Inleiding
Microsoft heeft beveiligingsbulletin MS12-006 uitgebracht. Ga naar een van de volgende Microsoft-websites als u het volledige beveiligingsbulletin wilt weergeven:
-
Thuisgebruikers:
http://www.microsoft.com/nl-nl/security/pc-security/bulletins/201201.aspxDe details overslaan: Download de updates voor uw thuiscomputer of laptop nu vanaf de Microsoft Update-website:
http://www.update.microsoft.com/microsoftupdate/v6/vistadefault.aspx?ln=nl-nl
-
IT-professionals:
http://technet.microsoft.com/nl-nl/security/bulletin/ms12-006
Hulp en ondersteuning voor deze beveiligingsupdate
Hulp bij installatie van updates: Ondersteuning voor Microsoft Windows Update Beveiligingsoplossingen voor IT-professionals: TechNet Oplossingen voor beveiligingsproblemen en ondersteuning Uw Windows-computer beter beveiligen tegen virussen en malware: Support voor Microsoft-virusbescherming en Windows-beveiliging Lokale ondersteuning voor uw land: Internationale ondersteuning
Het probleem voor mij oplossen
Er zijn twee Fix it-oplossingen beschikbaar.
-
Fix it-oplossing voor TLS 1.1 (Transport Layer Security) in Internet Explorer: Bij deze oplossing wordt TLS 1.1, dat geen last heeft van dit beveiligingsprobleem, ingeschakeld in Windows Internet Explorer. De meeste gebruikers moeten deze Fix it-oplossing installeren.
-
Fix it-oplossing voor TLS 1.1 op Windows-servers: Bij deze oplossing wordt TLS 1.1, dat geen last heeft van dit beveiligingsprobleem, ingeschakeld.
De Fix it-oplossingen die in deze sectie worden beschreven, zijn niet bedoeld als vervanging voor beveiligingsupdates. Het is aan te raden altijd de nieuwste beveiligingsupdates te installeren. In bepaalde scenario's kunnen deze Fix it-oplossingen echter als tijdelijke oplossing dienen.
Zie beveiligingsbulletin MS12-006 voor meer informatie over de tijdelijke oplossingen:http://technet.microsoft.com/nl-nl/security/bulletin/ms12-006 In dit bulletin vindt u meer informatie over het probleem, waaronder:
-
De scenario's waarin u de tijdelijke oplossing kunt toepassen of uitschakelen.
-
Beperkende factoren.
-
Tijdelijke oplossingen
-
Veelgestelde vragen
U vindt deze informatie door te zoeken naar de sectie Informatie over het beveiligingslek en vervolgens Tijdelijke oplossingen onder Beveiligingslek in SSL- en TLS-protocollen - CVE-2011-3389 uit te vouwen.
Fix it-oplossing voor TLS 1.1 in Internet Explorer
U kunt deze Fix it-oplossing in- of uitschakelen door te klikken op de knop of koppeling Fix it onder de kop Inschakelen of Uitschakelen. Klik op Uitvoeren in het dialoogvenster Bestand downloaden en volg de stappen in de wizard.
Inschakelen |
Uitschakelen |
---|---|
Opmerkingen
-
Deze wizards zijn mogelijk alleen beschikbaar in het Engels. De automatische correcties werken echter ook voor andere taalversies van Windows.
-
Als u niet op de computer werkt waarop het probleem optreedt, kunt u de automatische correctie opslaan op een flashstation of een cd, zodat u de correctie kunt uitvoeren op de computer waarop sprake is van het probleem.
Fix it-oplossing voor TLS 1.1 op servers op basis van Windows
U kunt deze Fix it-oplossing in- of uitschakelen door te klikken op de knop of koppeling Fix it onder de kop Inschakelen of Uitschakelen. Klik op Uitvoeren in het dialoogvenster Bestand downloaden en volg de stappen in de wizard.
Inschakelen |
Uitschakelen |
---|---|
Opmerkingen
-
Deze wizards zijn mogelijk alleen beschikbaar in het Engels. De automatische correcties werken echter ook voor andere taalversies van Windows.
-
Als u niet op de computer werkt waarop het probleem optreedt, kunt u de automatische correctie opslaan op een flashstation of een cd, zodat u de correctie kunt uitvoeren op de computer waarop sprake is van het probleem.
Bekende problemen met deze beveiligingsupdate
Nadat u deze beveiligingsupdate hebt geïnstalleerd, kunnen verificatiefouten optreden of kan de verbinding met bepaalde HTTPS-servers worden verbroken. Dit probleem treedt op doordat met deze update de manier wordt gewijzigd waarop records naar de HTTPS-servers worden verzonden.
