แนะ นำ
Microsoft ได้เผยแพร่บูเลทีนการรักษาความปลอดภัย MS12-006 เมื่อต้องการดูกระดานข่าวความปลอดภัยทั้งหมด ให้ไปที่เว็บไซต์ใดเว็บไซต์หนึ่งต่อไปนี้ของ Microsoft:
ผู้ใช้ภายในบ้าน:
http://www.microsoft.com/security/pc-security/bulletins/201201.aspx ข้ามรายละเอียด: ดาวน์โหลดการอัปเดตสําหรับคอมพิวเตอร์ที่บ้านหรือแล็ปท็อปของคุณจากเว็บไซต์ Microsoft Update ตอนนี้:
ผู้เชี่ยวชาญด้านไอที:
วิธีขอรับความช่วยเหลือและการสนับสนุนสําหรับการอัปเดตความปลอดภัยนี้
ช่วยติดตั้งการอัปเดต:
การสนับสนุนสําหรับ Microsoft Update
โซลูชันด้านความปลอดภัยสําหรับผู้เชี่ยวชาญด้านไอที:
การแก้ไขปัญหาและการสนับสนุนด้านความปลอดภัยของ TechNet
ช่วยป้องกันคอมพิวเตอร์ของคุณที่ใช้งาน Windows จากไวรัสและมัลแวร์:
โซลูชันไวรัสและศูนย์การรักษาความปลอดภัย
การสนับสนุนในท้องถิ่นตามประเทศของคุณ:
การสนับสนุนระหว่างประเทศ
แก้ไขให้ฉัน
มีโซลูชัน Fix it สองรายการ
- แก้ไขโซลูชันสําหรับ Transport Layer Security (TLS) 1.1 ใน Internet Explorer: โซลูชันนี้เปิดใช้งาน TLS 1.1 ซึ่งไม่ได้รับผลกระทบจากช่องโหว่นี้ใน Windows Internet Explorer ผู้ใช้ทั่วไปส่วนใหญ่ควรติดตั้งโซลูชัน Fix it นี้
- แก้ไขโซลูชันสําหรับ TLS 1.1 บนเซิร์ฟเวอร์ที่ใช้ Windows: โซลูชันนี้เปิดใช้งาน TLS 1.1 ซึ่งไม่ได้รับผลกระทบจากช่องโหว่
โซลูชัน Fix it ที่อธิบายไว้ในส่วนนี้ไม่ได้มีไว้เพื่อเป็นการแทนที่การอัปเดตความปลอดภัยใดๆ เราขอแนะนําให้คุณติดตั้งการอัปเดตความปลอดภัยล่าสุดเสมอ อย่างไรก็ตาม เราเสนอโซลูชัน Fix it เหล่านี้เป็นตัวเลือกการแก้ไขปัญหาชั่วคราวสําหรับบางสถานการณ์
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการแก้ปัญหาชั่วคราว ให้ดูที่บูเลทีนการรักษาความปลอดภัย MS12-006:
http://technet.microsoft.com/security/bulletin/ms12-006 กระดานข่าวให้ข้อมูลเพิ่มเติมเกี่ยวกับปัญหาและรวมถึงสิ่งต่อไปนี้:
- สถานการณ์สมมติที่คุณอาจนําไปใช้หรือปิดใช้งานการแก้ไขปัญหาชั่วคราว
- ลดปัจจัย
- แก้ไข ปัญหา
- คำถามที่ถามบ่อย
โดยเฉพาะเมื่อต้องการดูข้อมูลนี้ ให้ค้นหาส่วน ข้อมูลช่องโหว่ แล้วขยายย่อหน้า การแก้ไขปัญหาภายใต้ช่องโหว่โพรโทคอล SSL และ TLS - CVE-2011-3389
แก้ไขปัญหาสําหรับ TLS 1.1 บน Internet Explorer
เมื่อต้องการเปิดใช้งานหรือปิดใช้งานโซลูชัน Fix it นี้ ให้คลิกปุ่มหรือลิงก์ แก้ไข ภายใต้หัวเรื่อง เปิดใช้งาน หรือ ปิดใช้งาน คลิก เรียกใช้ ในกล่องโต้ตอบ ดาวน์โหลดไฟล์ แล้วทําตามขั้นตอนในตัวช่วยสร้างการแก้ไข
