MS13-066: Opis aktualizacji zabezpieczeń usług federacyjnych Active Directory 2.0: 13 sierpnia 2013

WPROWADZENIE

Firma Microsoft wydała biuletyn zabezpieczeń MS13-066. Aby wyświetlić pełny biuletyn zabezpieczeń, odwiedź jedną z następujących witryn firmy Microsoft w sieci Web:

Jak uzyskać pomoc i obsługę techniczną związaną z tą aktualizacją zabezpieczeń

Pomoc dotycząca instalowania aktualizacji: Pomoc techniczna dotycząca witryny Microsoft Update

Rozwiązania zabezpieczeń dla informatyków: Pomoc techniczna i rozwiązywanie problemów z zabezpieczeniami w witrynie TechNet

Pomoc dotycząca ochrony komputera z systemem Windows przed wirusami i złośliwym oprogramowaniem: Centrum rozwiązań dotyczących wirusów i zabezpieczeń

Lokalna pomoc techniczna dla danego kraju: Międzynarodowa pomoc techniczna

Więcej informacji

Znane problemy dotyczące tej aktualizacji zabezpieczeń

  • Po zainstalowaniu tej aktualizacji zabezpieczeń mogą wystąpić dowolne z następujących problemów:



    Problem 1

    Gdy rozmiar tokenu logowania jednokrotnego staje się za duży, użytkownik nie może uwierzytelnić się na serwerze.

    Ogólnie duże tokeny logowania jednokrotnego występują w przypadku użytkowników należących do wielu grup.

    Problem 2

    Przykład: usługi federacyjne Active Directory Federation Services (AD FS) są wdrażane jako dostawca tożsamości dla dostawcy federacji. Ewentualnie usługi AD FS są wdrażane jako usługa tokenu zabezpieczeń działająca jako połączenie dostawcy tożsamości i dostawcy federacji dla aplikacji obsługującej tokeny. W przypadku błędu w relacji zaufania (na przykład w razie wyłączenia zaufania jednostki uzależnionej) użytkownikowi próbującemu się uwierzytelnić jest nadal wyświetlana strona logowania zamiast komunikatu o błędzie.

    Problem 3

    W razie wyłączenia opcji logowania jednokrotnego na serwerze AD FS żądania uwierzytelnienia wysyłane do tego serwera kończą się niepowodzeniami.

    Problem 4

    Gdy żądanie uwierzytelnienia pasywnego skierowane do serwera AD FS wymaga świeżego uwierzytelnienia, próba uwierzytelnienia kończy się niepowodzeniem, a serwer nadal prosi o poświadczenia.

    Uwaga Aplikacja obsługująca oświadczenia może zażądać świeżego uwierzytelnienia za pomocą parametru wfresh=0 mechanizmów WS-Fed. Zamiast tego aplikacja może użyć parametru ForceAuthN=true mechanizmów SAMLP.

    Problem 5

    W niestandardowych wdrożeniach usług AD FS 2.0 nie są wykonywane dostosowywania dodane po wywołaniu SignIn w kodzie strony FormsSignin.aspx.cs.

    Aby rozwiązać te problemy, należy zainstalować poprawkę 2896713. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    2896713 Dostępna jest aktualizacja rozwiązująca kilka problemów występujących po zainstalowaniu aktualizacji zabezpieczeń 2843638 na serwerze AD FS
  • Firma Microsoft jest świadoma występowania problemów z aktualizacjami zabezpieczeń dotyczącymi usług AD FS 2.0 opisanymi w biuletynie MS13-066. W wyniku tych problemów usługi AD FS mogą przestać działać, jeśli nie zainstalowano udostępnionego wcześniej pakietu zbiorczego aktualizacji 3 dla usług federacyjnych Active Directory 2.0 znanego jako aktualizacja 2790338.

    19 sierpnia 2013 firma Microsoft opublikowała aktualizację zabezpieczeń 2843638 rozwiązującą ten problem. Klientom, którzy zainstalowali oryginalne aktualizacje, zostanie ponownie zaoferowana aktualizacja zabezpieczeń 2843638. Zaleca się im zastosowanie jej przy najbliższej okazji. Po zakończeniu instalacji klienci będą widzieć na liście zainstalowanych aktualizacji tylko aktualizację 2843638.

Dodatkowe kroki wymagane do zainstalowania tej aktualizacji zabezpieczeń

Po zainstalowaniu tej aktualizacji zabezpieczeń wykonaj następujące kroki, aby ręcznie ukończyć instalację:
  1. Utwórz kopię zapasową dostosowanej strony FormsSignIn.aspx w następującym folderze:

    %systemdrive%\inetpub\adfs\ls 
    Uwagi
    • Upewnij się, że przechowujesz kopię zapasową w niezawodnej lokalizacji przechowywania.
    • Dla wszystkich dostosowań plików asp należy utworzyć niezawodną kopię zapasową. W tym celu zaleca się używanie funkcji kontroli wersji.
  2. W folderze kopii zapasowej przeprowadź edycję strony FormsSignIn.aspx w celu dodania tekstu "autocomplete=off" dla pól tekstowych Username (Nazwa użytkownika) i Password (Hasło). W tym celu wykonaj następujące czynności:
    1. Zmień następującą pozycję:

      <asp:TextBox runat="server" ID="UsernameTextBox"> 




      Na następującą:

      <asp:TextBox runat="server" ID="UsernameTextBox" autocomplete="off"> 
    2. Zmień następującą pozycję:

      <asp:TextBox runat="server" ID="PasswordTextBox" TextMode="Password"> 




      Na następującą:

      <asp:TextBox runat="server" ID="PasswordTextBox" TextMode="Password" autocomplete="off"> 
  3. Skopiuj zaktualizowaną stronę FormsSignIn.aspx do następującego folderu:


    %systemdrive%\inetpub\adfs\ls 

INFORMACJE O PLIKACH

Wersja angielskojęzyczna (Stany Zjednoczone) tej aktualizacji oprogramowania instaluje pliki, których atrybuty wymieniono w poniższych tabelach. Daty i godziny odpowiadające tym plikom zostały podane w formacie uniwersalnego czasu koordynowanego (UTC). Daty i godziny odpowiadające tym plikom są wyświetlane na komputerze lokalnym w formacie czasu lokalnego z uwzględnieniem bieżącego ustawienia czasu letniego. Wartości daty i godziny mogą ulec zmianie w wyniku wykonania pewnych operacji na plikach.
Informacje o plikach w systemie Windows Server 2008
Informacje o plikach w systemie Windows Server 2008 R2
Informacje o plikach w systemie Windows Server 2012
Właściwości

Identyfikator artykułu: 2843639 — ostatni przegląd: 22.11.2013 — zmiana: 1

Opinia