Доступно автоматическое обновление отозванных сертификатов для систем Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2

Применимо к: Windows Server 2008 DatacenterWindows Server 2008 Datacenter without Hyper-VWindows Server 2008 Enterprise

ВВЕДЕНИЕ


Доступно автоматическое обновление отозванных сертификатов для систем Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2 Это обновление расширяет существующую технологию автоматического обновления корневых сертификатов в Windows Vista и Windows 7, позволяющую явно помечать скомпрометированные или ненадежные сертификаты как недоверенные.

Список доверия сертификатов — это заданный список элементов, подписанных надежной организацией. Все элементы в списке проверяются и утверждаются надежной организацией. Это обновление расширяет существующую функциональность, добавляя известные недоверенные сертификаты в хранилище недоверенных сертификатов, используя список доверия сертификатов с их открытыми ключами или хэшами сигнатуры. После установки этого обновления пользователи могут быстро автоматически обновлять недоверенные сертификаты.

Пользователи автономных систем не смогут воспользоваться этим улучшением. Им по-прежнему потребуется устанавливать обновления корневых сертификатов при их выходе. См. раздел "Дополнительные сведения".



В рамках этого обновления изменены URL-адреса Центра обновления Windows для загрузки списков доверенных и недоверенных сертификатов. Это может вызвать проблемы на предприятиях, зафиксировавших эти адреса в исключениях брандмауэра.

К ним относятся:





Дополнительная информация


Пользователи автономных систем могут устанавливать это обновление, однако они не смогут использовать его преимущества. Фактически, установка этого обновления может привести к сбоям запусков служб сразу же после перезапуска сервера. В службах, выполняющих задачи подтверждения сертификатов, во время запуска может возникать увеличенная задержка при попытке получения по сети надежных и ненадежных списков доверия сертификатов из Центра обновления Windows.

Если ваши компьютеры работают под управлением Windows Vista, Windows 7, Windows Server 2008 или Windows Server 2008 R2 и на них используется средство автоматического обновления отозванных сертификатов (если установлено обновление из статьи базы знаний 2677070 или KB 2813430), дочитайте этот раздел и просмотрите статью базы знаний Майкрософт2813430 для получения подробных сведений. Пользователям не нужно ничего делать — защита этих компьютеров выполняется автоматически.

Если система не имеет доступа к Центру обновления Windows, так как она не подключена к Интернету, или правила брандмауэра блокируют Центр обновления Windows, то время ожидания получения по сети истечет, прежде чем служба сможет продолжить свою процедуру запуска. В некоторых случаях это время ожидания получения по сети может превышать время ожидания запуска службы в 30 секунд. Если после 30 секунд служба не может сообщить, что запуск завершен, то диспетчер служб (SCM) останавливает эту службу.

Если не удается избежать этого обновления в автономных системах, то можно отключить получение по сети надежных и ненадежных списков доверия сертификатов. Для этого отключите автоматическое обновление корневых сертификатов с помощью параметров групповой политики. Чтобы отключить автоматическое обновление корневых сертификатов с помощью параметров групповой политики, выполните следующие действия.
  1. Создайте групповую политику или измените существующую в редакторе локальных групповых политик.
  2. В редакторе локальных групповых политик дважды щелкните элемент Политики в узле Конфигурация компьютера.
  3. Последовательно дважды щелкните элементы Конфигурация Windows, Параметры безопасности и Политики открытого ключа.
  4. Дважды щелкните в области сведений элемент Параметры подтверждения пути сертификата.
  5. Перейдите на вкладку Получение по сети, установите флажок Определить следующие параметры политики и снимите флажок Автоматически обновлять сертификаты в программе корневых сертификатов Microsoft (рекомендуется).
  6. Нажмите кнопку ОК и закройте редактор локальных групповых политик.
После внесения данного изменения автоматическое обновление корневых сертификатов будет отключено в тех системах, к которым применяется эта политика. Рекомендуется применять эту политику только к тем системам, которые не имеют доступа к Интернету или которым правила брандмауэра запрещают доступ к Центру обновления Windows.

Если автоматическое обновление корневых сертификатов отключено, то администраторы должны вручную управлять корневыми сертификатами, которым доверяет Windows. Доверенные корневые сертификаты можно распространять на компьютеры под управлением Windows с помощью групповой политики. Дополнительные сведения об управлении корневыми сертификатами, которым доверяет Windows, см. на следующем веб-сайте Майкрософт:

Дополнительные сведения о проверке доверия сертификатов в Windows см. на следующей веб-странице Майкрософт:Дополнительные сведения о программе корневых сертификатов в Windows см. в следующей статье базы знаний Майкрософт:
931125
Участники программы корневых сертификатов Windows

Сведения о замещении обновления

Это обновление пришло на смену следующему обновлению:

2603469 Резервное копирование состояния системы не содержит закрытых ключей центра сертификации в Windows Server 2008 или Windows Server 2008 R2

Сведения о скачивании


Указанные ниже файлы можно скачать с веб-сайта Центра загрузки Майкрософт.