| เปิดใช้งาน | Disable |
|---|
บันทึกย่อ
- ตัวช่วยสร้างเหล่านี้อาจเป็นภาษาอังกฤษเท่านั้น อย่างไรก็ตาม การแก้ไขอัตโนมัติยังใช้ได้กับ Windows รุ่นภาษาอื่นด้วย
- ถ้าคุณไม่ได้ใช้งานคอมพิวเตอร์ที่มีปัญหา คุณสามารถบันทึกการแก้ไขอัตโนมัติลงในแฟลชไดรฟ์หรือซีดี แล้วเรียกใช้การแก้ไขปัญหาบนคอมพิวเตอร์ที่มีปัญหาได้
แก้ไขโซลูชันสําหรับ TLS 1.1 บนเซิร์ฟเวอร์ที่ใช้ Windows
เมื่อต้องการเปิดใช้งานหรือปิดใช้งานโซลูชัน Fix it นี้ ให้คลิกปุ่มหรือลิงก์ แก้ไข ภายใต้หัวเรื่อง เปิดใช้งาน หรือ ปิดใช้งาน คลิก เรียกใช้ ในกล่องโต้ตอบ ดาวน์โหลดไฟล์ แล้วทําตามขั้นตอนในตัวช่วยสร้างการแก้ไข
| เปิดใช้งาน | Disable |
|---|
บันทึกย่อ
- ตัวช่วยสร้างเหล่านี้อาจเป็นภาษาอังกฤษเท่านั้น อย่างไรก็ตาม การแก้ไขอัตโนมัติยังใช้ได้กับ Windows รุ่นภาษาอื่นด้วย
- ถ้าคุณไม่ได้ใช้งานคอมพิวเตอร์ที่มีปัญหา คุณสามารถบันทึกการแก้ไขอัตโนมัติลงในแฟลชไดรฟ์หรือซีดี แล้วเรียกใช้การแก้ไขปัญหาบนคอมพิวเตอร์ที่มีปัญหาได้
ปัญหาที่ทราบเกี่ยวกับการอัปเดตความปลอดภัยนี้
หลังจากคุณติดตั้งการอัปเดตความปลอดภัยนี้ คุณอาจพบความล้มเหลวในการรับรองความถูกต้องหรือสูญเสียการเชื่อมต่อกับเซิร์ฟเวอร์ HTTPS บางเซิร์ฟเวอร์ ปัญหานี้เกิดขึ้นเนื่องจากการอัปเดตความปลอดภัยนี้เปลี่ยนแปลงวิธีการที่บันทึกถูกส่งไปยังเซิร์ฟเวอร์ HTTPS
เมื่อต้องการปิดใช้งานหรือเปิดใช้งานการอัปเดตความปลอดภัยนี้ใหม่ชั่วคราว ให้คลิกปุ่มหรือลิงก์ แก้ไขปัญหา ภายใต้หัวข้อ ปิดใช้งานการอัปเดตความปลอดภัย หรือเปิดใช้งานการอัปเดตความปลอดภัยอีกครั้ง คลิก เรียกใช้ ในกล่องโต้ตอบ ดาวน์โหลดไฟล์ แล้วทําตามขั้นตอนในตัวช่วยสร้าง แก้ไขปัญหา
| ปิดใช้งานการอัปเดตความปลอดภัย | เปิดใช้งานการอัปเดตความปลอดภัยอีกครั้ง |
|---|
บันทึกย่อ
- ตัวช่วยสร้างเหล่านี้อาจเป็นภาษาอังกฤษเท่านั้น อย่างไรก็ตาม การแก้ไขอัตโนมัติยังใช้ได้กับ Windows รุ่นภาษาอื่นด้วย
- ถ้าคุณไม่ได้ใช้งานคอมพิวเตอร์ที่มีปัญหา คุณสามารถบันทึกการแก้ไขอัตโนมัติลงในแฟลชไดรฟ์หรือซีดี แล้วเรียกใช้การแก้ไขปัญหาบนคอมพิวเตอร์ที่มีปัญหาได้
ตารางต่อไปนี้แสดงค่าที่นําไปใช้โดยโซลูชัน Fix it เหล่านี้สําหรับรายการ DWORD รีจิสทรี SendExtraRecord:
| หัว เรื่อง | ค่าที่นําไปใช้กับรายการ SendExtraRecord |
|---|---|
| ปิดใช้งานการอัปเดตความปลอดภัย | 2 |
| เปิดใช้งานการอัปเดตความปลอดภัยอีกครั้ง | 0 |
หมายเหตุ การตั้งค่า SendExtraRecord จะรวมอยู่ใน Windows รุ่นในอนาคต
ปัญหาที่ทราบและข้อมูลเพิ่มเติมเกี่ยวกับการอัปเดตความปลอดภัยนี้
บทความต่อไปนี้มีข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรมปรับปรุงการรักษาความปลอดภัยนี้เนื่องจากเกี่ยวข้องกับผลิตภัณฑ์แต่ละรุ่น บทความอาจมีข้อมูลปัญหาที่ทราบแล้ว ถ้าเป็นกรณีนี้ ปัญหาที่ทราบแล้วจะแสดงอยู่ด้านล่างลิงก์แต่ละบทความ:
- 2585542 MS12-006: คําอธิบายของการอัปเดตความปลอดภัยสําหรับ Webio, Winhttp และ schannel ใน Windows: 10 มกราคม 2012
- 2638806 MS12-006: คําอธิบายของโปรแกรมปรับปรุงความปลอดภัยสําหรับ Winhttp ใน Windows Server 2003 และ Windows XP Professional x64 Edition: 10 มกราคม 2555
ข้อมูลรีจิสทรี
ไม่แนะนํา เราไม่แนะนําให้คุณใช้ขั้นตอนต่อไปนี้เพื่อปิดใช้งานการอัปเดตความปลอดภัยนี้ อย่างไรก็ตาม เรามีกระบวนการนี้สําหรับสถานการณ์ที่คุณอาจกําลังใช้แอปพลิเคชันที่เข้ากันไม่ได้กับการอัปเดตความปลอดภัยนี้ ซึ่งเปิดใช้งานระเบียน SSL แยกสําหรับแอปพลิเคชันทั้งหมด
สิ่งสําคัญ ส่วน วิธีการ หรืองานนี้ประกอบด้วยขั้นตอนที่บอกให้คุณทราบถึงวิธีการปรับเปลี่ยนรีจิสทรี แต่ปัญหาร้ายแรงอาจเกิดขึ้นถ้าคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง ดังนั้นโปรดตรวจสอบให้แน่ใจว่าคุณทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการป้องกันที่เพิ่มขึ้น สำรองข้อมูลรีจิสทรีก่อนที่คุณจะปรับเปลี่ยน จากนั้นคุณสามารถคืนค่ารีจิสทรีถ้ามีปัญหาเกิดขึ้น สําหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสํารองข้อมูลและคืนค่ารีจิสทรี
322756 วิธีการสํารองข้อมูลและคืนค่ารีจิสทรีใน Windows
ตามค่าเริ่มต้น การอัปเดตความปลอดภัยนี้จะตั้งค่าโหมดการเลือกรับที่ระดับช่องสัญญาณ เนื่องจากปัญหาความเข้ากันได้ของแอปพลิเคชัน เมื่อต้องการปิดใช้งานการอัปเดตความปลอดภัยนี้สําหรับแอปพลิเคชันทั้งหมดทั้งระบบ คุณต้องเพิ่มค่า DWORD ที่ชื่อ SendExtraRecord และที่มีค่า 2 ไปยังคีย์ย่อยของรีจิสทรีต่อไปนี้:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNELเมื่อต้องการเพิ่มรายการรีจิสทรีรายการรีจิสทรี Schannel นี้ ให้ทําตามขั้นตอนต่อไปนี้:
คลิก เริ่มต้น คลิก เรียกใช้ พิมพ์ regedit ในกล่อง เปิด แล้วคลิก ตกลง
ระบุตำแหน่งแล้วคลิกซับคีย์ต่อไปนี้ในรีจิสทรี:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
บนเมนู แก้ไข ให้ชี้ไปที่ ใหม่ แล้วคลิก ค่า DWORD
พิมพ์ SendExtraRecord สําหรับชื่อของค่า DWORD แล้วกด Enter
คลิกขวาที่ SendExtraRecord แล้วคลิก ปรับเปลี่ยน
ในกล่อง ข้อมูลค่า ให้พิมพ์ 2 เพื่อปิดใช้งานระเบียนแยกในช่อง ข้อมูล แล้วคลิก ตกลง
ออกจาก Registry Editor
รายการรีจิสทรีนี้สามารถมีค่าได้สามค่า และแต่ละค่าจะมีโหมดการทํางานที่แตกต่างกัน:
| ค่าคีย์ Reg | คำอธิบาย |
|---|---|
| 0 | ตามค่าเริ่มต้น schannel จะรวมอยู่ใน "โหมดการเลือก" ซึ่งหมายความว่าการอัปเดตความปลอดภัยนี้จะทํางานสําหรับผู้โทรทั้งหมดที่ส่งค่าสถานะ Secure ไปยังช่องสัญญาณ รายการรีจิสทรีช่องชื่อ "SendExtraRecord" จะไม่ถูกสร้างขึ้นโดยแพคเกจความปลอดภัย ดังนั้น จะไม่มีรายการรีจิสทรีช่องช่องหมายความว่าระบบกําลังเรียกใช้โหมดนี้ ถ้ามีคนสร้างรีจิสทรีคีย์นี้และตั้งค่าเป็น 0 ช่องสัญญาณจะทํางานในโหมดนี้อีกครั้ง การตั้งค่านี้มีผลเหมือนกับไม่ได้สร้างรายการรีจิสทรีนี้เลย แอปพลิเคชันที่ส่งค่าสถานะ Secure ไปยังช่องสัญญาณระหว่างการเตรียมใช้งานเซสชันจะใช้เส้นทางรหัสที่ปลอดภัยแบบคงที่เท่านั้น สําหรับแอปพลิเคชันอื่น จะไม่มีการเปลี่ยนแปลงลักษณะการทํางานช่อง การอัปเดตความปลอดภัยนี้ยังแก้ไขเลเยอร์ของแอปพลิเคชันที่เกี่ยวข้องกับการเรียกดูเว็บโดยใช้ Internet Explorer เพื่อส่งค่าสถานะ Secure เพื่อช่วยรักษาความปลอดภัยให้กับสถานการณ์การใช้งานเบราว์เซอร์ หมายเหตุ ใน Windows Server 2003 ต้องติดตั้ง 2638806 การอัปเดตความปลอดภัยเพื่อช่วยรักษาความปลอดภัยของแอปพลิเคชันไคลเอ็นต์ HTTP ที่ใช้ WinHTTP API สําหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft: 2638806 MS12-006: คําอธิบายของโปรแกรมปรับปรุงความปลอดภัยสําหรับ Winhttp ใน Windows Server 2003 และ Windows XP Professional x64 Edition: 10 มกราคม 2555 |
| 1 | การตั้งค่าเป็น 1 หมายถึง "เปิดใช้งานสําหรับทั้งหมด" ซึ่งหมายความว่าผู้โทรไม่จําเป็นต้องส่งค่าสถานะ และช่องสัญญาณจะแยกเรกคอร์ด SSL ทั้งหมด ด้วยค่านี้ แอปพลิเคชันไม่จําเป็นต้องทําการเปลี่ยนแปลงใดๆ ลูกค้าที่กังวลเกี่ยวกับความปลอดภัยของระบบสามารถช่วยให้ระบบของพวกเขาปลอดภัยมากขึ้นด้วยการเปิดใช้งานรีจิสทรีคีย์นี้ |
| 2 | การตั้งค่าเป็น 2 หมายถึง "ปิดใช้งานสําหรับทั้งหมด" ซึ่งหมายความว่าช่องดังกล่าวจะไม่แยกระเบียนสําหรับการเข้ารหัสที่แอปพลิเคชันโทรออก โหมดนี้ไม่ใช้ค่าสถานะ Secure ที่แอปพลิเคชันส่ง |
จากการทดสอบภายใน เราพบว่าคุณไม่สามารถตั้งค่ารีจิสทรีเป็น 1 ได้ เนื่องจากอาจทําให้สถานการณ์สมมติมากเกินไปในองค์กรได้ ดังนั้นเราจึงกีดกันไม่ให้ผู้ใช้ใช้งาน
