ВВЕДЕНИЕ
Корпорация Майкрософт выпустила бюллетень по безопасности MS13-066. Просмотреть его целиком можно на одном из указанных ниже веб-сайтов Майкрософт.
-
Версия для ИТ-специалистов:
http://technet.microsoft.com/ru-ru/security/bulletin/ms13-066
Справка и поддержка по этому обновлению для системы безопасности
Помощь по установке обновлений: Поддержка Центра обновления Майкрософт
Помощь по вопросам безопасности для ИТ-специалистов: TechNet — устранение неполадок и поддержка по вопросам безопасности
Защита компьютера с Windows от вирусов и вредоносных программ: центр обеспечения безопасности и защиты от вирусов
Локальная поддержка в вашей стране: международная поддержка
Дополнительная информация
Известные проблемы, связанные с этим обновлением для системы безопасности
-
После установки этого обновления для системы безопасности могут возникнуть следующие известные проблемы.
Проблема 1.
Если маркер единого входа (SSO) значительно увеличен, пользователь не может выполнять проверку подлинности на сервере.
Как правило, увеличение маркера SSO вызвано тем, что пользователь участвует во многих группах.
Проблема 2.
Допустим, вы развертываете службы федерации Active Directory (AD FS) в качестве поставщика удостоверений для поставщика федерации. Или, например, вы развертываете AD FS в качестве службы маркеров безопасности (STS), которая одновременно действует как поставщик удостоверений и поставщик федерации для приложения, поддерживающего маркеры. В случае сбоя в отношении доверия (например, если доверие проверяющей стороны отключено) при попытке проверки подлинности пользователь видит страницу входа вместо сообщения об ошибке.
Проблема 3.
Если отключить параметр SSO на сервере AD FS, запросы проверки подлинности, отправляемые на этот сервер, не выполняются.
Проблема 4.
Если пассивный запрос проверки подлинности на сервер AD FS требует новой проверки подлинности, то происходит сбой, а сервер продолжает запрашивать учетные данные.
Примечание. Приложения, поддерживающие утверждения, могут запрашивать новую проверку подлинности с помощью параметра wfresh=0 для механизмов WS-Fed. Вместо этого приложение может использовать параметр ForceAuthN=true для механизмов SAMLP.
Проблема 5.
В пользовательских развертываниях AD FS 2.0 изменения, добавленные после вызова SignIn в коде страницы FormsSignin.aspx.cs, не выполняются.
Чтобы устранить эти проблемы, установите исправление 2896713. Дополнительные сведения см. в указанной ниже статье базы знаний Майкрософт:2896713 Доступно обновление, устраняющее некоторые проблемы после установки обновления для системы безопасности 2843638 на сервере AD FS
-
Корпорации Майкрософт известно о проблемах с обновлениями для системы безопасности, которые влияют на AD FS 2.0 и описаны в статье MS13-066. Эти проблемы могут привести к остановке работы AD FS, если не был установлен выпущенный ранее накопительный пакет обновления (накопительный пакет обновления 3 для служб федерации Active Directory 2.0, или обновление 2790338).
Корпорация Майкрософт выпустила исправление 2843638 для решения этой проблемы 19 августа 2013 г. Пользователям, уже установившим исходные обновления, будет предложено установить обновление 2843638 при первой возможности. Обратите внимание на то, что после завершения установки в списке установленных обновлений пользователи увидят только обновление 2843638.
Чтобы установить это обновление для системы безопасности, необходимы дополнительные действия
Выполните их вручную после установки этого обновления для системы безопасности.
-
Создайте резервную копию настраиваемой страницы FormsSignIn.aspx в следующей папке:
%systemdrive%\inetpub\adfs\ls Примечания-
Убедитесь, что вы сохранили резервную копию в надежном месте.
-
Все резервные копии настроек ASP-файлов должны быть надежно сохранены. Рекомендуем вам использовать для этого управление версиями.
-
-
В папке для хранения резервных копий измените страницу FormsSignIn.aspx — добавьте "autocomplete=off" в текстовых полях Имя пользователя и Пароль. Для этого выполните указанные ниже действия.
-
Измените запись
<asp:TextBox runat="server" ID="UsernameTextBox">
на следующую:
<asp:TextBox runat="server" ID="UsernameTextBox" autocomplete="off"> -
Измените запись
<asp:TextBox runat="server" ID="PasswordTextBox" TextMode="Password">
на следующую:
<asp:TextBox runat="server" ID="PasswordTextBox" TextMode="Password" autocomplete="off">
-
-
Скопируйте измененную страницу FormsSignIn.aspx в следующую папку:
%systemdrive%\inetpub\adfs\ls
СВЕДЕНИЯ О ФАЙЛАХ
Английская версия (США) данного обновления программного обеспечения содержит файлы с атрибутами, указанными в приведенных ниже таблицах. Дата и время для файлов указаны в формате UTC. Дата и время для файлов на локальном компьютере отображаются с учетом часового пояса и перехода на летнее время. При выполнении определенных операций с файлами даты и время могут изменяться.
-
Файлы, относящиеся к определенному продукту, этапу разработки (SPn) или направлению поддержки (LDR, GDR), можно определить по номерам версий, указанным в приведенной ниже таблице.
Версия
Продукт
Этап разработки
Направление поддержки
6.0.6002.18xxx
Windows Server 2008 с пакетом обновления 2 (SP2)
SP2
GDR
6.0.6002.23xxx
Windows Server 2008 с пакетом обновления 2 (SP2)
SP2
LDR
-
Выпуски обновлений для общего распространения (GDR) содержат только общедоступные исправления, которые предназначены для устранения часто встречающихся критических проблем. Выпуски обновлений LDR, помимо общедоступных, содержат дополнительные исправления.
Примечание. Установленные MANIFEST- и MUM-файлы не указаны.
Для всех поддерживаемых 32-разрядных (x86) версий Windows Server 2008
|
File name |
File version |
File size |
Date |
Time |
Platform |
|---|---|---|---|---|---|
|
Microsoft.identityserver.dll |
6.1.7600.17338 |
778,240 |
01-Jul-2013 |
22:59 |
x86 |
|
Microsoft.identityserver.dll |
6.1.7601.22371 |
786,432 |
01-Jul-2013 |
23:02 |
x86 |
Для всех поддерживаемых 64-разрядных (x64) версий Windows Server 2008
|
File name |
File version |
File size |
Date |
Time |
Platform |
|---|---|---|---|---|---|
|
Microsoft.identityserver.dll |
6.2.9200.16651 |
871,936 |
28-Jun-2013 |
00:30 |
x86 |
|
Microsoft.identityserver.dll |
6.2.9200.20760 |
871,936 |
28-Jun-2013 |
08:50 |
x86 |
-
Файлы, относящиеся к определенному продукту, этапу разработки (RTM, SPn) или направлению поддержки (LDR, GDR), можно определить по номерам версий, указанным в приведенной ниже таблице.
Версия
Продукт
Этап разработки
Направление поддержки
6.1.760 1.18xxx
Windows Server 2008 R2
SP1
GDR
6.1.760 1.22xxx
Windows Server 2008 R2
SP1
LDR
-
Выпуски обновлений для общего распространения (GDR) содержат только общедоступные исправления, которые предназначены для устранения часто встречающихся критических проблем. Выпуски обновлений LDR, помимо общедоступных, содержат дополнительные исправления.
Примечание. Установленные MANIFEST- и MUM-файлы не указаны.
Для всех поддерживаемых 64-разрядных (x64) версий Windows Server 2008 R2
|
File name |
File version |
File size |
Date |
Time |
Platform |
|---|---|---|---|---|---|
|
Microsoft.identityserver.dll |
6.1.7601.18195 |
778,240 |
28-Jun-2013 |
13:11 |
x86 |
|
Microsoft.identityserver.dll |
6.1.7601.22370 |
786,432 |
28-Jun-2013 |
05:20 |
x86 |
-
Файлы, относящиеся к определенному продукту, этапу разработки (RTM, SPn) или направлению поддержки (LDR, GDR), можно определить по номерам версий, указанным в приведенной ниже таблице.
Версия
Продукт
Этап разработки
Направление поддержки
6.2.920 0.16xxx
Windows Server 2012
RTM
GDR
6.2.920 0.20xxx
Windows Server 2012
RTM
LDR
-
Выпуски обновлений для общего распространения (GDR) содержат только общедоступные исправления, которые предназначены для устранения часто встречающихся критических проблем. Выпуски обновлений LDR, помимо общедоступных, содержат дополнительные исправления.
Примечание. Установленные MANIFEST- и MUM-файлы не указаны.
Для всех поддерживаемых 64-разрядных (x64) версий Windows Server 2012
|
File name |
File version |
File size |
Date |
Time |
Platform |
|---|---|---|---|---|---|
|
Microsoft.identityserver.dll |
6.2.9200.16651 |
871,936 |
28-Jun-2013 |
00:30 |
x86 |
|
Microsoft.identityserver.dll |
6.2.9200.20760 |
871,936 |
28-Jun-2013 |
08:50 |
x86 |
