MS14-066: SKANALO pažeidžiamumas gali sudaryti nuotolinio kodo vykdymo sąlygas: 2014 m. lapkričio 11

ĮVADAS

Šiame straipsnyje aprašomas naujinimas pakeitė naujesnė naujinimo 2014 m. gruodžio 9 d. Mes rekomenduojame įdiegti naujausius saugos naujinimas, skirtas "Windows". Jei norite įdiegti naujausią naujinimą, rasite apsilankę šioje "Microsoft" svetainėje:Norėdami sužinoti daugiau informacijos apie saugos biuletenis MS14-066:

Kaip gauti šio saugos naujinimo žinyną ir palaikymą

Pagalba diegiant naujinimus:
"Microsoft Update" palaikymas

Saugos sprendimai IT profesionalams:
TechNet saugos trikčių šalinimas ir palaikymas

Apsaugoti jūsų kompiuterio nuo virusų ir kenkėjiškų programų:
Apsaugos nuo virusų sprendimų ir saugos centras

Vietos palaikymas pagal jūsų šalyje:
Tarptautinis palaikymas

Daugiau informacijos

2014 m. gruodžio 9 d. Microsoft išleido iš naujo MS14-066 spręsti visapusiškai CVE-2014 m.-6321 spręsti problemas, su saugos naujinimas 2992611. "Windows Vista" arba "Windows Server 2008" klientams, kurie įdiegti 2992611 naujinimo prieš gruodžio 9 reoffering iš iš naujo naujinimą.

Žinomos problemos, šį saugos naujinimą

Svarbu. Šiame skyrelyje nurodoma, kaip keisti registro duomenis. Vis dėlto, jei neteisingai modifikuosite registrą, gali kilti rimtų problemų. Todėl atidžiai atlikite nurodytus veiksmus. Siekiant papildomai apsisaugoti, prieš modifikuodami registrą, sukurkite atsarginę kopiją. Tuomet iškilus problemai galėsite atkurti registrą. Jei norite gauti daugiau informacijos apie tai, kaip kurti atsargines kopijas ir atkurti registrą, rasite apsilankę šioje "Microsoft" žinių bazės straipsnį:

  • Žinoma problema 1

    Kai įdiegiate šį saugos naujinimą (arba atnaujinti 3000850), domeno vartotojams, kurie įeiti į Windows 8.1 kliento kompiuteryje susidurti su šiomis problemomis:



    • Kai bandote pridėti naują abonementą, "Windows Live Mail 2012", nesukuriamas naują abonementą, ir gaunate klaidos pranešimą, panašų į šį:



      klaidos 0x80090345
    • Negalite įrašyti slaptažodžius, kai naudojate nuotolinio darbalaukio (RDP). Iškilus problemai, gaunate klaidos pranešimą.
    • Galite gauti klaidos pranešimą, kai atidarote kredencialų tvarkytuvas, panašų į šį:



      klaidos 0x80090345
    • "Windows Explorer" gali užstrigti (užstringa), kai jums užšifruoti failą. Kai problema kyla, Windows efektyvumo analizatorius (WPA) sekimo būti įrašų, panašių į šį:



      "Internet Explorer" užtrunka ~ 664 sekundžių užšifruoti failą. #3376 TID.
      Tai yra aptarnaujamas LSASS TID #1488.
      LSASS TID #3848 vykdo sspCryptUnprotectData skambutį, kuri sukelia į GetMasterKey.
      GetMasterKey užtrunka ~ 664 sekundžių (TimesinceLast). LSASS TID 3848. Mes praleisti laukia LSASS TID 576, kurį atlieka DCLocator ping rasti DC visą laiką.
      Failų šifravimas sulaikymą / "pakibimas" taip pat sudaro tą patį kodo pakeitimą, kur reikalingas atsarginę kopiją.
    Norėdami išspręsti šią problemą, įtraukite DWORD reikšmę, pavadintą ProtectionPolicy , jo reikšmė yra 1 į šį dalinį registro raktą:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb

    Kai jums tai padaryti, galite įgalinti vietinio atsarginę kopiją, užuot yra RWDC MasterKey.