U kunt deze beveiligingsupdate tijdelijk uitschakelen of weer inschakelen door te klikken op de knop of koppeling Dit probleem oplossen onder de kop De beveiligingsupdate uitschakelen of De beveiligingsupdate weer inschakelen . Klik op Uitvoeren in het dialoogvenster Bestand downloaden en volg de stappen in de wizard.
De beveiligingsupdate uitschakelen |
De beveiligingsupdate weer inschakelen |
---|---|
Opmerkingen
-
Deze wizards zijn mogelijk alleen beschikbaar in het Engels. De automatische correcties werken echter ook voor andere taalversies van Windows.
-
Als u niet op de computer werkt waarop het probleem optreedt, kunt u de automatische correctie opslaan op een flashstation of een cd, zodat u de correctie kunt uitvoeren op de computer waarop sprake is van het probleem.
De volgende tabel bevat de waarden die door deze Fix it-oplossingen worden toegekend aan de DWORD-registervermelding SendExtraRecord:
Kop |
Waarde die wordt toegekend aan de vermelding SendExtraRecord |
---|---|
De beveiligingsupdate uitschakelen |
2 |
De beveiligingsupdate weer inschakelen |
0 |
Opmerking De instelling SendExtraRecord wordt opgenomen in toekomstige versies van Windows.
Bekende problemen en aanvullende informatie over deze beveiligingsupdate
De volgende artikelen bevatten aanvullende informatie over deze beveiligingsupdate met betrekking tot afzonderlijke productversies. De artikelen kunnen informatie over bekende problemen bevatten. Als dit het geval is, wordt het bekende probleem onder de artikelkoppeling weergegeven:
Registerinformatie
Niet aanbevolen Het is niet aan te raden de volgende procedure te gebruiken om de beveiligingsupdate uit te schakelen. We bieden deze procedure toch aan voor als u toepassingen gebruikt die niet compatibel zijn met deze beveiligingsupdate. Door deze beveiligingsupdate wordt het splitsen van SSL-records ingeschakeld voor alle toepassingen.
Belangrijk Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register onjuist bewerkt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen van het register, klikt u op het volgende artikelnummer, zodat het desbetreffende Microsoft Knowledge Base-artikel wordt weergegeven:322756Back-ups van het register maken en het register terugzetten in Windows Vanwege compatibiliteitsproblemen met toepassingen wordt de Opt-in-modus door deze beveiligingsupdate standaard ingesteld op Schannelniveau. Als u deze beveiligingsupdate wilt uitschakelen voor alle toepassingen in het hele systeem, moet u de DWORD-waarde SendExtraRecord met de waarde 2 toevoegen aan de volgende registersubsleutel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL Ga als volgt te werk om deze registerwaarde toe te voegen:
-
Klik op Start, klik op Uitvoeren, typ regedit in het vak Openen en klik op OK.
-
Selecteer de volgende registersubsleutel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
-
Open het menu Bewerken, wijs de optie Nieuw aan en klik op DWORD-waarde.
-
Typ SendExtraRecord als naam van de DWORD-waarde en druk op Enter.
-
Klik met de rechtermuisknop op SendExtraRecord en klik op Wijzigen.
-
Typ 2 in het vak Waardegegevens om het splitsen van records in Schannel uit te schakelen en klik op OK.
-
Sluit de Register-editor af.
