. Le commutateur de compatibilité est décrit plus haut dans cet article.