    Norėdami tai padaryti, atlikite šiuos veiksmus:



    1. Spustelėkite pradėti, spustelėkite vykdyti, įveskite regedit lauke atidaryti , ir tada spustelėkite gerai.
    2. Raskite ir spustelėkite šį registro dalinį raktą:

      HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
    3. Redaguoti meniu, perkelkite pelės žymiklį ant naujas, ir spustelėkite DWORD reikšmė.
    4. Įveskite ProtectionPolicy DWORD pavadinimą, ir tada paspauskite Enter.
    5. Dešiniuoju pelės mygtuku spustelėkite ProtectionPolicy, ir tada spustelėkite keisti.
    6. Reikšmės duomenų lauke įveskite 1 , ir spustelėkite gerai.
    7. Uždarykite registro rengyklę ir iš naujo paleiskite kompiuterį.
  • Žinoma problema 2

    Kai kurie klientai apie problema, susijusi su įtraukti šį naują šifro "Windows Server 2008 R2" ir "Windows Server 2012":
    TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_RSA_WITH_AES_256_GCM_SHA384
    TLS_RSA_WITH_AES_128_GCM_SHA256
    Suteikti klientams geriau valdyti, ar šie šifro naudojami artimiausiu metu, mes juos pašalinti numatytąjį šifro suite prioriteto sąraše registre. Klientai, kurie pritaikyti savo šifro suite prioriteto sąrašus turėtų peržiūrėti savo sąrašą po to, kai jie įdiegti šį naujinimą, įsitikinkite, kad seka atitinka jų lūkesčius.

    Pašalinti šiuos šifro neturi įtakos saugos naujinimų, kurie yra šiame leidime. 2014 m. lapkričio 18 d. naują papildomą paketą buvo įtraukta į "Windows Server 2008 R2" ir "Windows Server 2012", šiam tikslui leidimą. Šis naujas paketas yra naujinimas 3018238.


    Pastaba, skirta "Windows" naujinimo, "Windows" serverio naujinimo tarnybą (WSUS), ir "Microsoft" katalogas

    3018238 naujinimas įdiegiamas automatiškai ir skaidriai kartu su saugos naujinimas 2992611. 3018238 naujinimas bus rodomi atskirai įdiegtų naujinimų sąraše žiūrint valdymo skydo elemente Pridėti šalinti programas . Jei jau turite saugos naujinimas įdiegtas 2992611, pastebėsite, kad saugos naujinimą 2992611 (sistemoje "Windows Server 2008 R2" arba "Windows Server 2012" tik) bus dar kartą siūlomas "Windows" naujinimo arba WSUS įsitikinkite, kad naujinimas 3018238 taip pat yra įdiegtas. Kartu abiejų paketų diegimas, reikės tik vieną iš naujo.

    Pastaba atsisiuntimo centro klientams

    Jei galite atsisiųsti ir įdiegti šį naujinimą iš Microsoft Download Center for Windows Server 2008 R2 "arba" Windows Server 2012, rekomenduojame iš naujo įdiegiate saugos naujinimą iš atsisiuntimo centro. Spustelėjus mygtuką atsisiųsti , būsite paraginti pasirinkti, kuriuos naujinimus 2992611 ir 3018238. Pvz., parinkčių pasirinkimas bus panašus į šį:selection options
    "Windows 2008 R2" arba "Windows Server 2012" kompiuteriuose, kuriuose įdiegta 2992611, 3018238 tik žymės langelį, spustelėkite Pirmyn ir įdiegti naujinimą 3018238. Šį naujinimą, reikės iš naujo.


    "Windows 2008 R2" arba "Windows Server 2012" pagrįstą kompiuteriams, kuriose 2992611 įdiegta, pažymėkite abu žymės langelius, atsisiųsti 2992611 ir 3018238. Taikyti naujinimus į vieną iš naujo, įdiegti 3018238, nepaisyti reikalavimas paleisti iš naujo, ir tada įdiegti 2992611.

    Pastaba. Šifro, buvo pašalinti iš 3018238 gali būti iš naujo pridedamas numatytasis prioritetų sąrašą į naujos versijos po bendruomenės yra suteikta galimybė įsitikinti, kad teisingai vykdymo visais atvejais klientas.


    Pastabos apie saugos naujinimą 3011780 Kerberos

    Saugos naujinimas 3011780 (saugos naujinimo nustatyti Kerberos, išleistas 2014 m. lapkričio 18 d. ir yra aprašytas biuletenį MS14-068) gali diegti kartu su naujinimais 3018238 ir 2992611 tuo pačiu metu vienu paskirstymo būdų, kurios aprašomos anksčiau. Naudojant šį metodą, tik vienas iš naujo nereikia.
  • Žinoma problema 3

    Domeno prijungtuose kompiuteriuose Windows 8.1 kuriems RWDC kai jie atsargines DPAPI pagrindinis raktas.

    Požymis

    Domeno prijungtuose kompiuteriuose Windows 8.1 kuriems reikia skaityti/rašyti domeno valdiklis (RWDC), kai jie atsarginės kopijos Windows duomenų apsaugos API (DPAPI) pagrindinį raktą, kai įdiegiate saugos naujinimą 2992611 arba atnaujinti 3000850. Windows 8.1 kompiuteryje, kuriame yra perskaityti tik domeno valdiklis (RODC)-taikyti svetainės patirtimi klaidas, kai jis palaiko klavišą DPAPI masker įdiegus šiuos naujinimus.