Deze registervermelding kan drie verschillende waarden hebben, die elk de verschillende werkmodi representeren:
Waarde registersleutel |
Beschrijving |
---|---|
0 |
Schannel is standaard opgenomen in de Opt-in-modus. Dat betekent dat deze beveiligingsupdate werkt voor alle aanroepende toepassingen waarin de vlag Secure naar Schannel wordt verzonden. De Schannelregistervermelding SendExtraRecord wordt niet door het beveiligingspakket gemaakt. Als deze Schannelregistervermelding niet aanwezig is, betekent dit dat het systeem in deze modus werkt. Als iemand de registersleutel maakt en de waarde instelt op 0, werkt Schannel ook in deze modus. Deze instelling heeft hetzelfde effect als wanneer deze registervermelding niet is gemaakt. In toepassingen waarin een vlag Secure naar Schannel wordt verzonden tijdens de sessie-initialisatie, zal uitsluitend gebruik worden gemaakt van het vaste beveiligde codepad. In andere toepassingen verandert er niets aan het Schannelgedrag. Voor een betere beveiliging bij gebruik van de webbrowser worden door deze beveiligingsupdate ook de toepassingslagen gecorrigeerd waarin de vlag Secure via Internet Explorer wordt verzonden. Opmerking In Windows Server 2003 moet beveiligingsupdate 2638806 worden geïnstalleerd voor een betere beveiliging van HTTP-clienttoepassingen die WinHTTP-API's gebruiken. Klik voor meer informatie op het volgende artikelnummer, zodat het desbetreffende Microsoft Knowledge Base-artikel wordt weergegeven:2638806 MS12-006: Beschrijving van de beveiligingsupdate voor Winhttp in Windows Server 2003 en Windows XP Professional x64 Edition van 10 januari 2012 |
1 |
Als de waarde is ingesteld op 1 betekent dat: voor alle ingeschakeld. Dit betekent dat de vlag niet door de aanroepende toepassing hoeft te worden verzonden, en dat alle SSL-records in Schannel worden gesplitst. Als deze waarde is ingesteld, hoeft er niets in de toepassingen te worden aangepast. Klanten die zich veel zorgen maken over de systeembeveiliging kunnen hun systeem veiliger maken door deze registerinstelling in te schakelen. |
2 |
Als de waarde is ingesteld op 2 betekent dat: voor alle uitgeschakeld. Dit betekent dat de records voor geen enkele coderingsaanroep vanuit de toepassing worden gesplitst in Schannel. In deze modus wordt de vlag Secure genegeerd die vanuit een toepassing wordt verzonden. |
Op basis van interne tests hebben we vastgesteld dat het problematisch kan zijn om de registerwaarde op 1 in te stellen, omdat daardoor te veel scenario's in een onderneming kunnen worden verstoord. Daarom raden we het gebruik van deze waarde af.
Bekende problemen bij het inschakelen van de registervermelding SendExtraRecord
-
Als u de registerwaarde SendExtraRecord instelt op 1, wordt het splitsen van records afgedwongen bij elke aanroep om gegevens te coderen in Schannel. Dit gebeurt ongeacht of door de aanroepende toepassing de vlag Secure is verzonden tijdens de sessie-initialisatie.
-
Veel toepassingen waarin Schannel wordt gebruikt, zijn zodanig geschreven dat er aan de ontvangende kant wordt aangenomen dat de toepassingsgegevens in een enkel pakket worden verzonden. Dat is ook het geval als Schannel door de toepassing wordt aangeroepen voor decodering. Een door Schannel ingestelde vlag wordt door de toepassingen genegeerd. De vlag geeft aan dat er meer gegevens zijn die aan de ontvangende kant moeten worden gedecodeerd en opgehaald. Deze methode wijkt af van de door MSDN voorgeschreven methode voor het gebruik van Schannel. Doordat het splitsten van records door de beveiligingsupdate wordt afgedwongen, worden dergelijke toepassingen verstoord.
-
Toepassingen die worden verstoord, zijn onder meer Microsoft-producten en meegeleverde onderdelen. Hier volgen voorbeelden van scenario's die kunnen worden verstoord wanneer de registerwaarde SendExtraRecord op 1 wordt ingesteld:
-
-
Alle SQL-producten en toepassingen die op SQL gebouwd zijn.
-
Terminalservers waarop NLA (Network Level Authentication) is ingeschakeld. NLA is standaard ingeschakeld in Windows Vista en latere versies van Windows.
-
Sommige RRAS-scenario's (Routing Remote Access Service).
-
Als u de registerwaarde SendExtraRecord instelt op 1, wordt het splitsen van beveiligde records afgedwongen voor alle toepassingen die gebruikmaken van Windows TLS/SSL. Bij deze instelling is de kans op compatibiliteitsproblemen met toepassingen echter groot. Daarom raden wij klanten aan TLS 1.1 en TLS 1.2 in te stellen in plaats van deze registerinstelling te gebruiken. TLS 1.1 en TLS 1.2 zijn niet vatbaar voor dit probleem.
Gebruikers die deze registerinstelling willen gebruiken, raden we aan toepassingen uitgebreid te testen op compatibiliteit alvorens deze registerinstelling te implementeren. Sommige veelgebruikte producten waarvan bekend is dat ze door deze instelling worden getroffen, zijn Microsoft SQL-producten, Windows Terminal Server en Windows Remote Access Server.Veelgestelde vragen
V: Wat kan Microsoft doen om mij te helpen problemen in mijn servertoepassing op te lossen?
A: Ervoor zorgen dat uw toepassing bestand is tegen de fragmentatie van records van een SSL/TLS-toepassing, zoals beschreven in de volgende RFC's: