ВВЕДЕНИЕ
Корпорация Майкрософт выпустила бюллетень по безопасности MS12-006. Чтобы просмотреть полный бюллетень по безопасности, перейдите на один из следующих веб-сайтов Майкрософт:
Домашним пользователям.
http://www.microsoft.com/security/pc-security/bulletins/201201.aspx Пропустите сведения. Скачайте обновления для домашнего компьютера или ноутбука с веб-сайта Центра обновления Майкрософт:
ИТ-специалисты:
Получение справки и поддержки для этого обновления для системы безопасности
Справка по установке обновлений:
Поддержка Центра обновления Майкрософт
Решения по обеспечению безопасности для ИТ-специалистов:
Устранение неполадок и поддержка безопасности TechNet
Защита компьютера под управлением Windows от вирусов и вредоносных программ:
Центр решения и безопасности для вирусов
Локальная поддержка в соответствии с вашей страной:
Международная поддержка
Помощь в решении проблемы
Доступны два решения fix it.
- Исправление решения для протокола TLS 1.1 в Интернете Обозреватель. Это решение включает протокол TLS 1.1, на который не влияет эта уязвимость, в Windows Internet Обозреватель. Большинство типичных пользователей должны установить это решение Исправление.
- Исправление решения для TLS 1.1 на серверах под управлением Windows. Это решение включает ПРОТОКОЛ TLS 1.1, на который не влияет уязвимость.
Решения Fix it, описанные в этом разделе, не предназначены для замены какого-либо обновления для системы безопасности. Рекомендуется всегда устанавливать последние обновления для системы безопасности. Однако мы предлагаем эти решения исправления в качестве обходного решения для некоторых сценариев.
Дополнительные сведения об обходных решениях см. в бюллетене по безопасности MS12-006:
http://technet.microsoft.com/security/bulletin/ms12-006 Этот бюллетень содержит дополнительные сведения о проблеме и включает в себя следующее:
- Сценарии, в которых можно применить или отключить обходной путь
- Смягчающие факторы
- Временные решения
- Вопросы и ответы
В частности, чтобы просмотреть эти сведения, найдите раздел Сведения об уязвимостях, а затем разверните пункт Обходные пути в разделе Уязвимость протоколов SSL и TLS — CVE-2011-3389.
Исправление решения для TLS 1.1 в Интернете Обозреватель
Чтобы включить или отключить это решение , нажмите кнопку или ссылку Исправить под заголовком Включить или Отключить . Нажмите кнопку Выполнить в диалоговом окне Скачивание файла , а затем выполните действия, описанные в мастере исправления.
| Enable | Отключить |
|---|
Заметки
- Эти мастера могут быть только на английском языке. Однако автоматические исправления также работают и для других языковых версий Windows.
- Если вы не используете компьютер, на который возникла проблема, вы можете сохранить автоматическое исправление на флэш-накопителе или компакт-диске, а затем запустить его на компьютере, где возникла проблема.
Исправление решения для TLS 1.1 на серверах под управлением Windows
Чтобы включить или отключить это решение , нажмите кнопку или ссылку Исправить под заголовком Включить или Отключить . Нажмите кнопку Выполнить в диалоговом окне Скачивание файла , а затем выполните действия, описанные в мастере исправления.
| Enable | Отключить |
|---|
Заметки
- Эти мастера могут быть только на английском языке. Однако автоматические исправления также работают и для других языковых версий Windows.
- Если вы не используете компьютер, на который возникла проблема, вы можете сохранить автоматическое исправление на флэш-накопителе или компакт-диске, а затем запустить его на компьютере, где возникла проблема.
Известные проблемы с этим обновлением для системы безопасности
После установки этого обновления для системы безопасности может возникнуть сбой проверки подлинности или потеря подключения к некоторым HTTPS-серверам. Эта проблема возникает из-за того, что это обновление для системы безопасности изменяет способ отправки записей на HTTPS-серверы.