ปัญหาที่ทราบเกี่ยวกับการเปิดใช้งานรายการรีจิสทรี SendExtraRecord
- การตั้งค่ารีจิสทรี SendExtraRecord เป็น 1 จะบังคับใช้การแยกระเบียนในทุกการโทรเพื่อเข้ารหัสลับข้อมูลใน schannel ซึ่งเกิดขึ้นโดยไม่คํานึงว่าผู้โทรส่งค่าสถานะ Secure ระหว่างการเตรียมใช้งานเซสชันหรือไม่
- แอปพลิเคชันจํานวนมากที่ใช้ช่องสัญญาณจะถูกเขียนเพื่อให้ด้านผู้รับถือว่าข้อมูลแอปพลิเคชันจะถูกบรรจุลงในแพคเก็ตเดียว ปัญหานี้เกิดขึ้นแม้ว่าแอปพลิเคชันจะเรียกใช้ช่องสําหรับการถอดรหัสลับ แอปพลิเคชันละเว้นค่าสถานะที่ตั้งค่าโดยช่อง ค่าสถานะบ่งชี้ถึงโปรแกรมประยุกต์ที่มีข้อมูลเพิ่มเติมที่จะถูกถอดรหัสลับและรับโดยตัวรับ วิธีนี้ไม่เป็นไปตามวิธีการที่กําหนด MSDN ของการใช้ช่อง เนื่องจากการอัปเดตความปลอดภัยบังคับใช้การแยกระเบียน จึงทําให้แอปพลิเคชันดังกล่าวเสียหาย
- แอปพลิเคชันที่ใช้งานไม่ได้รวมถึงผลิตภัณฑ์ของ Microsoft และคอมโพเนนต์ในกล่อง ต่อไปนี้คือตัวอย่างของสถานการณ์สมมติที่อาจเสียหายเมื่อตั้งค่ารีจิสทรี SendExtraRecord เป็น 1:
-
- ผลิตภัณฑ์และแอปพลิเคชัน SQL ทั้งหมดที่สร้างขึ้นบน SQL
- เทอร์มินัลเซิร์ฟเวอร์ที่มีการรับรองความถูกต้องระดับเครือข่าย (NLA) เปิดอยู่ ตามค่าเริ่มต้น NLA จะเปิดใช้งานใน Windows Vista และ Windows เวอร์ชันที่ใหม่กว่า
- บางสถานการณ์ของบริการการเข้าถึงระยะไกล (RRAS)
การตั้งค่ารีจิสทรี SendExtraRecord เป็น 1 จะบังคับใช้การแบ่งระเบียนที่ปลอดภัยสําหรับแอปพลิเคชันทั้งหมดที่ใช้ Windows TLS/SSL อย่างไรก็ตาม การตั้งค่านี้มีแนวโน้มที่จะมีปัญหาความเข้ากันได้ของแอปพลิเคชัน ดังนั้น เราขอแนะนําให้ลูกค้ากําหนดค่า TLS 1.1 และ TLS 1.2 แทนการใช้การตั้งค่ารีจิสทรีนี้ TLS 1.1 และ TLS 1.2 ไม่มีความเสี่ยงต่อปัญหานี้
ถ้าผู้ใช้ตั้งใจจะใช้การตั้งค่ารีจิสทรีนี้ เราขอแนะนําให้พวกเขาทดสอบการทดสอบความเข้ากันได้ของแอปพลิเคชันอย่างกว้างขวางก่อนที่จะนําไปใช้ ผลิตภัณฑ์ทั่วไปบางส่วนที่ทราบว่าจะได้รับผลกระทบจากการตั้งค่านี้ ได้แก่ ผลิตภัณฑ์ Microsoft SQL, เทอร์มินัล Windows Server และ Windows Remote Access Server
คำถามที่ถามบ่อย
คําถาม: Microsoft สามารถทําอะไรเพื่อช่วยฉันแก้ไขแอปพลิเคชันฝั่งเซิร์ฟเวอร์ของฉันได้บ้าง
คําตอบ: ตรวจสอบให้แน่ใจว่าแอปพลิเคชันของคุณสามารถจัดการกับการกระจายตัวของระเบียนแอปพลิเคชัน SSL/TLS ตามที่อธิบายไว้ใน RFC ต่อไปนี้: