Dostępna jest aktualizacja pozwalająca administratorom zaktualizować listy zaufania certyfikatów zaufanych i niedozwolonych w środowiskach rozłączonych w systemie Windows

Dotyczy: Windows Vista Service Pack 2Windows Vista BusinessWindows Vista Business 64-bit Edition Więcej

Streszczenie


Ta aktualizacja oprogramowania zapewnia następujące ulepszenia w systemie Windows:
  • Pozwala ona administratorom skonfigurować na komputerach przyłączonych do domeny używanie funkcji automatycznego aktualizowania list zaufania certyfikatów zaufanych i niedozwolonych. Komputery mogą używać funkcji automatycznego aktualizowania bez uzyskiwania dostępu do witryny Windows Update.
  • Umożliwia administratorom skonfigurowanie na komputerach przyłączonych do domeny niezależnego wybierania list zaufania certyfikatów zaufanych i niedozwolonych za pomocą funkcji automatycznego aktualizowania.

  • Umożliwia administratorom zbadanie zestawu głównych urzędów certyfikacji w programie certyfikatów głównych firmy Microsoft.
Aby uzyskać więcej informacji na temat tych zmian i ulepszeń, odwiedź następującą stronę firmy Microsoft w sieci Web:

Wymagania wstępne dotyczące wiedzy


Ten artykuł z bazy wiedzy jest przeznaczony dla administratorów infrastruktury kluczy publicznych, którzy znają podstawy zasad grupy, aktualizacji certyfikatów głównych innych podmiotów, certyfikatów niezaufanych i list certyfikatów niedozwolonych. Ten artykuł z bazy wiedzy jest też przeznaczony dla administratorów infrastruktury kluczy publicznych, którzy mogą edytować proste pliki ADM/ADMX w celu wdrażania zasad za pomocą narzędzia aktualizacji zasad grupy. Aby uzyskać więcej informacji o używaniu plików ADMX, zobacz Zarządzanie plikami ADMX zasad grupy: przewodnik krok po kroku.

Informacje ogólne


Program certyfikatów głównych systemu Windows umożliwia automatyczne rozpowszechnianie w systemie Windows zaufanych certyfikatów głównych. Aby uzyskać informacje o liście uczestników programu certyfikatów głównych systemu Windows, odwiedź następującą witrynę firmy Microsoft w sieci Web:
Zaufane certyfikaty główne można rozpowszechniać następującą metodą:

  • klienci mogą pobierać lub aktualizować zaufane certyfikaty główne za pomocą mechanizmu automatycznego aktualizowania. Lista zaufanych certyfikatów głównych jest przechowywana na liście zaufania certyfikatów (liście zaufania certyfikatów zaufanych) na serwerach usługi Windows Update.
Aby uzyskać więcej informacji o tym, jak certyfikaty główne są rozpowszechniane, odwiedź następującą witrynę firmy Microsoft w sieci Web:
Niezaufane certyfikaty główne (certyfikaty, o których powszechnie wiadomo, że są fałszywe) można rozpowszechniać następującą metodą:


  • klienci mogą pobierać lub aktualizować zaufane certyfikaty główne za pomocą mechanizmu automatycznego aktualizowania. Lista niezaufanych certyfikatów głównych jest przechowywana na liście zaufania certyfikatów (liście zaufania certyfikatów niezaufanych) na serwerach usługi Windows Update. Aby uzyskać więcej informacji o automatycznym pobieraniu niezaufanych certyfikatów głównych, odwiedź następującą witrynę firmy Microsoft w sieci Web:
Uwaga Automatyczne aktualizowanie zaufanych i niezaufanych certyfikatów głównych jest obsługiwane przez ten sam mechanizm. Mechanizm automatycznego aktualizowania obu rodzajów certyfikatów można wyłączyć za pomocą tego samego ustawienia rejestru. Aby uzyskać więcej informacji, zobacz Sterowanie funkcją aktualizowania certyfikatów głównych w celu zapobiegania przepływowi informacji z i do Internetu.

W przypadku zarządzania własnym zestawem zaufanych certyfikatów głównych należy wyłączyć mechanizm automatycznego aktualizowania dla listy zaufania certyfikatów zaufanych.

Znane problemy


Przed zainstalowaniem tej aktualizacji oprogramowania podczas zarządzania certyfikatami może wystąpić jeden z następujących problemów:
  • Aby zaktualizować zaufane lub niezaufane certyfikaty główne w środowisku rozłączonym, trzeba użyć pakietów IEXPRESS opisanych w sekcji „Informacje ogólne” tego artykułu z bazy wiedzy. Jednak pakiety IEXPRESS należy zainstalować ręcznie. Ponadto mimo starań o to, aby pakiety IEXPRESS były udostępniane jednocześnie z listami zaufania certyfikatów, pakiety te mogą być publikowane z pewnym opóźnieniem.

    Uwaga Środowisko rozłączone to takie, w którym są spełnione następujące warunki:
    • Dostęp bezpośredni do usługi Windows Update jest zablokowany.
    • Mechanizm automatycznego aktualizowania list zaufania certyfikatów zaufanych i niezaufanych jest wyłączony.
  • Mechanizmu automatycznego aktualizowania nie można wyłączyć osobno dla list zaufania certyfikatów zaufanych i dla list zaufania certyfikatów niezaufanych. Mechanizm automatycznego aktualizowania można wyłączyć jedynie dla list zaufania certyfikatów zaufanych i niezaufanych.

    Uwaga Administratorom zarządzającym własnymi listami zaufanych certyfikatów głównych zaleca się wyłączenie usługi automatycznego aktualizowania dla list zaufania certyfikatów zaufanych. Jednak nie zaleca się administratorom wyłączania usługi automatycznego aktualizowania dla list zaufania certyfikatów niezaufanych.
  • Nie ma żadnego mechanizmu, za pomocą którego użytkownicy zarządzający własnymi listami zaufanych certyfikatów głównych mogliby łatwo wyświetlić certyfikaty główne w programie certyfikatów głównych i wybrać certyfikaty godne zaufania.

Rozwiązanie


Ta nowa aktualizacja oprogramowania zawiera następujące poprawki rozwiązujące problemy opisane w sekcji „Opis problemów” tego artykułu z bazy wiedzy.
  • Ta aktualizacja oprogramowania dodaje do systemu Windows następujące funkcje, które umożliwiają korzystanie z mechanizmu automatycznego aktualizowania w środowiskach rozłączonych:
    1. Nowe ustawienie rejestru: ustawienie rejestru pozwalające zmienić określaną adresem URL lokalizację do pobierania list zaufania certyfikatów zaufanych i niezaufanych z usługi Windows Update do lokalizacji udostępnionej w organizacji. W tym ustawieniu rejestru jest obsługiwany schemat zarówno FILE, jak i HTTP. Aby uzyskać więcej informacji o tym ustawieniu rejestru, zobacz sekcję Klucze rejestru tego artykułu z bazy wiedzy.

      Uwaga Jeśli określana adresem URL lokalizacja zostanie zmieniona na lokalny folder udostępniony, ten folder musi być synchronizowany z folderem usługi Windows Update.
    2. Nowy zestaw opcji narzędzia Certutil: te opcje zapewniają więcej metod synchronizowania folderów. Aby uzyskać więcej informacji o tych opcjach, zobacz sekcję Nowe polecenia w narzędziu Certutil tego artykułu z bazy wiedzy.
  • Ta aktualizacja oprogramowania rozszczepia mechanizm automatycznego aktualizowania list zaufania certyfikatów zaufanych i list zaufania certyfikatów niezaufanych. Po zastosowaniu tej aktualizacji można na przykład wyłączyć za pomocą klucza rejestru tylko mechanizm automatycznego aktualizowania list zaufania certyfikatów zaufanych. Aby uzyskać więcej informacji o kluczach rejestru, zobacz sekcję Klucze rejestru tego artykułu z bazy wiedzy.
  • Ta aktualizacja oprogramowania dodaje nowe narzędzie, za pomocą którego administratorzy mogą wyświetlać zestaw zaufanych certyfikatów głównych w programie certyfikatów głównych firmy Microsoft. To narzędzie jest przeznaczone dla administratorów zarządzających zestawem zaufanych certyfikatów głównych w środowisku przedsiębiorstwa. Za pomocą tego narzędzia administrator może wybrać zestaw zaufanych certyfikatów głównych, wyeksportować je do zserializowanego magazynu certyfikatów i rozpowszechnić za pomocą zasad grupy. Aby uzyskać więcej informacji, zobacz sekcję Nowe polecenia w narzędziu Certutil tego artykułu z bazy wiedzy.

Informacje dotyczące aktualizacji

Następujące pliki są dostępne do pobrania w Centrum pobierania Microsoft:


Wszystkie obsługiwane wersje systemu Windows Vista dla systemów opartych na procesorach x86

Plik do pobrania Pobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Vista dla systemów opartych na procesorach x64

Plik do pobrania Pobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Server 2008 dla systemów opartych na procesorach x86

Plik do pobrania Pobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Server 2008 dla systemów opartych na procesorach x64

Plik do pobrania Pobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Server 2008 dla systemów opartych na procesorach IA-64

Plik do pobrania Pobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows 7 dla systemów opartych na procesorach x86

Plik do pobrania Pobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows 7 dla systemów opartych na procesorach x64

Plik do pobrania Pobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Embedded Standard 7 dla systemów opartych na procesorach x86

Plik do pobrania Pobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Embedded Standard 7 dla systemów opartych na procesorach x64

Plik do pobrania Pobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Server 2008 R2 dla systemów opartych na procesorach x64

Plik do pobrania Pobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Server 2008 R2 dla systemów opartych na procesorach IA-64

Plik do pobrania Pobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows 8 dla systemów opartych na procesorach x86

Plik do pobrania Pobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows 8 dla systemów opartych na procesorach x64

Plik do pobrania Pobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Server 2012

Plik do pobrania Pobierz pakiet teraz.
Data wydania: 11 czerwca 2011

Aby uzyskać więcej informacji dotyczących pobierania plików pomocy technicznej firmy Microsoft, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
119591 Jak uzyskać pliki pomocy technicznej firmy Microsoft w usługach online
Firma Microsoft przeskanowała ten plik w poszukiwaniu wirusów. Firma Microsoft użyła najnowszego oprogramowania do wykrywania wirusów dostępnego w dniu opublikowania pliku. Plik jest przechowywany na serwerach o podwyższonym poziomie zabezpieczeń, co zapobiega wprowadzaniu nieautoryzowanych zmian w pliku.

Wymaganie dotyczące ponownego uruchomienia

Po zastosowaniu tej poprawki należy ponownie uruchomić komputer.

Informacje dotyczące zastępowania poprawek

Ta poprawka zastępuje poprawkę 2661254.



Informacje o plikach

W poniższych tabelach przedstawiono atrybuty plików instalowanych przez tę poprawkę w wersji globalnej. Daty i godziny odpowiadające tym plikom zostały podane w formacie uniwersalnego czasu koordynowanego (UTC). Daty i godziny odpowiadające tym plikom są wyświetlane na komputerze lokalnym w formacie czasu lokalnego z uwzględnieniem bieżącego ustawienia czasu letniego. Wartości daty i godziny mogą ulec zmianie w wyniku wykonania pewnych operacji na plikach.

Informacje techniczne dotyczące zmian


Nowe polecenia w narzędziu Certutil

SyncWithWU
To polecenie służy do synchronizowania katalogu docelowego z witryną Windows Update. Oto składnia tego polecenia:
CertUtil [opcje] -syncWithWU  katalog_docelowy 

UwagaZmienna katalog_docelowy oznacza folder, do którego są kopiowane pliki. Po uruchomieniu polecenia z usługi Windows Update pobierane są następujące pliki:
  • Authrootstl.cab: zawiera listę zaufania certyfikatów głównych innych podmiotów.
  • Disallowedcertstl.cab: zawiera listę zaufania certyfikatów niedozwolonych.
  • Disallowedcert.sst: zawiera listę certyfikatów niedozwolonych.
  • Thumbprint.crt: certyfikaty główne innych podmiotów.
Na przykład można zsynchronizować katalog docelowy z witryną Windows Update, uruchamiając następujące polecenie:
CertUtil -syncWithWU \\computername\sharename\DestinationDir 
GenerateSSTFromWU
To polecenie służy do generowania plików sst z witryny Windows Update. Oto składnia tego polecenia:
CertUtil [opcje] -generateSSTFromWU SSTFile 
Uwaga SSTFile to nazwa tworzonego pliku sst. Wygenerowany plik sst zawiera certyfikaty główne innych podmiotów pobrane z witryny Windows Update.

Na przykład można wygenerować pliki sst z witryny Windows Update, uruchamiając następujące polecenie:
CertUtil –generateSSTFromWU Rootstore.sst 

Klucze rejestru

Ta aktualizacja dodaje do rejestru następujące klucze:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate Ustawienie dla tego klucza rejestru wartości 1 powoduje wyłączenie aktualizacji automatycznych list zaufania certyfikatów zaufanych.
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\EnableDisallowedCertAutoUpdateUstawienie dla tego klucza rejestru wartości 1 powoduje włączenie aktualizacji list zaufania certyfikatów niezaufanych.
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrlTe klucz rejestru służy do konfigurowania ścieżek udziałów do pobierania list zaufania certyfikatów.