Beschrijving van de veiligheid en kwaliteit updatepakket voor .NET Framework 3.5.1 voor Windows 7 en Windows Server 2008 R2: 9 mei 2017

Samenvatting

Deze beveiligingsupdate voor Microsoft .NET Framework opgelost een functie bypass waarop .NET Framework (en de kern van het .NET) onderdelen niet volledig certificaten valideren. Zie voor meer informatie over dit beveiligingslek, Microsoft veelvoorkomende beveiligingslekken en blootstellingen CVE-2017-0248.

Deze update bevat tevens correcties verbeteren van de beveiliging van het onderdeel Windows presentatie Framework PackageDigitalSignatureManager mogelijkheid voor het ondertekenen van pakketten met het SHA256 hash-algoritme.

Belangrijk

• Als u een taalpakket installeert nadat u deze update installeert, moet u deze update opnieuw installeren. Daarom wordt aangeraden dat u de taalpakketten die u nodig hebt, installeert voordat u deze update installeert. Zie voor meer informatie Taalpakketten toevoegen aan Windows.

Aanvullende informatie over deze beveiligingsupdate

• Uitgebreid sleutelgebruik (EKU) wordt beschreven in RFC 5280 in de sectie 4.2.1.12: deze uitbreiding geeft een of meer doelen voor de gecertificeerde openbare sleutel kan worden gebruikt in aanvulling op of in plaats van de algemene doeleinden die zijn aangegeven in de uitbreiding voor sleutelgebruik. Bijvoorbeeld: een certificaat dat gebruikt voor de verificatie van een client naar een server moet worden geconfigureerd voor verificatie van de Client. Op dezelfde manier een certificaat dat gebruikt voor de verificatie van een server moet worden geconfigureerd voor serververificatie.
  
  Wanneer certificaten worden gebruikt voor verificatie, raadpleegt de verificator de client certificate en gezocht naar het juiste doel object-id in toepassingenbeleid extensies. De object-id voor clientverificatie is 1.3.6.1.5.5.7.3.2. Wanneer een certificaat voor clientverificatie wordt gebruikt, moet deze object-id aanwezig zijn in de EKU-extensies van het certificaat of de verificatie mislukt. Certificaten hebben geen EKU-extensie blijven goedkunnen verifiëren.
  
  Als u tijdelijk geen toegang goed uitgegeven certificaten tot, kunt u opt-in- of de beveiliging wijzigen voor alle computerbewerkingen om te voorkomen dat de mogelijke gevolgen voor de connectiviteit. Geef hiervoor de volgende registersleutel de belangrijkste instellingen, afhankelijk van welke .NET Framework -versie is gericht op uw appToepassingsinstellingen .
  
  Methode 1: Bijwerken registersleutel (beschikbaar voor alle versies)
  
  Opmerking Deze registervermelding moet een DWORD-vermelding.
  

  • Voor 32-bits op 32-bits en 64-bits proces op 64-bits:
    

    HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v2.0.50727@RequireCertificateEKUs=0

  • Voor 32-bits proces op 64-bits:
    

    HKEY_LOCAL_MACHINE \Software\Wow6432Node\Microsoft\.NETFramework\v2.0.50727@RequireCertificateEKUs=0

  U kunt ook een opt-out op basis van deToepassingsinstellingen per app. De volgende opties zijn beschikbaar voor het uitschakelen van deze wijziging Zorg ervoor dat appToepassingsinstellingen compatibiliteit wordt gehandhaafd.
  
  Methode 2: Het beleid voor afzonderlijke toepassingen uitschakelen
  
  Opmerking Tzijn register moet een DWORD-vermelding. De enige geldige waarde is 0. Elke andere waarde is genegeerd.

  • Voor 32-bits op 32-bits en 64-bits proces op 64-bits:

    HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v2.0.50727@System.Net.ServicePointManager.RequireCertificateEKUs
    S:\Prj\console_pg\console_pg45\bin\Release\console_pg45.exe=0
    C:\MyApp\MyApp.exe=0

  • Voor 32-bits proces op 64-bits:

    HKEY_LOCAL_MACHINE \Software\Wow6432Node\Microsoft\.NETFramework\v2.0.50727@System.Net.ServicePointManager.RequireCertificateEKUs
    S:\Prj\console_pg\console_pg45\bin\Release\console_pg45.exe=0
    C:\MyApp\MyApp.exe=0

  Methode 3: gebruik van configuratie-API (die beschikbaar is voor .NET Framework 4.6 en hoger)
  
  Vanaf in de .NET Framework 4.6, kunt u de configuratie op het niveau van een toepassing via code, een configuratie van toepassing, of wijzigingen in het register wijzigen.
  
  De schakeloptie in configureren.NET Framework 4.6
  
  Opmerking De volgende voorbeelden uitschakelen het beveiligingsonderdeel.

  • Programmatically
    
    Allereerst de toepassing moet doen is de volgende code worden uitgevoerd. Dit komt doordat slechts één keer worden geïnitialiseerds servicebeheer punt.
      private const string DisableCachingName = @"TestSwitch.LocalAppContext.DisableCaching"; private const string DontCheckCertificateEKUsName= @"Switch.System.Net.DontCheckCertificateEKUs"; AppContext.SetSwitch(DisableCachingName, true); AppContext.SetSwitch(DontCheckCertificateEKUsName, true);

  • Application configuration
    
    Als u de toepassingsconfiguratie, de volgende vermelding toevoegen:
      <runtime> <AppContextSwitchOverrides value="Switch.System.Net.DontCheckCertificateEKUsName=true"/> </runtime>

  • Registersleutel (globale machine):
    

    Registry location: HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Microsoft\.NETFramework\AppContext\Switch.System.Net.DontCheckCertificateEKUsName

    Type: Tekenreeks
    Waarde: "true"

  Opmerking Switch.System.Net.DontCheckCertificateEKUsName standaard voor alle .NET Framework 4 = True . x toepassingen die worden uitgevoerd op het .NET Framework 4.6 en hoger.

• Voor meer informatie over deze beveiligingsupdate met betrekking tot Windows 7 Service Pack 1 en Service Pack 1 voor Windows Server 2008 R2, raadpleegt u het volgende artikel in de Microsoft Knowledge Base:

  4019112 beveiliging en kwaliteit updatepakket voor de updates voor .NET Framework 3.5.1, 4.5.2 4.6, 4.6.1 en 4.6.2 voor Windows 7 Service Pack 1 en Service Pack 1 voor Windows Server 2008 R2: 9 mei 2017

Het verkrijgen en installeren van de update

Bestandsinformatie

Het verkrijgen van hulp en ondersteuning voor deze beveiligingsupdate

• Hulp bij het installeren van updates: Veelgestelde vragen over Windows-Update

• Beveiligingsoplossingen voor IT-professionals: TechNet Security Support en probleemoplossing

• Help voor uw Windows-gebaseerde producten en services te beschermen tegen virussen en malware: Microsoft beveiliging

• Lokale ondersteuning op basis van uw land: Internationale ondersteuning

Van toepassing op

Dit artikel is van toepassing op het volgende:

• Microsoft .NET Framework 3.5.1 in combinatie met:

  • Windows Server 2008 R2 servicepack 1

  • Windows 7 servicepack 1