MS12-006: Beveiligingsprobleem in SSL/TLS kan leiden tot openbaarmaking van informatie: 10 januari 2012

Van toepassing op
Windows 7 Service Pack 1 Windows 7 Enterprise Windows 7 Home Premium Windows 7 Professional Windows 7 Ultimate Windows 7 Home Basic Windows 7 Enterprise Windows 7 Home Premium Windows 7 Professional Windows 7 Ultimate Windows 7 Home Basic Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 Service Pack 2 Windows Server 2008 Datacenter Windows Server 2008 Enterprise Windows Server 2008 Standard Windows Server 2008 Web Edition Windows Server 2008 Datacenter Windows Server 2008 Enterprise Windows Server 2008 Standard Windows Server 2008 Web Edition Microsoft Windows Server 2003 Service Pack 2 Microsoft Windows XP Professional x64 Edition

INLEIDING

Microsoft heeft beveiligingsbulletin MS12-006 uitgebracht. Als u het volledige beveiligingsbulletin wilt bekijken, gaat u naar een van de volgende Microsoft-websites:

Hulp en ondersteuning voor deze beveiligingsupdate verkrijgen

Hulp bij het installeren van updates:
Ondersteuning voor Microsoft Update

Beveiligingsoplossingen voor IT-professionals:
TechNet-beveiligingsproblemen oplossen en ondersteuning

Bescherm uw computer met Windows tegen virussen en malware:
VirusOplossing en Security Center

Lokale ondersteuning op basis van uw land:
Internationale ondersteuning

Los het voor me op

Er zijn twee Oplossingen beschikbaar.

  • Oplossing voor Tls 1.1 (Transport Layer Security) 1.1 in Internet Explorer oplossen: met deze oplossing schakelt u TLS 1.1 in windows Internet Explorer in, dat niet wordt beïnvloed door dit beveiligingsprobleem. De meeste typische gebruikers moeten deze Fix it-oplossing installeren.
  • Oplossing voor TLS 1.1 op Windows-servers oplossen: met deze oplossing wordt TLS 1.1 ingeschakeld, dat niet wordt beïnvloed door het beveiligingsprobleem.

De Fix it-oplossingen die in deze sectie worden beschreven, zijn niet bedoeld als vervanging voor beveiligingsupdates. U wordt aangeraden altijd de meest recente beveiligingsupdates te installeren. We bieden deze Fix it-oplossingen echter als tijdelijke oplossingsopties voor sommige scenario's. 

Zie beveiligingsbulletin MS12-006 voor meer informatie over de tijdelijke oplossingen:

http://technet.microsoft.com/security/bulletin/ms12-006 Het bulletin bevat meer informatie over het probleem en bevat het volgende:

  • De scenario's waarin u de tijdelijke oplossing kunt toepassen of uitschakelen
  • Beperkende factoren
  • Oplossingen
  • Veelgestelde vragen

Als u deze informatie wilt zien, zoekt u naar de sectie Informatie over beveiligingsproblemen en vouwt u vervolgens de alinea Tijdelijke oplossingen uit onder de alinea SSL- en TLS-protocollen - CVE-2011-3389.

Oplossing voor TLS 1.1 in Internet Explorer oplossen

Als u deze Fix it-oplossing wilt in- of uitschakelen, klikt u op de knop Of koppeling Herstellen onder de kop In- of uitschakelen . Klik op Uitvoeren in het dialoogvenster Bestand downloaden en volg de stappen in de wizard Herstellen.

Inschakelen Disable

Notities

  • Deze wizards zijn mogelijk alleen in het Engels. De automatische correcties werken echter ook voor andere taalversies van Windows.
  • Als u zich niet op de computer bevindt waarop het probleem zich voordoet, kunt u de automatische oplossing opslaan op een flashstation of een cd en vervolgens kunt u deze uitvoeren op de computer waarop het probleem zich voordoet.

Oplossing voor TLS 1.1 op Windows-servers oplossen

Als u deze Fix it-oplossing wilt in- of uitschakelen, klikt u op de knop Of koppeling Herstellen onder de kop In- of uitschakelen . Klik op Uitvoeren in het dialoogvenster Bestand downloaden en volg de stappen in de wizard Herstellen.

Inschakelen Disable

Notities

  • Deze wizards zijn mogelijk alleen in het Engels. De automatische correcties werken echter ook voor andere taalversies van Windows.
  • Als u zich niet op de computer bevindt waarop het probleem zich voordoet, kunt u de automatische oplossing opslaan op een flashstation of een cd en vervolgens kunt u deze uitvoeren op de computer waarop het probleem zich voordoet.

