บทนำ
Microsoft ได้นำออกใช้บูเลทีนรักษาความปลอดภัย MS13-066 เมื่อต้องการดูกระดานข่าวความปลอดภัยทั้งหมด ไปที่เว็บไซต์ของ Microsoft ต่อไปนี้:
-
ผู้เชี่ยวชาญด้าน IT:
วิธีการขอรับบริการช่วยเหลือและสนับสนุนสำหรับการปรับปรุงการรักษาความปลอดภัยนี้
วิธีใช้สำหรับการติดตั้งการปรับปรุง:การสนับสนุนสำหรับ Microsoft Update
โซลูชันการรักษาความปลอดภัยสำหรับผู้เชี่ยวชาญด้าน IT:
การแก้ไขปัญหาความปลอดภัย TechNet และสนับสนุน
ช่วยปกป้องคอมพิวเตอร์ที่ใช้ Windows ของคุณจากไวรัสและมัลแวร์:ศูนย์จัดการไวรัสและรักษาความปลอดภัย
สนับสนุนท้องถิ่นตามประเทศของคุณ:
สนับสนุนสากล
ข้อมูลเพิ่มเติม
ปัญหาที่ทราบ ด้วยการปรับปรุงการรักษาความปลอดภัยนี้
-
คุณอาจพบปัญหาที่ทราบต่อไปนี้หลังจากที่คุณติดตั้งการปรับปรุงการรักษาความปลอดภัยนี้
ปัญหาที่ 1
เมื่อเข้าสู่ระบบ (SSO) โทเค็นขยายใหญ่เกินไป ผู้ใช้ไม่สามารถรับรองความถูกต้องกับเซิร์ฟเวอร์
โดยทั่วไปแล้ว โทเค็น SSO ขนาดใหญ่เกิดจากผู้ใช้ที่เป็นสมาชิกของกลุ่มจำนวน
ปัญหาที่ 2
สมมติว่า คุณปรับใช้บริการสหพันธรัฐไดเรกทอรีที่ใช้งานอยู่ (AD FS) เป็นตัวให้บริการข้อมูลเฉพาะตัวสำหรับตัวให้บริการสหพันธรัฐ หรือ สมมติว่า คุณปรับใช้ AD FS เป็น security token บริการ (STS) ที่ทำงานเป็นผู้ให้บริการสหพันธรัฐสำหรับโปรแกรมประยุกต์โทเค็นทราบและการให้บริการข้อมูลเอกลักษณ์ที่รวม ถ้าไม่มีความล้มเหลวในความสัมพันธ์แบบเชื่อถือได้ (ตัวอย่าง ถ้าความน่าเชื่อถือของบริษัท relying ถูกปิดการใช้งาน), ผู้ใช้จะเห็นหน้าการลงทะเบียนแทนที่เป็นข้อผิดพลาดเมื่อผู้ใช้พยายามดำเนินการรับรองความถูกต้อง
ปัญหาที่ 3
ถ้าคุณปิดใช้งานตัวเลือก SSO บนเซิร์ฟเวอร์ FS โฆษณา คำขอการรับรองความถูกต้องไปยังเซิร์ฟเวอร์ FS โฆษณาล้มเหลว
ปัญหาที่ 4
เมื่อการร้องขอการรับรองความถูกต้องที่แฝงไปยังเซิร์ฟเวอร์ FS โฆษณาจำเป็นต้องมีการรับรองความถูกต้องใหม่ ล้มเหลวในการรับรองความถูกต้อง และเซิร์ฟเวอร์ถูกขอข้อมูลประจำตัว
หมายเหตุ แอพลิเคชันการอ้างสิทธิ์ทราบอาจร้องขอการรับรองความถูกต้องใหม่ โดยใช้การwfresh = 0พารามิเตอร์สำหรับกลไกการ WS Fed ได้ แอพลิเคชันอาจใช้แทนForceAuthN = trueพารามิเตอร์สำหรับกลไกการ SAMLP ได้
ปัญหาที่ 5
สำหรับการกำหนดเองโฆษณาจัดวาง FS 2.0 เพิ่มหลังจากการเรียกการลงชื่อเข้าใช้ในโค้ดเพ FormsSignin.aspx.cs ไม่ได้ดำเนินการกำหนดเอง
เมื่อต้องการแก้ไขปัญหาเหล่านี้ ติดตั้งโปรแกรมแก้ไขด่วน 2896713 สำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:2896713การปรับปรุงจะพร้อมใช้งานเมื่อต้องการแก้ไขปัญหาต่าง ๆ หลังจากที่คุณติดตั้งการปรับปรุงการรักษาความปลอดภัย 2843638 บนเซิร์ฟเวอร์ FS โฆษณา
-
Microsoft ตระหนักถึงปัญหาเกี่ยวกับการปรับปรุงความปลอดภัยที่มีผลต่อการโฆษณา FS 2.0 ที่อธิบายไว้ใน MS13-066 อยู่ ปัญหาเหล่านี้อาจทำให้เกิดการโฆษณา FS หยุดการทำงานถ้าไม่มีการติดตั้งโปรแกรมปรับปรุงที่ออกมาก่อนหน้านี้ค่าสะสม (ปรับปรุง 3 ค่าสะสมสำหรับการใช้งานไดเรกทอรีสหพันธรัฐ Services 2.0 หรือที่เรียกอีกอย่างหนึ่งว่าอัพเด 2790338)
บน 19 สิงหาคม 2013, Microsoft rereleased การปรับปรุงความปลอดภัย 2843638 เพื่อแก้ไขปัญหานี้ ลูกค้าที่ได้ติดตั้งโปรแกรมปรับปรุงเดิมจะดูการปรับปรุงความปลอดภัย 2843638 และขอแนะนำให้นำไปใช้ในโอกาสที่เร็วที่สุด คุณควรตระหนักว่า เมื่อติดตั้งเสร็จสมบูรณ์ ลูกค้าจะเห็นเฉพาะการปรับปรุง 2843638 ในรายการโปรแกรมปรับปรุงที่ติดตั้งไว้
ขั้นตอนเพิ่มเติมที่จำเป็นในการรักษาความปลอดภัยนี้ติดตั้งการปรับปรุง
หลังจากที่คุณติดตั้งการปรับปรุงการรักษาความปลอดภัยนี้ ให้ทำตามขั้นตอนเหล่านี้เพื่อทำการติดตั้งด้วยตนเอง:
-
ทำสำเนาสำรองของเพ FormsSignIn.aspx แบบกำหนดเองในโฟลเดอร์ต่อไปนี้:
%systemdrive%\inetpub\adfs\ls
หมายเหตุ-
ตรวจสอบให้แน่ใจว่า คุณเก็บสำเนาสำรองไว้ในตำแหน่งที่เก็บข้อมูลที่เชื่อถือได้
-
การกำหนดเองทั้งหมดไปยังแฟ้ม.asp ควรเชื่อถือสำรอง เราขอแนะนำให้ คุณใช้การควบคุมเวอร์ชันนี้
-
-
ในโฟลเดอร์สำรอง แก้ไขเพ FormsSignIn.aspx เมื่อต้องการเพิ่มข้อความ "ทำให้สมบูรณ์อัตโนมัติ =ปิด" สำหรับ thอีชื่อผู้ใช้และกล่องข้อความรหัสผ่าน เมื่อต้องการทำเช่นนี้ ให้ทำตามขั้นตอนเหล่านี้
-
การเปลี่ยนแปลงต่อไปนี้:
<asp:TextBox runat="server" ID="UsernameTextBox">
เมื่อต้องการต่อไปนี้:
<asp:TextBox runat="server" ID="UsernameTextBox" autocomplete="off"> -
การเปลี่ยนแปลงต่อไปนี้:
<asp:TextBox runat="server" ID="PasswordTextBox" TextMode="Password">
เมื่อต้องการต่อไปนี้:
<asp:TextBox runat="server" ID="PasswordTextBox" TextMode="Password" autocomplete="off">
-
-
คัดลอกเพ FormsSignIn.aspx ปรับปรุงแล้วไปยังโฟลเดอร์ต่อไปนี้:
%systemdrive%\inetpub\adfs\ls
ข้อมูลไฟล์
ปรับปรุงซอฟต์แวร์รุ่นภาษาอังกฤษ (สหรัฐอเมริกา) ติดตั้งแฟ้มที่มีแอตทริบิวต์ที่แสดงในตารางต่อไปนี้ วันที่และเวลาสำหรับแฟ้มเหล่านี้จะแสดงรายการไว้ในรูปแบบเวลามาตรฐานสากล (UTC) วันและเวลาสำหรับแฟ้มเหล่านี้บนเครื่องคอมพิวเตอร์ของคุณจะแสดง ในเวลาท้องถิ่นของคุณ และ มีความโน้มเอียงของเวลาตามฤดูกาล (DST) ของคุณปัจจุบัน นอกจากนี้ วันและเวลาอาจเปลี่ยนแปลงเมื่อคุณดำเนินการบางอย่างในแฟ้ม
-
แฟ้มที่ใช้กับผลิตภัณฑ์เฉพาะ เหตุการณ์สำคัญ (SPn), และสาขาเซอร์วิส (LDR, GDR) สามารถระบุได้ ด้วยการตรวจสอบหมายเลขรุ่นของแฟ้มดังที่ปรากฏในตารางต่อไปนี้:
รุ่น
ผลิตภัณฑ์
หลักเป้าหมาย
สาขาเซอร์วิส
6.0.6002 18 xxx
Windows Server 2008 SP2
SP2
GDR
6.0.6002 23 xxx
Windows Server 2008 SP2
SP2
LDR
-
สาขาบริการของ GDR ประกอบด้วยบรรดาโปรแกรมแก้ไขเฉพาะที่มีการนำออกใช้อย่างกว้างขวางเพื่อจัดการกับปัญหาร้ายแรงที่แพร่กระจายเป็นวงกว้าง สาขาบริการของ ldr จะประกอบด้วยโปรแกรมแก้ไขด่วนนอกจากการแก้ไขที่ออกในวงกว้าง
หมายเหตุ รายการแฟ้ม (.manifest) และแฟ้ม MUM (.mum) ซึ่งติดตั้งอยู่ไม่ได้อยู่ในรายการ
สำหรับทั้งหมดได้รับการสนับสนุน Windows Server 2008 รุ่นที่ใช้ x86
|
ชื่อแฟ้ม |
รุ่นของแฟ้ม |
ขนาดของแฟ้ม |
วันที่ |
เวลา |
แพลตฟอร์ม |
|---|---|---|---|---|---|
|
Microsoft.identityserver.dll |
6.1.7600.17338 |
778,240 |
01-Jul-2013 |
22:59 |
x86 |
|
Microsoft.identityserver.dll |
6.1.7601.22371 |
786,432 |
01-Jul-2013 |
23:02 |
x86 |
สำหรับทั้งหมดได้รับการสนับสนุน Windows Server 2008 รุ่นที่ใช้ x64
|
ชื่อแฟ้ม |
รุ่นของแฟ้ม |
ขนาดของแฟ้ม |
วันที่ |
เวลา |
แพลตฟอร์ม |
|---|---|---|---|---|---|
|
Microsoft.identityserver.dll |
6.2.9200.16651 |
871,936 |
28-Jun-2013 |
00:30 |
x86 |
|
Microsoft.identityserver.dll |
6.2.9200.20760 |
871,936 |
28-Jun-2013 |
08:50 |
x86 |
-
แฟ้มที่นำไปใช้กับผลิตภัณฑ์เจาะจง หลักเป้าหมาย (RTM, SPn), และสาขาเซอร์วิส (LDR, GDR) สามารถระบุได้ ด้วยการตรวจสอบหมายเลขรุ่นของแฟ้มดังที่ปรากฏในตารางต่อไปนี้:
รุ่น
ผลิตภัณฑ์
หลักเป้าหมาย
สาขาเซอร์วิส
6.1.760 1 18 xxx
Windows Server 2008 R2
SP1
GDR
6.1.760 1 22 xxx
Windows Server 2008 R2
SP1
LDR
-
สาขาบริการของ GDR ประกอบด้วยบรรดาโปรแกรมแก้ไขเฉพาะที่มีการนำออกใช้อย่างกว้างขวางเพื่อจัดการกับปัญหาร้ายแรงที่แพร่กระจายเป็นวงกว้าง สาขาบริการของ ldr จะประกอบด้วยโปรแกรมแก้ไขด่วนนอกจากการแก้ไขที่ออกในวงกว้าง
หมายเหตุ รายการแฟ้ม (.manifest) และแฟ้ม MUM (.mum) ซึ่งติดตั้งอยู่ไม่ได้อยู่ในรายการ
สำหรับทั้งหมดได้รับการสนับสนุน Windows Server 2008 R2 รุ่นที่ใช้ x64
|
ชื่อแฟ้ม |
รุ่นของแฟ้ม |
ขนาดของแฟ้ม |
วันที่ |
เวลา |
แพลตฟอร์ม |
|---|---|---|---|---|---|
|
Microsoft.identityserver.dll |
6.1.7601.18195 |
778,240 |
28-Jun-2013 |
13:11 |
x86 |
|
Microsoft.identityserver.dll |
6.1.7601.22370 |
786,432 |
28-Jun-2013 |
05:20 |
x86 |
-
แฟ้มที่นำไปใช้กับผลิตภัณฑ์เจาะจง, เหตุการณ์สำคัญ (RTM, SPn) และสาขาของเซอร์วิส (LDR, GDR) จะสามารถระบุได้ด้วยการตรวจสอบหมายเลขรุ่นของแฟ้มดังที่ปรากฏในตารางต่อไปนี้:
รุ่น
ผลิตภัณฑ์
หลักเป้าหมาย
สาขาเซอร์วิส
6.2.920 0.16xxx
Windows Server 2012
RTM
GDR
6.2.920 0.20xxx
Windows Server 2012
RTM
LDR
-
สาขาบริการของ GDR ประกอบด้วยบรรดาโปรแกรมแก้ไขเฉพาะที่มีการนำออกใช้อย่างกว้างขวางเพื่อจัดการกับปัญหาร้ายแรงที่แพร่กระจายเป็นวงกว้าง สาขาบริการของ ldr จะประกอบด้วยโปรแกรมแก้ไขด่วนนอกจากการแก้ไขที่ออกในวงกว้าง
หมายเหตุ รายการแฟ้ม (.manifest) และแฟ้ม MUM (.mum) ซึ่งติดตั้งอยู่ไม่ได้อยู่ในรายการ
สำหรับทั้งหมดได้รับการสนับสนุน Windows Server 2012 รุ่นที่ใช้ x64
|
ชื่อแฟ้ม |
รุ่นของแฟ้ม |
ขนาดของแฟ้ม |
วันที่ |
เวลา |
แพลตฟอร์ม |
|---|---|---|---|---|---|
|
Microsoft.identityserver.dll |
6.2.9200.16651 |
871,936 |
28-Jun-2013 |
00:30 |
x86 |
|
Microsoft.identityserver.dll |
6.2.9200.20760 |
871,936 |
28-Jun-2013 |
08:50 |
x86 |