    Po to, kai įdiegiate saugos naujinimą 2992611 arba 3000850 naujinimas, klaidos ir operacijų, kurios gali kilti, tačiau jomis neapsiribojant šiuos veiksmus:

    • Kai bandote pridėti naują abonementą, "Windows Live Mail 2012", nesukuriamas naują abonementą, ir gaunate klaidos pranešimą, panašų į šį:

      klaidos 0x80090345
    • Kai naudojate nuotolinio darbalaukio (RDC), negalite įrašyti slaptažodžius. Iškilus šiai problemai, gaunate klaidos pranešimą.
    • Galite gauti klaidos pranešimą, kai atidarote kredencialų tvarkytuvas, panašų į šį:

      klaidos 0x80090345
    • "Windows Explorer" užstringa, kai jums užšifruoti failą. Iškilus šiai problemai, Windows efektyvumo analizatorius (WPA) sekimo įrašyti žurnalo įrašų, panašių į šį:

      Explorer taking ~664 seconds to Encrypt a file. TID #3376. This is being serviced by LSASS TID #1488.
      LSASS TID#3848 is executing the sspCryptUnprotectData call which leads into GetMasterKey.
      GetMasterKey is taking ~664 seconds (TimesinceLast). LSASS TID 3848. We spend the whole
      time waiting on LSASS TID 576 which is performing DCLocator pings to find a DC.
      File Encryption delay/hang is also accounted by the same code change where the backup is required.

    Paprastai RODCs yra naudojami kaip patikimas kaip tuos, kuriuose yra RWDCs, pvz., kai reikalingas administratoriaus vaidmenų atskyrimo svetainėms. Todėl jis naudingas, kad RODCs ne klavišą viešąją arba privačią vietoje.

    Sprendimas

    Svarbu. Atidžiai vykdykite šiame skyriuje aprašytus veiksmus. Jei pakeisite registro duomenis netinkamai, gali kilti rimtų problemų. Prieš modifikuodami registrą sukurkite atsarginę jo kopiją , jei kiltų problemų.

    Įsitikinkite, kad domeno Windows 8.1 kompiuteriuose įdiegti naujinimus atitinkamų esančius RODC, kuriems svetainių prieigą prie įrašomas domeno valdiklis. Kaip laikiną priemonę įtakos Windows 8.1 kompiuteriuose galite nustatyti šį registro raktą kad vietinio atsarginę kopiją pagrindinis raktas:

    Registro kelyje: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11 d 1-8c7a-00c04fc297eb
    Nustatymas: ProtectionPolicy
    Tipas: DWORD
    Reikšmė: 1
Saugos naujinimo diegimas

FAILO INFORMACIJA

Šios programinės įrangos naujinimo versija anglų kalba (JAV) įdiegia failus, kurie turi šiose lentelėse nurodytus atributus. Datos ir laiko informacija pateikta pagal universalųjį laiką (UTC). Datos ir laikai jūsų vietiniame kompiuteryje rodomi vietiniu laiku ir su esamu vasaros / žiemos laiko (DST) pokyčiu. Be to, šios datos ir laikai gali keistis, kai atliekate tam tikras operacijas su failais.

Windows Server 2003 failų informacija
"Windows Vista" ir "Windows Server 2008" failų informacija
"Windows 7" ir "Windows Server 2008 R2" failų informacija
Windows 8 "ir" Windows Server 2012 failų informacija
Windows 8.1 "ir" Windows Server 2012 R2 failų informacija
Failo maišos informacija
Savybės

Straipsnio ID: 2992611 – Paskutinė peržiūra: 2017-02-08 – Peržiūra: 1

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1, Windows RT 8.1, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows 8 Enterprise, Windows 8 Pro, Windows 8, Windows RT, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Web Server 2008 R2, Windows Server 2008 R2 Foundation, Windows 7 Service Pack 1, Windows 7 Ultimate, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Home Premium, Windows 7 Home Basic, Windows 7 Starter, Windows Server 2008 Service Pack 2, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Windows Server 2008 Foundation, Windows Server 2008 for Itanium-Based Systems, 2 pakeitimų paketas operacinei sistemai „Windows Vista“, Windows Vista Ultimate, Windows Vista Enterprise, Windows Vista Business, Windows Vista Home Premium, Windows Vista Home Basic, Windows Vista Starter, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Web Edition, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems

Atsiliepimai