Чтобы временно отключить или повторно включить это обновление для системы безопасности, нажмите кнопку или ссылку Исправить его в разделе Отключить обновление для системы безопасности или Повторно включить обновление для системы безопасности . Нажмите кнопку Выполнить в диалоговом окне Скачивание файла , а затем выполните действия, описанные в мастере исправления.
| Отключение обновления для системы безопасности | Повторное включение обновления для системы безопасности |
|---|
Заметки
- Эти мастера могут быть только на английском языке. Однако автоматические исправления также работают и для других языковых версий Windows.
- Если вы не используете компьютер, на который возникла проблема, вы можете сохранить автоматическое исправление на флэш-накопителе или компакт-диске, а затем запустить его на компьютере, где возникла проблема.
В следующей таблице показаны значения, которые применяются этими решениями Fix it к записи DWORD реестра SendExtraRecord:
| Заголовок | Значение, примененное к записи SendExtraRecord |
|---|---|
| Отключение обновления для системы безопасности | 2 |
| Повторное включение обновления для системы безопасности | 0 |
Примечание. Параметр SendExtraRecord будет включен в будущие выпуски Windows.
Известные проблемы и дополнительные сведения об этом обновлении для системы безопасности
В следующих статьях содержатся дополнительные сведения об этом обновлении для системы безопасности, связанные с отдельными версиями продукта. Статьи могут содержать известные сведения о проблеме. В этом случае известная проблема указана под каждой ссылкой на статью:
- 2585542 MS12-006: описание обновления для системы безопасности для Webio, Winhttp и schannel в Windows: 10 января 2012 г.
- 2638806 MS12-006: описание обновления для системы безопасности для Winhttp в выпуске Windows Server 2003 и Windows XP Professional x64 Edition: 10 января 2012 г.
Данные реестра
Не рекомендуется использовать следующую процедуру для отключения этого обновления для системы безопасности. Однако мы предоставляем эту процедуру для сценариев, в которых вы можете использовать приложения, несовместимые с этим обновлением для системы безопасности, что позволяет разделить записи SSL для всех приложений.
Важно! В этом разделе, методе или задаче содержатся инструкции по изменению реестра. Однако ошибки при изменении реестра могут привести к серьезным проблемам. Поэтому будьте внимательны, выполняя описанные действия. В качестве дополнительной меры предосторожности перед внесением изменений создайте резервную копию реестра. Тогда в случае возникновения проблемы вы сможете восстановить реестр. Дополнительные сведения о том, как создать резервную копию и восстановить реестр, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:
322756 Резервное копирование и восстановление реестра в Windows
По умолчанию это обновление для системы безопасности задает режим согласия на уровне канала из-за проблем с совместимостью приложений. Чтобы отключить это обновление для системы безопасности для всех приложений, необходимо добавить значение DWORD с именем SendExtraRecord со значением 2 в следующий подраздел реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNELЧтобы добавить эту запись реестра schannel, выполните следующие действия:
Нажмите кнопку Пуск и выберите пункт Выполнить. Введите команду regedit в поле Открыть и нажмите кнопку ОК.
Найдите и щелкните следующий подраздел реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
В меню Правка выберите пункт Создать, а затем — Параметр DWORD.
Введите SendExtraRecord в поле имя значения DWORD и нажмите клавишу ВВОД.
Щелкните правой кнопкой мыши SendExtraRecord и выберите команду Изменить.
В поле Значение введите 2, чтобы отключить запись разделения в schannel, а затем нажмите кнопку ОК.
Закройте редактор реестра.
Эта запись реестра может содержать три значения, и каждое из них предоставляет различные режимы работы:
| Значение reg-key | Описание |
|---|---|
| 0 | По умолчанию schannel включен в режим Optin. Это означает, что это обновление для системы безопасности будет работать для всех вызывающих лиц, отправляющих флаг безопасности в schannel. Запись реестра SendExtraRecord не будет создана пакетом безопасности. Таким образом, отсутствие записи реестра schannel означает, что система работает в этом режиме. Если кто-то создаст этот раздел реестра и присвоить 0, schannel снова будет выполняться в этом режиме. Этот параметр действует так же, как и вообще не создавать эту запись реестра. Приложения, отправляющие флаг Secure в schannel во время инициализации сеанса, будут использовать только фиксированный безопасный путь кода. Для других приложений поведение канала не изменится. Это обновление для системы безопасности также исправляет уровни приложений, участвующие в просмотре веб-страниц, используя интернет-Обозреватель для отправки флага "Безопасность", чтобы защитить сценарии использования браузера. Примечание. В Windows Server 2003 необходимо установить обновление для системы безопасности 2638806 для защиты клиентских приложений HTTP, использующих API WinHTTP. Для получения дополнительных сведений щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт: 2638806 MS12-006: описание обновления для системы безопасности для Winhttp в выпуске Windows Server 2003 и Windows XP Professional x64 Edition: 10 января 2012 г. |
| 1 | Если задать значение 1, значит "включено для всех". Это означает, что вызывающим абонентам не нужно отправлять флаг, и schannel разделит все записи SSL. Если задано это значение, приложения не должны вносить какие-либо изменения. Клиент, который очень обеспокоен безопасностью системы, может помочь сделать свою систему более безопасной, включив этот раздел реестра. |
| 2 | Если задать значение 2, значит "отключено для всех". Это означает, что schannel не будет разделять записи для любого вызова шифрования, который выполняет приложение. В этом режиме не учитывается флаг безопасности, отправляемый приложением. |
На основе внутреннего тестирования мы обнаружили, что невозможно задать для реестра значение 1, так как это может нарушить слишком много сценариев на предприятии. Поэтому мы не рекомендуем пользователям использовать его.
Известные проблемы с включением записи реестра SendExtraRecord
- Если параметру реестра SendExtraRecord присвоено значение 1, при каждом вызове выполняется разделение записей для шифрования данных в schannel. Это происходит независимо от того, отправил ли вызывающий объект флаг Secure во время инициализации сеанса.
- Многие приложения, использующие schannel, пишутся таким образом, что получатель предполагает, что данные приложения будут упакованы в один пакет. Это происходит, даже если приложение вызывает schannel для расшифровки. Приложения игнорируют флаг, заданный schannel. Флаг указывает приложению, что получатель может расшифровать и забрать больше данных. Этот метод не соответствует описанию метода, предписанного MSDN для использования schannel. Так как обновление для системы безопасности применяет разделение записей, это нарушает работу таких приложений.
- Неработающие приложения включают продукты Майкрософт и встроенные компоненты. Ниже приведены примеры сценариев, которые могут быть нарушены, если для параметра реестра SendExtraRecord задано значение 1.
-
- Все продукты SQL и приложения, созданные на основе SQL.
- Серверы терминалов с включенной проверкой подлинности на уровне сети (NLA). По умолчанию NLA включена в Windows Vista и более поздних версиях Windows.
- Некоторые сценарии службы удаленного доступа маршрутизации (RRAS).
Установка значения реестра SendExtraRecord в значение 1 обеспечивает безопасное разделение записей для всех приложений, использующих Windows TLS/SSL. Однако этот параметр, скорее всего, будет иметь проблемы с совместимостью приложений. Поэтому мы рекомендуем клиентам настраивать TLS 1.1 и TLS 1.2 вместо этого параметра реестра. TLS 1.1 и TLS 1.2 не подвержены этой проблеме.
Если пользователь намерен использовать этот параметр реестра, рекомендуется тщательно протестировать тестирование совместимости приложений перед его реализацией. Некоторые распространенные продукты, на которые, как известно, влияет этот параметр, включают продукты Microsoft SQL, Терминал Windows Server и Windows Remote Access Server.
Вопросы и ответы
Вопрос. Что корпорация Майкрософт может сделать, чтобы помочь мне исправить серверное приложение?
О. Убедитесь, что приложение может обрабатывать фрагментацию записей приложения SSL/TLS, как описано в следующих RFC: