Tik saugos naujinimas, skirtas .NET Framework 4.6 ir 4.6.1 "Windows Server 2012", aprašas: gegužės 9, 2017

Santrauka

Šis saugos naujinimas, skirtas Microsoft .NET Framework išsprendžia saugos funkcija bypass pažeidžiamumas, kai .NET Framework (ir .NET Core) komponentai nėra visiškai patvirtinti sertifikatai. Norėdami daugiau sužinoti apie šį pažeidžiamumą, žr. "Microsoft" bendro pažeidžiamumas ir rizikos CVE-2017-0248.

Šis naujinimas taip pat yra "Windows" pristatymo sistemą PackageDigitalSignatureManager komponento galimybė prisijungti paketus su SHA256 Maišos algoritmas pataisų saugos didinimo.

Svarbu.

• Jei įdiegę šį naujinimą įdiegėte kalbos paketą, jūs turite iš naujo įdiegti šį naujinimą. Todėl rekomenduojame įdiegti kitų kalbų paketus prieš pradedant diegti šį naujinimą. Jei norite gauti daugiau informacijos, žr. Kalbos paketų įtraukimas į „Windows“

Papildomos informacijos apie šį saugos naujinimą

• Patobulintas rakto naudojimas (cihan) yra aprašyta , RFC 5280 4.2.1.12 skyriuje: Šis nurodo, kad vienas ar daugiau tikslais, kurie gali būti naudojami sertifikuotų viešojo rakto, be arba vietoj pagrindinio tikslais , kurie nurodyti rakto naudojimas išplėtimas. Pvz., sertifikatą tai naudojamas autentifikuoti kliento į serverį turi būti sukonfigūruotas , kliento autentifikavimą. Be to, sertifikato tai naudojamas serverio autentifikavimo turi būti sukonfigūruotas , serverio autentifikavimas.
  
  Kai sertifikatai naudojami autentifikuoti, ir autentifikavimo analizuoja kliento sertifikato ir tinkamą paskirties objekto identifikatorius, programos strategijos plėtinius. Pvz., kliento autentifikavimą objekto identifikatorius yra 1.3.6.1.5.5.7.3.2. Naudojant kliento autentifikavimo sertifikato, šio objekto identifikatorius turi būti cihan plėtinius, arba nepavykstaautentifikuoti. Sertifikatai , kuriose nėra cihan plėtinį ir toliau tinkamaiautentifikuoti.
  
  Jei negalite pasiekti tinkamai pakartotinai sertifikatų laikinai, galite pasirinkti, ar į saugos pakeitimas per visos kompiuterio operacijos išvengti bet ryšys. Norėdami tai padaryti, nurodykite šiuos registro rakto parametrus, priklausomai nuo to, kurią savo programėliųlicationgali yra skirta.NET Framework versiją.
  
  1 būdas: Atnaujinti registro raktą (visos versijos)
  
  Pastaba. Šis registro įrašas turi būti DWORD įrašą.
  

  • 32 bitų proceso sistemos 32 bitų ir 64 bitų 64 bitų sistemą:
    

    HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v4.0.30319@RequireCertificateEKUs=0

  • 32 bitų proceso 64 bitų sistemą:
    

    HKEY_LOCAL_MACHINE \Software\Wow6432Node\Microsoft\.NETFramework\v4.0.30319@RequireCertificateEKUs=0

  Be to, galite atsisakyti už programėlęlicationgali pagrindu. Toliau nurodytų parinkčių kuriuos galima išjungti šį pakeitimą ir įsitikinkite, kad , programoslicationgali suderinamumas palaikoma.
  
  2 būdas: Uždrauskite šią strategiją atskirų programų
  
  Pastaba. Tregistro įrašas turi būti DWORD įrašą. Tik neteisinga reikšmė yra 0. Visi kiti reikšmė yra nepaisoma.

  • 32 bitų proceso sistemos 32 bitų ir 64 bitų 64 bitų sistemą:

    HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v4.0.30319@System.Net.ServicePointManager.RequireCertificateEKUs
    S:\Prj\console_pg\console_pg45\bin\Release\console_pg45.exe=0
    C:\MyApp\MyApp.exe=0

  • 32 bitų proceso 64 bitų sistemą:

    HKEY_LOCAL_MACHINE \Software\Wow6432Node\Microsoft\.NETFramework\v4.0.30319@System.Net.ServicePointManager.RequireCertificateEKUs
    S:\Prj\console_pg\console_pg45\bin\Release\console_pg45.exe=0
    C:\MyApp\MyApp.exe=0

  3 būdas: naudojant konfigūravimo API (skirta .NET Framework 4.6 ir naujesnės versijos)
  
  Nuo , kad .NET Framework 4.6, galite pakeisti konfigūraciją lygiu programos kodas, programos konfigūracijos– arba registro keitimus.
  
  Pereiti į konfigūravimas.NET Framework 4.6
  
  Pastaba. Dėl šių pavyzdžių išjungti saugos funkcija.

  • Programmatically
    
    Pirmiausia, programa turi atlikti paleisti šį kodą. Taip yra todėl, kad taškas tvarkytuvui inicijuotis tik vieną kartą.
      private const string DisableCachingName = @"TestSwitch.LocalAppContext.DisableCaching"; private const string DontCheckCertificateEKUsName= @"Switch.System.Net.DontCheckCertificateEKUs"; AppContext.SetSwitch(DisableCachingName, true); AppContext.SetSwitch(DontCheckCertificateEKUsName, true);

  • Application configuration
    
    Norėdami pakeisti programos konfigūraciją, įtraukti šį įrašą:
      <runtime> <AppContextSwitchOverrides value="Switch.System.Net.DontCheckCertificateEKUsName=true"/> </runtime>

  • Registro raktas (mašinos visuotinis):
    

    Registry location: HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Microsoft\.NETFramework\AppContext\Switch.System.Net.DontCheckCertificateEKUsName

    Tipas: Eilutė
    Reikšmė: "true"

  Pastaba. Pagal numatytuosius nustatymus Switch.System.Net.DontCheckCertificateEKUsName = True , visi .NET Framework 4. x taikomosios programos , kurie veikia su .NET Framework 4.6 ir naujesnėse versijose.

• Jei norite gauti daugiau informacijos apie šį saugos naujinimą, kiek jis susijęs su "Windows Server 2012", Peržiūrėkite šį "Microsoft" žinių bazės straipsnį:

  4019110 saugos naujinys, skirtas su .NET Framework 3.5 1 pakeitimų paketas, Windows Server 2012 4.5.2, 4.6, 4.6.1 ir 4.6.2 naujinimus: gegužės 9, 2017

Kaip gauti ir įdiegti šį naujinimą

Failo informacija

Kaip gauti šio saugos naujinimo žinyną ir palaikymą

• Pagalba diegiant naujinimus: "Windows" naujinimo DUK

• Saugos sprendimai IT profesionalams: TechNet saugos priežiūra ir trikčių šalinimas

• Padėti apsaugoti jūsų "Windows" produktų ir paslaugų nuo virusų ir kenkėjiškų programų: "Microsoft" Secure

• Vietinis palaikymas pagal jūsų šalį: tarptautinis palaikymas

Taikoma

Šis straipsnis taikomas:

• Microsoft .NET Framework 4.6 ir 4.6.1 naudojant su:

  • Windows Server 2012