Bekende problemen met deze beveiligingsupdate

Nadat u deze beveiligingsupdate hebt geïnstalleerd, treedt er mogelijk een verificatiefout op of wordt de verbinding met sommige HTTPS-servers verbroken. Dit probleem treedt op omdat deze beveiligingsupdate de manier wijzigt waarop records naar HTTPS-servers worden verzonden.

Als u deze beveiligingsupdate tijdelijk wilt uitschakelen of opnieuw wilt inschakelen, klikt u op de knop Of de koppeling Herstellen onder de kop De beveiligingsupdate uitschakelen of De beveiligingsupdate opnieuw inschakelen . Klik op Uitvoeren in het dialoogvenster Bestand downloaden en volg de stappen in de wizard Herstellen.

De beveiligingsupdate uitschakelen De beveiligingsupdate opnieuw inschakelen

Notities

  • Deze wizards zijn mogelijk alleen in het Engels. De automatische correcties werken echter ook voor andere taalversies van Windows.
  • Als u zich niet op de computer bevindt waarop het probleem zich voordoet, kunt u de automatische oplossing opslaan op een flashstation of een cd en vervolgens kunt u deze uitvoeren op de computer waarop het probleem zich voordoet.

In de volgende tabel ziet u de waarden die door deze Fix it-oplossingen worden toegepast op de DWORD-vermelding van het register SendExtraRecord:

Kop Waarde toegepast op SendExtraRecord-vermelding
De beveiligingsupdate uitschakelen 2
De beveiligingsupdate opnieuw inschakelen 0

Opmerking De instelling SendExtraRecord wordt opgenomen in toekomstige versies van Windows.

Bekende problemen en aanvullende informatie over deze beveiligingsupdate

De volgende artikelen bevatten aanvullende informatie over deze beveiligingsupdate met betrekking tot afzonderlijke productversies. De artikelen kunnen informatie over bekende problemen bevatten. Als dit het geval is, wordt het bekende probleem vermeld onder elke artikelkoppeling:

  • 2585542 MS12-006: Beschrijving van de beveiligingsupdate voor Webio, Winhttp en schannel in Windows: 10 januari 2012
  • 2638806 MS12-006: Beschrijving van de beveiligingsupdate voor Winhttp in Windows Server 2003 en Windows XP Professional x64 Edition: 10 januari 2012

Registergegevens

Niet aanbevolen We raden u af de volgende procedure te gebruiken om deze beveiligingsupdate uit te schakelen. We bieden deze procedure echter voor scenario's waarin u mogelijk toepassingen gebruikt die niet compatibel zijn met deze beveiligingsupdate, waardoor gesplitste SSL-records voor alle toepassingen mogelijk zijn.

Belangrijk Deze sectie, methode of taak bevat stappen die u laten weten hoe u het register kunt wijzigen. Er kunnen echter ernstige problemen optreden als u het register verkeerd wijzigt. Zorg er daarom voor dat u deze stappen zorgvuldig uitvoert. Zorg er als extra beveiligingsmaatregel voor dat u een back-up van het register maakt voordat u hierin wijzigingen aanbrengt. Vervolgens kunt u het register herstellen als er een probleem optreedt. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over het maken van een back-up en het herstellen van het register:

322756 Een back-up van het register maken en herstellen in Windows

Met deze beveiligingsupdate wordt de opt-in-modus standaard ingesteld op schannelniveau, vanwege compatibiliteitsproblemen met toepassingen. Als u deze beveiligingsupdate wilt uitschakelen voor alle toepassingen voor het hele systeem, moet u een DWORD-waarde met de naam SendExtraRecord en met de waarde 2 toevoegen aan de volgende registersubsleutel:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNELVoer de volgende stappen uit om deze registervermelding in het schannelregister toe te voegen:

  1. Klik op Start en vervolgens op Uitvoeren. Typ regedit in het vak Openen en klik op OK.

  2. Klik op de volgende subsleutel in het register:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

  3. Wijs in het menu Bewerken naar Nieuw en klik vervolgens op DWORD-waarde.

  4. Typ SendExtraRecord als naam van de DWORD-waarde en druk op Enter.

  5. Klik met de rechtermuisknop op SendExtraRecord en klik vervolgens op Wijzigen.

  6. Typ in het vak Waardegegevens 2 om de gesplitste record in schannel uit te schakelen en klik vervolgens op OK.

  7. Sluit de Register-editor af.

Deze registervermelding kan drie waarden hebben en elke waarde biedt verschillende bewerkingsmodi:

Reg-key-waarde Beschrijving
0 Standaard is schannel opgenomen in 'Optin-modus'. Dit betekent dat deze beveiligingsupdate werkt voor alle bellers die de vlag Beveiligd naar schannel verzenden. De registervermelding 'SendExtraRecord' wordt niet gemaakt door het beveiligingspakket. Daarom betekent geen schannel-registervermelding dat het systeem deze modus uitvoert. Als iemand deze registersleutel maakt en de waarde instelt op 0, wordt schannel opnieuw uitgevoerd in deze modus.