Для всех поддерживаемых 32-разрядных (x86) версий Windows Vista

Загрузка Загрузить пакет Windows6.0-KB2677070-x86.msu.

Для всех поддерживаемых 64-разрядных (x64) версий Windows Vista

Загрузка Загрузить пакет Windows6.0-KB2677070-x64.msu.

Для всех поддерживаемых 32-разрядных (x86) версий Windows Server 2008

Загрузка Загрузить пакет Windows6.0-KB2677070-x86.msu.

Для всех поддерживаемых 64-разрядных (x64) версий Windows Server 2008

Загрузка Загрузить пакет Windows6.0-KB2677070-x64.

Для всех поддерживаемых версий Windows Server 2008 с архитектурой IA-64

Загрузка Загрузить пакет Windows6.0-KB2677070-ia64.msu.

Для всех поддерживаемых 32-разрядных (х86) версий Windows 7

Загрузка Загрузить пакет Windows6.1-KB2677070-x86.msu.

Для всех поддерживаемых 64-разрядных (x64) версий Windows 7

Загрузка Загрузить пакет Windows6.1-KB2677070-x64.msu.

Для всех поддерживаемых 64-разрядных (x64) версий Windows Server 2008 R2

Загрузка Загрузить пакет Windows6.1-KB2677070-x64.msu.

Для всех поддерживаемых 64-разрядных (IA-64) версий Windows Server 2008 R2

Загрузка Загрузить пакет Windows6.1-KB2677070-ia64.msu.

Дата выпуска: 12 июня 2012 г.

Дополнительные сведения о загрузке файлов поддержки корпорации Майкрософт см. в следующей статье базы знаний Майкрософт:
119591 Как загрузить файлы поддержки Microsoft из Интернета
Корпорация Майкрософт проверила этот файл на наличие вирусов. Корпорация Майкрософт использовала последнее на момент публикации файла программное обеспечение для обнаружения вирусов. Файл хранится на защищенных серверах, которые предотвращают его несанкционированное изменение.

СВЕДЕНИЯ О ФАЙЛАХ


Английская версия (США) данного обновления программного обеспечения устанавливает файлы, указанные в приведенных ниже таблицах. Дата и время для файлов указаны в формате UTC. Дата и время для файлов на локальном компьютере отображаются с учетом часового пояса и перехода на летнее время. Кроме того, при выполнении определенных операций с файлами даты и время могут изменяться.

Сведения о файлах для Windows Vista и Windows Server 2008

  • Файлы, относящиеся к определенному продукту, этапу разработки (SPn) и направлению поддержки (LDR, GDR), можно определить по номерам версий, указанным в приведенной ниже таблице.

    ВерсияПродуктЭтап разработкиНаправление поддержки
    6.0.6002.18xxxWindows Vista с пакетом обновления 2 (SP2) и Windows Server 2008 с пакетом обновления 2 (SP2)SP2GDR
    6.0.6002.22xxxWindows Vista с пакетом обновления 2 (SP2) и Windows Server 2008 с пакетом обновления 2 (SP2)SP2LDR
  • В направление поддержки GDR входят только общедоступные исправления, которые предназначены для устранения часто встречающихся критических проблем. В направление поддержки LDR, помимо общедоступных, входят дополнительные исправления.

Сведения о файлах для Windows 7 и Windows Server 2008 R2

  • Файлы, относящиеся к определенному продукту, этапу разработки (RTM, SPn) или направлению поддержки (LDR, GDR), можно определить по номерам версий, указанным в приведенной ниже таблице.
    ВерсияПродуктЭтап разработкиНаправление поддержки
    6.1.7600.16xxxWindows 7 и Windows Server 2008 R2RTMGDR
    6.1.7600.20xxxWindows 7 и Windows Server 2008 R2RTMLDR
    6.1.7601.17xxxWindows 7 и Windows Server 2008 R2SP1GDR
    6.1.7601.21xxxWindows 7 и Windows Server 2008 R2SP1LDR
  • В направление поддержки GDR входят только общедоступные исправления, которые предназначены для устранения часто встречающихся критических проблем. В направление поддержки LDR, помимо общедоступных, входят дополнительные исправления.