Windows'ta bağlantısı olmayan ortamlarda yöneticilerin güvenilen ve izin verilmeyen CLT'leri güncelleştirmelerine olanak sağlayan bir güncelleştirme bulunmaktadır

Şunlar için geçerlidir: Windows Vista Service Pack 2Windows Vista BusinessWindows Vista Business 64-bit Edition Daha fazla

™zet


Bu yazılım güncelleştirmesinin Windows için sağladığı iyileştirmeler şunlardır:
  • Yöneticilerin, etki alanına katılmış bilgisayarları, hem güvenilen hem de izin verilmeyen Sertifika Güven Listeleri (CTL) için otomatik güncelleştirme özelliğini kullanacak şekilde yapılandırmalarına olanak sağlar. Bilgisayarlar, Windows Update sitesine erişim sağlamadan otomatik güncelleştirme özelliğini kullanabilir.
  • Yöneticilerin, etki alanına katılmış bilgisayarları, otomatik güncelleştirme özelliğini kullanarak güvenilen ve izin verilmeyen CTL'leri bağımsız olarak seçecek şekilde yapılandırmalarına olanak sağlar.




  • Yöneticilerin, Microsoft Kök Sertifika Programı'ndaki kök sertifika yetkilileri (CA) grubunu incelemesine olanak sağlar.
Bu değişiklikler ve iyileştirmeler hakkında daha fazla bilgi için aşağıdaki Microsoft web sayfasına gidin:

Bilgi önkoşulları


Bu KB makalesi Grup İlkesi, üçüncü taraf kök güncelleştirmeleri, güvenilmeyen sertifikalar ve izin verilmeyen listeler hakkında temel bilgi sahibi olan ortak anahtar altyapısı (PKI) yöneticilerine yöneliktir. Bu KB makalesi ayrıca, Grup İlkesi Güncelleştirme yardımcı programını kullanarak ilkeleri dağıtmak üzere basit ADM/ADMX dosyalarını düzenleyebilen PKI yöneticilerine yöneliktir. ADMX dosyalarının kullanımı hakkında daha fazla bilgi için Adım Adım Grup İlkesi ADMX Dosyalarını Yönetme Kılavuzu'na bakın.

Arka Plan


Windows Kök Sertifika Programı, güvenilen kök sertifikaların Windows'ta otomatik olarak dağıtılmasına olanak sağlar. Windows Kök Sertifika Programı'ndaki üyeler listesi hakkında bilgi almak için aşağıdaki Microsoft web sitesine gidin: Güvenilen kök sertifikaları şu yöntemler kullanılarak dağıtılabilir:
  1. Otomatik: İstemciler, güvenilen kök sertifikalarını otomatik güncelleştirme mekanizmasını kullanarak indirebilir veya güncelleştirebilirler. Güvenilen kök sertifikalarının listesi, Windows Update sunucularında bir Sertifika Güven Listesi'nde (güvenilen CTL) depolanır.
  2. Elle: Kullanıcılar, güvenilen kök sertifikalarının listesini Microsoft Yükleme Merkezi'nden, Windows Kataloğu'ndan ve Microsoft Windows Server Update Services'tan (WSUS) kendi kedini ayıklayan bir IEXPRESS paketi olarak indirebilirler. IEXPRESS paketi güvenilen CTL ile aynı anda kullanıma sürülür.
Kök sertifikaların dağıtımı hakkında daha fazla bilgi için aşağıdaki Microsoft web sitesine gidin: Güvenilmeyen kök sertifikaları (dolandırma amaçlı olduğu yaygın olarak bilinen sertifikalar) şu yöntemlerin kullanımıyla dağıtılabilir:
  1. Otomatik: İstemciler, güvenilmeyen kök sertifikalarını otomatik güncelleştirme mekanizmasını kullanarak indirebilir veya güncelleştirebilirler. Güvenilmeyen kök sertifikalarının listesi, Windows Update sunucularında bir CTL (güvenilmeyen CTL) içinde depolanır. Güvenilmeyen kök sertifikalarını otomatik olarak indirme hakkında daha fazla bilgi için aşağıdaki Microsoft web sitesine gidin:
  2. Elle: Kullanıcılar, güvenilmeyen sertifikaların listesini kendi kendini ayıklayan bir IEXPRESS paketi olarak Windows Update sitesinden indirebilir. IEXPRESS paketi güvenilmeyen CTL'den iki hafta sonra kullanıma sürülür.
Not Güvenilen ve güvenilmeyen kök sertifikalar için otomatik güncelleştirme mekanizması aynıdır. İki sertifika türü için de güncelleştirme mekanizmasını aynı kayıt defteri ayarını kullanarak devre dışı bırakabilirsiniz. Daha fazla bilgi için Internet'e Gelen ve Giden Bilgi Akışını Önlemek İçin Güncelleştirme Kök Sertifikaları Özelliğini Denetleme konusuna bakın.

Kedi güvenilen kök sertifikaları kümenizi yönetiyorsanız, güvenilen CTL için otomatik güncelleştirme mekanizmasını devre dışı bırakmalısınız.

Bilinen sorunlar


Bu yazılım güncelleştirmesini yüklemeden önce, sertifikaları yönetirken aşağıdaki sorunlardan biriyle karşılaşabilirsiniz:
  • Bağlantısı olmayan bir ortamda güvenilen veya güvenilmeyen kök sertifikalarını güncelleştirmek için, bu KB makalesinin "Arka Plan" bölümünde açıklanan IEXPRESS paketlerini kullanmanız gerekir. Ancak, IEXPRESS paketlerini kendiniz yüklemek zorundasınız. Ayrıca, paketleri CTL dağıtımı ile aynı aynı anda kullanıma sunmaya çalışmamıza karşın, IEXPRESS paketleri için biraz gecikme olabilmektedir.

    Not Bağlantısı olmayan ortam, aşağıdaki koşulların geçerli olduğu bir ortamdır:
    • Windows Update için doğrudan erişim engellenmiştir.
    • Hem güvenilen hem de güvenilmeyen CTL'ler için otomatik güncelleştirme mekanizması devre dışı bırakılmıştır.
  • Otomatik güncelleştirme mekanizmasını güvenilen ve güvenilmeyen CTL'ler için ayrı devre dışı bırakamazsınız. Daha açık ifade etmek gerekirse, otomatik güncelleştirme mekanizmasını ancak güvenilen ve güvenilmeyen CTL'ler için birlikte devre dışı bırakabilirsiniz.

    Not Güvenilen kök sertifikalarına ilişkin kendi listelerini yöneten yöneticilerin güvenilen CTL'ler için Otomatik Güncelleştirme hizmetini devre dışı bırakmalarını öneriyoruz. Bununla birlikte, yöneticilerin güvenilmeyen CTL'lere ilişkin Otomatik Güncelleştirme hizmetini devre dışı bırakmalarını önermiyoruz.
  • Güvenilen kök sertifikalarına ilişkin kendi listelerini yöneten kullanıcıların, kök programda kök sertifikalarını kolaylıkla görüntüleyebilecekleri ve güvenilecek sertifikaya karar verebilecekleri bir mekanizma yoktur.

Çözüm


Bu yeni yazılım güncelleştirmesi, bu KB makalesinin "Sorunlarla ilgili açıklama" bölümünde açıklanan sorunları gideren aşağıdaki düzeltme eklerini içerir.
  • Bu yazılım güncelleştirmesi, bağlantısı olmayan ortamlarda otomatik güncelleştirme mekanizmasını kullanmanıza olanak sağlayan şu özellikleri Windows'a ekler:
    1. Yeni bir kayıt defteri ayarı: Kayıt defteri ayarı, güvenilen ve güvenilmeyen CTL'leri Windows Update'ten kuruluşunuzdaki paylaşılan bir konuma indirmek için kullanılan URL konumunu değiştirmenize olanak sağlar. Bu kayıt defteri ayarında hem FILE hem de HTTP şemaları desteklenir. Bu kayıt defteri ayarı hakkında daha fazla bilgi için, bu KB makalesindeki Kayıt Defteri Anahtarları bölümüne bakın.

      Not URL konumunu bir yerel paylaşılan klasör olarak değiştirirseniz, Windows Update klasörüyle birlikte yerel paylaşılan klasörü eşitlemelisiniz.
    2. Certutil aracında yeni bir seçenek kümesi: Bu seçenekler klasörleri eşitlemek için size daha fazla yöntem sağlar. Bu seçenekler hakkında daha fazla bilgi için, bu KB makalesinin Certutil'deki Yeni Fiiller bölümüne bakın.
  • Bu yazılım güncelleştirmesi, güvenilen ve güvenilmeyen CTL'ler için otomatik güncelleştirme mekanizmasını ayırır. Örneğin, güncelleştirmeyi uyguladıktan sonra yalnızca güvenilen kök sertifikalarının otomatik güncelleştirme mekanizmasını devre dışı bırakmak için bir kayıt defteri anahtarı kullanabilirsiniz. Kayıt defteri anahtarları hakkında daha fazla bilgi için, bu KB makalesindeki Kayıt Defteri Anahtarları bölümüne bakın.
  • Bu yazılım güncelleştirmesi, yöneticilerin Microsoft Kök Sertifika Programı'ndaki güvenilen kök sertifikaları kümesini görüntülemek üzere kullanabilecekleri yeni bir aracı kullanıma sunmaktadır. Bu araç, bir kuruluş ortamı için güvenilen kök sertifikaları kümesini yöneten yöneticilere yöneliktir. Yönetici bu aracı kullanarak güvenilen kök sertifikaları kümesini seçebilir, bunları seri haline getirilmiş bir sertifika deposuna aktarabilir ve Grup İlkesi kullanarak bunları dağıtabilir. Daha fazla bilgi için, bu KB makalesinin Certutil'deki Yeni Fiiller bölümüne bakın.

Güncelleştirme bilgileri

Aşağıdaki dosyalar Microsoft İndirme Merkezi'nden indirilebilir:


Windows Vista'nın tüm desteklenen x86 tabanlı sürümleri

İndir Paketi şimdi indirin.

Windows Vista'nın tüm desteklenen x64 tabanlı sürümleri

İndir Paketi şimdi indirin.

Windows Server 2008'in tüm desteklenen x86 tabanlı sürümleri

İndir Paketi şimdi indirin.

Windows Server 2008'in tüm desteklenen x64 tabanlı sürümleri

İndir Paketi şimdi indirin.

Windows Server 2008'in tüm desteklenen IA-64 tabanlı sürümleri

İndir Paketi şimdi indirin.

Windows 7'in tüm desteklenen x86 tabanlı sürümleri için

İndir Paketi şimdi indirin.

Windows 7'in tüm desteklenen x64 tabanlı sürümleri

İndir Paketi şimdi indirin.

Windows Embedded Standard 7'nin tüm desteklenen x86 tabanlı sürümleri

İndir Paketi şimdi indirin.

x64 tabanlı sistemler için Windows Embedded Standard 7'nin tüm desteklenen x64 tabanlı sürümleri için

İndir Paketi şimdi indirin.

Windows Server 2008 R2'nin tüm desteklenen x64 tabanlı sürümleri

İndir Paketi şimdi indirin.

Windows Server 2008 R2'nin tüm desteklenen IA-64 tabanlı sürümleri

İndir Paketi şimdi indirin.

Windows 8'in tüm desteklenen x86 tabanlı sürümleri için

İndir Paketi şimdi indirin.

Windows 8'in tüm desteklenen x64 tabanlı sürümleri

İndir Paketi şimdi indirin.

Windows Server 2012'nin tüm desteklenen sürümleri için

İndir Paketi şimdi indirin.
Yayın Tarihi: 11.06.11 hakkında yönetici bilgileri (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)

Microsoft destek dosyalarını indirme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:
119591 Microsoft destek dosyaları çevrimiçi hizmetlerden nasıl alınır
Microsoft bu dosyada virüs taraması yapmıştır. Microsoft, dosyanın kullanıma sunulduğu tarihteki en güncel virüs algılama yazılımını kullanmıştır. Dosya, üzerinde herhangi bir yetkisiz değişiklik yapılmasını engellemeye yardım eden geliştirilmiş güvenliğe sahip sunucularda depolanır. 

Yeniden başlatma gereksinimi

Bu düzeltmeyi yükledikten sonra bilgisayarı yeniden başlatmanız gerekir.

Düzeltme değiştirme bilgileri

Bu güncelleştirme, 2661254 numaralı güncelleştirmenin yerini alır.






Dosya bilgileri

Bu düzeltmenin genel sürümü, aşağıdaki tablolarda listelenen özniteliklere sahip dosyaları yükler. Bu dosyalarla ilgili tarihler ve saatler UTC (eşgüdümlü evrensel saat) kullanılarak listelenmiştir. Bu dosyaların tarih ve saatleri, yerel bilgisayarınızda yerel saatinize ve geçerli gün ışığından yararlanma saatine (DST) göre görüntülenir. Bu tarih ve saatler ayrıca dosyalarda belirli işlemleri gerçekleştirdiğinizde değişebilir.

Değişikliklere ilişkin teknik başvurular


Certutil'deki Yeni Fiiller

SyncWithWU
Bu fiil, hedef bir dizini Windows Update sitesiyle eşitlemek için kullanılır. Fiilin sözdizimi şöyledir:
CertUtil [Seçenekler] -syncWithWU  HedefDizin 

Not Hedef Dizin dosyaların kopyalandığı klasördür. Komutu çalıştırdığınızda Windows Update sitesinden şu dosyalar indirilir:
  • Authrootstl.cab: Üçüncü taraf kök sertifikalarının CTL'sini içerir.
  • Disallowedcertstl.cab: İzin verilmeyen sertifikaların CTL'sini içerir.
  • Disallowedcert.sst: İzin verilmeyen sertifikaları içerir.
  • Thumbprint.crt: Üçüncü taraf kök sertifikaları.
Örneğin, bir hedef dizini Windows Update sitesiyle eşitlemek için şu komutu yürütebilirsiniz:
CertUtil -syncWithWU \\bilgisayaradı\paylaşımadı\HedefDizin 
GenerateSSTFromWU
Bu fiil Windows Update sitesinden .sst dosyaları oluşturmak için kullanılır. Fiilin sözdizimi şöyledir:
CertUtil [Seçenekler] -generateSSTFromWU SSTDosyası 
Not SSTDosyası oluşturulan .sst dosyasının adıdır. Oluşturulan .sst dosyası, Windows Update sitesinden indirilen üçüncü taraf kök sertifikalarını içerir.

Örneğin, Windows Update sitesinden .sst dosyaları oluşturmak için şu komutu yürütebilirsiniz:
CertUtil –generateSSTFromWU Rootstore.sst 

Kayıt Defteri Anahtarları

Bu güncelleştirmede kullanılmaya başlayan kayıt defteri anahtarları şunlardır:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate Güvenilen CTL'ler için otomatik güncelleştirmeyi devre dışı bırakmak istediğinizde bu kayıt defteri anahtarını 1 olarak ayarlayın.
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\EnableDisallowedCertAutoUpdateİzin verilmeyen CTL'ler için otomatik güncelleştirmeleri etkinleştirmek istediğinizde kayıt defteri ayarını 1 yapın.
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrlBu kayıt defteri anahtarı CTL'leri almak üzere paylaşım yollarını yapılandırır.