Deze instelling heeft hetzelfde effect als het helemaal niet maken van deze registervermelding. Toepassingen die een beveiligingsvlag naar schannel verzenden tijdens sessie-initialisatie, gebruiken alleen het vaste beveiligde codepad. Voor andere toepassingen is er geen wijziging in het gedrag van de schannel.

Deze beveiligingsupdate corrigeert ook de toepassingslagen die betrokken zijn bij het surfen op het web met behulp van Internet Explorer om de vlag Beveiligd te verzenden, om de scenario's voor browsergebruik te beveiligen.

Opmerking In Windows Server 2003 moeten beveiligingsupdates 2638806 worden geïnstalleerd om HTTP-clienttoepassingen die gebruikmaken van WinHTTP-API's te beveiligen. Klik voor meer informatie op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:
2638806 MS12-006: Beschrijving van de beveiligingsupdate voor Winhttp in Windows Server 2003 en Windows XP Professional x64 Edition: 10 januari 2012
1 Als u de waarde instelt op 1, betekent dit 'ingeschakeld voor iedereen'. Dit betekent dat bellers de vlag niet hoeven te verzenden en dat de schannel alle SSL-records splitst. Met deze waardeset hoeven toepassingen geen wijzigingen aan te brengen. Een klant die zich zorgen maakt over de systeembeveiliging kan helpen zijn systeem veiliger te maken door deze registersleutel in te schakelen.
2 Als u de waarde instelt op 2, betekent dit 'uitgeschakeld voor iedereen'. Dit betekent dat de schannel de records niet splitst voor een versleutelingsoproep die door de toepassing wordt uitgevoerd. Deze modus voldoet niet aan de vlag Beveiligd die door een toepassing wordt verzonden.

Op basis van interne tests is vastgesteld dat u de registerwaarde niet op 1 kunt instellen, omdat hierdoor te veel scenario's in een onderneming kunnen worden onderbroken. Daarom raden we gebruikers af om het te gebruiken.

Bekende problemen met het inschakelen van de registervermelding SendExtraRecord

  • Als u de registerwaarde SendExtraRecord instelt op 1, wordt het splitsen van records in elke aanroep afgedwongen om gegevens in schannel te versleutelen. Dit gebeurt ongeacht of de beller de vlag Beveiligd heeft verzonden tijdens de sessie-initialisatie.
  • Veel toepassingen die schannel gebruiken, worden zo geschreven dat de ontvanger ervan uitgaat dat toepassingsgegevens in één pakket worden verpakt. Dit gebeurt ook als de toepassing schannel aanroept voor ontsleuteling. De toepassingen negeren een vlag die is ingesteld door schannel. De vlag geeft aan dat er meer gegevens moeten worden ontsleuteld en opgehaald door de ontvanger. Deze methode volgt niet de door MSDN voorgeschreven methode voor het gebruik van schannel. Omdat de beveiligingsupdate het splitsen van records afdwingt, worden dergelijke toepassingen hierdoor verbroken.
  • Defecte toepassingen omvatten Microsoft-producten en in-box-onderdelen. Hier volgen voorbeelden van scenario's die kunnen worden verbroken wanneer de registerwaarde SendExtraRecord is ingesteld op 1:
    • Alle SQL-producten en -toepassingen die zijn gebouwd op SQL.
    • Terminalservers waarop Netwerkverificatie (NLA) is ingeschakeld. STANDAARD is NLA ingeschakeld in Windows Vista en latere versies van Windows.
    • Sommige RRAS-scenario's (Routing Remote Access Service).

Als u de registerwaarde SendExtraRecord instelt op 1, wordt de veilige recordsplitsing afgedwongen voor alle toepassingen die gebruikmaken van Windows TLS/SSL. Deze instelling heeft echter waarschijnlijk compatibiliteitsproblemen met toepassingen. Daarom raden we klanten aan TLS 1.1 en TLS 1.2 te configureren in plaats van deze registerinstelling te gebruiken. TLS 1.1 en TLS 1.2 zijn niet kwetsbaar voor dit probleem.

Als een gebruiker van plan is om deze registerinstelling te gebruiken, raden we aan dat ze de compatibiliteit van toepassingen uitgebreid testen voordat ze deze implementeren. Sommige veelvoorkomende producten die bekend zijn om te worden beïnvloed door deze instelling zijn Microsoft SQL-producten, Windows Terminal Server en Windows REMOTE Access Server.

Veelgestelde vragen

V: Wat kan Microsoft doen om mij te helpen mijn toepassing op de server te herstellen?
A: Zorg ervoor dat uw toepassing de fragmentatie van SSL/TLS-toepassingsrecords kan verwerken, zoals beschreven in de volgende RFC's: