Przejdź do głównej zawartości
Pomoc techniczna
Zaloguj się
Zaloguj się przy użyciu konta Microsoft
Zaloguj się lub utwórz konto.
Witaj,
Wybierz inne konto.
Masz wiele kont
Wybierz konto, za pomocą którego chcesz się zalogować.

WPROWADZENIE

Firma Microsoft wydała biuletyn zabezpieczeń MS12-006. Aby wyświetlić pełny biuletyn zabezpieczeń, odwiedź jedną z następujących witryn firmy Microsoft w sieci Web:

Jak uzyskać pomoc i obsługę techniczną związaną z tą aktualizacją zabezpieczeń

Pomoc dotycząca instalowania aktualizacji: Pomoc techniczna dotycząca witryny Microsoft Update

Rozwiązania zabezpieczeń dla informatyków: Pomoc techniczna i rozwiązywanie problemów z zabezpieczeniami w witrynie TechNet

Pomoc dotycząca ochrony komputera z systemem Windows przed wirusami i złośliwym oprogramowaniem: Centrum rozwiązań dotyczących wirusów i zabezpieczeń

Lokalna pomoc techniczna dla danego kraju: Międzynarodowa pomoc techniczna

Automatyczne rozwiązywanie problemu

Dostępne są dwa rozwiązania w postaci poprawek automatycznych Fix it.

  • Poprawka automatyczna Fix it dla protokołu TLS (Transport Layer Security) 1.1 w programie Internet Explorer. To rozwiązanie włącza w programie Windows Internet Explorer protokół TLS 1.1, który nie jest narażony na tę lukę w zabezpieczeniach. Tę poprawkę automatyczną powinna zainstalować większość użytkowników.

  • Poprawka automatyczna Fix it dla protokołu TLS 1.1 na serwerach z systemem Windows. To rozwiązanie włącza protokół TLS 1.1, który nie jest narażony na tę lukę w zabezpieczeniach.

Rozwiązania w postaci poprawek automatycznych opisane w tej sekcji nie zastępują żadnych aktualizacji zabezpieczeń. Zalecane jest regularne instalowanie najnowszych aktualizacji zabezpieczeń. Te rozwiązania w postaci poprawek automatycznych są udostępniane jako opcje obejścia problemów w niektórych scenariuszach.

Więcej informacji o obejściach problemu można znaleźć w biuletynie zabezpieczeń MS12-006:

http://technet.microsoft.com/pl-pl/security/bulletin/ms12-006 W tym biuletynie znajduje się więcej informacji o tym problemie, między innymi następujące informacje:

  • Scenariusze, w których można zastosować lub wyłączyć to obejście problemu

  • Czynniki ograniczające ryzyko

  • Obejścia problemu

  • Często zadawane pytania

Aby zapoznać się konkretnie z tymi informacjami, należy odszukać sekcję Vulnerability Information (Informacje o lukach w zabezpieczeniach) i rozwinąć akapit Workarounds (Obejścia problemu) w obszarze SSL and TLS Protocols Vulnerability — CVE-2011-3389 (Luka w zabezpieczeniach protokołów SSL i TLS — CVE-2011-3389).

Poprawka automatyczna Fix it dla protokołu TLS 1.1 w programie Internet Explorer

Aby włączyć lub wyłączyć tę poprawkę automatyczną, należy kliknąć przycisk lub łącze Fix it w obszarze nagłówka Włącz lub Wyłącz. Następnie należy kliknąć przycisk Uruchom w oknie dialogowym Pobieranie pliku i wykonać kroki kreatora rozwiązywania problemu.

Włącz

Wyłącz

Uwagi

  • Kreatorzy mogą być dostępni tylko w języku angielskim. Jednak te poprawki automatyczne działają również w innych wersjach językowych systemu Windows.

  • Jeśli używany komputer nie jest tym, którego dotyczy problem, można zapisać tę poprawkę automatyczną na dysku flash lub dysku CD i uruchomić ją na odpowiednim komputerze.

Poprawka automatyczna Fix it dla protokołu TLS 1.1 na serwerach z systemem Windows

Aby włączyć lub wyłączyć tę poprawkę automatyczną, należy kliknąć przycisk lub łącze Fix it w obszarze nagłówka Włącz lub Wyłącz. Następnie należy kliknąć przycisk Uruchom w oknie dialogowym Pobieranie pliku i wykonać kroki kreatora rozwiązywania problemu.

Włącz

Wyłącz

Uwagi

  • Kreatorzy mogą być dostępni tylko w języku angielskim. Jednak te poprawki automatyczne działają również w innych wersjach językowych systemu Windows.

  • Jeśli używany komputer nie jest tym, którego dotyczy problem, można zapisać tę poprawkę automatyczną na dysku flash lub dysku CD i uruchomić ją na odpowiednim komputerze.

Znane problemy dotyczące tej aktualizacji zabezpieczeń

Po zainstalowaniu tej aktualizacji zabezpieczeń mogą wystąpić błędy uwierzytelniania lub utrata łączności z niektórymi serwerami HTTPS. Przyczyną tego problemu jest to, że ta aktualizacja zabezpieczeń zmienia sposób wysyłania rekordów do serwerów HTTPS.

Aby tymczasowo wyłączyć lub ponownie włączyć tę aktualizację zabezpieczeń, należy kliknąć przycisk bądź łącze Fix it pod nagłówkiem Wyłączanie aktualizacji zabezpieczeń lub Ponowne włączanie aktualizacji zabezpieczeń. Następnie należy kliknąć przycisk Uruchom w oknie dialogowym Pobieranie pliku i wykonać kroki kreatora rozwiązywania problemu (Fix it).

Wyłączanie aktualizacji zabezpieczeń

Ponowne włączanie aktualizacji zabezpieczeń

Uwagi

  • Kreatorzy mogą być dostępni tylko w języku angielskim. Jednak te poprawki automatyczne działają również w innych wersjach językowych systemu Windows.

  • Jeśli używany komputer nie jest tym, którego dotyczy problem, można zapisać tę poprawkę automatyczną na dysku flash lub dysku CD i uruchomić ją na odpowiednim komputerze.

W poniższej tabeli przedstawiono wartości DWORD wpisu rejestru SendExtraRecord stosowane przez te rozwiązania w postaci poprawek automatycznych:

Nagłówek

Wartość stosowana we wpisie SendExtraRecord

Wyłączanie aktualizacji zabezpieczeń

2

Ponowne włączanie aktualizacji zabezpieczeń

0

Uwaga Ustawienie SendExtraRecord zostanie uwzględnione w przyszłych wersjach systemu Windows.

Znane problemy i dodatkowe informacje dotyczące tej aktualizacji zabezpieczeń

Poniższe artykuły zawierają dodatkowe informacje o tej aktualizacji zabezpieczeń w powiązaniu z poszczególnymi wersjami produktu. Te artykuły mogą zawierać informacje o znanych problemach. W takim przypadku znany problem wymieniono po odpowiednim łączu do artykułu:

  • 2585542 MS12-006: Opis aktualizacji zabezpieczeń protokołów Webio, Winhttp i SChannel w systemie Windows: 10 stycznia 2012

  • 2638806 MS12-006: Opis aktualizacji zabezpieczeń dla protokołu Winhttp w systemach Windows Server 2003 i Windows XP Professional x64 Edition: 10 stycznia 2012

Informacje dotyczące rejestru

Niezalecane Wyłączanie tej aktualizacji zabezpieczeń przy użyciu poniższej procedury nie jest zalecane. Ta procedura została przygotowana na potrzeby scenariuszy, w których używane są aplikacje niezgodne z tą aktualizacją zabezpieczeń. Za pomocą tej procedury można podzielić rekordy SSL dla wszystkich aplikacji.

Ważne W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Aby zapewnić dodatkową ochronę, przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

322756Jak wykonać kopię zapasową rejestru i przywrócić rejestr z kopii zapasowej w systemie Windows

Ze względu na problemy ze zgodnością aplikacji domyślnie ta aktualizacja zabezpieczeń ustawia tryb wyrażania zgody (Opt-in) na poziomie protokołu SChannel. Aby wyłączyć tę aktualizację zabezpieczeń dla wszystkich aplikacji w całym systemie, należy dodać wartość DWORD o nazwie SendExtraRecord z określoną wartością 2 do następującego podklucza rejestru:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNELAby dodać ten wpis rejestru protokołu SChannel, wykonaj następujące czynności:

  1. Kliknij przycisk Start, kliknij polecenie Uruchom, w polu Otwórz wpisz ciąg regedit, a następnie kliknij przycisk OK.

  2. Odszukaj i kliknij następujący podklucz rejestru:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

  3. W menu Edycja wskaż polecenie Nowy, a następnie kliknij polecenie Wartość DWORD.

  4. Wpisz SendExtraRecord jako nazwę wartości DWORD, a następnie naciśnij klawisz Enter.

  5. Kliknij prawym przyciskiem myszy wpis SendExtraRecord, a następnie kliknij polecenie Modyfikuj.

  6. W polu Dane wartości wpisz wartość 2 w celu włączenia dzielenia rekordów w protokole SChannel, a następnie kliknij przycisk OK.

  7. Zakończ działanie Edytora rejestru.

W tym wpisie rejestru można zastosować trzy wartości zapewniające różne tryby działania.

Wartość klucza rejestru

Opis

0

Domyślnie protokół SChannel jest dołączony w trybie wyrażania zgody (Opt-in). Oznacza to, że ta aktualizacja zabezpieczeń ma zastosowanie dla wszystkich procesów wywołujących, które wysyłają bezpieczną (Secure) flagę do protokołu SChannel. Wpis rejestru „SendExtraRecord” protokołu SChannel nie jest tworzony przez pakiet zabezpieczeń. Brak wpisu rejestru protokołu SChannel oznacza pracę systemu w tym trybie. Utworzenie tego wpisu rejestru i ustawienie jego wartości na 0 również powoduje działanie protokołu SChannel w tym trybie.

Takie ustawienie zapewnia jednakowy rezultat, jak brak tego wpisu rejestru. Aplikacje wysyłające bezpieczną flagę (Secure) do protokołu SChannel podczas inicjowania sesji użyją tylko ustalonej bezpiecznej ścieżki kodowej. W przypadku pozostałych aplikacji działanie protokołu SChannel nie ulega zmianie.

Dodatkowo ta aktualizacja zabezpieczeń zawiera poprawkę dla warstw aplikacji używanych podczas przeglądania sieci Web za pomocą programu Internet Explorer do wysyłania bezpiecznej flagi (Secure) na potrzeby bezpiecznego korzystania z przeglądarki.

Uwaga W systemie Windows Server 2003 musi zostać zainstalowana aktualizacja zabezpieczeń 2638806, aby zwiększyć bezpieczeństwo aplikacji klienckich HTTP korzystających z interfejsów API WinHTTP. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

2638806 MS12-006: Opis aktualizacji zabezpieczeń dla protokołu Winhttp w systemach Windows Server 2003 i Windows XP Professional x64 Edition: 10 stycznia 2012

1

Ustawienie wartości 1 oznacza „włączone dla wszystkiego”. Czyli procesy wywołujące nie muszą wysyłać flag i wszystkie rekordy SSL są dzielone na poziomie protokołu SChannel. W przypadku ustawienia tej wartości w aplikacjach nie trzeba wprowadzać żadnych zmian. Włączenie tego klucza rejestru jest zalecane w scenariuszach, w których bezpieczeństwo systemu stanowi wyjątkowo ważne zagadnienie.

2

Ustawienie wartości 2 oznacza „wyłączone dla wszystkiego”. Rekordy nie są dzielone w protokole SChannel dla żadnych wywołań szyfrowania zgłaszanych przez aplikacje. W tym trybie bezpieczna flaga (Secure) wysyłana przez aplikacje nie jest uwzględniana.

Na podstawie wewnętrznych testów stwierdzono, że nie należy ustawiać tej wartości rejestru na 1, ponieważ może to doprowadzić do uszkodzenia wielu scenariuszy w przedsiębiorstwie. Z tego względu ustawianie tej wartości nie jest zalecane.

Znane problemy dotyczące włączania wpisu rejestru SendExtraRecord

  • Ustawienie wartości rejestru SendExtraRecord na 1 wymusza dzielenie rekordów w każdym wywołaniu na potrzeby szyfrowania danych protokołu SChannel. Taka sytuacja występuje niezależnie od tego, czy proces wywołujący wysłał bezpieczną flagę (Secure) podczas inicjowania sesji.

  • Wiele aplikacji korzystających z protokołu SChannel jest zaprogramowanych z założeniem, że strona odbierająca oczekuje danych aplikacji zawartych w pojedynczym pakiecie. Ma to miejsce nawet wtedy, gdy aplikacja wywołuje w protokole SChannel proces odszyfrowywania. Takie aplikacje ignorują flagę ustawioną w protokole SChannel. Za pomocą flagi aplikacja jest informowana, że istnieje więcej danych do odszyfrowania i pobrania przez odbiorcę. Ta metoda korzystania z protokołu SChannel nie jest zgodna z metodą opisaną w witrynie MSDN. Omawiana aktualizacja zabezpieczeń wymusza dzielenie rekordów, co z kolei powoduje uszkodzenie takich aplikacji.

  • Ten problem dotyczy między innymi produktów firmy Microsoft i składników wewnętrznych. Poniżej przedstawiono przykładowe scenariusze zakresu uszkodzeń występujących po ustawieniu wartości rejestru SendExtraRecord na 1:

    • Wszystkie produkty SQL i aplikacje opracowane w oparciu o program SQL.

    • Serwery terminali z włączonym uwierzytelnianiem na poziomie sieci (NLA — Network Level Authentication). Funkcja NLA jest domyślnie włączona w systemach Windows Vista i nowszych.

    • Niektóre zastosowania routingu i dostępu zdalnego (RRAS — Routing Remote Access Service).

Ustawienie wartości rejestru SendExtraRecord na 1 wymusza bezpieczne dzielenie rekordów dla wszystkich aplikacji korzystających z protokołu TLS/SSL w systemach Windows. Jednak zastosowanie tego ustawienia zwykle prowadzi do problemów ze zgodnością aplikacji. Z tego względu zamiast używania tego ustawienia rejestru zaleca się skonfigurowanie protokołów TLS 1.1 i TLS 1.2. W przypadku protokołów TLS 1.1 i TLS 1.2 ten problem nie występuje.

Jeśli planowane jest zastosowanie tego ustawienia rejestru, zaleca się szczegółowe przetestowanie zgodności aplikacji przed wdrożeniem ustawienia. Do znanych produktów, których ten problem dotyczy, należą produkty Microsoft SQL, serwery terminali systemu Windows i serwery dostępu zdalnego systemu Windows.

Często zadawane pytania

P: W jaki sposób firma Microsoft może ułatwić mi naprawienie mojej aplikacji po stronie serwera?
O: Należy się upewnić, że dana aplikacja obsługuje fragmentację rekordów aplikacji SSL/TLS zgodnie z opisem w następujących dokumentach RFC:

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Odkryj Społeczność

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.

Zapytaj społeczność firmy Microsoft

Społeczność techniczna firmy Microsoft

Niejawny program testów systemu Windows

Microsoft 365 Insiders

Czy te informacje były pomocne?

Jaka jest jakość języka?
Co wpłynęło na Twoje wrażenia?
Jeśli naciśniesz pozycję „Wyślij”, Twoja opinia zostanie użyta do ulepszania produktów i usług firmy Microsoft. Twój administrator IT będzie mógł gromadzić te dane. Oświadczenie o ochronie prywatności.

Dziękujemy za opinię!

×